На правах рукописи

Вид материала

Содержание

Определение стратегии именования
Идентификаторы защиты
Правила имен участников системы безопасности
Правила именования доменов

Подобный материал:

Печатная или на правах рукописи, 21.09kb.
Удк 796/799: 378 , 770.24kb.
На правах рукописи, 399.58kb.
На правах рукописи, 726.26kb.
На правах рукописи, 1025.8kb.
На правах рукописи, 321.8kb.
На правах рукописи, 552.92kb.
На правах рукописи, 514.74kb.
На правах рукописи, 670.06kb.
На правах рукописи, 637.26kb.

1 ... 11 12 13 14 15 16 17 18 ... 38

Определение стратегии именования

При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS [3]:

поддерживается иерархия, длина имени до 64 символов;
поддерживается подключение к внешним сетям.

Клиенты используют DNS для разрешения IP-адресов серверов, на которых выполняются важные сетевые сервисы Active Directory. Следовательно, Active Directory и DNS неразрывно связаны.

В DNS имена образуют иерархию и формируются путем «движения» от родительских доменов к дочерним доменам. Так, у домена kd.ru может быть дочерний домен sales.kd.ru, у того, в свою очередь, — дочерний домен europe.sales.kd.ru. Имя каждого домена соответствует пути, идентифицирующему домен в иерархии DNS, т. е. пути к корневому домену (корневой домен обозначается точкой).

Когда создается первый домен Active Directory, он становится корневым для леса и первого дерева доменов в этом лесу. С этого корневого домена начинается пространство имен. Каждый добавляемый домен получает имя от родительского домена и иерархии, в которую входит родительский домен.

Все имена доменов Active Directory идентифицируются по DNS, но можно использовать и NetBIOS-имена (Network Basic Input/Output System) — унаследованную систему именования, которая применялась в старых версиях Windows и по-прежнему поддерживается в Windows Server 2003. Windows автоматически генерирует NetBIOS-имена для каждой службы, выполняемой на компьютере, добавляя к имени компьютера дополнительный символ. Доменам также присваиваются NetBIOS-имена, при этом совместимость с NetBIOS-именами — это плоская модель, длина имени не более 16 символов.

Существует возможность назначать разные NetBIOS- и DNS-имена, но такой подход не допустим.

В идеале следует создать стратегию именования, определяющую единообразный подход к формированию имен.

Идентификаторы защиты

Active Directory использует модель репликации с несколькими хозяевами, при которой на каждом контроллере домена хранится своя копия раздела Active Directory; контроллеры домена являются равноправными хозяевами. Можно внести изменения в объекты, хранящиеся на любом контроллере домена, и эти изменения реплицируются на другие контроллеры.

Модель с несколькими хозяевами хорошо подходит для большинства операций, но не для всех. Некоторые операции должны выполняться только одним контроллером в каждом домене или даже в каждом лесу. Чтобы выполнять эти специальные операции, определенные контроллеры доменов назначаются хозяевами операций.

При выработке стратегии именования представляют интерес две роли хозяев операций [3]:

Хозяин именования доменов (domain naming master). Один домен в каждом лесу, обрабатывает добавление и удаление доменов и генерирует уникальный идентификатор защиты (SID);
Хозяин RID (relative ID master). Генерирует последовательности для каждого из контроллеров домена. Действует в пределах домена. Генерирует для каждого контроллера домена пул по 500 RID.

Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals).

Правила имен участников системы безопасности

Объекты участников системы безопасности — это объекты Active Directory, которым назначены идентификаторы защиты и которые указываются при входе в сеть и предоставлении доступа к ресурсам домена.

Администратор должен давать объектам участников системы безопасности (учетным записям пользователей, компьютеров и групп) имена, уникальные в рамках домена. Следовательно, необходимо выработать стратегию именования, которая позволит это реализовать.

Добавляя в каталог учетную запись нового пользователя, администратор должен задать следующую информацию [3]:

имя, которое пользователь должен указывать при входе в сеть;
имя домена, содержащего учетную запись пользователя;
прочие атрибуты (имя, фамилия, телефон и т. п.)

К создаваемым именам для участников системы безопасности предъявляются следующие требования [3]:

имена могут содержать любые символы Unicode, за исключением следующих символов: #, +, «, \, <, >;
длина имен учетных записей пользователей не должна превышать 20 символов;
длина имен учетных записей компьютеров не должна превышать 15 символов;
длина имен учетных записей групп не должна превышать 63 символов;
имена участников системы безопасности не могут состоять только из точек, пробелов и знаков @;
любые точки или пробелы в начале имени пользователя отбрасываются.

Допускается применение одного и того же имени участника системы безопасности в разных доменах. Так, можно создать пользователя wjglenn в доменах hr.kd.ru и sales.kd.ru. Это не приведет к проблемам, поскольку составное, относительное составное и каноническое имена каждого объекта автоматически генерируются Active Directory и все равно позволяют глобально идентифицировать этот объект.

Правила именования доменов

Допускается изменение доменных имен после развертывания, но это может оказаться затруднительным. Лучше с самого начала выбрать правильные доменные имена, при выборе которых рекомендуется соблюдать следующие правила [3].