Active Directory для Windows Server 2003

         

Active Directory для Windows Server 2003

Введение
Соглашения, используемые в этой книге
Глава 1. Концепции Active Directory
Эволюция службы каталога от Microsoft
Менеджер LAN для операционных систем OS/2 и MS-DOS
Windows NT и SAM
Windows 2000 и Active Directory
Домены Windows Server 2003 и Active Directory

Открытые стандарты службы Active Directory
Иерархии Х.500
Облегченный протокол службы каталогов (LDAP)
Ключевые функции и преимущества службы Active Directory
Централизованный каталог
Единая регистрация
Делегированное администрирование
Интерфейс общего управления

Интегрированная безопасность
Масштабируемость
Нововведения в службе Active Directory Windows Server 2003
Усовершенствования в оснастке Active Directory Users And Computers
Функциональные уровни
Переименование домена
Разделы приложений каталога
Дополнительный контроллер домена, инсталлированный с резервных средств хранения информации
Дезактивация объектов схемы
Отключение сжатия трафика репликации между различными сайтами

Для входа в систему не нужен доступ к глобальному каталогу
Усовершенствование репликации группового членства
Усовершенствование UI-селектора объектов
Механизм удаления неактивных объектов
Поддержка класса inetOrgPerson
Резюме
Глава 2. Компоненты службы каталога Active Directory
Физическая структура службы Active Directory
Хранилище данных каталога
Контроллеры домена

Серверы глобального каталога
Хозяева операций
Хозяин схемы
Хозяин именования доменов
Хозяин относительных идентификаторов
Хозяин эмулятора PDC
Хозяин инфраструктуры
Передача ролей хозяина операций

Схема
Компоненты схемы
Модификация схемы
Дезактивация объектов схемы
Логическая структура Active Directory
Разделы Active Directory
Раздел домена каталога
Раздел конфигурации каталога

Раздел схемы каталога
Раздел глобального каталога
Домены
Деревья доменов
Леса
Доверительные отношения
Транзитивные доверительные отношения
Односторонние доверительные отношения

Доверительные отношения леса
Доверительные отношения области
Сайты
Организационные единицы
Использование организационных единиц для делегирования административных прав
Глава 3. Active Directory и доменная система имен

Краткий обзор DNS
Иерархическое пространство имен
Распределенная база данных
Процесс разрешения имен
Записи ресурсов
DNS-домены, зоны и серверы
Сравнение доменов и зон
Основные серверы имен
Дополнительные серверы имен
Кэширующие серверы имен

Зоны полномочий
Делегированные зоны
Ретрансляторы и корневые ссылки
Динамическая система DNS
DNS и Active Directory Windows Server 2003
Служба DNS Locator
Записи ресурсов DNS, зарегистрированные контроллером домена Active Directory

Поиск контроллера домена службы Active Directory
Как клиент определяет, какому сайту он принадлежит
Интегрированные зоны Active Directory
Совершенствование DNS
Условная переадресация
Сокращенные зоны

Раздел приложений каталога
Глава 4. Репликация Active Directory и сайты
Модель репликации Active Directory
Улучшение репликации Active Directory Windows Server 2003
Внутренняя и внешняя репликация между сайтами
Репликация внутри сайта

Репликация между сайтами
Время ожидания репликации
Срочная репликация
Генерация топологии репликации
Проверка целостности сведений (Knowledge Consistency Checker)
Объекты связи
Изменение объекта связи, созданного КСС
Создание нового объекта связи
Топология репликации внутри сайта

Репликация глобального каталога
Топология межсайтовой репликации
Процесс репликации
Типы обновлений
Репликация изменений
Порядковые номера обновлений
Значения уровней
Векторы новизны и демпфирование распространения

Просмотр информации USN
Отметки об изменениях и разрешение конфликтов
Репликация удалений объектов
Конфигурирование репликации между сайтами
Создание дополнительных сайтов
Связи сайта
Мосты связей сайта

Транспортные протоколы репликации
Конфигурирование серверов-плацдармов
Мониторинг и поиск неисправностей репликации

Active Directory для Windows Server 2003

Глава 5. Проектирование структуры Active Directory
Проектирование структуры леса
Леса и проект Active Directory
Один или несколько лесов

Определение владельцев леса
Политика управления изменениями леса
Проектирование доменной структуры
Домены и проект Active Directory
Определение количества доменов
Выбор единственного домена
Выбор нескольких доменов

Проектирование корневого домена леса
Проектирование иерархии доменов
Деревья доменов и доверительные отношения
Изменение иерархии доменов
Назначение владельцев домена
Проектирование инфраструктуры DNS
Исследование существующей инфраструктуры DNS
Проектирование пространства имен

Внутреннее и внешнее пространства имен DNS
Использование одного и того же пространства имен в качестве внутреннего и внешнего пространства
Использование различного внутреннего и внешнего пространства имен
Варианты проекта пространства имен
Интеграция с существующей инфраструктурой DNS
Проектирование структуры организационной единицы

Организационные единицы и проектирование Active Directory
Проектирование структуры OU
Проект OU, основанный на делегировании администрирования
Проект 0U, основанный на проекте групповых политик
Создание проекта OU
Проектирование топологии сайта
Сайты и проектирование Active Directory
Инфраструктура организации сети и проектирование сайта
Создание модели сайта

Проектирование размещения серверов
Размещение DNS-серверов
Размещение контроллеров домена
Размещение серверов глобального каталога
Размещение серверов хозяев операций
Глава 6. Установка Active Directory

Предварительные условия установки Active Directory
Жесткий диск
Обеспечение сетевой связи
DNS
Административные разрешения
Варианты инсталляции Active Directory
Мастер конфигурирования сервера
Мастер инсталляции Active Directory
Инсталляция без сопровождения
Использование мастера конфигурирования сервера

Использование мастера инсталляции Active Directory
Совместимость операционных систем
Типы доменов и контроллеров домена
Именование домена
Место расположения файла
Проверка или установка DNS-сервера
Выбор заданных по умолчанию разрешений для пользовательских и групповых объектов
Выполнение инсталляции «без сопровождения»
Выполнение инсталляции «без сопровождения» - 2

Установка Active Directory из восстановленных резервных файлов
Удаление Active Directory
Удаление дополнительных контроллеров домена
Удаление последнего контроллера домена
Автоматическое удаление Active Directory
Глава 7. Переход к Active Directory
Пути перехода
Переход через обновление домена

Обновление Windows NT 4
Обновление Windows Server 2000
Переход путем реструктуризации домена
Перемещение против клонирования
Переход через обновление с последующей реструктуризацией
Определение подходящего пути перехода
Критерии выбора пути перехода
Выбор обновления домена в качестве пути перехода

Удовлетворение текущей моделью домена
Низкий уровень риска
Ограничение времени выполнения перехода
Требование малых затрат рабочего времени
Наличие ограниченных ресурсов
Малый бюджет проекта перехода
Серверные приложения, которые не будут выполняться на Windows Server 2003
Выбор реструктуризации домена в качестве пути перехода
Неудовлетворенность текущей моделью домена
Высокий уровень риска

Наличие времени, достаточного для выполнения перехода
Высокие требования к сохранению работоспособности системы
Наличие адекватных ресурсов
Увеличение бюджета проекта модернизации
Серверные приложения, требующие Windows NT 4 Server
Путь обновления домена с последующей реструктуризацией
Подготовка перехода к Active Directory
Планирование модернизации
Документирование текущей среды

Создание сценария развертывания
Проектирование плана восстановления
Восстановление системы после неудавшегося обновления домена
Восстановление системы после неудавшейся реструктуризации домена
Тестирование плана модернизации
Проведение экспериментальной модернизации
Обновление домена
Обновление Windows NT 4 Server
Прежде чем начать

Сначала обновляем PDC
Проверка обновления до Active Directory
Обновление BDC контроллеров
Предотвращение перезагрузки контроллера домена
Подъем функционального уровня
Представление о функциональных уровнях
Обновление Windows 2000 Server
Подготовка леса

Подготовка домена
Обновление контроллеров домена
Реструктурирование домена
Создание чистого леса
Создание учетной записи модернизации
Создание доверительных отношений
Изменение системного реестра
Установка Active Directory Migration Tool

Изменение анонимного доступа к целевому домену
Перемещение доменов учетных записей
Установление доверительных отношений
Перемещение учетных записей глобальных групп
Перемещение учетных записей пользователя
Прекращение эксплуатации домена учетных записей
Перемещение доменов ресурсов
Дополнительные требования защиты

Идентификация учетных записей служб
Перемещение учетных записей компьютеров
Перемещение общих локальных групп

Active Directory для Windows Server 2003

Перемещение учетных записей служб
Прекращение эксплуатации исходных доменов
Обновление с последующей реструктуризацией
Конфигурирование доверительных отношений между лесами

Глава 8. Защита Active Directory
Основы защиты Active Directory
Участники безопасности
Списки управления доступом
Лексемы доступа
Аутентификация
Разрешение
Защита с использованием протокола Kerberos
Введение в протокол Kerberos

Аутентификация на базе протокола Kerberos
Аутентификация, пересекающая границы домена
Делегирование аутентификации
Конфигурирование Kerberos в Windows Server 2003

Интеграция с инфраструктурой открытых ключей
Интеграция со смарт-картами
Способность к взаимодействию с другими системами Kerberos
Безопасность протокола NTLM
Глава 9. Делегирование администрирования службы Active Directory

Разрешения объектов службы Active Directory
Стандартные разрешения
Специальные разрешения
Просмотр записей АСЕ с помощью инструмента Ldp.exe
Наследование разрешений
Фактические разрешения
Блокирование разрешения: используйте осторожно

Право собственности на объекты Active Directory
Административные привилегии
Аудит использования административных разрешений
Делегирование административных задач
Настройка инструментов для делегирования администрирования

Настройка консоли управления Microsoft
Создание панели задач для администрирования
Планирование делегирования администрирования
Глава 10. Управление объектами Active Directory
Управление пользователями
Объекты User
Именование объектов user в Active Directory

Объекты inetOrgPerson
Учетные записи Contact
Управление группами
Типы групп
Область действия группы
Создание проекта группы безопасности

Управление компьютерами
Управление объектами printer
Публикация принтеров в Active Directory
Управление опубликованными общими папками
Административные усовершенствования службы Active Directory Windows Server 2003
Глава 11. Введение в групповые политики

Краткий обзор групповых политик
Реализация групповых политик
Создание объектов GPO
Администрирование объектов групповой политики
Наследование групповой политики и ее применение
Изменение заданного по умолчанию способа применения групповых политик
Групповые политики и проект OU

Модификация способа наследования групповых политик
Фильтрация применения групповой политики
Применение групповых политик к пользователям и компьютерам
Отключение групповых политик
Обработка групповой политики

Делегирование администрирования объектов GPO
Реализация групповых политик, действующих в нескольких доменах и лесах
Инструментальные средства управления групповыми политиками
Инструмент RSoP
Инструмент GPResult
Инструмент GPUpdate
Консоль управления групповой политикой
Проектирование групповой политики
Глава 12. Использование групповых политик для управления программным обеспечением

Технология инсталлятора Windows
Создание файла .msi
Развертывание программного обеспечения с использованием групповых политик
Развертывание приложений
Распределение программного обеспечения и пропускная способность сети
Использование групповых политик

Конфигурирование свойств пакета программ
Установка настраиваемых пакетов программ
Обновление существующего пакета программ
Управление категориями программного обеспечения
Конфигурирование активации расширения файла
Удаление программного обеспечения через групповые политики
Использование групповых политик для конфигурирования инсталлятора Windows

Планирование распределения программ через групповые политики
Службы обновления программного обеспечения - альтернатива обновлению компьютеров.
Ограничения на использование групповых политик для управления программным обеспечением
Глава 13. Использование групповых политик для управления компьютерами
Управление рабочими столами с использованием групповых политик
Управление данными пользователей и параметры настройки профиля

Управление пользовательскими профилями
Переназначение папки
Конфигурирование параметров настройки защиты с помощью групповых политик
Конфигурирование политики безопасности на уровне домена

Политика блокировки учетных записей
Политики Kerberos

Active Directory для Windows Server 2003

Конфигурирование других параметров безопасности
Политики ограничения программного обеспечения
Шаблоны защиты
Предопределенные шаблоны защиты

Дополнительная конфигурация защиты и инструментальные средства анализа
Административные шаблоны
Использование сценариев для управления средой пользователя
Резюме
Глава 14. Мониторинг и обслуживание Active Directory
Мониторинг Active Directory

Почему следует проводить мониторинг Active Directory?
Выгоды от мониторинга Active Directory
Затраты на мониторинг Active Directory
Как осуществлять мониторинг Active Directory
Установление базовых уровней и порогов
Счетчики производительности и пороги
Производительность Active Directory
Счетчики, характеризующие функционирование репликации
Работа подсистемы защиты
Функционирование ядра операционной системы

Проектирование предупреждений
Отслеживание «здоровой» функциональности сервера с помощью системного монитора
Мониторинг Active Directory с помощью инструмента Event Viewer
Что следует отслеживать
Мониторинг репликации
Обслуживание базы данных Active Directory
Сборка мусора
Онлайновая дефрагментация

Автономная дефрагментация базы данных Active Directory
Управление базой данных Active Directory с помощью утилиты Ntdsutil
Восстановление журналов транзакций
Проверка целостности базы данных
Семантический анализ базы данных
Перемещение базы данных и места расположения журналов транзакций
Глава 15. Восстановление службы каталога в случае сбоя
Подготовка к отказам

Создание резервной копии Active Directory
Восстановление Active Directory
Восстановление Active Directory путем создания нового контроллера домена
Инструмент Ntdsutil

Выполнение неофициального восстановления
Автоматизированное восстановление системы
Выполнение восстановления с полномочиями
Проблемы восстановления с полномочиями
Процедура восстановления с полномочиями
Восстановление информации Sysvol
Восстановление хозяев операций и серверов глобального каталога

Эмулятор PDC
Хозяин RID
GC-серверы