admin / 25.02.2018

Курсы для администраторов! Для чего? / Хабр

.

  • Содержание

    Понятие службы каталога и Active Directory

    Для организации доменов на базе систем Windows 2000 Server и Windows Server 2003 используется служба каталога Active Directory. Каждый контроллер домена под управлением этих систем является сервером каталога Active Directory, и службу Active Directory невозможно развернуть без создания доменной структуры.

  • Протокол LDAP

    Для лучшего понимания роли протокола LDAP рассмотрим основные идеи спецификации Х.500. Данная спецификация была разработана Международным консультационным комитетом по телефонии и телеграфии (Consultative Committee for International Telephone and Telegraph, CCITT) совместно с Международной организацией по стандартизации (International Standardization Organization, ISO).

  • Информационная модель Active Directory. Объекты и дерево каталога. Атрибуты. Схема каталога.

    Основным структурным компонентом каталога является элемент (entry), который в терминологии Active Directory называется объектом (object). Объекты являются фундаментальными единицами, которыми манипулирует служба каталога.

  • Модель именования LDAP

    Одним из условий успешного манипулирования объектами каталога является однозначная идентификация каждого объекта. Для именования и идентификации объектов в каталоге протокол LDAP использует механизм отличительных имен (Distinguished Name, DN).

  • Схемы именования объектов в Active Directory. Основные имена субъектов безопасности. Полные доменные имена.

    Протокол LDAP предполагает единственный способ идентификации объектов в каталоге посредством отличительных имен. Однако служба каталога Active Directory позволяет использовать целый ряд дополнительных схем именования, каждая из которых применяется в определенных ситуациях.

  • Глобально уникальные идентификаторы. Имена NetBIOS. Унифицированный указатель ресурсов LDAP. Канонические имена.

    Отличительное имя однозначно определяет объект в каталоге. Однако перемещение объекта или его переименование (равно как и переименование любого из контейнеров, внутри которых данный объект содержится) приводит к изменению его отличительного имени.

  • Служба DNS

    Протокол LDAP представляет собой механизм доступа пользователей к каталогу.

    Книги по Active Diretory на Windows Server 2012?

    Однако для того, чтобы клиент смог подключиться к серверу LDAP и отправить свой запрос, он должен точно знать его расположение в сети.

  • SRV-записи

    Служба доменных имен использует SRV-записи для определения местонахождения серверов, предоставляющих услуги определенных служб. Каждая SRV-запись, используемая для работы с Active Directory, представляет собой DNS-псевдоним службы, записанный в формате: | _Service._Protocol.DnsDomainName | Где:

  • Протокол аутентификации Kerberos

    Протокол аутентификации Kerberos является основным механизмом аутентификации, используемым в среде доменов Active Directory на базе Windows 2000 Server и Windows Server 2003. Этот протокол был разработан в Массачусетском технологическом институте (Massachusetts Institute of Technology, MIT) в начале 1980-х. Существует несколько версий протокола Kerberos.

  • Компоненты службы Active Directory

    Перейдем от терминологии к рассмотрению механизмов и подсистем, составляющих архитектуру Active Directory. Для начала рассмотрим структуру службы каталога. | Active Directory представляет собой совокупность служб, обслуживающих обращения пользователей к каталогу.

  • Доменная структура Active Directory. Домены.

    Понятие домена является ключевым для Active Directory. Домены выступают в качестве основного средства формирования пространства имен каталога. Другие уровни формирования структуры каталога сосредотачиваются либо на административной иерархии, либо на физической структуре сети.

  • Иерархия доменов

    Для именования доменов используется соглашение о доменных именах. Имя домена записывается в форме полного доменного имени (Fully Qualified Domain Name, FQDN), которое определяет положение домена относительно корня пространства имен.

  • Контроллеры домена

    Серверы Windows Server 2003, на которых функционирует экземпляр службы каталога Active Directory, называются контроллерами домена (domain controller, DC). Контроллеры домена являются носителями полнофункциональных копий каталога.

  • Специализированные роли контроллеров домена

    Служба каталога Active Directory использует модель репликации с множеством равноправных участников (multimaster replication). С точки зрения подсистемы репликации не имеет значения, какой из носителей осуществляет изменения в каталоге. Изменения могут быть произведены в любой из копий каталога.

  • Доверительные отношения

    Доверительные отношения (trusts) представляют собой связь, устанавливаемую между доменами, позволяющую пользователям одного домена аутентифицироваться контроллером другого домена. Наличие механизма доверительных отношений позволяет организовывать совокупность доменов в некоторую структуру.

  • Доверительные отношения между лесами доменов

    Процесс создания отношений между лесами доменов заслуживает особого внимания. Организация взаимодействия двух лесов доменов, соединенных между собой отношениями доверия, имеет свои специфические моменты. | Рассмотрим процесс аутентификации пользователей.

  • Подразделения (Организационные единицы)

    Подразделения, или организационные единицы (organizational unit) представляют собой объекты каталога контейнерного типа, посредством которых администратор может организовать объекты в соответствии с некоторой логической структурой вычислительной сети.

  • Группы

    Подразделения являются не единственным механизмом, который администратор может использовать для группировки объектов по некоторому признаку. Объекты, ассоциированные с пользователями, компьютерами и контактной информацией, могут быть объединены в специальные группы (groups).

  • Физическая структура каталога. Сайты.

    Вычислительная сеть крупных компаний представляет собой совокупность подсетей, соединенных между собой коммуникационными линиями с различной пропускной способностью. В этом случае на передний план выходит задача оптимизации трафика через эти коммуникационные линии.

  • Транспорт репликации

    Понятие транспорта репликации характеризует механизмы и протоколы, используемые для передачи изменений. Active Directory может использовать в качестве транспорта RFC over IP ("RPC поверх IP") или протокол SMTP. В табл.

  • Соединения сайтов. Расписание репликации.

    Топология репликации формируется при помощи специального класса объектов – соединений (connections). Соединение представляет собой однонаправленное соглашение между двумя контроллерами домена о передаче изменений.

    С каждым соединением ассоциируется объект в разделе конфигурации каталога.

  • Серверы глобального каталога

    Глобальный каталог (global catalog) представляет собой базу данных, содержащую фрагменты всех доменных контекстов имен, образующих пространство имен каталога. Глобальный каталог является важной и неотъемлемой частью Active Directory.

  • Механизмы репликации каталога. Разделы каталога.

    Каталог рассматривается как база данных, распределенная между множеством носителей. Каждый контроллер домена является носителем копии каталога. При этом каждая из копий является полнофункциональной. Это означает, что каждый контроллер домена может вносить изменения в собственную копию каталога.

  • Разделы приложений

    Дополнительно к перечисленным разделам, в каталоге Active Directory на базе систем Windows Server 2003 могут быть созданы специализированные разделы, которые получили название разделов приложений (application directory partitions).

  • Топология репликации

    Процесс репликации предполагает обмен изменениями в разделах каталога между отдельными участниками. Для обозначения односторонней передачи данных от одного партнера по репликации к другому используется термин соединение (connection).

  • Служба репликации файлов. Создание системного тома SYSVOL.

    Каталог рассматривается как централизованное место хранения информации о сетевых ресурсах. Однако в силу определенных причин некоторая часть информации не может быть размещена в каталоге. Например, старые версии операционных систем (Windows 9x/NT) используют специальный сетевой ресурс NETLOGON для размещения информации, необходимой для регистрации в сети.

  • Групповые политики. Объекты групповой политики.

    В настоящее время практически любой производитель системного программного обеспечения встает перед проблемой снижения общей стоимости владения системой (total cost ownership). Эта проблема заключается в том, что развитие и связанное с этим усложнение технологий приводит к увеличению затрат на администрирование.

    • Авторизованные курсы корпорации Microsoft

         

    Курс: 10969 Active Directory Services with Windows Server
    (Службы Active Directory в Windows Server 2012)

    Ориентирован: на опытных ИТ-специалистов, обладающих фундаментальными знаниями и опытом администрирования Active Directory и занимающихся обеспечением поддержки средних и крупных корпоративных сетей, которым требуется курс, позволяющий улучшить свои знания и навыки администрирования технологий доступа и защиты информации в WindowsServer 2012 и WindowsServer 2012 R2.
    Предварительный уровень подготовки:

    • Опыт работы с Active Directory Domain Services.
    • Опыт работы с инфраструктурой Windows Server в корпоративной среде.
    • Опыт работы и устранения неисправностей, связанных с ключевыми инфраструктурными технологиями, такими как разрешение имен, IP-адресация, DNS, DHCP.
    • Опыт работы с Hyper-V, понимание концепции виртуализации серверов.
    • Общие знания и понимание рекомендаций по обеспечению безопасности.
    • Практический опыт работы с клиентскими операционными системами Windows 7 или Windows 8.
    • Знания, эквивалентные обучению на курсе 10967 Fundamentals of a Windows Server Infrastructure.

    Продолжительность: 5 дней, 40 академических часов.
    Методические материалы: учебник Microsoft на английском языке.
    Документ об окончании курса: сертификат корпорации Microsoft.

    Программа курса

    1. Обзор технологий доступа и защиты информации.

    • Введение в решения по обеспечению доступа и решений для защиты информации в бизнесе.
    • Обзор решений по обеспечению доступа и защиты информации (AIP -Access and Information Protection)в Windows Server 2012.
    • Обзор FIM (Forefront Identity Manager) 2012 R2.

    2. Дополнительные параметры развертывания и администрирования AD DS.

    • Внедрение AD DS.
    • Внедрение и клонирование виртуальных контроллеров домена.
    • Развертывание контроллеров домена в Windows Azure.
    • Администрирование AD DS.

    3. Обеспечение безопасности служб AD DS.

    • Обеспечение безопасности контроллеров домена.
    • Применение политик паролей и блокировки учетных записей.
    • Аудит аутентификации.

    4. Внедрение и администрирование сайтов AD DS и их репликация.

    • Обзор репликации AD DS.
    • Настройка сайтов AD DS.
    • Конфигурирование и мониторинг репликации AD DS.

    5. Реализация групповых политик.

    • Введение в групповые политики.
    • Реализация объектов групповых политик (GPO) и их администрирование.
    • Границы применения и порядок обработки групповых политик.
    • Поиск и устранение неисправностей, связанных с применением групповых политик.

    6. Управление параметрами пользователей с помощью групповых политик.

    • Использование административных шаблонов.
    • Настройка перенаправления папок и скриптов.
    • Настройка предпочтений групповых политик.

    7. Развертывание и управление службами сертификатов Active Directory (AD CS).

    • Развертывание центров сертификации.
    • Администрирование центров сертификации.
    • Поиск и устранение неисправностей, поддержка и мониторинг центров сертификации.

    8. Внедрение и управление сертификатами.

    • Использование сертификатов в бизнес-среде.
    • Внедрение и управление шаблонами сертификатов.
    • Управление развертыванием, отзывом и восстановлением сертификатов.
    • Внедрение и управление смарт-картами.

    9. Внедрение и администрирование Active Directory Rights Management Services (AD RMS).

    • Обзор AD RMS.
    • Внедрение и управление инфраструктурой AD RMS.
    • Настройка защиты контента в AD RMS.
    • Настройка внешнего доступа к AD RMS.

    10. Внедрение и администрирование Active Directory Federation Services (AD FS).

    • Обзор AD FS.
    • Развертывание AD FS.
    • Реализация AD FS в пределах одной организации.
    • Развертывание AD FS в сценарии объединения нескольких организаций.
    • Расширение AD FS для внешних клиентов.

    11.

    Что почитать, чтобы изучить Windows AD?

    Обеспечение безопасного доступа к общим файлам.

    • Обзор динамического контроля доступа (DAC — Dynamic Access Control).
    • Внедрение компонентов DAC.
    • Использование DAC для управления доступом.
    • Реализация помощи при отказе в доступе (Access Denied Assistance).
    • Внедрение и управление рабочими папками (Work Folders).
    • Реализация подключения к рабочему пространству (Workplace Join).

    12. Мониторинг, управление и восстановление AD DS.

    • Мониторинг AD DS.
    • Управление базой данных AD DS.
    • Резервное копирование и восстановление AD DS и другие решения идентификации и доступа.

    13. ВнедрениеWindows Azure Active Directory.

    • Обзор Windows Azure Active Directory.
    • Администрирование Windows Azure Active Directory.

    14. Развертывание и администрирование служб Active Directory облегченного доступа к каталогам (AD LDS).

    • Обзор служб Active Directory облегченного доступа к каталогам (LDS — Lightweight Directory Services).
    • Внедрение AD LDS.
    • Настройка экземпляров и разделов AD LDS.
    • Настройка репликации AD LDS.
    • Интеграция AD LDS с AD DS.

    Администрирование операционной системы Microsoft Windows (часть 2)

    Преподаватели

    • Брык Иван Юрьевич
    • Норка Евгений Олегович
    • Юдина Екатерина Александровна

    Знания и умения, полученные в результате обучения

    Слушатели по завершении обучения по предлагаемой программе должны знать и уметь:

    • Описывать основные концепции и компоненты Active Directory;
    • Выполнять установку роли  Active Directory Domain Services;
    • Работать  с оснастками управления Active Directory;
    • Выполнять поиск объектов в Active Directory;
    • Использовать команды DS для администрирования Active Directory;
    • Создавать учетные  записи пользователей;
    • Настраивать  атрибуты  учетных записей  пользователей;
    • Автоматизировать  создание  учетных записей пользователей;
    • Создавать и администрировать  группы;
    • Создавать учетные записи  компьютеров и выполнять  включение  их в домен;
    • Работать с  групповыми  политиками;
    • Внедрять  групповые политики;
    • Управлять  параметрами безопасности;
    • Делегировать  административные  полномочия;
    • Вести  аудит изменений в Active Directory;
    • Настраивать  политики  паролей и блокировок учетных записей пользователей;
    • Настраивать и управлять  контроллерами  домена  в режиме «только чтение »  (Read-Only Domain Controllers);
    • Устанавливать  и настраивать роль  DNS-сервера; 
    • Выполнять расширенные настройки и администрирование службы DNS;
    • Устанавливать  контроллер домена в Server Core;
    • Управлять  хозяевами операций;
    • Настраивать  объекты сайтов  и подсетей в Active Directory Sites and Services;
    • Работать с сервером   глобального каталога, создавать разделы приложений с помощью команды DnsCMD;
    • Выполнять настройку  репликации;
    • Вести детальный мониторинг Active Directory;
    • Управлять  базой  Active Directory;
    • Выполнять резервное копирование и восстановление AD DS;
    • Понимать концепции  функциональных уровней домена и леса;
    • Управлять  несколькими доменами и создавать доверительные отношения.

    Зачет и экзамен

    Требования к слушателям по выполнению расчетных и курсовых заданий

    • Курсовых работ по курсу нет.

    Условия допуска к зачету и экзамену

    • Для получения зачета необходимо:
      • посетить не менее 80% лекционных занятий
      • посетить не менее 100% практических и/или лабораторных занятий
      • отчитаться за все лабораторные работы в устном виде
    • На экзамен допускаются только слушатели, имеющие зачет по предмету.

