На правах рукописи
Вид материала | Документы |
СодержаниеКраткие итоги Лекция 8. СТРАТЕГИЯ УПРАВЛЕНИЯ УЧЕТНЫМИ ЗАПИСЯМИ Ключевые слова Типы учетных записей Планирование учетных записей компьютеров |
- Печатная или на правах рукописи, 21.09kb.
- Удк 796/799: 378 , 770.24kb.
- На правах рукописи, 399.58kb.
- На правах рукописи, 726.26kb.
- На правах рукописи, 1025.8kb.
- На правах рукописи, 321.8kb.
- На правах рукописи, 552.92kb.
- На правах рукописи, 514.74kb.
- На правах рукописи, 670.06kb.
- На правах рукописи, 637.26kb.
Краткие итоги
В этой лекции было продолжено рассмотрение вопроса, как планировать службу Active Directory перед ее развертыванием.
В службе Active Directory домены имеют DNS-имена. При исследовании существующей инфраструктуры DNS необходимо выполнить следующие действия.
- Задокументировать все DNS-имена доменов, используемые в настоящее время в пределах компании.
- Задокументировать все дополнительные имена, которые компания зарегистрировала для возможности использования в Интернете.
- Задокументировать существующую конфигурацию серверов DNS.
Для внедрения Active Directory существуют два вида пространств имен (внутреннее и внешнее), при этом пространство имен Active Directory совпадает с заданным зарегистрированным пространством имен DNS или отличается от него.
После определения структуры домена организации и планирования доменного пространства имен необходимо разработать структуру организационных единиц (OU или подразделений — ОП). Организационное подразделение позволяет:
- отразить структуру компании и организации внутри домена;
- делегировать управление сетевыми ресурсами, но сохранить способность управлять ими;
- изменять организационную структуру компании;
- группировать объекты так, чтобы администраторы легко отыскивали сетевые ресурсы.
OU используются в определенных целях:
- Делегирование административного управления объектами.
- Ограничение видимости объектов.
- Управление применением групповой политики.
Можно использовать следующую классификацию для моделей структуры OU:
- Модель структуры OU на основе местоположения.
- Модель структуры OU на основе структуры организации.
- Модель структуры OU на основе функций.
- Смешанная модель структуры OU — сначала по местоположению, затем по структуре организации.
- Смешанная модель структуры OU — сначала по структуре, затем по местоположению.
Лекция 8. СТРАТЕГИЯ УПРАВЛЕНИЯ УЧЕТНЫМИ ЗАПИСЯМИ
Краткая аннотация: Для возможности планирования учетных записей в Active Directory перечислены их типы, даны правила и рекомендации управления учетными записями компьютеров и пользователей. Освещены вопросы, связанные с безопасностью, — планирование политики сетевой безопасности, планирование групп и групповых политик.
Ключевые слова: учетная запись, домен, объект, LDAP, организационная единица, сайт, групповая политика, объект групповой политики.
Цель лекции
Выработать стратегию управления учетными записями для возможности ее применения при развертывании Active Directory.
Типы учетных записей
Учетная запись в Active Directory — это список атрибутов, определяющих участника системы безопасности (security principal), например пользователя или группу пользователей.
В Active Directory можно создать пять типов учетных записей [3], перечисленных ниже.
- Компьютер. Всякий раз, когда в домен добавляется компьютер под управлением Microsoft Windows NT, Windows 2000, Windows XP или Windows Server 2003, для него создается учетная запись компьютера. Учетные записи компьютеров служат для аутентификации компьютеров, которые обращаются к сети и ресурсам домена.
- Пользователь. Учетная запись пользователя — это набор атрибутов для пользователя. Объект-пользователь хранится в Active Directory и позволяет пользователю входить в сеть. Пользователь должен указать удостоверения (имя и пароль) только один раз, затем ему предоставляются соответствующие разрешения на доступ к сетевым ресурсам.
- Группа. Это набор пользователей, компьютеров или других групп, для которого можно задать разрешения. Задавая разрешения группам и добавляя члены в эти группы, можно сэкономить время, поскольку не приходится назначать разрешения каждому отдельно взятому члену группы.
- InetOrgPerson. Учетная запись InetOrgPerson работает во многом аналогично учетной записи пользователя за исключением того, что учетные записи InetOrgPerson совместимы с другими службами каталогов, основанными на LDAP. Это обеспечивает совместимость между Active Directory и другими системами.
- Контакт. Этот объект хранится в Active Directory, но для него не задаются разрешения. То есть контакт нельзя использовать для входа в сеть или доступа к ресурсам. Часто контакты связывают с пользователями, работающими вне сети, которым отправляет сообщения почтовая система.
Планирование учетных записей компьютеров
Учетные записи компьютеров позволяют применять к компьютерам, входящим в домен, во многом такие же средства защиты, как и для пользователей. Эти записи дают возможность выполнять аутентификацию компьютеров — членов домена прозрачным для пользователей образом, добавлять серверы приложений как рядовые серверы (member servers) в доверяемые домены и запрашивать аутентификацию пользователей или служб, которые обращаются к этим серверам ресурсов.
Так как разрешается помещать учетные записи компьютеров в OU и назначать им групповую политику, то можно управлять тем, как выполняется аутентификация и обеспечивается защита компьютеров различных типов. Например, для компьютеров, установленных в общедоступном информационном киоске, действуют другие требования безопасности, чем для рабочих станций, установленных в управляемой среде с ограниченным доступом.
Всякий раз, когда в домен добавляется новый компьютер, создается новая учетная запись компьютера. Таким образом, еще одна составляющая стратегии управления учетными записями — определение пользователей, которые вправе добавлять компьютеры в домен, создавая их учетные записи.
Кроме того, необходимо продумать соглашение об именовании компьютеров. Хорошее соглашение должно позволять без труда идентифицировать компьютер по владельцу, местонахождению, типу или любой комбинации этих данных.