Косарев_Экомическая информатика

ных записей (Security Account Manager, SAM), создает маркер до­ ступа (access token), который передается утилите WINLOGIN для запуска оболочки пользователя.

Если пользователь входит в рабочую группу, то его учетная запись создается и хранится в SAM его рабочей станции и локаль­ ное программное обеспечение аутентификации обращается для проверки введенных пользователем параметров регистрации в базу данных SAM рабочей станции. Если же пользователь регис­ трируется в домене, то обращение для проверки введенных пользо­ вателем параметров регистрации производится к базе данных SAM домена, к которому принадлежит его машина.

Управление доступом пользователей к сетевым ресурсам (фай­ лам, каталогам и устройствам) осуществляется с помощью следу­ ющих средств: бюджет пользователя, права пользователя или груп­ пы пользователей, права доступа к объектам и др.

Бюджет пользователя (время работы в сети, область опера­ тивной памяти, отведенная пользователю, и другие права пользо­ вателя в системе) определяется администратором при создании учетной записи.

Права пользователя или группы пользователей - это правила, определяющие действия, которые они могут производить. Возмож­ ности пользователя по доступу к сетевым ресурсам определяются предоставленными правами и ограничениями, накладываемыми на отдельного пользователя или на группу пользователей.

Стандартным группам Windows NT Server уже присвоены оп­ ределенные права. При создании новых групп им можно назна­ чать набор пользовательских прав. Эти права могут быть обыч­ ными и расширенными. Большинство расширенных прав назна­ чаются только программистам и иногда администраторам рабочих станций, но не предоставляются группам пользователей.

Для просмотра, назначения и изменения прав, предоставляемых пользователю или группе, используется команда Права пользова­ теля меню Политика программы Диспетчер пользователей.

Информация о правах пользователя хранится в файлах сис­ темной политики, имеющих расширение .pol. В этих файлах со­ держится информация, которая при регистрации пользователя в системе автоматически вводится в реестр.

Для корректировки и установки новых прав определенного пользователя администратором предназначен Редактор систем­ ной политики.

Большинство административных функций в Windows NT вы­ полняется с помощью таких графических приложений, как Дис­ петчер пользователей, Диспетчер серверов и др. Однако существу­ ет ряд функций администрирования, выполняемых с помощью программной строки. Например, это управление учетной поли­ тикой на отдельных серверах или всех серверах домена (команда Net Accounts и ее параметры), регистрация компьютеров в доме­ не (команда Net Computer и ее параметры), управление сервиса­ ми (Net Start и др.), управление группами пользователей (коман­ да Net Group, Net Local group), управление пользовательскими учетными записями (Net User), управление адресацией сообще­ ний (Net Name с параметрами), управление сеансами регистра­ ции (Net Session) и др.

Права пользователя в системе Windows NT определяются ад­ министратором при создании учетной записи пользователя.

На основе присваиваемого администратором пользовательс­ кого имени бюджета, идентификационных данных пользователя и прав пользователя создается Уникальный идентификатор безо­ пасности (Unique Security Identifier, SID).

Создаваемый при регистрации пользователя в Windows NT маркер доступа включает SID пользователя, идентификаторы бе­ зопасности групп - GID-групп, к которым он принадлежит (для подсистемы Posix), и другую информацию.

ВWindows NT все элементы системы являются объектами. Каж­ дый объект характеризуется типом, набором служб и атрибутов.

ВWindows NT к типам объектов относятся каталоги, файлы, принтеры, процессы, устройства, окна и т.д. Тип объекта опре­ деляет допустимые наборы служб и атрибутов.

Наборы служб представляют собой совокупность действий, которые могут быть выполнены объектом или с объектом. На­ пример, объект-каталог имеет службы: Просмотр, Чтение, Изме­ нение, Удаление и др.

Атрибуты включают имя объекта, данные и список управле­ ния доступом. Список управления доступом - обязательный ат­ рибут объекта, в него включены следующие сведения: список служб объекта, список пользователей и групп, имеющих разреше­ ние на выполнение каждого действия.

Объекты при необходимости могут быть защищены. Права доступа к объектам определяются Дескриптором безопасности,

описывающим атрибуты безопасности объекта. Он включает

сведения о SID владельца объекта, который может изменить уро­ вень доступа к объекту, избирательный Список контроля досту­ па, идентифицирующий пользователя и группы, которым разре­ шен или запрещен определенный вид доступа, и системный Спи­ сок контроля доступа, контролирующий сообщения аудита, генерируемые системой.

Всистеме Windows NT для контроля над доступом к объектам используются два типа прав - локальный и удаленный.

Влокальные права входят разрешения файловой системы NTFS (запись, чтение, выполнение, удаление, изменение разрешений).

Удаленные права контролируются общими ресурсами. Общий ресурс - это сетевой ресурс, позволяющий пользователям удален­ ных компьютеров получать доступ по сети к объектам. Общий ресурс является объектом, указывающим на объект локального ресурса. Общий ресурс имеет собственный набор разрешений (пол­ ный запрет, полный доступ, просмотр, чтение и др.).

Для пользователей, принадлежащих к нескольким группам, имеющим разрешение на доступ к одним и тем же ресурсам, раз­ решения складываются. Доступ разрешается в том случае, если среди всех разрешений нет указателя на запрет доступа к ресурсу.

Права доступа к объекту определяются тем, является ли он контейнерным (например, каталог) или неконтейнерным (напри­ мер, файл). Неконтейнерные объекты, содержащиеся внутри кон­ тейнерных объектов, могут наследовать определенные типы прав доступа от родительского контейнера.

Для контроля и управления доступом программ пользовате­ ля к объектам, чтобы они не превышали прав самого пользовате­ ля, используются субъекты. Субъект - это комбинация маркера доступа пользователя и программы, работающей от имени пользо­ вателя. Например, если пользователь имеет право на чтение из определенного файла, то программа файла не сможет выполнить запись в этот файл и будет иметь право, как и пользователь, толь­ ко на чтение.

Технология, позволяющая процессу брать атрибуты безопас­ ности другого процесса, называется имперсонацией. Например, для решения задачи клиента необходимы ресурсы, к которым сервер не имеет доступа. В этом случае серверному процессу, действую­ щему от лица клиента, присваиваются атрибуты безопасности клиентского процесса.

184 Глава 4

Разрешение на доступ пользователя к объекту принимается

Диспетчером контроля безопасности Windows NT на основе ана­ лиза информации о безопасности в пользовательском маркере доступа и информации о безопасности, содержащейся в Дескрип­ торе безопасности объекта. При отсутствии полного совпадения сведений доступ отклоняется.

С целью фиксации всех событий, происходящих в локальной сети, существует система аудита. Аудит информирует админист­ ратора обо всех запрещенных действиях пользователя, позволяет получить сведения о частоте обращений к тем или иным ресур­ сам, определить последовательность действий, которые провели пользователи.

Сведения, полученные в результате аудита, могут быть исполь­ зованы администратором для принятия решений о повышении безопасности системы, для своевременного определения места нахождения повреждений системы.

На этапе формирования политики аудита администратор оп­ ределяет, какие системные события будут регистрироваться в ауди­ торском журнале. Для этого используется команда Аудит меню

Политика.

Существуют три уровня управления аудитом:

1)включение и отключение аудита;

2)аудирование любых из семи предлагаемых типов событий (вход и выход, доступ к файлам и объектам и т.д.);

3)на уровне конкретных объектов.

Управление первыми двумя уровнями осуществляется с по­ мощью команды Аудит из меню Политика утилиты Диспетчер файлов.

Управление третьим уровнем аудита применяется к объектам, обозначенным как Доступ к файлам и объектам. Управление ауди­ том в этом случае осуществляется с помощью переключателей, находящихся в свойствах таких объектов, как файлы, принтеры.

Уровень аудируемых событий может быть изменен в соответ­ ствии с требованием пользователей. Вся информация, получаемая в результате аудита, хранится в Журнале безопасности. Для про­ смотра записей в этом журнале используется программа Просмотр событий. Когда журнал безопасности переполняется, Windows NT завершает работу.

4.5.5. УПРАВЛЕНИЕ РЕСУРСАМИ СЕТИ

Процесс управления ресурсами сети обширен и включает мно­ жество задач. Рассмотрим некоторые из них.

