Подсистема управления доступом в сетях под управлением Windows

Содержание

Слайд 2

СЕТЕВЫЕ РЕСУРСЫ

СЕТЕВЫЕ РЕСУРСЫ

Слайд 3

основные встроенные функции сервера приложений в Windows Server Кластерный сервер (Cluster

основные встроенные функции сервера приложений в Windows Server

Кластерный сервер (Cluster Server).

В Windows Server имеется возможность связывать системы вместе так, чтобы в случае выхода из строя одной системы ее обязанности переходили к другой.
Сервер сетевых политик (Network Policy Server — NPS). - представляет собой реализацию сервера и прокси-сервера RADIUS (Remote Authentication Dial-in User Service — служба удаленной аутентификации пользователей по коммутируемым линиям). Он умеет выполнять с помощью централизованного подключения аутентификацию, авторизацию и учет для многих типов сетевого доступа, беспроводных соединений и соединений виртуальной частной сети (VPN) включительно, а также маршрутизировать сообщения об аутентификации и ведении учета других серверов RADIUS и выступать в роли сервера оценки работоспособности для точек доступа в сеть (Network Access Points - NAP).
Слайд 4

основные встроенные функции сервера приложений в Windows Server Веб-сервер (Web Server)

основные встроенные функции сервера приложений в Windows Server

Веб-сервер (Web Server) -

технология, позволяющая обслуживать приложения так, чтобы к ним можно было получать доступ с помощью браузера.
Сервер DNS (DNS Server). Система доменных имен (Domain Name System — DNS) создает список имеющихся в сети серверов и систем и их IP-адресов, так что сервер DNS, соответственно, предоставляет информацию о подключенных к сети устройствах.
Сервер DHCP (DHCP Server). Протокол DHCP (Dynamic Host Configuration Protocol -протокол динамического конфигурирования хостов) назначает подключаемым к сети устройствам сетевые адреса в стандарте IPv4 и/или IPv6.
Слайд 5

Автоматизация процесса назначения IP-адресов узлам сети - протокол DHCP IP-адреса могут

Автоматизация процесса назначения IP-адресов узлам сети - протокол DHCP

IP-адреса могут

назначаться администратором сети вручную. Это представляет для администратора утомительную процедуру.
Протокол Dynamic Host Configuration Protocol (DHCP) разработан для динамического назначения IP-адресов. Кроме динамического, DHCP может поддерживать и более простые способы ручного и автоматического статического назначения адресов.
При динамическом распределении адресов DHCP-сервер выдает адрес клиенту на ограниченное время, что дает возможность впоследствии повторно использовать IP-адреса другими компьютерами.
Динамическое разделение адресов позволяет строить IP-сеть, количество узлов в которой намного превышает количество имеющихся в распоряжении администратора IP-адресов.
Слайд 6

основные встроенные функции сервера приложений в Windows Server Сервер удаленных рабочих

основные встроенные функции сервера приложений в Windows Server

Сервер удаленных рабочих столов

(Remote Desktop Server — RDS). В организациях для пользователей могут быть установлены недорогие терминальные устройства, позволяющие получать доступ к сетевым ресурсам. С помощью Remote Desktop Services можно заставить единственный сервер предоставлять сетевой доступ в систему десяткам рядовых пользователей.
Сервер удаленного доступа (Remote Access Server - RAS). Службы удаленного доступа Windows Server® 2008 R2 позволяют удаленным системам устанавливать безопасное удаленное соединение.
Слайд 7

основные встроенные функции сервера приложений в Windows Server Сервер медиасредств (Media

основные встроенные функции сервера приложений в Windows Server

Сервер медиасредств (Media Server)

- источник для обслуживания и публикации видео- и аудиосодержимого.
Сервер виртуализации (Visualization Server). В Windows Server предлагаются основные возможности для виртуализации серверов, которые позволяют организациям сокращать количество физических серверов до нескольких серверных систем и, следовательно, снижать общую стоимость операций.
Сервер распределенной файловой системы (Distributed File System (DFS) Server). Для организаций, в которых файлы данных постоянно хранятся на разбросанных повсюду файловых серверах, сервер распределенных файловых систем, позволяет объединять распределенные файлы в одно общее пространство имен.
Слайд 8

основные встроенные функции сервера приложений в Windows Server Контроллер домена (Domain

основные встроенные функции сервера приложений в Windows Server

Контроллер домена (Domain

Controller) – управляет службой каталогов и позволяет пользователям посредством аутентификации подключаться к домену для получения доступа к сетевым ресурсам.
Сервер глобального каталога (Global Catalog Server). - это контроллер домена, на котором также хранится набор объектов AD DS из других доменов в лесе. Когда какой-то внутренний или внешний пользователь с соответствующими правами доступа хочет просмотреть список имеющихся в лесе пользователей Active Directory, сервер глобального каталога предоставляет ему такой список.
Слайд 9

Домены Windows Все сетевые объекты (пользователи, компьютеры, принтеры, общие ресурсы и

Домены Windows

Все сетевые объекты (пользователи, компьютеры, принтеры, общие ресурсы и т.д.)

