РЕФЕРАТ
Пояснювальна записка до курсової роботи містить 31 сторінку; 15 рисунків; 2 таблиці; 25 посилання.
Мета роботи - обґрунтувати розгортання «ActiveDirectory» в компанії «ANTLERS&HOOFS», як на поточний момент, так і з урахуванням входження в транснаціональний холдинг
Об'єкт дослідження - «ActiveDirectory» на прикладi«Windows Server 2008».
Предмет дослідження - налаштування «ActiveDirectory».
У роботі проводиться аналіз питань, пов'язаних з
розгортанням «ActiveDirectory» в компанії «ANTLERS&HOOFS». Опираючись на
проаналізованій та обраній моделі інфраструктури, а також на вимогах до групах
безпеки, реалізується модель доступу до інформаційних ресурсів компанії на
віртуальній машині.DIRECTORY, ДОМЕН, ЛIС, WINDOWS SERVER, КОНТРОЛЕР
ДОМЕНУ,RAID, САЙТ, ЗВ’ЯЗКИ САЙТІВ, GPO, PSO, ADSI,ГРУПИ БЕЗПЕКИ, СЕРВЕР,
СЕРВЕР-ПЛАЦДАРМ.
ПЕРЕЛІК СКОРОЧЕНЬ, УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ І ТЕРМІНІВ
інформаційний ресурс доменний дані
AD
- ActiveDirectoryActive Directory Domain Services- Domain Name System-WideAreaNetwork-
Internet Protocol-RedundantArrayofIndependentDisks-SecurityIdentifier- Access
ControlList-ActiveDirectoryServiceInterfaces-PasswordSettingsObject-
PasswordSettingsContainer-SimpleMailTransferProtocol- Inter-Site
TopologyGenerator
ВСТУП
З кожним роком для територіально-розподілених компаній все гостріше стає питання вибору координаційної технології, що дозволяє швидко і зі збереженням необхідного рівня безпеки здійснювати обмін інформацією між центральним офісом і філіями.
«ActiveDirectory» один із механізмів здійснення координаційних дій шляхом централізації управління і поділу ресурсів.«ActiveDirectory» дозволяє адміністраторам використовувати групові політики для забезпечення однаковості налаштування користувацької робочого середовища, розгортати програмне забезпечення на різних комп'ютерах через групові політики. Дана служба каталогів зберігає дані і налаштування середовища в централізованій базі даних, а для аутентифікації користувачів використовується протокол «Kerberos».
У ході виконання даної роботи будуть розглянуті
питання визначення необхідного кількість лісів для організації, порядку їх
розбиття на домени, планування доменного простору імен організації та структури
доменів, визначені механізми поділу ресурсів компанії з організаційних
підрозділам, а також вироблено тестове розгортання розробленої моделі каталогу
«ActiveDirectory» на базі серверної операційної системи «Windows Server 2008R2»
стосовно до центрального офісу компанії.
РОЗГОРТАННЯ ACTIVE DIRECTORY В КОМПАНІЇ «ANTLERS&HOOFS»
Вибір концепції лісу для компанії
«ANTLERS&HOOFS»
Ліс - це група з одного або декількох дерев доменів, які не утворюють єдиний простір імен, але використовують загальні схему, конфігурацію каталогів, глобальний каталог і автоматично встановлюють двосторонні транзитивні довірчі відносини між доменами [2].
Модель єдиного лісу є найпростішою моделлю лісу і вважається низькорівневою, оскільки всі об'єкти каталогу належать одному лісу і всі мережеві ресурси контролює одна централізована ІТ-група. Такий проект вимагає мінімальних адміністративних витрат і вважається найбільш рентабельним серед усіх моделей. Модель єдиного лісу є вдалим вибором для малих і середніх організацій, де діє лише одна ІТ-група і всі її філії управляються цією групою з центрального офісу. Відрізняються три схеми побудови лісу[2]:
єдиний ліс, кожен регіон - окреме дерево;
єдиний ліс, кожен регіон - домен;
єдиний ліс, кожен регіон є дочірнім доменом центрального домену.
У деяких випадках, модель побудови єдиного лісу не здатна задовольнити всіх запропонованих в організації вимог і необхідно використовувати схему побудови декількох лісів.
Однак, перш ніж приступити до планування структури декількох лісів, необхідно взяти до відома, що більша частина функціональності, доступної в межах одного лісу, недоступна між лісами. Крім того, підтримка декількох лісів вимагає значно більше зусиль в адмініструванні, ніж підтримка одного лісу.
Для кожного лісу використовуються окремі контейнери конфігурації. Зміни в топології необхідно реплікувати в інші ліси. Будь-яку реплікацію інформації між лісами доводиться налаштовувати вручну.
У відповідність з даними завдання компанія
«ANTLERS&HOOFS» здійснює свою діяльність на території України і має
деревоподібну топологію об'єднуюча центральний офіс, що знаходиться у м Києві,
з регіональними центрами: західний (Львів), східний (Харків), центральний
(Чернігів), південний (Одеса), а регіональні центри - з обласними підрозділами.
При цьому у відповідність з основними завданнями центрального підрозділу компанії
головний офіс повинен забезпечувати і організовувати виробничу діяльність
компанії, вести фінансово-комерційну діяльність і координувати та
організовувати роботи регіональних центрів. Очевидно, що для виконання даних
цільових завдань, структурна схема каталогу «ActiveDirectory» повинна надавати
можливості централізованого управління всією діяльністю компанії, включаючи
віддалені філії. Крім того, комерційна компанія «ANTLERS&HOOFS» має єдиний
центр управління, а регіональні центри є підзвітними центральному офісу
організації і не потребують адміністративної автономії або ізоляції. На основі
аналізу наведених моделей побудови лісу для розглянутої компанії
«ANTLERS&HOOFS» найбільш доцільною представляється модель єдиного лісу, в
якому кожен регіон є дочірнім доменом центрального домену.
Порядок поділу лісів на домени та планування
доменів
Процес планування доменів[4], як і при плануванні лісу, починається так само з аналізу компанії і формулювання вимог доцільності побудови плану доменів.
Домен - єдина область, в межах якої забезпечується безпека даних в комп'ютерній мережі[2]. Це найважливіша частина в ієрархічній структурі корпоративної мережі. Їй підпорядковані абсолютно всі інші структурні одиниці, такі як сервери, додатки, призначені для користувача пристрої і навіть мережні принтери.
Найпростіша модель «ActiveDirectory» - єдиний домен[2]. У моделі з єдиним доменом всі об'єкти знаходяться в одній зоні безпеки, тому не доводиться займатися плануванням довірчих відносин з іншими доменами. Крім того, при використанні єдиного домену простіше забезпечити централізоване управління мережею. Модель з єдиним доменом спрощує управління користувачами і групами, а також реалізацію групових політик. Стає легше виконувати операції з управління мережею.
Хоча модель єдиного домену дає суттєву перевагу - простоту, іноді доводиться використовувати декілька доменів. Використання багатодоменної структури лісу [3] є кращим у тих випадках, якщо:
) Трафік реплікації повинен бути обмеженим.
) Між офісами компанії існують повільні мережеві підключення або в офісах є багато користувачів.
) Необхідність мати різну політику паролів, політику блокування облікових записів і політику квитків «Kerberos».
) Необхідно обмежувати доступ до ресурсів і мати адміністративні дозволу.
Важливі характеристики домену яких слід враховувати при проектуванні і розгортанню «ActiveDirectory»:
Кордон реплікації[4]. У межах домену реплікується каталог домену, який хнаходиться в папці «Sysvol». Дані зберігаються в «Sysvol» це загальнодоступні файли, реплицируемой між усіма контролерами даного домена. Зокрема в ньому зберігаються сценарії реєстрації та деякі об'єкти групової політики.
Кордон доступу до ресурсів[4]. Саме кордону домену визначають межі доступу до ресурсів мережі. Межі домену є навіть межами для доступу до ресурсів. За замовчуванням користувачі одного домену не можуть звертатися до ресурсів, розташованим в іншому домені, якщо тільки їм не будуть явно дано відповідні дозволи.
Кордон політики безпеки[4]. Ці політики, такі як політика паролів, політика блокування облікових записів і політика квитків Kerberos, застосовуються до всіх облікових записів домену. Ці політики можуть бути змінні на трьох рівнях, а саме:
на рівні домену;
на рівні сайту;
на рівні підрозділів.
При цьому варто відзначити, що краще планувати домени так, щоб всі вони входили в одне дерево доменів. Під доменним деревом розуміється набір доменів, що мають загальну логічну структуру і конфігурацію, і утворюють безперервний простір імен. Так як всі домени в одному дереві ділять один простір імен, адміністративні витрати будуть значно нижчими, ніж при використанні декількох дерев .
Оскільки виробничо-комерційна компанія «ANTLERS&HOOFS» має територіально-розподілену організаційну структуру кращою моделлю розбиття лісу представляється проектування декількох доменів у відповідність з територіальним ознакою.
Також, регіональні домени є дочірніми, між ними
і центральним офісом автоматично створюються транзитивні довірчі відносини, що
позбавляє адміністратора від ручного конфігурування довіри між доменами.
Порядок призначення доменних імен
Наступним етапом планування розгортання служби каталогів є проектування інфраструктури «DNS»[4].
Доменне ім'я - символьне ім'я[4], що служить для ідентифікації областей - одиниць адміністративної автономії в мережі Інтернет - у складі вищестоящої по ієрархії такої області.
«ActiveDirectory» підтримує кілька типів імен:
складені імена;
відносні складові імена;
основні імена користувачів;
канонічні імена.
Доменне ім'я складається з символьних полів, розділених крапками. Крайнє праве поле позначає домен верхнього рівня, далі, справа наліво, слідують піддомени в порядку ієрархічної вкладеності, крайнє ліве поле позначає ім'я хосту.
Однак, оскільки в службі «ActiveDirectory» всі домени мають DNS-імена, перш ніж використовувати дану службу в мережі, необхідно спланувати простір імен «DNS». Ключове рішення проекту полягає в тому, щоб визначити, де розташувати домени «ActiveDirectory» в межах цього простору імен. Проектування інфраструктури «DNS» складається з декількох етапів.
При налаштуванні DNS-серверів спочатку обирається і реєструється унікальне батьківське ім'я «DNS», яке буде представляти організацію в Інтернеті. Це ім'я є доменом другого рівня всередині одного з доменів верхнього рівня, використовуваних в Інтернеті. Батьківське ім'я «DNS» можна з'єднати з ім'ям розташування або підрозділи всередині організації для формування інших імен доменів наступних рівнів.
Для впровадження «ActiveDirectory» існують два види просторів імен (внутрішній та зовнішній), при цьому простір імен ActiveDirectory збігається із заданим зареєстрованим простором імен DNS або відрізняється від нього.
Внутрішній і зовнішній простори імен бувають наступних типів:
Співпадаючі внутрішній і зовнішній простори імен. Згідно з цим сценарієм, організація використовує одне і те ж ім'я для внутрішнього і зовнішнього просторів імен - ім'я компанії застосовується як всередині, так і поза організацією. При реалізації цього сценарію користувачі внутрішньої приватної мережі компанії повинні мати доступ як до внутрішніх, так і до зовнішніх серверів. Для захисту конфіденційної інформації клієнти, що здійснюють доступ зовні, не повинні мати доступ до внутрішніх ресурсів компанії або мати можливість вирішувати свої імена. Крім того, необхідні дві роздільні зони DNS, одна з яких, за межами брандмауера, забезпечує дозвіл імен для загальнодоступних ресурсів. Вона не налаштована для дозволу імен внутрішніх ресурсів, тому доступ до них ззовні отримати не можна.
Відмінні внутрішній і зовнішній простори імен. У цьому випадку компанія використовує різні внутрішнє і зовнішнє простору імен - спочатку в зонах по різні сторони брандмауера імена різняться. Для цього необхідно зареєструвати два простори імен в DNS Інтернету. Якщо ім'я не зарезервовано, внутрішні клієнти не зможуть відрізнити внутрішнє ім'я від імені, зареєстрованого в загальнодоступній мережі простору імен DNS. Таким чином, встановлюються дві зони: один відповідає за дозвіл імен у зовнішньому просторі, інша - у внутрішньому. Користувачам не складе труднощів розрізняти внутрішні і зовнішні ресурси.
Для розглянутої в даній роботі виробничої
компанії «ANTLERS&HOOFS», основним завданням якої є здійснення
виробничо-комерційної діяльності на території України, що автоматично
передбачає надання авторизованим клієнтам доступу до певних виділеним ресурсів
компанії було вирішенообрати модель співпадаючих внутрішнього і зовнішнього
простору імен. Вибір даної моделі передбачається економічно більш доцільним,
оскільки не вимагає додаткових витрат на реєстрацію іншого простору імен.
Стратегія для управління обліковими записами
користувачів
Облікові записи користувачів являють собою фізичні об'єкти, в основному людей, які є співробітниками організації, але бувають винятки, коли облікові записи користувачів створюються для деяких додатків в якості служб. Облікові записи користувачів відіграють найважливішу роль в адмініструванні підприємстві.
Облікові записи користувачів дозволяють ідентифікувати користувачів, що входять в мережу, задавати, до яких ресурсів вони вправі звертатися, і вказувати про них всіляку інформацію. Адміністратори також є користувачами, але з більш широкими правами доступу до ресурсів, пов'язаних з управлінням мережею. Облікові записи користувачів надають користувачам можливість входити в домен або на локальний комп'ютер і звертатися до ресурсів. Об'єкти облікових записів користувачів містять інформацію про користувачів і пов'язують з ними певні привілеї чи обмеження. Кожен об'єкт «ActiveDirectory» пов'язаний зі списком управління доступом, який являє собою список дозволів на доступ до об'єкта, заданих для користувачів і груп.
Ретельне планування схеми іменування облікових записів користувачів дозволяє стандартизувати ідентифікацію користувачів домену. Єдина угода також полегшує розпізнавання і запам'ятовування імен користувачів.
Контролери домену повинні перевіряти ідентифікацію користувача або комп'ютера, перш ніж надати доступ до системних і мережевих ресурсів. Така перевірка називається аутентифікацією і виконується щоразу при вході в мережу.
При плануванні стратегії аутентифікації з метою виключення вразливостей мережі, пов'язаних з політикою управління обліковими записами користувачів, необхідно дотримуватися ряд нижчевикладених правил:
політика блокування облікових записів;
обмеження часу, в який дозволено вхід;
політика закінчення термінів квитків;
не використовувати адміністративні облікові записи для звичайної роботи.
перейменувати або відключити вбудовані облікові записи.
Таким чином, ґрунтується на аналізі існуючої
організаційний структури розглянутого в роботі підприємства, а також на базі
вищезазначених правил і рекомендацій з розробки стратегії управління обліковими
записами користувачами, були розроблені та впровадженні основні елементи
механізму управління обліковими записами для підприємства.
Конфігурація сайтів
Сайт - це група контролерів домену, які розташовані в одній або декількох IP-підмереж, пов'язаних швидким і надійним мережевим з'єднанням[6]. Оскільки сайти засновані на IP-підмережах, вони зазвичай відповідають топології мережі, а значить відповідають і географічній структурі компанії. Сайти з'єднуються з іншими сайтами WAN-каналами. Якщо домени «ActiveDirectory» - основні елементи логічної структури Служби каталогів, то сайти є елементами фізичної структури.
Таким чином, структура сайту пов'язана з фізичним середовищем і підтримується окремо від логічної середовища і структури домену, дозволяючи відокремити логічну організацію структури каталогів від фізичної структури мережі. Варто відзначити, що оскільки сайти не залежать від структури доменів, в один домен може входити кілька сайтів, або, навпаки, один сайт може містити декілька доменів або частин кількох доменів. Сайти містять об'єкти тільки двох типів: контролери доменів, що входять в сайт, і зв'язку сайтів, настроюються для з'єднання з іншими сайтами. В цілому сайти служать для управління трафіком по WAN-каналах. Основне завдання сайту - забезпечувати гарне мережеве з'єднання.