•Выборочное компрессирование (уплотнение) томов, папок и файлов NTFS с целью экономии дискового пространства. Тексто­ вые файлы, электронные таблицы и некоторые графические файлы (например, с расширением .bmp) уменьшаются почти в два раза. Сжатие папок и файлов выполняется с помощью утилиты compact.exe.

•Архивация данных и решение связанных с этим задач (созда­ ние резервной копии на магнитной ленте, исправление неправиль­ ной модификации или случайного удаления диска, восстановле­ ние данных после повреждения диска). Для архивации файлов и восстановления данных из архива используется программа NTBA CKUP.EXE. Она поддерживает две файловые системы FAT

иNTFS.

•Разработка сценариев - заданных наборов команд. Напри­ мер, сценарий автоматического выполнения задач при регистра­ ции пользователя в системе, сценарий назначения собственного каталога пользователям, установления соответствующих сетевых связей при использовании разных пользовательских имен, фами­ лий и т.д.

•Репликация (тиражирование) папок на другие компьютеры позволяет тиражировать сценарии регистрации с одного контрол­ лера домена на другой, базы данных WINS с одного сервера на другой с целью поддержки и организации доверительных отно­ шений.

•Совместное с Диспетчером сервисов управление запуском и работой сервисов (приложений, функционирующих на сервере в фоновом режиме и обеспечивающих поддержку других прило­ жений).

•Контроль производительности системы: с помощью програм­ мы Системный монитор.

•Управление дисками с помощью программы Администратор дисков: создание основных (системных) и расширенных (напри­ мер, для создания логических дисков) разделов, форматирование разделов, создание составных томов и т.д.

•Оптимизация работы Windows NT 4 как файлового сервера

(оптимизация работы жестких дисков, устранение проблем дос-

тупа к дискам на программном уровне, повышение пропускной способности сети), как сервера приложений (контроль процессора сервера приложений, контроль виртуальной памяти, устранение сетевых проблем) и др.

•Управление службой печати в NT Server. Все обслуживание принтеров выполняется с помощью одной программы, доступ к которой осуществляется через папку Принтеры из Панели управ­ ления или Настройка.

•Управление вводом компьютеров в состав домена своего сер­ вера, удаление компьютеров, организация доменов, назначение сер­ вера главным контроллером домена, репликация данных на другие серверы, управление доверительными отношениями между домена­ ми, объединение доменов, аудит сетевых ресурсов каждого пользо­ вателя и т.д. осуществляются с помощью программДиспетчер сер­ веров и Диспетчер пользователей для доменов.

•Управление общимиресурсами. Каждый раз при загрузке ком­ пьютера Windows NT создает системные общие ресурсы, задан­ ные по умолчанию, для каждого из дисков системы для поддерж­ ки работы в сети и управления внутренними операциями. Однако эти системные ресурсы не отображаются в стандартном списке общих ресурсов. Для их отображения в системе Windows NT Server используется Диспетчер серверов.

Чтобы ресурсы были доступны для пользователей других компьютеров, администратор назначает им общий статус. При необходимости одновременно указывается максимальное коли­ чество пользователей, которые могут иметь доступ к данному ресурсу.

Подключение общих ресурсов может осуществляться с помо­ щью команд Проводника NT, Сетевого окружения или командной строки NET USE..., использующей уникальное имя (UNC) обще­ го ресурса.

•Установка управления удаленным доступом, установка кли­ ента и сервера удаленного доступа осуществляются с помощью ути­ литы Сеть из Панели управления. С помощью этой же утилиты устанавливаются модемы, выбираются протоколы и коммуника­ ционные порты.

•Управление всеми соединениями в сети, управление доступом

кинформации сервера удаленного доступа, а также ко всей ин­ формации сети через сервер удаленного доступа осуществляется с помощью утилиты Управление удаленным доступом.

• Поиск неисправностей в сети осуществляется с помощью Се­ тевого монитора. Это программное средство можно использовать для просмотра поступающих на Windows NT и отправляемых па­ кетов.

Для создания комфортных и эффективных условий работы администратору в комплект Windows NT Server, Resource Kit, Supplement One для версии 4 включены 15 административных ути­ лит. Так, утилита Addclusers.exe предназначается для создания, удаления и вывода списка пользователей групп в текстовом фор­ мате с разделенными запасами значениями (.csv). Файлы форма­ та .csv импортируются и экспортируются приложениями Excel и Access. Запуск утилиты командой addusers/dusers.csv создает для домена файл users.csv, который может использоваться в качестве шаблона для создания учетных записей и групп пользователей. Утилиты global.exe и local.exe служат для создания списков гло­ бальных и локальных групп в указанном домене и др. Все эти ути­ литы включены в комплект поставки Windows 2000 Server.

4.6.ВЗАИМОДЕЙСТВИЕ WINDOWS NT

СОПЕРАЦИОННЫМИ СИСТЕМАМИ

ПОДДЕРЖКИ СЕТЕЙ

4 . 6 . 1 . СРЕДСТВА, ОБЕСПЕЧИВАЮЩИЕ ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОС СЕТИ

Операционной системой поддержки сетей, или просто сетевой операционной системой, является ОС, взаимодействующая с се­ тевым оборудованием, обеспечивающая межкомпьютерные ком­ муникации, пользовательский интерфейс к сети и позволяющая пользователям разделять файлу и периферийное оборудование.

Windows NT имеет возможность взаимодействия и обмена данными со многими существующими сетями, построенными на основе различных ОС поддержки сетей. Необходимость в этом возникает по разным обстоятельствам: ввиду наличия уже пост­ роенных на основе других ОС сетей, ресурсы которых необходи­ мы пользователям Windows NT; создания новых сетей, основан­ ных на Windows NT, и других ОС поддержки сетей с целью повы­ шения их эффективности.

Взаимодействие сетей, построенных на Windows NT, с други­ ми ОС поддержки сетей обеспечивают следующие средства.

1. Открытая сетевая структура, механизмы динамической заг­ рузки и выгрузки встроенной сетевой поддержки различных сете­ вых компонентов, таких, как LAN Manager, NetWare, и дополни­ тельно разработанных сетевых приложений, содержащихся в Windows NT. Эти механизмы могут использоваться для загрузки и выгрузки программного обеспечения других производителей. Такой подход позволяет Windows NT поддерживать большое ко­ личество различных сетевых протоколов, сетевых плат и драйве­ ров, обеспечивающих взаимодействие между аппаратными и программными средствами, а также унифицированную привязку аппаратных средств различных платформ с программными сред­ ствами Windows NT.

2. Совместимые с другими сетями и устанавливающие связь с ними протоколы, которые поддерживает Windows NT.

Так, протокол управления каналом данных Data Link Control используется для доступа к мэйнфреймам IBM для печати на прин­ терах Hewlett-Packard, подсоединенных к сети.

Протокол NetBEUI - Extented User Interface NetBIOS - рас­ ширенный пользовательский интерфейс. Совместимый с преды­ дущими версиями ОС Windows NT, LAN Manager и другими, он обеспечивает быстрый протокол в небольших локальных сетях. При работе в глобальных сетях его производительность низка.

NWLink - это NetWare-совместимый стек протоколов, совме­ стим с протоколами IPX/SPX, которые поддерживает ОС NetWare (Internet Packet Exchange/Sequenced Packet Exchange).Он позволя­ ет клиентам NetWare, MS DOS, OS/2 и Windows обращаться к Windows NT Server почти так же, как они обращаются к серверам NetWare. NWLink служит основой для некоторых приложений, поставляемых с Windows NT Server для обеспечения взаимодей­ ствия, имитации NetWare и вариантов перехода к Windows NT Server.

Протокол для глобальных сетей TCP/IP (Transmission Control Protocol/Internet Protocol), используемый для связи с Интернетом, предназначается для взаимодействия Windows NT с различными сервисами на Unix-машинах, а также для связи удаленных локаль­ ных сетей через глобальные.

Служба удаленного доступа для передачи данных от одной локальной сети к другой удаленной локальной сети через Интер-

Protocol) - протокол параллельного соединения по нескольким телефонным каналам; SLIP (Serial Link Interface Protocol) - меж­ сетевой протокол для последовательного канала; РРТР (Point-to Point Tunelling Protocol) - протокол, содержащий механизм шиф­ рования для Интернет.

3. Сетевые драйверы и интерфейсы, создающие Windows NT возможность подключаться к различным типам сетей и взаимо­ действовать с разными типами вычислительных систем.

Сетевые сервер и редиректор Windows NT - программные ком­ поненты, выполненные в виде драйверов файловых систем, по­ зволяют получить доступ к ресурсам сетей с LAN Server и серве­ рам Microsoft Networks.

Интерфейс TDI (Transport Driver Interface) - стандарт для пе­ редачи сообщений - создает канал взаимодействия между драй­ верами и протоколами и делает редиректор и сервер не зависи­ мыми от всех видов транспорта.

Интерфейс NDIS (Network Device Interface Spesification) созда­ ет канал взаимодействия между сетевыми платами и протокола­ ми. NDIS позволяет пользователю работать при помощи одной сетевой платы с разными сетями (Windows NT, NetWare, DECnet, NetWare, VINES и др.)

Provider (поставщик)-интерфейс позволяет привязать не­ скольких редиректоров к нескольким протоколам, чтобы связать редиректоры LAN Manager, NetWare, VINES и другие с прило­ жениями Windows NT без дополнительных программ поддерж­ ки сетей.

4. Сервис многопользовательского удаленного доступа для си­ стем с Windows NT Server и однопользовательского удаленного доступа для систем Windows NT Workstation, обеспечивающий удаленный доступ по глобальной сети к системе Windows NT. Сервер службы удаленного доступа может обслуживать соеди­ нения сетей, построенных на основе разных ОС, поддерживаю­ щих сети. Это может быть реализовано благодаря возможности транслировать сообщения из одних форматов в другие, а также наличию маршрутизатора многосетевого доступа, осуществля­ ющего установление и разрыв сетевого соединения, удаленную печать и передачу данных по сети сетевому компоненту, обраба­ тывающему запросы на ресурс.

5. Возможность выполнения многих приложений для разных ОС благодаря наличию в Windows NT различных API (Application Program Interface). API ввода-вывода Win-32 обрабатывает зап­ росы на ввод-вывод информации из файла или именованного ка­ нала, находящихся на удаленной машине; сетевые API Win-32 об­ рабатывают запросы на просмотр информации, расположенной на удаленных файловых системах Microsoft и других по сетям LAN Manager, NetWare, VINES, и другие; API Windows Socket обеспе­ чивает поддержку приложений Unix и позволяет осуществлять до­ ступ к сети Интернет и т.д.

6.Встроенная поддержка различных типов файловых систем

(NTFS, FAT, CD-ROM, VFAT, Macintoch), возможность конвер­ тирования FAT- и HPFS-разделов в NTFS-разделы, поддержка в NTFS-разделах каталогов формата Macintoch.

7.Поддержка Windows NT и NetWare общих служб каталогов

NTDS (Windows NT Directory Service) и NDS (NetWare Directory Service), таких, как защищенная база каталога, распределенная архитектура (возможность автоматического тиражирования в несколько мест), однократная регистрация в сети, простое адми­ нистрирование, гетерогенность (возможность управления серве­ рами NetWare с помощью соответствующих утилит).

8.Возможность подключения к доменам новых пользователей - пользователей других сетей, а также поддержание требуемого уровня безопасности системы с помощью установления довери­ тельных отношений между доменами; встроенные средства рабо­ ты с глобальными сетями, которые могут использоваться для под­ ключения одних локальных сетей к другим через глобальную сеть.

4.6.2. WINDOWS NT И ОС ПОДДЕРЖКИ СЕТЕЙ ФИРМЫ MICROSOFT

Для организации обмена информацией между персональны­ ми компьютерами к существующим ОС ранних версий добави­ лась сетевая поддержка, представляющая собой фактически над­ стройку над ОС. Например, для сетевой поддержки MS DOS, OS/2, Unix и других ОС существует MS LAN Manager. Она представ­ ляет собой набор основных программ и драйверов, добавляющих сетевые возможности к существующим ОС. MS LAN Manager предоставляет такие средства, как механизмы ведения учетных