Клонирование и служба каталога Active Directory Лекция # 3
Программы для создания резервных копий, восстановления и клонирования жестких дисков и их разделов Symantec Ghost Acronis True Image 8.0 Corporate Workstation Paragon Drive Backup 6.0 Microsoft RIS и т.д.
Службы удаленной установки (Remote Installation Services, RIS) Предоставление операционной системы по требованию пользователя. Обеспечивают установку с образов операционных систем, которые включают в себя конкретные параметры настройки и приложения. Можно создавать образы автоматизированной установки операционных систем семейства Windows
RIS используемых компоненты и службы DHCP/BOOTP-сервер. Служба уровня согласования информации загрузки. Упрощенный демон FTP. Хранилище единственных копий. Служба SIS.
Клиент удаленной установки Технология удаленной загрузки PXE (Pre-boot eXecution Environment) Загрузочный диск удаленной установки
Образы операционных систем Плоский образ (Стандартный образ). Образ мастера подготовки удаленной установки (RIPrep) (Образ эталонного компьютера).
Active Directory Управление сетевыми ресурсами Управление пользователями Управление приложениями Обеспечение функционирования сети
Структура Active Directory Физическая структура Логическая структура
Основные понятия логической структуры Пространство имен - это любая ограниченная область, где возможно разрешение имени. Объект - это отличительный набор именованных атрибутов, описывающих ресурс. Атрибутами - это характеристика объекта в каталоге. Организационное подразделение - контейнерный объект, предназначенный для группировки других объектов в логические административные группы в рамках домена.
Основные понятия логической структуры Домен - совокупность компьютеров, характеризующаяся общей базы учетных записей пользователей и единой политикой безопасности. Контроллер домена - сервер, являющийся носителем глобальной копии каталога. Дерево - это группировка или иерархия одного или нескольких доменов Лес - объединение одного и более деревьев - позволяет группировать сети подразделений организации или нескольких организаций, которые не используют одинаковую схему именования.
Основные понятия логической структуры Схема - содержит формальное описание содержания и структуры хранилища Active Directory, включая все атрибуты, классы и свойства классов. Глобальный каталог - это центральное хранилище информации об объектах в дереве доменов и лесе Active Directory. Содержимое глобального каталога генерируется автоматически во время стандартного процесса репликации данных между контроллерами доменов.
Физическая структура Контроллер домена - это компьютер под управлением Windows Server 2003 или Windows 2000 Server, хранящий реплику раздела каталога (базу данных домена). IP-сеть - это описание некоторой IP-сети, являющейся частью сайта Active Directory. Обычно IP-сети Active Directory соответствуют IP-сетям, используемым в локальной сети организации. Сайт - это совокупность одной или нескольких IP- сетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, либо домен может быть размещен в нескольких сайтах.
Организационное подразделение Структурные единицы AD Лес (и глобальный каталог) Дерево Домен
Причины использования и преимущества Деление на OU в рамках домена Логическая структура : объектная модель Физическая структура: модель сайтов Нет PDC и BDC До объектов в домене
Режим Windows 2000 (Смешанный режим) Windows Server2003
Доверительные отношения - неявные двусторонние транзитивные - явные односторонние нетранзитивные
Именование объектов LDAP-имя: –DC=ru, DC=ifmo, OU=cde, CN=ivanov UPN-имя: GUID-имя –FFE67AB2987FF CCBE5EE13467
Делегирование полномочий На уровне узла На уровне домена На уровне организационной единицы
Управление Основной набор (Administration Utilities – Adminpack.msi) Win Server Support Tools Win Server Resource Kit
Основные оснастки управления AD Active Directory – Управление пользователями и компьютерами Active Directory – Управление Доменами и Доверием Active Directory – Управление узлами и службами Active Directory - Схема Политика для (контроллера) домена по умолчанию
Типы пользователей (локальные и доменные) Локальная БД пользователей Доменная БД пользователей
Свойства учётной записи
Профили пользователей Локальные Перемещаемые Обязательные
Содержимое профиля Windows Explorer My Documents My Pictures Favourites Диски My Network Places Desktop Control Panel Accessories Application Data Recent Templates Start Menu Local Settings NTUSER.DAT
Группы пользователей создаваемые при установке службы Безопасности Распространения
Группы пользователей по области действия Локальные Локальные домена Глобальные Универсальные
Встроенные глобальные группы Domain Admins Domain Users Domain Guests Enterprise Admins
Встроенные локальные группы домена Операторы учётных записей Администраторы Операторы резервного копирования Гости Группа совместимости с pre-Windows 2000 Операторы печати Репликаторы Операторы сервера Пользователи
Встроенные локальные группы на рабочей станции Administrators Backup Operators Guests Power Users Replicator Users
Встроенные системные группы Анонимный доступ Авторизованные пользователи Создатель-владелец Удалённый доступ Все Интерактивные Сетевые
Разрешения на доступ (сетевые и NTFS) NTFS
NTFS: наследование и приоритеты Суммирование Файлы > Папок Запрещение > Разрешения
NTFS: копирование и перемещение FAT: разрешения теряются NTFS: разрешения папки- приёмника + Создателя- владельца
NTFS: специальные разрешения List Folder/Read Data Read/Write Attributes Read/Write Extended Attributes Read/Change Permissions Traverse Folder/Execute File Create Files/Write Data Create Folders/Append Data Delete Subfolders/Files Delete Take Ownership Synchronize
NTFS: стандартные разрешения Полный доступ Изменение Чтение и выполнение Чтение содержимого папки – для папок Чтение Запись
Сетевые разрешения Полный доступ Чтение Изменение
Разрешения AD Обычные: 1)Полный доступ 2)Чтение 3)Запись Специальные: 4) Создание всех дочерних объектов 5) Удаление всех дочерних объектов