- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
164
•используйте пароли, которые сложно разгадать. Избегайте паролей, содержащих явные ассоциации, например, имена членов семьи;
•пароль может содержать до 128 символов, минимальная рекомендуемая длина — 8 символов;
•используйте прописные и строчные буквы, цифры и допустимые специальные символы.
7.2.2.3. Параметры учетных записей
Время входа
Для контроля входа пользователя задайте часы входа в систему — срок, в течение которого пользователи могут работать
всети. По умолчанию Windows Server разрешает доступ в любой день 24 часа в сутки. Установка времени входа сокращает срок, в течение которого учетная запись открыта для несанкционированного доступа.
Компьютеры, с которых пользователи могут входить
всистему
По умолчанию пользователи могут входить в домен с любого компьютера домена. Потребуйте, чтобы пользователи входили в домен только с их собственных компьютеров. Это предотвратит их доступ к конфиденциальной информации на других компьютерах.
Срок действия учетной записи
Определите, задавать ли срок действия учетной записи пользователя. Если да, то для отключения учетной записи при прекращении доступа к сети установите дату окончания действия учетной записи пользователя.
7.2.3.Создание учетных записей пользователей
Ограничимся далее только созданием учетных записей пользователей домена.
Для этого служит оснастка Active Directory Users And Computers (Active Directory — пользователи и компьютеры). Учетная запись пользователя домена создается на первом доступном для ММС контроллере домена и затем тиражируется на все контроллеры домена.
165
Параметры доменной учетной записи приведены в таблице 7.3.
|
Таблица 7.3 |
|
Параметры доменной учетной записи |
||
|
|
|
Параметры |
Описание |
|
First Name (Имя) |
Имя пользователя |
|
Last Name (Фамилия) |
Фамилия пользователя |
|
Full Name (Полное имя) |
Имя и фамилия пользователя. При вводе |
|
|
информации в поля First Name или |
|
|
Last Name Windows Server автома- |
|
|
тически заполняет это поле. Windows |
|
|
Server отображает имя пользователя в |
|
|
ОП, к которому относится его учетная |
|
|
запись |
|
User Logon Name |
Уникальное имя пользователя для входа |
|
(имя входа пользователя) |
в систему, созданное на основе правил |
|
|
именования. Оно требуется в обязатель- |
|
|
ном порядке и должно быть уникаль- |
|
|
ным в каталоге |
|
User Logon Name(pre- |
Уникальное имя пользователя, приме- |
|
Windows 2000) |
няемое для входа в систему клиентов |
|
[Имя входа пользователя |
низшего уровня (пред-Windows 2000), |
|
(пред-Windows 2000)] |
например Windows NT 4.0/3.51. Оно |
|
|
требуется в обязательном порядке и |
|
|
должно быть уникальным в домене |
|
Настройка требований к паролю
При добавлении новой учетной записи для пользователя можно ввести пароль. В диалоговом окне New Object — User щелкните кнопку Next (Далее), чтобы открыть второе диалоговое окно New Object — User. Здесь задаются параметры пароля для доменной учетной записи. Вводить пароль для пользователя не обязательно, но тогда пользователь будет входить в домен без пароля.
Параметры пароля приведены в таблице 7.4.
166
|
|
|
Параметры паролей |
Таблица 7.4 |
|||
|
|
|
|
|
|||
|
|
|
|
|
|||
|
Параметры |
|
Описание |
|
|||
Password (Пароль) |
|
Пароль |
служит для |
аутентификации |
|||
|
|
|
|
пользователя. Для обеспечения большей |
|||
|
|
|
|
безопасности пароль следует присваи- |
|||
|
|
|
|
вать всегда. При наборе пароль представ- |
|||
|
|
|
|
лен на экране в виде звездочек |
|
||
Confirm Password (Под- |
Чтобы убедиться в правильности ввода |
||||||
тверждение) |
|
пароля, подтвердите его, набрав еще раз |
|||||
User Must Change Pass- |
Выберите этот параметр, если хотите, |
||||||
word At Next Logon (По- |
чтобы пользователь изменил свой пароль |
||||||
требовать |
смену |
пароля |
при первом входе в систему. Это гаран- |
||||
при |
следующем |
входе в |
тирует, что пароль будет знать только он |
||||
систему) |
|
|
|
|
|
|
|
User Cannot Change Pass- |
Выберите этот параметр, если несколько |
||||||
word |
(Запретить |
смену |
человек |
пользуются |
одной |
доменной |
|
пароля пользователем) |
учетной записью (например, Гость) или |
||||||
|
|
|
|
для контроля за паролями учетных запи- |
|||
|
|
|
|
сей. Этот параметр обычно задают для |
|||
|
|
|
|
контроля паролей учетных записей фо- |
|||
|
|
|
|
новых служб |
|
|
|
Account Is Disabled (От- |
Служит для запрещения этой учетной |
||||||
ключить учетную запись) |
записи, например для нового сотрудника, |
||||||
|
|
|
|
еще не приступившего к работе |
|||
Password |
Never |
Expires |
Выберите этот параметр, если пароль не |
||||
(Срок действия пароля не |
должен меняться, например, для домен- |
||||||
ограничен) |
|
|
ной учетной записи, которая понадобится |
||||
|
|
|
|
какой-либо программе или службе Win- |
|||
|
|
|
|
dows Server. Данный параметр переопре- |
|||
|
|
|
|
деляет параметр User Must Change Pass- |
|||
|
|
|
|
word At Next Logon (Потребовать смену |
|||
|
|
|
|
пароля при следующем входе в систему). |
|||
|
|
|
|
Если выбраны оба, Windows Server авто- |
|||
|
|
|
|
матически снимает флажок |
User Must |
||
|
|
|
|
Change Password At Next Logon |
167
7.2.4.Изменение свойств учетных записей пользователей
Набор свойств по умолчанию связан со всеми доменными и локальными учетными записями. Свойств у первых больше, чем у вторых. Свойства локальных учетных записей представляют собой подмножество свойств доменных учетных записей.
