Основы компьютерных сетей

Безопасность Active Directory


В Active Directory для копирования информации каталога между контроллерами домена в пределах домена используется многомастерная репликация. Изменения могут быть сделаны в любом контроллере домена. Затем изменения реплицируются на другие контроллеры доменов, но только не во время выполнения операции одного мастера.

Администраторы Windows 2000 могут выбирать стратегию репликации, определяющую, когда и как часто выполняется репликация каталогов. Это позволяет оптимизировать загрузку сетевых каналов. Управление расписанием репликации особенно важно, если контроллеры домена расположены на разных концах медленного канала, например в соединении глобальной сети с пропускной способностью 56 Кбит/с.

У каждого объекта Active Directory есть список контроля доступа, содержащий все права доступа, ассоциированные с этим объектом. Право доступа может быть или явно предоставлено, или отменено отдельно для каждого пользователя либо группы.

Существует два типа прав доступа.

•        Присвоенные права доступа. Явно предоставленное пользователю право сделать что-либо.

•        Наследованные права доступа. Права доступа к дочерним объектам, унаследованные от родительского объекта.

Права доступа могут бьггь присвоены как отдельному пользователю, так и группе пользователей. В операционной системе Windows 2000 администратор может управлять процессом наследования и при необходимости отменять наследование. Это выполняется с помощью флажка Allow Inheritance. (Разрешить наследование.) в нижней части вкладки Security (Безопасность) диалогового окна свойств объекта .

Служба Active Directory неразрывно связана с операционной системой и во всем зависит от нее, поэтому Active Directory может выполняться только на сервере Windows 2000. Однако вследствие совместимости Active Directory с LDAP клиенты LDAP

могут получать доступ к службе каталогов Active Directory, кроме того, Active Directory может обмениваться информацией с другими каталогами LDAP. Компания Microsoft предоставляет также инструменты переноса информации в Active Directory из других каталогов, например NDS.

Службы каталогов NDS и Active Directory хорошо знакомы пользователям и администраторам сетей. Однако стоит уделить внимание и другим службам каталогов, используемым на различных платформах. Далее рассматриваются такие службы каталогов:

•        OS/400 компании IBM;

•        компании Sun;

•        VINES StreetTalk компании Banyan;

•        в Internet.

Комментарии закрыты