Главная
страница 1
Установка и настройка Windows Server 2003. Служба каталогов Active Directory.
Установка и настройка Windows Server 2003
Ниже перечислены важные особенности, которые следует учитывать при установке Windows Server 2003.

Установка с загрузочного компакт-диска. Windows Server 2003 продолжает традицию установки с компакт-диска. Однако есть и нововведение: установка с дискет больше не поддерживается.

Улучшенный графический пользовательский интерфейс во время установки. Во время установки Windows Server 2003 использует графический пользовательский интерфейс (GUI), похожий на интерфейс Windows XP. Он более точно описывает текущее состояние установки и время, оставшееся до ее завершения.

Активация продукта. Розничная и пробная версии Windows Server 2003 требуют активации. Такие массовые программы лицензирования, как Open License, Select License или Enterprise Agreement не требуют активации.


После установки и активации Windows можно настроить сервер, используя хорошо продуманную страницу Управление данным сервером (Manage Your Server) (рисунок 1), которая автоматически открывается при входе в систему. Эта страница упрощает установку некоторых служб, инструментов и конфигураций в зависимости от роли сервера.


Рис. 1. Страница Управление данным сервером
Щелкните кнопку Добавить или удалить роль (Add Or Remove A Role), появится окно Мастера настройки сервера (Configure Your Server Wizard).

Если установить переключатель Типовая настройка для первого сервера (Typical Configuration For A First Server), мастер сделает сервер контроллером нового домена, установит службы Active Directory и при необходимости службы DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol) и RRAS (Routing And Remote Access).

Если установить переключатель Особая конфигурация (Custom Configuration), мастер может настроить следующие роли.

Файловый сервер (File Server). Обеспечивает централизованный доступ к файлам и каталогам для пользователей, отделов и организации в целом. Выбор этого варианта позволяет управлять пользовательским дисковым пространством путем включения и настройки средств управления дисковыми квотами и ускорить поиск в файловой системе за счет активизации Службы индексирования (Indexing Service).

Сервер печати (Print Server). Обеспечивает централизованное управление печатающими устройствами, предоставляя клиентским компьютерам доступ к общим принтерам и их драйверам. Если выбрать этот вариант, запустится Мастер установки принтеров (Add Printer), позволяющий установить принтеры и соответствующие драйверы. Кроме того, мастер устанавливает службы IIS 6.0 (Internet Information Services), настраивает протокол печати IPP (Internet Printing Protocol) и Web-средства управления принтерами.

Application Server IIS, ASP.NET (Сервер приложений IIS, ASP.NET). Предоставляет компоненты инфраструктуры, которые требуются для поддержки размещения Web-приложений. Эта роль устанавливает и настраивает IIS 6.0, ASP.NET и СОМ+.

Mail Server РОРЗ, SMTP (Почтовый сервер РОРЗ, SMTP). Устанавливает РОРЗ и SMTP, чтобы сервер мог выступать в роли почтового сервера для клиентов РОРЗ.

Сервер терминалов (Terminal Server). Позволяет множеству пользователей с помощью клиентского ПО Службы терминалов (Terminal Services) или Дистанционное управление рабочим столом (Remote Desktop) подключаться к приложениям и ресурсам сервера, например принтерам или дисковому пространству, как если бы эти ресурсы были установлены на их компьютерах. В отличие от Windows 2000, Windows Server 2003 предоставляет Дистанционное управление рабочим столом автоматически. Роли сервера терминалов требуются, только когда нужно размещать приложения для пользователей на сервере терминалов.

Сервер удаленного доступа или VPN-сервер (Remote Access/VPN Server). Обеспечивает маршрутизацию по нескольким протоколам и службы удаленного доступа для коммутируемых, локальных (LAN) и глобальных (WAN) вычислительных сетей. Виртуальная частная сеть (virtual private network, VPN) обеспечивает безопасное соединение пользователя с удаленными узлами через стандартные Интернет-соединения.

Контроллер домена Active Directory (Domain Controller Active Directory). Предоставляет службы каталогов клиентам сети. Этот вариант позволяет создать контроллер нового или существующего домена и установить DNS. Если выбрать эту роль, запускается Мастер установки Active Directory (Active Directory Installation Wizard).

DNS Server (DNS-сервер). Обеспечивает разрешение имен узлов: DNS-имена преобразуются в IP-адреса (прямой поиск) и обратно (обратный поиск). Если выбрать этот вариант, устанавливается служба DNS и запускается Мастер настройки DNS-cepвepa (Configure A DNS Server Wizard).

DHCP-сервер (DHCP Server). Предоставляет службы автоматического выделения IP-адресов клиентам, настроенным на динамическое получение IP-адресов. Если выбрать этот вариант, устанавливаются службы DHCP и запускается Мастер создания области (New Scope Wizard), позволяющий определить один или несколько диапазонов IP-адресов в сети.

Сервер потоков мультимедиа (Streaming Media Server). Предоставляет службы WMS (Windows Media Services), которые позволяют серверу передавать потоки мультимедийных данных в интрасети или через Интернет. Содержимое может храниться и предоставляться по запросу или в реальном времени. Если выбрать этот вариант, устанавливается сервер WMS.

WINS-сервер (WINS Server). Обеспечивает разрешение имен компьютеров путем преобразования имен NetBIOS в IP-адреса. Устанавливать службу WINS (Windows Internet Name Service) не требуется, если вы не поддерживаете старые ОС, например Windows 95 или NT. Такие ОС, как Windows 2000 и XP не требуют WINS, хотя старым приложениям, работающим на этих платформах, может понадобиться разрешать имена NetBIOS. Если выбрать этот вариант, устанавливается сервер WINS.


Служба каталогов Active Directory
Сети, службы каталогов и контроллеры доменов
Сети были созданы в один прекрасный день, когда пользователю надоело бегать по коридору, чтобы обмениваться данными с другим пользователем. В конце концов, цель любой сети — обеспечить удаленный доступ к ресурсам. Когда-то это были файлы, папки и принтеры. Со временем к ним добавились другие ресурсы, наиболее важными из которых являются электронная почта, базы данных и приложения. Потребовался механизм, позволяющий отслеживать ресурсы и предоставляющий как минимум каталог пользователей и групп, чтобы предотвратить нежелательный доступ к ресурсам.

Сети Microsoft Windows поддерживают две модели служб каталогов: рабочую группу (workgroup) и домен (domain). Для организаций, внедряющих Windows Server 2003, модель домена наиболее предпочтительна. Модель домена характеризуется единым каталогом ресурсов предприятия — Active Directory, — которому доверяют все системы безопасности, принадлежащие домену. Поэтому такие системы способны работать с субъектами безопасности (учетными записями пользователей, групп и компьютеров) в каталоге, чтобы обеспечить защиту ресурсов. Служба Active Directory, таким образом, играет роль идентификационного хранилища и сообщает «кто есть кто» в этом домене.

Впрочем, Active Directory — не просто база данных. Это коллекция файлов, включая журналы транзакций и системный том (Sysvol), содержащий сценарии входа в систему и сведения о групповой политике. Это службы, поддерживающие и использующие БД, включая протокол LDAP (Lightweight Directory Access Protocol), протокол безопасности Kerberos, процессы репликации и службу FRS (File Replication Service). БД и ее службы устанавливаются на один или несколько контроллеров домена. Контроллер домена назначается Мастером установки Active Directory, который можно запустить с помощью Мастера настройки сервера или командой DCPROMO из командной строки. После того как сервер становится контроллером домена, на нем хранится копия (реплика) Active Directory, и изменения БД на любом контроллере реплицируются на все остальные контроллеры домена.
Домены, деревья и леса
Active Directory не может существовать без домена и наоборот. Домен — это основная административная единица службы каталогов. Однако предприятие может включить в свой каталог Active Directory более одного домена. Когда несколько моделей доменов совместно используют непрерывное пространство имен DNS, они образуют логические структуры, называемые деревьями (tree). Например, домены contoso.com, us.contoso.com и europe.contoso.com совместно используют непрерывное пространство имен DNS и, следовательно, составляют дерево.

Домены Active Directory с разными корневыми доменами образуют несколько деревьев. Они объединяются в самую большую структуру Active Directory — лес (forest). Лес Active Directory содержит все домены в рамках службы каталогов. Лес может состоять из нескольких доменов в нескольких деревьях или только из одного домена. Когда доменов несколько, приобретает важность компонент Active Directory, называемый глобальным каталогом (global catalog): он предоставляет информацию об объектах, расположенных в других доменах леса.


Объекты и организационные подразделения
Ресурсы предприятия представлены в Active Directory в виде объектов или записей в БД. Каждый объект характеризуется рядом атрибутов или свойств. Например, у пользователя есть атрибуты имя пользователя и пароль, у группы — имя группы и список пользователей, которые в нее входят.

Для создания объекта в Active Directory откройте консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers) в группе программ Администрирование (Administrative Tools). Раскройте домен, чтобы увидеть его контейнеры и организационные подразделения. Щелкните контейнер или ОП правой кнопкой и в контекстном меню выберите Создать (New) тип-объекта.

Служба Active Directory способна хранить миллионы объектов, включая пользователей, группы, компьютеры, принтеры, общие папки, сайты, связи сайтов, объекты групповой политики (ОГП) и даже зоны DNS и записи узлов. Можно представить, в какой кошмар превратился бы доступ к каталогу и его администрирование без определенной структуры.

Структура — цель введения характерного типа объекта, называемого организационным подразделением (organization unit, 0U). ОП представляют собой контейнеры внутри домена, позволяющие группировать объекты, управляемые или настраиваемые одинаковым образом. Однако задача ОП — не только организовать объекты Active Directory, они обеспечивают важные возможности управления, поскольку образуют точку, куда могут делегироваться функции управления и с которой можно связать групповые политики.


Делегирование управления
Делегирование прав управления основано на простой идее, что администраторы на местах должны иметь возможность сменить пароль для определенного подмножества пользователей. У каждого объекта в Active Directory (в нашем случае — у объектов пользователей) есть таблица управления доступом (access control list, ACL), которая определяет разрешения доступа к этому объекту, аналогично тому, как файлы на томе жесткого диска обладают таблицей ACL, определяющей доступ к этим файлам. Например, ACL объекта пользователя будет определять, каким группам разрешено сбрасывать свой пароль. Было бы неправильно заставлять администратора изменять пароль каждого пользователя: проще поместить всех нужных пользователей в одно ОП и разрешить администратору менять в нем пароли. Это разрешение будет наследоваться всеми объектами пользователей в ОП, так что администратор сможет изменить разрешения для всех пользователей.

Сброс паролей пользователей — один из примеров делегирования административных полномочий. Существуют тысячи комбинаций разрешений, которые можно было бы назначить группам, отвечающим за администрирование и поддержку Active Directory.

ОП позволяют предприятию создавать активное представление административной модели и указывать, кто и что может делать с объектами в домене.
Групповая политика
ОП также используются для объединения одинаково настроенных объектов — компьютеров и пользователей. Групповая политика Active Directory позволяет централизованно управлять практически любыми конфигурационными изменениями системы. С ее помощью можно указать настройки безопасности, развернуть ПО и настроить поведение ОС и приложений, даже не прикасаясь к компьютерам пользователей. Вы просто реализуете свою конфигурацию в рамках одного ОГП.

ОГП состоят из сотен возможных конфигурационных параметров: от прав и привилегий пользователя до ПО, которое разрешено запускать на системе. ОГП подключается к контейнеру внутри Active Directory (обычно к ОП, но может и к доменам или даже сайтам), и после этого его настройки распространяются на всех пользователей и компьютеры внутри этого контейнера.

Важно запомнить, что групповая политика — средство централизованной реализации конфигурации, что одни настройки применяются только к компьютерам, а другие — только к пользователям, и что политика распространяется только на компьютеры и пользователей из ОП, с которым она связана.

Чем отличаются домен, дерево и лес в Active Directory?



Домен — это основная административная единица Active Directory.

Лес определяет границы действия Active Directory и должен содержать как минимум один домен.

Домены, совместно использующие непрерывное пространство имен DNS (т. е. обладающие общим корневым доменом), образуют дерево.

Домены, не использующие непрерывное пространство имен DNS, образуют разные деревья в данном лесу.


Смотрите также:
Установка и настройка Windows Server 2003. Служба каталогов Active Directory. Установка и настройка Windows Server 2003
80.27kb.
1 стр.
Обзор служб федерации Active Directory в Windows Server 2003 R2
303.25kb.
1 стр.
Лекция №10. Служба Active Directory Знакомство с Active Directory
329.56kb.
1 стр.
Курс ms-2279 Планирование, внедрение и поддержка инфраструктуры Microsoft Windows Server 2003 Active Directory
32.75kb.
1 стр.
Учебный центр arbyte · arbyte training Center
45.97kb.
1 стр.
Дистанционный курс «Администрирование Windows Server 2003»
26.11kb.
1 стр.
Служба каталогов Active Directory техническое описание
479.65kb.
8 стр.
Руководство по решению распределенных файловых систем в ос windows Server 2003 R2 Корпорация Майкрософт
537.72kb.
4 стр.
10 преимуществ обновления до версии Windows Server 2008 R2
78.95kb.
1 стр.
Библиотечный модуль печати налоговых документов с двухмерным штриховым кодом pdf417 Версия 9
34.17kb.
1 стр.
Вопросы к экзамену Семейство Windows Server 2003. Редакции Windows Server 2003
29.52kb.
1 стр.
Инструкция по настройке Windows 98 для доступа в Интернет с использованием vpn выбрать «Пуск» / «Настройка» / «Панель управления»
17.3kb.
1 стр.