Косарев_Экомическая информатика

Workstation. В рабочей группе каждый компьютер содержит соб­ ственную информацию по бюджетам пользователей и групп и не разделяет эту информацию с другими компьютерами рабочей группы. Члены рабочих групп регистрируются только на рабо­ чей станции и могут по сети просматривать каталоги других чле­ нов рабочей группы.

В рабочие группы объединяются компьютеры одноранговой сети. Рабочие группы целесообразно организовывать исходя из организационной структуры предприятия: рабочая группа бух­ галтерии, рабочая группа планового отдела, рабочая группа от­ дела кадров и т.д. (рис. 4.6).

Рис. 4.6. Рабочие группы

Рабочая группа может быть организована на основе компью­ теров с разными операционными системами (Windows for Workgroups, Windows 9x, Windows NT Workstation). Все члены такой группы равноправны, т.е. могут выступать как в роли пользователей ресурсов (клиентов), так и в роли поставщиков ре­ сурсов (серверов). Серверы предоставляют другим компьютерам право доступа ко всем или некоторым из имеющихся в их распо­ ряжении локальных ресурсов (файлов, принтеров, программ).

В сети, состоящей из компьютеров разной мощности, наибо­ лее производительный в конфигурации сети компьютер с Windows NT Workstation может быть использован в качестве невыделен­ ного сервера файлов (рис. 4.7). В этом качестве он может исполь­ зоваться для хранения информации, постоянно необходимой всем пользователям. Остальные компьютеры сети могут работать как клиенты сети.

Windows NT Workstation

Рис. 4.7. Рабочая группа с невыделенным файл-сервером

В сетях, построенных на платформе Windows NT Server, рабо­ чие станции клиентов подключаются к выделенным серверам, а серверы, в свою очередь, группируются в домен. При установке Windows NT на компьютере указывается, входит он в рабочую группу или в домен.

Домен - это логическая группировка одного или нескольких сетевых серверов и других компьютеров, которые разделяют об­ щую систему безопасности и информацию в виде централизован­ но управляемой базы данных о бюджетах пользователей (т.е. о выделенных ресурсах). Каждому домену присваивается индиви­ дуальное имя.

Компьютеры, входящие в один домен, могут находиться в ло­ кальной сети или быть разбросаны по странам и континентам. Они могут быть связаны различными физическими линиями, на­ пример, через телефонные каналы, оптоволоконные линии, спут­ никовые и выделенные линии и др.

Каждому компьютеру, входящему в домен, назначается имя. Имя компьютера, разделенное точкой с именем домена, членом которого является компьютер (и далее - вся иерархия вложенных доменов), образует полное имя домена для компьютера.

Организация доменной структуры в сети, установление в ней определенных отношений и правил, управление взаимодействи­ ем между пользователем и доменом осуществляются контролле­ ром домена.

Контроллер домена - это компьютер, работающий под управ­ лением Windows NT Server, использующий один разделяемый ката-

лог для сохранения информации по бюджетам пользователей и безопасности, касающейся всего домена. Внутри домена контрол­ лер домена управляет всеми аспектами взаимодействия между пользователем и доменом. Для аутентификации пользователей, входящих в домены, контроллер домена сверяет имя и пароль пользователя с информацией, содержащейся в базе данных.

Главный контроллер домена отслеживает все изменения ин­ формации о бюджетах домена, сохраняет информацию в базе дан­ ных каталога и регулярно реплицируется (тиражируется) на ре­ зервные домены. Это обеспечивает централизованное управление системой безопасности.

Резервный контроллер домена хранит копию базы данных каталога.

Компьютеры, работающие под управлением Windows NT Server, могут быть сконфигурированы как серверы - члены доме­ на. Они не выполняют функций контроллера домена, а работают в качестве файлового сервера - централизованного хранилища большого количества коллективно используемых файлов; прин­ терного сервера, предоставляющего в совместное использование неограниченное число принтеров, подключаемых локально или по сети; сервера приложений (в случае работы на сервере прило­ жений, обрабатывающих большие объемы данных); сервера, пе­ редающего полученные результаты по запросам на маломощные клиентские станции - серверы службы удаленного доступа.

При построении сети на базе Windows NT учитываются коли­ чество пользователей, количество подразделений, охватываемых сетью, степень их взаимодействия, территориальное расположе­ ние и т.д.

Разделение сети на домены может осуществляться по разным принципам: по функциональному назначению, по территориаль­ ному расположению и др.

Существует несколько моделей построения сети с доменной архитектурой: однодоменная Модель, модель с одним мастер-до­ меном, модель с несколькими мастер-доменами и модель полнос­ тью доверительных отношений.

Однодоменная модель строится для небольших организаций с небольшим числом пользователей и ресурсов. Она включает один или несколько серверов и несколько рабочих станций (рис 4.8).

Модель с мастер-доменом (рис. 4.9) предполагает наличие в сети нескольких доменов, взаимодействующих между собой. По умолчанию пользователи одного домена не имеют прав доступа

Главный контроллер домена

Резервный контроллер Сервер домена

Рис. 4.8. Однодоменная модель

к ресурсам другого домена. Однако имеется механизм установле­ ния связи между ними. Связь, соединяющая два домена в один административный блок, который может давать доступ к ресур­ сам обоих доменов, называется доверительными отношениями. Они могут быть односторонними, когда один домен "доверяет" пользо­ вателям другого свои ресурсы, и двусторонними, когда каждый домен "доверяет" пользователям другого домена. "Отношения доверия " позволяют Windows NT установить безопасный канал между системами и обеспечить доступ к ресурсам домена.

В модели с мастер-доменом один из доменов объявляется глав­ ным, а остальные являются вторичными - ресурсными домена­ ми. В главном домене сосредоточена информация обо всех пользо­ вателях, и поэтому ими просто управлять. Таким образом, в этой модели в мастер-домене осуществляется процесс администриро­ вания учетных записей, а в ресурсных - процесс администрирова­ ния ресурсов. Все ресурсные домены "доверяют" главному мас­ тер-домену. В каждом из ресурсных доменов есть свой контрол­ лер домена и может быть несколько серверов. Такая модель позволяет централизовать управление бюджетами. Модель с мае-

Мастер-домен

и•

Рис. 4.9. Модель с мастер-доменом

тер-доменом организуется на крупном предприятии и может быть использована для работы с глобальными сетями. Она поддержи­ вает до 40 тыс. учетных записей.

В модели с несколькими мастер-доменами главными объявля­ ются несколько доменов, а остальные являются ресурсными до-

176 Глава 4

менами. В каждом из главных доменов хранятся учетные записи некоторого подмножества пользователей сети. Все ресурсные до­ мены "доверяют" либо всем главным доменам, либо некоторым из них. Данная модель используется в сети, число пользователей которой превышает 40 тыс.

Кроме того, имеется редко используемая из-за сложности уп­ равления модель полностью доверительных отношений. В ней все домены равноправны. Такая модель подходит для неограничен­ но больших сетей.

Для построения сети на базе Windows NT Server необходимо планирование доменной архитектуры и расположения серверов.

Доменный метод организации улучшает безопасность сети, упрощает централизованное управление сетью, облегчает процесс создания сетей методом объединения существующих сетевых фраг­ ментов.

Для управления всеми доменами, для администрирования за­ писей о доменах в Windows NT организован полный сервер сис­ темы имен доменов (Domain Name System - DNS). В нем указыва­ ется статическое соответствие между именем хоста (компьютера, подсоединенного линией связи к Интернету) и его IP-адресом.

IP-адрес - это фиксированный адрес, однозначно идентифи­ цирующий хост Internet.

Для динамического обновления базы имен хостов и соответ­ ствующих им IP-адресов DNS интегрирован со службой имен Windows Internet - WINS.

4.5. АДМИНИСТРИРОВАНИЕ ОС MS WINDOWS NT

4 . 5 . 1 . ОБЩИЕ СВЕДЕНИЯ

Под администрированием сети понимаются основные опера­ ции, выполняемые администратором сети. Администрирование в ОС предполагает обеспечение доступности сервера и сетевых сер­ висов в локальной сети для пользователя, чтобы он не задумы­ вался о том, каким образом ему предоставляют эти услуги. В этом случае говорят о доступности и прозрачности сети. Для достиже­ ния доступности и прозрачности сети администрирование долж­ но обеспечить управление пользователями и надежность сети.

В обязанности администратора сети входит большой круг за­ дач, выполняемых с разной периодичностью:

•ежедневно решаются задачи по контролю файлов регистра­ ции ошибок, стола справок электронной почты, создаются резер­ вные копии, ведется проверка свободного пространства на диске

идр.;

•еженедельно удаляются временные файлы и решаются дру­ гие контрольные задачи, аналогичные ежедневным;

•ежемесячно выполняются архивирование и удаление неис­ пользуемых файлов, контроль работы оборудования, создание ре­ зервных копий.

Основными задачами администрирования в ОС Windows NT являются:

•создание и управление учетными записями пользователей;

•управление группами пользователей;

•управление политикой защиты;

•управление ресурсами сети.

4.5.2. ОРГАНИЗАЦИЯ УЧЕТНЫХ ЗАПИСЕЙ

Учетная запись - это совокупность сведений о пользователе, необходимых для его идентификации и работы в сети Windows NT.

Для каждого пользователя создается своя учетная запись. Она содержит уникальное имя, набираемое пользователем при регис­ трации в сети (не более 20 символов), и пароль для входа в сеть. При желании можно ввести полное имя пользователя (фамилию, имя, инициалы), а также комментарии.

Вучетную запись вносятся также сведения, определяющие:

•группу пользователей, в которую включают пользователя;

•путь к профилю пользователя, определяющему среду пользо­ вателя (например, вид Рабочего стола, подключенные диски и др.)

идоступные программы (как правило, профили пользователей хранятся в общей папке сервера Windows NT);

•время, в которое пользователь может войти в сеть (по умол­ чанию пользователь может подключиться к сети в любое время и

влюбой день недели);

•рабочую станцию, с которой можно данному пользователю войти в сеть (по умолчанию новая учетная запись позволяет вход

всеть с любого компьютера клиента);

•срок действия учетной записи (по умолчанию неограничен) и тип учетной записи (глобальная или локальная);

•права пользователя на средства удаленного доступа и об­ ратного вызова.

Управление учетной записью обеспечивает возможность вне­ сения изменений в учетные записи (изменение пароля, переимено­ вание учетной записи, изменение пользовательской группы - уда­ ление из одной и включение в другую, блокировка доступа, уда­ ление учетной записи).

Процесс создания и управления учетными записями в Windows NT Workstation и Windows NT Server в принципе одинаков, но имеются некоторые отличительные особенности в Windows NT Server.

Так, в Windows NT Server все учетные записи пользователей хранятся на первичном (главном) контроллере домена и имеется возможность их дублирования на резервных контроллерах до­ мена или на других серверах. Учетные записи контроллера до­ мена могут быть действительны и для других доменов, с кото­ рыми установлены доверительные отношения. Имеются некото­ рые отличия и в объединении учетных записей пользователей в группы пользователей с целью расширения прав доступа к ре­ сурсам сети.

Создание и управление учетными записями осуществляются с помощью соответствующих команд Новый пользователь (New User) и Свойства (Properties) из меню Пользователь (User) про­ граммы Диспетчер пользователей (User Manager - в Windows NT Workstation 4 или User Manager for Domains - в Windows NT Server 4), расположенной в подменю Administrative Tools меню Programs.

4.5.3. УПРАВЛЕНИЕ ГРУППАМИ ПОЛЬЗОВАТЕЛЕЙ

В Windows NT 4 заложена концепция управления не отдель­ ными пользователями, а целыми группами пользователей. В ос­ нове этой концепции лежат назначение прав сразу целой группе пользователей и осуществление контроля доступа путем добавле­ ния и удаления пользователей из разных групп. В результате та-

кого подхода каждой учетной записи предоставляются все права доступа той группы, в которую данная учетная запись помещена.

Windows NT поддерживает два вида групп: глобальные и ло­ кальные.

Вглобальные группы объединяются учетные записи пользова­ телей, имеющих доступ к серверам и рабочим станциям в своем домене и в других доменах, с которыми установлены доверитель­ ные отношения. Глобальные группы могут быть созданы только

вWindows NT Server. Управление глобальными группами осуще­ ствляется с помощью Диспетчера пользователей для доменов.

Влокальные группы включаются учетные записи пользовате­ лей, которым предоставлен доступ к ресурсам только в локаль­ ной системе в пределах ее собственного домена, а также могут быть включены учетные записи пользователей глобальных групп, име­ ющих доступ к серверам, входящим в их домен. Локальные груп­ пы создаются на рабочей станции Windows NT и на сервере Windows NT. Один пользователь можетвходить в состав несколь­ ких групп.

ВWindows NT Workstation существуют встроенные только локальные группы пользователей, а в Windows NT Server - и ло­ кальные, и глобальные, обладающие различными правами дос­ тупа к ресурсам.

Наибольшими правами наделена группа Администраторы, отвечающая за общую конфигурацию домена и его серверов. В эту группу входит глобальная группа Администраторы домена, обладающая по умолчанию теми же правами, что и Администра­ торы.

Правами создания новых групп и учетных записей пользова­ телей обладают члены группы Операторы бюджета. Права ад­ министрирования учетных записей, серверов и групп домена у них ограничены. Права с очень ограниченными возможностями, не­ обходимыми для решения их задач, предоставляются таким груп­ пам, как Пользователи, Пользователи домена, Гости домена, Гос­ ти (в последнюю включаются временные пользователи).

При необходимости Windows NT Server 4 предоставляет воз­ можность создания дополнительных групп, пользователи кото­ рых могут быть объединены по функциональному, организаци­ онному и другим признакам. Имеется возможность копирования, корректирования и удаления созданных пользователем групп. Группы, встроенные в Windows NT Server 4, удалить невозмож­ но, так как каждой группе присвоен уникальный код защиты.

180 Глава 4

Кроме стандартных локальных и глобальных групп имеется несколько специальных групп.

Управление группами пользователей осуществляется с помо­ щью команд Добавить локальную группу и Добавить глобальную группу из меню Пользователь ранее упоминавшейся программы

Диспетчер пользователей.

Для создания, удаления и добавления пользователей можно использовать Мастер управления группами (Group Management Wizard), работающий в полуавтоматическом режиме, оказываю­ щий поэтапную помощь в выполнении административных задач и входящий в набор Мастеров администрирования (Administrative Wizards). Они упрощают управление системой, позволяют избе­ жать случайных ошибок при назначении прав и привилегий. Ма­ стера администрирования могут быть использованы при решении следующих задач:

•создание пользовательских учетных записей;

•управление группами;

•контроль доступа к файлам и папкам;

•ввод драйверов принтеров;

•инсталляция и деинсталляция программ;

•управление лицензированием;

•администрирование сетевых клиентов.

Вызов мастеров администрирования осуществляется из еди­ ной консоли.

4.5.4. УПРАВЛЕНИЕ ПОЛИТИКОЙ ЗАЩИТЫ

Управление политикой защиты является важной задачей ад­ министрирования, включающей: интерактивную аутентификацию пользователя, управление доступом пользователя к сетевым ре­ сурсам, аудит.

Интерактивная аутентификация пользователя начинается после нажатия клавиш [Ctrl] + [Alt] + [Del], в результате чего за­ пускается утилита WINLOGIN, открывающая окно Вход в систе­ му (Login).

Введенные пользователем имя и пароль пересылаются в Дис­ петчер контроля безопасности (Security Reference Monitor), ко­ торый сравнивает введенные пользователем данные с аналогич­ ными данными, содержащимися в базе данных Диспетчера учет-