Служба каталога предоставляет пользователям следующие сервисы и ресурсы: • Служба синхронизации времени • Служба обновления системного ПО • Служба аутентификации и авторизации пользователей • Ресурсы файлового хранилища • Ресурсы службы печати
3.1 Служба синхронизации времени.
Основным сервером службы синхронизации времени в домене Active Directory является первый контроллер домена. Все машины, входящие в домен, синхронизируют время с первым контроллером домена. Первый контроллер домена RootDC1 синхронизирует время с пограничным маршрутизатором Cisco, который синхронизирует время с внешним источником.
Контроллеры домена Предприятия и филиалов синхронизируют время с сервером RootDC1.
Клиентские рабочие станции в доменах синхронизируют время с контроллерами своего домена. • Рабочие станции Windows 2000/XP используют стандартную синхронизацию времени с контроллерами домена; • Рабочие станции и серверы Windows NT используют дополнительный клиент Windows Time Service 1.0 for NT для синхронизации времени в домене; • Рабочие станции Windows 9x синхронизируют время через логин-скрипт командой
net time \\DC1 /SET
3.2 Служба обновления системного ПО. 3.2.1 Структурная схема службы обновления системного ПО.
Служба управления обновлением системного ПО, патч-менеджмент, строится на базе Microsoft Software Update Services (SUS). Служба представляет собой иерархическую систему. Сервер SUS первого уровня получает обновления непосредственно с сервера Microsoft. Настраивается автоматическое подтверждение обновлений. Сервер SUS 1-го уровня располагается в Головном офисе. Обновления распространяются на тестовые станции, определенные системными администраторами, и на сервер SUS второго уровня. После необходимого тестирования системный администратор вручную подтверждает разрешенные обновления для распространения на рабочие станции и серверы в основной сети.
Сервер SUS второго уровня располагается внутри локальной сети, для удобства администрирования должен являться членом домена в качестве Member Server. В перспективе на этот сервер можно возложить другие задачи по мониторингу и управлению инфраструктурой. Синхронизация этого сервера с сервером первого уровня также настраивается на автоматическую работу. Синхронизация производится по расписанию, еженедельно, в воскресенье, с 12:00 для сокращения нагрузки на сеть в рабочее время. В случае выпуска компанией Microsoft экстренного обновления администратор должен синхронизировать сервер вручную.
Служба SUS распространяет обновления только для операционных систем MS Windows 2000/XP/2003 и более поздних, и Internet Explorer 5.x/6.x. Клиентские рабочие станции настраиваются на получение обновлений с сервера SUS второго уровня с помощью групповой политики, которая привязывается на уровне Организационной Единицы Whole Organization. Получение обновлений производится в понедельник, при включении рабочих станций пользователями. Обновление системного ПО на серверах производится системным администратором вручную. Обновления берутся с сервера SUS второго уровня.
3.2.2 Требования к аппаратному обеспечению сервера SUS 2-го уровня.
Нагрузка на сервер SUS 2-го уровня значительно выше, чем на сервер SUS 1-го уровня т.к. его клиентами являются все рабочие станции и серверы под управлением ОС Windows. Предъявляются высокие требования к быстродействию и емкости дисковой подсистемы. В дальнейшем этот сервер может быть использован как платформа для внедрения программного обеспечения мониторинга и управления инфраструктурой службы каталога.
3.2.3 Устанавливаемые компоненты и настройки сервера SUS 2-го уровня.
Устанавливаемые компоненты: • Internet Information Services 6.0 • Front Page Server Extensions • ASP.NET • Microsoft System Update Services
3.3 Служба аутентификации и авторизации пользователей.
Общая схема выдачи сертификатов выглядит, как представлено на следующем рисунке:
3.3.1 Подчиненные ЦС К основным функциям Подчиненных ЦС относятся:
Формирование сертификатов открытых ключей конечных пользователей; Формирование списка отозванных сертификатов; Ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.
Подчиненные Корпоративные ЦС публикуются в Active Directory, что требуется для предотвращения выдачи сертификатов в пространстве имен другого домена. Выдача сертификатов на Подчиненных Корпоративных ЦС проходит через подтверждение данного запроса администратором ЦС. Корпоративный ЦС поддерживает отзыв сертификатов и публикацию списков недействительных сертификатов в Active Directory. Выдаваемый Подчиненному Корпоративному ЦС сертификат имеет следующие параметры:
Алгоритм: SHA-1; Длина ключа: 1024 бит; Срок действия сертификата: 1 год.
Аудит Подчиненного Корпоративного ЦС должен соответствовать приведенным в таблице настройкам.
Вкладка
Параметр
Значение
Policy Module
Request Handling
The Administrator must explicitly issue the certificate.
Auditing
Back up and restore the CA database
Yes
Auditing
Change CA configuration
Yes
Auditing
Change CA security setting
Yes
Auditing
Issue and manage certificate requests
Yes
Auditing
Revoke certificates and publish CRLs
Yes
Auditing
Store and retrieve archived keys
Yes
Auditing
Start and stop Certificate Services
Yes
Таблица Свойства (Properties) Отозванных сертификатов
Вкладка
Параметр
Значение
CRL Publishing Parameters
CRL Distribution interval
14 days
Замечание: Надежность реализации построения системы аутентификации также зависит от детально разработанных и задокументированных основных процедур системы аутентификации и авторизации пользователей, в соответствии Политикой безопасности Компании. Разработка такой Политики выходит за рамки настоящего Поекта.
3.4.1 Файловые ресурсы. Файловое хранилище содержит следующие ресурсы: • рабочие файлы совместного использования; • личные каталоги пользователей и профили учетных записей пользователей; • служебные файлы, такие как дистрибутивы прикладного ПО, драйверы устройств и т.п..
Рабочие файлы пользователей должны быть перенесены на серверные хранилища, где будет обеспечена отказоустойчивость с помощью RAID и резервное копирование. Сохранность файлов, не перенесенных на серверы, администраторы сети не гарантируют. Папки общего доступа создаются только на серверах. Пользователи не имеют прав для создания папок общего доступа на своих рабочих станциях.
3.4.2 Дисковое пространство.
Для контроля использования дискового пространства необходимо использовать дисковые квоты. Для каждого из приведенных выше файловых ресурсов необходимо создать отдельный дисковый раздел и организовать независимое квотирование. Контроль дискового пространства, занятого файлами, осуществляется с помощью квот в рамках дискового раздела. В качестве файловой системы всех дисковых разделов используется NTFS. Квоты назначаются персонально пользователям и применяются в рамках дискового раздела. В качестве файловых хранилищ будет использовано дисковое пространство внешнего дискового массива, подключенного к файл-серверу.
3.4.3 Структура файлового каталога. Раздел HOME.
Личные каталоги пользователей представляют собой плоскую структуру. На дисковом разделе Home файлового сервера создается каталог \Users. К этому каталогу открывается общий доступ всем пользователям с правом чтения и записи для предоставления ОС возможности создавать каталоги профилей от имени учетных записей пользователя. Сетевое имя каталога будет: [Server Name]\Users$\ Каталог будет скрыт и невидим пользователям в сетевом окружении. В этом каталоге создаются каталоги автоматически, при применении групповой политики перенаправления каталогов пользователя [My Documents],[Application Data],[Desktop] на сервер. Каталоги именуются по правилу: [Server Name]\Users$\%Username% Права на чтение и запись имеет только пользователь с учетной записью, возвращаемой переменной %Username%
Раздел PROFILE
Каталоги профилей учетных записей пользователей представляют собой плоскую структуру. На дисковом разделе Profile файлового сервера создается каталог \Profiles. К этому каталогу открывается общий доступ всем пользователям с правом чтения и записи для предоставления ОС возможности создавать каталоги профилей от имени учетных записей пользователя. Сетевое имя каталога будет: [Server Name]\Profiles$\ Каталог будет скрыт и невидим пользователям в сетевом окружении. В этом каталоге создаются каталоги профилей пользователей автоматически, при первой регистрации пользователя в службе каталога в следствии применении политики перемещения профиля на сервер. Каталоги именуются по правилу: [Server Name]\Profiles$\%Username% Права на чтение и запись имеет только пользователь с учетной записью, возвращаемой переменной %Username%
Раздел PUBLIC.
Структура каталогов общего пользования формируется согласно организационной схеме предприятия. Каждое подразделение, отраженное OU, имеет соответствующий файловый каталог. Ниже приводится структура каталогов верхнего уровня. • TEMPORARY. Каталог предназначен для обмена и временного хранения общедоступных рабочих файлов. Раз в неделю все файлы из этого каталога удаляются. • VIP. Каталог предназначен для обмена файлами между руководством компании. Располагается на общем файловом сервере. • Finance, предназначен для хранения информации, общей для всех финансовых подразделений. • Production. Каталог предназначен для хранения информации производственных подразделений и служб поддержки • Office. Каталог предназначен для хранения информации офисных пользователей. • TradeHouse. Каталог предназначен для хранения информации московского отделения Торгового Дома. • Secure. Каталог содержит информацию Отдела Безопасности. • IT. Каталог предназначен для хранения информации ИТ-служб. • DFSRoot. Каталог предназначен для поддержания корня распределенной файловой системы домена Предприятия
При предоставлении совместного доступа к каталогам сетевое имя должно оканчиваться символом «$». Таким образом, путь к каталогу будет иметь вид:
\\[Server Name]\[Catalog Name]$
Это сделает каталоги невидимыми пользователям в сетевом окружении, что позволит избежать попыток случайного доступа к чужим каталогам. Для доступа к разрешенным каталогам, эти каталоги будут привязываться к буквам логических дисков с помощью Login Scripts. Пример скрипта для сотрудников Аналитического отдела Финансовой службы:
Net use e: \\[Server name]\Finance$ Net use f: \\[Server name]\ Economic_Analyze$
Раздел DISTRIB. Структуру каталогов этого раздела самостоятельно формируют сотрудники ИТ службы.
3.4.4 Разграничение доступа к файловым ресурсам.
Для каждого файлового каталога создается 2 локальные группы с правами на чтение и запись. Право на удаление файла предоставляется только учетной записи, от имени которой этот файл был создан, и администратору системы.
3.4.5 Структура DFS.
Корень DFS домена ENT1.COMPANY располагается на сервере RootFS в папке DFSRoot. \\RootFS\DFSRoot\ В этой папке располагаются указатели (Links) на ресурсы (target servers) DFS домена Предприятия. В качестве ресурсов DFS выступают: • файловые каталоги для совместной работы на файловом сервере RootsFS • корни DFS других доменов, для предоставления прозрачного доступа к файловым ресурсам из других доменов • файловые каталоги старых файловых серверов, для обеспечения непрерывности работы пользователей при переходе в новую систему • файловые каталоги на серверах с другими ОС, Novell NetWare или UNIX
Адрес файлового ресурса будет иметь вид:
\\[FQDN домена]\[имя линка].
Например, для доступа к документам Торгового Дома путь будет следующим: \\ENT1.company\TradeHouse\
На один и тот же ресурс может указывать несколько линков. Для обеспечения комфортной навигации для каждого ресурса будет создано 2 линка. Один по географическому признаку, другой по организационному, эти линки будут объединены в соответствующих подкаталогах в каталоге \RootFS.
• \RootFS\Branches\TH\,\RootFS\Branches\HQ и т.д.
• \RootFS\Departments\Productions, \RootFS\Departments\Finance и т.д
Для обеспечения доступа к ресурсам DFS, расположенным в других доменах необходимо настроить DFS на FQDN разрешение имен, т.к. по умолчанию используются имена NetBIOS. За разрешение имен в DFS отвечает следующий ключ реестра:
