Настройка доступа к ресурсам в сети домена Active Directory

Настройка доступа к ресурсам в сети домена Active Directory

Цель работы: изучение практических способов создания домена Active Directory на базе Windows 2003 Server и организации доступа к сетевым ресурсам.

Задание

Рисунок 1. Схема полигона для выполнения лабораторной работы №8

Выполнение работы осуществляется на виртуальном полигоне VMWare, состоящем из пяти виртуальных машин (см. рис.1): на одной машине под управлением Windows server 2003 (PServ) настроен брандмауэр ISA Server 2004 – эта машина используется в качестве шлюза доступа в глобальную сеть; на другой машине под управлением Windows Server 2003 (Serv01) настроены службы, обеспечивающие работу инфраструктуры сети; три машины под управлением Windows XP (WinXP1, WinXP2 и WinXP3 соответственно) используются для настройки рабочих мест пользователям сети. Настройки брандмауэра ISA Server 2004 соответствуют настройкам, выполненным в лабораторной работе №7.

Виртуальный полигон соответствует локальной сети некоторой организации, в которой на компьютере serv01 работает главный бухгалтер организации, на компьютере WinXP1 – бухгалтер, компьютеры WinXP2 и WinXP3 используются двумя операторами и работником отдела кадров. На компьютере serv01 установлены следующие службы для поддержки и управления инфраструктурой сети: DNS, WINS, DHCP, POP и SMTP.

1. Требуется перейти на новую модель управления ресурсами сети - домен Active Directory. Для этого:

1.1. Удалить всех локальных пользователей со всех рабочих станций (кроме встроенных учетных записей локальных администраторов)

1.2. Установить службу контроллера домена на сервере serv01 (для выбора названия домена см. табл. 1)

1.3. Переустановить службу POP3 на сервере serv01, для того чтобы переконфигурировать ее на использование базы данных Active Directory для аутентификации пользователей

1.4. Спроектировать и реализовать для данного домена структуру организационных единиц

1.5. Создать учетные записи для всех компьютеров полигона и ввести все компьютеры в домен.

1.6. Создать доменные учетные записи для всех пользователей организации.

1.7. Для главного бухгалтера организовать рабочее место на компьютере serv01.

1.8. Для бухгалтера, операторов и работника отдела кадров настроить перемещаемые профили.

1.9. Для операторов необходимо настроить единый профиль и запретить возможность операторам выполнять какие-либо изменения в нем

1.10. Создать, предоставить в общее пользование и опубликовать в базе Active Directory следующие общие ресурсы сети:

1.10.1. Локальный принтер, установленный на компьютере WinXP1

1.10.2. Локальный принтер, установленный на компьютере WinXP2

1.10.3. Сетевую папку transfer на сервере serv01 для обмена данными между пользователями сети

1.10.4. Сетевую папку docs на сервере serv01 для хранения документов

1.10.5. Сетевую папку 1c_bases на сервере serv01 для хранения конфигурации 1С

1.11. Спроектировать и реализовать систему групп с учетом следующих ограничений на доступ к общим ресурсам, принятым в организации:

1.11.1. Принтер, установленный на компьютере WinXP1 должен быть доступен для всех бухгалтеров

1.11.2. Принтер, установленный на компьютере WinXP2 должен быть доступен для всех пользователей сети

1.11.3. Сетевая папка Transfer должна быть доступна всем пользователям сети.

1.11.4. К сетевой папка Docs должны иметь доступ бухгалтера, работник отдела кадров и операторы. Бухгалтера и работник отдела кадров должны иметь возможность просмотра документов их изменения и создание новых, а операторы должны иметь возможность только просмотра документов. Никто кроме администратора не должен иметь возможности удалять документы.

1.11.5. К сетевой папке 1c_bases должны иметь доступ только бухгалтера и операторы. Эти пользователи должны иметь полный доступ к этой папке

1.11.6. Бухгалтера должны иметь возможность работы на компьютерах с использованием удаленного рабочего стола

1.12. Подключить общие сетевые папки и принтеры для всех пользователей сети в соответствии с правами доступа к ним

1.13. Создать почтовые учетные записи для всех пользователей сети (бухгалтеров, операторов, работника отдела кадров) и настроить почтовые клиенты для этих сотрудников.

2. Реализовать средствами Microsoft ISA Server 2004 следующие правила доступа к ресурсам глобальной сети:

2.1. Предоставить доступ в глобальную сеть по протоколам HTTP и HTTPS только бухгалтерам и работнику отдела кадров.

2.2. Разрешить доступ в глобальную сеть по протоколу FTP только для администратора домена.