    Форма проведения экзамена

    Экзамен проводится в виде компьютерного теста и содержит 60 вопросов, на которые слушатель должен ответить в течении 60 минут.

    Выносимые на экзамен темы

    Все темы по программе курса.

    Правила поведения на экзамене

    • Разрешается использовать конспекты, учебники и т.п.
    • Запрещается использоватьвнешние накопители, электронные средства коммуникаций, общаться с соседями.

    Критерии выставления оценки

    Оценка выставляется по проценту правильно отвеченых вопросов.

    • Свыше 80% правильно отвеченых вопросов – отлично
    • От 70% до 80% правильно отвеченых вопросов – хорошо
    • От 60% до 70% правильно отвеченых вопросов – удовлетворительно
    • Меннее 60% правильно отвеченых вопросов – неудовлетворительно

    Программа курса

    Лекции

    Лекция 1. Знакомство со службой Active Directory Domain Services (AD DS)

    • Знакомство со службой Active Directory Domain Services (AD DS)
      • Знакомство с Active Directory, Identity, Access.
      • Компоненты Active Directory.
      • Установка Active Directory Domain Services.
      • Расширение IDA при помощи Active Directory Services.
    • Безопасное и эффективное администрирование AD
      • Работа с оснастками Active Directory.
      • Создание собственных консолей и принцип наименьшего уровня привилегий.
      • Поиск объектов в Active Directory.
      • Применение консольных команд для администрирования AD.

    Лекция 2.

    Управление учетными записями в домене AD

    • Управление пользователями
      • Создание и управление учётными записями пользователей.
      • Настройка атрибутов пользователей.
      • Автоматизация создания учётных записей пользователей.
    • Управление группами
      • Управление корпоративной средой при помощи групп.
      • Администрирование групп.
      • Наилучшие приёмы управления группами.
    • Поддержка учетных записей компьютеров
      • Создание учетных записей компьютеров и добавление в домен.
      • Администрирование учетных записей компьютеров.

    Лекция 3. Реализация инфраструктуры групповых политик и настройка безопасности в AD DS

    • Реализация инфраструктуры групповых политик
      • Понимание групповых политик.
      • Реализация групповых политик.
      • Обзор возможностей и настроек групповых политик.
      • Управление областью применения  групповой политики.
      • Обработка групповых политик.
      • Разрешение проблем применения групповых политик.
    • Управление параметрами безопасности при помощи групповых политик
      • Делегирование полномочий по управлению компьютерами.
      • Управление настройками безопасности.
      • Управление программным обеспечением при помощи GPSI.
      • Настройка  политик  аудита.
    • Безопасное администрирование
      • Делегирование административных полномочий.
      • Аудит изменений в Active  Directory.
    • Улучшение безопасности аутентификации в AD DS
      • Настройка политики паролей и блокировки учетных записей.
      • Аудит аутентификации.
      • Настройка Read-Only домен контроллеров.

    Лекция 4. Настройка службы DNS и администрирование контроллеров доменов AD DS

    • Настройка  службы DNS
      • Обзор компонентов  службы DNS.
      • Установка и настройка DNS сервера в доменной инфраструктуре.
      • Взаимодействие AD DS, DNS и Windows.
      • Администрирование и расширенные настройки  службы DNS.
    • Администрирование контроллеров доменов AD DS
      • Параметры установки роли контроллера домена.
      • Установка контролера домена в Server Core.
      • Управление мастерами операций.
      • Настройка репликации SYSVOL посредством службы DFS-R.

    Лекция 5. Управление многодоменными окружениями, сайтами и репликацией в Active Directory

    • Управление сайтами и репликацией в Active Directory
      • Настройка сайтов и подсетей.
      • Настройка сервера глобального каталога и разделов приложений.
      • Настройка репликации.
    • Обеспечение непрерывности работы службы каталога
      • Мониторинг Active Directory.
      • Управление базой Active Directory.
      • Резервное копирование и восстановление  базы Active Directory.
    • Управление несколькими доменами и лесами
      • Настройка функциональных уровней  доменов и лесов.
      • Управление несколькими доменами и доверительными отношениями.

