Центральный Дом Знаний - ОСНОВНЫЕ ПРИНЦИПЫ И ЗАДАЧИ АДМИНИСТРИРОВАНИЯ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ СЕРВЕРА, РАБОТАЮЩИХ ПО

Информационный центр "Центральный Дом Знаний"

Заказать учебную работу! Жми!



ЖМИ: ТУТ ТЫСЯЧИ КУРСОВЫХ РАБОТ ДЛЯ ТЕБЯ

      cendomzn@yandex.ru  

Наш опрос

Я учусь (закончил(-а) в
Всего ответов: 2653

Онлайн всего: 1
Гостей: 1
Пользователей: 0


Форма входа

Логин:
Пароль:

ОСНОВНЫЕ ПРИНЦИПЫ И ЗАДАЧИ АДМИНИСТРИРОВАНИЯ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ СЕРВЕРА, РАБОТАЮЩИХ ПО

Лабораторная работа 
"ОСНОВНЫЕ ПРИНЦИПЫ И ЗАДАЧИ АДМИНИСТРИРОВАНИЯ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ СЕРВЕРА, РАБОТАЮЩИХ ПОД УПРАВЛЕНИЕМ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS NT"

Скачать

8.1 Цель работы

Целью работы является знакомство с задачами администрирования; правами и обязанностями администратора; понятием, типами, назначением и составом учетных записей.

8.2 Теоретические сведения

8.2.1 Основные сведения о Windows NT. Термин Windows NT объединяет семейство операционных систем: Windows NT, Windows 2000, Windows XP, Windows 2003 Server.

Операционные системы, предназначенные для установки на рабочие станции (Windows NT Workstation, Windows 2000 Professional, Windows XP) оптимизированы для применения в качестве высокопроизводительного защищенного сетевого клиента. Любую из них можно использовать на автономных компьютерах как «настольную» операционную систему, в одноранговой среде рабочей группы и как рабочую станцию и среде домена.

Серверные операционные системы (Windows NT Server, Windows 2000 Server, Windows 2003 Server) оптимизированы для работы в качестве сервера файлов, печати, приложений, web-сервера, сервера терминалов и т.д. (в зависимости от версии).

Основным преимуществом Windows NT является система безопасности: обеспечение локальной защиты файлов, папок, принтеров и других ресурсов. Под локальной защитой понимается защита от локального пользователя, т. е. не только от пользователя, пытающегося подключиться к некоторому ресурсу по сети, но и от пользователя, работающего непосредственно за тем компьютером, на котором данный ресурс находится. Для обеспечения локальной защиты ресурс должен находиться на разделе жесткого диска с файловой системой NTFS.

Windows NT поддерживает две файловые системы:

- NTFS (Windows NT file system) — исключительно для Windows NT;

- FAT (File Allocation Table) — для совместимости с приложениями Windows 95/98/ME (FAT32) и MS-DOS (FAT16).

8.2.2 Доменная модель и модель рабочей группы. Сети, основанные на Microsoft Windows NT, организуются на основе доменной модели или модели рабочей группы. И серверные системы, и системы рабочих станций могут работать в любой из этих двух моделей. Административные различия версий Windows NT зависят от используемой модели.(......)

Доменная модель (domain model) характеризуется наличием в сети минимум одного компьютера, работающего под управлением одной из систем группы Windows NT Server и выполняющего роль контроллера домена (domain controller). Домен (domain) - группа компьютеров, объединенных общей базой учетных записей пользоватeлeй и единой политикой защиты. Эта информация хранится в базе данных домена (ее основная копия находится на компьютере - контроллере домена).

Модель рабочей группы (workgroup model) позволяет организовать сеть на основе Windows NT без контроллера домена. Эту модель часто называют одноранговой сетью (peer-to-peer network), так как все ее компьютеры имеют равные права на совместно используемые ресурсы.(......)