Свойства, определенные для доменных записей, применяются пользователями для поиска в хранилище Active Directory . Поэтому доменным учетным записям надо задавать подробные характеристики.
На основании потребностей конкретного пользователя для каждой доменной учетной записи необходимо настроить:
•личные реквизиты, включая информацию на вкладках
General (Общие), Address (Адрес), Telephones (Телефоны) и Organization (Организация);
•параметры учетной записи;
•параметры времени входа;
•параметры регистрации с рабочих станций.
Чтобы изменить доменную запись, в оснастке Active Directory Users And Computers дважды щелкните объект пользователя, свойства которого хотите изменить. Чтобы изменить локальную учетную запись, в оснастке Computer Management выберите
Local Users And Groups (Локальные пользователи и группы) и
дважды щелкните объект, свойства которого хотите изменить
7.2.4.1. Диалоговое окно свойств
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли Active Directory – пользователи и компьютеры, причем при установке различных программных продуктов набор свойств может расширяться. Пример диалогового окна свойств приведен на рисунке 7.6.
Рассмотрим далее наиболее важные с точки зрения администрирования свойства.
168
Рис. 7.6. Диалоговое окно свойств
Закладка Общие (General)
На данной закладке (рис. 7.6) содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу Active Directory. Наиболее интересные из них:
•Имя;
•Фамилия;
•Выводимое имя;
•Описание;
•Номер телефона;
•Электронная почта.
Закладка Адрес
На этой закладке содержится справочная информация для
поиска в Active Directory .
Закладка Учетная запись (Account)
169
Закладка (рис. 7.7) содержит очень важный набор парамет-
ров (описание параметров Имя входа пользователя и Имя входа пользователя (пред-Windows 2000) приведено в таблице 7.3):
•кнопка Время входа — дни и часы, когда пользователь может войти в домен;
•кнопка Вход на… — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
•поле типа чек-бокс Заблокировать учетную за-
пись — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
•параметры учетной записи:
o Требовать смену пароля при следующем входе в си-
oЗапретить смену пароля пользователем;
oСрок действия пароля не ограничен;
oХранить пароль, используя обратное шифрование;
oОтключить учетную запись;
oДля интерактивного входа в сеть нужна смарт-
o Учетная запись важна и не может быть делегиро- o Применять DES-шифрование для этой учетной
o Без предварительной проверки подлинности
Kerberos;
• срок действия учетной записи.
170
Рис. 7.7. Закладка Учетная запись
Закладки Телефоны (Telephones) и Организация (Organization)
На данных закладках содержится справочная информация о пользователе для поиска в Active Directory .
Закладка Профиль (Profile)
Профиль — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:
171
• локальные профили — хранятся в папке Documents and Settings на том разделе диска, где установлена операционная система;
• перемещаемые (сетевые, или roaming) профили — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
• обязательные (mandatory) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.
Параметр Сценарий входа определяет исполняемый файл, который при входе пользователя в систему загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл (.bat, .cmd), исполняемая программа (.exe, .com), файл сценария (.vbs, js).
Закладка Член групп (Member Of)
Закладка позволяет управлять списком групп, в которые входит данный пользователь.
Закладка Входящие звонки (Dial-In)
Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты
Разрешить доступ и Запретить доступ, а также параметры об-
ратного дозвона (Ответный вызов сервера). В режимах Windows 2000 основной и Windows 2003 доступом можно управлять с помощью политик сервера удаленного доступа.