3844

Можно ограничить объем дискового пространства, доступного каждому пользователю, но это "палка о двух концах".

Содной стороны, это превосходное средство, препятствующее излишнему использованию пространства на диске.

Сдругой стороны, придется тратить больше времени на жалобы пользователей, которые требуют особых льгот.

Windows отслеживает дисковые квоты для каждого тома, даже если эти тома находятся на одном жестком диске. Windows отслеживает объем занятого пространства, основываясь на принадлежащих пользователю файлах/папках. Когда пользователь копирует или сохраняет новый файл Windows сравнивает пространство, необходимое для размещения файла и квоту пользователя; При определении объема занятого пространства Windows игнорирует сжатие. Учитывается каждый несжатый байт; Если используются дисковые квоты, свободное пространство на диске, предоставляемое приложениями Windows будет равно оставшемуся пространству квоты пользователя.

Отслеживание дисковых квот

Жесткие квоты. Пользователи не могут превышать допустимый объем пространства на диске. Свободные квоты. Пользователям разрешается превышать их квоты, но при этом отслеживается использование пространства на диске, чтобы администратор мог решить, каким пользователям следует снизить объем используемого пространства.

Квоты позволяют применять еще один подход, который – сбор информации для включения/отключения квот.

Если администратор налагает квоты, то может легко получать отчеты о квотах.

Если использование пространства на диске не создает проблем, требующих срочного вмешательства, то администратор может использовать эти отчеты, чтобы указать некоторым пользователям ("пожирателям" дискового пространства) на недопустимое использование диска.

Затем отключаются квоты.

В следующий раз, когда необходимо отследить использование диска, снова включаются квоты, чтобы быстро получить отчеты и повторить объяснения (возможно, с теми же пользователями).

Преимущество состоит в том, что нет необходимости все время работать с применением квот (квоты требуют передачи некоторой дополнительной служебной информации).

Требования по дисковым квотам:

−Том должен быть отформатирован с помощью NTFS.

−Для администрирования квот вы должны быть членом группы Administrators на локальном компьютере, где находится этот том (дисковые квоты можно администрировать как для локальных, так и удаленных томов).

−Пользователи могут выполнять запись в любое количество папок, а для сравнения с квотой рассчитывается суммарный объем пространства, используемого на томе.

−Если пользователи перемещают файлы из одной папки в другую на одном томе, это не изменяет объема используемого ими пространства. Но если они копируют файлы в другую папку на одном томе, это удваивает объем используемого ими пространства.

ГЛАВА 2

ВВЕДЕНИЕ В ACTIVE DIRECTORY

Объединение компьютеров в единую информационную сеть позволяет пользователям совместно использовать общие ресурсы. Современные операционные системы, ориентированные на корпоративный рынок, используют для организации ресурсов специальную сетевую службу, дающую пользователям возможность получения доступа к ресурсам сети без необходимости точного знания местоположения этих ресурсов. Данная технология крайне необходима при создании информационной системы аидеонаблюдения за дорожным движением на автомагистралях.

Речь идет о службе каталога (DirectoryService). Каталог при этом рассматривается как глобальное унифицированное хранилище информации об элементах сетевой инфраструктуры. Вся информация о компонентах сетевой инфраструктуры, в качестве которых могут выступать пользователи, ресурсы, сетевые службы и т. п., размещается в каталоге. Внутри каталога объекты организуются либо в соответствии с физической, либо логической структурой сети. В качестве аналогии можно провести параллель с библиотечным каталогом, содержащим упорядоченные сведения о книгах.

2.1. Задачи, решаемые в ActiveDirectory

Управление сетевыми ресурсами. Поскольку задача предоставления ресурсов в общее пользование является основной, ради чего компьютеры объединяются в сеть, необходимо, чтобы пользователи получали доступ к требуемым ресурсам наиболее эффективным способом. Служба каталога облегчает пользователям поиск нужных ресурсов, скрывая от них подробности реализации механизма поиска.

Управление пользователями. Каждому пользователю поставлен в соответствие определенный набор характеристик, позволяющий персонализировать его деятельность в сети. Это дает возможность управлять доступом к сетевым ресурсам на уровне пользователей. При этом служба каталога рассматривает пользователей в качестве обыкновенных объектов каталога, что дает возможность организовывать их в соответствии со структурой сети (логической либо физической).

Управление приложениями. В зависимости от того, на решение каких конкретно задач ориентируются пользователи, на их компьютерах может быть развернуто различное программное обеспечение. В небольшой локальной сети осуществление контроля используемого программного обеспечения не требует от администратора особых усилий. В случае большой корпорации на передний план выходит задача по централизованному управлению программным обеспечением, включая развертывание новых приложений и выполнение обновления существующих.

Управление службами. При построении сети администратору приходится также решать вопросы, связанные с конкретным способом ее организации.

2.2. Доменная структура ActiveDirectory

Понятие домена является ключевым для ActiveDirectory.

Задачи домена:

Создание областей административной ответственности. Используя доменную структуру, администратор может поделить корпоративную сеть на области (домены), управляемые отдельно друг от друга. Каждый домен управляется своей группой администраторов (администраторы домена).

Создание областей действия политики учетных записей. Политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки. Поскольку эти вопросы решаются организационно на уровне всего домена, данный комплекс мер принято называть политикой учетных записей.

Разграничение доступа к объектам. Каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа). Разнесение пользователей в различные домены позволяет эффективно управлять доступом к важным ресурсам. С другой стороны, применение доверительных отношений (trustrelationships) позволяет обеспечить пользователям одного домена доступ к ресурсам других доменов.

Создание отдельного контекста имен для национальных филиалов. В

случае если компания имеет филиалы, расположенные в других странах, может потребоваться создать отдельный контекст имен для каждого такого филиала.

Изоляция трафика репликации. Для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным.

Ограничение размера копии каталога. Каждый домен ActiveDirectory

может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога. Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии. Администратор может использовать домены как средство регулирования размера копии каталога.

2.3. Иерархия доменов в ActiveDirectory

Для именования доменов используется соглашение о доменных именах. Имя домена записывается в форме полного доменного имени

(FullyQualifiedDomainName, FQDN), которое определяет положение домена относительно корня пространства имен. Полное доменное имя образуется из имени домена, к которому добавляется имя родительского домена. Так, например, для домена kit, являющегося дочерним по отношению к домену khsu.ru, полное доменное имя будет записано в форме kit. khsu.ru.

Совокупность доменов, использующих единую схему каталога, называется лесом доменов (forest). Строго говоря, входящие в лес домены могут не образовывать "непрерывного" пространства смежных имен. Тем не менее, так же как и в случае пространства имен DNS, домены ActiveDirectory могут образовывать непрерывное пространство имен. В этом случае они связываются между собой отношениями "родитель-потомок". При этом имя дочернего домена обязательно включает в себя имя родительского домена. Совокупность доменов, образующих непрерывное пространство смежных имен, называют деревом доменов (domaintree). Лес может состоять из произвольного количества деревьев домена.

Первое созданное в лесу доменов дерево является корневым деревом. Корневое дерево используется для ссылки на лес доменов. Первый, созданный в дереве домен, называется корневым доменом дерева (treerootdomain), который используется для ссылки на данное дерево. Совершенно очевидно, что корневой домен является определяющим для всего дерева.

Соответственно, первый домен, созданный в лесу доменов, называется

корневым доменом леса (forestrootdomain). Корневой домен леса играет очень важную роль, связывая деревья, образующие лес доменов, воедино и поэтому не может быть удален. В частности, он хранит информацию о конфигурации леса и деревьях доменов, его образующих.

2.4. Организационные подразделения в ActiveDirectory

Подразделения, или организационные единицы (organizationalunit) представляют собой объекты каталога контейнерного типа, посредством которых администратор может организовать объекты в соответствии с некоторой логической структурой вычислительной сети. Основное предназначение подразделений состоит в логической организации сетевых ресурсов с целью наиболее эффективного управления ими. Все объекты, размешенные внутри подразделения, рассматриваются как некоторый административный блок.

Задачи организационных подразделений:

Формирование административной иерархии.Механизм подразделений наряду с доменами может быть использован как средство формирования административной иерархии. Администраторы уровня корпорации принимают глобальные решения в рамках всего леса доменов. Администраторы доменов осуществляют управление доменами. При этом они передают (делегируют) определенным пользователям часть своих полномочий на уровне подразделений

— это полномочия на управление объектами, расположенными внутри этих подразделений. При этом пользователи, которым делегированы административные полномочия, могут реализовать их исключительно внутри своего подразделения.

Отражение организационной структуры предприятия. Механизм подразделений может использоваться для организации объектов каталога в соответствии с их географическим расположением или с принадлежностью к некоторому структурному подразделению предприятия. Например, реализовав вычислительную сеть университета в виде домена, можно создать для каждого факультета свое подразделение. Для кафедр, имеющихся на каждом факультете, можно также создать свои подразделения.

Управление процессом применения групповых политик.Групповые политики могут быть применены на трех уровнях: на уровне домена, на уровне

сайта и на уровне подразделений. Если необходимо в рамках одного домена реализовать несколько различных групповых политик, можно использовать иерархию подразделений.

Распределение ответственности.Администратор может разместить объекты одного класса в отдельных подразделениях. Такой шаг позволяет распределить обязанности по управлению домена между администраторами низшего звена. Например, один из них ответственен за управление пользователями, второй - за управление компьютерами, третий же осуществляет публикацию принтеров.

Управление доступом к объектам.Администратор может назначать права доступа к подразделениям. Соответственно, администратор может управлять уровнем доступа к объектам каталога, поместив их внутрь подразделения и предоставив определенным категориям пользователей соответствующие разрешения на доступ к его содержимому. Например, администратор помещает объекты, ассоциированные с информацией о контакте, внутрь подразделения, доступ к которой имеют только менеджеры отдела продаж и руководители компании.

2.5. Задачи контроллеров доменов ActiveDirectory. Специализированные роли контроллеров домена.

Владелец схемы (SchemaMaster)Контроллер домена, осуществляющий изменения в схеме каталога. Существование только одного владельца (хозяина) схемы в пределах леса доменов исключает возможность конфликтов, связанных с ее изменением. Отказ владельца схемы приводит к тому, что выполнение операции расширения схемы станет невозможным.

Владелец доменных имен (DomainNamingMaster)Контроллер домена,

отслеживающий изменения в структуре леса доменов. Любое изменение пространства имен доменов ActiveDirectory (добавление, удаление, а также переименование доменов) осуществляется исполнителем данной роли. Тем самым гарантируется целостность пространства имен и уникальность его компонентов. Отказ исполнителя этой роли приводит к тому, что любое изменение пространства имен каталога станет невозможным.

Владелец идентификаторов (Relative ID Master)Контроллер домена,

осуществляющий генерацию идентификаторов (глобальные идентификаторы, идентификаторы безопасности и т. п.). От идентификатора в первую очередь

требуется уникальность. Самый простой способ гарантировать уникальность генерируемых идентификаторов — возложить обязанность исполнителя данной роли на один контроллер в домене. Отказ исполнителя данной роли приводит к тому, что создание объектов в домене станет невозможным.

Эмулятор основного контроллера домена (PDC Emulator)Используется для обеспечения репликации изменений между контроллерами домена Windows NT и WindowsServer. Исполнитель роли фактически эмулирует домен Windows NT. Поскольку в домене Windows NT допустимо наличие только одного основного контроллера, его эмулятор в домене ActiveDirectory также может быть только один. На других функциональных уровнях эмулятор основного домена используется для изменения паролей учетных записей, а также играет ведущую роль в процессе синхронизации системных часов всех контроллеров домена. Эмулятор РОС по умолчанию выбирается оснасткой GroupPolicyObjectEditor. Поэтому, если исполнитель данной роли недоступен, администратор может столкнуться с серьезными проблемами при редактировании объектов групповой политики.

Владелец инфраструктуры (InfrastructureMaster)Контроллер домена,

отвечающий за структуру каталога. В процессе удаления или перемещения объектов один из контроллеров домена должен взять на себя обязанности по сохранению ссылки на данные объекты до тех пор, пока эти изменения не будут реплицированы на все остальные контроллеры домена. Если в домене имеются несколько контроллеров домена, желательно не совмещать функции исполнителя данной роли и сервера глобального каталога. Лучше разнести эти функции на разные контроллеры домена, которые обязательно должны быть соединены высокоскоростным каналом.

По умолчанию все специализированные роли возлагаются на первый контроллер домена, установленный в новом лесе доменов.

Аналогичным образом, в процессе создания нового домена первый установленный контроллер будет выбран в качестве исполнителя ролей, уникальных в пределах домена.

Понижение контроллера домена, выбранного в качестве исполнителя специализированной роли, до выделенного сервера приводит к тому, что роли передаются другому контроллеру домена.

При необходимости администратор может в любой момент передать обязанности исполнителя любой роли другому контроллеру домена.

Это может потребоваться, например, в ситуации, когда планируется обновление аппаратного обеспечения сервера.

В процессе нормальной передачи роли текущий исполнитель специализированной роли освобождается от исполнения специфических обязанностей и становится обычным контроллером домена. Одновременно с этим на другой контроллер домена, выбранного на роль нового исполнителя, возлагаются обязанности исполнителя специализированной роли.

2.6. Доверительные отношения в ActiveDirectory

Доверительные отношения (trusts) представляют собой связь, устанавливаемую между доменами, позволяющую пользователям одного домена аутентифицироваться контроллером другого домена.

Наличие механизма доверительных отношений позволяет организовывать совокупность доменов в некоторую структуру. В этой структуре домены связываются между собой определенным образом отношениями доверия. Доверительные отношения реализуются в рамках механизма аутентификации. Суть доверительных отношений между двумя доменами сводится к тому, что доверяющий домен (trustingdomain) доверяет процесс аутентификации доверенному домену (trusteddomain).

Пользователь, аутентифицированный доверенным доменом, может получить доступ к ресурсам в доверяющем домене.

Транзитивность доверительных отношений предполагает сквозную аутентификацию пользователей в цепочке доменов, связанных между собой подобными отношениями. Например, если домен А доверяет домену В, а домен В доверяет домену С, то между доменами А и С автоматически устанавливаются доверительные отношения (эти отношения неявные).

Односторонние доверительные отношения NTLM не обладают свойствами транзитивности.

Для создания отношений полного доверия между пятью доменами необходимо будет установить двадцать односторонних доверительных отношений. Аналогичного результата можно добиться при помощи всего лишь четырех двусторонних транзитивных доверительных отношений.

Рис. 2.1 Односторонние и транзитивные доверительные отношения.

Доверительные отношения внутри дерева (двусторонние,

транзитивные)Устанавливаются автоматически при создан ии в дереве нового домена. В рамках дерева доменов отношения описываются схемой "родительпотомок".

Доверительные отношения внутри леса (двусторонние,

транзитивные)Устанавливаются автоматически при создании в существующем лесе нового дерева доменов. Фактически доверительные отношения устанавливаются между корневым доменом леса и созд аваемым доменом, который будет являться к орневым для нового дерева.

Доверительные отношения между лесами доменов (двусторонние или односторонние транзитивные)устанавливаются администраторами лесов доменов вручную. При этом администраторы сами решают — будут отношения двусторонними или односторонними.

Перекрестные (sho rtcut) доверительные отношения (односторонние или двусторонние транзитивные)Устанавливаются между доменами различных деревьев, принадлежащих к одному лесу. Необходимость доверительных отношений данного типа не всегда очевидна, поскольку между доменами, принадлежащими одному лесу, через корневые домены автоматически устанавливаются неявные доверительные отношения.

использоваться для соединения лесов, когда невозможно уст ановить отношения доверия между лесами в целом (вследствие того, что оди н или оба леса не находятся на функционал ьном уровне WindowsServer)