Модель рабочей группы не обеспечивает централизованного администрирования учетных записей пользователей и защиты ресурсов. Каждый сконфигурированный как сервер компьютер, работающий под управлением Windows NT, хранит информацию об учетных записях своих пользователей и защите ресурсов в локальной базе данных. Таким образом, учетные записи создаются на каждом компьютере, где пользователь будет регистрироваться.

В этой модели ресурсы администрируются на всех компьютерах сети. Например, при каждом изменении своего пароля пользователь должен поменять его на всех компьютерах, где есть соответствующая учетная запись. В результате администрирования одного компьютера рабочей группы требуется внести соответствующие изменения на всех компьютерах группы, что весьма трудоемко.

8.2.3 Служба каталогов. Начиная с операционной системы версии Windows 2000 для облегчения и централизации администрирования сетей на основе доменов используется технология Active Directory (Служба каталогов). Она вобрала в себя утилиты администрирования серверных операционных систем предыдущих версий и представляет собой мощный и гибкий инструмент администрирования.

8.2.3.1 Основные понятия Active Directory.

Active Directory – это служба каталогов, хранящая сведения об объектах сети и предоставляющая эти данные пользователям и администраторам. Active Directory позволяет пользователям сети осуществлять доступ к предусмотренным ресурсам в рамках одного процесса подключения. Кроме того, эта служба обеспечивает администраторов интуитивным иерархическим представлением сети и единым инструментом администрирования всех сетевых объектов.

Active Directory — пользователи и компьютеры – административное средство, предназначенное для решения повседневных задач управления Active Directory. В эти задачи входят: создание, удаление, изменение, перемещение и предоставление разрешений на объекты каталога. Объектами управления могут являться подразделения, пользователи, контакты, группы, компьютеры, принтеры, а также объекты общих файлов.

Домен – (в Active Directory) определенный администратором набор объектов компьютеров, пользователей и групп. Эти объекты используют общие базу данных каталогов, политики безопасности и доверительные отношения с другими доменами. В DNS доменом является любое дерево или поддерево в пространстве имен DNS. Хотя имена доменов DNS часто соответствуют именам доменов службы каталогов Active Directory, не следует путать домены DNS с доменами Active Directory.

Дерево доменов – инвертированная иерархическая структура, применяемая для индексации доменных имен DNS. Деревья доменов по назначению и устройству подобны деревьям каталогов, используемых файловыми системами для организации дисковой памяти. Например, многочисленные файлы, хранящиеся на диске, объединяются каталогами в логические наборы. Если дерево доменов имеет несколько ветвей, каждая ветвь объединяет доменные имена, используемые в пространстве имен, в логический набор. В Active Directory — иерархическая структура одного или нескольких доменов, имеющих двусторонние доверительные отношения, формирующая единое пространство имен. Несколько деревьев доменов могут относиться к одному лесу.

Лес – один или несколько доменов Active Directory, использующих общие определения классов и атрибутов (схема), сведения о сайте и репликации (конфигурация), а также средства поиска в лесе (глобальный каталог). Домены в составе одного леса связаны двусторонними транзитивными доверительными отношениями.

8.2.3.2 Структура и функции Active Directory в Windows 2003 Server. Служба каталогов «Active Directory» может быть установлена на серверах, работающих под управлением операционных систем Microsoft Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition. Она хранит сведения об объектах сети и упрощает поиск и использование этих сведений пользователями и администраторами. В Active Directory основой для логической, иерархической организации сведений каталога служит структурированное хранилище данных.

Это хранилище данных, называемое также каталогом, содержит сведения об объектах Active Directory. В число этих объектов обычно входят общие ресурсы, такие как серверы, тома, принтеры, а также учетные записи сетевых пользователей и компьютеров. Каталог хранится на контроллерах домена и доступен для сетевых приложений или служб. В домене может быть один или несколько контроллеров домена. Каждый контроллер домена содержит копию каталога для всего домена, в котором он расположен. Изменения, внесенные в каталог на контроллере домена, реплицируются на остальные контроллеры в домене, дереве доменов или лесе. В Active Directory для хранения и копирования различных типов данных используются четыре различных типа раздела каталога. Разделы каталога содержат домен, конфигурацию, схему и данные приложения. Данная модель хранения и репликации (резервного копирования) предоставляет данные каталогов пользователям и администраторам домена.

Между контроллерами домена реплицируются следующие данные каталога:

  1. Данные домена содержат сведения об объектах домена. Это такие сведения, как адреса электронной почты, атрибуты учетных записей пользователей и компьютеров и опубликованные ресурсы, представляющие интерес для администраторов и пользователей. Например, когда учетная запись пользователя добавляется в сеть, объект учетной записи пользователя и данные атрибута сохраняются в данных домена. При изменении объектов в каталоге организации, например при создании, удалении объекта или изменении атрибута объекта, эти сведения сохраняются в данных домена.

  2. Данные конфигурации описывают топологию каталога. Эти данные содержат список всех доменов, деревьев и лесов, а также расположение контроллеров домена и глобальных каталогов.

  3. Данные схемы. Схема — это формальное определение всех объектов и данных атрибута, которые могут храниться в каталоге. Контроллеры домена, работающие под управлением Windows Server 2003, содержат схему по умолчанию, определяющую различные типы объектов, такие как учетные записи компьютеров, группы, домены, организационные подразделения и политики безопасности. Администраторы и программисты могут расширить схему, определяя новые типы объектов и атрибутов или добавляя новые атрибуты для существующих объектов. Объекты схемы защищены с помощью таблиц управления доступом, которые предоставляют возможность изменения схемы только пользователям, прошедших проверку.

  4. Данные приложений – это данные, хранящиеся в разделе каталога приложений, предназначены для случаев, когда сведения необходимо реплицировать в небольшом масштабе. Разделы каталога приложений по умолчанию не являются частью хранилища данных каталога, они должны создаваться, настраиваться и управляться администратором.

В состав службы Active Directory входят также следующие элементы:

  1. набор правил — схема, определяющая классы объектов и атрибуты, содержащиеся в каталоге, а также пределы и ограничения на экземпляры этих объектов, и формат их имен.

  2. глобальный каталог, содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения каталога независимо от того, в каком из доменов каталог в действительности содержатся эти данные.

  3. механизм запросов и индексации, позволяющий опубликовывать и находить объекты и их свойства сетевым пользователям или приложениям.

  4. служба репликации, распространяющую данные каталога по сети. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всех сведений каталога для своего домена. Любое изменение данных каталога реплицируется во все контроллеры домена в домене.

  5. поддержка для программного обеспечения клиента Active Directory, которая предоставляет многие возможности Microsoft Windows 2000 Professional или Windows XP Professional компьютерам, работающих под управлением операционных систем Windows 95, Windows 98 и Windows NT Server 4.0. Для клиентских компьютеров без клиентского программного обеспечения Active Directory каталог будет выглядеть как каталог Windows NT.

8.2.3.2 Безопасность в Active Directory. Группа безопасности интегрирована с Active Directory посредством проверки подлинности при входе в сеть и управления доступом к объектам в каталоге. В рамках одного входа в сеть администраторы могут управлять данными каталога и организацией через их сеть, а прошедшие проверку сетевые пользователи могут иметь доступ к ресурсам во всей сети.

8.2.4 Управление сетью. В процессе эксплуатации сети время от времени требуется подключать новых пользователей, а среди существующих некоторых иногда удалять. Приходится иногда устанавливать новые ресурсы и предоставлять их в совместное пользование, кроме того, предоставлять соответствующие права на доступ к ним. Права доступа – это правила, ассоциированные с ресурсом, обычно каталогом, файлом или принтером. Права регулируют доступ пользователей к ресурсам. Это означает, что после установки сетью необходимо управлять.

Управление сетью в операционной системе Windows 2003 Server осуществляется с помощью утилит группы Администрирование панели управления (меню кнопки Пуск -> Панель управления -> Администрирование).

8.2.4.1 Области администрирования. Сетевое администрирование распространяется на пять основных областей, с которыми должен быть хорошо знаком администратор сети:

– управление пользователями - создание и поддержка учетных записей пользователей, управление доступом пользователей к ресурсам;

– управление ресурсами - установка и поддержка сетевых ресурсов;

– управление конфигурацией - планирование конфигурации сети, ее расширение, а также ведение необходимой документации;

– управление производительностью - мониторинг и контроль за сетевыми операциями для поддержания и улучшения производительности системы;

– поддержка - предупреждение, выявление и решение проблем сети.

8.2.4.2 Обязанности администратора. Учитывая области сетевого управления, можно составить список задач, за качество выполнения которых несет ответственность администратор сети:

– создание учетных записей пользователей и управление ими;

– защита данных;

– обучение и поддержка пользователей (при необходимости);

– модернизация существующего программного обеспечения и установка нового;

– архивирование;

– предупреждение потери данных;

– мониторинг и контроль за свободным пространством для хранения данных на сервере (серверах);

– настройка сети на максимальную производительность;

– резервное копирование данных;

– защита сети от вирусов;

– диагностика;

– модернизация и замена компонентов сети (при необходимости);

– добавление в сеть новых оконечных узлов (компьютеров).

8.2.5 Учетные записи пользователей. Каждому, кто работает в сети, необходимо выделить учетную запись (account) пользователя. Учетная запись состоит из имени пользователя и назначенных ему параметров входа в систему. Эта информация вводится администратором и сохраняется сетевой операционной системой. При попытке пользователя войти в сеть его имя служит для проверки учетной записи. Все сети имеют утилиты, которые помогают администраторам добавить в базу данных безопасности сети новые учетные записи. Этот процесс иногда называют "созданием пользователя". В Microsoft Windows 2003 Server для этих целей можно использовать:

  1. для управления локальными учётными записями – утилиту Управление компьютером (папку Локальные пользователи и группы);

  2. для управления учётными записями пользователей домена – службу каталогов (Панель управления –> Администрирование –> Active Directory - пользователи и компьютеры).

8.2.5.1 Защита средствами учетных записей. В операционных системах Windows NT защита средствами учётных записей осуществляется в следующих случаях:

а) регистрация при входе в систему. Для успешной регистрации в системе информация, вводимая пользователем в полях Имя пользователя и Пароль должна соответствовать учетной записи пользователя домена или локальной учетной записи – в зависимости от того, где пытается зарегистрироваться пользователь;

б) аутентификация при доступе к ресурсу. Доступ к ресурсам осуществляется в соответствии с таблицами прав доступа конкретного ресурса, определяющими тип доступа и включающими учетные записи пользователей, имеющих доступ к данному ресурсу.(......)

8.2.5.2 Данные о пользователе. Учетная запись пользователя содержит информацию, которая помогает идентифицировать пользователя в системе безопасности сети. Она включает:

– имя и пароль пользователя;

– права пользователя на доступ к ресурсам системы;

– параметры учётной записи;

– группы, к которым относится учетная запись.

Эти данные необходимы администратору для создания новой учетной записи.

Windows 2003 Server реализует возможность, свойственную большинству утилит управления пользователями, - копирование учетных записей. С ее помощью администратор создает "шаблон" пользователя, отдельные параметры и характеристики которого могут потребоваться при создании других учетных записей. Для создания новой учетной записи с этими характеристиками администратор просто копирует шаблон и дает ему новое имя.

8.2.5.3 Установка параметров пользователя. Большинство сетей позволяет администраторам присваивать пользователям некоторые дополнительные параметры, в том числе:

– время регистрации - чтобы ограничить время, в течение которого пользователь может войти в сеть;

– домашний каталог - чтобы предоставить пользователю место для хранения его личных файлов;

– продолжительность действия учетной записи - чтобы ограничить "пребывание" некоторых пользователей в сети.

В Active Directory можно задать следующие параметры учётных записей:

  1. потребовать смену пароля при следующем входе в систему;

  2. запретить смену пароля пользователем;

  3. неограниченный срок действия пароля;

  4. хранить пароль, используя обратимое шифрование;

  5. отключить учетную запись;

  6. требовать смарт-карту для интерактивного входа в сеть;

  7. доверить учетную запись для делегирования;

  8. учетная запись важна и не может быть делегирована;

  9. использовать для данной учетной записи тип шифрования DES;

  10. не требовать предварительной проверки подлинности по протоколу Kerberos.

8.2.5.4 Профили. Администратор в своей работе реализует и другую возможность – создает для некоторых пользователей сетевое окружение. Это необходимо, например, для поддержки определенного уровня безопасности, или для поддержки пользователей, не овладевших компьютерами и сетями в такой степени, чтобы самостоятельно работать с этой технологией. Администратор может создать профили (profiles) для управления средой пользователей, в которой они оказываются после входа в систему. К среде относятся сетевые подключения и доступные программы, а также:

– подключения к принтерам;

– настройки языков и стандартов;

– настройки звуков;

– настройки мыши;

– настройки экрана.

К параметрам профилей, кроме того, иногда относятся специальные условия входа в систему и информация о том, где пользователь может хранить свои файлы.

8.2.5.5 Встроенные учетные записи пользователей. Сетевые операционные системы поставляются с заранее созданными пользовательскими учетными записями, которые автоматически активизируются при установке системы. Известно несколько типов таких учетных записей.

  1. Администратор - начальная учетная запись. При установке сетевой операционной системы автоматически создается учетная запись пользователя, обладающего полной "властью" в сети. Именно на него возлагаются следующие функции:

– формирование сети;

– установка начальных параметров защиты;

– создание учетных записей других пользователей.

В сетевой среде Microsoft этот пользователь носит имя Администратор. В среде Novell он известен как Supervisor (Супервизор). Обычно тот, кто установил сетевую операционную систему, первым входит в сеть. Войдя в сеть с учетной записью администратора, он имеет полный контроль над всеми сетевыми функциями.

  1. Учетная запись гостя. Другой стандартный пользователь, создаваемый программой установки, называется Гость. Эта учетная запись предназначена для людей, которые не являются полноправными пользователями сети, однако нуждаются во временном доступе к ней. Сетевая операционная система Windows 2003 Server, после установки оставляют учетную запись гостя отключенной. Администратор сети может ее активизировать.

8.2.5.6 Пароли (passwords) обеспечивают защиту сетевой среды. Поэтому первая задача администратора при установке параметров своей учетной записи – изменить пароль. Тем самым он предотвратит и несанкционированный вход в сеть пользователей с правами администратора, и создание ими учетных записей.

Каждый пользователь должен придумать себе уникальный пароль и хранить его в тайне. В особо важных случаях надо обязать пользователей периодически менять свои пароли. Многие сетевые операционные системы (в том числе и Windows 2003 Server) предлагают средства, которые автоматически вынуждают пользователей делать это через заданный администратором промежуток времени.

В ситуациях, когда безопасность не столь существенна, или когда права доступа ограничены (как в учетной записи гостя), можно модифицировать учетную запись так, чтобы для входа в сеть какого-то конкретного пользователя пароль не требовался.

Администратор, наконец, должен учесть и такой вариант: в систему может попытаться войти пользователь, уже не работающий в организации (компании). Единственный способ избежать этого - сразу же заблокировать учетную запись увольняемого сотрудника.

8.2.6 Учетные записи групп. Сети могут поддерживать тысячи учетных записей. Возникают ситуации, когда администратор должен произвести одни и те же действия над каждой из этих записей или, по крайней мере, над значительной их частью.

Иногда администратор вынужден посылать одно и то же сообщение большому количеству пользователей (извещая их о каком-либо событии), или разрешать доступ к определенным ресурсам только известной группе пользователей. Для этого администратору необходимо модифицировать каждую учетную запись конкретного пользователя, изменяя в ней его права доступа. Если 100 человек нуждаются в разрешении на использование какого-нибудь ресурса, администратор должен по очереди предоставить это право каждому из ста.

Большинство сетей решает эту проблему автоматически, предлагая объединить пользовательские учетные записи в одну учетную запись специального типа, называемую группой. Группа (group) - это учетная запись, которая содержит другие учетные записи. Основная цель создания групп - упростить администрирование. Благодаря группам администраторы могут оперировать большим числом пользователей так, как будто они работают с одним сетевым пользователем.

Если 100 учетных записей объединены в группу, администратор может послать группе одно сообщение, и оно дойдет до каждого члена этой группы. Аналогично право на доступ к ресурсу можно присвоить группе, и все ее члены получат его.

8.2.6.1 Планирование групп. Поскольку группы - очень мощный инструмент администрирования, при планировании сети им необходимо уделять особое внимание. Опытные администраторы знают, что практически не должно быть индивидуальных пользователей сети. Каждый пользователь будет разделять с другими определенные привилегии и обязанности. Привилегии (rights) разрешают пользователю выполнять в системе некоторые действия, например, проводить ее резервное копирование. Привилегии относятся к системе в целом и этим отличаются от прав. Права (permissions) и привилегии должны быть присвоены группам так, чтобы администратор мог обращаться с ними, как с одиночными пользователями.

Группы помогают осуществить следующие действия:

– предоставить доступ к ресурсам (таким, как файлы, каталоги и принтеры). Права, предоставленные группе, автоматически предоставляются ее членам;

– предоставить привилегии для выполнения системных задач таких, как резервное копирование, восстановление файлов (с резервных копий) или изменение системного времени. По умолчанию ни одному из пользователей ни одна из привилегий не присваивается. Пользователи, как правило, получают привилегии через членство в группах;

– упростить связь за счет сокращения числа подготавливаемых и передаваемых сообщений.

8.2.6.2 Типы групп. Microsoft Windows NT Server использует группы четырех типов:

– локальные (local) группы. Группы этого типа реализуются в базе данных учетных записей отдельного компьютера. Локальные группы состоят из учетных записей пользователей, которые имеют права и привилегии на локальном компьютере, и учетных записей глобальных групп;

– глобальные (global) группы. Группы этого типа используются в границах всего домена. Глобальные группы регистрируются на главном контроллере домена (PDC) и могут содержать только тех пользователей, чьи учетные записи находятся в базе данных этого домена;

– системные (system) группы. Группы этого типа используются Windows NT Server для внутрисистемных нужд. Администратору не надо включать в них пользователей, так как это делается автоматически;

– встроенные (built-in) группы. Некоторые функции групп этого типа общие для всех сетей. К ним относится большинство задач администрирования и обслуживания. Чтобы выполнить некоторые стандартные операции, администраторы должны создать учетные записи пользователей и группы с соответствующими привилегиями, однако многие поставщики сетей избавляют администраторов от этой работы, предлагая им встроенные локальные или глобальные группы. Встроенные группы делятся на три категории:

1) администраторы - пользователи этих групп имеют максимально возможные привилегии;

2) операторы - пользователи этих групп имеют ограниченные административные возможности для выполнения специфических задач;

3) другие - пользователи этих групп выполняют ограниченный круг задач.

Loading

Календарь

«  Июнь 2019  »
ПнВтСрЧтПтСбВс
     12
3456789
10111213141516
17181920212223
24252627282930

Архив записей

Друзья сайта

  • Заказать курсовую работу!
  • Выполнение любых чертежей
  • Новый фриланс 24