Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга




ИмеЕдна важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга
страница1/4
Дата на преобразуване08.11.2012
Размер475.92 Kb.
ТипДокументация
източникhttp://www.bullsauto.com/temp/eng/Diplomna rabota-AD-Irena Hristova.doc
  1   2   3   4
Увод


Една важна част от модерни мрежови операционни системи (network operating systems - NOSs) e директорийната услуга. Директорийната услуга {directory service) позволява съхраняването и осъществяването на достъп до информация относно мрежови ресурси, мрежови акаунти и мрежови услуги.

Директорийните услуги предоставят начин за съхранение, обновяване, откриване и защита на информацията в директорията. Директорийните услуги могат да бъдат локални (т.е., ограничени до една машина) или глобални (т.е. да осигуряват услуги на множество машини). Ако самата информация е разпръсната на множество машини, тя се нарича дистрибутирана.

Ползите от използването на директорийни услуги в една мрежа включват следното:

  • Данните могат лесно да бъдат организирани.

  • Данните могат лесно да бъдат обезопасени.

  • Данните могат лесно да бъдат откривани и да се осъществява достъп до тях.

Мрежите с използване на услуги (directory-enabled networks - DENs) се превърнаха в интегрална част от управлението на ресурси на ниво корпоративни мрежи. Възможности като качество на услугата (quality of service - QoS), групуер (groupware) и съвместни изчисления, както и автоматизирането на обработката, повишиха важността от централизирано хранилище, което позволява на потребителите и приложенията да споделят данни.

В миналото, една корпоративна мрежа би имала множество отделни директории; различните приложения използваха свои собствени бази данни, а една и съща информация се случваше да се въвежда много пъти на различни места. Колкото повече се разрастваха мрежите и колкото повече мрежови приложения се реализираха, толкова по-неефективен ставаше методът.

Директорийните услуги, до които може да се осъществява достъп както от приложения, така и от потребители, спестяват време и дисково пространство. Друга движеща сила, стояща зад преминаването към стандартизирани директорий-ни услуги, е електронната търговия (e-commerce). Директориите се използват в методите за сигурност, които криптират и подписват цифровите транзакции.

Актуализацията нa Windows Server 2008 разширява възможностите на Windows Server 2008 R2 в няколко ключови направления:

  • Управлението на самоличностите (Identity Management)

  • Оптимизация в работата с отдалечени офиси (Branch offices)

  • Управлението и организацията за съхраняването на данни (Storage Management).

Windows Server 2008 R2 улеснява свързването между офисите, контрола върху самоличностите и управлението на данните и приложенията вътре в корпорацията и извън нея. Той е разширена версия на сървърната мрежова операционна система Windows Server 2008. Разработен е, така че да се внедрява в работеща Windows Server 2008 инфраструктура, без да се налага повторно сертифициране и тестване на приложенията и закупуването на нови клиентски лицензи за достъп. Windows Server 2008 R2 интегрира средства, позволяващи да се изгради сигурна и надеждна система и по този начин за пореден път доказва намеренията на Microsoft да продължи да подобрява и усъвършенства сървърната си платформа.

Глава I


Същност и възможности на Active Directory


Информацията за самоличността на потребителите на информационни системи в големите организации винаги се намира в различни хранилища. Няма голяма организация, която да няма повече от една директорийна услуга. Всъщност в преобладаващите случаи организацията смесва директорийни услуги, които работят върху платформи на различни доставчици. Обичайна гледка е например използването на Microsoft Active Directory за целите на Microsoft Exchange и същевременно ползване на IBM Directory Server за целите на автентикацията в IBM AIX. Нещо повече – една компания рядко се ограничава единствено до директорийни услуги, когато съхранява информация за различните потребители на информационните й системи. В много случаи потребителските акаунти се съхраняват в таблици в база данни.

