Методические указания к выполнению лабораторных работ (1086236), страница 5
Текст из файла (страница 5)
Примечание. Для выполнения этой работы необходим компьютер, к которому можно подключаться удаленно, и у вас должны быть на нем административные привилегии.
Упражнение. Удаленное подключение из консоли ММС
В этом упражнении вы настроите существующую консоль ММС для подключения к удаленному компьютеру.
-
Откройте консоль ММС, которую вы сохранили, выполняя упражнение занятия 1 (консоль My Events).
-
В меню Консоль (Consolel) щелкните Добавить или удалить оснастку (Add/Remove Snap-In).
-
В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкните Добавить (Add), чтобы раскрыть окно Добавить изолированную оснастку (Add Standalone Snap-In).
-
Выберите оснастку Управление компьютером (Computer Management), затем щелкните Добавить (Add).
-
В окне Управление компьютером (Computer Management) выберите другим компьютером (Another Computer).
-
Введите имя или IP-адрес компьютера либо щелкните Обзор (Browse), найдите нужный компьютер, затем щелкните Готово (Finish), чтобы подключиться к нему.
-
Щелкните Закрыть (Close) в окне Добавить изолированную оснастку (Add Standalone Snap-In), а затем OK, чтобы загрузить оснастку Управление компьютером (Computer Management) в консоль My Events.
Теперь вы можете использовать средства администрирования для управления удаленным компьютером.
Закрепление материала
-
Какие реквизиты необходимы для администрирования удаленного компьютера из консоли ММС?
-
Можно ли изменить контекст существующей оснастки ММС с локального на удаленный, или для удаленного подключения необходимо загружать в консоль ММС еще одну оснастку того же типа?
Служба директорий Active Directory
Для централизованного управления большими сетями, охватывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2000_использует службу каталогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.
Active Directory создает иерархическое представление объектов Она расширяема, масштабируема и обладает распределенной системой безопасности. Active Directory применяет в качестве службы поиска доменную систему имен сети Интернет. DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введение нового домена возможно с помощью оснасток Active Directory Domains and Trust (рис. 6). 
Рис.6. Оснастка Active Directory Domains and Trust
Active Directory выделяет две структуры сети: логическую и физическую.
Логическую структуру определяет способ организации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т. е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты логически группируются в классы. Классами могут быть домены, организационные подразделения, пользователи, группы, контакты, принтеры, разделяемые папки и компьютеры (рис. 7). Некоторые объекты (контейнеры), такие, как домены или организационные подразделения, могут содержать в себе другие объекты.
Рис.7. Создание объекта
Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема может обновляться динамически, т. е. приложение имеет право добавить в схему новые атрибуты и классы объектов.
Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов (рис. 8).
Рис. 8. Создание нового OU внутри домена elab.cyber.mephi.ru
Домен - основная структурная единица Active Directory. Все сетевые объекты существуют внутри доменов, и каждый домен хранит информацию только о тех объектах, которые содержатся в нем. Утверждается, что домен может содержать до 10 млн. объектов, однако достоверно известно только о цифре в 1 миллион.
С другой стороны, доменом называется раздел Active Directory и совокупность доменов в пределах леса образует службу Active Directory.
Доступ к объектам домена определяется списком контроля доступа - ACL (Access Control List). Все политики безопасности, списки ACL объектов и административные разрешения действуют только внутри домена, не пересекаясь с остальными.
В домен могут входить компьютеры следующих типов:
Контроллеры доменов (рис. 9) под управлением Windows 2003 Server - хранят и поддерживают копию каталога, проводят авторизацию пользователей, обеспечивают работу Active Directory (Все контроллеры в домене равны между собой и реплицируют изменения, произошедшие на одном из них.
Рис. 9. Свойства контроллера домена
Рядовые серверы под управлением Windows 2003 Server, - для предоставления доступа к своим ресурсам.
Компьютеры-клиенты под управлением Windows XP Professional - для доступа к ресурсам домена.
Создание новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory Users and Groups (рис.10).
Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется деревом. Дерево может содержать только один домен. Все домены одного дерева обеспечивают доступ к глобальному каталогу и создают общее пространство имен. По стандартам DNS имя дочернего домена присоединяется в конец родительского имени, например elab.cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.
Рис.10. Оснастка Active Directory Users and Groups
Если деревья используют разные схемы именования, то они объединяются в лес. Деревья в лесу обеспечивают правила совместной работы объектов, имеют одинаковый глобальный каталог и конфигурационный контейнер.
Доверительные отношения. Домены в дереве связывают между собой симметричные и транзитивные доверительные отношения по протоколу Kerberos. Транзитивность Kerberos означает, что если домен А доверяет домену В и домен В доверяет С, то это означает, что домен А доверяет домену С. Таким образом, все 3 домена доверяют друг другу. При вступлении нового домена в дерево доверительные отношения устанавливаются автоматически между ним и корнем родительского домена. На рис. 11 показано установление доверительных отношений в окне Trust оснастки Active Directory Domains and Trust.
Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей К ним относятся:
-
имена RFC 822 в виде имя_пользователя@имя_домена;
-
имена LDAP в виде //имя_сервера.имя_OU_имя_домена;
-
имена UNC для доступа к папкам, принтерам и файлам \\servemame.cyber.mephi.ru\new_folder\new.doc.
Рис. 11. Установление доверительных отношений
Физическая структура Active Directory определяет тиражирование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP-подсетей, соединенных высокоскоростными линиями связи. Выделяя диапазон IP-подсетей в сайт, например всю высокоскоростную ЛВС, мы тем самым локализуем трафик. Происходит это по двум направлениям:
-
при регистрации пользователя клиенты Active Directory пытаются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрации и дальнейших запросов сетевой информации;
-
репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходили гораздо реже, чем внутри сайта.
Обратите внимание: сайты не являются частью пространств, имен Active Directory, они содержатся в отдельной части каталога и управляются оснасткой Active Directory Sites and Services . Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты компьютеров и соединений.
Учетные записи пользователей
Любому пользователю, для того чтобы он получил возможность работы с сетевыми ресурсами Windows 2003, присваивается учетная запись - бюджет пользователя. В Windows 2003 различается 3 типа учетных записей:
• локальные (local user account) - позволяют зарегистрироваться на конкретном компьютере и получить доступ к его ресурсам;
• доменные (domain user account) - позволяют подключиться к домену и получить доступ к ресурсам сети;
• встроенные (built-in user account) - позволяют администрировать (Administrator) или получить доступ к сетевым или локальным ресурсам (Guest).
При создании локальной учетной записи Windows 2003 создает ее только в локальной базе данных безопасности и не тиражирует её на какой-либо другой компьютер. Доступ для этого бюджета возможен только к ресурсам данного компьютера. Локальные учетные записи создаются на Windows XP Professional, выполняющих функции рабочих станций в доменах, и изолированных серверах.
Доменные учетные записи позволяют подключиться из любого места в сети. Доменные учетные записи создаются на контроллерах домена, когда активирована Active Directory. В процессе регистрации пользователь вводит свое сетевое имя и пароль. Контролер домена в Active Directory опознает пользователя и выделяет ему маркер безопасности, который содержит информацию о пользователе и параметры защиты. Этот маркер действителен до тех пор, пока пользователь не завершит данную сессию.
При инсталляции Windows 2003 создает встроенные учетные записи, которые нельзя удалить: Administrator и Guest.
Учетная запись Administrator предназначена для управления общей конфигурацией компьютера или домена, например для создания и управления учетными записями пользователей и групп, управления политикой безопасности, создания принтеров и т. д. Для обеспечения большей безопасности учетную запись Administrator стоит переименовать, что затруднит взлом системы. А затем создайте новую учетную запись с именем Administrator, которая вообще не будет иметь прав в системе.
Учетная запись Guest предназначена для случайных пользователей и временного доступа к ресурсам. По умолчанию учетная запись Guest отключена. При ее включении необходимо назначить ей соответствующий пароль.
При планировании новых учетных записей следует определить правила именования и требования для паролей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
