Материал: Планування та розгортання служби доступу до інформаційних ресурсів підприємства

З вищезазначених даних очевидно, що завдання планування структури сайтів підприємства зводитися головним чином до оптимізації трафіку, що породжується роботою розгортання Служби каталогів, а саме: реєстрації робочої станцій і реплікації каталогів. При цьому слід враховувати, що щоб задати реєстрацію робочої станції тільки на певних контролерах доменів, необхідно спланувати сайти так, щоб тільки ці контролери доменів розташовувалися в тій же підмережі, що і робоча станція.

Як тільки інформація про мережу компанії зібрана, можна приступати до проектування сайту. Після визначення кількості сайтів для «ActiveDirectory» здійснюється проектування кожного сайту. Кожен сайт в «ActiveDirectory» пов'язаний з однією або більше підмережами IP, тому потрібно визначити, які підмережі будуть включені в кожен сайт.

Ґрунтуючись на аналізі існуючої географічної топології підприємства, а також на базі вищенаведених теоретичних відомостей і рекомендацій були запропоновані нижченаведені аспекти планування сайтів:

) З метою оптимізації трафіку реєстрації робочих станцій в кожному філіалі передбачається розмістити власний контролер домену і виділити його в окремий сайт.

) DNS-сервер також буде розташовуватися в кожному філіалі.

) Оскільки всі домени планованого лісу працюватимуть на функціональному рівні «Windows 2008» від розміщення сервера глобального каталогу в кожному філіалі прийнято рішення відмовитися.

) Сервери господарів операцій, що діють в межах лісу, пропонується встановити в центральному офісі компанії, відповідному центральному домену.

Далі буде здійснена настройка атрибутів зв'язків сайтів для даного підприємства на основі схеми зв’язків сайтів, що зображено на рис.1.1.

Рисунок 1.1 - Схема зв’язків сайтів

Вартість зв’язків, графік реплікації та інтервал реплікації для зв’язків сайтів зазначені в таблиці 1.1.

Таблиця 1.1 - Переваги використання одного і кількох доменів

Вартість зв'язків сайту визначає шлях, по якому буде відбуватися трафік реплікації по мережі. Коли трафік реплікації проходить по декількох зв'язках сайту, графіки зв'язків сайту і інтервали реплікації об'єднуються для визначення ефективного вікна реплікації й інтервалу.

Розробка системи зберігання даних на підприємстві

Невід'ємною частиною централізованої системи зберігання даних є технологія «RAID»[8] - це використання наборів (два і більше) жорстких дисків, доступних операційній системі як один том. На «RAID» покладається завдання забезпечення відмовостійкості і підвищення продуктивності. Відмовостійкість досягається за рахунок надмірності. Тобто частину ємності дискового простору відводиться для службових цілей, стаючи недоступною для користувача. Різні типи RAID-масивів мають різні типи доступу, які прийнято характеризувати рівнями «RAID».

Для центрального офісу, регіональних центрів та обласних підрозділів компанії «ANTLERS & HOOFS» було вирішено використовувати «RAID-5»[8].Модель збереження даних з використанням «RAID-5» зазначено на рис.1.1.

Рисунок1.1 - Модель збереження даних з використанням «RAID-5»

«RAID-5» - дисковий масив з чергуванням даних і обчисленням контрольних сум для записуваних даних. Масиви «RAID-5» орієнтовані на напружену роботу з дисками і добре підходять для багатокористувацьких систем. Основною перевагою даної технології є висока швидкість читання і запису даних, високий коефіцієнт використання дискового простору. До недоліків можна віднести високий вплив, який чиниться на продуктивність, виходу з ладу одного з дисків.

ГРУПИ БЕЗПЕКИ НА ПІДПРИЄМСТВІ

«ActiveDirectory» включає в себе два типи груп (безпеки і поширення) домену з трьома областями дії (локальна в домені, глобальна і універсальна) в кожній з них.

Групи безпеки - відносяться до принципалів безпеки з SID-ідентифікаторами[3]. У зв'язку з цим даний тип групи вважається найпоширенішим і групи такого типу можна використовувати для управління безпекою та призначення дозволів доступу до мережевих ресурсів в списках «ACL»[3]. У свою чергу, група поширення спочатку використовується додатками електронної пошти, і вона не може бути принципалом безпеки.

У «ActiveDirectory» існує три області дії груп[3]:

локальна група в домені- призначена для управління дозволами доступу до ресурсів. Локальну групу в домені можна додавати в списки «ACL» будь-якого ресурсу на будь-якому звичайному комп'ютері домену. У локальну групу в домені можуть входити користувачі, комп'ютери, глобальні та локальні групи в поточному домені, будь-якому іншому домені лісу, а також універсальні групи в будь-якому домені лісу. У зв'язку з цим, локальні групи в домені зазвичай використовують для надання правил доступу у всьому домені, а також для членів довірчих доменів.

глобальна група - основною метою даної групи безпеки є визначення колекції об'єктів доменів на підставі бізнес-правил і управління об'єктами, які вимагають щоденного використання. Глобальна група може містити користувачів, комп'ютери та інші глобальні групи тільки з одного домену. Незважаючи на це, глобальні групи можуть бути членами будь-яких універсальних і локальних груп як у своєму домені, так і недовірливому домені. Крім цього, глобальні групи можна додавати в списки «ACL» в домені, лісі і в недовірливому домені, що робить управління групами більш простим і раціональним.

універсальна група - дозволяє управляти ресурсами, розподіленими на декількох доменах, тому універсальні групи вважаються найбільш гнучкими. Універсальні групи визначаються в одному домені, але реплікуються в глобальний каталог. Універсальна група може бути членом іншої універсальної або локальної групи домену в лісі, а також може використовуватися для управління ресурсами. Ці групи доцільно задіяти тільки в лісах, що складаються з безлічі доменів для їх об'єднання.

Групи безпеки спрощують надання дозволів користувачам, оскільки встановити дозволи групі і додати користувачів в цю групу набагато простіше, ніж окремо призначати дозволу численним користувачам і управляти цими дозволами, а коли користувачі входять в групу, для зміни того чи іншого дозволу всіх цих користувачів достатньо однієї операції. У зв'язку з цим для управління дозволами доступу до ресурсів виробничої компанії «ANTLERS&HOOFS» прийняті наступні рішення:

) Оскільки верховний адміністративний менеджмент підприємства повинен мати необмежений доступ до інформаційних ресурсів підприємства від президента до начальників регіональних центрів компанії, до групи безпеки, до якої повинні входити облікові записи цих користувачів пред'являються наступні вимоги:

призначені дозволи повинні діяти при спробі доступу до ресурсів декількох доменів;

група повинна існувати поза меж доменів;

Цим вимогам повною мірою відповідає універсальні група безпеки, у зв'язку з чим, для верховного адміністративного менеджменту підприємства пропонується створити в центральному домені універсальну групу «Президенти».

) Оскільки вимоги до безпеки, а також дозволу доступу до ресурсів компанії для керівників відділів відрізняються від дозволів надаються верховному адміністративного менеджменту, але в той же час їм передбачається дозволений доступ до ряду конфіденційних даних, що функціонує в компанії для них пропонується створити окрему глобальну групу безпеки «Керівники відділів». Облікові записи користувачів, яким також дозволений доступ до конфіденційної інформації підприємства, які є співробітниками відділу інформаційної безпеки, також пропонується додати до групи, оскільки вони мають той же рівень доступу і, як наслідок до них висуваються ідентичні вимоги політики безпеки компанії .

) Оскільки рядовий персонал центрального офісу і підрозділів не потрібно доступ до ресурсів компанії поза межами їх домена, для них пропонується створювати локальну групу безпеки «Робітники».

МОДЕЛЬ ДОСТУПУ ДО ІНФОРМАЦІЙНИХ РЕСУРСІВ КОМПАНІЇ

Для розгортання лісу і домену у відповідність із спланованою раніше структурою був запущений «Майстер установки доменних служб ActiveDirectory». Далі був створений новий домен в лісі, як ім'я кореневого домену лісу було вирішено використовувати «Glevsky.com». Як функціональний рівень було вирішено використовувати «Windows Server 2008», що означає, що всі домени в лісі будуть працювати на рівні Windows Server 2008. На сторінці «Розташування для бази даних, файлів журналу і папки «SYSVOL» дані були прийняті задані за замовчуванням. Далі був заданий пароль для запуску доменних служб «ActiveDirectory» в режимі відновлення служб каталогів для завдань, що виконуються в автономному режимі. Потім був запущений процес налаштування «AD DS», зображений на рис.3.1, по закінченні якого необхідно перезавантажити сервер.

Рисунок3.1 - Процес налаштування «AD DS»

Як видно з рис.3.2, після розгортання домену була перенесена організаційно-штатна структура компанії на прикладі головного офісу в Києві.

Рисунок3.2 - Організаційно-штатна структура центрального офісу підприємства

Потім у кожному із сформованих підрозділів було створено по 3 робітника і по одному керівнику, що відносяться до різних груп безпеки.

Далі в організаційному підрозділі «Users» були створені групи безпеки у відповідності з обраними раніше вимогами. Для того щоб створити обліковий запис об'єкта групи було відкрите оснащення «ActiveDirectory користувачі і комп'ютери». Потім після запуски команди для створення групи з'явиться нове вікно з заголовком «Новий об'єкт - група».

Рисунок3.3 - Створення нового облікового запису групи

У вікні в полі «Ім'я групи» було введено ім'я групи «Директор». Потім для даної групи був обраний тип «Група безпеки» і область дії «Універсальна». Після цього створений обліковий запис об'єкта група з'явиться в обраному раніше підрозділі «Users».

Аналогічним чином в тому ж підрозділі були створені групи безпеки «Керівники Підрозділів» (Глобальна) і «Робітники» (Локальна).

Далі в групи в якості членів були додані облікові записи користувачів, створені раніше. Для цього в оснащенні «ActiveDirectory користувачі і комп'ютери» були відкриті властивості облікового запису в підрозділі «Директор підрозділу». У вікні «Властивості: Артем Глевський» була відкрита вкладка «Член груп». Варто зазначити, що обраний обліковий запис вже входить до групи «Користувачі домену». Після натискання кнопки «Додати» відкриється нове діалогове вікно «Вибір групи», в якому було введено ім'я «Директор». Після цього користувач «Артем Глевський» став членом групи «Директор».

Далі у властивостях груп «Керівники Підрозділів» і «Робітники» на вкладці «Члени групи» після натискання кнопки «Додати» відкрилося нове діалогове вікно через яке були додані нові члени вищезазначених груп. Членство в різних підрозділах зображено на рис.3.4.

Рисунок3.4 - Члени груп

Потім для кожної з груп були сконфігуровані індивідуальні політики безпеки. У «Windows Server 2008» політику паролів і блокування в домені можна замінити новою гранульованої політикою паролів і блокування, яку називають просто гранульованою політикою паролів. Цю політику можна застосовувати до однієї або декількох груп користувачів в домені.

Для створення об'єкта «PSO»[3], що застосовує сувору гранульовану політику паролів до членів груп «Керівники підрозділів» було відкрите оснащення «Редагування ADSI»[3], потім у вікні оснащення на вузлі «Редагування ADSI» правою кнопкою було викликано контекстне меню в якому була обрана команда «Підключення до». Після цього в новому вікні з заголовком «Параметри підключення», зображено на рис.3.5, в полі «Ім'я» було введено ім'я домену -«Glevsky.com».

Рисунок3.5 - Вікно «Параметри підключення»

В оновленому вікні «Редагування ADSI» були послідовно розгорнуті папки «DC=Glevsky,DC=com, CN=System» і відкритий елемент «CN=PasswordSettingsContainer». Всі об'єкти «PSO» створюються і зберігаються в контейнері параметрів паролів «PSC», проте спочатку даний контейнер порожній.

У контейнері «PSC» клацанням правої кнопки миші було викликано контекстне меню, в якому була запущена команда створення нового об'єкту.

Після цього на екран було виведено нове діалогове вікно з заголовком «Створення об'єкта», в якому необхідно було вибрати тип створюваного об'єкта. Тут представлений тільки один тип: «msDS-Password Settings», який є технічним ім'ям класу об'єкта «PSO».

Потім були вказані значення для наступних обов'язкових атрибутів:

Загальне ім'я: «Керівники Підрозділів». Це назва політики.

Параметр msDS-PasswordSettingsPrecedence: «1». Параметр, який використовується в якості вартості або пріоритету. Чим вище пріоритет у налаштування пароля PSO, тим менше значення цього параметра.

Параметр msDS-PasswordReversibleEncryptionEnabled: «False». Цей параметр визначає можливість оборотного шифрування пароля для облікових записів користувачів.

Параметр msDS-PasswordHistoryLength: «25». Цей параметр визначає кількість неповторним паролів для облікових записів користувачів.

Параметр msDS-PasswordComplexityEnabled: «True». Встановлений параметр «True», визначає включення вимоги дотримання складності паролів і є рекомендованим.

Параметр msDS-MinimumPasswordLength: «12». Встановлений параметр «12» визначає мінімальну довжину паролів облікових записів користувачів.

Параметр msDS-MinimumPasswordAge: «1: 00: 00: 00». Встановлений параметр в 1: 00: 00: 00 (1 день), визначає мінімальний термін дії паролів облікових записів користувачів.

Параметр msDS-MaximumPasswordAge: «25: 00: 00: 00». Встановлений параметр в 25: 00: 00: 00 (25 днів), визначає максимальний термін дії паролів облікових записів користувачів.

Параметр insDS-LockoutThreshold: «5». Встановлений параметр в 5, визначає поріг блокування облікових записів користувачів (після 5 невдалих спроб авторизації спрацьовує механізм блокування облікового запису).

Параметр msDS-LockoutObsewationWindow: «0: 01: 00: 00». Встановлений параметр в 0: 01: 00: 00 (1:00), визначає період скидання лічильника блокувань облікових записів користувачів.

Параметр msDS-LockoutDuration: «1: 00: 00: 00». Встановлений параметр в 1: 00: 00: 00 (1 день), визначає тривалість блокування заблокованих облікових записів користувачів.

Потім, на сторінці атрибуту msDS-LockoutDuration, були відкорегувати додаткові атрибути. У вікні, в полі «Змінити атрибут» були введені такі дані:

Рисунок3.6- Налаштування додаткового атрибута

Аналогічні дії були пророблені для груп «Робітники» і «Директор». Дані які були введені при налаштуванні нових «PSO» зазначені у таблиці 3.1.

Таблиця 3.1 - Переваги використання одного і кількох доменів