Embed Size (px)
Citation preview
ALBERTA KOLEDŽA
Studiju programma Informācijas Tehnoloģijas
JURIJS RADIONOVS
Kvalifikācijas darbs
AKTĪVĀS DIREKTORIJAS
INTEGRĒŠANA MEDICĪNAS IESTĀDES
LOKĀLAJĀ TĪKLA
Rīga - 2014
Darba izpildes un novērtējuma lapa
Kvalifikācijas darbs kvalifikācijas iegūšanai
__Aktīvās Direktorijas integrēšana medicīnas iestādes lokālajā tīklā__ kvalifikācijas darba nosaukums
izstrādāts saskaņā ar studiju programmu __Informācijas tehnoloģijas__ (studiju programmas nosaukums)
Ar savu parakstu apliecinu, ka darbs izstrādāts patstāvīgi.
Darba autors: students Jurijs Radionovs _______________ (Vārds, uzvārds) (paraksts, datums)
Iesaku darbu aizstāvēšanai.
Darba vadītājs (-a):
_______________________________________ ___________________ (Amats, zinātniskais grāds, vārds, uzvārds) (paraksts, datums)
Atļaut aizstāvēt studiju programmas __Informācijas tehnoloģijas__ (studiju programmas nosaukums) kvalifikācijas darbu aizstāvēšanas komisijā.
Studiju programmas vadītājs (-a):
_______________________________________ ____________________ (Amats, zinātniskais grāds, vārds, uzvārds) (paraksts, datums)
Kvalifikācijas darbs aizstāvēts Alberta koledžas kvalifikācijas darbu
aizstāvēšanas komisijas
201_.gada _________________ sēdē un novērtēts ar atzīmi ________________
Kvalifikācijas darbu aizstāvēšanas komisijas
sekretārs(-e) _____________________________ (paraksts un tā atšifrējums)
ANOTĀCIJA
Kvalifikācijas darbs sastāv no divām daļām analītiskās un praktiskās.
Darba mērķis ir Aktīvās Direktorijas ieviešana ar domēna kontrolleri, kas apvienotu
iestādes filiāļu lietotājus vienotā kopkatalogā, kā arī atvieglotu tīkla resursu un lietotāju
pieejas tiesību noteikšanu, un pārvaldību.
Analītiskā darba daļa sastāv no teorētiskajiem pamatojumiem. Par informācijas avotiem
kalpo Latvijas Republikas normatīvie akti, kā arī mācību literatūra, grāmatas un elektroniskie
resursi. Šajā darba daļā ir paskaidroti nepieciešamie termini, izskatīta Aktīvās direktorijas
struktūra, kā arī nepieciešamās stratēģijas un modeļi. Aktīvās Direktorijas iespēju un
priekšrocību aprakstīšana, salīdzinājumā ar citiem līdzīgiem produktiem.
Praktiskajā darba daļā ir sniegta informācija par Aktīvās Direktorijas plānošanu,
konfigurēšanu un ieviešanu. Atsevišķi ir izskatīti sekojošie aspekti (Aktīvās Direktorijas
uzstādīšana un servisu noskaņošana, lietotāju datu migrēšana, datoru pievienošana Aktīvajai
Direktorijai).
Kvalifikācijas darbs satur papildu materiālus, kas sastāv no 23 attēliem, 3 tabulām, 1
grafika, literatūras saraksta no 45 nosaukumiem, 3 pielikumiem un 7 grafiskās daļas lapām.
Par darba nobeigumu ir secinājums, kas pamatojas uz paveikta Aktīvās Direktorijas
ieviešanas procesa slimnīcas infrastruktūrā un Aktīvās Direktorijas izmantojamo funkciju
optimizāciju.
ANOTATION
The qualification’s thesis consists of two parts analytical and practical.
The main purpose of the qualification’s thesis is the integration of Active Directory with
a single domain controller, which provides merging of all users to a common catalog, as well
as facilitate the administration of user access rights and network resources and ensure their
control.
The analytical part of the work consists of a theoretically studies. Source of information
are normative acts of Latvia, as well as educational literature, author books and electronic
resources. In this part of the work given the necessary terms, examined the structure of Active
Directory, as well as the necessary models and strategies. Describes features and advantages
of Active Directory comparing with other similar products.
Practical part of the work provides information on planning, configuration and
implementation of Active Directory. Aspects which considered separately are: installation and
configuration Active Directory services, migration of user data, adding computers to Active
Directory.
In the end of the qualification’s thesis the author sums up main conclusions about on
integration of Active Directory service in hospital infrastructure and proposals for optimizing
the use of Active Directory features.
The qualification’s thesis consists of accessory materials, including 23 figures, 3 tables,
1 graphic, the list of 45 references, 3 appendices, and the graphic part on 7 A4 sheets.
SATURS
IEVADS ..................................................................................................................................... 6
1. AKTĪVĀS DIREKTORIJAS BŪTĪBA .............................................................................. 8
1.1. Aktīvās Direktorijas darbības princips ............................................................................ 8
1.2. Aktīvās Direktorijas struktūra ......................................................................................... 9
1.3. Aktīvās Direktorijas iespēju analīze .............................................................................. 13
2. ESOŠĀ UZŅEMUMA DATORTĪKLA UN DATORSISTĒMU
INFRASTRUKTŪRAS IZPĒTE .......................................................................................... 15
2.1. Lokālo darbstaciju un servera audits ............................................................................. 15
2.2. Lokālo datortīkla un tīkla iekārtu audits ........................................................................ 17
3.AKTĪVAS DIREKTORIJAS IEVIEŠANAS PLĀNA IZSTRADE ................................ 21
3.1. Aktīvās Direktorijas risinājuma izvēle .......................................................................... 21
3.2. Servera konfigurācija ..................................................................................................... 22
3.3. Aktīvās Direktorijas loģiskās struktūras plānošana ....................................................... 23
3.4. Aktīvās Direktorijas fiziskās struktūras plānošana ........................................................ 24
3.5. Datoru konfigurēšana un sagatavošana ......................................................................... 27
3.6. Lietotāju datu organizācijas plānošana .......................................................................... 28
3.7. Tīkla drošības politikas plānošana ................................................................................. 30
4.AKTĪVĀS DIREKTORIJAS IEVIEŠANA ...................................................................... 32
4.1. Servera programmatūras uzstādīšana un konfigurēšana ................................................ 32
4.2. Darbstaciju konfigurēšana un piesaistīšana serverim .................................................... 38
4.3. Lietotāju kontu konfigurēšana un piekļūšana ................................................................ 41
4.4. Lietotāju atbalsta pasākumi un instruktāža .................................................................... 42
SECINĀJUMI ......................................................................................................................... 45
PRIEKŠLIKUMI .................................................................................................................... 47
BIBLIOGRĀFISKAIS SARAKSTS ..................................................................................... 48
GRAFISKĀ DAĻA ................................................................................................................. 52
PIELIKUMI ............................................................................................................................ 60
1. pielikums. Datorsistēmas parametri (1.veids) .............................................................. 61
2. pielikums. Datorsistēmas parametri (2.veids) .............................................................. 62
3. pielikums. Serveris HP Proliant ML350p G4p parametri un komplektācija ................ 63
6
IEVADS
Lieliem mūsdienu uzņēmumiem ar plašu organizatorisko struktūru un neviendabīgu
infrastruktūru radās problēmas ar informācijas resursu lietošanu, kas no informācijas drošības
viedokļa nav aizsargātas. Paplašinot tīklu, ir jāpārvalda lielākais objektu resursu skaits, tādēļ
organizācijas līdzekļu esamība un datoru sistēmas tīkla resursu piekļūšanas vienkāršība kļūst
svarīga un nepieciešamā. Microsoft Active Directory (turpmāk teksta AD vai Aktīva
Direktorija) katalogu dienests piedāvā līdzekļus, kas nodrošina caurredzamu informācijas
resursu izmantošanu, vienlaicīgi norobežojot lietotāju tiesības [22].
Aktīva Direktorija (katalogu dienests) ir sadalīta datu bāze, kas satur visus domēna
objektus. Domēnu vide AD ir vienotais autentifikācijas punkts un lietotāju autorizācijas veids
iestādes mērogā [5]. Tieši no domēna organizēšanas un AD ieviešanas sākas uzņēmuma
informācijas tehnoloģijas (turpmāk tekstā IT) infrastruktūras uzbūve. AD datu bāze glabājās
uz piešķirtiem serveriem – domēna kontrolleriem.
Neatkarīgi no uzņēmuma tīkla topoloģijas, reālās struktūras un uzņēmuma struktūras
filiāļu ģeogrāfiskā izkārtojuma, kā arī no esošās uzņēmumā informācijas vides dažādības, ir
vispārīga AD dienesta pielietošanas un izvēršanas metodoloģija. Ar AD palīdzību tiek veikta
centralizēta lietotāju, grupu, kopējo katalogu un tīkla resursu, pārvaldīšana, lietotāju vides un
programmnodrošinājuma administrēšana ar grupas politikas līdzekļiem [37].
Savam kvalifikācijas darbam autors ir izvēlējies tēmu „Aktīvās Direktorijas
integrēšana medicīnas iestādes lokālajā tīklā”. Pēc autora viedokļa šī tēma ir ļoti aktuāla,
jo pēc slimnīcas klīniku apvienošanās ir aktualizējies jautājums par viena kopēja domēna
izveidi. Līdz klīniku apvienošanai, katrai klīnikai bija savs domēns. Ņemot vērā, to ka
nepārtraukti notiek personāla rotācijas, ka arī datortehnikas pārvietošana no vienas klīnikas uz
otru, tādā gadījumā datoru atrašanās dažādos domēnos ievērojami sarežģītu piekļūšanas
nodrošināšanu programmu tīkla resursiem (printeriem, failiem, elektroniskajām pastam utt.).
Lai atrisinātu šīs problēmas tika pieņemts lēmums par vienoto domēna sistēmas organizēšanu
un izveidošanu. Vienota domēna izveidošanai bija izvēlēts serviss Aktīva Direktorija:
AD ir standarta servisu sastāvā, kas ietilpst komplektā kopā ar Windows Server
2008. Ņemot vērā to, ka uz visiem slimnīcas datoriem ir uzstādītas Windows
operētājsistēmas (turpmāk tekstā OS), tādēļ AD programmu var izmantot bez
papildus naudas izlietojuma licences pirkšanai. Esošiem iestādes datoriem bija
domēna pieslēgšanas licence, bet jaunajiem datoriem klientu licence pieslēgšanai
7
serverim tiek pirkti kopā ar datoru. Šīs ir ļoti svarīgs moments, jo datoru skaits
visās klīnikās ir milzīgs.
AD ir pilnībā savienojams ar Microsoft Exchange serveri [23]. Microsoft
Exchange Server sniedz risinājumus organizācijām izziņu apmaiņas jomā un
kopīgās informācijas izmantošanā. Servera daļa Microsoft Exchange ietver sevī
Direktoriju pakalpojumu, informācijas krātuvi, ziņojumu pārsūtīšanas aģentu,
savienotājus. Visi šie komponenti ir palaižamie kā Microsoft Windows NT servisi
un strādā kopīgi, nodrošinot sekojošās iespējas:
o Microsoft Exchange Server direktoriju pakalpojuma vadība;
o piekļūšanas informācijai pārvaldīšana;
o ziņojumu maršrutēšanu un pārraide – uzņēmuma iekšpusē un aiz tā robežas;
o kontrole par serveru stāvokli un savienojumiem;
o replicēšanas vadība un replicēšanas konfliktu atrisināšana.
Klientu bāzes informācija (vārds, uzvārds, lietotāja konts, parole u.tml.) pievienošanai
Microsoft Exchange ir ņemama no AD.
AD ir ļoti ērta lietotājiem, jo izmanto standarta autentifikācijas OS modeli ar
lietotāja vardu un paroli.
AD ir ērta arī IT administratoram, jo piedāvā dažādas iespējas:
o sakonfigurēt piekļūšanas politiku lietotājam, kā arī atsevišķai grupai;
o kopīgo tīkla resursu izmantošana;
o klīstošu [13] (angl. Roaming) un obligāto [42] (angl. Mandatory) profilu
izveidošana;
o veikt pievienoto AD datoru pilno kontroli;
Ar AD un iekļauto viņā instrumentu pakešu palīdzību var uzstādīt atjauninājumus,
OS un citas programmas, vienlaicīgi uz visiem datoriem lokālajā tīklā.
Kvalifikācijas darba mērķis, ieviest Aktīvo Direktoriju ar domēna kontrolieri, kas
apvienotu iestādes filiāļu lietotājus vienotā kopkatalogā, kā arī atvieglotu tīkla resursu un
lietotāju pieejas tiesību noteikšanu, un pārvaldību.
Kvalifikācijas darba pamata uzdevumi:
Izpētīt AD risinājumus un iespējas;
Iestādes datortīkla un datorsistēmas infrastruktūras izpēte;
AD ieviešanas plāna izstrāde;
AD ieviešanas atbilstoši iepriekš izstrādātājam plānam;
Lietotāju apmācība un instruktāža
8
1. AKTĪVĀS DIREKTORIJAS BŪTĪBA
1.1. Aktīvās Direktorijas darbības princips
Pirmais solis lokālo tīklu administrēšanā ir kontrollera domēna izveidošana. Domēns –
ir vienotais tīkla apgabals, kura ietvaros tiek nodrošināta datu drošība datoru tīklā ar Windows
OS pārvaldīšanu. Domēna kontrolleris datoru tīklos – serveris, kas kontrolē datoru tīkla
apgabalu (domēnu) [4].
Pastāv divu veidu domēna kontrolleri [5]:
primārs domēnu kontrolleris (Primary Domain Controller, PDC);
rezerves domēnu kontrolleris (Backup Domain Controller, BDC).
Domēna kontrolleris – ir serveris, uz kura atrodas domēna dienesta katalogu bāze, ka arī
palaistie dienesti kas ļauj saņemt piekļuvi šai bāzei [30]. Bāzes piekļūšanai tiek izmantots
LDAP protokols. LDAP - direktoriju vieglpiekļuves protokols (angl. Lightweight Directory
Access Protocol), turpmāk teksta LDAP, kas izmanto TCP/IP (TCP / IP tīkls darbojas pēc
noteiktas adresācijas sistēmas, noteiktām datora sistēmām ir noteiktas unikālas adreses. Ar šo
unikālo adresi, ir iespējams nosūtīt datus, un saņemt atbildi, ja adresāts nav sasniedzams), un
nodrošina operāciju autorizācijas, meklēšanas un salīdzināšanas veikšanu, kā arī
pievienošanas operācijas, ierakstu grozīšana vai nodzēšana [36]. Tīkla protokols, kas
paredzēts darbam ar TCP/IP stekiem, lai iegūtu informāciju no hierarhiskām direktorijām,
piemēram, no X.500. (X.500 — specifikācija Internet Standards Organization (ISO), nosaka,
kā jāstrukturizē globāli katalogi [45, 4.lpp.]). Tādējādi lietotāja rīcībā ir vienots rīks, ar kuru
pārmeklēt datus, lai atrastu noteikta veida informāciju, kā lietotājvārdu, e-pasta adresi,
drošības sertifikātu vai citu kontaktinformāciju. Parasta LDAP arhitektūra ir apspoguļota uz
1.1. attēla.
1.1. att. LDAP arhitektūra [36]
9
LDAP – ir protokols, kas tiek izmantots informācijas piekļuvei, kura glabājas tīklā
sadalītajos serveros. LDAP balstās uz klients-serveru mijiedarbības modeļa. Kopējā dotā
protokola modelis balstās uz to, ka klients veic protokola operācijas uz serveriem. Klients
nodod pieprasījumu, aprakstošo operāciju, kuru serverim jāaizpilda. Serveris izpilda
nepieciešamās operācijas katalogā. Pēc operācijas/operāciju pabeigšanas serveris atdod
klientam atbildi, saturošus rezultātus vai kļūdas. LDAP darbojas virs TCP/IP un nosaka
pieteikuma paņēmienu un piekļuve objektiem starp klientu un serveri AD [45, 5.lpp.]. LDAP
katram objektam ir savs īpašais atšķirīgs vārds (angl. Distinguished Name, DN) un tas vārds
atšķir viņu no citiem AD objektiem, kā arī pasaka priekšā, kur dotais objekts atrodas. Divas
galvenās atšķirīgā vārda sastāvdaļas – ir vispārīgs vārds (angl. Common Name, CN) – un
domēna sastāvdaļa (angl. Domain Component, DC). Kopējais vārds nosaka objektu vai
kontrolleri, kurā šīs objekts atrodas, tanī pašā laikā kā domēna komponents nosaka domēnu,
kurā atrodas objekts [45, 12.lpp.].
AD (angl. Active Directory) izmanto un atbalsta LDAP, un ir savienojama ar Microsoft
Windows NT operētājsistēmām [45, 43.lpp.]. Microsoft AD ir informācijas sistēma, kura
uzglabā, organizē un nodrošina pieeju informācijai direktorijā. Resursu direktorija ļauj
administratoriem izmantot grupu politikas, lai nodrošinātu lietotāja darba vides unifikāciju,
vienkārši instalēt un uzturēt programmnodrošinājumu vienlaicīgi uz daudziem datoriem,
uzturēt informāciju par objektiem, organizēt objektus, vadīt piekļuvi tiem, un kontrolēt,
regulēt drošības noteikumus [3].
Izmantojot AD var izveidot dažāda izmēra tīklus, pat līdz vairāk kā miljonu objektu.
1.2. Aktīvās Direktorijas struktūra
AD ir hierarhijas struktūra, kas sastāv no objektiem, kuri dalās uz trim pamata
kategorijām:
resursi (piemēram, printeri);
dienesti (piemēram, elektroniskais pasts);
lietotāju un datoru uzskaites ieraksti
AD sniedz informāciju par objektiem, ļauj organizēt objektus, pārvaldīt piekļūšanu pie
tiem, kā arī uzstāda drošības noteikumus.
AD loģiskā struktūra sastāv no vairākiem līmeņiem un augšējais līmenis – ir mežs.
Mežs – ir visu objektu, objektu noteikšanu un noteikumu kopums AD. Mežs sastāv no viena
10
vai vairākiem kokiem, kas ir saistītas ar uzticības attiecībām. Koks var saturēt vienu vai
vairākus domēnus, saistītus ar uzticības attiecībām.
Domēna objekti var būt sagrupēti konteineros — apakšvienībās. Apakšvienības ļauj
veidot hierarhiju domēna iekšienē, vienkāršo tā administrēšanu un ļauj modelēt
organizatorisko un/vai ģeogrāfisko kompānijas struktūru AD. Apakšvienības var saturēt citas
apakšvienības.
AD resursu struktūra dalās uz diviem veidiem: loģisko un fizisko. Loģiskā struktūra
atspoguļo organizācijas struktūru, kas ļauj atrast resursu pēc viņa nosaukuma, nevis pēc
fiziskās novietojuma. Pateicoties loģiskai resursu apvienošanai AD, fiziskā tīkla struktūra nav
svarīga lietotājiem. Loģiskā struktūra AD ir kataloga dienesta modelis, kas nosaka katra
lietotāja drošību uzņēmumā, kā arī šo lietotāju organizāciju. Attēlā 1.2. atspoguļots AD
loģiskās struktūras piemērs.
1.2. att. AD resursi, organizētie loģiskajā struktūrā [45, 21.lpp.]
Loģiskie komponenti AD
Objekti — resursi glabājas objektu veidā:
o Objektu klase;
o AD shēma.
Domēni — bāzes organizācijas struktūra.
Koki — vairāki domēni tiek apvienoti hierarhijas struktūrā.
Meži — grupa no vairākiem domēna kokiem.
Organizatoriskās vienības — ļauj sadalīt domēnu pa zonām un deleģēt tiesības uz
tām.
11
Fiziskā tīkla struktūra ar AD diezgan vienkārša salīdzinājumā ar viņas loģisko struktūru.
Fiziskie komponenti AD – tas ir mezgli (vietnes) un domēna kontrolleri. Šie komponenti tiek
pielietoti kataloga struktūras izstrādei, fizisku organizācijas struktūru atspoguļojošai, kura
savukārt ietekmē vietnes izveidošanu uzņēmumam. Vietne AD — ir kontrolleru domēnu
grupa, kuri atrodas vienotā vai vairākas - apakštīklos un ir saistīti ar ātrgaitas un drošiem tīklu
savienojumiem. Vietnes, vispirms, ir izmantojamas replikācijas datplūsmas pārvaldīšanai [34,
47.lpp.]. Attēla 1.3. ir atspoguļoti vietnes AD fiziska struktūra.
1.3. att. AD vietnes un servisi [27]
Katram objektam AD ir atšķirīgais vārds (Distinguished Name, DN). Piemēram,
printera objektam ar vārdu HPLJ1200 apakšvienībā „student” un domēnā koledza.lv būs šāds
atšķirīgais vārds: CN=HPLJ1200, OU=Klase, DC=koledza, DC=lv, kur „CN”—kopējais
vārds, „OU”— apakšvienība (Organizacionālā vienība), „DC”—domēna objekta klase.
Objektiem ir arī kanoniskie vārdi. Tie ir atšķirīgie vārdi, pierakstīti pretējā secībā, bez
identifikatoriem un izmantojot slīpsvītras kā atdalītājus: koledza.lv/Klase/HPLJ1200. Lai
noteiktu objektu konteinera iekšienē, izmanto relatīvo atšķirīgo vārdu: CN=HPLJ1200.
Katram objektam ir Globālais Unikālais Identifikators (angl. Globally Unique Identifier,
GUID) — unikāla un nemainīga 128-bitu rinda, kuru AD izmanto meklēšanai un replikācijai.
Noteiktiem objektiem ir arī dalībnieka-lietotāja vārds, šādā formātā: objekts@domēns.
AD var ietvert sevī citu pielikumu katalogus vai tīkla operācijas sistēmas, kā arī
pārvaldīt tās, skatīt att. 1.4.
12
1.4. att. AD Katalogs - pakalpojumu piegādātājs sistēmā [30]
Ar AD ir iespēja caurskatīt jebkuru objektu tīmekļa lapas veidā. AD ļauj centralizēti
administrēt visus resursus, jebkuras brīvpieejas objekti un servisi: datnes, perifērijas ierīces,
datu bāzes, pieslēgšana tīmekļa vietnei, uzskaites ieraksti un citi. Kā meklēšanas serviss tiek
izmantots domēnu nosaukumu sistēmas (angl. Domain Name System), turpmāk tekstā DNS.
DNS - serveru kopums kas nodrošina atbilstību starp domēnu vārdu adresēm un skaitliskajām
IP adresēm (IP adrese - skaitliska adrese, kas viennozīmīgi identificē katru datoru internetā)
[5].
Windows NT pamata domēna kontrolleris (angl. Primary Domain Controller), turpmāk
tekstā PDC ir vienīgais domēna kontrolleris, kas var saņemt domēna informācijas izmaiņas.
Pēc izmaiņu veikšanas tas replicējas uz visiem domēna rezervju kontrolleriem (angl. Backup
Domain Controllers), turpmāk tekstā BDC. Tomēr ir modeļa ar vienīgo saimnieku trūkums,
tas ir tas, ka viņu nevar mērogot lielākai sadalītai videi. Izmaiņas (piemēram, lietotāja paroles)
var pildīties tikai uz PDC kontrollera, līdz ar to vienlaicīgi veicot tūkstošs izmaiņu, var
nepietikt resursu. PDC kontrolleris atrodas tikai vienā uzņēmuma vietā, un jebkuras domēna
informācijas izmaiņas, kas atrodas attālinātā vietā, ir veicami uz šī PDC kontrollera. Cita
problēma ir tāda, ka PDC kontrolleris ir vienīgais atteikšanas punkts. Ja viņš nav pieejams,
tad nekādu kataloga informāciju nedrīkst veikt līdz brīdim kamēr tas neatgriezīsies
interaktīvajā režīmā, vai kamēr cits BDC kontrolleris netiks iecelts PDC kontrollera lomā [29,
302.lpp.].
AD domēna informācijas izmaiņas var veikt uz jebkura domēna kontrollera, kad katram
domēna kontrollerim ir kataloga pārrakstāma kataloga kopija, bet PDC kontrolleris neeksistē.
13
Tiklīdz tiek veiktas izmaiņas, tas tiek kopēts uz citiem domēna kontrolleriem. Tāds
replikācijas modelis ar vairākiem saimniekiem tiek vērsts uz mērogošanas un drošības
paaugstināšanu, taču izmaiņas katalogā var veikt uz jebkura domēna kontrollera neatkarīgi no
tā izvietojuma. Visi domēna kontrolleri nodrošina tos pašus pakalpojumus, un atteice viena no
viņiem visai sistēmai nebūs kritiska.
Vēl viena AD īpatnība ir vairāku krātuvju atbalsts, katrā no kurām var atrasties līdz 10
miljonu objektu. Skaidrs, ka sniedzot tādas iespējas šīs katalogu, AD lieliski izpaužas kā
mazajos tīklos, tā arī lielajās sistēmās.
1.3. Aktīvās Direktorijas iespēju analīze
AD katalogu dienests nodrošina sarežģītās korporatīvās vides efektīvu darbu, sniedzot
šādas iespējas:
Vienota reģistrācija tīklā – lietotāji var reģistrēties tīklā ar vienu lietotāja vārdu
un paroli un turklāt saņemt piekļuvi visiem tīkla resursiem (serveriem, printeriem,
pielikumiem, failiem u.tml.) neatkarīgi no to izvietošanas tīklā.
Centralizēta vadība – administratori var centralizēti pārvaldīt visus korporācijas
resursus. Rutinētie administrēšanas uzdevumi nav jāatkārto lieliem tīkla
objektiem. Cita centralizētā kataloga pielietošanas priekšrocība - tā var tikt
izmantota citiem pielikumiem, tādiem kā Microsoft Exchange Server. Microsoft
Exchange Server – ir programmas produkts kopīgam darbam un ziņojumu
apmaiņai, tas vienkāršo pilnu tīkla administrēšanu, jo tiek izmantots vienotais visu
pielikumu katalogu dienests [39].
Perifērijas ierīču centralizēta pārvaldīšana. AD ļauj uzstādīt un konfigurēt
serverim pieslēgtas perifērijas ierīces.
Administrēšana ar grupu politiku izmantošanu. Lejuplādējot datoru vai
lietotāju reģistrāciju sistēmā tiek pildīts grupu politiku pieprasījums; viņu
iestatījumi glabājās grupu politiku objektos (GPO) un „piesienas” pie vietnēm,
domēniem vai organizatoriskām vienībām. Grupas politikas nosaka, piemēram,
piekļūšanas tiesības dažādiem katalogu objektiem vai resursiem, ka arī lielu
daudzumu citu „noteikumu” darbam sistēmā [32].
Windows izvietošanas servera izmantošana (angl. Windows Deployment
Services), turpmāk teksta WDS, paredzēts centralizētai sistēmu uzstādīšanai uz
liela datoru skaita. Ar WDS palīdzību var uzstādīt kā tīro sistēmu, tā arī iepriekš
14
radītus attēlus, ietverošie sevī jau uzstādītus programmas nodrošinājumu un
draiverus [40].
DNS servera izmantošana. AD katalogu dienests cieši saistīts ar DNS. Ar šo tiek
panākta vienotība lokālā tīkla un internēt tīkla resursu nosaukumu dēvēšanā,
rezultātā tas vienkāršo lietotāju tīkla pieslēgšanu internetam [16].
Informācijas drošība. Autentifikācijas līdzekļi un piekļuves vadība resursiem,
iebūvētie AD, nodrošina centralizēto tīkla aizsardzību. Piekļuves tiesības var
noteikt ne tikai katram kataloga objektam, bet arī katrai objekta īpašībai
(atribūtam) [33].
Mērogošana. AD var aptvert ne tikai vienu domēnu, bet veselu kopu domēnu, kā
arī vienu domēna kontrolleri vai domēnu kontrolleru kopu – AD atbilst jebkura
mēroga tīklu prasībām. Vairākus domēnus var apvienot domēnu kokā, bet
vairākus kokus var saistīt mežā.
Informācijas replikācija. AD tiek izmantota dienesta informācijas replikācija,
kas nodrošina kataloga modificēšanu jebkurā domēna kontrollerī. Vairāku
kontrolleru esamība domēnā nodrošina bojājumpiecietību un tīkla slodzes
sadalīšanas iespēju [33].
DHCP servera izmantošana. AD katalogu dienests cieši saistīts ar dinamiskā
resursdatora konfigurācijas protokolu, (angl. Dynamic Host Configuration
Protocol), turpmāk teksta DHCP – tas ir atvērtais rūpniecības standarts, kas
vienkāršo tīklu pārvaldīšanu. Protokols DHCP atbrīvo tīkla administratorus no
nepieciešamības veikt visu datoru noskaņošanu manuāli. Tas ļauj glabāt visas
pieejamas IP-adreses centrālajā datu bāzē kopā ar attiecīgu informāciju par
konfigurāciju, tādu kā apakštīkla maska, vārtejas adrese, serveru adreses DNS.
DHCP atvieglina sistēmas administratoru darbu. Jo lielāks ir tīkls, jo ir izdevīgāks
DHCP protokola pielietojums. Bez dinamiskās adrešu piešķiršanas tīkla
administratoram būtu jāpielāgo klientus manuāli, secīgi piešķirot adreses.
Izmaiņas ir jāveic katram klientam atsevišķi. Lai izvairītos no divkāršas
izmantošanas, IP-adreses jāsadala centralizēti [16].
Centralizētais katalogs un e-pasts. AD ir vienīgais centralizētais katalogu
dienests, kas var būt realizēts uzņēmuma ietvaros. Labums no centralizētā
kataloga izmantošanas ir tāds, ka tas var būt izmantots arī citiem pielikumiem,
tādiem kā Microsoft Exchange Server. Tas atvieglo pilnu tīkla administrēšanu, jo
tiek izmantots vienotais katalogu pakalpojums visiem pielikumiem.
15
2. ESOŠĀ UZŅEMUMA DATORTĪKLA UN DATORSISTĒMU
INFRASTRUKTŪRAS IZPĒTE
2.1. Lokālo darbstaciju un servera audits
Kvalifikācijas darbam izvēlētais uzņēmums ir lielākais daudzprofilu neatliekamās
medicīnas sniedzējs Latvijā, kas nodrošina daudzpusīgu diagnostiku un ārstēšanu pacientiem,
kā arī veic zinātniski pētniecisko darbu un attīsta inovācijas, nodrošina jauno speciālistu
apmācību un īsteno pasākumus sabiedrības izglītošanai un veselības veicināšanai. Kopumā
uzņēmumā ir 4808 darbinieku, tai skaitā vairāk nekā 1000 ārstu un vairāk nekā 1600
ārstniecības un pacientu aprūpes speciālistu.
Pakalpojumam AD uzstādīšanai tika izvēlēts dators ar OS Windows Server 2008. AD
realizācijas plāna ieviešanai iestāde bija jāpārbauda datorsistēmu un datorinfrastruktūras
saderība un saskaņotība pieslēgšanai izvēlētajam serverim, tādēļ bija nepieciešams veikt
auditu.
Šobrīd iestādē ir uzstādīts liels visāda veida datorsistēmu skaits (apmēram ap tūkstotis)
sākot no Intel Pentium IV un beidzot ar mūsdienu Intel Core i3, i5, i7 procesoriem. Uz visiem
datoriem ir uzstādītas licenzētas Microsoft Windows operētājsistēmas. Lielākā datorsistēmu
daļa ir Windows 7 Professional, ka arī ir datori, uz kuriem joprojām ir Windows Vista un
Windows XP Professional, kas pamazām tiek nomainītas uz Windows 7 operētājsistēmu.
Visu piedāvāto Aktīvas Direktorijas pakalpojumu iespēju realizēšanai, Windows 7 ir
vispiemērotākā operētājsistēma un lai nepieļautu iespējamās problēmas, kas var rasties
izmantojot vairākas OS, bija pieņemts lēmums par integrēšanu AD tikai ar OS Windows 7
datorus, un otrais iemesls bija tas, ka kompānija Microsoft paziņoja par to, ka pārtrauc
atbalsta produktu ražošanu OS Windows XP (uzlabojumus, drošības atjauninājumi, draiveri,
klientu atbalsts u.tt.) [38].
Ar datoriem, uz kuriem bija uzstādīts Windows XP bija veiktas šādas darbības:
Datori, kas bija nopirkti līdz 2007.gadam un kuru tehniskie parametri neatbilst
Windows 7 prasībām, tika norakstīti vai atdoti nodaļām, kur nebija plānota AD
ieviešana (1.pielikums).
Uz datoriem, kuri bija nopirkti no 2007 līdz 2010.gadam un to tehniskie
parametri atbilst Windows 7 prasībām, bija nopirktas Windows 7 licences,
izmantojot licences veidu Windows 7 Genuine Kit. Uzstādītās operētājsistēmas
licenzēšanas versija (Get Genuine Kit, GGK), kuru rekomendē kompānija
Microsoft, kas ir risinājums licenzēšanai jau agrāk uzstādītāj esošajos datoros
16
nelicencētai vai neatbilstošai kopijai (piemēram, bija Windows XP, bet vajadzīgs
ir Windows 7). Šī versija domāta kā mājas, tā arī korporatīvajiem klientiem,
kuriem ir vajadzīgas viena vai vairākas licences [11] (2.pielikums).
Datoru tehnisko parametru audita veikšanai bija izmantota HWINFO32 programma.
Attēlā 2.1. ir atspoguļoti viena no iestādes datora parametri.
2.1. att. Tehniskie datora parametri (HWiNFO) [12]
Uzstādīto datoros programmu audita veikšanai tika izmantota programma LAN
Sweeper. Šo programmu iesaka izmantot BSA (Business Software Alliance) un to var brīvi
lejupielādēt no viņu mājaslapas. BSA ir vadošā organizācija drošas un likumīgas digitālās
vides veicināšanā [8]. Attēlā 2.2. ir atspoguļots BSA programmas rezultātu kopsavilkums.
2.2. att. Programmas Lan Sweeper rezultātu logs [8]
17
AD ieviešanas realizācijai bija nepieciešams veikt esošā servera auditu. Līdz pāriešanai
uz AD iestādē bija izmantots Windows NT 4.0 domēns. Serverim, kurš nodrošināja šo
funkciju bija sekojošie tehniskie parametri [25]:
Procesors: Intel Pentium III – 600Mhz x 2.gab;
Atmiņa: 512 MB;
Cietais disks: 200 GB;
Tīkls: Iebūvēta tīkla karte 100 Mbit/s;
OS: Windows Server NT 4.0.
AD ieviešanai tika nolemts izmantot citu serveri ar Windows Server 2008 OS, par kuru
detalizētā informācija tiks minēta šajā darbā.
2.2. Lokālo datortīkla un tīkla iekārtu audits
Bez datoru un servera audita, pirms AD ieviešanas iestādē bija nepieciešams veikt arī
lokālā tīkla un tīkla perifērijas ierīču auditu.
Tīkla audits – viens no pamata uzdevumiem, kuru bija nepieciešams izpildīt pirms AD
ieviešanas. Tīkla audits nav īpaši sarežģīts, ja tīkla izmērs ir neliels. Ja administrējamā tīkla
izmērs ir tik liels, ka katras ierīces un datoru apstaigāšana un manuālā ievadīšana ir
neiespējamā, vai lai noskaidrotu darbojas dators vai nē, kāda OS sistēma uz viņa uzstādīta,
kādi porti ir atvērti, bet kādi nav, šādā situācijā ir nepieciešams izmantot programmas. Tīkla
un tīklu iekārtu auditam tika izmantota programma Zenmap. Šī programma ir viena no
spēcīgiem rīkiem tīkla auditam, kura tika izstrādāta OS Linux un bija adoptēta Windows
platformai [26]. Attēlā 2.3. ir atspoguļota programmas darbība.
2.3. att. Programmas Zenmap rezultātu logs [28]
18
Nākamajā etapā bija nepieciešams veikt tīkla un perifērijas ierīču auditu. AD stabila
darba nodrošināšanai tika nomainīti visi vienkāršie tīkla pārslēdzēji uz tīkla pārslēdzējiem ar
attālināto kontroles un pārvaldīšanas iespēju. Tīkla pārslēdzēja vai viņa komponentu bojājumu
gadījumā, kā arī kļūdu rašanās gadījumā, pārsūtot datus, sistēmas administrators redz šo
informāciju savā sistēmas monitorā, tādā veidā ir iespēja operatīvi novērst traucējumus un
atjaunot tīkla ierīces darbspēju, kā arī atjaunot piekļuvi un pieslēgto tam lietotāju darbu.
Kas attiecās uz printeriem, skeneriem, multifunkcionālām iekārtām, te var izcelt divus
audita etapus:
1) Visām perifērijas ierīcēm jābūt pārbaudītam uz darbspējas saderību Windows 7
vai Windows Server 2008 vidē. Vecus modeļus, kas nav saderami -
nepieciešams nomainīt uz jaunajiem.
2) Perifērijas ierīcēm, kurām ir pieslēgšanas iespēja tīklā ir nepieciešams
pārkonfigurēt, ja tie bija pieslēgti datoram lokāli. Kā arī ir nepieciešams veikt
racionālo perifērijas ierīču sadalīšanu pa kabinetiem un nodaļām, ņemot vērā
tādus aspektus kā lietotāju daudzums uz vienu ierīci.
Attēlos 2.4. un 2.5. atspoguļota situācija līdz modernizācijai un pēc tās.
2.4. att. Lokālās tīkla fragments pirms modernizācijas [autora izstrādāts]
19
2.5. att. Lokālās tīkla fragments pēc modernizācijas [autora izstrādāts]
Pirms AD ieviešanas administrēšana un lietotāju kontrole iestādē tika veikta, izmantojot
Windows NT 4.0 domēnu. Katrā klīnikā izmantoja savu domēnu ar saviem parametriem un
konfigurāciju. Tabulā tiek atspoguļoti Windows NT 4.0 un Windows Server 2008
administrēšanas rīki.
2.1.tabula
Administrēšanas rīku salīdzinājums sistēmās Windows NT4.0 и Windows Server 2008
[41]
Administratīvie uzdevumi Windows NT 4.0
Domēnu kontrolieris
Windows 2008
Pakalpojumu katalogs (AD)
Domēnu vadība
AD vadīšana Netika izmantots
AD aprīkojumi – domēni un
uzticība, AD – vietnes un
pakalpojumi
Domēna kontrollera
izveidošana no esošā servera Netika izmantots Rīks dcpromo.exe
Starp domēnu uzticamo
attiecību vadīšana Domēna lietotāju dispečers
AD aprīkojums– domēni un
uzticība
20
2.1. tabulas turpinājums
Administratīvie uzdevumi Windows NT 4.0
Domēnu kontrolieris
Windows 2008
Pakalpojumu katalogs (AD)
Lietotāji un grupas
Lietotāju un grupu uzskaites
ierakstu vadība
Lietotāju dispečers vai
domēna lietotāju dispečers
Aprīkojums lokālie lietotāji
un grupas vai AD – lietotāji
un datori
Administratīvo tiesību
deleģēšana citiem lietotājiem Netika izmantots
Aprīkojums AD – lietotāji un
datori
Reģistrācijas scenāriju
piešķiršana Domēna lietotāju dispečers Aprīkojums grupu politika
Drošība
Drošības sistēmu vadība un
monitorings Netika izmantots Aprīkojums grupu politika
Izšķirtspēju, audita un kopējo
resursu valdīšanu
konfigurēšana
Mans dators vai pārlūks Aprīkojums AD – lietotāji un
datori
Domēna politiku drošības
konfigurēšana Domēna lietotāju dispečers
Aprīkojums AD – domēni un
uzticība
Domēna politiku drošības
konfigurēšana visiem
domēnā esošiem datoriem
Sistēmas politikas redaktors AD aprīkojums– domēni un
uzticība
Drošības politikas
konfigurēšana vienkārtējam
datoram
Sistēmas politikas redaktors Aprīkojums grupu politika
Kā ir redzams no tabulas, izmantošana AD uz Windows Server 2008 pamata sniedz
virkni priekšrocību domēnu vadīšanas jomā, kontroles un lietotāju, datoru administrēšanā, kā
arī drošībā un bojājumpiecietībā, salīdzinājumā ar izmantojamo pašlaik Windows NT 4.0.
21
3.AKTĪVAS DIREKTORIJAS IEVIEŠANAS PLĀNA
IZSTRADE
3.1. Aktīvās Direktorijas risinājuma izvēle
Aktīva Direktorija — tas nav pirmais un nav vienīgais direktoriju pakalpojumu serviss.
Mūsdienu tīklos tiek izmantoti vairāki direktoriju pakalpojumi un standarti [45, 4.lpp.]:
Х.500 un Directory Access Protocol (DAP). X.500 — specifikācija Internet
Standart Organization (ISO), nosaka, kā jāstrukturizē globāli katalogi. Х.500 arī
apraksta DAP pielietošanu mijiedarbības nodrošināšanai starp klientiem un
katalogu serveriem;
Lightweight Directory Access Protocol (LDAP). Protokols LDAP bija izstrādāts
atbildot uz DAP specifikācijas kritiskiem aizrādījumiem, kas izrādījās pārāk
sarežģīta vairākumu gadījumā izmantošanai. Specifikācija LDAP ātri kļuva par
standarta katalogu protokolu internetā;
Novell Directory Services (NDS). Direktorija pakalpojums tīkliem Novell
NetWare, piekāpīgs ar Х.500 standartu [19];
Windows NT un SAM. Par kodolu Windows NT NOS (Network Operating
System — tīkla operācijas sistēma) ir datu bāze SAM (Security Accounts
Management — drošo uzskaites ierakstu valdīšana), kas sniedz centrālo uzskaites
ierakstu datu bāzi, ietverošo sevī visus domēnā lietotāju un grupu uzskaites
ierakstus. Piederošie jebkuram serverim Windows NT domēnā, šie uzskaites
ieraksti tiek izmantoti kopīgo resursu piekļuves vadīšanai;
Atšķirībā no minētiem pakalpojumiem, Aktīvas Direktorijas pakalpojums ir drošs,
sadalīts, segmentēts, replicēts, tas ļauj nodrošināt sekojošās iespējas:
vienkāršotā administrēšana;
mērogojamība;
atvērto standartu atbalsts;
vārdu standarta formātu atbalsts.
Ar AD palīdzību tiek veikta centralizētā lietotāju, grupu, kopējo mapju un tīkla resursu
vadība, lietotāja vides un programmu nodrošinājuma administrēšana ar grupu politiku
līdzekļiem. Izvēloties direktorija pakalpojumus AD, bija jāņem vērā kompānijas Microsoft
popularitāte pasaules tirgū. Salīdzinājums ir atspoguļots attēlā 3.1.
22
3.1. att. OS sadalījums tirgū pēc ražotājiem [10]
Ņemot vērā to, ka iestādē ir jau nopirktas licences un servera OS, un izvēloties AD, nav
jātērē papildus līdzekļi licences iegādei un personāla IT daļu darbinieku apmācībai. Iestādes
iegādājamie datori ir aprīkoti ar visām nepieciešamām licencēm AD un Microsoft Exchange
Servera izmantošanai. Pieslēgšanai AD nepieciešamās licences [44]:
Windows 7 Professional 32/64 Bit;
Microsoft Office 2010 Home and Business (ir nepieciešamā Microsoft Exchange
izmantošanai);
Windows Server CAL (ir nepieciešamā legālajai pieslēgšanai serverim).
3.2. Servera konfigurācija
AD ieviešanai bija jānomaina esošo serveri pret jauno jaudīgāko serveri. Tika pieņemts
lēmums par AD uzstādīšanu uz Windows Server 2008. Zemāk 3.2. tabulā ir minēti servera
tehniskie parametri serveru programmu nodrošinājuma uzstādīšanai.
3.1. tabula
Windows Server 2008 (minimālās prasības) [21]
N p.k. Komponenta veids Minimālas prasības
1. Procesors (CPU) 1 Ghz (x86); rekomendējams 2 Ghz
vai atrāk (x64 arhitektūrai)
2. Brīvpiekļuves Atmiņa (RAM) 512 MB; rekomendējams 2GB
3. Pieejama vieta diskā (HDD) 10GB; rekomendējams 40GB
Microsoft Windows
87%
6% 3% 4%
Windows OS
Mac OS
Linux OS
Citas OS
23
3.1. tabulas turpinājums
N p.k. Komponenta veids Minimālas prasības
4. Optiska iekārta (DVD-ROM) DVD lasītājs/rakstitājs
5. Displejs (VGA) Super VGA 800x600 vai monitors ar
augtāko izšķirtspēju
Ņemot vērā augstāk minētus parametrus bija sagatavots HP Proliant ML 350p serveris
[14], pirms tam šīs dators bija izmantots SQL serverim un citiem uzdevumiem, bet pēc
lēmuma pieņemšanas par AD ieviešanu, bija nolemts to izmantot AD uzstādīšanai. Uz šī
datora jau bija uzstādīta OS Windows Server 2008. Bojājumpiecietības nodrošināšanai
(elektrības pārtrauces gadījumā) serveris bija iekomplektēts ar UPS HP R/T2200G2 2200
VA/1600W. Pilna servera konfigurācija (3.pielikums).
3.3. Aktīvās Direktorijas loģiskās struktūras plānošana
Aktīvas Direktorijas plānošanas procesā var izcelt divus pamata etapus (skatīt att. 3.3.):
1) Loģiskās struktūras plānošana, ietverošā sevī domēnu un organizatorisko
sadalījumu projektēšanu, kā arī nosaukumu piešķiršanas problēmu;
2) Fiziskās struktūras plānošana, sastāvoša no tīkla sadalīšanas uz vietnēm un
domēna kontrolleru izvietošanas.
3.2. att. Aktīvās Direktorijas plānošana [34, 29.lpp.]
24
Plānojot domēnu struktūras jānosaka domēnu organizācijas daudzumu un paņēmienu.
Iespējamie domēnu struktūras trīs varianti:
vienīgais domēns,
domēnu koks,
mežs.
Mūsu iestādei ir pieņemams vienīgo domēnu variants, jo iestādei vispiemērotākais pēc
pazīmēm bija vienīga domēna izvēle. Zemāk ir minētas pazīmes, pēc kurām tika izvēlēts tieši
vienīgais domēns [34, 13.lpp.]:
iestādei mazāk par vienu miljonu lietotāju;
attālināto filiāļu neesamība;
relatīvā organizācijas struktūras stabilitāte;
nav vajadzības pēc dažādu domēnu nosaukumu;
centralizēts administrēšanas paņēmiens;
vienotā drošības politika.
Noteikumi, pēc kuriem tiek izvēlēts domēna vārds [45, 49.lpp.]:
jāatspoguļo iestādes specifika;
jābūt saprotamam ne tikai tīkla administratoram, bet arī visiem domēna resursu
lietotājiem;
nav jābūt pārāk sarežģītam.
Pamatojoties uz noteikumiem par komercnoslēpumu neizpaušana, kā arī uz drošības
noteikumiem, ārpus iestādes, autors nemin reālo domēna nosaukumu, kas bija izvēlēts AD
ieviešanai [1]. Kā piemērs domēna nosaukumu var veidot šādi:
Ja iestādes nosaukums ir „Alberta koledža”, tad var izmantot abreviatūru – ALBKOL.
Apakšvienību iestādes struktūras plānošana
Hierarhiju var veidot ar divu pamata pieeju palīdzību:
organizatoriskā pieeja – sekojot organizatoriskai uzņēmuma struktūrai;
administratīvā pieeja – izejot no tīkla objektu vadības uzdevumiem.
3.4. Aktīvās Direktorijas fiziskās struktūras plānošana
Fiziskās struktūras plānošanas pamata mērķis – replikācijas datplūsmas optimizācija.
Mērķis ir sasniedzams vietnes un domēna kontrolleru pārdomāta izvietojuma ceļā. Mūsu
iestādei ir piemērots šāds variants: ir četras klīnikas (klīnika1, klīnika2, klīnika3, klīnika4),
25
katrā klīnikā esošajā serverī tiek sakonfigurēts domēna kontrolleris, atšķirībā no Windows NT
4.0 domēna, visi kontrolleru domēni ir līdztiesīgie un kļūmes vai nepieejamības gadījumā
autentifikācija notiek nākamajā kontrolleru domēnā. Bet datplūsmas optimizācijai un
gaidīšanas laika samazināšanai pieslēdzoties kontrolleru domēnam, pieslēgšanas prioritāte ir
izveidota tādā veidā: klīnikas „1” lietotāji tiek autentificēti caur „1” klīnikas serveri, klīnikas
„2” lietotāji tiek autentificēti caur „2” klīnikas serveri, klīniku „3” un „4” lietotāji
autentificējas caur klīnikas „4” serveri.
Pēc AD izprojektētas struktūras realizācijas administratoram jāpievieno katalogā visu
sistēmu lietotāju uzskaites ieraksti un piešķirt katram no tām noteiktas tiesības.
Lietotāja uzskaites ieraksts – tas ir kartēto ar noteikto lietotāju atribūtu komplekss [45,
44.lpp.].
Vissvarīgākie atribūti ir sekojošie [31]:
uzskaites ieraksta vārds, ar kuru palīdzību lietotājs veic ieeju sistēmā (domēna
robežās jābūt unikālam);
lietotāja pilns vārds;
parole;
grupas, kurās ieiet lietotājs;
lietotāja tiesības.
Iestādei ir piemērots šāds variants, katram lietotājam, kuram ir dators, tiek izveidots
individuālais profils (lietotāja konts): piemēram, Jānis Ozols, statistikas nodaļas darbinieks
lietotājs (login): jozols;
parole: paroles izveidei tiek ievērota paroļu lietošanas politika, ievērojot drošas
paroles izveides prasības (garums vismaz 8 simboli, jāsatur lieli un mazi burti,
cipari un speciālās zīmes, parole jāmaina ik pēc 3 mēnešiem, tas viss ir
atspoguļots serverī);
grupa: statistika ar iespēju lietot tīkla mapes un perifērijas ierīces, kuras ir
paredzētas statistikas nodaļas darbiniekiem;
lietotāju tiesības: Domēna lietotājs (angl. Domain User);
e-pasts: [email protected]
Neskaitot individuālus profilus iestādē ir arī centralizētie lietotāju konti rezidentu, ārstu,
medicīnas posteņu vajadzībām, respektīvi, tādos gadījumos, kad vienu datoru izmanto divi un
vairāki lietotāji un kuriem nav nepieciešams glabāt personīgus datus datorā. Tādiem
lietotājiem netiek veidots iestādes e-pasts.
26
Viens no svarīgiem AD ieviešanas plānošanas momentiem ir grupu un grupu politiku
izmantošana datoru un lietotāju administrēšanai.
Lietotāju grupa – lietotāju uzskaites ierakstu apvienošana, kam var piešķirt tiesības.
Ar grupu izmantošanu tiesību sadalīšana notiek sekojoši:
No sākuma tiek izvēlēti tādi lietotāji, kuriem tiesību saraksts būs vienāds;
Pēc tam tiek izveidota grupa, par kuras locekļiem tiek izvēlēti lietotāji.
Nepieciešamās tiesības tiks piešķirtās ne atsevišķiem lietotājiem, bet grupai, un
šīs tiesības automātiski izplatās uz visiem grupu lietotājiem.
Grupas politikas – viens no efektīvākiem un ērtākiem administrēšanas rīkiem
[29,643.lpp].
Grupu politikas (angl. Group Policy) – tas ir lietotāju darba galda un datoru
parametru pielāgošanas darba automatizācijas veids;
Grupu politikas sastāv no noteikumu kopuma, ar kura palīdzību var veikt datoru
vai lietotāju administrēšanu;
Katrs tāds noteikumu kopums saucās par grupu politikas objektu (angl. Group
Policy Object), turpmāk tekstā GPO.
Grupas politikas objekts satur divas pamata daļas (skatīt attēlu 3.3.):
datora konfigurācija (Computer Configuration);
lietotāja konfigurācija (User Configuration).
3.3. att. Grupu politikas objekta atspoguļošana [29,643.lpp]
27
Katra no daļām ietver sevī trīs sadaļas [20]:
pielikumu iestatīšana (angl. Software Settings);
Windows iestatīšanas (angl. Windows Settings);
administratīvas veidnes (angl. Administrative Templates).
„Lietotāju grupa” apvienības izmantošana ļauj nodrošināt piekļuvi tīkla resursiem, perifērijas
ierīcēm, kā arī pārvaldīt grupu tiesības; attēlā 3.4. ir atspoguļota lietotāju grupa „Statistika” ar
ietvertiem tajā lietotājiem.
3.4. att. Lietotāju grupa „statistika” un tās dalībnieki [autora izstrādāts]
3.5. Datoru konfigurēšana un sagatavošana
Par vienu no AD ieviešanas plāna izstrādes momentu ir darbi saistīti ar datoru
sagatavošanu un konfigurēšanu.
Šīs etaps ietver sevī:
visu nevajadzīgo programmu nodzēšana, gadījumā ja dators lēni ielādējas,
uzkaras darbības laikā, parādās ziņojumi par sistēmas kļūdām, tad
rekomendējams pārinstalēt datora OS.
visu nepieciešamo programmu uzstādīšana (Microsoft Office 2007 vai jaunākas
versijas Exchange e-pasta servera darbspējas nodrošināšanai);
28
visu pieejamo atjauninājumu uzstādīšana (Windows, MS Office, Antivīrusu
programma);
lokālā profila izveidošana, ja pieslēgšana AD nebūs iespējama (lokāla tīkla
bojājums);
datoru pārbaude uz vīrusiem.
Zemāk ir minēta datoru nosaukuma piešķiršanas metodika, pēc kuras bija plānots to
darīt.
Saskaņā ar drošības normām tīklā, datora nosaukums nevar saturēt informāciju par
lietotāju un par viņa atrašanas vietu (piemēram, nav pieļaujami nosaukumi: galvgram-12kab,
janis-bank-pc un tml.), rekomendējams piešķirt datoriem filmu varoņu, dzīvnieku
nosaukumus, vai izmantot savu rakstzīmju kopu [18].
Bet ņemot vērā to, ka iestādē ir vairāk par 1000 datoru šīs metodikas pielietošana nav
iespējama, citādi būtu jāizveido dokuments, kurā glabātos informācija par datora nosaukuma
atšifrēšanu un glabāšanas vietu. Ņemot vērā lielu izsaukumu skaitu tas būtiski ietekmētu
patērēto laiku katram izsaukumam. Slimnīcas tīkls ir nesasniedzams no ārpuses, bet
administratora tiesības ir tikai IT daļas darbiniekiem, kā arī visi lietotāji paraksta dokumentu
par datora lietošanas noteikumiem (piemēram, par informācijas neizpaušanu, par
konfidencialitāti, par tīkla izmantošanu, par aizliegumu savas piekļuves ļaunprātīgu
izmantošanu). Tādēļ tika pieņemts lēmums piešķirt datoriem nosaukumus saskaņā ar viņu
atrašanas vietu izmantojot saīsinājumus, piemēram: dators atrodas klīnikā „1”, darba
aizsardzības nodaļā, uz tā strādā vecākais operators; pēc pieslēgšanai AD nosaukums būs
sekojošais: KL1-DAN-VO, tas ir drošs nosaukums, jo no malas šīs nosaukums maz ko izsaka,
bet IT daļas darbiniekiem uzreiz viss ir skaidrs un var operatīvi reaģēt un risināt problēmas ar
šo datoru.
3.6. Lietotāju datu organizācijas plānošana
Ļoti svarīga ir profilu izveidošana, lietotāju datu saglabāšana un profilu migrēšana no
esošā domēna vai darba grupas uz AD. Tika pieņemts lēmums par jaunās datu bāzes
izveidošanu AD pakalpojuma katalogam, par pamata iemeslu tam bija esošo lietotāju kontu
vārdu neatbilstība tiem standartiem, kas bija uzstādīti AD. Pirms veikt datora integrēšanu AD,
bija nepieciešams izveidot lietotāju bāzē AD lietotāja kontu [43]. Veidojot lietotāju kontu tiek
piešķirta pagaidu parole „Temp#1234”, kuru jānomaina autentificējoties, darbība atspoguļota
att. 3.5.
29
3.5. att. Jauna lietotāja izveide AD [autora izstrādāts]
Jāieiet zem tā lietotāja konta lokālajā datorā vismaz vienu reizi, lai OS izveidotu turpmāko
lietotāja kontu, kurā vēlāk tiks pārcelti visi dati no vecā lietotāja konta, skatīt attēlu 3.6.
3.6. att. Jauna lietotāja autentifikācija AD [autora izstrādāts]
Lietotāja datu migrēšana notiek fiziski, bez speciālo programmu palīdzību, jo
programmas nenodrošina 100% garantiju, ka visi lietotāja dati tiks pārcelti pilnībā, par
iemeslu tam var būt sekojošie iemesli:
faili vai mapes satur simbolus vai zīmes (kiriliskā alfabēta burtus, diaktriskās
zīmes);
faili, kuru izmērs pārsniedz 2 GB;
e-pasta kastītes un konti.
Tādēļ pirms veikt lietotāju datu migrēšanu, saskaņā ar instrukciju, jānokopē visu
informāciju (dokumenti, bildes, prezentācijas un cita darbam nepieciešamā informācija) mapē
ar nosaukumu „Backup_dd.mm.gg”, kur dd.mm.gg ir reālais datums, mēnesis un gads, pēc
tam IT daļas darbinieks migrē visus saglabātus datus no vecā konta uz jauno [17]. Vecais
konts saglabājas uz diska un nepieciešamības gadījumā vai pēc lietotāja lūguma, ir iespēja
30
piekļūt tiem datiem. Ievērojot zemāk minētus noteikumus datu saglabāšanai šīs process nebūs
sarežģīts un laikietilpīgs:
lietotājam nedrīkst glabāt datorā darbam nepiederošus datus (foto, video,
mūzika);
lietotājam obligāti vienu reizi nedēļā jāsaglabā visus svarīgus datus tam
paredzētajā direktorijā uz servera;
visas programmas, kuras izmanto lietotājs, neglabā datus lietotāja datorā, bet
serverī (lietotājam tiek uzstādīta tikai klientu versija, bet programmas datu bāze
glabājas uz servera);
par medicīnas datiem, ka arī tehniskiem datiem citu programmu, kuras, saskaņā
ar līgumu piedāvā trešās personās, IT daļas darbinieki neatbild;
IT daļas darbinieki saglabā tikai dokumentus, katalogus un failus no konta, kā
arī pēc iepriekšējās vienošanās atsevišķus katalogus.
3.7. Tīkla drošības politikas plānošana
Tīkla resursu izmantošanas drošības nodrošināšanai iestādē pēc AD ieviešanas, plānots
izmantot trīs veidu kontus:
Lokālais profils (angl. Local Profile);
Klīstošais profils (angl. Roaming Profile);
Obligātais profils (angl. Mandatory Profile).
Lokālais profils
Piekļūšanai datoram domēna nepieejamības gadījumā, datorā tiek izveidots lokālais
konts (user_local) un kura parole tiek paziņota lietotājam datora uzstādīšanas brīdī. Lokālā
profila izveidošana izveidojas arī veidojot klonus ar tipveida datora instalāciju.
Klīstošais profils
Norādīta mape ceļā pie profila, var atrasties jebkurā serverī. Tai nav obligāti atrasties uz
domēna kontrollera. Lietotājam ieejot datorā Windows OS, pārbauda vai ir uzskaites ierakstā
norādīts ceļš pie profila, ja ir norādīts, tad sistēma atrod vajadzīgo lietotāja kontu un kopē to
uz lokālo datoru. Klīstošie profili, izmantojamie kopā ar klientu pakalpojumu terminālu,
nereplicējas serverī, kamēr mijiedarbīgie lietotāji neizies no sistēmas, un mijiedarbības seanss
netiks pabeigts. Šo profila veidu plānots pielietot tiem klientiem, kuri pārvietojās no klīnikas
uz klīniku [13].
31
Obligātais profils
Obligātais lietotāja konts ir iepriekš konfigurējams. Lietotājs joprojām var veikt
izmaiņas savā darbvirsmā, tomēr izejot no sistēmas šīs, izmaiņas nesaglabājas. Lietotājam
ieejot atkārtoti, obligātais profils atkal ielādējas no servera. Minēto profila veidu tiek plānots
pielietot tiem lietotājiem, kuriem nav nepieciešamības saglabāt datus datorā [42].
Plānots sakonfigurēt sistēmu tādā veidā, ka, ja konts netiek izmantots uzstādītā
noteiktajā perioda laikā, tad konti paši nodzēšas. Pašlaik IT daļas darbinieki manuāli dzēš
neaktuālus lietotāju kontus (kas ir atbrīvoti no darba), informācija tiek ņemta no kadru
kontroles programmas.
32
4.AKTĪVĀS DIREKTORIJAS IEVIEŠANA
4.1. Servera programmatūras uzstādīšana un konfigurēšana
Iepriekšējās darba sadaļās bija izskatīti teorētiskie aspekti par AD tādi kā struktūra,
arhitektūra, plānošana u.t.t. Šajā nodaļā tiks sniegta informācija par uzstādīšanu, noskaņošanu
un AD pielietošanu reālā iestādes piemērā, tā ir praktiskā daļa.
Pirmais etaps ir programmu uzstādīšana un konfigurēšana serverī, kas nepieciešams AD
sazarošanai, lai varētu izmantot visas AD piedāvātās priekšrocības.
Nepieciešams uzstādīt šādus pakalpojumus un programmas:
Aktīvās Direktorijas servisa programma (dcpromo) [15];
domēna kontrollera izveidošana vai piesaiste;
DNS serveris;
DHCP serveris;
izvietošanas administrēšanas serveris (WDS).
Aktīvās Direktorijas servisa programma (dcpromo)
Aktīvas Direktorijas pakalpojuma uzstādīšanas process datorā ar Microsoft Windows
Server 2008 nav sarežģīts: vienkāršība tiek nodrošināta ar instalācijas rīku AD (Active
Directory Installation Wizard), lai palaistu instalēšanu ir nepieciešams ierakstīt komandu
uzvednē: dcpromo un pēc tam nospiest „Enter”, skatīt attēls 4.1.
4.1. att. AD serviss programmas instalācija sakums [15]
33
Kataloga datu bāze glabājās domēna kontrollera cietajā diskā failā Ntds.dit. AD
instalēšanas procesā fails Ntds.dit tiek nokopēts instalēšanas laikā identificētajā vietā, vai pēc
noklusējumā uzdotajā mapē %systemroot%\NTDS, ja nav noteikta cita vieta [34, 131.lpp.].
Jāpievērš uzmanība tam, ka pirms Aktīvās Direktorijas uzstādīšanas uz serveri,
jāpārliecinās, ka serverim ir uzstādīta statiskā IP adrese, pretējā gadījumā AD instalācija ir
neiespējamā [34, 92.lpp.].
Domēna kontrollera izveidošana vai piesaiste
Kad AD pakalpojums tiek uzstādīts sistēmā ar OS Windows Server 2008, dators faktiski
paliek par domēna kontrolleri. Ja tas ir pirmais domēna kontrolleris jaunajā domēnā un mežā,
tad tiek veidota tīra direktorija datu bāze, kas sagaida direktorija pakalpojuma objektu
ienākšanu. Ja tas ir papildu domēna kontrolleris jau esošajā domēnā, replikācijas process
pavairos uz šo jauno domēna kontrolleri visus pašreizējā domēna direktorija pakalpojuma
objektus. Ja tas ir domēna kontrolleris, kuram ir modernizētā Microsoft Windows NT 4
sistēma, tad uzskaites ierakstu datu bāze tiks automātiski atjaunota līdz AD, pēc Windows
Server 2008 uzstādīšanas uz šī domēna kontrollera.
Uzstādot AD var pievienot esošajām domēnam jaunu domēna kontrolleri vai izveidot
jaunā domēna pirmo kontrolleri [45, 83.lpp.]:
Kontrollera pievienošana esošajām domēnam. Šajā gadījumā tiek izveidots
līdztiesīgs domēna kontrolleris, kas nodrošinās bojājumpiecietību un samazinās
slodzi uz esošajiem domēnu kontrolleriem;
Pirmā kontrollera izveidošana jaunajām domēnam. Šajā gadījumā tiek
izveidots jauns domēns. Viņš ir vajadzīgs informācijas sadalīšanai, kas ļaus
noskaņot AD saskaņā ar iestādes vajadzībām. Izveidojot jaunu domēnu, pieļauts
jaunā meitas domēna vai jaunā koka izveidošana. (skatīt attēlu 4.2.)
4.2. att. Jaunā domēna izveidošanas process [15]
34
DNS serveris
DNS - Domēnu Nosaukumu Sistēma, serveru kopums kas nodrošina atbilstību starp
domēnu vārdu adresēm un skaitliskajām IP adresēm (angl. Domain Name System), turpmāk
tekstā DNS [2].
Aktīva Direktorija izmanto DNS kā meklēšanas pakalpojumus, ļaujot datoriem atrast
domēnu kontrollerus. Kontrolleru meklēšanai noteiktajā domēnā klients pieprasa DNS par
resursu ierakstiem, saturošiem domēna nosaukumus un IP-adreses LDAP-serveru. Ja datorā
nav uzstādīts DNS pakalpojums, tad nedrīkst uzstādīt AD, jo Aktīva Direktorija izmanto DNS
kā meklēšanas pakalpojumus [29, 241.lpp.].
Automātiskai DNS-servera konfigurēšanai jāizmanto AD uzstādīšanas rīks, tad
nevajadzēs manuāli veikt DNS noskaņošanu AD atbalstīšanai, skatīt attēlu 4.3.
4.3. att. DNS servisa uzstādīšana [16]
DHCP serveris
DHCP - dinamiskais saimniekdatora konfigurācijas protokols, kurš ļauj tīkla
administratoriem centralizēti pārvaldīt un automatizēt IP adrešu organizāciju datoru tīklos.
Protokols DHCP ļauj tīkla administratoram pārraudzīt un izplatīt IP adreses no centrālā
vadības punkta un automātiski nosūtīt jaunu IP adresi, ja dators tiek pieslēgts kādai citai vietai
tīklā. (angl. Dynamic Host Configuration Protocol), turpmāk tekstā DHCP.
35
DHCP - serveru autorizācijas process ir atkarīgs no servera lomas tīklā. Windows
Server 2008 OS kopai ir trīs lomas (trīs serveru tipi), katrai no kuras var būt uzstādīts dators:
domēna kontrolleris. Dators glabā, un atjauno AD datu bāzes kopiju, kā arī
nodrošina drošu domēna locekļu uzskaites ierakstu vadību (lietotāju un datoru);
parastais serveris. Dators nepilda domēna kontrollera pienākumus, bet ir
pieslēgts domēnam, kurā viņam ir uzskaites ieraksts AD datu bāzē.
izolētājs serveris. Dators nepilda domēna kontrollera vai parastā servera
pienākumus domēnā. Tā vietā dators identificēts tīklam ar darba grupas
nosaukuma palīdzību, kuru var izmantot arī citi datori, tikai caurskatīšanas
mērķiem, bet ne drošas pieejas piešķiršanai kopējiem domēna resursiem.
Lai izpildīt DHCP - servera autorizāciju AD ir nepieciešams veikt šādas darbības:
1) atvērt DHCP konsoli. Lai to izdarītu, jānospiež pogu „Starts”, jāizvēlas
„Parametri”, pēc tam „Vadības panelis”, dubultā jāuzklikšķina „Administrēšana” un
„DHCP”;
2) konsoles kokā izcelt elementu „DHCP”;
3) izvēlnē „Darbība” jāizvēlas komanda „Pārvaldīšana autorizētiem serverim”,
parādīsies dialoga logs „Pārvaldīšana autorizētiem serverim”;
4) jānospiež poga „Autorizēt”;
5) atbildot uz vaicājuma jāievada vārds vai IP-adrese autorizējamā DHCP-servera
un jānospiež poga „OK”.
DHCP-serveris piešķir IP-adreses iznomā saviem klientiem. Katrai nomai ir datums un
darbības laika beigšana. Klientam jāatjauno noma, ja viņš turpina izmantot IP-adrese. Pēc
noklusējuma nomas ilgums ir astoņas dienas [16].
Lappusē „Izņēmumu pievienošana” var noteikt IP-adreses, kuras DHCP-serverim nav
jāpiešķir klientiem. Piemēram, pašam DHCP-serverim ir statiskā IP-adrese, kuru nav jāpiešķir
klientiem. Tas pats ir pareizs arī pamata vārtejām un dažādām tīkla ierīcēm, tādām kā printeri
ar tiešo pieslēgumu tīklam. Šos IP-adreses jāizslēdz, tad DHCP-serveris nepiešķirs tos
klientam.
DHCP serverim ir funkcija rezervēt IP adreses ierīcēm, kuras atrodas lokālajā tīklā.
DHCP uzstatījumos jāievada vēlamo IP adrese ierīcei un MAC adrese, tādā veidā ierīcei būs
pastāvīga IP adrese. Iestādē IP adrešu rezervācija tiek izmantota tīkla printeriem, tīkla
pārslēdzējiem, failu serveriem, īpaši nozīmīgajiem datoriem (reģistratūra, kase, uzņemšana).
Attēlā 4.4. ir atspoguļota IP adreses rezervācija datoram „fileserver”.
36
4.4. att. IP adreses rezervēšana izmantojot DHCP serveri [autora izstrādāts]
Izvietošanas administrēšanas serveris (WDS)
WDS pakalpojums ir paredzēts centralizētai sistēmu uzstādīšanai lielajā datoru skaitam.
Ar WDS palīdzību var uzstādīt kā jaunās pārinstalētas sistēmas, tā arī iepriekš izveidotus
attēlus, ietveroši sevī jau uzstādītas OS un dziņus [24].
Darba veikšanai WDS ir nepieciešami sekojošie komponenti:
1) izvietošanas serveris (Deployment) – nodrošina attēlu glabāšanu un darbu ar tiem.
2) transportēšanas serveris (Transport) – veic attēlu datņu pārsūtīšanu ar izvietošanas
serveri uz gala klientu.
WDS pakalpojums Windows 2008 Server ir ietverts pēc noklusējuma. Tātad WDS
izvēršanai ir nepieciešams ievērot vairākus nosacījumus:
WDS serverim jābūt par AD locekli vai domēna kontrolleri;
Par cik WDS izmanto pirmsāknēšanas izpildes vidi (PXE – Pre-boot
Execution Environment), tīklā jābūt pieejamam strādājošam DHCP
serverim ar aktīvu diapazonu un DNS- serveri.
Attēlu glabātuvei uz servera būs vajadzīga atsevišķā (labāk, lai nav
sistēmas) sadaļa, noformatēta faila sistēmai NTFS.
WDS uzstādīšanai ir nepieciešams izvēlēties servisu sadaļā pievienot/noņemt
komponentus Windows operētājsistēmai, šī rīcība ir atspoguļota 4.5. attēlā.
37
4.5. att. WDS servisa uzstādīšana [35]
Tālāk jāseko soļiem, kurus piedāvās uzstādīšanas rīks un beigās būs jāpārstartē dators.
Windows Deployment Services dienestu konfigurēšana:
jāattaisa mape „Administrative Tools” un jāuzklikšķina uz viedpogu „Windows
Deployment Services”;
konsoles kokā aprīkojumi Windows Deployment Services jāattaisa serveru
saraksts;
ar labo peles pogu jānospiež uz servera nosaukuma un kontekstizvēlnē jāizvēlas
komandu „Configure Server”;
jāseko WDS konfigurācijas vedņa instrukcijām;
Pabeidzot uzstādīšana jānoņem atzīmi „Add images to Windows Deployment
Services now” un jānospiež poga „Finish”.
Viena vai vairāku uzstādīšanas attēlu pievienošana [40]:
Jāattaisa mezgls ar servera nosaukumu, uz kura jāpievieno attēls.
Ar labo peles pogu jāuzklikšķina uz Install Images mezgla un konteksta izvēlnē
jāizvēlas komanda „Add Install Image”.
Jāuzraksta attēlu grupas nosaukums un jānospiež poga „Next”.
Jāizvēlas uzstādīšanas attēls pēc noklusējuma (install.wim), kas atrodas
uzstādīšanas diskā Windows Vista vai Windows Server 2008 mapē „\Sources”,
jānospiež poga „Open”, bet pēc tam poga „Next”.
38
To attēlu pievienošanai, kas ir ietverti failā install.wim, pretī katram, kuru
jāpievieno uz servera, jāuzstāda karodziņi. Jāpievieno tikai tie attēli, kuriem ir
licences.
Jāseko instalācijas instrukcijām, lai pievienotu attēlus.
Lai uzstādītu operētājsistēmu attēlu uz klienta datora, jāveic sekojošais [40]:
Jāieslēdz PXE-ielādes izmantošanas iespēju BIOS datorā un jāuzstāda
ielādēšanas kārtība tādā veidā, lai pirmā būtu izpildāmā ielāde caur tīklu.
Jāpārstartē dators un saņemot ielūgumu, jānospiež taustiņu F12, PXE-ielādes
procesa palaišanai.
Ielādes izvēlnes sarakstā jāizvēlas vajadzīgais ielādes attēls.
Jāizvēlas reģionālās programmas iestatīšanas.
Saņemot vaicājumu uzskaites datu ievadīšanai, jāievada uzskaites ieraksta
lietotāja vārds un paroli, kam ir pietiekošais pilnvarojums attēlu uzstādīšanai,
kas glabājās uz WDS- servera.
Jāseko tālākajiem klientu WDS programmas dienesta instrukcijām.
Pabeidzot šo procesu, dators būs pārstartēts, un uzstādīšanas programma turpinās
savu darbu.
Pēc neilga laika uz jaunā datora būs uzstādīta un gatava lietošanai operāciju
sistēma.
4.2. Darbstaciju konfigurēšana un piesaistīšana serverim
Pēc veiksmīgas AD pakalpojuma izvēršanas ar visiem palīgservisiem, var uzsākt
datoru pievienošanu domēnam.
Šajā procesā var izcelt trīs etapus:
darbstaciju tīkla iestatījumi;
darbstaciju nosaukumu sistematizācija;
darbstaciju pievienošana AD.
Darbstaciju tīkla iestatījumi
Pirms datora pievienošanas AD, ir jāpārbauda tīkla saskarnes parametri, sadaļu „DNS
servera parametri”. Šajā sadaļā kā primārais „DNS serveris” norādīt servera IP adrese, uz kura
ir, uzstādīta AD. Šī noskaņošanas metode samazina gaidīšanas laiku, pieslēdzot datoru AD
pieslēguma veikšanas laikā.
39
Darbstaciju nosaukumu sistēmatizacija
Nosaukuma piešķiršana datoriem, kuras plānots pievienot AD, ļoti svarīgs moments un
tas jādara uzmanīgi, jo pēc datora pievienošanas domēnā nomainīt datora nosaukumu būs ļoti
problemātiski, bet ja tomēr šī nepieciešamība radīsies, tad jārīkojas šādi:
1) jāizvada dators no domēna un jāpievieno darba grupai (jāzina lokālā
administratora parole);
2) jāpārstartē dators;
3) jānomaina datora nosaukums;
4) jāpārstartē dators;
5) jāpievieno dators domēnam;
6) jāpārstartē dators.
Manuāli protams var mainīt nosaukumus datoriem domēnā bez augstāk minētām
rīcībām, tomēr tas var radīt uzticamo attiecību zaudēšanu starp datoru un domēnu, jo
nekorektas nosaukuma maiņas rezultātā AD paliek ieraksti ar iepriekšējo nosaukumu, kas var
radīt konfliktus un kļūdas domēna kontrollera darbā [9].
Iestāde bija izstrādāta metodika par nosaukumu piešķiršanu datoriem, kurus plānots
pievienot AD domēnam. Nosaukums sastāvēs no trim daļām, sadalītām ar „-„ zīmi. Nosacīti
datora nosaukums būs: AA-BB-CC, kur AA – ir īss klīnikas nosaukums, BB – saīsināts
nodaļas vai daļas nosaukums, CC – šifrēta informācija par datora lietotāju vai viņa atrašanas
vietu.
Zemāk tabulā ir atspoguļotas datoru pirmās daļas nosaukuma abreviatūras pa klīnikām
(parametrs - AA).
4.2. tabula
Darbstaciju nosaukumu sistematizācija [autora izstrādāts]
Nr. p.k. Klīnikas nosaukums Klīnikai atbilstošais nosaukums
1 Klīnika1 KL1-
2 Klīnika2 KL2-
3 Klīnika3 KL3-
4 Klīnika4 KL4-
40
Piemēram, dators, kurš atrodas klīnikā Nr.1, 1. Nodaļā pie virsmāsas, pēc pievienošanas
AD, iegūs nosaukumu – KL1-BB-CC. Tāda datoru nosaukumu metodika būtiski atvieglina ar
administrēšanu un atbalstu saistītus uzdevumus IT daļas darbiniekiem.
Darbstaciju pievienošana Aktīvājai Direktorijai
Lai pievienotu datoru AD, jāveic šādas darbības [7]:
Jānoklikšķina uz pogas „Sākt”, pēc tam ar peles labo taustiņu jānoklikšķina uz
„Dators” un jāizvēlas pozīcija „Rekvizīti”.
Sadaļā „Datora nosaukums, domēns un darbgrupas iestatījumi” jānospiež uz
pogas „Mainīt iestatījumus”. Izmaiņu veikšanai ir nepieciešamas administratora
tiesības.
Cilnē „Datora nosaukums” jānospiež uz pogas „Mainīt”.
Sadaļā „Datora nosaukums/Mainīt domēnu” jāpārvieto punktu uz lauku
„Domēns”, pēc noklusējuma tai jābūt laukā „Darbgrupa”.
Jāieraksta domēna nosaukums un jānospiež poga „Labi”.
Jāieraksta lietotājvārds un parole (lietotājam jābūt ar domēna administratora
tiesībām).
Pēc datora veiksmīgas pievienošanas domēnam, ir nepieciešams pārstartēt datoru.
Attēlos 4.6. un 4.7. ir atspoguļota darbība, ka var pievienot darbstaciju domēnam.
4.6. att. Datora pievienošana AD [7]
41
4.7. att. Lietotāja autentifikācija datoram pievienotam AD [autora izstrādāts]
4.3. Lietotāju kontu konfigurēšana un piekļūšana
Pēc datora pievienošanas pie AD, ir nepieciešams nodrošināt lietotājam piekļuvi
datoram izmantojot viņas lietotājvārdu un domēna paroli. Bet paša sakumā ir jāizveido
lietotāja konts AD lietotāju bāzē. Zemāk tiks aprakstīts, kas ir jādara, lai to panākt [6].
Jāielogojas serverī ar administratora kontu un jāstartē „Active Directory Users
and Computers” vadības konsoli. Lai to startētu, komandrindā var ierakstīt
„dsa.msc”.
Šajā vadības konsolē atvērt konteineru „Users”, ar labo taustiņu izvelēties
„Create New User”, izveidot vajadzīgo lietotāju, noradot viņas vārdu, uzvārdu,
lietotāja vardu, piešķirt viņam laicīgo paroli ar nosacījumu, kā lietotājam ir
jāmaina parole pēc pirmās ielogošanas sistēmai. Sava parole jāzina tikai
lietotājam [1]!
Ja ir nepieciešams pievienot lietotāju kādai grupai un uzstādīt papildus tiesības.
Pēc noklusējuma visiem lietotājiem pievienoti „domain user” tiesības.
Pēc veiksmīgas lietotāja konta izveidošanas, administrators var pieslēgties datoram, lai
pārkopēt dati no veca profila uz jaunu (par datu saglabāšanas metodēm tika aprakstīts punkta
3.5.). Pēc datu migrācijas procesa pabeigšanas, notiek tīkla perifērijas ierīču (printeru,
multifunkcionālas iekārtu) pieslēgšana un konfigurēšana datoram (lai pārbaudītu iekārtas
gatavību darbam - jāizdrukā printera testa lapa), kā arī notiek fināla profila konfigurēšana
42
nepieciešamo programmas ikonu izvietošana darba virsmā, programmu atjaunošana,
skenēšana uz vīrusiem, pārbaude vai ir nodrošināta piekļuve tīkla mapei (dokumentu apritei
nodaļas ietvaros), e-pasta pārbaude (nosūtot testa e-pastu uz lietotajā kontu).
Grupas politikā ir atrunāti šādi momenti, ka daži lietotāji ir apvienoti grupās,
piemērām, tehniskā daļa, statistika, grāmatvedība u.tml. Gadījumā, kad lietotais pieslēdzas
datoram ar savu kontu viņš automātiski pieslēdzas koplietošanas resursiem un tīkla iekārtām,
kuras ir atļauts izmantot viņa grupai. Attēlā 4.8 ir atspoguļota tīkla mape lietotājam (juarsts)
kas pieder grupai (uzņemšana).
4.8. att. Koplietošanas tīkla mape [autora izstrādāts]
4.4. Lietotāju atbalsta pasākumi un instruktāža
Jebkuras jaunās sistēmas vai pakalpojuma ieviešana, ir saistītas kā pozitīvām, tā ar
negatīvām atsauksmēm. Par iemeslu tam ir tas, ka no dabas cilvēks baidās no nezināma un
attiecīgi, sākumā uztver jaunu informāciju ar kādu neuzticību vai pat neapmierinātību. Taču
tas ir saprotams, jo visi iestādes lietotāji pirmkārt ir cilvēki, kuri ir pieraduši pie saviem
datoriem, programmām, iespējam u.t.t. AD ieviešana nav izņēmums, un sākumā jautājumu un
pretenziju skaits bija milzīgs. IT nodaļas darbinieku uzdevums bija nodrošināt lietotājus ar
nepieciešamo informāciju, lai viņi varētu turpināt veikt savus ikdienas darba pienākumus bez
apgrūtinājumiem. Šī mērķa sasniegšanai var izcelt trīs etapus:
lietotāju konsultēšana;
43
lietotāju apmācība;
drošības pasākumi.
Lietotāju konsultēšana
IT nodaļas darbinieki veica lietotāju konsultēšanu, atbildot uz šādiem jautājumiem:
Kā var ieiet/iziet sistēmā izmantojot savu lietotāja vārdu un paroli? Tas bija īpaši
aktuāls jautājums, tiem lietotājiem, kuriem līdz šim nebija datora vai dators
nebija pievienots domēnam;
Kā var nomainīt paroli?
Kā var ieiet sistēmā, ja uz datora strādā vienlaikus vairāki lietotāji?
Kā izmantot tīkla perifērijas ierīces?
Kas jādara, ja ieiet datorā izmantojot savu uzskaites ierakstu?
Kas ir tīkla mapes, un kā viņas var izmantot?
Kā serverī saglabāt savus datus?
Kā pieslēgties savam e-pastam izmantojot „webmail” serveri?
Kādu informāciju ir nepieciešams paziņot IT tehniķim, problēmas gadījumā? (IP,
adrese, datora nosaukumu).
Lietotāju apmācība:
Bez konsultācijām, iestādē bija nepieciešams veikt arī vairāku lietotāju grupu apmācību,
jo līdz AD ieviešanai šie lietotāji strādāja ar citām operētājsistēmām (Windows XP, Windows
Vista, Windows 98). Kā apmācību pasākums iestādē bija jāveic virkne prezentāciju, lai
lietotājiem sniegtu informāciju par darbībām, kuras ir saistītas ar kopējo resursu izmantošanu
(tīkla mapes, tīkla perifērijas ierīces), paroles nomaiņu un tml.
Drošības pasākumi:
Katram lietotājam ir piešķirtas tik lielas pilnvaras, cik viņam nepieciešams tiešo darba
pienākumu pildīšanai. Informācijas sistēmas drošības noteikumi nosaka darbinieku apmācību,
tajā skaitā lietderīgi apmācīt arī par informācijas aizsardzību un kaitīgo programmu
profilakses, atklāšanas un likvidēšanas kārtību viņu personīgajos datoros. Ar šādu pasākumu
veikšanu tiek panākta darbinieku izglītošana un viņi tiek informēti, kādus aizsardzības
pasākumus viņi var veikt, lai pasargātu savus datorus un ko nebūtu ieteicams darīt ar to [1].
44
Datorsistēmu drošība un aizsardzība tika nodrošināta šādi:
Tika veikta lietotāju informētība par datu aizsardzības nepieciešamību un tās
nozīmi. Lietotāji iepazīstas ar rakstiskiem norādījumiem, kas satur darba kārtības
aprakstu un ierobežojumu uzskaiti.
Veikta darbinieku apmācība drošām darba metodēm par: darbavietas
organizēšanu, uzvedību nepiederošu personu klātbūtnē u.c.
Lietotājiem tika sniegta informācija par:
o Sevišķi svarīgas informācijas glabāšanu tehniski drošās iekārtās, piemēram,
dublētu ierakstīšanu atsevišķos atdalītos datu nesējos, informācijas ierakstu
aizsargātos datu nesējos, kuri pieļauj tikai informācijas ierakstu, bet ne
labošanu vai dzēšanu.
o Nepieciešamību ievērot datu iznicināšanas kārtības noteikumus. Iestādei
vairs nevajadzīgā konfidenciālā informācija nedrīkst nonākt konkurentu
rokās.
o Regulāru pretvīrusu aizsardzību.
45
SECINĀJUMI
Kvalifikācijas darba mērķis ir sasniegts. Pielietojot teorētiskās un praktiskās zināšanas,
autors darba gaitā ir izpildījis visus darba uzdevumus.
1. Pirms AD ieviešanas iestādē, bija izpētīti un izanalizēti AD darbības principi,
arhitektūra, struktūra, kā arī AD iespējas un priekšrocības.
2. AD uzstādīšanai bija izmantots serveris ar OS Windows Server 2008. Izveidojot
AD loģisko struktūru uz vienīgā domēna bāzes, jāņem vērā lietotāju daudzums
(ap 1000 lietotāju), teritoriālo filiāļu izvietojums, vienoto drošības politiku, un
centralizētas administrēšanas metodes. Plānojot fizisko struktūru, jāņem vērā
papildu domēna kontrolleru un vietņu daudzums (ar kuru palīdzību tiek
nodrošināta informācijas replikācija iekš AD).
3. Pirms AD ieviešanas, bija veikts datorsistēmu audits ar HWinfo programmas
palīdzību, kas pārbauda vai datoru tehniskie parametri atbilst AD prasībām. Ar
Lan Sweeper programmas palīdzību bija pārbaudītas datoros uzstādītas
programmas un licences veidi. Ar Zenmap programmu bija veikts tīkla un
perifērijas ierīču audits. Perifērijas ierīces, kuras neatbilst prasībām, bija
nomainītas. Tīkla ierīču bojājumpiecietības nodrošināšai bija uzstādīti
nepārtrauktās barošanas avoti, informācijas pārraides optimizēšanai parastie tīkla
pārslēdzēji bija nomainīti uz vadāmiem, kā arī optimizēti lokālā tīkla fragmenti
(fiziskā vadu pārvilkšana).
4. Uz servera kur uzstādīta AD, bija izveidota lietotāju bāzes struktūra, izveidoti
lietotāju konti un grupas, katram lietotājam bija noteikta parole un elektroniskā
pasta adrese. Pirms integrēšanai AD datorsistēmam bija doti jaunie nosaukumi
saskaņā ar iestādes drošības noteikumiem par informācijas resursu izmantošanu.
5. Izmantojot grupas politiku lietotājiem bija centralizēti iestātīta pieeja tīkla
resursiem un sakonfigurētas perifērijas ierīču izmantošanas tiesības. Ar grupas
politikas palīdzību tiek nodrošināta automātiskā pieeja tīkla diskam, kas ir
saistošais ar failu serveri un sakonfigurētas arī politikas, kas ir saistītas ar
drošību: 1) paroles garums; 2) sarežģīta parole; 3) paroles darbības termiņš u.tml.
6. Pirms datora pievienošanas AD, tika veikta lietotāju datu (dokumenti, e-pasts)
rezerves kopēšana atsevišķajā mapē. Pēc datora pievienošanas AD, tika veikta
lietotāju datu migrēšana izveidotajā AD profilā. Visu datu saglabātības
nodrošināšanai, datu pārnešana bija veikta manuāli, bez specializēto programmu
46
izmantošanas.
7. Pēc AD ieviešanas iestādes infrastruktūrā, lietotājiem bija rīkotas prezentācijas,
kuru gaitā bija izstāstīts par rīcībām, kas ir saistītas ar kopējo resursu
izmantošanu (tīkla mapes, tīkla perifērijas ierīces), paroles nomaiņu un tml. Šīs
pasākums palīdz lietotājiem izvairīties no kļūdīšanās.
Kvalifikācijas darba mērķa sasniegšanai autors ir veiksmīgi pielietojis mācību procesā
iegūtas Alberta Koledžā teorētiskās zināšanas.
47
PRIEKŠLIKUMI
Pēc veiksmīgās AD ieviešanas iestādes infrastruktūrā, ir nepieciešams apgūt visas AD
piedāvātās iespējas, tādēļ kā nākamo etapu AD piedāvāto iespēju apgūšanai un optimizēšanai,
autors ir izvirzījis sekojošo:
1. Kontroles un administrēšanas iespējas pilnveidošanai autors piedāvā ar AD
instrumentu palīdzību veikt centralizēto programmu uzstādīšanu, atjaunināšanu un
izdzēšanu, ka arī sadalīt lietotājus pa grupām, katrai grupai izstrādājot savu politiku ar
piekļūšanas tiesībām, ar koplietošanas resursiem, pieslēgšanas noteikumiem u.tml.
2. Instalācijas procesu paātrināšanai, katram instalācijas veidam izveidot tipveida klonu
ar visām nepieciešamām programmām. Glabāt klonus uz servera un nodrošināt
piekļūšanu tiem, visu klīniku IT daļas darbiniekiem. Ar AD WDS servisa palīdzību
nodrošināt vienlaicīgu OS instalāciju uz visiem datoriem caur tīklu.
3. Pēc AD ieviešanas plašāk izmantot Microsoft Exchange iespējas, jāaktivizē
koplietošanas (angl. sharing) kalendārus un uzdevumus, lai to izmantošana paātrinātu
ar datortehniku saistīto problēmu risināšanu, kā arī nodrošinātu kontroli par uzdevumu
izpildīšanu.
4. Tīkla drošības un datu aizsardzības nolūkiem nodrošināt plašāku klīstošā un obligātā
profilu veidu izmantošanu.
5. Lietotāju un iestādes datu aizsardzības nolūkam nodrošināt pēc noteiktā laika perioda
automātisku paroles nomaiņu.
6. Izmantojot grupas politikas noteikumus nodrošināt lokālo un tīkla iekārtu izmantošanu
un konfigurēšanu pa lietotāju grupām.
7. Izstrādāt metodiku par AD rezerves kopijas veidošanu un AD servisa atjaunošanu,
bojājuma gadījuma.
8. IT administratora zināšanu padziļināšanai:
jāpēta jaunas programmas un tehnoloģijas, kuras nodrošina centralizēti ātri un
operatīvi risināt ar datortehniku saistītas problēmas;
jāveic IT administratoru obligāto kvalifikācijas paaugstināšana (semināri, kursi
u.tml.)
48
BIBLIOGRĀFISKAIS SARAKSTS
1. IT drošības politika un normatīvie akti. - Resurss apskatīts 2013.gada 14.novembrī. -
Pieejas veids: tīmeklis www.url: https://cert.lv/section/show/49.
2. Kas ir DNS? - Resurss apskatīts 2013.gada 14.novembrī. - Pieejas veids: tīmeklis
www.url: http://windows.microsoft.com/lv-lv/windows/domain-name-system-faq#1TC
=windows-7.
3. Kas ir Microsoft Active Directory? - Resurss apskatīts 2013.gada 14.novembrī. - Pieejas
veids: tīmeklis www.url: http://www.dpa.lv/files/vid_ad_casestudy_dpa_2009.pdf.
4. Kā atšķiras domēns, darbgrupa un mājas grupa? - Resurss apskatīts 2013.gada
21.novembrī. - Pieejas veids: tīmeklis www.url: http://windows.microsoft.com/lv-
lv/windows7/what-is-the-difference-between-a-domain-a-workgroup-and-a-homegroup.
5. Susējs, D. Operētājsistēmas. Mācību materiāli. – Rēzekne: Izglītības un zinātnes
ministrija, 2007. – 155.lpp.
6. Active Directory Users And Computers. - Resurss apskatīts 2013.gada 26.novembrī. -
Pieejas veids: tīmeklis www.url: http://technet.microsoft.com/en-us/library/cc7542
17.aspx.
7. Adding a computer to Active Directory. - Resurss apskatīts 2013.gada 29.novembrī. -
Pieejas veids: tīmeklis www.url: http://www.visualwin.com/New-Computer-AD/.
8. BSA. Free software audit tools. - Resurss apskatīts 2013.gada 11.decembrī. -Pieejas
veids: tīmeklis www.url: http://ww2.bsa.org/country/BSA%20and%20Members.aspx.
9. Creata a new computer account. - Resurss apskatīts 2013.gada 19.novembrī. - Pieejas
veids: tīmeklis www.url: http://technet.microsoft.com/en-us/library/cc781364
(v=ws.10).aspx.
10. Desktop operating system market share. - Resurss apskatīts 2013.gada 27.novembrī. -
Pieejas veids: tīmeklis www.url: http://www.netmarketshare.com/operating-system-
market-share.aspx?qprid=10&.
11. Get genuine kit (Windows 7). - Resurss apskatīts 2013.gada 25.novembrī. - Pieejas veids:
tīmeklis www.url: http://www.microsoft.com/oem/ru/licensing/antipiracy/pages/get_ge
nuine_kit.aspx#fbid=55oTa6H1Yti.
12. Hardware information utility (HWiNFO). - Resurss apskatīts 2013.gada 25.novembrī. -
Pieejas veids: tīmeklis www.url: http://www.hwinfo.com/.
13. How to setup roaming profile. - Resurss apskatīts 2013.gada 02.decembrī. - Pieejas veids:
tīmeklis www.url: http://www.grouppolicy.biz/2010/08/best-practice-roaming-profiles-
and-folder-redirection-a-k-a-user-virtualization/.
49
14. HP Proliant ML350gp (Server). - Resurss apskatīts 2013.gada 26.novembrī. - Pieejas
veids: tīmeklis www.url: http://www8.hp.com/us/en/products/proliant-servers/product-
detail.html ?oid=5407233#!tab=specs.
15. Installing Active Directory on Windows Server 2008. - Resurss apskatīts 2013.gada
28.novembrī. - Pieejas veids: tīmeklis www.url: http://www.petri.co.il/installing-active-
directory-windows-server-2008.htm.
16. Install AD, DNS and DHCP on Windows Server 2008. - Resurss apskatīts 2013.gada
29.novembrī. - Pieejas veids: tīmeklis www.url: http://www.scribd.com/doc/13160156/
Install-and-Configure-Active-Directory-DNS-and-DHCP-on-Windows-Server-2008.
17. Migrate a user profile. - Resurss apskatīts 2013.gada 28.novembrī. - Pieejas veids:
tīmeklis www.url: http://support.microsoft.com/default.aspx?scid=kb;en-us;314045&sd
=tech.
18. Naming Rules for Computers on Windows Networks. - Resurss apskatīts 2013.gada
16.novembrī. - Pieejas veids: tīmeklis www.url: http://compnetworking.about.com/od/
windowsnetworking/qt/wcomputernaming.htm.
19. NDS и Active Directory. - Resurss apskatīts 2013.gada 19.novembrī. - Pieejas veids:
tīmeklis www.url: http://www.novell.com/russia/sysadmin/nds/NDS&Active_Directory
.htm.
20. Windows Server 2008 R2: Managing Active Directory with Policies. - Resurss apskatīts
2013.gada 28.novembrī. - Pieejas veids: tīmeklis www.url: http://allcomputers.us/
windows_server/windows-server-2008-r2---managing-active-directory-with-policies-
(part-2)---configuring-restricted-groups-for-domain-security-groups.aspx.
21. Windows Server 2008 System Requirements. - Resurss apskatīts 2013.gada 28.novembrī.
- Pieejas veids: tīmeklis-www.url: http://technet.microsoft.com/en-us/windowsserver
/bb414778.aspx.
22. What is Active Directory. - Resurss apskatīts 2013.gada 17.novembrī. - Pieejas veids:
tīmeklis www.url: http://msdn.microsoft.com/en-us/library/windows/desktop/aa746492
(v=vs.85).aspx.
23. Whats New in Exchange 2013. - Resurss apskatīts 2013.gada 14.novembrī. - Pieejas
veids: tīmeklis www.url: http://technet.microsoft.com/en-us/library/jj150540(v=exchg.
150).aspx.
24. Windows Deployment service how to? - Resurss apskatīts 2013.gada 04.decembrī. -
Pieejas veids: tīmeklis www.url: http://technet.microsoft.com/en-us/library/cc771670
(v=ws.10).aspx.
50
25. Windows NT 4.0 Server. - Resurss apskatīts 2013.gada 22.novembrī. - Pieejas veids:
tīmeklis www.url: http://www.terryesnyderjr.com/windowscomputerhelp/windows/winn
t4.php# System Requirements NT 4.0 Server.
26. Zenmap tutorial. Scan Network. - Resurss apskatīts 2013.gada 22.novembrī. - Pieejas
veids: tīmeklis www.url: http://www.linux.com/learn/tutorials/381794-audit-your-netw
ork-with-zenmap.
27. Администрирование доменов. - Resurss apskatīts 2013.gada 24.novembrī. - Pieejas
veids: tīmeklis www.url: http://www.oszone.net/269/.
28. Аудит сети при помощи Zenmap. - Resurss apskatīts 2013.gada 24.novembrī. - Pieejas
veids: tīmeklis www.url: http://www.ashep.org/2010/audit-seti-pri-pomoshhi-zenmap
/#.UsmwvJ3iVeV.
29. Бозуэлл У. Внутренний мир Windows Server 2003, SP1 и R2. Начно-популярное
издание. Пер. с англ. — Санкт - Петербург: Издательский дом "Вильямс", 2006. –
1264 с.
30. Внедрение службы каталогов - Active Directory. - Resurss apskatīts 2013.gada
23.novembrī. - Pieejas veids: tīmeklis www.url: http://www.globalit.ru/solutions/system-
integration/active-directory-integration.html.
31. Внешняя аутентификация и импорт учетных записей пользователя. - Resurss
apskatīts 2013.gada 24.novembrī. - Pieejas veids: www.url: http://www.redline-soft
ware.com/rus/support/docs/winroute/ch10s03.php.
32. Групповая политика для начинающих. - Resurss apskatīts 2013.gada 24.novembrī. -
Pieejas veids: tīmeklis www.url: http://technet.microsoft.com/ru-ru/library/hh147307
(v=ws.10).aspx.
33. Домен – Acive Directory. - Resurss apskatīts 2013.gada 24.novembrī. - Pieejas veids:
tīmeklis www.url: http://www.lankey.ru/Active_Directory/#ActiveDirectory.
34. Зубанов Ф.В. Active Directory. Подход профессионала.
2-е издание. Русская редакция.- Москва: 2003.-539c.
35. Настройка службы WDS. - Resurss apskatīts 2013.gada 04.decembrī. - Pieejas veids:
tīmeklis www.url: http://www.xakep.ru/magazine/xa/102/130/1.asp.
36. Описание LDAP протокола. - Resurss apskatīts 2013.gada 14.novembrī. - Pieejas veids:
tīmeklis www.url: http://www.mianet.ru/index.php/sysadmin/linux/ldap/86-ldap---.
37. Планирование внедрения служб Active Directory. - Resurss apskatīts 2013.gada
26.novembrī. - Pieejas veids: tīmeklis www.url: http://www.oszone.net/12970/plan
ning_ad.
51
38. Прекращение технической поддержки Windows XP. - Resurss apskatīts 2013.gada
19.novembrī. - Pieejas veids: tīmeklis www.url: http://www.ixbt.com/soft/xp-endsu
pport.shtml.
39. Проектирование и миграция на Active Directory. - Resurss apskatīts 2013.gada
24.novembrī. - Pieejas veids: tīmeklis www.url: http://www.computerra.ru/cio/old/offline
/2007/59/317561/.
40. Служба WDS для Windows Server 2008. - Resurss apskatīts 2013.gada 27.novembrī. -
Pieejas veids: tīmeklis www.url: http://www.osp.ru/win2000/2009/02/6443148/.
41. Сравнение Windows NT 4.0 и Windows более новых версий. - Resurss apskatīts
2013.gada 19.novembrī. - Pieejas veids: tīmeklis www.url: http://orenkomp.ru/articles
/comp/sravnenie-domenov-windows-nt-4-0-i-windows-bolee-novyx-versij.html.
42. Создание обязательного профиля. - Resurss apskatīts 2013.gada 24.novembrī. - Pieejas
veids: tīmeklis www.url: http://technet.microsoft.com/ru-ru/library/cc786301(v=ws.
10).aspx.
43. Управление данными пользователей и параметры настройки профиля. - Resurss
apskatīts 2013.gada 01.decembrī. - Pieejas veids: tīmeklis www.url:
http://adminbook.ru/index.php?men3=3-1/76.
44. Управление лицензиями и лицензирование. - Resurss apskatīts 2013.gada
17.novembrī. - Pieejas veids: tīmeklis www.url: http://sam-trener.ru/sam-2/litsenzii-
klientskogo-dostupa-dlya-windows-se/.
45. Чижиков Д.В. Методология внедрения Microsoft Active Directory: Полный курс.
Учебный материал. – Москва: 2008-120.c.
52
ALBERTA KOLEDŽA
Studiju programmas __________Informācijas tehnoloģijas__________ (studiju programmas nosaukums)
___Aktīvās Direktorijas integrēšana medicīnas iestādes lokālajā tīkla___ (Kvalifikācijas darba temata nosaukums)
GRAFISKĀ DAĻA
Specializācija: ______________________________________________
Students: ______________________________________________
Rīga - 2014
53
54
55
56
57
58
59
60
PIELIKUMI
61
1. pielikums
Datorsistēmas parametri (1.veids)
Datorsistēmas specifikācija (iegādes laiks līdz 2007.g.)
Computer: MSI MS-7057
CPU: Intel Celeron D 320 (Prescott-V, D0)
2400 MHz (18.00x133.3) @ 2520 MHz (18.00x140.0)
Motherboard: MSI MS-7057
Chipset: Intel 845GEV (Brookdale-GEV) + ICH4
Memory: 2048 MBytes @ 175 MHz, 2.5-3-3-7
- 1024 MB PC3200 DDR-SDRAM - Unknown GR400D64L3/1G
- 1024 MB PC3200 DDR-SDRAM - Unknown GR400D64L3/1G
Graphics: Intel 82845G/GL/GV Graphics Controller [Micro-Star International]
Intel i845G(L) Integrated, 64 MB
Drive: SAMSUNG SP0411N, 39.1 GB, E-IDE (ATA-7)
Drive: TSSTcorp CDDVDW SH-S222A, DVD+R DL
Sound: Intel 82801DB(M) ICH4(-M) - AC'97 Audio Controller [B-0]
Network: RealTek Semiconductor RTL8139 PCI Fast Ethernet NIC [A/B/C]
OS: Microsoft Windows XP Professional Build 2600
62
2. pielikums
Datorsistēmas parametri (2.veids)
Datorsistēmas specifikācija (iegādes laiks pēc 2007.g.)
Computer: GIGABYTE G31M-ES2L
CPU: Intel Pentium Dual Core E5400
2700 MHz (13.00x133.3)
Motherboard: GIGABYTE G31M-ES2L
Chipset: Intel G31 (Bearlake) + ICH7
Memory: 4096 MBytes @ 800 MHz, 5-5-5-15
- 2048 MB PC2-6400 DDR2-SDRAM – Apacer 78.A1GA0.9H4
- 2048 MB PC2-6400 DDR2-SDRAM – Apacer 78.A1GAR.9H40C
Graphics: MEDION Radeon HD4670
ATI/AMD Radeon HD4670 (RV730XT), 1024 MB DDR3 SDRAM
Drive: SAMSUNG HD502HJ, 500.00 GB, Serial ATA 3Gb/s 7200 RPM
Drive: HL-DT-ST DVDRAM GH22NS40, DVD+R DL
Sound: Intel 82801GB(A1) ICH7 – High Definition Audio Controller
Network: Atheros AR8131 PCI-E Gigabit Ethernet Controller [L1c]
OS: Microsoft Windows XP Professional Build 2600, SP3
63
3. pielikums
Serveris HP Proliant ML350p G4p parametri un komplektācija
HP ProLiant ML350p G4p
64
3. pielikuma turpinājums
HP Proliant ML350G4p specifikācija
Computer: HP ProLiant ML350 G4p
CPU: Intel Xeon-3000 (Irwindale, R0)
3000 MHz (15.00x200.0) @ 3000 MHz (15.00x200.0)
CPU: Intel Xeon-3000 (Irwindale, R0)
3000 MHz (15.00x200.0) @ 2800 MHz (14.00x200.0)
Chipset: Intel E7520 (Lindenhurst) + 6300ESB
Memory: 2048 MBytes @ 200 MHz, 3.0-3-3-8
- 1024 MB PC3200 DDR2-SDRAM - Samsung M3 93T2950CZ3-CCC
- 1024 MB PC3200 DDR2-SDRAM - Samsung M3 93T2950CZ3-CCC
Graphics: Compaq/HP Remote Insight Lights-Out II
ATI/AMD Rage XL, 8 MB
Drive: HL-DT-ST DVD-ROM GDR8164B, DVD-ROM
Drive: COMPAQ SCSI COMMUNICATE
Sound: Intel 82801GB(A1) ICH7 – High Definition Audio Controller
Network: HP NC7761 Gigabit Server Adapter
OS: Microsoft Windows Server 2003 R2 Standard Edition Build 7601
UPS HP R/T2200G2 2200 VA/1600W
