Grupa lokalna- mała grupa komputerów, które pracują w sieci nie zapewniającej centralnej administracji zasobami. Każdy komputer w grupie roboczej posiada własną przechowywaną lokalnie bazę kont SAM (Security Account Manager) i dlatego użytkownik musi mieć stworzone konto na każdym komputerze, do którego chce się zalogować. Podczas pracy w grupie roboczej nie obowiązuje zasada pojedynczego konta i pojedynczego logowania. Grupa robocza jest preferowana wyłącznie w małych sieciach biurowych oraz domowych, ponieważ w miarę zwiększania ilości komputerów pracujących w sieci, znacznie komplikuje się zarządzanie nią.mała grupa komputerów, które pracują w sieci nie zapewniającej centralnej administracji zasobami. Każdy komputer w grupie roboczej posiada własną przechowywaną lokalnie bazę kont SAM (Security Account Manager) i dlatego użytkownik musi mieć stworzone konto na każdym komputerze, do którego chce się zalogować. Podczas pracy w grupie roboczej nie obowiązuje zasada pojedynczego konta i pojedynczego logowania. Grupa robocza jest preferowana wyłącznie w małych sieciach biurowych oraz domowych, ponieważ w miarę zwiększania ilości komputerów pracujących w sieci, znacznie komplikuje się zarządzanie nią.
Baza SAM-Menedżer kont zabezpieczeń (SAM) baza danych na serwerach z systemem Windows Server 2003, w której są przechowywane informacje o kontach użytkowników oraz deskryptory zabezpieczeń dla użytkowników komputera lokalnego.
The Security Accounts Manager (SAM) is a database file[1] in Windows XP, Windows Vista and Windows 7 that stores users' passwords. It can be used to authenticate local and remote users. Beginning with Windows 2000 SP4, Active Directory is used to authenticate remote users. SAM uses cryptographic measures to prevent forbidden users to gain access to the system.
Active Directory, AD – usługa katalogowa (hierarchiczna baza danych) dla systemów Windows – Windows Server 2012, Windows Server 2008, Windows Server 2003 oraz Windows 2000, będąca implementacją protokołu LDAP.
Active Directory Domain Services – domena typu Active Directory, jako następca usunęła największe wady domen, tj. wprowadzono:
- hierarchiczność przechowywania informacji;
- dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active Directory);
- rozszerzalność schematu zawierającego definicje obiektów
Przestrzeń nazw :ciągła i nieciągła- (namespace) to ograniczony obszar, w którego obrębie nazwa może byćodnaleziona i wykorzystana do uzyskania dostępu do obiektu oraz jego atrybutów lub usług. Przykładem przestrzeni nazw może być system plików w systemie operacyjnym, w którym na podstawie nazwy plików i ścieżki dostępu możemy zlokalizować plik. Przestrzeń nazw w AD istnieje dokładnie jeden obiekt typu korzeń(root) i nazwa obiektu podrzędnego (child) powstaje przez dodanie prefiksu do nazwy obiektu nadrzędnego
(parenf). Przestrzeń jest nieciągła, gdy nie ma jednego korzenia.W przypadku jednego korzenia przestrzeń jest ciągła.
Obiekt-W schemacie klasa obiektów reprezentuje kategorię obiektów katalogu, na przykład użytkowników, drukarki czy aplikacje, które mają wspólny zestaw właściwości. Definicja każdej klasy obiektów zawiera listę atrybutów schematu, których można używać do opisania wystąpień klasy. Na przykład klasa User ma takie atrybuty, jak givenName, surname i streetAddress. Po utworzeniu nowego użytkownika w katalogu użytkownik ten staje się wystąpieniem klasy User, a wprowadzane informacje o tym użytkowniku stają się wystąpieniami atrybutów. Aby uzyskać więcej informacji, zobacz Klasy i atrybuty schematu
.Każdy obiekt w usłudze Active Directory jest wystąpieniem klasy zdefiniowanej w schemacie. Każda klasa ma atrybuty, które zapewniają:
- Unikatową identyfikację każdego obiektu (wystąpienia klasy) w magazynie danych katalogowych
- Zgodność z identyfikatorami zabezpieczeń używanymi w systemie Windows NT 4.0 lub starszym
- Zgodność nazw obiektów katalogu ze standardami LDAP
Schemat-Schemat zawiera formalne definicje każdej klasy obiektu, którą można utworzyć w lesie usługi Active Directory. Schemat zawiera też formalne definicje każdego atrybutu, który może lub musi istnieć w obiekcie usługi Active Directory.
Kontenery schematu-Przystawka Schemat usługi Active Directory zawiera dwa kontenery: Klasy i Atrybuty. W tych kontenerach są przechowywane definicje klas i atrybutów. Te definicje mają formę obiektów classSchema, które można wyświetlać w kontenerze Klasy, oraz obiektów attributeSchema, które można wyświetlać w kontenerze Atrybuty.
Domena-w domenie Windows obok zwykłych komputerów osobistych z systemem operacyjnym Windows (stacji roboczych) działają komputery pełniące rolę "serwerów domeny", nazywane kontrolerami domeny. Przechowują one scentralizowaną informację o użytkownikach, komputerach i innych zasobach domeny (sieci) oraz zasadach domeny. W domenie musi być przynajmniej jeden kontroler domeny, z reguły dla bezpieczeństwa jest ich kilka. Kontroler domeny wymaga systemu operacyjnego typu serwer – w rodzinie systemów MS Windows. Kontrolery domeny mogą być jednocześnie serwerami usług sieciowych, najczęściej plików lub drukarek, ale w dużych domenach pełnią na ogół wyłącznie funkcję kontrolerów domeny, serwerami usług sieciowych są osobne komputery.
Scentralizowanie danych o komputerach i kontach użytkowników w domenie ułatwia zarządzanie tak zorganizowanymi komputerami w sieci, odtwarzanie bazy danych dla kont i zabezpieczeń. Domena umożliwia też skonfigurowanie profili użytkowników tak, aby na każdym komputerze, z którego się logują, mieli to samo środowisko pracy – pulpit, dokumenty i aplikacje.
W domenie Windows może pracować od kilku do kilku tysięcy komputerów. Jest to rozwiązanie przeznaczone dla instytucji. W przypadku grupy kilku komputerów wystarczającym na ogół jest rozwiązanie polegające na zorganizowaniu komputerów w tzw. grupę roboczą – jest to prostsze rozwiązanie dla pracy grupowej w sieci komputerów z systemem operacyjnym MS Windows, także opracowane przez firmę Microsoft.
Domeny Windows zmieniały się wraz z rozwojem systemów operacyjnych Windows. Obecnie rozróżniamy 2 typy domen:
- domena typu NT4,
- domena Active Directory.
Drzewo-Domeny zorganizowane hierarchicznie mogą tworzyć strukturę drzewa. Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego poziomu (ang. root) – korzeń drzewa. Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny najwyższego poziomu, tworząc drzewo. Niższe poziomy mogą się rozgałęziać.
Las-Każde drzewo jest w lesie(ang. forest). Las składa się z przynajmniej jednego drzewa. Nie istnieje możliwość utrzymywania drzewa bez utrzymywania lasu. Uwaga ta odnosi się również do domeny Active Directory – domena nie może istnieć samodzielnie, musi istnieć w jakimś drzewie i jakimś lesie. Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem się staje) oraz pierwszy las. Las bierze nazwę od tej domeny.
Pełna nazwa DN i jej główne składniki- Przestrzeń nazw w Active Directory została zorganizowana hierarchicznie. Obiekty typu kontener mogą przechowywaćinne obiekty. Nazwa obiektu w Active Directory opisuje jego położenie w strukturze hierarchicznej. Taką nazwęokreśla się mianem pełnej nazwy DN (DistinguishedName).Podstawowe składniki DN to:
DC - komponent domenowy (domain component),
CN - nazwa (common name),
OU - jednostka organizacyjna (organizational unit),
O - organizacja (organization).
Na przykład zapis: O=Intertnet/DC=PL/OU=ZSP/CN=uczeń oznacza,że obiekt uczeń jest zlokalizowany w
kontenerze ZSP domeny PL w organizacji Internet.
Nazwa względna obiektu RDN (Relative Distinguished Name) lest to część
pełnej nazwy DN, zawierająca tylko atrybuty obiektu, np. w nazwie DN atrybutem obiektu jest uczeńi to jest nazwa RDN tego obiektu.
Grupa dystrybucyjna-Grupy dystrybucyjne mogą być używane tylko z aplikacjami poczty e-mail (np. Exchange) do wysyłania poczty e-mail do grup użytkowników. Grupy dystrybucyjne nie obsługują zabezpieczeń, co oznacza, że nie są wyświetlane na listach arbitralnej kontroli dostępu (DACL, discretionary access control list). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.
Grupa zabezpieczeń-Grupy zabezpieczeń, jeśli są używane z rozwagą, stanowią wydajny sposób udzielania dostępu do zasobów w sieci. Za pomocą grup zabezpieczeń można wykonywać następujące operacje:
# Przypisywanie praw użytkownika grupom zabezpieczeń w usłudze Active Directory.
#Przypisywanie grupom zabezpieczeń uprawnień do zasobów.
Grupa lokalna w domenie-mogą do niej należeć konta użytkowników, komputerów i grupy globalne z dowolnej domeny oraz grupy uniwersalne.Grupie lokalnej w domenie można przypisaćjedynie uprawnienia do obiektów z jednej domeny. Wykorzystywane są do grupowania grup globalnych z różnych domen, które powinny mieć takie same uprawnienia do obiektu (np. drukarki) znajdującego się w tej samej domenie, co grupa lokalna.
Grupa globalna-mogą do niej należećkonta użytkowników, komputerów i grupy globalne należące tylko do tej samej domeny, co grupa globalna. Można jej przypisywać uprawnienia do obiektów z dowolnej domeny. Wykorzystywana jest do grupowania użytkowników w zależności od ich uprawnień.
Grupa uniwersalna-występuje jedynie w trybie natywnym. Do grupy tej mogą należeć konta użytkowników, komputerów oraz grupy uniwersalne i globalne z dowolnej domeny. Grupie uniwersalnej można przypisać uprawnienia do obiektów z różnych domen.
Użytkownik i grupa domenowa-konta te mają na celu umożliwienie logowania użytkowników do domeny, co umożliwia korzystanie z zasobów dowolnego komputera przyłączonego do domeny. Konta użytkowników domenowych przechowywane są w usługach katalogowych (Active Directory) na kontrolerach domeny i następnie replikowane pomiędzy wszystkimi kontrolerami w domenie.
RÓŻNICE MIĘDZY ADRESEM IPv4 A IPv6 :
| IPv4 | IPv6 | |
|---|---|---|
| adresy | 32 bity | 128 bitów |
| wsparcie dla IPsec | implementacja zewnętrzna | implementacja rodzima |
| identyfikacja ruchu dla QoS | tak: pole ToS | tak: pole Flow Label |
| fragmentacja | przez nadającego hosta i routery | jedynie przez nadającego hosta |
| suma kontrolna w nagłówku | obecna | brak |
| opcje | w nagłówku | przeniesione do nagłówków dodatkowych |
| ramki zgłoszeń | ARP | wielopoziomowe wiadomości typu Neighbor Solicitation, brak ARP |
| zarządzania grupami multicastowymi | IGMP | MLD (ang. Multicast Listener Discovery Protocol) |
| protokół komunikatów kontrolnych | ICMP | ICMPv6, wymagany |
| adresy transmisji | do wysyłania danych do wszystkich węzłów w podsieci | zastąpione przez grupowy adres typu link-local, brak ruchu typu broadcast |
| przydzielanie adresu | wymagana konfiguracja ręczna, przez DHCP lub APIPA | nie wymaga konfiguracji ręcznej ani DHCP, konfiguracja przez ogłoszenia Router Discovery i Neighbor Solicitation |
| mapowanie nazw hostów w DNS | używa rekordów A oraz PTR w domenie IN-ADDR.ARPA | używa rekordów AAAA oraz PTR w domenie IP6.ARPA |
ŹRÓDŁA:
WIKIPEDIA
http://greszata.pl/soisk/klasa_1/4_konfiguracja_i_zarzadzanie_systemem_windows/76_77_lokalne_konta_uzytkownikow_i_grup.html
http://galaxy.eti.pg.gda.pl/katedry/kask/pracownicy/Jaroslaw.Kuchta/ADSK/02.Active%20Directory.pdf
http://technet.microsoft.com/pl-pl/library/cc756876%28v=ws.10%29.aspx
http://technet.microsoft.com/pl-pl/library/cc781446%28v=ws.10%29.aspx
http://technet.microsoft.com/pl-pl/library/odzyskiwanie-usunietych-obiektow-active-directory-w-windows-server-2008.aspx
http://www.zsp17.lodz.ids.pl/download/pdf/AdminSerw2003cz1.pdf