Проблемите, които се пораждат от липсата на централизирано хранилище на информацията за потребителите, са в няколко аспекта. Първо, от гледна точка на регулаторната съвместимост с редица стандарти и директиви е задължително да можем да определим с точност потребителите в организацията и съответните им права. При наличие на множество хранилища с информация за тях това е труден процес. Второ, в много от случаите един и същи потребител присъства в различни директории или бази данни, но тази негова идентичност не е синхронизирана. Ако един потребител има профил в Microsoft Active Directory и Sun Java System Directory Server, но в двата профила адресът му е различен, на коя от двете системи да вярваме? Трето, ако организацията въвежда в експлоатация нова система, до която трябва да даде достъп на потребители, „разхвърляни“ в две различни директории, как може да подходи тя? В този случай трябва или двете директории да се слеят в една (на практика тежък и неприложим във всички случаи процес), или да се въведе нова директория, в която да се копират данните на потребителите, които ще използват новата система. Последният подход всъщност още повече задълбочава проблемите, тъй като въвежда допълнително хранилище на потребителска информация и увеличава дублираните данни.

Двете най-популярни директорийни услуги за PC мрежи са Novell NDS и Microsoft Active Directory.

Версиите на NetWare до 3.x включително използват директорийна база данни, наречена bindery. Най-големият недостатък на тази директорийна услуга е нейната локална природа. Всеки NetWare сървър в мрежата трябва да поддържа индивидуална база данни, а всеки потребител е необходимо да притежава акаунт на всеки от сървърите, за да може да използва неговите ресурси.

Започвайки с версия 4, NetWare въведе NDS - глобална база данни, която се репликира между сървърите в мрежата. Чрез нея потребителите могат да се логнат в който и да е сървър, след което да осъществяват достъп до ресурсите на всички сървъри. Базата данни NDS е йерархична и използва схемата с инверсно дърво. Тя може да съдържа два основни типа обекти: контейнерни обекти (container objects) и листови обекти (leaf objects). Както се подразбира от имената, един контейнерен обект може да съдържа други обекти в себе си; листовият обект е „крайната точка" на даден клон - самият ресурс. Споделените файлове и принтери са примери за листови обекти. OU единиците са примери за контейнерни обекти.

NDS позволенията за достъп до обекти се назначават на OU единиците, а потребителите и групите се поставят в тези единици. Можете да промените позволенията на даден потребител, като преместите акаунта му от една OU в друга.

Въпреки че по принцип се асоциира с мрежовата операционна система NetWare, NDS може да работи на множество платформи. Novell осигурява NDS за следните платформи:

• NetWare 4 и 5

• Microsoft Windows NT и Windows 2000

• IBM AIX и OS/390

• Caldera OpenLinux

• SCO UNIX

• Sun Solaris

NDS eDirectory е междуплатформеното решение на Novell за интегрирани корпоративни изчисления с приложения, проектирани за работа с директории. NDS позволява използването на различни протоколи за достъп до директорий-ната информация, включващи следните:

• Novell Directory Access Protocol (NDAP)

• LDAP

• HTTP (когато се използва Web сървър)

• Open Database Connectivity (ODBC) API

• Active Directory Services Interface (ADSI)

C пускането на пазара на Windows 2000 Server, Microsoft направи фундаментални промени в своите мрежови компоненти, които са дори по-драстични от промените, извършени от Novell при преминаването от NetWare 3 към 4. Active Directory заема централно място в тези промени. Докато NDS базата данни на Novell действа като услуга, работеща с мрежовата операционна система, Active Directory на Microsoft действа като приложение, което е дълбоко интегрирано в операционната система. Active Directory е софтуерна система, която съхранява информация, организира я и осигурява необходимите права за достъп до всеки потребител. Active Directory е наричана NTDS в по старата документация на Microsoft.

