- •Методические указания
- •7.091501 «Компьютерные системы и сети»
- •7.080403 «Программное обеспечение автоматизированных систем»
- •7.080401 «Информационные управляющие системы и технологии»
- •Одесса онпу, 2002
- •Введение
- •1. Лабораторная работа №1 «Организация
- •1.1. Краткие теоретические сведения
- •1.1.2. Адресация подсетей
- •1.1.4. Разрешение ip-адресов
- •1.1.4.1. Разрешение ip-адресов в mac-адреса
- •1.1.4.2. Разрешение ip-адресов в имена узлов
- •1.1.5. Диагностика стека tcp/ip
- •1.1.5.1. Использование ipconfig для проверки
- •1.1.5.2. Использование утилиты ping для проверки связи
- •1.2. Приемы и знания, которыми вы должны овладеть
- •1.3. Задания на лабораторную работу
- •2. Лабораторная работа №2 «Работа пользователей в сетях Windows nt 4 / 2000»
- •2.1. Краткие теоретические сведения
- •2.1.1. Архитектурные особенности Windows nt v4.0
- •2.1.2. Пользователи и группы Windows nt
- •2.1.3. Сетевая безопасность и администрирование
- •2.1.4. Интеграция NetWare и Windows nt
- •2.1.5. Интеграция unix и Windows ит
- •2.2. Приемы и знания, которыми вы должны овладеть
- •2.3. Задание на лабораторную работу
- •Литература
- •Internet ссылки
2.1.3. Сетевая безопасность и администрирование
В операционной системе Windows NT система безопасности при доступе к разделяемому ресурсу (Share) требует отдельного пароля для доступа и устанавливает права доступа на файлы и директории.
Основное внимание система безопасности уделяет пользователям и их бюджета». Для каждого пользователя сети сетевой администратор создает бюджет. Система автоматически присваивает пользователю уникальный идентификатор безопасности SID в пределах базы данных пользовательских бюджетов. Кроме того, система отслеживает для пользователя права доступа и привилегии.
База данных пользовательских бюджетов необязательно находится на локальном компьютере. Ее местоположение зависит от того, является ли пользователь частью рабочей группы или домена.
В Windows NT применяется два типа пользовательского бюджета:
• бюджет глобального пользователя, который аутентифицируется на главных или вторичных контроллерах домена либо через отношения доверия;
• бюджет локального пользователя, который доступен только через удаленный вход в систему и аутентифицируется на локальном компьютере, например член сети Windows for Workgroups; для них невозможны доверительные отношения.
Операционная система Windows NT Server позволяет использовать бюджеты пользователей и глобальные группы одного домена в другом домене. Конфигурируется это с помощью установления доверительных отношений между доменами.
В этом случае домен, с которым устанавливают доверительные отношения, называется доверяемым доменом, а домен, который устанавливает эти отношения, - доверяющим. Доверяемый домен позволяет использовать свои бюджеты в доверяющем.
Доверительные отношения по своей природе несимметричны и нетранзитивны.
Вы имеете возможность сконфигурировать свою сеть, исходя из отношений доверия, в соответствии с различными моделями.
Возможно выделение одного-единственного домена. В этом случае отношения доверия назначать не с кем. Такие сети, как правило, насчитывают менее 10000 пользователей, применяются централизованное управление для всех пользовательских бюджетов и раз и навсегда выделенные рабочие группы.
Другой моделью для организаций, в которой не более 10000 пользователей, может служить выделение главного домена. В этом случае один домен, главный, является доверяемым для всех остальных доменов, а сам не доверяет никому. Эта модель сочетает в себе достоинства централизованного управления пользовательскими бюджетами, предоставляя остальным доменам администрировать свои собственные ресурсы самостоятельно. Ограничение в 10000 пользователей, как и в предыдущем примере, вызывается размером базы данных безопасности, хранящейся в одном месте.
Модель организации сети, где используются множественные главные домены, хороша для больших организаций с количеством пользователей больше чем 10000 человек.
Возможна также организация сети с множественными доверительными отношениями между доменами.
В любом случае, используя механизм доверительных отношений, вы уменьшаете необходимость дублирования информации о пользовательских бюджетах и количество проблем, связанных с не синхронизированной информацией бюджетов (разные пароли локальных и глобальных бюджетов при одном сетевом имени пользователя и т. д.).