Сетевое ПО Лекция 10 (1061298), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Кроме того, разделыприложений каталога создаются для управления процессом репликацииданных, и ни один из объектов раздела приложений каталога не можетреплицироваться в раздел GC.Разделыприложенийкаталогаиспользуютсядляхраненияспецифической информации, связанной с приложениями. Выгода от ихиспользования состоит в том, что имеется возможность управлять репликациейинформации в разделе.2.2 Домены (рис. 16)2.3 Деревья доменов (рис. 17-20)2.4 Леса доменов (рис. 17-20)2.5 Доверительные отношения доменовПо умолчанию домен является границей доступа к ресурсам ворганизации.Имеясоответствующиеразрешения,любойучастникбезопасности (например, учетная запись пользователя или группы) можетобращаться к любому общедоступному ресурсу в том же самом домене. Дляполучения доступа к ресурсам, которые находятся за пределами домена,используются доверительные отношения службы Active Directory(рис.

21).6Сетевое ПО. Лекция 10 (2014 г.)Доверительные отношения представляют собой опознавательную связьмежду двумя доменами, с помощью которой участники безопасности могутполучать полномочия на доступ к ресурсам, расположенным на другом домене.Есть несколько типов доверительных отношений, включающих(рис. 22):• транзитивные доверительные отношения;• односторонние доверительные отношения;• доверительные отношения леса;• доверительные отношения области.2.5.1 Транзитивные доверительные отношения(рис. 23)Вседоменыдереваподдерживаюттранзитивныедвухсторонниедоверительные отношения с другими доменами в этом деревеВ пределах леса доверительные отношения устанавливаются или какродительско-дочерние доверительные отношения, или как доверительныеотношения корня дерева {tree root).Вседоверительныеотношениямеждудоменамилесаявляютсятранзитивными.

Это означает, что все домены в лесу доверяют друг другу.2.5.2 Односторонние доверительные отношения(рис. 24)Вдополнениекдвухстороннимтранзитивнымдоверительнымотношениям, которые устанавливаются при создании нового дочернего домена,между доменами леса могут быть созданы односторонние доверительныеотношения. Это делается для того, чтобы разрешить доступ к ресурсам междудоменами, которые не состоят в прямых доверительных отношениях.Односторонниедоверительныеотношениятакжеиспользуютсядляоптимизации производительности работы между доменами, которые связанытранзитивнымидоверительныедоверительнымиотношенияотношениями.называютсяЭтиодносторонниеукороченнымидоверительнымиотношениями (shortcut trusts).

Укороченные доверительные отношения нужныв том случае, когда требуется частый доступ к ресурсам между доменами,которые удаленно связаны через дерево домена или лес.7Сетевое ПО. Лекция 10 (2014 г.)2.5.3 Доверительные отношения леса (рис. 25)Доверительные отношения леса представляют собой двухсторонниетранзитивные доверительные отношения между двумя отдельными лесами. Спомощьюдоверительныхотношенийлесаучастникубезопасности,принадлежащему одному лесу, можно давать доступ к ресурсам в любомдомене совершенно другого леса. Кроме того, пользователи могут входить налюбой домен обоих лесов, используя одно и то же имя UPN.Доверительные отношения леса могут быть очень полезными.

Еслиорганизации требуется несколько лесов по политическим или техническимпричинам, то использование доверительных отношений леса означает простотуназначения доступа к ресурсам через все домены независимо от того, в какихлесах находятся пользователь или ресурс. Если две компании, у которыхразвернуты леса Windows Server, сливаются, эти два леса можно соединитьлогически, используя доверительные отношения.2.6 Сайты(рис. 26)Все логические компоненты Active Directory практически не зависят отфизической инфраструктуры сети. Например, при проектировании структурыдомена для корпорации вопрос о том, где расположены пользователи, являетсяне самым важным.

Все пользователи в домене могут находиться вединственном офисном строении или в офисах, расположенных по всему миру.Независимость логических компонентов от сетевой инфраструктуры возникаетвследствие использования сайтов в Active Directory.Сайты обеспечивают соединение между логическими компонентамиActive Directory и физической сетевой инфраструктурой. Сайт представляетобласть сети, где все контроллеры домена связаны быстрым, недорогим инадежным сетевым подключением. В большинстве случаев сайт содержит однуили более подсетей с протоколом интернета (IP), связанных локальной сетью(LAN) или быстродействующей глобальной сетью (WAN), подключенных костальной части сети через более медленные WAN-подключения.Основная причина для создания сайтов состоит в том, чтобы иметь8Сетевое ПО. Лекция 10 (2014 г.)возможностьуправлятьлюбымсетевымтрафиком,которыйдолжениспользовать медленные сетевые подключения.

Сайты используются дляуправления сетевым трафиком в пределах сети Windows Server 2003 тремяразличными способами.2.7 Организационные единицы (рис. 27)Путем реализации нескольких доменов в лесу в виде одного илинескольких деревьев служба Active Directory может масштабироваться так,чтобы обеспечить услуги каталога для сети любого размера. Многие изкомпонентов Active Directory, такие как глобальный каталог и автоматическиетранзитивные доверительные отношения, предназначены для того, чтобысделать использование и управление каталогом предприятия эффективным,независимо от того, насколько большим становится каталог.Организационные единицы (OU - Organizational Unit) предназначены длятого, чтобы облегчить управление службой Active Directory. OU используютсядля того, чтобы сделать более эффективным управление единственнымдоменом, вместо того чтобы иметь дело с управлением несколькими доменамислужбы Active Directory.

OU служат для создания иерархической структуры впределах домена. Домен может содержать сотни тысяч объектов. Управлениетаким количеством объектов без использования определенных средстворганизации объектов в логические группы затруднено. Организационныеединицы выполняют именно эти функции.OU являются контейнерами объектов, содержащими несколько типовобъектов службы каталога: компьютеры; контакты; группы; принтеры; пользователи; общедоступные папки;Сетевое ПО. Лекция 10 (2014 г.)9 организационные единицы.Организационные единицы используются для группировки объектов вадминистративных целях. Они могут делегировать административные права иуправлять группой объектов как отдельным подразделением..

Характеристики

Список файлов лекций