Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Корпоративные информационные сети. Домены MS Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети РАСПРЕДЕЛЕННЫЕ КОМПЬЮТЕРНЫЕ СИСТЕМЫ Угрозы сетевой безопасности
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Базовые сетевые модели Модель сетевого взаимодействия «клиент-сервер» (ВОС, TCP/IP ) Компьютер 1Компьютер 2 MAC, IP, TCP-port DNS, URI Программная модель «клиент - сервер» Приложение - клиент Приложение – сервер (URI, языки запросов, семантика) Сетевые модели
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Обработка данных (модель клиент - сервер) Коммуникации; Адресация ресурсов; Протоколы и языки запросов; Авторизация пользователей; Промежуточное программное обеспечение (middleware); Аппаратные средства Распределенные компьютерные системы Сетевые модели
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Клиенты и серверы сети
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Клиенты и серверы сети ПО клиент, сервер
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Одноранговая сеть Сеть с выделенным сервером Специальная ОС; Производительное ПО; Скоростные коммуникации; Общие дорогостоящие ресурсы; Повышенная безопасность; Резервирование, backup; Единое администрирование; Удобство обслуживания …. Клиенты и серверы сети
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Реальная сеть Клиенты и серверы сети
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Серверы и сервисы
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети ДОСТУП К РЕСУРСАМ Серверы и сервисы
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Обращение к хосту Обращение к файлу NetBIOS – имяPC1 DNS – имя pc1.grsu.by IP-адрес UNC \\Server\disk_d\folder\file.txt \\PC1\disk_d\folder\file.txt \\pc1.grsu.by\disk_d\folder\file.txt \\ \disk_d\folder\file.txt URIsmb:// /disk_d/folder/file.txt ftp:// /disk_d/folder/file.txt UNCW\\serverNW\disk_d:folder\file.txt Адресация ресурсов
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети УПРАВЛЕНИЕ РЕСУРСАМИ СЕТИ Управление ресурсами сети
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети PC1PC2PC3PC4 SAM PC1: USER_1 USER_2 … USER_N SAM PC2: USER_1 USER_2 … USER_N SAM PC3: USER_1 USER_2 … USER_N SAM PC4: USER_1 USER_2 … USER_N Локальны е учетные записи ACL PC1: D:\ USER_1 R C:\ USER_2 RW ACL PC2: D:\ USER_1 R C:\ USER_2 RW ACL PC3: D:\ USER_1 R C:\ USER_2 RW ACL PC4: D:\ USER_1 R C:\ USER_2 RW Списки прав доступа Одноранговая сеть
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Большая компьютерная сеть нуждается в централизованном хранении как можно более полной справочной (технической) информации: о пользователях сети (именах для входа в систему, паролях, правах доступа к ресурсам и т.д.); о компонентах сети (серверах, клиентских компьютерах, маршрутизаторах, шлюзах и т.д.); о ресурсах сети (томах файловых систем, принтерах и др.) Управление ресурсами сети
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети ServerPC1PC2PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1: Administrator Локальные учетные записи ACL PC1: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Списки прав доступа SAM PC1: Administrator SAM PC1: Administrator ACL PC3: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW ACL PC2: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Сеть с сервером учётных записей
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети В сетевых операционных системах для хранения упорядоченной справочной информации используется централизованная база справочной информации – служба каталогов (Directory Services). Стандарты служб каталогов: OSI X.500, DAP (Directory Access Protocol), LDAP Служба каталогов обычно строится на основе модели клиент-сервер: серверы хранят базу справочной информации. клиенты используют эту информацию. Служба каталогов
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Наибольшее распространение получили каталоги: служба Active Directory для Windows; служба NDS компании Novell. Служба каталогов
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Домен Windows - группа компьютеров, пользователей и ресурсов, образующих общую область администрирования и управляемых, как одно целое Домен Windows
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Домен Windows
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Active Directory (AD) Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003, Windows Server AD - база данных LDAP Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Доменный компонент (DC - Domain Component). Используется для определения компонента DNS-имени объекта Active Directory. Организационная единица (OU). Организационная единица. Общее имя (CN - Common Name). Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи. Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Имена объектов каталогов: DN (Distinguished Name, уникальное имя): = DC (компонент домена) + OU (организационный модуль) + CN (общее имя) Примеры: DC=grsu OU=main CN=users CN=Sidorov LDAP://cn=Sidorov, cn=users, ou=main, dc=grsu Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети База данных Active Directory содержит следующие структурные объекты: Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена. ad.grsu.by AD-GRSU Деревья доменов. ad.grsu.by mf.ad.grsu.byftf.ad.grsu.by Леса. Лес определяет границу безопасности для предприятия. ad.grsu.bygrsu.com Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети функции контроллеров доменов AD: Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену. Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. *** Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. *** Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Рисунок 1. Типичная структура домена AD. Рисунок 2. Дерево доменов AD. Рисунок 3. Лес доменов AD. Active Directory Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Протоколы аутентификации в AD NT LAN Manager (NTLM) Kerberos v.5 LDAP Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети %systemroot%\NTDS\NTDS.DIT Служба каталогов Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Локальные политики (secpol.msc) Групповые политики (gpedit.msc) Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Управление на основе групповых политик (GPO) Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Enabled (Включен), Disabled (Отключен) и Not Configured (He определено) Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети gpedit.msc Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Default Domain Policy (Заданная по умолчанию политика домена) Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена) Виды групповых политик и порядок их применения 1. Local group policy (Локальная групповая политика). 2. Site-level group policies (Групповые политики уровня сайта). Групповые политики, связанные с объектом сайта в Active Directory. 3. Domain-level group policies (Групповые политики уровня домена). Групповые политики, связанные с объектом домена в Active Directory. 4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем OU низшего уровня. GPResult.msc Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети GPEdit.msc GPUpdate.msc GPResult.msc Инструменты управления групповой политикой Политики Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети User Data Management (управление данными пользователя). Обеспечивает пользователям доступ к рабочим файлам с любого компьютера сети, или даже после отключения от нее, с помощью Windows Synchronization Manager, который позволяет дублировать каталоги на локальном диске. Software Installation and Maintenance (установка и поддержка программного обеспечения). Устанавливает приложения и программы на любую рабочую станцию, на которых имеется соответствующая потребность. User Settings Management (управление пользовательскими установками). Предоставляет пользователям их собственные настройки конфигурации рабочего стола, прикладных программ и другие персональные предпочтения при работе с любого компьютера сети. IntelliMirror Сетевое управление программным обеспечением рабочих станций Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Сетевое управление программным обеспечением рабочих станций Групповые политики Microsoft System Center 2012 Software Update Service (SUS) LANDesk Intel и др. wake-on-LAN Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Программирование Active Ditectory VB/VBScript, JScript, C/C++ интерфейсы службы Active Directory (ADSI); интерфейсы MAPI; интерфейс программирования LDAP API. класс DirectoryEntry Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Adsiedit.msc Ldp.exe Domain.msc Dsa.msc Active Directory Web Services (ADWS) Инструменты управления каталогом Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Инструменты управления каталогом (командная строка) Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Восстановление контроллера домена: Репликация с действующим контроллером; Использование резервной копии сервера; Использование резервной копии базы данных домена. Automated System Recovery - ASR Backup Ntdsutil.exe Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети ServerPC1PC2PC3 SAM SERVER: USER_1 USER_2 … USER_N SAM PC1: Administrator Локальные учетные записи ACL PC1: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Списки прав доступа SAM PC1: Administrator SAM PC1: Administrator ACL PC3: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW ACL PC2: D:\ SERVER/USER_1 R C:\ SERVER/USER_2 RW Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Active Directory
ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети
Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных