[ Pobierz całość w formacie PDF ]
.Przy rozmieszczaniu GC w firmie proszê wzi¹æ pod uwagê poni¿sze wytyczne:Serwer GC musi mieæ wystarczaj¹ce parametry, by pomieœciæ wszystkie obiekty zwszystkich domen w lesie, teraz i w przysz³oœci.Wobec tego, GC na pocz¹tkupowinien byæ w stanie pomieœciæ przynajmniej dwa razy wiêcej obiektów, ni¿uwa¿amy dzisiaj za mo¿liwe.W granicach rozs¹dku mo¿na umieœciæ GC w ka¿dej wiêkszej lokacji, aby zwiêkszyædostêpnoœæ.Co trzeba wiedzieæ o replikacjachChocia¿ Microsoft by³ doœæ poch³oniêty zagadnieniami replikacji podstawowychstruktur danych Active Directory (konteksty nazewnicze schematu, konfiguracji idomen), w rzeczywistym œrodowisku Active Directory zachodzi, jak siê oka¿e,wiêcej replikacji.W zainstalowanej i dzia³aj¹cej us³udze Active Directory zachodz¹ przynajmniejnastêpuj¹ce typy replikacji:Domeny Active Directory (konteksty nazewnicze domen)Schemat (kontekst nazewniczy schematu)Fizyczna przestrzeñ nazw (lokacje i us³ugi; kontekst nazewniczy konfiguracji)Pliki zapisane w folderze SYSVOL (zasady grup — GPT, skrypty logowania i takdalej)DNSReplikacj¹ trzech pierwszych pozycji z listy zajmuje siê wielce zachwalanaarchitektura replikacji multi-master, podczas gdy czwarta pozycja jestobs³ugiwana przez us³ugê replikacji plików (FRS – File Replication Service).Wobec tego nalegam na zapoznanie siê z us³ug¹ FRS zanim wyst¹pi pierwszyproblem z replikacj¹.Znacznie bardziej szczegó³owe informacje o replikacji iinnych typach ruchu sieciowego mo¿na znaleŸæ w rozdzia³ach 12.i 20.Nie zapominajmy o bezpieczeñstwieGdy mamy do czynienia z wielkim nowym konceptem w stylu Active Directory,zabezpieczenia mog¹ d¹¿yæ do przechodzenia na dalsze miejsce (a w najgorszymwypadku mog¹ byæ dodane jako refleksja po fakcie).Podobnie jak przyinstalowaniu systemu NT 4 Server, mo¿na podzieliæ obszar zabezpieczeñ na trzyró¿ne zakresy:Zabezpieczenie fizyczne dostawców us³ug (serwerów œwiadcz¹cych us³ugi w sieci)Zabezpieczenia logiczne dostawców us³ug (u¿ytkownicy, grupy, GPO, IPSec,certyfikaty i inne funkcje zabezpieczeñ)Inspekcje systemu zabezpieczeñ (zasady inspekcji)Planiœci zabezpieczeñ Windows NT 4 Server zag³êbiaj¹cy siê w aspektyzabezpieczeñ Active Directory powinni czuæ siê w nich doœæ swobodnie (bardziejni¿ w innych aspektach Active Directory), poniewa¿ system Windows 2000 Serverjest zbudowany na tym samym podsystemie zabezpieczeñ (i wobec tego tych samychpojêciach zabezpieczeñ) co NT 4 Server.W Active Directory ka¿dy obiekt w katalogu posiada deskryptor zabezpieczeñ,który opisuje zwi¹zane z obiektem informacje o kontroli dostêpu.Nadal w celuzdefiniowana mo¿liwoœci wystawcy zabezpieczeñ próbuj¹cego dokonaæ operacji naobiekcie u¿ywana jest lista kontrolna dostêpu (ACL) sk³adaj¹ca siê z szereguACE.W rzeczywistoœci nawet wystawcy zabezpieczeñ w Active Directory s¹dok³adnie tacy sami jak przedtem (u¿ytkownicy, komputery i grupy).Pocz¹tekrozdzia³u 9.zawiera bardziej szczegó³owe spojrzenie na podstawy zabezpieczeñActive Directory.Active Directory otwiera ca³y nowy œwiat mo¿liwoœci, poniewa¿ daje bardziejgranularn¹ kontrolê dostêpu do obiektów ni¿ uprzednio (wykorzystuj¹c OU dogrupowania obiektów), wprowadza szereg nowych grup wbudowanych (z powoduwprowadzenia nowej funkcjonalnoœci) i znacznie u³atwia codzienne zarz¹dzaniew³aœciwoœciami zabezpieczeñ — przez konsolidacjê ustawieñ zwi¹zanych zzabezpieczeniami w przystawkê MMC Szablony zabezpieczeñ, oraz dostêpny zakreswstêpnie zdefiniowanych konfiguracji.Jednak¿e wszystko to jest mniej wiêcejniezmienione z punktu widzenia konceptów zabezpieczeñ.Mo¿na by du¿o mówiæ o decyzji Microsoftu, dotycz¹cej rezygnacji z pójœcia a¿ dokoñca z zabezpieczeniami Active Directory (rozdzia³ 9.stwierdza wszystko, conale¿y powiedzieæ na ten temat) [ Pobierz caÅ‚ość w formacie PDF ]