5 Служба каталогов Active Directory
Служба каталогов Active Directory является основой логической структуры корпоративных сетей, базирующихся на системе Windows. Термин «Каталог» в самом широком смысле означает «Справочник», а служба каталогов корпоративной сети – это централизованный корпоративный справочник. Корпоративный каталог может содержать информацию об объектах различных типов. Служба каталогов Active Directory содержит в первую очередь объекты, на которых базируется система безопасности сетей Windows, – учетные записи пользователей, групп и компьютеров. Учетные записи организованы в логические структуры: домен, дерево, лес, организационные подразделения.
Каталог (справочник) может хранить различную информацию, относящуюся к пользователям, группам, компьютерам, сетевым принтерам, общим файловым ресурсам и так далее – объекты. Каталог хранит также информацию о самом объекте, или его свойства, называемые атрибутами. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит, и многое другое. Для того чтобы сделать хранилище каталога полезным для пользователей, должны существовать службы, которые будут взаимодействовать с каталогом. Например, можно использовать каталог как хранилище информации, по которой можно аутентифицировать пользователя, или как место, куда можно послать запрос для того, чтобы найти информацию об объекте.
Active Directory отвечает не только за создание и организацию этих небольших объектов, но также и за большие объекты, такие как домены, OU (организационные подразделения) и сайты.
Служба каталогов Active Directory (сокращенно – AD) обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
единая регистрация в сети;
пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);
безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети;
централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами;
администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;
интеграция с DNS. Функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных Active Directory;
расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;
масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;
репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать БД Active Directory на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;
гибкость запросов к каталогу. БД Active Directory может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);
стандартные интерфейсы программирования. Для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).
Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные подразделения (ОП).
Домен – основная единица системы безопасности Active Directory. Домен формирует область административной ответственности. База данных домена содержит учетные записи пользователей, групп и компьютеров. Большая часть функций по управлению службой каталогов работает на уровне домена (аутентификация пользователей, управление доступом к ресурсам, управление службами, управление репликацией, политики безопасности).
Дерево является набором доменов, которые связаны отношениями дочерний/родительский, а также используют связанные (смежные, или прилегающие) пространства имен. При этом дочерний домен получает имя от родительского.
Лес – наиболее крупная структура в Active Directory. Лес объединяет деревья, которые поддерживают единую схему (схема Active Directory – набор определений типов, или классов, объектов в БД Active Directory). В лесу между всеми доменами установлены двухсторонние транзитивные доверительные отношения, что позволяет пользователям любого домена получать доступ к ресурсам всех остальных доменов, если они имеют соответствующие разрешения на доступ.
Организационные подразделения (Organizational Units, OU) – контейнеры внутри AD, которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. ОП существуют только внутри доменов и могут объединять только объекты из своего домена. ОП могут быть вложенными друг в друга, что позволяет строить внутри домена сложную древовидную иерархию из контейнеров и осуществлять более гибкий административный контроль. Кроме того, ОП могут создаваться для отражения административной иерархии и организационной структуры компании. Например, организационными единицами в нашей организации являются: бухгалтерия, кадры, маркетинг, продажи и др.
Физическая структура Active Directory служит для связи между логической структурой AD и топологией корпоративной сети.
Основные элементы физической структуры Active Directory: контроллеры домена и сайты.
Сайт – группа IP-сетей, соединенных быстрыми и надежными коммуникациями. Назначение сайтов – управление процессом репликации между контроллерами доменов и процессом аутентификации пользователей.
Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).
В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).
Типы групп:
группы безопасности – каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам;
группы распространения – группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение – организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).
Область действия групп:
1) локальная группа в домене. Группы с областью локальные группы в домене предназначены для управления разрешениями доступа к ресурсам. Репликация и доступность такой группы позволяет ее использовать в пределах всего домена. В связи с этим, локальные группы в домене обычно используют для предоставления правил доступа во всем домене, а также для членов доверительных доменов;
2) глобальная группа. Основной целью глобальных групп безопасности является определение коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования. Чаще всего, членами таких групп выступают пользователи и компьютеры. Группы безопасности удобно использовать для фильтрации области действия групповых политик, так как область действия таких групп не реплицируется за пределы своего домена, при этом не вызывая дополнительного трафика к глобальному каталогу. Глобальная группа может содержать пользователей, компьютеры и другие глобальные группы только из одного домена. Несмотря на это, глобальные группы могут быть членами любых универсальных и локальных групп как в своем домене, так и доверяющем домене. Помимо этого, глобальные группы можно добавлять в списки ACL в домене, лесу и в доверяющем домене, что делает управление группами более простым и рациональным;
3) универсальная группа. Универсальные группы целесообразно задействовать только в лесах, состоящих из множества доменов для их объединения. Эти группы позволяют управлять ресурсами, распределенными на нескольких доменах, поэтому универсальные группы считаются самыми гибкими. Универсальные группы определяются в одном домене, но реплицируются в глобальный каталог. Универсальная группа может быть членом другой универсальной или локальной группы домена в лесу, а также может использоваться для управления ресурсами;
4) локальная группа. Локальная группа считается самой примитивной, так как она доступна только на одном компьютере. Такая группа создается в базе данных диспетчера безопасности учетных записей рядового компьютера и поэтому в домене управление локальными группами не нужно. В списках ACL можно использовать такие группы только на локальном компьютере. В другие системы такие группы не реплицируются, но эта группа содержит пользователей, компьютеры, глобальные и локальные группы в домене в своем домене, пользователей, компьютеры и глобальные и универсальные группы в любом домене леса.
При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа (Access Token), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности – идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.
6 Выбор и количественный состав организационных единиц
Компания имеет маректинговое и sales представительство в городе Остин, штат Техас США, где идет работа с потенциальными заказчиками, продвижение и маркетинг.
Главные офисы, находящиеся в городе Омске имеют разное число отделов для нужд компании.
В состав первого офиса, находящегося в г. Омске входят следующие отделы:
– отдел разработки программного обеспечения(ПО)
– отдел проектирования архитектуры ПО
– отдел продвижения и маркетинга
В состав второго офиса также находящегося в г. Омске входят отделы:
– отдел тестирования ПО
– отдел UX/UI дизайна
– отдел HR
Отделы, находящиеся в филиале г. Москва:
– отдел разработки программного обеспечения(ПО)
– отдел тестирования ПО
Отделы, находящиеся в филиале г. Санкт-Петербург:
– отдел разработки программного обеспечения(ПО)
– отдел тестирования ПО
– отдел UX/UI дизайна
– отдел HR
Отделы, находящиеся в филиале г. Остин штат Техас, США:
– отдел коммуникаций с заказчиком и управления проектами
– отдел продвижения и маркетинга.
В оснастке Active Directory – пользователи и компьютеры создадим структуру, показанную на рисунке 3.
Рисунок 3 – Структура предприятия
Рисунок 4 – Создание нового пользователя
Далее в данные подразделения необходимо добавить учетные записи, для примера мы создадим пять учетных записей в разных подразделениях, процесс создания учетной записи приведен на рисунке 4.
Далее эти пользователи будут разделены по разным группам безопасности, что необходимо для контроля доступа к ресурсам.
Группы безопасности для нашей организации приведены в таблице 2.
Таблица 2 – Группы безопасности
Группа безопасности
|
Права
|
Администраторы
|
Полный неограниченный доступ
|
Руководство
|
Изменяет любые данные на файл-сервере
|
Сотрудники
|
Чтение данных на файл-сервере
|
Операторы печати
|
Управление, создание, удаление принтеров
|
Пользователи
|
Не разрешено вносить изменение параметров системы, и они могут запускать большинство приложений
|
Группы Руководство и Сотрудники будут использоваться далее при настройке файл-сервера.
|