    Практические занятия

    Практика 1. Управление учетными записями в домене AD

    • Реализация нового леса Active Directory на базе Windows Server 2008.
    • Выполнение базовых административных задач с использованием оснастки “Active Directory Users and Computers”.
    • Использование поисковых и сохраненных поисковых запросов в AD DS.
    • Использование DS команд для администрирования служб AD DS.
    • Создание и администрирование учетной записи пользователей.
    • Управление атрибутами учетной записи пользователя.
    • Автоматизация управления учетными записями пользователей с помощью утилит CSVDE и LDIFDE.
    • Управление группами в домене AD DS.
    • Управление учетными записями компьютеров.

    Практика 2. Реализация инфраструктуры групповых политик в доменных службах Active Directory

    • Создание, редактирование и связывание объектов групповых политик (GPO).
    • Управление административными шаблонами.
    • Конфигурирование области действия и фильтрации объекта GPO.
    • Выполнение анализа набора результирующих политик RSoP и моделирование применения групповых политик.
    • Конфигурирование ограниченного членства в группах.
    • Создание шаблонов безопасности и объектов GPO с помощью мастера настройки безопасности сервера.
    • Развертывание приложений с помощью групповых политик.
    • Конфигурирование политик аудита AD DS.
    • Делегирование разрешений в службах AD DS.

      Active Directory

    • Инсталляция и настройка контроллера домена только для чтения (RODC).

    Практика 3. Настройка DNS, репликации и доверительных отношений во много доменных окружениях

    • Инсталляция и настройка роли DNS сервера.
    • Интеграция DNS со службой AD DS.
    • Создание добавочного контроллера домена на базе сервера ядра (Server Core).
    • Управление ролями FSMO.
    • Репликация каталога sysvol средствами DFS-R.
    • Создание сайтов, сайт-линков и конфигурирование репликации между контроллерами домена.
    • Настройка резервного копирования и восстановления данных службы AD DS.
    • Устранение проблем процесса запуска и восстановление после сбоев.
    • Конфигурирование доверительных отношений между лесами AD DS.

    Практика 4.

    Экзамен

    Рекомендуемая литература

    Настройка Active Directory. Windows Server 2008
    Книга на Ozon.ruКнига на Books.ru
    Дэн Холме, Нельсон Рест, Даниэль Рест
    Издательство: Русская Редакция, 2009 г.Твердый переплет, 960 стр.Тираж: 2000 экз.
    ISBN: 978-5-7502-0380-2, 978-0-7356-2513-6

    Это подробное руководство по развертыванию и настройке службы каталогов Active Directory в Windows Server 2008 — новейшей операционной системе Майкрософт. В книге даны пошаговые инструкции для настройки доменных служб Active Directory (Active Directory Domain Services), служб Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Services), служб сертификации Active Directory (Active Directory Certificate Services), служб федерации Active Directory (Active Directory Federation Services) и служб управления правами Active Directory (Active Directory Rights Management Services) в лесу или домене. Кроме того, описаны управление конфигурацией домена с помощью групповой политики, планирование, настройка и поддержка репликации данных Active Directory в узлах и между сайтами, а также реализация новых возможностей Windows Server 2008. Книга адресована специалистам в области информационных технологий, системным администраторам, а также всем, кто хочет научиться поддерживать доменные службы Active Directory (Active Directory Domain Services) в Windows Server 2008. Настоящий учебный курс, в том числе, поможет вам самостоятельно подготовиться к сдаче экзамена № 70-640 по программе сертификации Майкрософт.

    Полезные Интернет-ссылки

    www.technet.com

    www.tehdays.ru

    FILED UNDER : IT

    admin

    Submit a Comment

    Must be required * marked fields.

    :*
    :*