- •22. Mic
- •23. Smb
- •24. Возможные атаки на smb. Меры повышения защиты
- •25. Защита удаленного доступа пользователя в корпоративной сети. Аутентификация удаленный пользователей. Доп. Механизмы аутентификации пользователя
- •26. Удаленная аутентификация с использованием Kerberos
- •27. Мандаты. Kdc Структура мандатов
- •28. Мандат на выдачу мандатов
- •29. Подсистемы Kerberos
- •30. Чё-то еще про Kerberos.
- •31. Active Directory, дерево доменов
- •32. Доверительные отношения
- •33. Ntds, ad – основные возможности и характеристики
- •34. Active Directory. Домен, дерево доменов. Лес Доменов
- •35. Контроллер доменов ad
- •36. Объекты Active Directory, отражающие физическую и логическую структуру
34. Active Directory. Домен, дерево доменов. Лес Доменов
Active Directory позволяет администраторам использовать групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров (через групповые политики или устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
Доменом называется отдельная область безопасности в компьютерной сети. Служба каталогов Active Directory может охватывать один или нескольких доменов. На автономной рабочей станции доменом является сам компьютер. С физической точки зрения домен может включать в себя компьютеры, расположенные в разных местах.
Дерево доменов (дерево) состоит из нескольких доменов, имеющих общие схему и конфигурацию и тем самым образующих общее пространство имен. Домены одного дерева также связаны между собой доверительными отношениями. Служба каталогов Active Directory представляет собой множество, состоящее из одного или нескольких деревьев.
Лесом называется набор, состоящий из одного или нескольких деревьев, которые не образуют непрерывного пространства имен. Все деревья леса имеют одни и те же схему, конфигурацию и глобальный каталог. Все деревья леса связаны доверительными отношениями посредством транзитивных доверительных отношений по протоколу Kerberos. Лес, в отличие от дерева, не должен иметь отличающее его имя. Лес существует как набор объектов перекрестных ссылок и доверительных отношений по протоколу Kerberos, известных деревьям, составляющим этот лес. Деревья леса образуют иерархию доверия по протоколу Kerberos; имя дерева, находящегося в корне дерева доверия, может быть использовано для ссылки на указанный лес.
35. Контроллер доменов ad
Серверы винды, на которых функционирует экземпляр службы каталогов - контроллеры домена. Они являются носителями полнофункциональной копии каталогов. Они выполняют следующую задачу:
1) Доступ и управление информацией, хранящейся в каталоге.т
2) Синхронизация копий каталогов.
3) Централизованное тиражирование польз. и системных файлов.
4) Аутентификация пользователя.
Используется модель репликации с множеством равноправных участников. Неважно какой из контроллеров осуществляет изменения в каталогах. Однако существует определенный класс операций, которые должны выполняться только одним контроллером домена - операции с одним исполнителем или с одним хозяином. При привлечении к данным операциям более одного контроллера возможность компа. Операцию с одним исполнителем так же называют ролями доменов компьютеров. Примером таких ролей являются хозяева схема, которая ослеживает изменения каталогов.
Хозяин доменов - отслеживает изменения в структуре домена, гарантирует целостность пространства имен и уникальность его компонентов.
Хозяин относительных идентификаторово (РИД) осуществляет генерацию уникальных идентификаторов. По умолчанию все специализированные роли возгается на новые домены в новом лесу.