Active Directory осигурява многообразие от мрежови услуги включително:

  • LDAP

  • Kerberos

  • DNS

Active Directory е представена през 1999 г., с пускането в употреба на Windows 2000 server и доразвита с излизането на Windows Server 2003. Active Directory е една от ключовите функции на Windows 2000. Каталожната услуга осигурява начин да се намерят и идентифицират потребителите и ресурсите, достъпни в системата , подобно на телефонен указател. Като се въведе име на човек или ресурс, системата дава информацията, необходима за достъп до този човек или ресурс. Очевидно за системния администратор това е жизнено важна информация. Active Directory е голяма стъпка към по-комплексни каталожни функции за големи организации. В Microsoft се надяват, че Active Directory ще се ползва не само за управление на файлове или принтери, но и за всички мрежови потребности на компанията. Това я поставя в пряка конкуренция с Directory Services на NetWare. Ако потребителя притежава едновременно NetWare и Windows 2000, ще трябва да избере между функциите, които се предлагат от двете. В Microsoft разчитат администраторите да предпочетат Active Directory заради удобството. С въвеждането й в Microsoft са се възползвали от възможността да преработят структурата, обезпечаваща сигурността. За разлика от приложенията в NT 4.0 фирмен протокол за сигурност, Windows ползва отворения стандарт, наречен Kerberos. Kerberos е същият протокол, който се използва в Unix среди. Следователно, за разлика от NT 4.0, дори потребители на платформи, различни от Windows , могат да се насочат към сървър Windows за проверка. Това също така намалява необходимостта да се поддържат сървъри, които не са на Windows.

Директорийни услуги (налични само в Windows Server, Windows Advanced Server и Windows Datacenter Server) позволяват:

  • съхраняване на информация за мрежовите ресурси, като потребителски акаунти, приложения, принтерни ресурси и информация за сигурност.

  • Осигуряване на услугите, позволяващи на потребителите да получават достъп до ресурси из цялата Windows 2000 мрежа и да намират потребители, компютри и други ресурси. Също така дава възможност на администраторите да управляват и осигуряват тези ресурси.

  • Съхраняване и управление на услугите, базирани на технологията Active Directory. Това са директорийните услуги на Windows 2000. Директория се нарича базата данни, която съхранява информация за мрежовите ресурси, като компютри и принтери, а директорийните услуги правят тази информация налична за потребителите и приложенията. Директорийните услуги на Active Directory предоставят на администраторите също и възможността да контролират достъпа до ресурсите.

В равноправна (peer-to-peer) Windows мрежа всяка система има собствени локални потребители. При използване на услуга клиента трябва да се включи (login) с идентификацията на локалния потребител на отдалечената система. Администрирането на локални потребители в мрежи с над определен брой компютри (прието е това да са 10 компютъра) става неефективно и непрактично.

Въвеждането на домейни решава този проблем. В NT 4.0 един сървър се избира за основен – Primary Domain Controller (PDC) и още един сървър за архивен – Backup Domain Controller – BDC. PDC съдържа авторизационната (SAM – Security Accounts Manager) база данни за цялата мрежа. Всички компютри в локалната мрежа – работещи като клиенти и сървъри се доверяват на PDC и го използват за потвърждаване на авторизацията. Тук не става въпрос за чист вариант на клиент-сървър, както е при NetWare мрежите. Потребителите, регистрирани в домейна се използват за включване на всеки компютър от домейна. За задаване на права на достъп до споделени и локални ресурси се използват глобалните потребители и групи, дефинирани в домейна. Смяната на потребителска парола от коя да е потребителска система (или от сървъра) става факт веднага за цялата мрежа. Архивният сървър поддържа синхронно копие (репликация) на SAM базата данни. При отпадане на PDC, компютрите от домейна използват информацията от BDC (до възстановяването на PDC).

Домейн контролерите са добро решение за администриране на LAN. В резултат от поевтиняването на WAN услугите все повече организации работят в единна мрежа и използват единна политика по сигурността. За да осигури това, Windows 2000 Server въвежда активните директории (Active Directory). Всички PDC в една активна директория използват единна глобална SAM база данни. Промяната в конфигурацията, например промяна на права на потребител чрез включването му или изключването му от глобални групи, смяната на потребителската директория, вече не може да се изпълни незабавно. На PDC в активната директория е необходимо време промяната да се разпространи в цялата директория.

Структурата на Active Directory е йерархична съвкупност от обекти. Обектите са разделени в 3 основни категории: resources (ресурси), services (сервизни) и users (потребители) (Фиг.1.1). Работата на Active Directory е да организира обектите според нуждите на потребителя, да създаде права и нива за достъп за всеки потребител и да се грижи за сигурността на всяка директория.




Фиг.1.1. Структура на Active Directory


Основен инструмент за гарантиране на защитата на работната среда е продуктът Microsoft Active Directory, който предлага на администраторите:

Делегиране на управлението - отдават се специални права и задължения на индивидуалните потребители и потребителски групи по отношение на наличните информационни ресурси. Специално управление - Windows Server предлага инструмент, с чиято помощ можете да разработите стандартни и сигурни конфигурации за машините и да ползвате Group Policy и Active Directory за тяхното осъвременяване. Така се пести време за конфигурирането на системата и се гарантира срещу възможните пропуски, които са предпоставка за появата на ”пробойни” в системата за защита.

Контрол върху достъпа - В Windows Server принтери и потребители, споделени файлове, групи и други елементи на системата са въведени в директорията. Техните ACL (списъци за достъп) са локализирани в директорията Active Directory, откъдето се упражнява централизиран контрол върху достъпа:

Authentication policy control - с помоща на Group Policy може да се зададе специално избран метод за идентификация на отделни потребители или групи от потребители.

Certificate Services (общ логин) - Certificate Services предлага индивидуални услуги в сферата на издаването и обслужването на сертификати, необходими за системите за защита на софтуерните продукти, в който е включена технологията ”общ логин”.


Таблица 1.1. Решение за мрежова сигурност с Windows Server

Необходимост

Решение с Windows Server Security Services

Системните администратори срещат проблеми при въвеждането на системи за защита в своите организации.

Въвеждането на Active Directory и Group Policy Objects силно намалява времето, необходимо за управление на наличните ресурси и не изисква индивидуална работа с всеки отделен компютър

Нужна е по-сериозна защита на отделните работни места и на сървърите.

Продукти като IPSec Encrypting File System предоставят търсената защита срещу такива атаки. Всяка организация може да стандартизира ползването на тези системи за защита чрез шаблоните на Active Directory Group Policy при конфигурирането на защитната система.

Защитено логване.

Windows Server предоставя на клиентите сигурен, бърз и еднократен логон към мрежовите ресурси на Windows. Групите, въведени в Active Directory и Keberos, подобряват защитата на паролите и опростяват поддържането им.

Подобрена защита на дистанционните връзки с мрежата през dial-up или VPN.

В Windows Server има усъвършенствани протоколи и подобрения на VPN, които позволяват осъществяването на сигурни дистанционни връзки. Тази подобрена защита може да бъде допълнително подкрепена чрез ползването на Group Policies.


Internet Authentication Services (RADIUS) - Бидейки RADIUS сървър, Internet Authentication Services реализира централната комуникационна идентификация, оторизацията и отчета за различните видове мрежов достъп, включително мобилен достъп, промяна на идентификацията, както и виртуалните частни мрежови връзки и дистанционния dial-up.

Active Directory (LDAP-съвместима директория) - Active Directory позволява на организациите да упражняват централизиран контрол и да обменят мрежови информационни ресурси едновременно със защитата на мрежата от неоторизиран достъп.

Заплахи срещу информационните мрежи се отправят всеки ден. Те провокират сериозни опасения у клиентите и ги принуждават да изразходват значителни суми за услуги, свързани със защитата на ползваната от тях информация. Бизнес-средите имат нужда от защитени информационни мрежи, по които да прехвърлят своите данни. Почти винаги това трябва да се реализира с оскъдни средства. Степента на защита е правопропорционална на стойността на обменяната информация, характера на съществуващите заплахи и размера на риска, който дадената компания е в състояние да поеме. Във всеки случай, фирмите са задължени внимателно да оценят реалния размер на риска, на който са изложени информационните им системи, както и на обменяната чрез тях информация.

В действителност има много разработки в областта на защитата на информационните мрежи и управлението на идентичността, както и по-нови технологии като управление на привилегиите на потребителите, Active Directory (AD) мост и управление на пълномощията. Те се развиват благодарение на търсенето на гарантирана сигурност от страна на компаниите, както и на изискванията за съответствие с регулаторните изисквания.

Въпреки че корпоративните структури са внедрили разнообразни продукти за управлениена идентичността, малко от тях са успели да ги интегрират. Нека разгледаме някои от предимствата, които новите технологии осигуряват, както и стратегии, които могат да помогнат на една организация да извлече повече от инвестициите си в управление на идентичността.

Традиционните продукти за управление на идентичността са станали съществена част от ИТ инфраструктурата и продължават да се внедряват и днес. Те включват:

Директорийни услуги. Тези услуги и продуктите за автентикация са най-старият пример за решения за управление на идентичността. Директорийните услуги използват протокола Lightweight Directory Access Protocol (LDAP) за представяне на данните. Въпреки че от гледна точка на разработчиците с него се работи трудни,LDAP се е очертал като стандартно хранилище за информация за потребители и политики.


Обезпечаване. Системите за обезпечаване добавят, изтриват или променят потребителски регистрации в хетерогенна среда. Тези системи обикновено включват работния поток (за да приведат в действие одобрението или промяната в потребителските регистрации) и управление на ролите, което може да осигури предимства по отношение на сигурността и съответствието.


Управление на уеб достъпа (WAM). WAM системите осигуряват еднократно вписване (SSO) и автентикационни услуги за разнообразни уеб приложения. WAM системите работят само с уеб приложенията и не изискват клиентски софтуер с изключение на уеб браузър.


Силна автентикация. Системите за силна автентикация използват най-малко два параметъра, за да предоставят по-висока сигурност при определяне на идентичността. Най-често те използват устройство за еднократна парола. Устройството показва уникален код, който се комбинира с личен идентификационен номер, за да се осигури двуфакторна автентикация. Други механизми за силна автентикация включват смарт карти (които също използват портативно хардуерно устройство и личен идентификационенномер) и биометрия.


Федеративност. Първоначално федеративната технология е разработена в отговор на предизвикателството да се предостави услуга за еднократно вписване за потребителите на отделни организации. За съжаление WAM системите не са решавали това предизвикателство, тъй като са използвали HTTP “бисквитки“ за управление на сесии, което не върши работа в рамките на голяма корпорация. Стандартът по подразбиране при федерирането е Security Assertion Markup Language (SAML).

Развитието на Active Directory подобрената скалируемост на домейновата структура, усъвършенствана администрация с цел снижаване на общите разходи за притежание (Total Cost of Ownership), по-гъвкави сценарии за разгръщане и др. В следните няколко направления (Фиг.1.2):

  • Преименуване на домейните – Windows поддържа преименуване на домейните след тяхната инсталация. Въвеждането на тази характеристика е направено с цел поддръжка на по-голяма гъвкавост при реструктурирането на мрежите, които преминават под управление на Windows Active Directory (AD). Много от стъпките в досегашното разгръщане на AD бяха необратими (нещо, което в Windows Server 2003 е избегнато) и поставяха сериозни проблеми пред дизайнерите на структурата и процесите на миграция. Оптимизиран е и самият процес на преименуване на домейн контролера, който сега изисква само едно рестартиране.

  • Предефиниране на схемата на Active Directory – гъвкавостта на Active Directory е подобрена и чрез възможността за деактивиране на цели класове обекти или отделни атрибути. Освен това класовете и атрибутите могат да бъдат предефинирани и в случай, че в оригиналната им дефиниция е допусната грешка.

  • AD/AM или Active Directory in Application Mode – нова функционалност на Active Directory, която е адресирана към поддръжката на т.нар. Active Directory Enabled Application – приложения, които използват директорийната услуга заедно с нейната база от данни. Посредством AD/AM Active Directory работи не като услуга на операционната система, а като независима услуга, т.е. тя може да бъде инсталирана на обикновен сървър (който не е домейн контролер), без да е необходимо да се разгръща домейнова структура в мрежата. Нещо повече, услугата може да се стартира в множество екземпляри на един-единствен сървър, като всеки екземпляр се конфигурира независимо от другите. AD/AM е реализирана като отделен компонент в Windows Server.




Фиг.1.2. Елементи на Active Directory


  • Подобрения в Group Policy – безспорно най-мощният административен инструмент в Active Directory – груповите политики, също е претърпял промени. На първо място ще отбележим появата на новата административна конзола на Group Policy Objects. Необходимостта от по-удобна конзола при Windows 2000 Server беше повече от очевидна и дизайнерите на новия продукт са се справили много добре, увеличавайки най-вече прегледността и удобствата при достъп до GPO и обектите, към които те са свързани. Съществена промяна има и в състава на настройките, които могат да се конфигурират чрез GPO. Типичен пример в това отношение са възможностите за конфигуриране на DNS настройки на машините в дадена организация или поделение на по-голяма организация.

  • Cross-forest authentication and authorization – в Windows Active Directory може да се установява взаимоотношения на доверие между т.нар. гори от домейни. Те са еднопосочни и се установяват между кореновите домейни на горите, като по този начин позволяват на потребителя да „се разхожда“ из различни домейнови гори, без да е нужно да има акаунти за всяка една от тях. За да се избегнат евентуални недоразумения, ще добавим, че досегашните външни (неавтоматични) взаимоотношения на домейна рефлектираха само върху домейните, между които те се установяват. При новия механизъм установяването на доверие между корените на гори от домейни се отразява и на всички останали дъщерни домейни. Това позволява и изграждане на нова PKI структура, и автентикация на ISA клиенти от различни домейнови гори, с които гората на ISA сървъра е във взаимоотношение на доверие.

  • Политика за ограничаване на инсталацията на определен софтуер – чрез тази нова политика администраторите могат да защитят своите мрежи от инсталирането на съмнителен софтуер с недоказан произход и качество, който би застрашил работоспособността на мрежата.

  • Облекчен log-on процес – тази новост засяга един доста конкретен сценарий, при който браншов офис, в който има домейн контролер, но не и сървър на глобалния каталог (Global Catalog Server), комуникира чрез WAN връзка с главната корпоративна мрежа. Известно е, че в Windows 2000 AD при липса на връзка към глобалния каталог (ГК) обикновените потребители нямат възможност да се свържат (логват) към домейна си. Затова в сценарии, подобни на цитирания, се налага конфигуриране на сървър на глобалния каталог не само в централния, но и в браншовите офиси, респективно до увеличаване на репликационния трафик по WAN връзката. Сега браншовите потребители могат да се логват и без наличие на ГК благодарение на кешираните в местния домейн контролер акредитиви.

По – долу ще бъдат разгледани структурата на базата данни Active Directory, как Active Directory се интегрира с DNS и Active Directory сървърите, и как информацията от Active Directory се репликира от един домейн контролер на друг.


Структура на базата данни на Active Directory

Информацията в Active Directory се съхранява в три файла:

• Active Directory база данни

• Active Directory отчетни файлове

• Shared System Volume

Самата база данни представлява директорията. Отчетните файлове записват промените, извършени в базата данни. Shared System Volume (наричан още Sysvol) съдържа скриптове и обекти на групови политики (group policy objects) на Windows домейн контролери. Груповата политика е средството, чрез което Windows администраторите контролират десктопите на потребителите, автоматично инсталират приложения и установяват правата на потребителите.

Windows домейни

Логическата структура на Active Directory се базира на единици, наречени домейни. Въпреки че се използва същата технология, Windows домейните действат по различен начин спрямо тези в Windows NT. Както в Windows NT, така и в Windows един домейн представлява административна граница и граница на сигурност, както и репликационна единица. Само че Windows NT използва плоска домейнова структура, a Windows подрежда домейните в йерархични дървета от домейни (domain trees).

Концепцията за йерархично дърво работи по-различно в Active Directory, отколкото в NDS. NDS не разделя мрежата на домейни. Windows мрежите могат да имат множество домейни, организирани гори от домейни. Това ще рече, че тези дървета могат да се съединяват с други дървета, за да образуват гори (forests). Фигура 1.3 показва структурата от домейни в Windows, като са дадени две дървета от домейни (кореновите домейни са shinder.net и tacteam.net), свързани в гора.

Ползата от свързването на дървета от домейни, които имат отделни, неродстве-ни пространства от имена, е резултантното доверително отношение (trust relationship).




Фиг.1.3. Структурата от домейни в Windows е йерархично дърво


Active Directory и DNS

Active Directory използва DNS конвенциите за именуване и зависи от DNS, за да работи. Трябва да има DNS сървър във всяка Windows мрежа. Освен това обновяванията на информацията за DNS зоните може да се интегрира с репликирането на Active Directory, което е по-ефективно от традиционните методи за обновяване на DNS. Windows поддържа Dynamic DNS (DDNS), което позволява автоматично обновяване на DNS базата данни.


Active Directory сървъри

За да се използва Active Directory, поне един сървър трябва да е конфигуриран като домейн контролер (domain controller - DC), като се препоръчва да има поне два домейн контролера във всеки домейн с цел отказоустойчивост. Конфигурирането на първия домейн контролер в мрежата създава директорията за него. За разлика от Windows NT, не съществува един „главен" домейн контролер. Всички домейн контролери съдържат копие за четене/запис на Active Directory дяла. Тази информация се пази актуална и синхронизирана чрез процеса на репликация.


Сигурност в Active Directory

Всеки обект в Active Directory притежава списък за контрол на достъпа (access control list - ACL), който съдържа всички позволения, асоциирани с обекта. Позволенията могат изрично да бъдат давани и отказвани на грануларен принцип.

Съществуват два типа позволения:

Назначени позволения - Позволения дадени изрично от потребител, който има властта да направи това

Наследени позволения - Позволения, които се прилагат върху дъщерни обекти, тъй като са наследени от родителски обект

Позволения могат да се назначават на отделен потребител или група от потребители. Windows позволява на администраторите да контролират процеса на наследяване, като по този начин при желание могат да предотвратят наследяването. Добре се забелязва полето за отметка в долната част на диалоговия прозорец (Фигура 1.4) със свойствата за сигурност на обекта.




Фиг.1.4. Задаване на ниво на сигурност в Active Directory


Пример за изградена Active Directory на базата на Windows базирана системаепоказана на Фиг.1.5.



Фиг.1.5. Пример за изградена Active Directory


  1   2   3   4

Свързани:

Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconКомплект за студента
Мрежови операционни системи. Принципи на мрежовото администриране и споделяне на мрежови ресурси
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга icon1. Мрежови операционни системи
Мрежовите операционни системи на Microsoft, като Windows nt server/2000/Server 2003, предлагат пълен набор от инструменти за управлението...
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconОперационни системи. Част 1
Тестът е построен на базата на материала, залегнал в книгата: Иванов, И., П. Стойков. Операционни системи : Част София : Фараго,...
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconDecrease of operating expenses & continuation of sales network’ rationalization

Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconЛекция 6 Операционни системи (ОС)
Съвременните компютърни системи представляват съвкупност от сложни електронни устройства, свързани в единна система. Голяма част...
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconWeb xml-rpc, JavaScript, html5, xml, ajax, json, css operating Systems

Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconКонспект по „Операционни Системи
Файлови системи. Видове. Организация 25. Управление на Вход/Изход и Scheduling на диска
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconМинистерство на образованието и науката висша атестационна комисия
Информатика (вкл. Математическо осигуряване, архитектура на изчислителни системи, операционни системи и системно програмиране, бази...
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconРезюме на иновативната услуга
Иновацията е предназначена да обслужва пазара на транспортни услуги, предоставяни от шофьори чрез такси, рент-а-кар или лимузина....
Една важна част от модерни мрежови операционни системи (network operating systems noss) e директорийната услуга iconУрок 1: Управление на мрежови системи
Една от основните отговорности на администратора е да управлява тези ресурси. Основният инструмент за това е конзолата Computer Management,...
Поставете бутон на вашия сайт:
Документация


Базата данни е защитена от авторски права ©bgconv.com 2012
прилага по отношение на администрацията
Документация
Дом