Размещено на http://www.allbest.ru/

Министерство образования и науки Украины

Харьковский национальный университет радиоэлектроники

Факультет Телекоммуникаций и измерительной техники

Кафедра Телекоммуникационных систем

КУРСОВАЯ РАБОТА

ПО ДИСЦИПЛИНЕ: «ИНФОРМАЦИОННЫЕ СИСТЕМЫ»

ПЛАНИРОВАНИЕ И РАЗВЕРТЫВАНИЕ СЛУЖБЫ КАТАЛОГОВ ACTIVE DIRECTORY НА ПРЕДПРИЯТИИ

Выполнил: Александров Е.Н.

Ст. гр. УИБ-11-1

Проверил: доц.каф.ТКС

Добрынин И.С.

Харьков

2014

РЕФЕРАТ

Объект исследования - механизмы обеспечения безопасности информации в организации OS Microsoft Windows Server 2008 R2.

Цель работы - проектирование, построение, конфигурирование структуры каталогов организации с использованием OS Microsoft Windows Server 2008R2.

Результаты можно использовать в дальнейшем администрировании локальных сетей и компьютеров под управлением операционной системы Microsoft Windows Server 2008R2.

ОГЛАВЛЕНИЕ

• ВВЕДЕНИЕ
• 1. АНАЛИЗ ИСХОДНЫХ ДАННЫХ
• 2. ОРГАНИЗАЦИЯ ACTIVE DIRECTORY В КОМПАНИ
• 2.1 ВЫБОР КОНЦЕПЦИИ ЛЕСА
• 2.2 ПЛАНИРОВАНИЕ ДОМЕННОЙ СТРУКТУРЫ
• 2.3 ПОРЯДОК НАЗНАЧЕНИЯ ДОМЕННЫХ ИМЕН
• 2.4 СТРАТЕГИЯ УПРАВЛЕНИЯ УЧЕТНЫМИ ЗАПИСЯМИ
• 2.5 КОНФИГУРАЦИЯ САЙТОВ
• 3. ГРУППЫ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
• 4. РЕАЛИЗАЦИЯ МОДЕЛИ ДОСТУПА К ИНФОРМАЦИОННЫМ РЕСУРСАМ КОМПАНИИ
• ВЫВОДЫ
• СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

Прежде чем внедрять серверную инфраструктуру в предприятия и избежать большинства неприятных моментов по окончанию развертывания, ее следует тщательно спланировать. Ввиду того, что службы Active Directory разворачиваются как центральный репозиторий для хранения данных, а также информации для реализации политики и конфигурации вместе со сценариями входа пользователей, компьютеров и сетевых служб с поддержкой промышленного стандарта LDAP, применяемого для написания запросов и изменения информации в каталоге, логическая и физическая структура организации должна быть спроектирована так, чтобы управление даже в самых больших и сложнейших сетях, предоставляло единую точку, в которой можно развернуть параметры настройки во множестве систем.

Active Directory - это реализация службы каталогов Microsoft для Windows, которая позволяет администраторам реализовать наборы правил, в соответствии с которыми обеспечивается единообразие настройки пользовательской среды, развёртывание программного обеспечения на огромном количестве компьютеров, устанавливать обновления на всех компьютерах сети и т.д. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

1. АНАЛИЗ ИСХОДНЫХ ДАННЫХ

Производственно - коммерческая компания «Рога&Копыта» осуществляет свою деятельность на территории Украины. Организационно-штатная структура компании представлена на рисунке 1.1.

Рисунок 1.1. Организационно-штатная структура компании.

каталог active directory информационный

Центральный офис компании располагается в г.Киев. Основной задачей центрального подразделения компании является:

1. Обеспечение и организация производственной деятельности компании;

2. Ведение финансово-коммерческой деятельности;

3. Координация и организация работы региональных центров;

4. Организация всех видов деятельности направленных на выполнение требований международных стандартов ISO 9000, ISO 18000, ISO 27000.

Численность центрального подразделения составляет 100 человек.

Региональные центры, расположенные в г.Львов, г.Харьков, г.Чернигов, г.Одесса. Данные центры структурно и территориально совмещены с соответствующими областными подразделениями.

Структурные (областные) подразделения компании (их 26) размещаются во всех областных центрах Украины. Все структурные подразделения имеют схожую структуру, которая представлена на рисунке 1.2. Численность структурных подразделений - от 300 до 500 человек.

Рисунок 1.2. Организационно-штатная структура областного подразделения

Основной задачей, которая решается региональными подразделениями, является производственно-коммерческая деятельность.

Каждое подразделение выступает в качестве юридического лица и подчинено региональному (центральному) офису компании. Подразделения используют в качестве координационной технологии службу каталогов. Сеть построена на основе технологий семейства операционных систем Microsoft Windows Server 2008R2.

Топология соединения подразделений - древовидная, объединяющая центральный офис с региональными центрами: западный (Львов), восточный (Харьков), центральный (Чернигов), южный (Одесса), а региональные центры - с областными подразделениями.

Доступ к ресурсам сети реализуется на основе протокола Kerberos.

В качестве серверной операционной системы выбрана Windows Server 2008R2; в качестве клиентской - Windows XP и Windows 7; в качестве службы каталогов - Active Directory.

В соответствии со стратегией развития компании, в каждом из региональных центров проходит подготовка новых кадров - стажеров.

2. ОРГАНИЗАЦИЯ ACTIVE DIRECTORY В КОМПАНИИ

При проектировании логической и физической инфраструктуры предприятия необходимо правильно спланировать количество, структуру и дизайн лесов, из которых будет состоять предприятие, где после планирования будут развертываться доменные службы Active Directory.

Служба каталогов Active Directory позволяет:

обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы;

распространять каталог среди других компьютеров в сети;

проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;

разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.

2.1 Выбор концепции леса

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, - сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании. Использование единственного леса для большой корпорации требует высокой степени доверия между разнообразными и, возможно, разъединенными деловыми подразделениями. В конечном счете количество развертываемых лесов зависит от того, что является наиболее важным для компании: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управления частями структуры каталога.

Лес Active Directory предназначен для того, чтобы быть отдельным самодостаточным модулем. Внутри леса должна быть реализована возможность совместно использовать информацию и сотрудничать с другими пользователями из того же самого подразделения. Проектируя самый высокий уровень инфраструктуры Active Directory, необходимо решить, нужно ли развертывать один лес или несколько. Каждый лес является интегрированным модулем

Есть несколько случаев, описанных далее, в которых может потребоваться реализация нескольких лесов, однако в принципе следует по возможности избегать использования модели из нескольких лесов по причинам, указанным ниже.

Случаи реализации нескольких лесов:

Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, можно столкнуться с тем, что появятся два полностью раздельных леса, которые нужно связать друг с другом для совместного использования ресурсов.

Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса.

Создание изолированного подразделения. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им.

Недостатки структуры из нескольких лесов. Прежде чем приступить к планированию структуры нескольких лесов, необходимо принять к сведению, что большая часть функциональности, доступной в пределах одного леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует значительно больше усилий в администрировании, чем поддержка одного леса.

Модель одного леса. Данная модель является простейшей моделью леса и считается низкоуровневой, так как все объекты каталога принадлежат одному лесу и все сетевые ресурсы контролирует одна централизованная ИТ-группа. Такой проект требует минимальных административных расходов и считается самым рентабельным среди всех моделей. Модель одного леса является удачным выбором для малых и средних организаций, где действует лишь одна ИТ-группа и все ее филиалы управляются этой группой из центрального офиса. (Рисунок 2.1.1)

Рисунок 2.1.1 Модель одного леса

Преимущества

Возможность сотрудничества. Обмен электронными сообщениями; общий доступ к Интернет-сети; общие документы; общий механизм аутентификации, авторизации и поиска.

Аутентификация Kerberos. Обеспечивает обоюдную аутентификацию и делегирование полномочий.

Автоматические транзитивные доверительные отношения. Между всеми доменами в лесе созданы транзитивные доверительные отношения в иерархическом порядке.

Один глобальный каталог объектов. Информация всех объектов леса сохраняется в каталоге, в котором можно выполнять поиск.

Недостатки

Невозможность обеспечить независимость от владельцев служб. Невозможность обеспечить автономность службы одного леса, если нет согласия в настройке конфигурации службы.

Невозможно обеспечить изоляцию от владельцев служб. Администратор организации может аннулировать параметры безопасности, установленные владельцами отдельных доменов.

Проблемы репликации из-за больших объемов каталога. Проблема информации уровня леса, подлежащего репликации, в частности данные конфигурации и схема; проблема репликации информации глобального каталога на все серверы глобальных каталогов леса; при избытке информации репликация становится недопустимо медленной.

Исходя из всех достоинств и недостатков, перечисленных выше, в данной организации будет разработана модель одного леса.

2.2 ПЛАНИРОВАНИЕ ДОМЕННОЙ СТРУКТУРЫ

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов. Определяется необходимое количество доменов и их иерархия.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена, хранящейся в папке Sysvol на всех контроллерах домена. В то время как другие разделы каталога реплицируются по всему лесу, раздел каталога домена реплицируется только в пределах одного домена.

Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене, если только им не будут явно даны соответствующие разрешения.

Граница политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена. Эти политики, такие как политика паролей, политика блокировки учетных записей и политика билетов Kerberos, применяются ко всем учетным записям домена.

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

Применение нескольких доменов:

- Возможность реализации разных политик безопасности.

- Децентрализованное управление.

- Оптимизация трафика.

- Разные пространства имен.

- Необходимо сохранять существующую архитектуру доменов Windows NT.

- Размещение хозяина схемы в отдельный домен.

Применение одного домена:

- Упрощение управления пользователями и группами.

- Нет необходимости планировать доверительные отношения.

- Для делегирования прав применяются OU.

- Применение нескольких доменов

- Возможность реализации разных политик безопасности.

- Децентрализованное управление.

- Оптимизация трафика.

- Разные пространства имен.

- Необходимо сохранить существующую архитектуру доменов Windows NT.

- Размещение хозяина схемы в отдельный домен.

Применение одного домена.

Простейшая модель Active Directory - единственный домен. Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели.

В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс- доменные аутентификацию и разрешения. Кроме того, при использовании одного домена гораздо проще обеспечить централизованное управление сетью.

Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.

Существует 3 модели построения леса:

- "Единый лес, каждый регион - отдельное дерево".

- "Единый лес, административный корневой домен, каждый регион - домен".

- "Единый лес, каждый регион - дочерний домен центрального домена".

Единый лес, каждый регион - отдельное дерево. Существует отдельное дерево с корневым доменом, хранящим группы Enterprise Admins и Schema Admins, что позволит гибко контролировать членство в этих группах и исключить присутствие в них по умолчанию всех администраторов центрального офиса.

Разные деревья могут иметь различные пространства имен DNS. Корневые домены деревьев связаны транзитивными доверительными отношениями.

Плюсы модели:

пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;

возможность регистрации мобильных пользователей в любой точке организации;

единый обмен в организации;

повышенная защищенность - аутентификация по протоколу Kerberos, группы Enterprise Admins, Schema Admins находятся в отдельном корневом домене, Schema master находится в отдельном домене;

самый короткий путь доверия.

Минусы модели:

видимость списка доменов всей организации;

для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;

тиражирование конфигурации и схемы AD для всех регионов;

если в организации уже развернута структура Active Directory, то контроллеры домена в этой организации необходимо переустановить.

Единый лес, административный корневой домен, каждый регион - домен. Существуют общее дерево Active Directory для регионов и общая система именования, основанная на географическом принципе. Каждое региональное подразделение представлено доменом. Региональные домены добавляются как дочерние к корневому домену. Административные группы Enterprise Admins, Schema Admins, дающие их членам административные полномочия в лесу, вынесены в отдельный корневой домен.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Также существует единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;

возможность регистрации мобильных пользователей в любой точке организации;

единый обмен в организации;

повышенная защищенность - аутентификация по протоколу Kerberos.

Минусы модели:

видимость списка доменов всей организации;

для наличия права создания новых деревьев/доменов администратор должен присутствовать в группе Enterprise Admins;

тиражирование конфигурации и схемы AD для всех регионов;

путь доверия длиннее.

Единый лес, каждый регион - дочерний домен центрального домена. В корневом домене наряду с группами Enterprise Admins и Schema Admins существуют остальные пользовательские учетные записи центрального офиса. Любой пользователь, попадающий в группу Admins, становится Enterprise Admins. Региональные домены становятся дочерними для корневого домена.

Существует единое пространство доменных имен, дочерние домены наследуют DNS имя родительского домена. Имеется единая поисковая служба, позволяющая находить объекты в любом домене службы Active Directory.

Плюсы модели:

пользователи могут просматривать ресурсы центрального офиса и регионов при соответствующих правах доступа к объектам Active Directory;

возможность регистрации мобильных пользователей в любой точке организации;

единый обмен в организации; повышенная защищенность - аутентификация по протоколу Kerberos;

сокращение количества компьютеров - контроллеров домена из-за отсутствия корневого "пустого" домена.

Минусы модели:

видимость списка доменов всей организации;

для наличия права создания новых деревьев/доменов, администратор должен присутствовать в группе Enterprise Admins;

тиражирование конфигурации и схемы AD для всех регионов;

необходимы дополнительные усилия по контролю членства в группах Enterprise Admins, Schema Admins (не допускать в них группу Admins);

структурное подчинение регионов;

путь доверия длиннее.

В данной организации выбираем модель «Единый лес, каждый регион - дочерний домен центрального домена».

Дополнительные задачи при проектировании домена:

- планирование DNS;

- планирование WINS;

- планирование инфраструктуры сети и маршрутизации;

- планирование подключения к Интернету;

- планирование стратегии удаленного доступа.

Рисунок 2.2.1 Модель региональных доменов компании «Рога&Копыта»

2.3 Порядок назначения доменных имен

После того как для модели леса выбираются домены Active Directory, необходимо спроектировать инфраструктуру DNS, так как каждое доменное имя является частью именного пространства DNS.

Каждый объект в AD представляет собой экземпляр класса, определенного в схеме. У каждого класса есть атрибуты, гарантирующие уникальность идентификации каждого объекта в хранилище данных каталога, совместимость имен объектов каталога со стандартами LDAP.

Доменное имя -- символьное имя, служащее для идентификации областей -- единиц административной автономии в сети Интернет -- в составе вышестоящей по иерархии такой области.

Active Directory поддерживает несколько типов имен:

- составные имена;

- относительные составные имена;

- основные имена пользователей;

- канонические имена.

Доменное имя состоит из символьных полей, разделенных точками. Крайнее правое поле обозначает домен верхнего уровня, далее, справа налево, следуют поддомены в порядке иерархической вложенности, крайнее левое поле обозначает имя хоста.

2.4 Стратегия управления учетными записями

Основополагающим компонентом доменных служб в каждой организации являются принципалы безопасности, которые предоставляют пользователей, группы или компьютеры, которым требуется доступ к определенным ресурсам в сети. Именно таким объектам, как принципалам безопасности можно предоставлять разрешения доступа к ресурсам в сети, причем каждому принципалу во время создания объекта присваивается уникальный идентификатор безопасности SID (числовое представление, которое уникально идентифицирует принципал безопасности).

В Active Directory можно создать пять типов учетных записей:

- пользователь;

- компьютер;

- группа;

- InetOrgPerson;

- контакт.

Одним из основополагающих компонента идентификации являются учетные записи пользователей. По сути, учетные записи пользователей представляют собой физические объекты, в основном людей, которые являются сотрудниками вашей организации, но бывают исключения, когда учетные записи пользователей создаются для некоторых приложений в качестве служб. Учетные записи пользователей играют важнейшую роль в администрировании предприятии. К таким ролям можно отнести:

- Удостоверение личности пользователей;

- Разрешения доступа к ресурсам домена.

Объекты учетных записей пользователей можно отнести к самым распространенным объектам в Active Directory. Именно пользовательским учетным записям администраторы обязаны уделять особое внимание. Такие объекты представляют собой набор атрибутов, причем только одна пользовательская учетная запись может содержать свыше 250 различных атрибутов. Во время создания учетной записи пользователя создается ограниченный набор атрибутов, а уже потом вы можете добавлять такие пользовательские учетные данные как организационные сведения, адреса проживания пользователей, телефонные номера и многое другое. Поэтому важно обратить внимание на то, что одни атрибуты являются обязательными, а остальные -- опциональными.

Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей:

- Каждый пользователь должен иметь уникальное имя в домене.

- Длина имени не должна превышать 20.

- Имена не чувствительны к регистру букв.

- Имена не должны содержать следующих символов: ", /, \, [, ], :, ;, =, ,, +, *, ?, <, >.

- Должна поддерживаться гибкая система именования.

- Необходимо учитывать совместимость именования для других приложений (например, для электронной почты).

Для создания основных принципалов безопасности предпочитается использовать оснастку «Active Directory -- пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении.

Также в операционной системе Windows есть утилиты командной строки с аналогичными функциями графического пользовательского интерфейса оснастки «Active Directory -- пользователи и компьютеры». Такие команды называются командами DS.

Имена участников безопасности должны удовлетворять следующим правилам. (Таблица 2.4.1.)

Таблица 2.4.1. Характеристики для учетных записей

Тип имени учетной записи	Максимальный размер	Особые ограничения
Учетная запись пользователя	На компьютерах под управлением Windows Server 2003 и Windows 2000 в качестве учетной записи пользователя можно использовать основное имя пользователя (UPN). На компьютерах с Windows NT версии 4.0 и более ранними версиями максимальный размер составляет 20 символов или 20 байтов в зависимости от набора символов, отдельные символы могут требовать более одного байта.	Учетная запись пользователя не может целиком состоять из точек (.) или пробелов, а также оканчиваться точкой. Все стоящие в начале точки и пробелы обрезаются. На компьютерах с Windows NT 4.0 и более ранними версиями не поддерживается использование символа @ в формате входа в систему, который представляет собой имя_домена\имя_пользователя. В системе Windows 2000 имена для входа являются уникальными в пределах домена, а в системе Windows Server 2003 -- в пределах леса.
Учетная запись компьютера	NetBIOS = 15 символов или 15 байтов в зависимости от набора символов, отдельные символы могут требовать более одного байта. DNS = 63 символа или 63 байта в зависимости от набора символов, и 255 символов для полного доменного имени (FQDN), отдельные символы могут требовать более одного байта.	Учетная запись компьютера не может целиком состоять из цифр, точек (.) или пробелов. Все стоящие в начале точки и пробелы обрезаются.
Учетная запись группы	63 символа, или 63 байта, в зависимости от набора символов, отдельные символы могут требовать более одного байта.	Учетная запись группы не может целиком состоять из цифр, точек (.) или пробелов. Все стоящие в начале точки и пробелы обрезаются.

2.5 КОНФИГУРАЦИЯ САЙТОВ

Служба каталогов Active Directory поддерживает концепцию сайтов (sites), которая используется для объединения серверов в контейнеры, отражающие физическую топологию сети. Кроме того, сайты позволяют настраивать репликацию данных между контроллерами доменов. Существует возможность связать несколько подсетей TCP/IP с сайтами, благодаря чему новые серверы будут автоматически присоединяться к нужному сайту в зависимости от их IP-адреса, так чтобы клиенты могли найти ближайший к ним контроллер домена.

При создании первого контроллера домена AD создает сайт, принятый по умолчанию(Default-First-Site-Name). Этому сайту назначается контроллер домена и все последующие контроллеры также размещаются в новом сайте, хотя позднее контроллер домена можно переместить в другой сайт. В случае необходимости принятый по умолчанию сайт можно переименовать.

Сайт -- сегмент сети, отделённый от других сегментов дорогими и/или медленными соединениями. При этом в каждом узле находится свой контроллер домена (один или более), обеспечивающий работоспособность узла. Каждому узлу назначается свой набор сетевых диапазонов, исходя из которых определяется, к какому контроллеру домена следует обращаться клиентской машине за обслуживанием.

Основные особенности сайтов:

Локальное обслуживание клиентов;

Возможность автономной работы при временном отсутствии связи с остальными контроллерами домена;

Настраиваемый график репликации, позволяющий уменьшить частоту репликации в нерабочее время (и выходные), уменьшая, таким образом, расходы на относительно дорогой внешний трафик;

Возможность автоматической настройки схем репликации с резервированием и автовычислением оптимального направления репликации (например, в ситуации, когда «падает» основной канал, репликация через резервный канал произойдёт не через такой же интервал, как через основной, а через больший промежуток времени, определяемый ценой маршрута);

Администрирование домена возможно с любого контроллера домена в любом узле. При этом задержка в передаче изменений в «соседние» узлы зависит от времени репликации.

Сайты являются логическими сущностями в Active Directory, которые используются для моделирования физического распределения организации.

Домены в пределах одного сайта выполняют репликацию каждые 15 минут, то есть каждые 15 минут изменения, внесенные на одном контроллере домена, будут скопированы на другие контроллеры домена.

При использовании сайтов каждый компьютер знает, к какому контроллеру домена обращаться для обработки регистрационных данных пользователя. Способ определения сайта, то есть контроллера домена, к которому необходимо обращаться, основан на использовании подсетей.

Этапы настройки сайтов:

- создание сайта;

- сопоставление подсети сайту;

- подключение сайта с использованием связей сайта;

- выбор лицензирующего компьютера для сайта.

Осуществим настройку атрибутов связей сайтов для данного предприятия.



Рисунок 2.4.1 Связи сайтов

Так как сайты определяют границы репликации, существует возможность определить время репликации различных отделений компании, выполняемой через глобальную сеть. Без использования сайтов, репликация контроллеров доменов будет выполняться постоянно и значительно увеличит нагрузку на внешние каналы компании.

3. ГРУППЫ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

К одному из ключевых моментов концепции доменных служб Active Directory можно отнести обеспечение авторизации принципалов безопасности для получения доступа к имеющимся сетевым ресурсам. Несмотря на то, что весь доступ к сетевым ресурсам основан на учетных записях отдельных пользователей, компьютеров или служб, со временем они могут меняться. В средних и крупных компаниях управление существующими пользователями требует большой административной нагрузки. Стоит учесть, что пользователи, выполняющие в компании конкретную роль, могут меняться, но сама роль должна оставаться без каких-либо изменений. Если назначать доступ к сетевым ресурсами индивидуально для каждого отдельного пользователя, то списки контроля доступа ACL вскоре станут неуправляемыми и при изменении отдела пользователем вам нужно будет учесть все возможные разрешения доступа. Так как этот процесс может легко выйти из-под контроля, задачи, связанные с управлением должны быть привязаны к объектам групп. Чаще всего группы используются для идентификации ролей пользователей и компьютеров, фильтрации групповой политики, назначения уникальных политик паролей, прав, разрешений доступа, приложений электронной почты и многое другое. Сами по себе, группы представляют собой принципалы безопасности с уникальными SID, которые могут содержать в атрибуте member такие принципалы безопасности, как пользователи, компьютеры, группы и контакты.

Перед тем как создавать группы следует знать, какие существуют разновидности групп. Так как структура доменных служб предназначена для поддержки сложных и крупных распределительных сред, Active Directory включает в себя два типа групп домена с тремя областями действия в каждой из них, а также локальную группу безопасности.

Типы групп. В доменных службах Active Directory Windows Server 2008R2 можно отметить два типа групп: безопасности и распространения. При создании новой группы в диалоговом окне «Новый объект -- группа» оснастки «Active Directory -- пользователи и компьютеры» можно выбрать одну из этих двух групп. Группы безопасности относятся к принципалам безопасности с SID-идентификаторами. В связи с этим данный тип группы считается самым распространенным и группы такого типа можно использовать для управления безопасностью и назначения разрешений доступа к сетевым ресурсам в списках ACL. В общем, группу безопасности стоит использовать в том случае, если они будут использоваться для управления безопасностью.

В свою очередь, группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности и не содержит SID-идентификатор. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft Exchange Server в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.

Ввиду того, что именно группы безопасности можно использовать как с целью назначения доступа к ресурсам, так и с целью распространения электронной почты, многие организации используют только этот тип группы. В домене с функциональным уровнем не ниже Windows 2000 можно преобразовывать группы безопасности в группы распространения и наоборот.

Область действия групп

Область действия группы определяет диапазон, в котором применяется группа внутри домена. Помимо того, что группы могут содержать пользователей и компьютеры, они могут быть членами других групп, ссылаться на списки ACL, фильтры объектов и групповых политик и пр. Граница диапазона области действия группы может определяться заданием режима работы домена. К основным характеристикам области действия групп можно отнести членство (определение принципалов безопасности, которые может содержать группа), репликация (определение области репликации группы), а также доступность (определение местонахождения группы, возможности включения этой группы в членство другой, добавление группы в список ACL). Существует четыре области действия групп: локальная, локальная в домене, глобальная и универсальная.

Локальная группа в домене. Группы с областью локальные группы в домене предназначены для управления разрешениями доступа к ресурсам и функционируют в том случае, если домен работает на функциональном уровне не ниже Windows 2000. В локальную группу в домене могут входить пользователи, компьютеры, глобальные и локальные группы в текущем домене, любом другом домене леса, а также универсальные группы в любом домене леса. Другими словами, репликация и доступность такой группы позволяет ее использовать в пределах всего домена.

Универсальная группа. Универсальные группы целесообразно задействовать только в лесах, состоящих из множества доменов для их объединения. Эти группы позволяют управлять ресурсами, распределенными на нескольких доменах, поэтому универсальные группы считаются самыми гибкими. Универсальные группы определяются в одном домене, но реплицируются в глобальный каталог.

Локальная группа. Локальная группа считается самой примитивной, так как она доступна только на одном компьютере. Такая группа создается в базе данных диспетчера безопасности учетных записей рядового компьютера и поэтому в домене управление локальными группами не нужно. В списках ACL можно использовать такие группы только на локальном компьютере. В другие системы такие группы не реплицируются, но эта группа содержит пользователей, компьютеры, глобальные и локальные группы в домене в своем домене, пользователей, компьютеры и глобальные и универсальные группы в любом домене леса.

Глобальная группа. Основной целью глобальных групп безопасности является определение коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования. Чаще всего, членами таких групп выступают пользователи и компьютеры. Группы безопасности удобно использовать для фильтрации области действия групповых политик, так как область действия таких групп не реплицируется за пределы своего домена, при этом не вызывая дополнительного трафика к глобальному каталогу. Глобальная группа может содержать пользователей, компьютеры и другие глобальные группы только из одного домена.

4. РЕАЛИЗАЦИЯ МОДЕЛИ ДОСТУПА К ИНФОРМАЦИОННЫМ РЕСУРСАМ КОМПАНИИ

В соответствии с выбранной моделью леса и детализацией доменной структуры реализуем данную модель доступа к информационным ресурсам компании на виртуальной машине.

Создаем новый домен в новом лесу пользуясь мастером установки доменных служб Active Directory. (Рисунок 4.1)

Рисунок 4.1 Создание домена в новом лесу

Рисунок 4.2 Создание пользователей

Далее создаем подразделения в соответствии с региональными центрами.

На примере главного офиса в Киеве создаем в нем подразделения в соответствии и организационно-штатной структурой. (Рисунок 4.3)

В подразделениях создаем пользователей, задаем сложные пароли для них. (Рисунок 4.2)

Рисунок 4.3. Организационно-штатная структура.

Делегирование. Делегирование администрирования служит для выделения диапазона административных задач для определенных пользователей и групп. Можно выделить основные административные задачи для обычных пользователей и групп и передать администрирование всего домена или леса членам групп «Администраторы домена» и «Администраторы предприятия». При делегировании администрирования группы получают расширенные возможности управления ресурсами локальной сети внутри организации. Чтобы защитить сеть от случайного или преднамеренного ущерба, следует ограничить число членов в группах администраторов.

Используя мастер делегирования управления, выбираем пользователей, которым хотим делегировать управление и выбираем делегируемые задачи.

Рисунок 4.4 Делегирование управления.

Создаем 3 глобальные группы безопасности: Администрация, Начальники отделов, Пользователи. (Рисунок 4.5)



Рисунок 4.5. Создание групп безопасности.

Многие свойства объектов можно конфигурировать, эти свойства определяются после создания объекта.

Также можно настраивать политику паролей с помощью редактора управления групповыми политиками. (Рисунок 4.6)

Рисунок 4.6. Настройка политики паролей.

По такому же принципу создаем подразделения и настраиваем политику безопасности для региональных областей Харьков, Чернигов, Львов и Одесса.

ВЫВОДЫ

В курсовой работе была поставлена задача на OS Windows Server 2008R2 внедрить в него структуру организации компании «Рога&Копыта». В качестве модели построения лесов была взята модель «Единый лес, каждый регион - дочерний домен центрального домена». Данная модель позволяет пользователям использовать общий Интернет-ресурс, документы, механизмы аутентификации, авторизации и поиска. Аутентификация происходит по протоколу Kerberos.

Между всеми доменами в лесе созданы транзитивные доверительные отношения в иерархическом порядке. На лес выделяется один глобальный каталог объектов.

Группа Служба информационной безопасности включает в себя все группы, в которых есть информация с ограниченным доступ. Таким образом начальник этой группы может ограничивать доступ пользователей к конфиденциальной информации. Группы безопасности помогают разделить всех сотрудников организации на группы и назначить им разные права.

В зависимости от того, где расположены региональные центры мы можем назначать различную стоимость связей сайтов, увеличивая или уменьшая качество обслуживания.

Также необходимо создать резервную копию всех данных организации.

Подводя итоги, можно сказать, что Active Directory позволяет создавать гибкую, удобную систему, которая подойдет для разных организаций.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Рэнд Моримото, Кентон Гардиньер, Microsoft Exchange Server 2003. Полное руководство -- М.: «Вильямс», 2006. -- С. 1024.

2. Дэн Холме, Нельсон Рест, Даниэль Рест, Настройка Active Directory Windows Server 2008 -- С. 879.

3. [Электронный ресурс]: http://www.microsoft.com

4. [Электронный ресурс]: http://www.intuit.ru

5. [Электронный ресурс]: http://technet.microsoft.com

6. [Электронный ресурс]: http://ru.wikipedia.org

7. [Электронный ресурс]: http://oszone.net

Размещено на Allbest.ru

...