объединяются в домен.
Доменом называется группа учетных записей и ресурсов сети, организованных под одним именем (например, NASA.gov).
Домен - группа компьютеров, имеющих общий каталог и единую политику безопасности.
Слайд 10

Домены Windows Компонент Active Directory Domain Services (AD DS) и связанные

Домены Windows

Компонент Active Directory Domain Services (AD DS) и связанные с

ним службы – основа корпоративных сетей. C организации домена и развёртывания Active Directory  начинается построение ИТ-инфраструктуры предприятия.
Windows Server основан на архитектуре ролей.
Слайд 11

Определение типа и роли сервера Функциональный статус серверов можно повышать и

Определение типа и роли сервера

Функциональный статус серверов можно повышать и понижать

в соответствии с имеющимися потребностями.
Например, статус автономных серверов можно повысить до уровня серверов членов домена, присоединив их к домену.
В свою очередь, статус серверов членов домена можно повысить до уровня контроллеров домена с помощью утилиты dcpromo.
Слайд 12

Домены Windows

Домены Windows

Слайд 13

Домены Windows

Домены Windows

Слайд 14

Active Directory Domain Services В Active Directory используется доменная система имен

Active Directory Domain Services

В Active Directory используется доменная система имен (Domain

Name System, DNS) — стандартная служба Интернета, организу­ющая группы компьютеров в домены. 
DNS-сервер создается в каждом домене. DNS-сервер хранит доменные имена и соответствующие им IP-адреса. Для работы Active Directory необходимо настроить DNS роль сервера, сторонний DNS сервер не подойдёт
Домены DNS имеют иерархическую структуру, которая составляет основу Интернета. Разные уровни этой иерархии идентифицируют компьютеры, до­мены организаций и домены верхнего уровня.
DNS — неотъемлемая часть технологии Active Directory, перед установкой Active Directory надо настроить DNS в сети, является средством поиска компонент домена — в первую очередь контроллеров домена.
Слайд 15

Компоненты Active Directory Каждый домен имеет один или несколько контроллеров домена

Компоненты Active Directory

Каждый домен имеет один или несколько контроллеров домена (domain

controller), на которых хранятся копии каталога.
Рекомендуется в каждом домене устанавливать не менее двух контроллеров домена —для защиты от потери БД Active Directory в случае выхода из строя какого-либо контроллера и для распределения нагрузки между контроллерами.
Основные функции контроллеров домена:
хранение БД Active. База данных домена содержит учетные записи пользователей, групп и компьютеров;
синхронизация изменений в AD;
аутентификация пользователей.
Слайд 16

Компоненты Active Directory Каталог Active Directory содержит следующие основные типы объектов:

Компоненты Active Directory

Каталог Active Directory содержит следующие основные типы объектов:
Пользователь (user);
Группы

пользователей (group);
Контакты (contact);
Компьютеры (computer);
Принтеры (printer);
Общедоступные папки (shared folder).
Слайд 17

Active Directory Active Directory позволяет: использовать групповые политики (GPO) для обеспечения

Active Directory

Active Directory позволяет:
использовать групповые политики (GPO) для обеспечения единообразия настройки

пользовательской рабочей среды;
При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности Интернет-браузера, настроить приложения и т.д.
развёртывать ПО на множестве компьютеров;
устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети;
хранить разнообразную информацию об объектах в своей базе данных.
Слайд 18

Основные преимущества Active Directory Централизованное управление – если в сети развернута

Основные преимущества Active Directory

Централизованное управление – если в сети развернута служба

Active Directory, системный администратор может выполнять большинство своих задач, используя единственный компьютер – контроллер домена;
Простой доступ пользователей к ресурсам – пользователь, зарегистрировавшись в домене на произвольном компьютере, может получить доступ к любому ресурсу сети при условии наличия соответствующих прав;
Обеспечение безопасности – служба Active Directory совместно с подсистемой безопасности Windows предоставляет возможность гибкой настройки прав пользователей на доступ к ресурсам сети;
Масштабируемость – это способность системы повышать свои размеры и производительность по мере увеличения требований к ним.
Слайд 19

Сравнение доменной структуры с рабочей группой (Workgroup) Главное отличие домена от

Сравнение доменной структуры с рабочей группой (Workgroup)

Главное отличие домена от рабочей

группы заключается в том, как реализуется управление ресурсами.
Для рабочих групп характерны следующие признаки:
все ПК, включенные в рабочую группу, объединены в рамках чаще всего одноранговой сети (в ней нет выделенных серверов, а также, как правило, отсутствует возможность с помощью одного ПК управлять ключевыми ресурсами других компьютеров или сети в целом);
доступ в соответствующую сеть возможен обычно только при условии, что операционная система ПК будет загружена с определенного логина (учетной записи пользователя), для которого данный доступ открыт и настроен.
размер рабочей группы обычно не превышает нескольких десятков ПК. Важно, чтобы все они были объединены в рамках общей ЛВС или же подсети 
Для домашних сетей, где не предполагается интенсивного обмена данными, характерно использование рабочих групп. В корпоративных (для которых подобные задачи свойственны) задействуются домены.
Слайд 20

Слайд 21

Единая точка аутентификации. Все учётные записи пользователей хранятся в одной БД,

Единая точка аутентификации. Все учётные записи пользователей хранятся в одной БД, и

все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы. Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям.
Единая точка управления политиками. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам.

преимущества службы каталогов Active Directory по сравнению с Workgroup

Слайд 22

Интеграции с корпоративными приложениями и оборудованием. Преимуществом Active Directory является соответствие

Интеграции с корпоративными приложениями и оборудованием. Преимуществом Active Directory является соответствие

стандарту LDAP, который поддерживается сотнями приложений (почтовые сервера (Exchange, Lotus, Mdaemon), ERP-системы (Dynamics, CRM), прокси-серверы (ISA Server, Squid) и др). И это не только приложения под Microsoft Windows, но и серверы на базе Linux.
Пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные, т.к. его аутентификация происходит в едином каталоге Active Directory.
Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Можно обеспечить аутентификацию доменных пользователей при подключении к маршрутизатору CISCO по VPN.

преимущества службы каталогов Active Directory по сравнению с Workgroup

Слайд 23

Единое хранилище конфигурации приложений. В случае полного отказа (например, сервера Exchange),

Единое хранилище конфигурации приложений. В случае полного отказа (например, сервера Exchange),

вся конфигурация останется нетронутой, т.к. хранится в Active Directory. И для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange сервер в режиме восстановления.
Повышенный уровень информационной безопасности. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах - контроллерах домена, которые, как правило, защищены от внешнего доступа. При использовании доменной среды для аутентификации используется безопасный протокол Kerberos. Для входа пользователей в систему можно использовать двухфакторную аутентификацию при помощи смарт-карт.  

преимущества службы каталогов Active Directory по сравнению с Workgroup

Слайд 24

Логическая структура Active Directory Для удобства управления объекты могут быть сгруппированы

Логическая структура Active Directory

Для удобства управления объекты могут быть сгруппированы при

помощи организационных подразделений (ОП).
Несколько иерархически связанных доменов, которые используют единое связанное пространство имен, образуют дерево доменов.
«Дочерний" домен наследует свое имя от "родительского" домена.
Дочерний домен автоматически устанавливает двухсторонние транзитивные доверительные отношения с родительским доменом.
Доверительные отношения означают, что ресурсы одного из доменов могут быть доступны пользователям других доменов.
Слайд 25

Дерево

Дерево

Слайд 26

Дерево Построение дерева необходимо: для децентрализации администрирования служб каталогов; для повышения

Дерево

Построение дерева необходимо:
для децентрализации администрирования служб каталогов;
для повышения производительности;
для более эффективного

управления репликацией;
для применения различных политик безопасности для различных подразделений компании;
при большом количестве объектов в БД Active Directory.
Слайд 27

Лес Лесом доменов называется группировка или иерархическая система, состоящая из одного

Лес

Лесом доменов называется группировка или иерархическая система, состоящая из одного или

нескольких полностью независимых друг от друга деревьев доменов, имеющих общие части каталога Active Directory и общих администраторов.
Все домены в составе леса построены на основе общей схемы.
Все домены леса связаны неявными двусторонними транзитивными доверительными отношениями.
Структуры имен деревьев леса различаются в соответствии с доменами.
Домены в составе леса функционируют независимо друг от друга, но в тоже время лес обеспечивает пути информационного обмена в масштабе всей организации.
Слайд 28

Физическая структура Active Directory Основой физической структуры является сайт – это

Физическая структура Active Directory

Основой физической структуры является сайт – это часть

сети (набор подсетей), все контроллеры домена которой связаны высокоскоростным соединением. Между сайтами установлены более медленные линии связи.
Сайты представляют физические структуры сети, а домены — логические структуры организации.
Основной целью физической структуризации каталога Active Directory является оптимизация процесса копирования изменений, произведенных на одном из контроллеров домена, на все остальные контроллеры.
Слайд 29

Физическая структура Active Directory Каждый контроллер домена участвует в механизме репликации,

Физическая структура Active Directory

Каждый контроллер домена участвует в механизме репликации, благодаря чему

все контроллеры домена имеют полную копию базы данных со всеми объектами в домене.
Слайд 30

Признаки для выбора варианта с одним доменом 1)в организации менее миллиона

Признаки для выбора варианта с одним доменом

1)в организации менее миллиона пользователей;
2)отсутствие

удаленных филиалов;
3)относительная стабильность структуры организации;
4)отсутствие потребности в разных доменных именах;
5)централизованный способ администрирования;
6)единая политика безопасности.
Слайд 31

Выбор доменной структуры При выборе модели с несколькими доменами в большинстве

Выбор доменной структуры

При выборе модели с несколькими доменами в большинстве ситуаций

нужно использовать дерево доменов.
Лес доменов приемлем в том случае, когда две независимые организации хотят иметь общие сетевые ресурсы.
Слайд 32

Active Directory Domain Services. Kerberos. Доменные службы Active Directory Domain Services

Active Directory Domain Services. Kerberos.

Доменные службы Active Directory Domain Services (AD

DS) обеспечивают идентификацию и доступ (Identity and Access IDA) для корпоративных сетей.
Решение IDA используется для обеспечения безопасности корпоративных ресурсов – файлов, электронной почты, приложений и баз данных.
IDA участвует в задачах:
Хранения информации о пользователях, группах, компьютерах и др. объектах идентификации. AD DS на контроллере домена в хранилище (каталоге) данных хранит объекты идентификации.
Проверки подлинности объекта идентификации на основе протокола Kerberos.
Управлением доступом. Доступ должен контролироваться в соответствии с политиками предприятия.
Обеспечение данных аудита.
Слайд 33

Active Directory Domain Services. Kerberos Kerberos — стандартный Интернет-протокол для аутентификации

Active Directory Domain Services. Kerberos

Kerberos — стандартный Интернет-протокол для аутентификации пользователей

и систем. Kerberos работает с последовательностью билетов (Ticket Granting Ticket).
Ticket (билет) - зашифрованный пакетом данных, который выдается доверенным центром аутентификации (Key Distribution Center (KDC) центр распределения ключей). 
TGT шифруется при помощи ключа, общего для служб KDC, то есть клиент не может прочитать информацию из своего билета. Этот билет используется клиентом для получения других билетов.
В Kerberos любой объект, к которому требуется получить доступ, называется службой. К службам относятся серверы файлов и печати, серверы базы данных и внутренние веб-приложения.
Слайд 34

Active Directory Domain Services. Kerberos Когда у пользователя или компьютера есть

Active Directory Domain Services. Kerberos

Когда у пользователя или компьютера есть билет TGT,

он может его предоставлять любому сервису или ресурсу.
При обращении к отдельным ресурсам сети, пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Service Ticket (TGS).
Service Ticket (TGS). будет идентифицировать прошедшего проверку подлинности пользователя на сервере.
Ticket-Granting Service состоит из копии сессионного ключа и информации о клиенте. Все эти данные зашифрованы ключом, общим между сервисом, к которому идет обращение, и KDC.
Пользователь предоставит TGS билет для доступа к серверу, он его примет и подтвердит прохождение проверки подлинности.
Слайд 35

Протокол Kerberos. Ключи Пользовательский ключ - системный администратор заводит новую учетную

Протокол Kerberos. Ключи

Пользовательский ключ - системный администратор заводит новую учетную запись пользователя,

значение его пароля используется при создании ключа. Этот ключ знают контроллер домена и пользователь.
Системный ключ - в момент ввода компьютера в домен AD он получает уникальный пароль, на его основании создается ключ. Пароль автоматически обновляется регулярно, поэтому старые компьютеры, которые долго не были включены, не смогут пройти аутентификацию в домене, так как потеряны доверительные отношения.
Ключ службы (service key) - часто системные администраторы для запуска службы создают отдельного доменного пользователя, в следствии чего служба получит его ключ, но, если она запускается под учетной записью системы (LocalSystem), то получит ключ компьютера.
Междоменный ключ (inter-realm key). Этот ключ обеспечивает междоменную аутентификацию и используется для обеспечения доверительных отношений в среде Aсtive Directory.
Слайд 36

Компьютер, получив от пользователя первичные данные, делает запрос к контроллеру домена,

Компьютер, получив от пользователя первичные данные, делает запрос к контроллеру домена,

а точнее к службе Key Distribution Center, передает KDC имя пользователя в открытом виде, имя домена и текущее время на рабочей станции (оно не должно отличаться от времени на контроллере домена более чем на 5 минут).
Значение текущего времени передается в зашифрованном виде, и будет выступать аутентификатором. 
Ключ шифрования (пользовательский ключ) формируется из пароля пользователя, как результат хеширования.

Active Directory Domain Services. Kerberos

Слайд 37

Active Directory Domain Services. Kerberos Служба KDC видит обращение с компьютера

Active Directory Domain Services. Kerberos

Служба KDC видит обращение с компьютера и

начинает поиск пользователя в Active Directory, проверяет его пользовательский ключ и расшифровывает аутентификатор, т.е. получает время отправления запроса.
После чего Key Distribution Center создает два тикета: сессионный ключ для шифрования данных между клиентом и KDC; билет на получение билета (Ticket-Granting Ticket (TGT)), как только он появился у пользователя, тот сможет запрашивать тикеты для сервисов и серверов.
Как только эти билеты сформированы Key Distribution Center шифрует аутентификатор пользователя (time stamp) и сессионный ключ, с помощью пользовательского ключа и спокойно передает их пользователю.
Слайд 38

Active Directory Domain Services. Kerberos Пользователь имеет пользовательский ключ и расшифровывает

Active Directory Domain Services. Kerberos

Пользователь имеет пользовательский ключ и расшифровывает им

билеты от Key Distribution Center, проверяет аутентификатор.
В итоге он обладает и ключом сессии и TGT ключом, пользователю больше не нужно в этой сессии заказывать билеты.
Для доступа к сервису он предоставляет KDC свой Ticket-Granting Ticket и штамп времени, которые шифрует сессионным ключом.
KDC получает этот запрос и билеты, расшифровывает их, используя свой ключ. Контроллер домена подтверждает, что запрос поступил именно от нужного пользователя.
Слайд 39

Active Directory Domain Services. Kerberos Key Distribution Center генерирует два тикета

Active Directory Domain Services. Kerberos

Key Distribution Center генерирует два тикета (Service

Ticket (TGS)): один для обратившегося клиента, а второй для сервиса, к которому клиент обращается.
Каждый из тикетов, будет содержать имя пользователя, кто просит доступ, кто должен получить запрос, штамп времени, рассказывающий, когда создан тикет, и срок его жизни, а так же новый ключ Kcs.
Kcs - это ключ для сервиса и клиента, в задачи которого входит обеспечение безопасного взаимодействия между ними.
KDC шифрует билет сервиса, используя для этого системный ключ сервера и вкладывает этот билет внутрь билета клиента, у которого так же есть свой Kcs ключ.
Потом он шифруется сессионным ключом и передается клиенту.
Слайд 40

Active Directory Domain Services. Kerberos Клиент получает билет, расшифровывает его с

Active Directory Domain Services. Kerberos

Клиент получает билет, расшифровывает его с помощью

сессионного ключа и видит свой TGS тикет, и Kcs сервиса, клиент не может прочитать Kcs, предназначенный для сервиса.
Слайд 41

Active Directory Domain Services. Kerberos Теперь клиент формирует штамп времени и

Active Directory Domain Services. Kerberos

Теперь клиент формирует штамп времени и шифрует

его Kcs ключом, отправляет его вместе с билетом, TGS предназначенным для него.
Слайд 42

Active Directory Domain Services. Kerberos Когда сервер с сервисом, получает эту

Active Directory Domain Services. Kerberos

Когда сервер с сервисом, получает эту информацию,

он сразу видит пакет от KDC предназначенный для него с ключом TGS (Kcs). Он расшифровывает им штамп времени от клиента.
Так как у обоих участников есть TGS ключ, они могут быть обо уверены, что клиент правильно идентифицирован, т. к. для шифрования маркера времени был использован Kcs .
Слайд 43

Учебный стенд. Active Directory

Учебный стенд. Active Directory

Слайд 44

основное (графическое) средство администрирования Windows Server

основное (графическое) средство администрирования Windows Server

Слайд 45

средство администрирования Windows Server Сетевое имя (hostname) —удобный способ идентификации узла

средство администрирования Windows Server

Сетевое имя (hostname) —удобный способ идентификации узла в

сети.
Сетевое имя используется как альтернатива IP-адресу и позволяет не запоминать IP-адрес компьютера (при том, что этот адрес может меняться время от времени), а связываться с этим компьютером по его логическому названию.
Слайд 46

Изменение имени сервера После смены имени машину нужно будет перезагрузить.

Изменение имени сервера

После смены имени машину нужно будет перезагрузить.

Слайд 47

Настройка сетевого адаптера Задать статический IP-адрес для сервера. В принципе это

Настройка сетевого адаптера

Задать статический IP-адрес для сервера. В принципе это

делать не обязательно (установить позже DHCP службу), но это хорошая практика, когда ключевые элементы корпоративной сети имеют фиксированные адреса.
Открыть меню по настройке сетевого адаптера можно из вкладки "Локальный сервер", кликнув на текущие настройки Ethernet-адаптера.
Слайд 48

сервисы (роли) на Windows Server Для стенда понадобится включить сервисы (роли)

сервисы (роли) на Windows Server

Для стенда понадобится включить сервисы (роли) на

Windows Server:
Доменные службы Active Directory;
DNS-сервер;
DHCP-сервер
Связка Контроллер AD — DNS-сервер — DHCP-сервер довольно часто встречается в реальной жизни, потому что это очень удобный набор сервисов.
Слайд 49

Выбор типа установки Пункт Установка служб удаленных рабочих столов позволяет задействовать

Выбор типа установки

Пункт Установка служб удаленных рабочих столов позволяет задействовать возможность

Windows Server — инфраструктуру виртуальных рабочих мест (Virtual Desktop Environment — VDI).
Эта технология позволяет рабочее место.
Для пользователя создаётся виртуальное рабочее место, к которому он может подключаться через тонкий клиент. Пользователь лишь видит картинку, тогда как само рабочее место может совершенно прозрачно работать где угодно.
Слайд 50

Выбор целевого сервера Мастер добавления ролей позволяет устанавливать роль не только

Выбор целевого сервера

Мастер добавления ролей позволяет устанавливать роль не только на

текущую машину, но вообще на любой добавленный сервер, и даже на виртуальный жёсткий диск.
Да, если Windows Server развернут на виртуальной машине , можно администрировать эту виртуальную машину даже не запуская её.
Слайд 51

Выбор добавляемых ролей

Выбор добавляемых ролей

Слайд 52

Выбор компонентов Согласно идеологии Microsoft, роль — это набор программ, которые

Выбор компонентов

Согласно идеологии Microsoft, роль — это набор программ, которые позволяют компьютеру предоставлять

некоторые функции для пользователей в сети. Например, DNS, DHCP, контроллер домена AD — это всё роли.
А компоненты — это набор программ, которые улучшают либо возможности ролей сервера, либо самого сервера.
Слайд 53

Настраиваем контроллер домена Active Directory

Настраиваем контроллер домена Active Directory

Слайд 54

Конфигурация развертывания

Конфигурация развертывания

Слайд 55

Параметры контроллера домена Примечание: Этот пароль понадобится, если на сервере произойдет

Параметры контроллера домена

Примечание: Этот пароль понадобится, если на сервере произойдет какой-либо

фатальный сбой, и система не будет загружаться. Поэтому его стоит записать и положить в надежное место.
Слайд 56

Мастер настройки доменных служб Делегирование DNS -большей части, это передача ответственности

Мастер настройки доменных служб

Делегирование DNS -большей части, это передача ответственности за

некоторую DNS-зону отдельному DNS-серверу.
Это распространенная практика в больших сетях, в которых требуется разграничить зоны ответственности за доменные зоны между различными серверами.
При делегировании DNS в "главный" DNS-сервер вносится запись о том, что "вот за эту DNS-зону несёт ответственность другой DNS-сервер, обращайся туда".
Т.к. на стенде всего одна зона DNS и DNS-сервер тоже один, то этот шаг необходимо пропустить
Слайд 57

Мастер настройки доменных служб NetBIOS (Network Basic Input/Output) —ещё один способ

Мастер настройки доменных служб

NetBIOS (Network Basic Input/Output) —ещё один способ разрешения

имён узлов в сети (более древний и более примитивный, чем DNS). NetBIOS-имена не предполагают никакой иерархии, их длина ограничивается всего лишь 16 символами, и они применяются только для разрешения имён компьютеров в локальной сети.
NetBIOS устаревшая технология, но до сих пор используется ради совместимости с некоторыми старыми службами. Настроить контроллер домена Active Directory без NetBIOS-имени нельзя.
Оставляем NetBIOS-имя по-умолчанию 
Слайд 58

Расположение базы данных

Расположение базы данных

Слайд 59

Проверка предварительных требований После установки автоматически начнётся долгая перезагрузка.

Проверка предварительных требований

После установки автоматически начнётся долгая перезагрузка. 

Слайд 60

Настройка DHCP-сервера Авторизация DHCP-сервера в домене AD. Не каждый DHCP-сервер может

Настройка DHCP-сервера

Авторизация DHCP-сервера в домене AD. Не каждый DHCP-сервер может раздавать

сетевые настройки в домене AD — только авторизованные. Это сделано с целях безопасности, чтобы другие DHCP-серверы не могли "подсунуть" неправильные настройки компьютерам в домене;
Настройка новой DHCP-области. Это непосредственно настройка самого DHCP-сервера, в ходе которой определяются какие сетевые настройки будут выдаваться компьютерам в сегменте сети.
Слайд 61

Авторизация DHCP-сервера

Авторизация DHCP-сервера

Слайд 62

Установка Active Directory на Windows Перед созданием пользователей нужно определиться с

Установка Active Directory на Windows

Перед созданием пользователей нужно определиться с тем,

какие в компании будут подразделения, то есть как логически будут разделены пользователи.
Подразделения нужны во-первых для порядка, кроме того к каждому подразделению можно применять отдельную групповую политику .
Управление пользователями, подразделениями, группами и компьютерами осуществляется через оснастку «Active Directory - пользователи и компьютеры» (Пуск – Администрирование - Active Directory - пользователи и компьютеры).
Слайд 63

Установка Active Directory на Windows Server 2008 Standard

Установка Active Directory на Windows Server 2008 Standard

Слайд 64

Установка Active Directory на Windows Server 2008 Standard В «Моей компании» были созданы 5 подразделений.

Установка Active Directory на Windows Server 2008 Standard

В «Моей компании»

были созданы 5 подразделений.
Слайд 65

Если вы планируете создать общие папки, с распределенными правами доступа, к

Если вы планируете создать общие папки, с распределенными правами доступа, к

примеру для бухгалтеров, общую папку бухгалтерия, к которой будет иметь доступ только бухгалтерия и руководство, вам будет удобнее создать Группы для каждого подразделения.
Для того чтобы создать группу нажимаем правой кнопкой по подразделению – «Создать» – «Группа». Вводим имя группы и нажимаем «ОК» .

Установка Active Directory на Windows Server 2008 Standard

Слайд 66

Установка Active Directory на Windows Server 2008 Standard

Установка Active Directory на Windows Server 2008 Standard

Слайд 67

Создание пользователей Есть 2 варианта создания пользователей. 1 вариант - это

Создание пользователей

Есть 2 варианта создания пользователей.
1 вариант - это создание

каждого пользователя по отдельности с добавление пользователя в группы, это имеет смысл, если количество пользователей не очень большое или большинство пользователей имеют разные атрибуты.
2 вариант - это создание шаблона пользователя, который применяется для создания нового пользователя, то есть вам будет необходимо задать только имя, фамилию и логин, это будет удобно, если необходимо создать большое количество пользователей с одинаковыми параметрами.
Слайд 68

Для имени входа пользователей не рекомендуется использовать только одно имя или

Для имени входа пользователей не рекомендуется использовать только одно имя или

только одну фамилию, так как они часто могут совпадать.

Создание пользователей

Слайд 69

Создание пользователей

Создание пользователей

Слайд 70

Создание пользователей После того как создали пользователя, нажать по нему правой

Создание пользователей

После того как создали пользователя, нажать по нему правой кнопкой

и выбрать «Свойства». Перейти на вкладку «Член групп» и нажать «Добавить»
Слайд 71

Создание шаблона пользователей

Создание шаблона пользователей

Слайд 72

Добавление компьютеров в домен Добавление рабочих станций под управлением Windows XP

Добавление компьютеров в домен

Добавление рабочих станций под управлением Windows XP


Перейдите на вкладку «Имя компьютера» и нажимаем «Изменить»

Слайд 73

Добавление компьютеров в домен

Добавление компьютеров в домен

Слайд 74

Добавление компьютеров в домен Ставим точку напротив «Является членом домена» и

Добавление компьютеров в домен

Ставим точку напротив «Является членом домена» и

вводим имя домена (в примере это test.local), затем нажимаем «ОК».
Слайд 75

Добавление рабочих станций под управлением Windows 7

Добавление рабочих станций под управлением Windows 7

Слайд 76

Добавление рабочих станций под управлением Windows 7

Добавление рабочих станций под управлением Windows 7

Слайд 77

Добавление рабочих станций под управлением Windows 7

Добавление рабочих станций под управлением Windows 7

Слайд 78

Добавление рабочих станций под управлением Windows 10

Добавление рабочих станций под управлением Windows 10

Слайд 79

Создание и управление групповыми политиками Перед тем как Вы начнете создавать

Создание и управление групповыми политиками

Перед тем как Вы начнете создавать

и настраивать ГП, следует спланировать что и для кого вы хотите ограничить или оставить.
Управление групповыми политиками осуществляется с помощью оснастки «Управление групповой политикой» (Пуск – Администрирование - Active Directory - Управление групповой политикой).
Слайд 80

Создание и управление групповыми политиками

Создание и управление групповыми политиками

Слайд 81

Создание групповой политики

Создание групповой политики

Слайд 82

Создание групповой политики

Создание групповой политики

Слайд 83

Создание групповой политики

Создание групповой политики

Слайд 84

Создание групповой политики

Создание групповой политики

Слайд 85

Наследование групповых политик Групповые политики имеют иерархическую структуру. Например, политика которая

Наследование групповых политик

Групповые политики имеют иерархическую структуру.
Например, политика которая применяется

в подразделении «Моя компания» будет дополнять политики, которые применятся для подразделений ниже (Администраторы, Бухгалтерия и т.д.).
Наследование политики удобно в том случае если у вас есть общие политики для всех подразделений, например, политики паролей которые применяются для всех подразделений.
В случае если политики противоречат друг другу, будет применятся низшая политика, например, если в политике паролей, для подразделения «Моя компания», задано минимальное кол-во символов 7 а в групповой политике для подразделения «Администраторы» минимальное кол-во символов 10, для подразделения «Администраторы» будет применятся политика с ограничением в 10 символов.
Для того чтобы отключить наследование политики дочернего элемента, в оснастке «Управление групповой политикой», нажать правой кнопкой мышки, и для того подразделения, для которого Вы хотите отключить наследование, и выбрать пункт «Блокировать наследование».
Слайд 86

Настройка политики паролей пользователей в Active Directory

Настройка политики паролей пользователей в Active Directory

Слайд 87

Настройка политики паролей пользователей в Active Directory

Настройка политики паролей пользователей в Active Directory

Слайд 88

параметры политики паролей Вести журнал паролей (Enforce password history) – определяет

параметры политики паролей

Вести журнал паролей (Enforce password history) – определяет количество старых

паролей, которые хранятся в AD, запрещая пользователю повторно использовать старый пароль (однако администратор домена или пользователь, которому делегированы права на сброс пароля в AD, может вручную задать для аккаунта старый пароль);
Максимальный срок действия пароля (Maximum password age) – определяет срок действия пароля в днях, по истечении срока  Windows потребует у пользователя сменить пароль.
Минимальный срок жизни пароля (Minimum password age) – как часто пользователи могут менять пароль. Этот параметр не позволит пользователю несколько раз подряд сменить пароль, чтобы вернуться к любимому старому паролю, перезатерев пароли в журнале Password History.
Слайд 89

параметры политики паролей Минимальная длина пароля (Minimum password length) – не

параметры политики паролей

Минимальная длина пароля (Minimum password length) – не рекомендуется

делать пароль короче, чем 8 символов (если указать 0 – значит пароль не требуется);
Пароль должен отвечать требование сложности (Password must meet complexity requirements) – при включении этой политики пользователю запрещено использовать имя своей учетной записи в пароле (не более чем два символа подряд из username или Firstname ), также в пароле должны использоваться 3 типа символов из следующего списка: цифры (0 – 9), символы в верхнем регистре, символы в нижнем регистре, спец символы ($, #, % и т.д.). Кроме того, для исключения использования простых паролей (из словаря популярных паролей) рекомендуется периодически выполнять аудит паролей учетных записей домена.
Хранить пароли, использую обратимое шифрование (Store passwords using reversible encryption) – пароли пользователей в базе AD хранятся в зашифрованном виде, но иногда нужно предоставить доступ некоторым приложениям к паролю пользователя в домене. При включении этой политики пароли хранятся в менее защищенной виде (по сути открытом виде), что небезопасно (можно получить доступ к базе паролей при компрометации, в качестве одной из мер защиты можно использовать RODC). RODC — read-only domain controller.
Основная цель RODC контроллера домена — возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах с плохими WAN каналами и в которых сложно обеспечить физическую защиту сервера с ролью ADDS. Контроллер домена RODC содержит копию базы Active Directory, доступную только на чтение. Это означает, что никто, даже при получении физического доступа к такому контроллеру домена, не сможет изменить данные в AD (в том числе сбросить пароль администратора домена).
Слайд 90

параметры политики паролей Кроме того, можно отдельно выделить настройки в разделе

параметры политики паролей

Кроме того, можно отдельно выделить настройки в разделе GPO:

Политика блокировки учетной записи (Account Lockout Password):
Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована;
Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно заблокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль;
Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.
Слайд 91

Создание групповой политики ограниченного использования программ

Создание групповой политики ограниченного использования программ

Слайд 92

Создание групповой политики ограниченного использования программ

Создание групповой политики ограниченного использования программ

Слайд 93

Создание групповой политики

Создание групповой политики

Слайд 94

Отключаем Консоль управления (MMC)

Отключаем Консоль управления (MMC)

Слайд 95

Отключаем автозапуск со съемных носителей

Отключаем автозапуск со съемных носителей

Слайд 96

Ограничиваем доступ к планировщику заданий

Ограничиваем доступ к планировщику заданий

Слайд 97

Отключаем общий сетевой доступ

Отключаем общий сетевой доступ

Слайд 98

Настройка меню Пуск и панели задач

Настройка меню Пуск и панели задач

Слайд 99

Общие папки

Общие папки

Слайд 100

Отключаем панель управления

Отключаем панель управления

Слайд 101

Запрещаем изменение свойств сетевых подключений

Запрещаем изменение свойств сетевых подключений

Слайд 102

Привязка созданных групповых политик к подразделениям

Привязка созданных групповых политик к подразделениям

- Предыдущая
Структура АТСК 100/2000. Назначение и характеристика основных элементов. Алгоритм работы станции.,
Следующая -
Страницы биографии и творчества А.П. Чехова

Похожие презентации

Контент. Различные виды контента
Комп'ютерна графіка
Проекные технологии. X-Designer
Разработка запросов к базе данных
Модели жизненного цикла
Фреймворк Laravel
Презентация по ин-е
Классификация программного обеспечения
Серверы приложений, Web-серверы, Web-службы
Ременное соединение
Презентация "Проблемы развития и освоения программной инженерии" - скачать презентации по Информатике
Разработка интерфейса пользователя игрового сервера с дополнением datebase
Социальная журналистика, формирование навыка написания эссе
Big Data. Эксгумация больших данных
Алгоритмы планирования
Обоснование внедрения инновационных технологий на отраслевом предприятии
Стеки. Области применения стека
Интернет-магазин Лавка счастья
Построение диаграмм и графиков MS EXCEL 2007
Алгоритмы типа ветвление
Оnline системы управления библиографической информацией в помощь научному и учебному процессу
Сервис аренды инфраструктуры в облаке
Оформление кредита
ОДНОКРИСТАЛЬНЫЕ МИКРОЭВМ ТИПА МК51 МК51 это серия с ядром 80С51В. В странах СНГ МК51 выпускаются на базе n-МОП технологии (серия 1816)
Skype. Программа интернет- телефония
Презентация "Базы данных и информационные системы. Основные понятия" - скачать презентации по Информатике
Моделирование окружающего мира
Интернет-разведчик 1.0. Урок 6
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть