Какие возможности предоставляет Active Directory ?

АД -это база данных с объектами домена: пользователи, компьютеры, группы пользователей, принтеры и ресурсы. Нужна для централизованного управления сетью предприятия.

 Так же имеет повешенную безопасность по сравнению с рабочей группой.

Служба каталогов - программное обеспечение в составе сетевой операционной системы, которая хранит всю информацию об объектах сети, и которая позволяет обнаруживать поддерживать и администрировать эти объекты.

Active Directory содержит каталог, в котором хранится информация о наших сетевых ресурсах и службы которые предоставляющие доступ к этой информации.

Характеристики:

· Единая точка аутентификации. При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).

· Единая точка управления политиками. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.

· Повышенный уровень информационной безопасности. Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.

· Интеграция с корпоративными приложениями и оборудованием. Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.

· Единое хранилище конфигурации приложений. Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.

Из чего состоит «безопасный пароль»?

Пароль – это чувствительная к регистру строка, которая содержит до 104 символов в Службе каталога Active Directory и до 14 символов в Диспетчере безопасности Windows NT (Windows NT Security Manager). Допустимыми символами для паролей являются буквы, цифры и специальные символы.

После установки пароля для учетной записи, Windows 2000 сохраняет его в зашифрованном формате в базе данных учетных записей.

Недостаточно просто иметь пароль. Чтобы избежать неавторизованного доступа к сетевым ресурсам, нужно использовать безопасные пароли. Разница между обычным и безопасным паролем заключается в том, что безопасный пароль трудно угадать и взломать. Трудными для взлома пароли делает комбинация всех возможных типов символов – включая строчные и заглавные буквы, цифры и специальные символы.

Минимальная длина пароля

Политика «Минимальная длина пароля» устанавливает минимальное количество символов для пароля. Если Вы не меняли параметры, установленные по умолчанию, Вам придется это сделать очень скоро. По умолчанию разрешены пустые пароли (пароли, в которых нет символов), что определенно не является правильным подходом.

Как правило, из соображений безопасности, Вам понадобятся пароли по меньшей мере из восьми символов. Причиной этому является то, что длинные пароли обычно труднее взломать, чем короткие. Если Вам необходимо обеспечить более серьезную безопасность, установите минимальную длину паролей 14 символов.

Пароль должен отвечать требованиям сложности

Помимо основных политик для управления паролями и учетными записями, Windows 2000 включает средства для создания дополнительных элементов управления паролями. Эти возможности доступны в фильтрах паролей, которые могут быть установлены на контроллер домена. Если Вы установили фильтр пароля, разрешите политику «Пароль должен отвечать требованиям сложности». В этом случае все пароли должны будут соответствовать требованиям безопасности фильтра.

Например, стандартный фильтр Windows NT (PASSFILT.DLL) требует использования безопасных паролей, которые соответствуют следующим рекомендациям:

•        Пароли должны быть не менее шести символов в длину.

•        Пароль не должен содержать имя пользователя, такие как «stevew», или части его полного имени, такие как Steve.

•        Пароли должны использовать три или четыре доступных типа символов: строчные буквы, заглавные буквы, цифры и специальные символы.