1. Active Directory Domain and Trusts (Active Directory домены и доверия)

Выбор администрируемого домена в больших лесах. Просмотр режима работы домена. Создание, проверка и удаление доверительных отношений между доменами

2. Active Directory Sites and Service (Active Directory — сайты и службы)

Создание и изменение сайтов, транспортов и подсетей. Настройка расписаний репликации и связей (links). Запуск репликации между контроллерами домена. Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к сайтам. Запуск серверов глобального каталога на контроллерах домена

3. Active Directory Usersand Computers (Active Directory — пользователи и компьютеры)

Создание и изменение объектов каталога (пользователей, групп, подразделений и т. д.). Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к доменам и подразделениям (OU). Управление специализированными ролями (РЗМО)

Active Directory Users and Computers

Оснастка Active Directory Users and Computers является основным инструментом, посредством которого администратор осуществляет управление содержимым доменных разделов каталога. Вот перечень лишь основных операций:

- создание, модификация и удаление объектов различного типа,

- привязка объектов групповых политик к контейнерам Active Directory,

- настройка прав доступа к объектам каталога, аудит.

Знание возможностей этой оснастки позволяет повысить эффективность выполнения рутинных операций, особенно в случае, когда доменные разделы содержат большое количество объектов, что затрудняет их поиск и работу с ними.

А так же позволяет:

- одновременная работа с несколькими объектами каталога;

- операции, выполняемые с помощью мыши (например, перемещение объектов между контейнерами);

- хранимые запросы

Для выполнения операций с каталогом оснастка Active Directory Users and Computers должна быть подключена к некоторому контроллеру домена (которые выступают в качестве носителя копии разделов каталога). Оснастка может быть подключена только к одному контроллеру домена и, соответственно, к одному доменному разделу. По умолчанию оснастка подключается к контроллеру домена, в котором зарегистрировался текущий пользователь. Администратор может подключить оснастку к любому другому контроллеру домена, а также к другому домену при условии наличия у него соответствующих прав.

Active Directory Sites and Service

Оснастка Active Directory Sites and Service представляет собой основной инструмент с графическим интерфейсом, посредством которого администратор может управлять физической структурой Active Directory — подсетями, сайтами и соединениями; другие же административные оснастки представляют Active Directory на логическом уровне как единое целое. Оснастка Active Directory Sites and Service является одним из основных средств администрирования Active Directory в том случае, когда корпоративная сеть реализована в виде нескольких сайтов. В случае, если механизм сайтов не используется при построении службы каталога (т. е. сайт только один — созданный по умолчанию), данная оснастка, скорее всего, останется невостребованной.

Оснастка Active Directory Sites and Service позволяет выполнять следующие операции:

- изменение топологии репликации в лесе доменов (создание/удаление сайтов, подсетей и соединений);

- изменение расписаний и интервалов для репликации внутри сайта и между сайтами;

- определение мостовых серверов;

- инициация процесса репликации внутри сайта и между сайтами;

- запуск сервиса КСС для регенерации топологии репликации;

- делегирование пользователям или группам прав на управление сайтами, подсетями, серверами и другими контейнерами в разделе конфигурации;

- настройка параметров безопасности и аудита для различных объектов, определяющих топологию репликации;

- выбор объектов GPO, привязка объектов GPO к сайтам

- назначение контроллерам домена роли сервера глобального каталога;

- назначение политик запросов LDAP.

Active Directory Domain and Trusts

Оснастка Active Directory Domain and Trusts позволяет осуществлять управление структурой леса домена и, в первую очередь, ориентирована на администратора уровня предприятия. Эта оснастка позволяет просмотреть лес доменов и выбрать некоторый домен для администрирования, а также управлять доверительными отношениями между доменами и лесами.

15.Логическая структура Active Directory (леса, деревья, домены, подразделения).

Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Майкрософт рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования AD и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

Другим способом деления AD являются «сайты», которые являются способом физической (а не логической) группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами.

Ключевым решением при проектировании AD является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

В программе Microsoft Integration Services была анонсирована поддержка отношений доверия между раздельными лесами.

16.Физическая структура Active Directory (подсети, сайты)

Физическая структура и репликация

Физически информация AD хранится на одном или нескольких равнозначных контроллерах доменов, заменивших использовавшиеся в Windows NT основной и резервные контроллеры домена (хотя для выполнения некоторых операций сохраняется и так называемый сервер «операций с одним главным сервером», который может эмулировать главный контроллер домена). Каждый контроллер домена хранит копию данных AD, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при репликации. Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен AD, называются рядовыми серверами.

Репликация AD выполняется по запросу. Служба KCC создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партнёров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) — различная «оценка» (или «стоимость») может быть назначена каждому каналу (например DS3, T1, ISDN и т. д.), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитивно передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD автоматически назначает более низкую оценку для связей «сайт-сайт», чем для транзитивных соединений. Репликация сайт-сайт выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC по IP, междоменная — может использовать также протокол SMTP.

Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две — уникальны в рамках всего леса.

Базу AD можно разделить на три логические хранилища или «раздела». «Схема» является шаблоном для AD и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). «Конфигурация» является структурой леса и деревьев AD. «Домен» хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично — на сервера глобального каталога.

База данных AD (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения Microsoft Jet Blue, которая позволяет для каждого контроллера домена иметь базу размером до 16 терабайт и 1 миллиард объектов (теоретическое ограничение, практические тесты выполнялись только с приблизительно 100 миллионами объектов). Файл базы называется NTDS.DIT и имеет две основные таблицы — таблицу данных и таблицу связей. В Windows Server 2003 добавлена ещё одна таблица для обеспечения уникальности экземпляров дескрипторов безопасности.

17.Служба регистрации событий UNIX-систем Syslog (источники и виды событий, виды реакций на события).

Syslog — это полноценная система регистрации событий, написанная Эриком Оллманом (Eric Allman). Многие поставщики пользуются ею для управления информацией, которую генерируют ядро и системные утилиты.

Система Syslog выполняет две важнейшие функции: она освобождает программистов от утомительной механической работы по ведению журнальных файлов и передает управление регистрацией в руки администратора. До появления Syslog каждая программа могла сама выбирать политику регистрации, а у системных администраторов не было возможности контролировать, какая информация и где именно сохраняется.

Данная система отличается высокой гибкостью. Она позволяет сортировать сообщения по источникам и степени важности ("уровню серьезности” в терминологии системы Syslog) и направлять их в различные пункты назначения: в журнальные файлы, на терминалы пользователей и даже на другие машины. Одной из самых ценных особенностей этой системы является ее способность централизовать процедуру регистрации событий в сети.

Журналирующая система устроена достаточно просто. Программы шлют записи предназначенные для журналирования к системному демону syslogd. Syslogd сравнивает каждую пришедшую запись с правилами, которые находятся в файле /etc/syslog.conf. Когда обнаруживается соответствие, syslogd обрабатывает запись описанным в syslog.conf способом.

Файл /etc/syslog.conf состоит из двух столбцов. В первом указывается правило отбора записей для журнала (селектор). Во втором содержится описание действий, которые будут предприняты для обработки подошедшей записи. Источник журналируемых записей описывается указанием категории (facility) и уровня (level). Категория это или источник записей, или программа, которая шлет сообщения демону syslogd.

Файл /etc/syslog.conf содержит информацию, используемую системным демоном регистрации событий («лог-демоном») syslogd при обработке сообщений с целью определения того, как следует поступать с тем или иным поступившим сообщением.

Имеются следующие стандартные имена источников:

user - Сообщения от пользовательских процессов. Используется также по умолчанию при поступлении сообщений от источников, не указанных в настоящем файле.

kern - Сообщения ядра системы.

mail - Сообщения почтовой системы.

daemon - Системный демоны, например демон FTP in.ftpd

auth - Система авторизации (программы login, su, getty и др.).

lpr - Система печати (программы lpr, lpc и др.).

news - Зарезервировано для системы телеконференций USENET.

uucp - Зарезервировано для UUCP; в настоящий момент эта система не пользуется услугами syslogd.

cron - Диспетчеры расписаний cron/at (программы crontab, at, cron и др.).

local0-7 - Зарезервировано для локального использования.

mark - Отметки времени, генерируемые самим демоном syslogd.

* Все источники, кроме mark.

Имеются следующие значения уровней (указаны в порядке убывания серьезности ситуации):

emerg - Паника в системе, обычно широковещательно рассылается всем пользователям.

alert - Ситуации, требующие немедленного исполнения (например, испорченные системные данные).

crit - Предупреждения о критических условиях (например, ошибка аппаратного устройства).

err - Прочие ошибки.

warning - Предупреждения.

notice - Ситуации, не являющиеся ошибками, но могущие потребовать специальной обработки.

info - Информационные сообщения.

debug - Отладочный уровень.

none - Не обрабатывать сообщения от указанного источника. Например, селектор

*.debug;mail.none - определяет обработку всех сообщений (т.е. сообщений всех уровней от всех источников), кроме сообщений от системы электронной почты.

Указание уровня в селекторе подразумевает «данный уровень и все более серьезные уровни».

Действия:

Поле действие указывает, куда следует направить сообщение. Формат этого поля может быть одним из 4 типов:

1. Имя файла, начинающееся со слэша (/), которое указывает, что все сообщения определяемые селектором, должны быть записаны в этот файл. Файл будет открыт в режиме дополнения в конец файла.

2. Имя удаленного компьютера, предваренное символом @ (например, @athena), которое указывает, что все сообщения определяемые селектором, должны быть переправлены демону syslogd на этот компьютер. Имя "loghost" определяет компьютер, который будет регистрировать сообщения; каждый компьютер по умолчанию является лог-хостом для себя. Также возможно определить в качестве «loghost» какой-либо другой компьютер в сети путем указания этого факта в файле /etc/hosts. Если локальная машина является лог-хостом, сообщения, принимаемые демоном syslogd, будут записываться в соответствующие файлы; иначе они будут пересылаться компьютеру по имени loghost.

3. Разделенный запятыми список имен пользователей, которым с помощью команды write будут отправляться определяемые селектором сообщения в случае, если пользователь находятся на данный момент в системе.

4. Звездочка * указывает, что сообщения, определяемые селектором, будут отправляться помощью команды write всем пользователям, находящимся на данный момент в системе.

18.Групповые политики: назначение, создание и редактирование.

С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут.