Организационно-штатная структура компании "Рога Копыта"

4) Сервера хозяев операций

Мастера операций (роли контроллеров) разделяются на:

1) Роли хозяина операций, которые могут быть назначены едином контроллеру домена в лесу (действующие в границах леса):

- хозяин схемы - первый контроллер домена в лесу, отвечающий за поддержку распространения схемы на остальную часть леса, а также поддерживающий списки всех возможных классов объектов и атрибутов;

- хозяин именования доменов - контролер домена, протоколирующий добавление и удаление доменов в лесу, является жизненно необходимым для поддержания целостности доменов.

2) Роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене (общедоменные роли):

- хозяин RID - контролер домена, отвечающий за выделение диапазона относительных идентификаторов RID всем контроллерам в домене;

- эмулятор основного контроллера домена - контролер домена, оперирующий в качестве основного контролера домена для ОС ниже Windows 2000;

- хозяин инфраструктуры - контролер домена, регистрирующий изменения, вносимые в контролируемые объекты в домене [1].

Основываясь на анализе существующей географической топологии рассматриваемого в данной работе предприятия, а также на базе вышеприведенных теоретических сведений и рекомендаций были предложены нижеследующие аспекты планирования сайтов:

1) С целью оптимизации трафика регистрации рабочих станций в каждом филиале предполагается разместить собственный контроллер домена и выделить его в отдельный сайт.

2) DNS-сервер также будет располагаться в каждом филиале.

3) Поскольку все домены планируемого леса будут работать на функциональном уровне Windows 2008 от размещения сервера глобального каталога в каждом филиале принято решение отказаться, установив по одному на каждый домен.

4) Сервера хозяев операций, действующих в границах леса, предлагается установить в центральном офисе компании, соответствующему центральному домену.

5) Сервера общедоменных хозяев операций предлагается разместить в офисах региональных центров предприятия за исключения эмулятора основного контроллера домена.

Разработанная схема конфигурации сайтов, на примере одного из регионов, с указанием стоимостных связей сайтов приведена в Приложении Ж.



6.Развертывание тестовой среды Active Directory

Процесс установки серверной ОС Windows Server 2008, выполнения послеустановочных настроек, а также установка роли Active Directory Domain Services приведены в Приложении З. Теперь необходимо развернуть лес и первый домен в соответствие со спланированной ранее структурой. Для этого осуществляем последовательный переход Start - Run, а затем вводим команду dcpromo.exe для запуска Мастера установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). В открывшемся окне щелкаем по кнопке Next для перехода на страницу Operating System Compatibility и ознакамливаемся с предупреждением о заданных по умолчанию параметрах безопасности для контроллеров доменов системы Windows Server 2008, а затем жмем кнопку Next.

Но открывшейся странице Choose a Deployment Configuration устанавливаем флажок Create a New Domain in a Forest и щелкаем по кнопке Next. На следующей странице Name the Forest Root Domain в свободном поле указываем имя создаваемого корневого домена леса - RG.Center.Gonchar.com и жмем кнопку Next, после чего система проверит уникальность имен DNS и NetBIOS в сети (Рис.6.1).

Рис.6.1 - Окно Active Directory Domain Services Installation Wizar, введение имени домена и проверка уникальности DNS и NetBIOS в сети

На странице Set Forest Functional Level выбираем функциональный уровень Windows Server 2008, означающий, что все домены в лесу будут работать на уровне Windows Server 2008 и жмем кнопку Next. После этого откроется страница Additional Domain Controller Options, в которой по умолчанию выбран DNS-сервер, чтобы DNS-инфраструктура леса создавалась при установке доменных служб Active Directory (Рис.6.2).

Рис.6.2 - Выбор функционального уровня леса и страница Additional Domain Controller Options

Первый контроллер в лесу должен быть сервером глобального каталога GC (Global Catalog) и не может быть контроллером домена только для чтения RODC (Read-Only Domain Controller), поскольку первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку распространения схемы на остальную часть леса, а размещает разделы только для чтения базы данных, принимает только изменения, сделанный в и никогда сам не инициирует репликацию. Поскольку планируется использовать службу DNS, интегрированную с Active Directory, нажимаем кнопку Next. В противном случае, если инфраструктура DNS уже существует и контроллер домена не планируется использовать в качестве DNS-сервера, необходимо предварительно снять флажок DNS-сервер.

На экран будет выведено предупреждение о назначении статического IP-адреса, которое в данном контексте можно проигнорировать. Щелкаем по кнопке Yes, the Computer Will Use a Dynamically Assigned IP Address (Not Recommended), а затем еще раз нажимаем кнопку Yes в окне предупреждения мастера установки доменных служб, о том что для этого DNS-сервера не будет делегирования, для закрытия окна (Рис.6.3).



Рис.6.3 - Предупреждение о назначении статического IP-адреса

На странице Location for Database, Log Files and SYSVOL принимаем заданное по умолчанию размещение для файла базы данных, файлов журнала службы каталогов и SYSVOL и нажимаем кнопку Next. Однако стоит отметить, что система архивации данных Windows Server 2008 создает резервные службы каталогов по томам, и поэтому для обеспечения эффективности резервного копирования и восстановления рекомендуется хранить эти файлы на отдельных томах, которые не содержат приложений или других файлов, не имеющих отношения к каталогу. На странице Directory Services Restore Mode Administrator Password вводим строгий пароль Password Confirmed Password в поля соответственно и щелкаем кнопку Next (Рис.6.4). Этот пароль необходимо использовать для запуска доменных служб Active Directory в режиме восстановления служб каталогов для задач, выполняемых в автономном режиме.

Рис.6.4 - Выбор размещения для файла базы данных, файлов журнала службы каталогов и SYSVOL и создание пароля восстановления

На странице Summary просматриваем выбранные параметры и в случае необходимости нажимаем кнопку Back, чтобы внести модификации в настройки. Стоит также отметить, что избранные настройки можно сохранить в файле ответов, который может использоваться для автоматизации последующих операций с доменными службами Active Directory. Для этого необходимо нажать кнопку Export settings, а затем ввести имя файла ответов и нажать кнопку Save (Рис.6.5).

Рис.6.5 - Просмотр выбранных параметров настройки и сохранение файла ответов

Если же все параметры корректны, дважды щелкаем по кнопке Next. После этого начнется процесс настройки AD DS, по окончании которого необходимо перезагрузить сервер. Чтобы не делать этого вручную устанавливаем флажок Reboot on Complection (Рис.6.6).

Рис.6.6 - Процесс настройки AD DS

После развертывания домена перейдем к созданию его структурных подразделений. Организационные подразделения (organizational units -- OU) являются административными контейнерами, обычно используемыми для определения департаментов или других отделений и служат для группирования объектов с общими требованиями администрирования, конфигурации или видимости. Для того чтобы создать организационное подразделение заходим на машину CSGonchar под учетной записью администратора и осуществляем последовательный переход Start - Administrative Tools - Server Manager. После этого на экран будет выведено окно с заголовком Server Manager. В левой части открывшегося окно раскрываем последовательно узлы Roles - Active Directory Domain Services и открываем оснастку Active Directory Users And Computers, а затем разворачиваем узел домена RG.Center.Gonchar.com. Щелкнув правой кнопкой мыши по узлу домена, в появившемся меню действий выбираем пункт New и применяем команду Organizational Unit.

После этого откроется новое окно с заголовком New Object - Organizational Unit. Вводим в поле Name имя создаваемого подразделения - Finance и убеждаемся, что флажок Protect Container From Accidental Deletion установлен (устанавливается по умолчанию). Protect Container From Accidental Deletion - новая опция, появившаяся в административных средствах Windows Server 2008. Она предусматривает для подразделения (OU) возможность использовать переключатель безопасности, позволяющий избежать случайного удаления OU. В подразделение добавляются два разрешения: Evеrуоnе::Deny::Delete и Everyone::Deny::Delete Subtree. Поэтому пользователи и даже администраторы не могут случайно удалить подразделение и его содержимое. Нажимаем кнопку ОК для подтверждения создания подразделения. После этого вновь созданное подразделение появится в левой части окна Server Manager в узле домена RG.Center.Gonchar.com. Щелкаем по подразделению правой кнопкой мыши и применяем команду Properties. В открывшемся окне с заголовком Finance Properties в поле Описание Description вводим описание - Economic planning, finance and personnel department, аналогичным образом заполняем поля Street Country/region (Рис.6.7).



Рис.6.7 - Создание организационного подразделения и задание его свойств

Щелкаем ОК. Аналогичным образом создаем другие подразделения, отражающие организационную структуру офиса предприятия. В результате выполнения вышеуказанных действий, в узле домена RG.Center.Gonchar.com будут созданы подразделения- Accounting, Commerce, Labor protection, Energetics, Metrology, Technology, Operation, Construction, Maintenance and Mechanics, Jurisprudence Security, Admin и Group с заполненными полями Description (Рис.6.8). Стоит отметить, что поскольку в домене центрального офиса находится только данный офис структура OU является не смешанной, а моделью разбиения по отделам.

Рис.6.8- Структура OU центрального офиса предприятия

Теперь в каждом из сформированных подразделений создадим по 3-5 пользователей, относящихся к различным группам безопасности. Для начала в соответствие с выбранной стратегией управления учетными записями пользователей создадим шаблон учетной записи в выбранном подразделении. Например, для того чтобы создать шаблон учетной записи пользователя в организационном подразделении заходим на машину CSGonchar под учетной записью администратора и осуществляем последовательный переход Start - Administrative Tools - Active Directory Users and Computers (Рис.6.9).

Рис.6.9 - Вызов окна Active Directory Users and Computers

В открывшемся окне разворачиваем узел домена UIB.com и, щелкнув правой кнопкой мыши по созданному ранее организационному подразделению Accounting, выбираем в появившемся меню действий опцию New, а затем применяем команду Пользователь User (Рис.6.10).

Рис.6.10 - Добавление нового объекта - шаблона учетной записи пользователя

В открывшемся окне с заголовком New Object User в поле First Name вводим имя - _ Accountant с символом подчеркивания, в поле Last Name - Shablon, в поле User Logon Name - _ Accountant _Shablon с символами подчеркивания. При этом стоит отметить, что поля Full Name (полное имя пользователя) и User Logon Name (Рге-Windows 2000) (имя входа пользователя (пред- Windows 2000) будут заполнены автоматически на основании данных вводимых в полях First Name, Last Name и User Logon Name соответственно, однако при необходимости их можно изменить вручную. Щелкаем кнопку Nextи в обновившемся окне в полях Password и Confirm Password вводим сложный пароль (Pa$$w0rd). Политика паролей домена Active Directory по умолчанию требует назначить пароль как минимум из восьми символов, а кроме того, пароль должен содержать три из четырех типов символов: прописные буквы (A-Z), строчные буквы (a-z), цифры (0-9) и особые символы (такие, как, например, !, @, #,$, %). Также пароль не должен содержать атрибуты имени пользователя.Устанавливаем флажок Account Is Disabled (Рис.6.11). Щелкаем кнопку Next, а затем кнопку Finish.

Рис.6.11 - Создание шаблона учетной записи пользователя

Благодаря символу подчеркивания в начале имени учетной записи шаблон следует первым в списке пользователей в подразделении Accounting, при этом значок объекта пользователя содержит стрелку, направленную вниз, обозначающую, что учетная запись отключена. Дважды щелкаем шаблонную учетную запись, для открытия ее диалогового окна Properties и в появившемся окне переходим на вкладку Organization. Заполняем ее в соответствии со структурой организации. Переходим на вкладку Profile и в поле Profile Path вводим \\ CSGONCHAR \profiles\%usemame% (Рис.6.12) и щелкаем кнопку ОК.



Рис.6.12 - Вкладки Organization и Profile

На этом шаге создание шаблонной учетной записи, которую можно копировать с целью генерирования учетных записей для новых сотрудников в организационном подразделении Accounting завершено.

Для создания учетную запись на основе ранее созданного шаблона _ Accountant _Shablon щелкаем по нему правой кнопкой мыши и в появившемся меню действий выбираем примените команду Сору. После этого на экран будет выведно новое диалоговое окно Copy Object -- User. В открывшемся окне в поле First Name вводим имя добавляемого пользователя - Margarita, в поле Last Name - фамилию пользователя - Gonchar, в поле User Logon Name - имя входа пользователя - M.A.Gonchar. Accountant и щелкаем кнопку Next. В обновившемся окне в полях Password и Confirm Password вводим сложный пароль (Pa$$w0rd2) и, предварительно сбросив флажок Account is Disabled, щелкаем кнопку Next, а затем кнопку Finish.

Открываем свойства учетной записи пользователя Margarita Gonchar и убеждаемся, что сконфигурированные в шаблоне атрибуты скопированы в новую учетную запись, за исключением атрибута Job Title, оставшегося пустым (Рис.6.13).



Рис.6.13 - Создание учетной записи пользователя на основе шаблона

Аналогичным образом создаем других пользователей в данном организационном подразделении (Рис.6.14). Также создаем шаблоны и на их основе другие учетные записи пользователей в других OU.

Рис.6.14 - Созданные на основе шаблона пользователи

Теперь создадим в организационном подразделении Group группы безопасности в соответствии с выбранными ранее требованиями. Для того чтобы создать учетную запись объекта группа открываем оснастку Active Directory Users And Computers и, развернув в дереве консоли узел домена RgCenter.Gonchar.com, выбираем, созданное ранее организационное подразделение Group. Щелкаем по выбранному подразделению правой кнопкой мыши и в появившемся меню действий выбираем опцию New, а затем применяем команду Group. После этого на экран будет новое окно с заголовком New Object - Group (Рис.6.15).



Рис.6.15 - Создание новой учетной записи группы

В появившемся окне в поле Group Name вводим имя группы Presidents. При этом поле Group Name (Pre-Windows 2000 будет заполнено автоматически, оставляем его неизменным. Затем выбираем для группы тип Security и область действия Universal, путем установления соответствующих флагов (установлен по умолчанию Global), и щелкаем по кнопке ОК для создания учетной записи. После этого созданная учетная запись объекта группа появится в выбранном ранее подразделении Groups. Щелкаем по группе правой кнопкой мыши и применяем команду Properties.

На экран будет выведено окно Presidents Properties, состоящее из 4 вкладок: General (общие сведения о группе), Members (список учетных записей, являющихся членами данной группы), Member Of (список групп, членом которых является данная группа) и Managed By (кем управляется данная группа) (Рис.6.16). Просматриваем доступные свойства группы и, оставив эти атрибуты неизменными, щелкаем по кнопке ОК для закрытия окна.

Рис.6.16 - Просмотр свойств созданной учетной записи группы

Аналогичным образом создаем в том же подразделении группы безопасности Heads of departments (Глобальную) и Worker (Локальную) (Рис.6.17)

Рис.17 - Просмотр созданных групп

Добавим в созданные ранее группы в качестве членов учетные записи пользователей, созданные ранее. Для этого открываем оснастку Active Directory Users and Computers и открываем свойства своей административной учетной записи в подразделении Accounting. В открывшемся окне Margarita Gonchar Properties переходим на вкладку Member Of. Стоит отметить, что выбранная учетная запись уже входит в группу Domain Users. Щелкаем кнопку Add. В открывшемся диалоговом окне Select Groups вводим имя Worker и дважды щелкаем по кнопке ОК в этом окне и в следующем для закрытия окна свойств учетной записи. Стоит отметить, что для выбора имен выбираемых объектов достаточно ввести несколько первых букв данного объекта и щелкнуть кнопку Check Names, после чего система выдаст список всех объектов, которые начинаются с введенных букв (символов), из которого необходимо выбрать нужное имя (Рис.6.18) .



Рис.6.18 - Добавление учетной записи пользователя в группу Worker

Открываем свойства созданной ранее группы Heads of departments в подразделении Groups и, перейдя на вкладку Members, щелкаем по кнопке Add. В открывшемся диалоговом окне Select Users, Contacts, Computers, or Groups вводим несколько первых букв имени пользователя Sveta Trozenko и щелкаем кнопку Check Names. Имя будет разрешено (введенное имя будет подчеркнуто) (Рис.6.19). Щелкаем ОК. Дважды щелкаем по кнопке ОК в этом окне и в следующем для закрытия окна Select Users, Contacts, Computers, or Groups и окна свойств группы.

Рис.6.19 - Подтверждение корректности добавляемого объекта

Аналогичным образом размещаем в созданные ранее группы пользователей, в соответствие с представленной выше методикой.

Теперь сконфигурируем индивидуальные политики безопасности для каждой из групп, в соответствии с выбранными ранее требованиями. В Windows Server 2008 политику паролей и блокировки в домене можно заменить новой гранулированной политикой паролей и блокировки, которую называют просто гранулированной политикой паролей. Эту политику можно применять к одной или нескольким группам пользователей в домене. Для использования гранулированной политики паролей домен должен работать на функциональном уровне Windows Server 2008. Этот компонент -- очень ценное дополнение в Active Directory, при помощи гранулированных политик паролей администратору предоставляется возможность создавать различные коллекции параметров паролей и блокировки учетных записей для выбранных пользователей или групп пользователей.

Граннулироанные политики паролей Server 2008 хранятся в новом контейнере AD, именуемом AD Password Settings Container, который находится в контейнере System контекста именования домена AD. Чтобы определить новую гранулированную политику паролей, необходимо создать в этом контейнере новый объект AD класса msDS-PasswordSettings. В документации Microsoft объекты этого класса именуются объектами настроек пароля (Password Settings object, PSO). По умолчанию только члены группы Domain Admins могут создавать объекты PSO, так как только члены этой группы имеют разрешения AD Create Child и Delete Child в контейнере Password Settings.

Создадим объект PSO, применяющий строгую гранулированную политику паролей к пользователям в группе Heads of departments. Стоит отметить, что для выполнения этой операции группа Heads of departments должна находиться в контейнере Users.

Открываем оснастку ADSI Edit, осуществив последовательный переход Start - Administrative Tools -ADSI Edit и в открывшемся окне ADSI Edit щелкаем правой кнопкой узел ADSI Edit, а затем в появившемся меню действий выбираем команду Connect To.

После этого на экран будет выведено новое окно с заголовком Connection Settings, в котором в поле Name вводим имя домена - UIB.com и щелкаем ОК для закрытия окна (Рис.6.20).



Рис.6.20 Окно Connection Settings

В обновившемся окне ADSI Edit (узел UIB.com по умолчанию - развернут) последовательно разворачиваем папки DC=RGCenter, DC=Gonchar,DC=com , CN=System и выбираем элемент CN=Password Settings Container (Рис.6.21). Все объекты PSO создаются и хранятся в контейнере параметров паролей PSC (Password Settings Container), однако изначально данный контейнер пуст.

Рис.6.21 - Контейнер параметров паролей PSC

Щелкаем правой кнопкой мыши контейнер PSC и в появившемся меню действий выбираем команду New, а затем щелкаем опцию Object (Рис.6.22).

Рис.6.22 - Создание объекта PSO

После этого на экран будет выведено новое диалоговое окно с заголовком Create Object, в котором необходимо выбрать тип создаваемого объекта. Здесь представлен только один тип: msDS-Password Settings, являющийся техническим именем класса объекта PSO (Рис.6.23).

Рис.6.23 - Выбор типа создаваемого объекта

Щелкаем кнопку Next и в обновившемся окне последовательно указываем значение для каждого атрибута PSO щелкая кнопку Next после назначения очередного атрибута:

- Common Name: PSO Heads of departments

- Параметр msDS-Password Settings Precedence: 1 - означающий, что этот объект PSO получит наивысший уровень приоритета, поскольку его значение ближе всего к единице (Рис.6.24).

Рис.6.24 - СN создаваемого объекта и параметр msDS-Password Settings Precedence

- Параметр msDS-Password Reversible Encryption Enabled: False - пароль не будет храниться с использованием обратимого шифрования

- Параметр msDS-Password History Length: 30 -пользователь не сможет повторно использовать последние 30 паролей (Рис.6.25).



Рис.6.25 - Параметры ms DS-Password Reversible Encryption Enabled и msDS-Password History Length

- Параметр msDS-Password Complexity Enabled: True - включающий правила сложности паролей.

- Параметр msDS-Minimum Password Length: 15 - устанавливающий минимальную длину пароля не менее 15 символов (Рис.6.26).

Рис.6.26 - Параметры msDS-Password Complexity Enabled и msDS-Minimum Password Length

- Параметр msDS-MinimumPasswordAge: 1:00:00:00 - означающий, что пользователь не может изменить свой пароль в течение одного дня после предыдущего изменения (временной период задается в формате d:hh:mm:ss (дня, часы, минуты, секунды)).

- Параметр Maximum Password Age: 45:00:00:00 - пароль необходимо изменять каждые 45 дней (Рис.6.27).



Рис.6.27 - Параметр msDS-Minimum Password Age и Maximum Password Age

- Параметр insDS-LockoutThreshold: 3 - после пяти ошибок входа в течение интервала времени, указанного следующим атрибутом, учетная запись пользователя блокируется.

- Параметр msDS-Lockout Obsewation Window: 0:01:00:00 - после пяти ошибок входа (как указано предыдущим атрибутом) в течение одного часа учетная запись блокируется (Рис.6.28).

Рис.6.28 - Параметр insDS-Lockout Threshold и ms DS-Lockout Obsewation Window

- Параметр ms DS-Lockout Duration: 1:00:00:00 - учетная запись блокируется в течение одного дня или до ручного снятия блокировки. Стоит отметить, что значением 0 задают блокировку учетных записей до тех пор, пока они не будут разблокированы администратором (Рис.6.29).



Рис.6.29 - Параметр msDS-Lockout Duration

Все выше перечисленные атрибуты являются обязательные. Для того, чтобы отконфигурировать дополнительные атрибуты щелкаем кнопку Next на странице атрибута msDS-Lockout Duration и в обновившемся окне щелкаем кнопку More Attributes, а затем в открывшемся окне cn= PSO Heads of departments в поле Edit Attributes вводим CN= Heads of departments, DC=RGCenter, DC=Gonchar, DC=com и щелкаем ОК (Рис.6.30).

Рис.6.30 - Настройка дополнительного атрибута

Щелкаем кнопку Finish для завершения процесса создания объекта PSO, после чего созданный объект добавиться в контейнер PSC (Рис.6.31)



Рис.6.31 - Созданный объект PSO

Аналогичным образом создаем необходимые политики безопасности для каждой из групп.



7.Развертывание службы облегченного доступа к каталогам (AD LDS)

7.1 Общие сведения

AD LDS (Active Director Lightweight Directory Services) - это служба каталогов, работающая по протоколу LDAP (Lightweight Directory Access Protocol - облегчённый протокол доступа к каталогам) и обеспечивающая гибкую поддержку приложений, ориентированных на работу с каталогами, избавляя администратора от требований, предъявляемых к традиционной службе каталогов Active Directory (Active Directory Domain Services, AD DS).

Служба AD LDS не имеют зависимостей и доменных ограничений, их можно запускать на рядовых или отдельных серверах. Кроме того стоит отметить, что даже на одном сервере можно запустить несколько экземпляров AD LDS с независимой управляющей схемой для каждого экземпляра службы.

Таким образом, используя службы AD LDS, ранее известные как Active Directory Application Mode (ADAM), можно производить развертывание служб каталогов для приложений, ориентированных на работу с каталогами, в то же время избавляясь от необходимости развертывания доменов и лесов, а также использования единой схемы каталога в пределах всего леса.

Служба каталогов Active Directory обеспечивает поддержку как серверов под управлением ОС Microsoft Windows Server, так и приложений, ориентированных на работу с каталогами. Для каждой серверной операционной системы служба AD DS хранит важную информацию о сетевой инфраструктуре, пользователях и группах, сетевых службах и так далее. В таком режиме работы служба AD DS должна использовать единую схему для всего леса доменов.

С другой стороны, роль AD LDS, установленная на сервере, обеспечивает поддержку служб каталогов специально для приложений, ориентированных на работу с каталогами. Для работы AD LDS не требуется наличия доменов или лесов Active Directory. Тем не менее, в окружениях с развернутыми службами AD DS служба AD LDS может использовать информацию AD DS для проверки подлинности участников безопасности Windows. Основные функциональные возможности роли AD LDS приведены в Приложении И.

7.2 Анализ необходимости развертывания службы AD LDS на исследуемом предприятии

Поскольку в соответствии со стратегией развития рассматриваемой в данной работе производственной компании «Рога&Копыта», в каждом из региональных центров предприятия предполагается прохождение подготовки новых кадров - стажеров, с целью минимизации риска нанесения ущерба компании, вследствие ошибочных действий неопытного персонала предлагается развернуть службу AD LDS. Поскольку данная служба обладает практически тем же функционалом, что и развернутая на предприятии служба AD DS, однако же изменения произведенные в отдельном экземпляре службы облегченного доступа к каталогам, не выйдут за пределы этого экземпляра. Таким образом реализация данного решения, с одной стороны, позволит стажерам наработать и закрепить практические навыки работы со службами каталогов, а с другой - гарантирует, что в случае критических изменений, по ошибке произведенных в отдельном экземпляре AD LDS, ущерб будет нанесен лишь этому отдельному экземпляру, а не будет реплицирован по всему домену или, хуже того, лесу. Описание процесса тестового развертывания службы AD LDS также приведены в Приложении К.



Выводы

В данной курсовой работе, основываясь на базе теоретических сведений, а также анализе существующей инфраструктуры и бизнес-процессов производственной компании «Рога Копыта» была разработана и предложена к внедрению модель развертывания службы каталогов Active Directory. Так, были рассмотрены вопросы определения необходимого количество лесов для организации, порядок их разбиения на домены, планирования доменного пространства имен организации и структуры доменов, определены механизмы разделения ресурсов компании по организационным подразделениям, рассмотрены основные вопросы (проблемы) конфигурации сайтов, а также разработана стратегия для управления учетными записями пользователей компании и группами безопасности на предприятии.

Для рассматриваемой в работе организации была выбрана модель единого леса с центральным доменом и четырьмя региональными доменами, являющимися дочерними по отношению к центральному. Порядок назначения доменных имен основывался на территориальном признаке, позволяющему отразить географическую структуру компании, а также являющемуся устойчивым к реорганизации. Для разделения ресурсов между организационными подразделениями для центрального домена была выбрана Модель структуры OU на основе структуры организации, поскольку она позволяет обеспечивать определенный уровень автономии для каждого отдела и упрощенное администрирование. Для региональных же доменов была предложена Смешанная модель структуры OU - сначала по местоположению, затем по структуре организации, позволяющая отразить структуру компании внутри каждого домена и географическое местоположение филиалов. Была выработана собственная стратеги управления учетными записями и группами безопасности предприятия, а также рассмотрены вопросы конфигурации сайтов. Также было произведено тестовое развертывание разработанной модели каталога Active Directory на база серверной операционной системы Windows Server 2008 применительно к центральному офису компании «Рога Копыта». Кроме того, с учетом того, что в каждом из региональных центров проходит подготовка новых кадров (стажеров), был проведен анализ необходимости развертывания службы облегченного доступа к каталогам (AD LDS), а также развернут тестовый экземпляр службы AD LDS.



Список использованной литературы

1.Холмс Д., Реет Н., Реет Д. Настройка Active Directory Windows Server 2008. Учебный курс Microsoft / Пер. с англ. -- М.: Издательство «Русская редакция», 2011. -- 960 стр. : ил.

2.Электронный ресурс: http://www.intuit.ru

3.Электронный ресурс: http://www.oszone.net

4.Электронный ресурс: http:// www.refdb.ru

5.Электронный ресурс: http:// www.ru.wikipedia.org

6.Электронный ресурс: http:// www.technet.microsoft.com

7.Электронный ресурс: http://www.windowsazure.com

1. Размещено на Allbest.ru