2015-03-20
2208
Для успешной работы сети может потребоваться значительное количество сервисов. Обычно это совместное хранение данных, услуги подсистем печати, серверов баз данных, почтовых серверов и другие.
Число одновременных сеансов на одном адаптере протоколом не ограничивается, однако единственный сервер сети может не справится с нагрузкой. Обычно используют несколько серверов для разных сервисов сети. Например работы серверов почтовых и сервера баз данных разделены между физически разными серверами. Причем для достижения наибольшей производительности серверов могут потребоваться различные настройки ОС, иногда противоречивые. Так в сети появляется несколько компьютеров выполняющие различные задачи. Для удобства управления все сетевые ресурсы могут администрироваться из одного центра. В случае одиночных серверов для предоставления сетевых услуг администратор должен выделять ресурсы каждого сервера поодиночке, что приводит к необходимости регистрировать пользователя на каждом сервере независимо от другого (пример ОС NetWare 3.11). Возможно выделить специальный сервер выполняющий авторизацию пользователей и сообщающий другим серверам о правах зарегистрированного пользователя. Такая организация сети называется доменной. Домен это логическая структура объединяющая все сетевые объекты воедино. Существует специализированная база данных хранящая информацию о всех сетевых объектах. Эта база может располагаться как на одном сервере (именуемом контроллер домена для ОС W2K или W2003), так и распределяться между несколькими серверами. Для того что бы пользователь мог воспользоваться ресурсами домена необходимо зарегистрировать его в определенном месте леса (Forest – логический компонент реализации Active Directory), при этом будет создан идентификатор пользовательского имени (UPN – User Principal Name). Одновременно с созданием пользователю назначаются и права которыми он должен обладать для выполнения своей работы. Так пользователь может входить в состав различных групп в составе Active Directory, администратором может быть ограничено время в хода пользователя в систему, адреса или хосты с которых может работать данный пользователь. Удобным является тот факт, что пользователь может быть подключен к определенному профилю (профиль задает те характеристики работы клиентского компьютера которые необходимы для данного пользователя). Один профиль может использоваться для нескольких пользователей. Достоинство данной возможности особенно заметны для удаленных пользователей или в случае поломки компьютера. Так как все создаваемые пользователем файлы можно размещать на сервере, то в случае замены компьютера, для пользователя сохраняется привычная среда работы.
|
|
|
При входе в сеть производится авторизация пользователя. После успешной идентификации вам будет предоставлен доступ ко всем сетевым ресурсам, к которым вы имеете доступ, без необходимости регистрироваться на различных серверах. Для идентификации пользователей в ОС W2K или W2003 используются два протокола Kerberos и NT LAN Manager (NTLM). Служба Active Directory является важной составляющей частью в модели управления доступом. Когда пользователь входит в домен, подсистема защиты вместе с Active Directory создает лексему доступа, которая содержит идентификатор защиты (SID – Security Identifier) учетной записи пользователя, а так же идентификаторы SID всех групп, членом которых является данный пользователь. Идентификатор SID является атрибутом пользовательского объекта в Active Directory. Затем лексема доступа сравнивается с дескриптором защиты на ресурсе, и, если устанавливается соответствие, то пользователю предоставляется требуемый доступ.
|
|
|
