- •1.Аппаратное обеспечение сети
- •2. Сетевые топологии.
- •3. Программное обеспечение сети. Модель стандарта osi.
- •Протоколы взаимодействия приложений и протоколы транспортной подсистемы
- •4. Программное обеспечение сети. Модель стандарта ieee 802.
- •Категории Стандарты лвс (Локальная вычислительная сеть), определенные Project 802, делятся на 12 категорий, каждая из которых имеет свой номер.
- •Управление логической связью
- •Управление доступом к среде
- •7. Создание подсетей. Маршрутизация
- •8. Протоколы удаленного доступа
- •10. Разрешение имен. Типы имен
- •Как работает wins
- •11. Служба Active Directory
- •Объекты
- •Структура
- •14. Безопасность сети и управление доменами сети. Аутентификация
- •Управление доменами Определение понятий
- •Регистрация доменов
- •Состояние настройки доменов
- •Настройка доменов
- •Элементы системы аутентификации
- •Факторы аутентификации
- •15. Понятие домена в сети и Internet.
- •16. Управление пользователями сети. Авторизация.
- •20.Списки управления доступом acl
- •21. Наследование разрешений ntfs
- •23. Обзор событий, подлежащих аудиту
- •24. Стратегия настройки аудита. Отслеживание событий аудита
- •2. Управление аудитом в Windows
- •26.Отслеживание событий аудита.
- •2. Управление аудитом в Windows
- •27. Групповая политика в системе Windows. Политики учетных записей
- •Создание групповых политик
- •28. Групповые адреса iPv6
- •Основы адресации iPv6
- •29. Протоколы tcp, sctp ,udp и dccp
- •Передача данных
- •Завершение соединения
- •Известные проблемы Максимальный размер сегмента
- •Обнаружение ошибок при передаче данных
- •Безопасное установление соединения
- •Достоинства
- •Причины появления
- •Безопасность
- •Сравнение возможностей протоколов транспортного уровня
- •Состав udp-датаграммы
- •Максимальная длина данных
- •Расчёт контрольной суммы
- •31.Классы ip-адресов.
- •32.Метод cidr
- •33. Адреса пакетов iPv6
- •34. Cообщения об ошибках icmp6 Формат пакета icmp
- •Типы пакетов icmp (полный список)
- •39. Контроль доступа к общим папкам.
Структура
Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.
Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Microsoft рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.
Другим способом деления Active Directory являются сайты, которые являются способом физической (а не логической) группировки на основе маски подсети. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.
Ключевым решением при проектировании Active Directory является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.
14. Безопасность сети и управление доменами сети. Аутентификация
Безопасность сети
Для начала необходимо зайти на сервер под учетной записью администратора домена. Да именно домена, т.к. при установке на сервере службы каталогов MS Active Directory под локальной учетной записью сервера вы зайти уже не сможете.
Для управления доменом на данном сервере появится оснастка «Active Directory – пользователи и компьютеры».
Данная оснастка предназначена для управления пользователями, группами, подразделениями, а также другими объектами службы каталогов MS Active Directory.
По умолчании при установки службы каталогов в дереве домена уже присутствует ряд контейнеров и организационных юнитов (подразделений), а именно:
Domain Controllers – в данном подразделении содержатся и автоматически добавляются все контроллеры домена, установленные в рамках этого домена. Это могут быть как резервные контроллеры домена, так и контроллеры в удаленных сетях.
Computers – в данный контейнер заносятся имена всех компьютеров и серверов, подключаемых к данному домену. Соответственно после добавления компьютера или сервера в домен его можно перенести из данного контейнера в другой организационный юнит.
Users и Builtin – в данных контейнерах содержатся встроенные учетные записи пользователей и встроенные группы безопасности, в которые включены пользователи. По каждому встроенному пользователю и группе безопасности в описании есть подробная информация для чего она нужна.
Если вы являетесь администратором сети, то перед тем как производить дальнейшие настройки безопасности домена, вам необходимо определится со структурой каталога. От данной структуры будет зависеть дальнейшее удобство работы с ним, а именно создание и управление пользователями и их компьютерами, разработку и применение политик безопасности, разграничение доступа пользователей к информационным ресурсам и т.д. За основу можно взять организационно-штатную структуру организации, для которой развернута служба каталогов в сети. Данный подход хорош тем, что во первых уже есть какая-то структура и не нужно изобретать велосипед, а во вторых удобней будет применять разные политики безопасности в зависимости от того в каком отделе работает сотрудник. Структура обычно должна выстраиваться в виде дерева, т.е. в каждом подразделении может быть еще одно или несколько подразделений. Для создания структуры необходимо щелкнуть правой кнопкой мышки на объекте в котором вы хотите создать еще один объект и выбрать необходимый тип объекта для создания.
После того как у вас нарисовалась ваша структура каталога домена, вам необходимо создать пользователей.
Но прежде чем пользователь смог бы работать под своей доменной учетной записью необходимо его персональный компьютер добавить в ваш домен. Для подключения компьютера к домену необходимо на компьютере пользователя (эти операции кстати он может сделать и сам) проверить доступность домена набрав в командной строке команду ping имя домена (в моем случае это ping sec-it.ru). В результате домен должен пинговаться. Если он не пингуется то нужно проверить настройки IP протокола, сервера имен (DNS), проверить пингом доступность контроллера домена по IP адресу.
Если связь налажена, необходимо щелкнуть правой кнопкой мышки по ярлыку «Мой компьютер» и выбрать пункт «Свойства». В открывшемся окне перейти на вкладку «Имя компьютера» и нажать кнопку «Изменить». В открывшемся окне необходимо задать имя компьютера, если вас не устраивает имя заданное при установке операционной системы, и имя вашего домена. При этом имя компьютера не должно совпадать с именами уже имеющимися в сети, т.е. оно должно быть уникальным
После нажатия кнопки «Ок» необходимо будет аутентифицироваться под учетной записью пользователя имеющего права на присоединение к домену. Пользователи сами могут добавлять компьютеры в домен, но если их пароль необходимо сменить при первом входе (была установлена галочка «Требовать смену пароля при следующем входе в систему») то пользователь не сможет этого сделать.
После того как компьютер пользователя загрузится ему будет предложено нажать комбинацию клавиш «Ctrl-Alt-Delete» после чего он сможет аутентифицироваться в сети и своем компьютере. В открывшемся окне ему только останется ввести свое сетевое имя и пароль. Нажав кнопку параметры можно выбрать где пользователь должен аутентифицироваться в домене сети или под локальной учетной записью.