- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
105
ными (resident attribute). Такими атрибутами всегда являются имя файла и его временные характеристики. Если информация о файле слишком велика, чтобы поместиться в MFT-записи, некоторые атрибуты становятся нерезидентными, Они занимают один или несколько кластеров в другом месте тома.
Чтобы описать расположение всех записей атрибутов, NTFS создает атрибут Attribute List.
5.4. Безопасность файловых систем
5.4.1.Совместное использование папок
Разрешения доступа к общим папкам
В общем случае разрешения доступа к общим папкам обладают такими характеристиками;
•разрешения распространяются только на папки, но не на конкретные файлы. Поэтому разрешения доступа к общим папкам — менее строгая мера защиты, чем разрешения NTFS;
•разрешения не распространяются на локальных пользователей — только на тех, кто обращается к общей папке по сети;
•назначение разрешений для общих папок — единственный способ защитить сетевые ресурсы в файловой системе FAT; разрешения NTFS недоступны на разделах FAT;
•по умолчанию группа Everyone (Все) получает для общей папки разрешения Full Control (Полный доступ).
Для каждой обшей папки можно назначить свои разрешения. Разрешения контролируют действия пользователей над общими ресурсами. В таблице перечислены действия пользователей, предусмотренные каждым разрешением. Разрешения расположены в порядке убывания строгости ограничений.
Каждому пользователю или группе можно предоставить доступ к общей папке. Вообще лучше предоставлять разрешения группе, чем отдельному пользователю. Явно аннулировать разрешения следует, только когда надо переопределить наследуемые разрешения.
При аннулировании разрешений пользователь теряет доступ к ресурсу.
106
Назначение разрешений для общих папок
Разрешения для групп и пользователей регулируют доступ к общим папкам. Назначенные разрешения можно аннулировать.
Пользователь может быть членом нескольких групп с разными разрешениями и разным уровнем доступа к общей папке. При этом его разрешения складываются из собственных разрешений и разрешений групп, в которые он входит.
Например, если ему предоставлены разрешения Read (Чтение), а его группе – Change (Изменить), фактически он будет обладать разрешением Change, которое включает и Read.
Аннулирование разрешений блокирует ранее назначенные или наследуемые разрешения.
Пользователь с аннулированными разрешениями не получит доступ к ресурсам, даже если он член полномочной группы.
Разрешения NTFS
ВFAT для совместного использования ресурсов достаточно общих папок, но в NTFS общие папки — не лучшее решение.
ВFAT пользователь имеет доступ ко всему содержимому общей папки. В NTFS применяются либо разрешения доступа к общим папкам, либо разрешения NTFS, но не оба типа вместе.
Разрешения NTFS предпочтительнее, поскольку их можно назначить не только для папок, но и для файлов. Если для папки назначены оба типа разрешений, учитываются более строгие.
Копирование или перемещение общей папки
При копировании общая папка остается обшей, а ее ко-
пия – нет. Перемешенная папка перестает быть общей.
5.4.2.Общий доступ к папкам
Чтобы сделать ресурсы Вашего компьютера доступными для других пользователей, надо создать общие папки. Для этого Вы должны быть членом одной из привилегированных групп в зависимости от роли компьютера, где расположены ресурсы.
Ограничив число пользователей, которые могут одновременно подключаться к общей папке, и, предоставив разрешения отдельным пользователям и группам, Вы сможете контролировать их доступ к общей папке и ее содержимому. Тогда, чтобы
107
получить доступ к общей папке, пользователи должны иметь соответствующие права. Свойства общих папок можно изменять, например можно прекратить совместное использование папки, изменить сетевое имя или разрешения.
Требования для открытия доступа к папке
ВWindows Server открывать доступ к папке вправе только члены встроенных групп Administrators (Администраторы),
Server Operators (Операторы сервера) и Power Users (Опытные пользователи). Какие группы могут выделять общие папки на конкретном компьютере, зависит от его роли в сети и принадлежности к рабочей группе или домену.
Вдомене Windows Server группы Administrators и Server Operators могут выделять общие папки на любом компьютере
домена. Группа Power Users является локальной, поэтому ее члены могут выделять общие папки только на изолированном сервере или клиентском компьютере с Windows, где расположена группа.
В рабочей группе Windows группы Administrators и Power Users могут открывать доступ к папке на изолированном сервере Windows или клиентском компьютере с Windows, где расположена группа.
Пользователи с привилегией Create Permanent Shared Objects (Создание постоянных объектов совместного использова-
ния) могут открывать доступ к папкам на компьютерах, где им предоставлено это право.
Административные общие папки
Для упрощения администрирования Windows автоматически создает несколько общих папок. К имени стандартных общих папок добавляется знак доллара ($), скрывающий общие папки от пользователей, подключающихся к компьютеру.
Скрытыми общими папками являются корни каждого тома, системная папка и папка с драйверами принтеров.
Скрытые общие папки не ограничиваются теми, что система создает автоматически.
108
Вы можете сами создать скрытую общую папку, добавив знак $ к ее сетевому имени. И доступ к папке получат полномочные пользователи, знающие ее сетевое имя.
Свойства общих папок можно изменять, например, можно прекратить совместное использование папки, изменить сетевое имя или разрешения. Для этого служит диалоговое окно свойств папки.
Разрешения NTFS
Это стандартный набор прав, предоставляющих или запрещающих доступ к ресурсам.
В NTFS можно назначать разрешения не только для папок, но и для отдельных файлов, а также указать вид самого доступа. Кроме того, разрешения NTFS эффективны при доступе как с удаленного, так и с локального компьютера.
Стандартные разрешения NTFS доступа к папкам обеспечивают безопасность папок на томе NTFS, а разрешения доступа к файлам обеспечивают безопасность файлов на томе NTFS.
Назначение разрешений NTFS
Разрешение Full Control предоставляет полный доступ к ресурсу. По умолчанию назначается так:
•пользователь, создавший файл или папку, получает ста-
тус Creator Owner (Создатель-владелец) и разрешение Full Control (Полный доступ);
•при форматировании тома под NTFS группе Everyone предоставляется разрешение Full Control для корня этого тома;
•при преобразовании разделов FAT в NTFS группе Everyone предоставляется разрешение Full Control для всех ре-
сурсов этого раздела.
Разрешения предоставляются группам и пользователям, поэтому нередко член одной или нескольких групп имеет разные разрешения. В этом случае права пользователя складываются из собственных разрешений и разрешений группы, к которой он принадлежит.
Разрешения доступа к файлам в NTFS имеют приоритет над разрешениями доступа к папкам. Так, пользователь, имеющий разрешение Write для папки и Change (Изменить) для фай-
109
ла внутри этой папки, обладает обоими разрешениями для данного файла. Это правило справедливо также, когда пользователю запрещен доступ к папке. Имея разрешение, пользователь всегда получит доступ к файлам из приложения на основе их полного UNC-имени (имя, соответствующее соглашению об универсальном назначении имен, полное имя ресурса в сети, включающее имя сервера и имя совместно используемого ресурса; для каталогов или файлов могут также включать полный путь к этому ресурсу) или пути. Например, если пользователю запрещен доступ к папке, но предоставлено разрешение Change для файла внутри нее, он сможет открыть файл из приложения, указав его полное UNC-имя или путь к файлу.
Аннулирование разрешений блокирует разрешения пользователя, даже если они предоставлены группе, к которой он принадлежит. Так, если группе Everyone дано разрешение Full Control для файла, а ее члену запрещено удалять этот файл, то он сможет читать и изменять, но не удалить файл.
По умолчанию разрешения для родительской папки наследуются для всех ее подпапок и файлов. При назначении или изменении разрешений для папки разрешения применяются к самой папке и всех вложенных и впоследствии создаваемых в ней папок и файлов.
Унаследованные разрешения можно изменить или удалить. Впрочем, наследование разрешений от родительской папки можно отключить, после чего явно задать их для вложенных папок и файлов. Унаследованные разрешения можно также изменить или удалить.
Специальные разрешения
Обычно стандартных разрешений NTFS хватает, чтобы обеспечить безопасность данных. Однако бывает, что их недостаточно. Тогда применяются специальные разрешения NTFS. Их, как и стандартные, можно предоставить либо аннулировать. Специальные разрешения позволяют более тонко контролировать доступ к ресурсам.
Существует 13 специальных разрешений, комбинациями которых являются стандартные разрешения Read & Execute,
110
Modify (Изменить) и Full Control. Например, стандартное разрешение Read включает в себя разрешения Read data (Чтение данных), Read attributes (Чтение атрибутов) и Read extended attributes (Чтение дополнительных атрибутов).
Изменение разрешений
Назначать разрешения вправе владельцы ресурсов и другие пользователи с разрешением Full Control. Кроме того, можно сделать так, чтобы администраторы сети, не обладая Full Control, могли назначать разрешения.
Для этого необходимо предоставить группе администраторов сети специальные разрешения Change Permissions (Смена разрешений) — тогда они смогут назначать разрешения, но не смогут удалять файлы и папки или записывать в них данные.
Если член группы Administrators становится владельцем файла или папки, то владельцем считается вся группа, и любой ее член может получить доступ или изменить разрешения.
Смена владения
Кроме разрешений, можно сменить владельцев файлов и папок. Это достигается следующими способами:
• текущий владелец ресурса может предоставить другим пользователям стандартное разрешение Full Control или специальное — Take Ownership (Смена владельца), позволив им завладеть ресурсом;
•администраторы могут стать владельцами любых файлов и папок, находящихся под их контролем;
•первоначально действие специальных разрешений, назначаемых для тома или папки, распространяется только на уровень, указанный в списке Apply Onto (Применять), который
подробно обсуждается далее.
Копирование и перемещение файлов и папок
Для копирования файлов и папок между томами NTFS или внутри тома пользователь должен иметь разрешение Add для папки назначения. Пользователь, выполняющий операцию копирования, становится владельцем новой папки или файла.
При копировании файла права доступа наследуются или теряются в зависимости от того, куда копируется папка: