К дипломному проекту icon

К дипломному проекту



страницы: 1   2   3   4   5   6   7   8   9   ...   13
вернуться в начало
скачать
^

Глава 5. Планирование и анализ Active Directory.


(доработать: список ресурсов каждого отделения)

Для работы с каталогами и управлением учетными записями пользовательских компьютеров, было решено использовать Active Directory. Active Directory — LDAP-совместимая реализация интеллектуальной службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.

Почему решили использовать именно Active Directory? Все пользовательские компьютеры работают под управлением операционной системы Windows XP. Active Directory позволяет создавать и управлять группами пользователей – это значительно упрощает жизнь администраторам сети. В небольших сетях , 5-10 компьютеров, можно использовать рабочие группы. В сетях состоящих из 10-40 компьютеров желательно использовать домены - это заметно упростит процесс управления сетью. В таких сетях может стоять выбор: использовать в качестве контроллера домена сервер с Linux с установленной Samba, или использовать серверные решения корпорации Microsoft. Иногда, в больших сетях, более 100-150 компьютеров обычно системные администраторы уже не занимаются проблемами пользователей – они занимаются поддержкой серверов. Для работы с пользователями есть «эникейщики», а для работы с серверами администраторы. При этом у всех пользователей отсутствуют права каким-либо образом менять конфигурацию своего компьютера.

. В принципе размер сети именно такой, что ставит перед разработчиком вопрос использования того или иного способа управления сетью (в частности доступом). Необходимо было выбрать из:

  • Использования Windows 2003/2008 в качестве контроллера домена;

  • Использование Samba на unix-подобной системе.

Samba — программа, которая позволяет обращаться к сетевым дискам на различных операционных системах. Имеет клиентскую и серверную части. Является свободным программным обеспечением, выпущена под лицензией GPL.

Начиная с третьей версии, Samba предоставляет службы файлов и печати для различных клиентов Microsoft Windows и может интегрироваться с операционной системой Windows Server, либо как основной контроллер домена, либо как член домена. Она также может быть частью домена Active Directory.

Главными отличиями от серверных версий Windows являются:

  • отсутствие поддержки для групповых политик (косвенная поддержка для версии 3.х в принципе возможна, версия Samba 4 будет включать поддержку групповых политик);

  • отсутствие настроек профилей пользователей и компьютеров.

Другими словами, использование Samba не даст нам того функционала, для управления групповыми политиками, который предоставят нам решения от Microsoft.

При выборе между Microsoft Windows 2008 и Microsoft Windows 2003 выяснилось, что функционал для работы с Active Directory перешел в 2008 версию, не претерпев практически никаких изменений. Поэтому пришлось выбирать по ряду других критериев. Так как на контроллере домена планировалось часть дискового пространства предоставить пользователям для работы, да и вообще, планировалось использовать его для хранения резервных копий различной информации, то новое решение компании Microsoft, Самовосстанавливающаяся NTFS, не могла не заинтересовать разработчика системы. Если в предыдущих версиях Windows операционная система обнаруживала ошибки в файловой системе тома NTFS, она отмечала том как «грязный»; исправление ошибок на томе не могло быть выполнено немедленно. С самовосстанавливающейся NTFS вместо блокировки всего тома блокируются только поврежденные файлы и папки, остающиеся недоступными на время исправления. Благодаря этому больше нет необходимости перезагрузки сервера для исправления ошибок файловой системы.

В каждом отделении располагается домен сервер отделения, который обеспечивает работу компьютеров своего отделения. Это касается всех отделений за исключением отделения «склад»

Почему используется 1 домен на все отделение, а не отдельный домен на каждый отдел? Ведь можно создать 4 Vlan'а, подключить их при помощи trunk до cisco 800. Тогда это уменьшит требования к техническим характеристикам контроллера домена, так как уменьшит на него нагрузку. Кроме того это увеличит безопасность внутри сети: на сетевом уровне будет разделение на несколько независимых и практически не сообщающихся сегментов.

Это сделано из-за наличия ресурсов разделяемых между отделами. Во-первых, общим ресурсом являются принтеры - отделы, находящиеся на одном этаже имеют доступ к одному общему принтеру. Во-вторых, доступ к ресурсам каждого из остальных отделов должны иметь работники управляющего отдела, для осуществления контроля над процессом работы. Проще всего это реализовать в пределах одного домена. Пользователи делятся на несколько групп с разными правами доступа к ресурсам.

В «основном отделении» существует несколько групп пользователей:

  • Администраторы (1 пользователь администратор домена);

  • Реклама;

  • Институт;

  • Управление.

Как можно было заметить, названия групп в домене соответствует, за исключением администраторов, названиям отделов. Пользователи групп "Реклама" и "Институт" имеют доступ к общим файлам своих отделов с правами на выполнение любых предусмотренных операций. Пользователи группы "Управление" имеют доступ к файлам отделов "Реклама" и "Институт" с правами на чтение. Существует так же раздел и для группы "Управление", с правами на чтение членам групп "Институт" и "Реклама".

В отделении «типография» группы пользователей такие:

  • Администраторы (1 пользователь администратор домена);

  • Типография;

Отделение «типография» включает в себя только 1 отдел «типография» и все пользователи отдела имеют равные права доступа к ресурсам. Как следствие, нет необходимости в создании дополнительных групп пользователей.

В отделении «институт» группы пользователей такие:

  • Администраторы (1 пользователь администратор домена);

  • Институт-1;

Отделение «институт» включает в себя только 1 отдел «институт» и все пользователи отдела имеют равные права доступа к ресурсам. Как следствие, нет необходимости в создании дополнительных групп пользователей. Следует отметить, что для не возникновения путаницы группа пользователей для отделения «институт» отличается по названию от группы пользователей для отдела «институт» из «основного отделения».

Пользователи группы Администраторы во всех трех отделениях имеют право на установку любых приложений, изменение любых настроек. Пользователи других групп имеют право только на доступ к некоторым разделяемым ресурсам.

Для управления доступом отдельных пользователей или групп пользователей к различным ресурсам используется доменная структура сети. На контроллере домена используется операционная система Microsoft Windows 2008. Это позволяет в полной мере использовать преимущества Active Directory в отношении групповых политик и дает дополнительные выигрыши в отказоустойчивости файловой системы. Правильно настроенные групповые политики могут уменьшить вероятность возникновения уязвимости. Это сделает систему более устойчивой к атакам.




оставить комментарий
страница5/13
Дата22.09.2011
Размер1,07 Mb.
ТипДиплом, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3   4   5   6   7   8   9   ...   13
Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Документы

наверх