2.3. Разрешить доступ в глобальную сеть по протоколам POP3 и SMTP для всех пользователей домена

2.4. Разрешить для бухгалтеров удаленный доступ к сети полигона по протоколу PPTP. Разрешить этим удаленным пользователям доступ только ко всем компьютерам локальной сети и только с помощью удаленного подключения к рабочему столу.

3. Настроить возможность доступа к некоторым локальным ресурсам домена пользователям из другого домена (согласно табл. 1). Для этого:

3.1. Настроить VPN-соединение site-to-site между виртуальными полигонами

3.2. Настроить внешние двусторонние доверительные отношения между доменами

3.3. Настроить возможность входа на компьютеры домена под учетными записями из доверяемого домена

3.4. Настроить возможность доступа к общей папке transfer, всем пользователям доверяемого домена

3.5. Настроить возможность доступа к общей папке docs только бухгалтерам из доверяемого домена

3.5. Сделать принтер на компьютере WinXP2 доступным для пользователей другого домена

3.6. Настроить возможность доступа к удаленному рабочему столу для пользователей своего домена, зашедших на рабочие станции доверяемого домена.

Содержание отчета

1.  Титульный лист.

2.  Список используемых виртуальных машин с указанием путей их размещения

3.  Схема полигона с указанием имен и IP-адресов компьютеров

4.  Схема созданной структуры организационных единиц AD

5.  Список созданных учетных записей пользователей с логинами и паролями

6.  Список созданных доменных групп с указанием их членов и назначения каждой группы

7.  Описание разрешений и прав доступа для всех сетевых ресурсов

8.  Описание всех правил доступа и публикации серверов, созданных на брандмауэре ISA Server 2004

Необходимо продемонстрировать

1.  Настроенные перемещаемые профили главного бухгалтера, бухгалтера, операторов и работника отдела кадров в соответствие с п. 1.8.

2.  Невозможность сохранить изменения в профиле для операторов

3.  Доступность принтера, установленного на компьютере WinXP1 для всех пользователей сети

4.  Доступность общей сетевой папки Transfer для всех пользователей локальной сети

5.  Корректно настроенные права доступа для сетевой папки Docs (см. п. 1.11.4)

6.  Невозможность доступа к сетевой папке 1C_bases для работника отдела кадров.

7.  Отправку почты между пользователями домена и внешними адресатами

8.  Возможность отправки ping-запросов из локальной сети в глобальную

9.  Возможность отправки и получения почты пользователями локальной сети с использованием локального почтового сервера.

10.  Возможность отправки и получения почты пользователями локальной сети с использованием почтового сервера, находящегося вне локальной сети (другой виртуальный полигон, asuserv).

11.  Возможность доступа к почтовому серверу, находящемуся в локальной сети, пользователей из глобальной сети (другой виртуальный полигон, локальная сеть кафедры АСУ)

12.  Невозможность доступа из локальной сети в глобальную по протоколам отличным от POP(S), SMTP(S), FTP, HTTP(S) (например доступ к удаленному рабочему столу или по telnet)

13.  Возможность доступа в глобальную сеть (asuserv) по протоколам HTTP и HTTPS только для бухгалтеров и работника отдела кадров.

14.  Возможность доступа в глобальную сеть (asuserv) по протоколу FTP только для администратора.

15.  Возможность удаленного подключения по PPTP к локальной сети виртуального полигона удаленного пользователя (бухгалтера и главного бухгалтера)

16.  Возможность доступа ко всем компьютерам сети по протоколу удаленного рабочего стола VPN-клиентов

17.  Невозможность доступа ко всем компьютерам сети VPN-клиентов по протоколам отличным от протокола доступа к удаленному рабочему столу.

18.  Возможность установки VPN-соединения типа site-to-site по протоколу PPTP между виртуальными полигонами.

19.  Возможность локального входа на рабочих станция домена пользователей под учетными данными доверяемого домена (в соответствие с табл. 1)

20.  Возможность доступа к сетевой папке transfer пользователей доверяемого домена и не возможность доступа к ней пользователей других доменов.

21.  Возможность доступа к содержимому папке docs бухгалтерами из доверяемого домена

22.  Возможность доступа к принтеру на компьютере WinXP2 для всех пользователей доверяемого домена

Контрольные вопросы

1.  Понятие домена AD.

2.  Доверительные отношения между доменами

3.  Организационные единицы

4.  Группы AD

5.  Стратегии применения групп AD

Таблица 1. Таблица настройки взаимодействия между виртуальными полигонами: