Информатика и выч. техника \ Электронный документооборот

Среда MicrosoftExchangeServer, страница 2

При установке службы Active Directory на контроллере домена автоматически создается глобальный каталог. Глобальный каталог содержит частичную реплику доменов Windows 2000 и дает возможность пользователям и приложениям отыскивать объекты в дереве доменов Active Directory по одному или нескольким атрибутам. В глобальном каталоге содержится схема и конфигурация разделов системного каталога, т.е. реплика каждого объекта Active Directory. Глобальный каталог – это LDAP (Lightweight Directory Access Protocol) совместимый раздел каталога системы, оптимизированный для просмотра адресной книги. В MES глобальный каталог содержит глобальный список адресов – адресную книгу, в которую внесены все пользователи организации.

В глобальном каталоге также хранится полная реплика всех объектов домена, которому он принадлежит, и частичная реплика объектов других доменов. Глобальный каталог выполняет следующие две основные функции.

1)  Обеспечение авторизации пользователя за счёт использования информации о членстве в универсальных группах.

2)  Глобальный каталог позволяет пользователям и приложениям получать нужную информацию независимо от того, в каком домене леса она содержится.

Когда пользователь входит в систему, глобальный каталог передает контроллеру домена информацию о принадлежности учётной записи пользователя к универсальной группе. Если в домене Windows 2000 имеется только один контроллер, он выполняет также функции сервера глобального каталога. Если в лес входит несколько доменов Windows 2000, то каждый из них будет иметь свой собственный контроллер и, по крайней мере, один сервер глобального каталога для каждого домена. Если в момент инициирования пользователем процесса входа в сеть глобальный каталог недоступен, пользователь сможет войти только в среду своего локального компьютера.

Поскольку в одном глобальном каталоге содержится информация об объектах всех доменов леса, запрос объекта может быть разрешен глобальным каталогом в том домене, в котором был выдан запрос. Такое построение обеспечивает минимизацию междоменного трафика при поиске информации в системном каталоге.

Безопасность

СКР на базе MES позволяет использовать следующие политики безопасности.

1.  Проверка подлинности при входе в систему – согласованная политика в отношении пользовательских имен и паролей, обеспечивающая пользователям доступ к службам MES.

2.  Безопасность каталога – метод управления правами доступа конкретных пользователей к сетевым ресурсам.

Если MES развертывается вместе с системой Windows 2000, можно выбрать один из четырех типов проверки подлинности при входе, в зависимости от требуемого уровня безопасности. Эти режимы проверки перечислены в порядке возрастания строгости критериев проверки.

  1)  Анонимный доступ. Этот режим целесообразно применять в отношении общедоступной информации, если вы хотите, чтобы пользователи могли получать ее без указания своего имени и пароля. Однако службы Internet Information Services 5.0 (IIS) требуют, чтобы доступ к подобной информации осуществлялся при помощи специальной учетной записи пользователя.

  2)  Обычная (текстовая) проверка пользователя. Этот режим требует для доступа к web-серверу предоставления пользователем своего имени и пароля. Учетные данные пользователя передаются через Интернет в открытом виде. Обычная проверка подлинности поддерживается всеми браузерами, но этот метод, очевидно, не обеспечивает достаточную безопасность. Для использования такого типа проверки в службе IIS для соответствующей учетной записи должны быть предоставлены права на локальный вход.

  3)  Обычная проверка пользователя по протоколу SSL. Этот метод действует точно так же, как и предыдущий, только учетные данные пользователя перед передачей на сервер передаются по защищённому протоколу SSL. Поскольку шифрование по протоколу SSL повышает нагрузку на сервер, использование метода может привести к снижению быстродействия сервера.

Скачать файл