- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
32
3.3. Служба каталогов Active Directory
Служба каталогов Active Directory включена в Windows Server и обеспечивает централизованное управление сетью, позволяя легко добавлять, удалять и перемещать ресурсы, например учетные записи пользователей, принтеры, серверы, БД, группы, компьютеры, политики безопасности, которые хранятся в каталоге в виде объектов.
3.3.1.Особенности Active Directory
Active Directory иерархически организует ресурсы в домене – основной единице репликации и безопасности в сети Windows Server. Каждый домен включает один или несколько контроллеров, на которых хранится полная реплика (копия) каталога домена. Для упрощения администрирования все контрол-
леры домена Windows Server 2003 - 2008 в Active Directory рав-
ноправны, поэтому изменения, выполненные на любом контроллере домена, можно реплицировать на остальные.
В Active Directory каталоги хранят информацию, используя разделы (partitions), которые логически делят каталог и обеспечивают хранение большого количества объектов. Это позволяет увеличивать его по мере роста предприятия — от нескольких сотен до миллионов объектов.
Поддержка открытых стандартов
Active Directory объединяет в себе концепцию пространства имен Интернета со службой каталогов Windows. Это позволяет объединять и управлять различными пространствами имен в разнорядных аппаратных и программных средах.
Active Directory применяет доменную систему имен (Domain Name System, DNS) и может обмениваться данными с любым приложением или каталогом, использующим протокол LDAP. Active Directory предоставляет доступ к своей информации из других служб каталогов, поддерживающих LDAP версий 2 и 3, например, из службы каталогов Novell NetWare — Novell Directory Services, NDS.
Доменная система имен
Поскольку Active Directory использует DNS как службу доменных имен и поиска, имена доменов Windows являются
33
также именами DNS. Windows Server использует динамическую DNS, позволяющую клиентским компьютерам с динамическими адресами регистрироваться прямо на сервере DNS и динамически обновлять таблицу DNS. Динамическая DNS устраняет необходимость в других службах именования Интернета, например WINS.
Упрощенный протокол доступа к каталогам
Active Directory отвечает стандартам Интернета и поддерживает LDAP.
LDAP — стандарт Интернет (RFC 1777) для доступа к службе каталогов — был разработан как упрощенная альтернатива протоколу доступа к каталогам (Directory Access Protocol, DAP) X.500.
X500 — набор стандартов, созданный ISO и определяющий распределенную службу каталогов.
Active Directory поддерживает LDAP версий 2 и 3 и и с-
пользует его для обмена данными между каталогами и приложениями.
Поддержка стандартных форматов имен
Active Directory поддерживает несколько общих форматов имен, что позволяет приложениям и пользователям получать доступ к каталогу, применяя наиболее удобный для них формат.
Стандарты имен определяет интерфейс. Иногда могут быть использованы любые стандарты имен (например, при входе в систему), однако может потребоваться и специальный стандарт. Например, утилите LDP — средству поддержки Active Directory — требуются LDAP-имена.
3.3.2.Структура Active Directory
Служба каталога Active Directory Microsoft Windows Server 2003 существует на двух уровнях: физическом и логическом. В терминах физической структуры Active Directory представляет собой файл, расположенный на жестком диске сервера и на жестком диске каждого контроллера домена, который содержит эту службу. Логическая структура Active Directory представляет собой контейнеры, которые используются для хранения объектов службы каталога (разделов каталога, доменов и лесов) на пред-
34
приятии. Разделы каталога, домены и леса в виде байтов информации хранятся в физических компонентах службы каталога.
3.3.2.1.Логическая структура
Влогическую структуру организуют ресурсы, что позволяет искать их по именам, а не физическому расположению.
Объект
Объект (object) — это отличительный набор именованных
атрибутов, описывающих сетевой ресурс. Атрибутами (attribute) называются характеристики объектов в каталоге. Например, атрибуты пользователя могут включать его фамилию и имя, отдел
иадрес электронной почты.
ВActive Directory можно организовывать объекты в классы (classes), логически группирующие объекты. Так, классом объекта могут быть пользователи, группы, компьютеры, домены или организационные подразделения (ОП).
Организационное подразделение
Это контейнерный объект для организации объектов в логические административные группы в рамках домена. ОП может содержать такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры, приложения и другие ОП. Иерархия ОП в домене не зависит от структуры других доменов — каждый может поддерживать собственную иерархию.
Домен
Это основная единица логической структуры в Active Directory. Группировка объектов в один или несколько доменов позволяет отразить в сети структуру предприятия.
Все сетевые объекты существуют в пределах домена, и каждый домен хранит сведения только о содержащихся в нем объектах. Теоретически каталог домена может содержать более 10 миллионов объектов, но практически проверен и поддерживается 1 миллион.
Доступ к объектам домена регламентируется списком управления доступом (Access Control List, ACL), содержащим строки контроля доступа (Access Control Entry, АСЕ). Все пол и- тики безопасности и параметры одного домена, например административные разрешения и списки ACL, не пересекаются с па-
35
раметрами другого. Администратор домена имеет абсолютные права на установку политик только в пределах своего домена.
В типичный домен входят компьютеры следующих типов:
•контроллеры домена под управлением Windows Server;
•рядовые серверы домена под управлением Windows
Server;
•клиентские компьютеры под управлением ОС Windows 2000 Professional, XP, Vista, Windows 7.
Дерево
Это группировка или иерархия одного или нескольких до-
менов Windows Server, предоставляющих совместный доступ к ресурсам.
Все домены в дереве предоставляют единый доступ к информации и ресурсам.
Вдереве доменов только один каталог, но каждый домен предоставляет свою часть каталога, содержащую данные об учетных записях «своих» пользователей.
Впределах дерева пользователь, вошедший в систему в одном домене, может обращаться к ресурсам другого в течение всего срока действия соответствующих разрешений.
Windows Server собирает информацию со всех доменов в один каталог, обеспечивая доступ к нему из каждого домена.
Каждый домен, кроме того, автоматически создает индекс информации своего подраздела в Active Directory, хранящийся на контроллерах домена.
Пользователи обращаются к этому индексу для поиска других пользователей, компьютеров, ресурсов и приложений по всему дереву доменов.
Все домены в пределах дерева обеспечивают доступ к:
•общей схеме (schema) — формальному описанию объек-
тов в хранилище Active Directory;
•общему глобальному каталогу (global catalog) — цен-
тральному репозитарию информации об объектах дерева или леса.
Все домены дерева предоставляют доступ к общему пространству имен и иерархической структуре имен.
36
Пространство имен (namespace) — набор правил именования, обеспечивающих иерархическую структуру, или путь дерева.
По стандартам DNS имя дочернего домена дополняется именем родительского. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия.
В Active Directory деревья различают по:
•иерархии доменов;
•непрерывности пространства имен;
•доверительным отношениям Kerberos между доменами;
•общей схеме;
•способности отображать любой объект в списке глобального каталога.
Лес
Лес — объединение одного или более деревьев — позво-
ляет группировать подразделения предприятия (или два предприятия для объединения их сетей), которые не используют одинаковую схему именования, работают независимо друг от друга, но должны обмениваться данными. Деревья в лесу обеспечивают доступ к одинаковой схеме и правилам совместной работы объектов. Все домены леса имеют единый глобальный каталог и конфигурационный контейнер.
Леса различаются по:
•одному или более набору деревьев;
•несвязанному пространству имен между этими деревьями;
•доверительным отношениям между деревьями по про-
токолу Kerberos;
•общей схеме;
•способности отображать любой объект в глобальном каталоге.
Объекты деревьев домена, образующие лес, доступны всем его пользовательским объектам.
Доверительные отношения
Домены в дереве связываются друг с другом, используя
двусторонние транзитивные доверительные отношения по про-
токолу Kerberos. Транзитивное доверие Kerberos (Kerberos tran-