Организация корпоративных сетей. Домены Active Directory. Обзор

Компьютерные сети
Организация корпоративных сетей.

Домены Active Directory.
Обзор.
Олизарович Евгений Владимирович

ИПКиПК ГрГУ им. Я.Купалы. 2012-2013
ИПКиПК
Компьютерные сети ГрГУ им. Я.Купалы
2012/2013
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ИПКиПК
2012/2013
LAN
ИПКиПК
2012/2013
Подключение локальных сетей к Интернет
 Согласование адресных пространств.

 Обеспечение безопасности.
 Оптимизация потоков и контроль доступа.
<<<<<<<<>>>>>>>>>
 Межсетевой экран (firewall, брандмауэр)
 NAT
 proxy
ИПКиПК
2012/2013
маршрутизатор
Корпоративная
сеть
Интернет
NAT
сеть
Другие сети
межсетевой экран
(Firewall, брандмауэр)
сеть
Другие сети
фильтры
ИПКиПК
2012/2013
Шлюз proxy
сеть
Интернет
Настройка хоста для работы

в Интернет:
IP – адрес (маска),
IP - адрес шлюза,
IP – адрес сервера DNS,
IP – адрес прокси-сервера.

ИПКиПК
2012/2013
NAT, Антивирус,
proxy, Антиспам,
Firewall
socks …..
Другие сети сеть
ИПКиПК
2012/2013
DSL маршрутизатор/мост
Wi-Fi
RJ45 тел
FW
DNS NA
T
ИПКиПК
2012/2013
•ИНТЕРНЕТ (INTERNET) – открытая сеть
•ИНТРАНЕТ (INTRANET) – закрытая корпоративная сеть
•ЭКСТРАНЕТ (EXTRANET) – корпоративная сеть с

удаленными пользователями и сетями партнеров
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Прикладные сервисы
ИПКиПК
2012/2013
Адрес web-страницы (URL):
Доменное имя сайта –

mysite.by
d:\mysite\index.html
или
d:\WWWRoot\index.html
ИПКиПК
2012/2013
Способы редактирования содержимого (контента) web-сайта
HTTP
FTP
Сеть Microsoft
Web –
сервер –
USB Flash IP- адрес
Web-сайт -
SQL URI
ИПКиПК
2012/2013
Электронная почта
ИПКиПК
2012/2013
Службы организации корпоративных сетей.

Домен Active Directory.
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ДОСТУП К РЕСУРСАМ
СЕРВЕРА
ИПКиПК
2012/2013
Сетевые клиенты
ИПКиПК
2012/2013
Обращение к хосту
NetBIOS – имя PC1

DNS – имя pc1.grsu.by
IP-адрес 10.31.17.203
Обращение к файлу
UNC \\Server\disk_d\folder\file.txt \\PC1\disk_d\folder\file.txt
\\pc1.grsu.by\disk_d\folder\file.txt
\\10.31.17.203\disk_d\folder\file.txt
URI smb://10.31.17.203/disk_d/folder/file.txt
ftp://10.31.17.203/disk_d/folder/file.txt
http://10.31.17.203/disk_d/folder/file.txt
UNCW \\serverNW\disk_d:folder\file.txt
ИПКиПК
2012/2013
Доступ к файлам и данным.

Права доступа.
Сетевое
приложение
1. Приложения.
2. Сетевая подсистема.
3. Файловая система.
ААА
Аутентификация
Авторизация
Аудит
ИПКиПК
2012/2013
MS (NW)
Сочетание прав.
R Чтение · LR — пользователь может просматривать
каталоги и имена файлов в каталогах.
W Запись · RX — пользователь может читать файлы
X Выполнение из каталога и запускать программы.
· WX — пользователь может добавлять
D (E) Удаление файлы в каталог, но не читать или
просматривать содержимое каталога.
Изменение · RWX — пользователь имеет права на
P (A)
разрешений чтение и добавление данных.
Принятие статуса · RWXD — пользователь имеет право
O читать, добавлять, менять содержимое
владельца каталога и удалять файлы.
A (S) Все права · RWXDPO — пользователь обладает
всеми правами доступа.
L (F) Просмотр каталога
No Access Нет доступа
ИПКиПК
2012/2013
Учетные записи
ИПКиПК
2012/2013
Учетные записи
ИПКиПК
2012/2013
Списки ACL PC1: ACL PC2: ACL PC3: ACL PC4:

прав D:\ USER_1 R D:\ USER_1 R D:\ USER_1 R D:\ USER_1 R
доступа C:\ USER_2 RW C:\ USER_2 RW C:\ USER_2 RW C:\ USER_2 RW
PC1 PC2 PC3 PC4
Локальные SAM PC1: SAM PC2: SAM PC3: SAM PC4:

учетные USER_1 USER_1 USER_1 USER_1
записи USER_2 USER_2 USER_2 USER_2
… … … …
USER_N USER_N USER_N USER_N
ИПКиПК
2012/2013
Списки ACL PC1: ACL PC2: ACL PC3:

прав D:\ SERVER/USER_1 R D:\ SERVER/USER_1 R D:\ SERVER/USER_1 R
доступа C:\ SERVER/USER_2 RW C:\ SERVER/USER_2 RW C:\ SERVER/USER_2 RW
Server PC1 PC2 PC3
Локальные SAM SERVER: SAM PC1: SAM PC1: SAM PC1:

учетные USER_1 Administrator Administrator Administrator
записи USER_2
…
USER_N
ИПКиПК
2012/2013
Установка прав сетевого доступа Установка прав доступа к файлам

ИПКиПК
2012/2013
Наследование прав Результирующие права

ИПКиПК
2012/2013
УПРАВЛЕНИЕ
РЕСУРСАМИ
КОРПОРАТИВНОЙ СЕТИ
ИПКиПК
2012/2013
Списки ACL PC1: ACL PC2: ACL PC3:

прав D:\ SERVER/USER_1 R D:\ SERVER/USER_1 R D:\ SERVER/USER_1 R
доступа C:\ SERVER/USER_2 RW C:\ SERVER/USER_2 RW C:\ SERVER/USER_2 RW
Server PC1 PC2 PC3
Локальные SAM SERVER: SAM PC1: SAM PC1: SAM PC1:

учетные USER_1 Administrator Administrator Administrator
записи USER_2
…
USER_N
ИПКиПК
2012/2013
Большая компьютерная сеть нуждается в

централизованном хранении как можно более
полной справочной (технической) информации:
о пользователях сети (именах для входа в систему,

паролях, правах доступа к ресурсам и т.д.);
о компонентах сети (серверах, клиентских компьютерах,

маршрутизаторах, шлюзах и т.д.);
о ресурсах сети (томах файловых систем, принтерах и др.)


ИПКиПК
2012/2013
Инфраструктура сети
Каталог Active Directory

ИПКиПК
2012/2013
В сетевых операционных системах для хранения упорядоченной

справочной информации используется централизованная база
справочной информации –
служба каталогов (Directory Services).
Стандарты служб каталогов:

OSI X.500, DAP (Directory Access Protocol), LDAP
Служба каталогов обычно строится на основе модели

клиент-сервер:
 серверы хранят базу справочной информации.
 клиенты используют эту информацию.
ИПКиПК
2012/2013
Наибольшее распространение получили

каталоги:
 служба Active Directory для Windows;

 служба NDS компании Novell.
ИПКиПК
2012/2013
Домен Windows - группа

компьютеров, пользователей и
ресурсов, образующих общую область
администрирования и управляемых как
одно целое
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Active Directory (AD)

Active Directory содержит информацию о таких
объектах, как сетевые учетные записи, группы,
серверы и принтеры, а также другую
информацию о домене.
Active Directory поддерживается в Windows
Server 2003, Windows Server 2008, Windows
Server 2012.
AD - база данных LDAP

ИПКиПК
2012/2013
ИПКиПК
2012/2013
функции контроллеров доменов:
•Каждый контроллер домена хранит полную копию всей информации

Active Directory, относящейся к его домену.
•Все контроллеры в домене автоматически реплицируют между собой

все объекты в домене.
***
Все контроллеры равноправны, и каждый из них содержит копию базы
данных каталога, в которую разрешается вносить изменения.
***
Наличие в домене нескольких контроллеров обеспечивает
отказоустойчивость.
ИПКиПК
2012/2013
Рисунок 2. Дерево доменов AD.
Рисунок 1. Типичная структура домена AD.
Active Directory Рисунок 3. Лес доменов AD.

ИПКиПК
2012/2013
База данных Active Directory содержит следующие структурные объекты:

 Домены. Домен служит в качестве административной границы, он определяет и границу
политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена
(оптимально иметь два или более). Домены Active Directory организованы в иерархическом
порядке. Первый домен на предприятии становится корневым доменом леса, обычно он
называется корневым доменом или доменом леса.
 Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после
создания корневого домена, могут использовать существующее пространство имен Active
Directory совместно или иметь отдельное пространство имен. Чтобы выделить отдельное
пространство имен для нового домена, нужно создать новое дерево домена.
 Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех
контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах
одного или несколько лесов Active Directory.
 Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым,
недорогим и надежным сетевым подключением. Независимость логических компонентов от
сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они
обеспечивают соединение между логическими компонентами Active Directory и физической
сетевой инфраструктурой.
 Организационные единицы. Организационные единицы предназначены для того, чтобы
облегчить управление службой Active Directory. Они служат для создания иерархической
структуры в пределах домена и используются, чтобы сделать более эффективным
управление единственным доменом (вместо управления несколькими доменами Active
Directory).
ИПКиПК
2012/2013
 Доменный компонент (DC - Domain

Component). Используется для определения
компонента DNS-имени объекта Active
Directory.
 Организационная единица (OU).
Организационная единица.
 Общее имя (CN - Common Name). Объект,
отличный от DC или OU; например, CN можно
использовать для определения компьютерной
или пользовательской учетной записи.
ИПКиПК
2012/2013
Имена объектов каталогов:

DN (Distinguished Name, уникальное имя):
=
DC (компонент домена)
+
OU (организационный модуль)
+
CN (общее имя)
Примеры:
DC=grsu OU=main CN=users CN=Sidorov
LDAP://cn=Sidorov, cn=users, ou=main, dc=grsu
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Протоколы аутентификации в AD
NT LAN Manager (NTLM)

Kerberos v.5
ИПКиПК
2012/2013
%systemroot%\NTDS\NTDS.DIT
ИПКиПК
2012/2013
•Локальные политики (secpol.msc)
•Групповые политики (gpedit.msc)

ИПКиПК
2012/2013
Управление на основе групповых политик (GPO)

ИПКиПК
2012/2013
 Default Domain Policy (Заданная по умолчанию политика домена)

 Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров
домена)
Виды групповых политик и порядок их применения

 1. Local group policy (Локальная групповая политика).
 2. Site-level group policies (Групповые политики уровня сайта).

Групповые политики, связанные с объектом сайта в Active Directory.
 3. Domain-level group policies (Групповые политики уровня домена).
Групповые политики, связанные с объектом домена в Active Directory.
 4. OU-level group policies (Групповые политики уровня OU). Если домен
содержит несколько уровней OU, вначале применяются групповые политики
более высоких уровней OU, а затем — OU низшего уровня.
GPResult.msc
ИПКиПК
2012/2013
gpedit.msc
ИПКиПК
2012/2013
Инструменты управления групповой политикой
 GPEdit.msc
 GPUpdate.msc
 GPResult.msc
ИПКиПК
2012/2013
Сетевое управление программным обеспечением

рабочих станций
•Групповые политики
•Microsoft Systems Management Server (SMS)
•Software Update Service (SUS)
•LANDesk Intel и др.
wake-on-LAN
ИПКиПК
2012/2013
Программирование Active Ditectory

VB/VBScript, JScript, C/C++
 интерфейсы службы Active Directory (ADSI);

 интерфейсы MAPI;
 интерфейс программирования LDAP API.
класс DirectoryEntry
ИПКиПК
2012/2013
Инструменты управления каталогом

 Adsiedit.msc
 Ldp.exe
 Domain.msc
 Dsa.msc
 Active Directory Web Services (ADWS)
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Инфраструктура
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ЦЕНТР ОБРАБОТКИ ДАННЫХ (ЦОД)
ИПКиПК
2012/2013
Требования к серверной платформе:
 производительность компонентов
 конфигурация системы
 надежность узлов
 отказоустойчивость подсистем
 удаленное управление
ИПКиПК
2012/2013
 Intel: 8088, 8086, i286, i386, i486, Pentium, Pentium II, Pentium
III, Celeron, Pentium 4, Core 2 Duo, Core 2 Quad, Core i3, Core i5,
Core i7,
Xeon (5520, 5530, 5540, X5570 - серия процессоров для
серверов), Itanium,
Atom (серия процессоров для встраиваемой техники).
 AMD: x86, K6, K7 (Athlon, Duron, Sempron) x86-64 (Athlon 64,
Athlon 64 X2, Phenom, Opteron и др.).
 IBM: POWER6, POWER7, Xenon, PowerPC (суперкомпьютерaы,
видеоприставки, встраиваемая техника; Apple.
На рынке микропроцессоров для ПК, ноутбуков и серверов доля

корпорации Intel составляет около 80 %, доля AMD около 20 %.
ИПКиПК
2012/2013
СЕТЕВЫЕ
ДИСКОВЫЕ
МАССИВЫ
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ИПКиПК
2012/2013
blade-сервер
ИПКиПК
2012/2013
Высокопроизводительные вычисления (HPC)
Top500 – 11/2011
 United States - 263 (Academic -22, Industry -169, Research -60, др. - 12)
 China -74 (Academic -3, Industry -64, Research -7)
 Japan -30 (Academic -8, Industry -13, Research -9|top)
 United Kingdom – 27 (Academic -2, Industry -10, Research -9, др. - 6)
 France -23 (Academic -3, Industry -9, Research -7, др. -4)
 Germany -20 (Academic -8, Industry -6, Research -6)
 Canada -9 (Academic -6, Research -3)
 Poland -6 (Academic -4, Industry -1, Research -1)
 Russia -5 (Academic -3, Industry -1, Research -1)
 Australia -4, Austria -2, Belgium - 1, Brazil - 2, Denmark -2, Finland -1, India -2, Ireland -3,
Israel -3, Italy -4, Korea South – 3, Saudi Arabia -3, Singapore -1, South Africa -1, Spain -
3, Sweden -3, Switzerland -3, Taiwan -2.
51 TFlops – 10,5 PFlops
ИПКиПК
2012/2013
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Облачные технологии
н ие
р авле
уп
SaaS (Software as a Service) – программное обеспечение как услуга

IaaS (Infrastructure as a Service) – инфраструктура как услуга
PaaS (Platform as a Service) – платформа как услуга
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Безопасность
•Обеспечение доступности (availability) -

авторизованные пользователи всегда должны иметь
доступ к необходимой информации.
(технические и организационные меры)
•Обеспечение конфиденциальности (confidentiality) -

система должна обеспечивать доступ к данным только
тем пользователям, которым этот доступ разрешен
(такие пользователи называются авторизованными).
(шифрование данных и каналов)
•Обеспечение целостности (integrity) - подразумевает,

что неавторизованные пользователи не могут каким-
либо образом модифицировать данные.
(контрольная сумма, CRC, хэш-функции, ЭЦП)
ИПКиПК
2012/2013
Безопасность
ИПКиПК
2012/2013
Диагностика
Мониторинг
ДИАГНОСТИКА
Анализ
УПРАВЛЕНИЕ Прогнозирование
Для выяснения причин
неудовлетворительной работы
прикладного ПО необходимо
проводить комплексную
диагностику сети.
ИПКиПК
2012/2013
Объекты диагностики
Сетевое
оборудование
Линии и
каналы Серверы,
передачи приложения,
данных пользователи
ИПКиПК
Информационно-коммуникационные системы 2012/2013
ИНФОРМАЦИЯ
(знания, …)
УПОРЯДОЧЕННАЯ
(web 2.0, соц. сети,
(web, сообщение, …)
протоколы «facebook», «wiki» )
Информационно-коммуникационная система
(http, ftp, smtp )
Телекоммуникационная система
(Ethernet, ip, tcp)
ИПКиПК
2012/2013
Разработка сети
ИПКиПК
2012/2013
ОБЗОР
ИПКиПК
2012/2013
Компьютерная система – это

система, объединяющая
компьютеры и периферийное
оборудование (принтеры,
сканеры, маршрутизаторы и
т.д.) в единую инфраструктуру.
ИПКиПК
2012/2013
Компьютерная система
(computer system) – это
система, в которой
часть функций
реализована с
использованием
средств
вычислительной
(микропроцессорной)
техники.
ИПКиПК
2012/2013
запрос
ответ
ХОСТ –устройство (компьютер), подключенное к сети.

СЕРВЕР – компьютер (хост), предоставляющий свои ресурсы другим
компьютерам.
КЛИЕНТ - компьютер (хост), использующий ресурсы,
предоставляемые другими компьютерами (серверами).
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Виды адресации в компьютерных сетях:

 Аппаратный/физический адрес (МАС) – определяет направление передачи
между устройствами, на канальном уровне. (00:14:A5:6D:38:46 )
(Сетевой адаптер, ОС, RAS)
 Сетевой адрес (IP, IPX) – определяет направление передачи между хостами и
сетями, на сетевом уровне. (192.168.1.2 )
(ОС, DHCP)
 Сокет (комбинация TCP порта и IP-адреса) – определяет уникальный адрес
прикладной программы (клиент или сервер). (192.168.1.2:80 ).
 (ОС, rfc)
 Символьное имя (DNS, URI) – определяет удобное для человека именование
сетевых устройств (pc.domen.com ), сервисов и ресурсов
(http://pc.domen.com/pic.jpg ) на прикладном уровне.
(ОС, DNS)
ИПКиПК
2012/2013
ИПКиПК
2012/2013
Коммутация пакетов
ИПКиПК
2012/2013
Структура пакета
Заголовки
информационных
уровней
ИПКиПК
2012/2013
Мультисервисная сеть
ИПКиПК
2012/2013
ЛВС
ИПКиПК
2012/2013
Кабельная подсистема ЛВС
ИПКиПК
2012/2013
Эксплуатация компьютерных систем
УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
Раздел XII
ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Глава 31
ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Статья 349. Несанкционированный доступ к компьютерной информации.

Статья 350. Модификация компьютерной информации.
Статья 351. Компьютерный саботаж.
Статья 352. Неправомерное завладение компьютерной информацией.
Статья 353. Изготовление либо сбыт специальных средств для получения
неправомерного доступа к компьютерной системе или сети.
Статья 354. Разработка, использование либо распространение вредоносных
программ.
Статья 355. Нарушение правил эксплуатации компьютерной системы или
сети.
Компьютерные сети
Олизарович Евгений Владимирович

ИПКиПК ГрГУ им. Я.Купалы. 2012-2013

Язык

Организация корпоративных сетей. Домены Active Directory. Обзор

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Организация корпоративных сетей. Домены Active Directory. Обзор

Загружено:

Авторское право:

Доступные форматы

Компьютерные сети

Организация корпоративных сетей.

Олизарович Евгений Владимирович

Подключение локальных сетей к Интернет

 Согласование адресных пространств.

Настройка хоста для работы

IP - адрес шлюза,

IP – адрес сервера DNS,

IP – адрес прокси-сервера.

•ИНТЕРНЕТ (INTERNET) – открытая сеть

•ИНТРАНЕТ (INTRANET) – закрытая корпоративная сеть

•ЭКСТРАНЕТ (EXTRANET) – корпоративная сеть с

Адрес web-страницы (URL):

Доменное имя сайта –

Способы редактирования содержимого (контента) web-сайта

Службы организации корпоративных сетей.

NetBIOS – имя PC1

Доступ к файлам и данным.

Списки ACL PC1: ACL PC2: ACL PC3: ACL PC4:

PC1 PC2 PC3 PC4

Локальные SAM PC1: SAM PC2: SAM PC3: SAM PC4:

Списки ACL PC1: ACL PC2: ACL PC3:

Server PC1 PC2 PC3

Локальные SAM SERVER: SAM PC1: SAM PC1: SAM PC1:

Установка прав сетевого доступа Установка прав доступа к файлам

Наследование прав Результирующие права

Списки ACL PC1: ACL PC2: ACL PC3:

Server PC1 PC2 PC3

Локальные SAM SERVER: SAM PC1: SAM PC1: SAM PC1:

Большая компьютерная сеть нуждается в

о пользователях сети (именах для входа в систему,

о компонентах сети (серверах, клиентских компьютерах,

о ресурсах сети (томах файловых систем, принтерах и др.)

Каталог Active Directory

В сетевых операционных системах для хранения упорядоченной

Стандарты служб каталогов:

Служба каталогов обычно строится на основе модели

Наибольшее распространение получили

 служба Active Directory для Windows;

Домен Windows - группа

Active Directory (AD)

AD - база данных LDAP

функции контроллеров доменов:

•Каждый контроллер домена хранит полную копию всей информации

•Все контроллеры в домене автоматически реплицируют между собой

Рисунок 2. Дерево доменов AD.

Рисунок 1. Типичная структура домена AD.

Active Directory Рисунок 3. Лес доменов AD.

База данных Active Directory содержит следующие структурные объекты:

 Доменный компонент (DC - Domain

Имена объектов каталогов:

NT LAN Manager (NTLM)

•Локальные политики (secpol.msc)

•Групповые политики (gpedit.msc)

Управление на основе групповых политик (GPO)

 Default Domain Policy (Заданная по умолчанию политика домена)

Виды групповых политик и порядок их применения

 2. Site-level group policies (Групповые политики уровня сайта).

Инструменты управления групповой политикой

Сетевое управление программным обеспечением

•Microsoft Systems Management Server (SMS)

•Software Update Service (SUS)