|
ОСНОВНЫЕ ПРИНЦИПЫ И ЗАДАЧИ АДМИНИСТРИРОВАНИЯ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ СЕРВЕРА, РАБОТАЮЩИХ ПОЛабораторная работа "ОСНОВНЫЕ ПРИНЦИПЫ И ЗАДАЧИ АДМИНИСТРИРОВАНИЯ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ СЕРВЕРА, РАБОТАЮЩИХ ПОД УПРАВЛЕНИЕМ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS NT" 8.1 Цель работы Целью работы является знакомство с задачами администрирования; правами и обязанностями администратора; понятием, типами, назначением и составом учетных записей. 8.2 Теоретические сведения 8.2.1 Основные сведения о Windows NT. Термин Windows NT объединяет семейство операционных систем: Windows NT, Windows 2000, Windows XP, Windows 2003 Server. Операционные системы, предназначенные для установки на рабочие станции (Windows NT Workstation, Windows 2000 Professional, Windows XP) оптимизированы для применения в качестве высокопроизводительного защищенного сетевого клиента. Любую из них можно использовать на автономных компьютерах как «настольную» операционную систему, в одноранговой среде рабочей группы и как рабочую станцию и среде домена. Серверные операционные системы (Windows NT Server, Windows 2000 Server, Windows 2003 Server) оптимизированы для работы в качестве сервера файлов, печати, приложений, web-сервера, сервера терминалов и т.д. (в зависимости от версии). Основным преимуществом Windows NT является система безопасности: обеспечение локальной защиты файлов, папок, принтеров и других ресурсов. Под локальной защитой понимается защита от локального пользователя, т. е. не только от пользователя, пытающегося подключиться к некоторому ресурсу по сети, но и от пользователя, работающего непосредственно за тем компьютером, на котором данный ресурс находится. Для обеспечения локальной защиты ресурс должен находиться на разделе жесткого диска с файловой системой NTFS. Windows NT поддерживает две файловые системы: - NTFS (Windows NT file system) — исключительно для Windows NT; - FAT (File Allocation Table) — для совместимости с приложениями Windows 95/98/ME (FAT32) и MS-DOS (FAT16). 8.2.2 Доменная модель и модель рабочей группы. Сети, основанные на Microsoft Windows NT, организуются на основе доменной модели или модели рабочей группы. И серверные системы, и системы рабочих станций могут работать в любой из этих двух моделей. Административные различия версий Windows NT зависят от используемой модели.(......) Доменная модель (domain model) характеризуется наличием в сети минимум одного компьютера, работающего под управлением одной из систем группы Windows NT Server и выполняющего роль контроллера домена (domain controller). Домен (domain) - группа компьютеров, объединенных общей базой учетных записей пользоватeлeй и единой политикой защиты. Эта информация хранится в базе данных домена (ее основная копия находится на компьютере - контроллере домена). Модель рабочей группы (workgroup model) позволяет организовать сеть на основе Windows NT без контроллера домена. Эту модель часто называют одноранговой сетью (peer-to-peer network), так как все ее компьютеры имеют равные права на совместно используемые ресурсы.(......) Модель рабочей группы не обеспечивает централизованного администрирования учетных записей пользователей и защиты ресурсов. Каждый сконфигурированный как сервер компьютер, работающий под управлением Windows NT, хранит информацию об учетных записях своих пользователей и защите ресурсов в локальной базе данных. Таким образом, учетные записи создаются на каждом компьютере, где пользователь будет регистрироваться. В этой модели ресурсы администрируются на всех компьютерах сети. Например, при каждом изменении своего пароля пользователь должен поменять его на всех компьютерах, где есть соответствующая учетная запись. В результате администрирования одного компьютера рабочей группы требуется внести соответствующие изменения на всех компьютерах группы, что весьма трудоемко. 8.2.3 Служба каталогов. Начиная с операционной системы версии Windows 2000 для облегчения и централизации администрирования сетей на основе доменов используется технология Active Directory (Служба каталогов). Она вобрала в себя утилиты администрирования серверных операционных систем предыдущих версий и представляет собой мощный и гибкий инструмент администрирования. 8.2.3.1 Основные понятия Active Directory. Active Directory – это служба каталогов, хранящая сведения об объектах сети и предоставляющая эти данные пользователям и администраторам. Active Directory позволяет пользователям сети осуществлять доступ к предусмотренным ресурсам в рамках одного процесса подключения. Кроме того, эта служба обеспечивает администраторов интуитивным иерархическим представлением сети и единым инструментом администрирования всех сетевых объектов. Active Directory — пользователи и компьютеры – административное средство, предназначенное для решения повседневных задач управления Active Directory. В эти задачи входят: создание, удаление, изменение, перемещение и предоставление разрешений на объекты каталога. Объектами управления могут являться подразделения, пользователи, контакты, группы, компьютеры, принтеры, а также объекты общих файлов. Домен – (в Active Directory) определенный администратором набор объектов компьютеров, пользователей и групп. Эти объекты используют общие базу данных каталогов, политики безопасности и доверительные отношения с другими доменами. В DNS доменом является любое дерево или поддерево в пространстве имен DNS. Хотя имена доменов DNS часто соответствуют именам доменов службы каталогов Active Directory, не следует путать домены DNS с доменами Active Directory. Дерево доменов – инвертированная иерархическая структура, применяемая для индексации доменных имен DNS. Деревья доменов по назначению и устройству подобны деревьям каталогов, используемых файловыми системами для организации дисковой памяти. Например, многочисленные файлы, хранящиеся на диске, объединяются каталогами в логические наборы. Если дерево доменов имеет несколько ветвей, каждая ветвь объединяет доменные имена, используемые в пространстве имен, в логический набор. В Active Directory — иерархическая структура одного или нескольких доменов, имеющих двусторонние доверительные отношения, формирующая единое пространство имен. Несколько деревьев доменов могут относиться к одному лесу. Лес – один или несколько доменов Active Directory, использующих общие определения классов и атрибутов (схема), сведения о сайте и репликации (конфигурация), а также средства поиска в лесе (глобальный каталог). Домены в составе одного леса связаны двусторонними транзитивными доверительными отношениями. 8.2.3.2 Структура и функции Active Directory в Windows 2003 Server. Служба каталогов «Active Directory» может быть установлена на серверах, работающих под управлением операционных систем Microsoft Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition. Она хранит сведения об объектах сети и упрощает поиск и использование этих сведений пользователями и администраторами. В Active Directory основой для логической, иерархической организации сведений каталога служит структурированное хранилище данных. Это хранилище данных, называемое также каталогом, содержит сведения об объектах Active Directory. В число этих объектов обычно входят общие ресурсы, такие как серверы, тома, принтеры, а также учетные записи сетевых пользователей и компьютеров. Каталог хранится на контроллерах домена и доступен для сетевых приложений или служб. В домене может быть один или несколько контроллеров домена. Каждый контроллер домена содержит копию каталога для всего домена, в котором он расположен. Изменения, внесенные в каталог на контроллере домена, реплицируются на остальные контроллеры в домене, дереве доменов или лесе. В Active Directory для хранения и копирования различных типов данных используются четыре различных типа раздела каталога. Разделы каталога содержат домен, конфигурацию, схему и данные приложения. Данная модель хранения и репликации (резервного копирования) предоставляет данные каталогов пользователям и администраторам домена. Между контроллерами домена реплицируются следующие данные каталога:
В состав службы Active Directory входят также следующие элементы:
8.2.3.2 Безопасность в Active Directory. Группа безопасности интегрирована с Active Directory посредством проверки подлинности при входе в сеть и управления доступом к объектам в каталоге. В рамках одного входа в сеть администраторы могут управлять данными каталога и организацией через их сеть, а прошедшие проверку сетевые пользователи могут иметь доступ к ресурсам во всей сети. 8.2.4 Управление сетью. В процессе эксплуатации сети время от времени требуется подключать новых пользователей, а среди существующих некоторых иногда удалять. Приходится иногда устанавливать новые ресурсы и предоставлять их в совместное пользование, кроме того, предоставлять соответствующие права на доступ к ним. Права доступа – это правила, ассоциированные с ресурсом, обычно каталогом, файлом или принтером. Права регулируют доступ пользователей к ресурсам. Это означает, что после установки сетью необходимо управлять. Управление сетью в операционной системе Windows 2003 Server осуществляется с помощью утилит группы Администрирование панели управления (меню кнопки Пуск -> Панель управления -> Администрирование). 8.2.4.1 Области администрирования. Сетевое администрирование распространяется на пять основных областей, с которыми должен быть хорошо знаком администратор сети: – управление пользователями - создание и поддержка учетных записей пользователей, управление доступом пользователей к ресурсам; – управление ресурсами - установка и поддержка сетевых ресурсов; – управление конфигурацией - планирование конфигурации сети, ее расширение, а также ведение необходимой документации; – управление производительностью - мониторинг и контроль за сетевыми операциями для поддержания и улучшения производительности системы; – поддержка - предупреждение, выявление и решение проблем сети. 8.2.4.2 Обязанности администратора. Учитывая области сетевого управления, можно составить список задач, за качество выполнения которых несет ответственность администратор сети: – создание учетных записей пользователей и управление ими; – защита данных; – обучение и поддержка пользователей (при необходимости); – модернизация существующего программного обеспечения и установка нового; – архивирование; – предупреждение потери данных; – мониторинг и контроль за свободным пространством для хранения данных на сервере (серверах); – настройка сети на максимальную производительность; – резервное копирование данных; – защита сети от вирусов; – диагностика; – модернизация и замена компонентов сети (при необходимости); – добавление в сеть новых оконечных узлов (компьютеров). 8.2.5 Учетные записи пользователей. Каждому, кто работает в сети, необходимо выделить учетную запись (account) пользователя. Учетная запись состоит из имени пользователя и назначенных ему параметров входа в систему. Эта информация вводится администратором и сохраняется сетевой операционной системой. При попытке пользователя войти в сеть его имя служит для проверки учетной записи. Все сети имеют утилиты, которые помогают администраторам добавить в базу данных безопасности сети новые учетные записи. Этот процесс иногда называют "созданием пользователя". В Microsoft Windows 2003 Server для этих целей можно использовать:
8.2.5.1 Защита средствами учетных записей. В операционных системах Windows NT защита средствами учётных записей осуществляется в следующих случаях: а) регистрация при входе в систему. Для успешной регистрации в системе информация, вводимая пользователем в полях Имя пользователя и Пароль должна соответствовать учетной записи пользователя домена или локальной учетной записи – в зависимости от того, где пытается зарегистрироваться пользователь; б) аутентификация при доступе к ресурсу. Доступ к ресурсам осуществляется в соответствии с таблицами прав доступа конкретного ресурса, определяющими тип доступа и включающими учетные записи пользователей, имеющих доступ к данному ресурсу.(......) 8.2.5.2 Данные о пользователе. Учетная запись пользователя содержит информацию, которая помогает идентифицировать пользователя в системе безопасности сети. Она включает: – имя и пароль пользователя; – права пользователя на доступ к ресурсам системы; – параметры учётной записи; – группы, к которым относится учетная запись. Эти данные необходимы администратору для создания новой учетной записи. Windows 2003 Server реализует возможность, свойственную большинству утилит управления пользователями, - копирование учетных записей. С ее помощью администратор создает "шаблон" пользователя, отдельные параметры и характеристики которого могут потребоваться при создании других учетных записей. Для создания новой учетной записи с этими характеристиками администратор просто копирует шаблон и дает ему новое имя. 8.2.5.3 Установка параметров пользователя. Большинство сетей позволяет администраторам присваивать пользователям некоторые дополнительные параметры, в том числе: – время регистрации - чтобы ограничить время, в течение которого пользователь может войти в сеть; – домашний каталог - чтобы предоставить пользователю место для хранения его личных файлов; – продолжительность действия учетной записи - чтобы ограничить "пребывание" некоторых пользователей в сети. В Active Directory можно задать следующие параметры учётных записей:
8.2.5.4 Профили. Администратор в своей работе реализует и другую возможность – создает для некоторых пользователей сетевое окружение. Это необходимо, например, для поддержки определенного уровня безопасности, или для поддержки пользователей, не овладевших компьютерами и сетями в такой степени, чтобы самостоятельно работать с этой технологией. Администратор может создать профили (profiles) для управления средой пользователей, в которой они оказываются после входа в систему. К среде относятся сетевые подключения и доступные программы, а также: – подключения к принтерам; – настройки языков и стандартов; – настройки звуков; – настройки мыши; – настройки экрана. К параметрам профилей, кроме того, иногда относятся специальные условия входа в систему и информация о том, где пользователь может хранить свои файлы. 8.2.5.5 Встроенные учетные записи пользователей. Сетевые операционные системы поставляются с заранее созданными пользовательскими учетными записями, которые автоматически активизируются при установке системы. Известно несколько типов таких учетных записей.
– формирование сети; – установка начальных параметров защиты; – создание учетных записей других пользователей. В сетевой среде Microsoft этот пользователь носит имя Администратор. В среде Novell он известен как Supervisor (Супервизор). Обычно тот, кто установил сетевую операционную систему, первым входит в сеть. Войдя в сеть с учетной записью администратора, он имеет полный контроль над всеми сетевыми функциями.
8.2.5.6 Пароли (passwords) обеспечивают защиту сетевой среды. Поэтому первая задача администратора при установке параметров своей учетной записи – изменить пароль. Тем самым он предотвратит и несанкционированный вход в сеть пользователей с правами администратора, и создание ими учетных записей. Каждый пользователь должен придумать себе уникальный пароль и хранить его в тайне. В особо важных случаях надо обязать пользователей периодически менять свои пароли. Многие сетевые операционные системы (в том числе и Windows 2003 Server) предлагают средства, которые автоматически вынуждают пользователей делать это через заданный администратором промежуток времени. В ситуациях, когда безопасность не столь существенна, или когда права доступа ограничены (как в учетной записи гостя), можно модифицировать учетную запись так, чтобы для входа в сеть какого-то конкретного пользователя пароль не требовался. Администратор, наконец, должен учесть и такой вариант: в систему может попытаться войти пользователь, уже не работающий в организации (компании). Единственный способ избежать этого - сразу же заблокировать учетную запись увольняемого сотрудника. 8.2.6 Учетные записи групп. Сети могут поддерживать тысячи учетных записей. Возникают ситуации, когда администратор должен произвести одни и те же действия над каждой из этих записей или, по крайней мере, над значительной их частью. Иногда администратор вынужден посылать одно и то же сообщение большому количеству пользователей (извещая их о каком-либо событии), или разрешать доступ к определенным ресурсам только известной группе пользователей. Для этого администратору необходимо модифицировать каждую учетную запись конкретного пользователя, изменяя в ней его права доступа. Если 100 человек нуждаются в разрешении на использование какого-нибудь ресурса, администратор должен по очереди предоставить это право каждому из ста. Большинство сетей решает эту проблему автоматически, предлагая объединить пользовательские учетные записи в одну учетную запись специального типа, называемую группой. Группа (group) - это учетная запись, которая содержит другие учетные записи. Основная цель создания групп - упростить администрирование. Благодаря группам администраторы могут оперировать большим числом пользователей так, как будто они работают с одним сетевым пользователем. Если 100 учетных записей объединены в группу, администратор может послать группе одно сообщение, и оно дойдет до каждого члена этой группы. Аналогично право на доступ к ресурсу можно присвоить группе, и все ее члены получат его. 8.2.6.1 Планирование групп. Поскольку группы - очень мощный инструмент администрирования, при планировании сети им необходимо уделять особое внимание. Опытные администраторы знают, что практически не должно быть индивидуальных пользователей сети. Каждый пользователь будет разделять с другими определенные привилегии и обязанности. Привилегии (rights) разрешают пользователю выполнять в системе некоторые действия, например, проводить ее резервное копирование. Привилегии относятся к системе в целом и этим отличаются от прав. Права (permissions) и привилегии должны быть присвоены группам так, чтобы администратор мог обращаться с ними, как с одиночными пользователями. Группы помогают осуществить следующие действия: – предоставить доступ к ресурсам (таким, как файлы, каталоги и принтеры). Права, предоставленные группе, автоматически предоставляются ее членам; – предоставить привилегии для выполнения системных задач таких, как резервное копирование, восстановление файлов (с резервных копий) или изменение системного времени. По умолчанию ни одному из пользователей ни одна из привилегий не присваивается. Пользователи, как правило, получают привилегии через членство в группах; – упростить связь за счет сокращения числа подготавливаемых и передаваемых сообщений. 8.2.6.2 Типы групп. Microsoft Windows NT Server использует группы четырех типов: – локальные (local) группы. Группы этого типа реализуются в базе данных учетных записей отдельного компьютера. Локальные группы состоят из учетных записей пользователей, которые имеют права и привилегии на локальном компьютере, и учетных записей глобальных групп; – глобальные (global) группы. Группы этого типа используются в границах всего домена. Глобальные группы регистрируются на главном контроллере домена (PDC) и могут содержать только тех пользователей, чьи учетные записи находятся в базе данных этого домена; – системные (system) группы. Группы этого типа используются Windows NT Server для внутрисистемных нужд. Администратору не надо включать в них пользователей, так как это делается автоматически; – встроенные (built-in) группы. Некоторые функции групп этого типа общие для всех сетей. К ним относится большинство задач администрирования и обслуживания. Чтобы выполнить некоторые стандартные операции, администраторы должны создать учетные записи пользователей и группы с соответствующими привилегиями, однако многие поставщики сетей избавляют администраторов от этой работы, предлагая им встроенные локальные или глобальные группы. Встроенные группы делятся на три категории: 1) администраторы - пользователи этих групп имеют максимально возможные привилегии; 2) операторы - пользователи этих групп имеют ограниченные административные возможности для выполнения специфических задач; 3) другие - пользователи этих групп выполняют ограниченный круг задач. |
Loading
|