- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
172
Закладки Профиль служб терминалов (Terminal Services Profile), Среда (Environment), Сеансы (Sessions), Удаленное управление (Remote Control)
Данные закладки управляют параметрами работы пользователя на сервере терминалов:
•управление разрешением пользователя работать на сервере терминалов;
•размещение профиля при работе в терминальной сес-
сии;
•настройка среды пользователя в терминальной сессии (запуск определенной программы или режим рабочего стола, подключение локальных дисков и принтеров пользователя в терминальную сессию);
•управление сеансом пользователя на сервере терминалов (длительность сессии, тайм-аут бездействия сессии, параметры повторного подключения к отключенной сессии);
•разрешение администратору подключаться к терминальной сессии пользователя.
7.2.5.Администрирование учетных записей пользователей
Администрирование учетных записей включает изменение учетных записей и настройку пользовательских профилей и домашних каталогов
7.2.5.1. Профиль пользователя
Профиль пользователя – это набор папок и данных, определяющих параметры рабочего стола пользователя, приложений и место хранения личных данных. Профиль также содержит все сетевые соединения, установленные при входе в систему, пункты меню Start и драйверы, относящиеся к сетевым серверам.
Профиль пользователя сохраняет вид рабочего стола и параметры среды, заданные во время последнего входа в систему.
Windows создает профиль локального пользователя при первом входе в систему.
Самый простой способ изменить профиль пользователя — изменить параметры его рабочего стола, например, при установке нового сетевого подключения или добавлении файла в папку
173
My Documents. Затем при выходе из системы Windows вносит изменения в профиль. При следующем входе в систему появятся новое сетевое подключение и файл.
Перемещаемый профиль пользователя (RUP)
Для поддержки пользователей, работающих на нескольких компьютерах, настраивают перемещаемый профиль пользователя (roaming user profile, RUP), установив его на сетевом сервере, чтобы он был доступен независимо от того, с какого компьютера пользователи входят в домен. При входе в сеть Windows копирует такой профиль с сетевого сервера на компьютер, с которого входит пользователь. Таким образом, в любом месте сети он получает индивидуальные параметры рабочего стола и подключений.
При входе Windows применяет к данному компьютеру параметры RUP. При первом входе в систему на локальный ко м- пьютер копируются все документы пользователя. В дальнейшем при его входе Windows сравнивает локально сохраненные файлы профиля с файлами RUP. Система синхронизирует их, копируя только те файлы, что изменялись со времени последнего входа пользователя в систему. Поскольку Windows копирует только их, вход в систему ускоряется.
При выходе пользователя из системы Windows копирует сделанные в локальной копии RUP изменения обратно на сервер.
Настройка перемещаемого профиля
Можно настроить или указать готовый RUP для всех учетных записей и запретить его модификацию. Для этого можно настроить рабочую среду и скопировать полученный профиль на место RUP пользователя.
Обязательный профиль
Так называют RUP «только для чтения». Пользователь попрежнему может изменять параметры своего рабочего стола, но при выходе из системы эти изменения не сохраняются. При его следующем входе обязательный профиль снова загружается с сервера. Можно назначить один обязательный профиль многим пользователям, которым нужны одинаковые параметры рабоче-
174
го стола. Изменив один профиль, Вы измените рабочую среду нескольких пользователей.
Чтобы сделать профиль обязательным, необходимо переименовать файл Ntuser.dat, расположенный на сервере, в Ntuser.man. Файл профиля с этим расширением будет доступен только для чтения.
Настройка перемещаемого профиля пользователя
Если настроить на сервере RUP, при следующем входе пользователя на компьютер в домене Windows скопирует локальный профиль пользователя в папку RUP на сервер. При следующем входе пользователя в систему RUP будет скопирован с сервера на компьютер пользователя.
Рекомендуется хранить перемещаемые профили на часто архивируемом сервере. Для ускорения входа в систему в сильно загруженной сети целесообразно поместить папки RUP на рядовой сервер, а не на контроллер домена. Копирование RUP с сервера на компьютеры клиентов может занять значительную часть полосы пропускания сети и усилить нагрузку на процессоры компьютеров. Хранение профилей на контроллере домена замедляет проверку подлинности (аутентификацию) пользователей в домене.
Назначение перемещаемого профиля пользователя
Можно настроить RUP и назначить его нескольким пользователям — вследствие этого при входе в систему у них будут одинаковые параметры и подключения. До создания и назначения RUP надо создать шаблон профиля, включающий параметры рабочего стола, которые должны быть у пользователей. Шаблон создается путем придания рабочему столу точно такого вида, какой должен быть у пользователей, которым назначен данный профиль. Создание данного шаблона не требует специальных средств. Создав шаблон профиля пользователя, нужно войти в систему как Administrator и скопировать шаблон в папку перемещаемого профиля на сервере. Папка должна быть доступна для всех пользователей, которым будет назначен этот профиль. Шаблон профиля копируется на общий сетевой ресурс с помо-
175
щью приложения Система (System) из Панели управления (Control Panel).
7.2.5.2. Изменение учетных записей пользователей
Интересы предприятия могут потребовать изменения учетных записей, например, переименовать учетную запись для нового сотрудника так, чтобы он имел полномочия и доступ к сети своего предшественника. Другие изменения — например, отключение, подключение или удаление учетной записи — касаются персональных изменений или личной информации. Может потребоваться восстановление пароля или разблокирование учетной записи. Учетная запись изменяется путем изменения объекта учетной записи пользователя в хранилище Active Directory . Для успешного изменения учетных записей, создания RUP и назначения домашних каталогов надо иметь право на администрирование ОП, к которому относятся учетные записи.
Отключение, включение, переименование и удаление учетных записей пользователей
Отключение/включение. Учетную запись следует отключать, когда пользователю в течение длительного времени она будет не нужна, но понадобится в будущем.
Переименование. Учетные записи переименовываются, когда надо сохранить все права, разрешения, членство в группе и большинство других свойств одной учетной записи и переназначить их другой.
Удаление. Следует удалять учетные записи уволенных сотрудников, если их не планируется переименовывать.
Процедуры отключения, включения, переименования и удаления доменных и локальных учетных записей похожи. Для доменных учетных записей в этих целях используется оснастка
Active Directory Users And Computers. Для локальных учетных записей используется расширение Local Users And Groups
оснастки Computer Management.
7.2.5.3. Создание домашней папки
Помимо папки Мои документы (My Documents), Windows
позволяет создать дополнительную (домашнюю) папку пользо-
176
вателя, которую можно выделить ему для хранения личных документов и старых приложений. Иногда она является папкой по умолчанию для сохранения документов. Можно хранить домашнюю папку на компьютере клиента или в общей папке на файловом сервере. Домашняя папка не является частью RUP, поэтому ее размер не влияет на сетевой трафик при входе в систему. Можно разместить все домашние папки централизованно на сетевом сервере. Хранение всех домашних папок на файловом сервере дает ряд преимуществ:
•пользователи могут получать доступ к своим домашним папкам с любого компьютера в сети;
•централизованная поддержка и администрирование документов пользователя;
•домашние папки доступны с компьютера клиента, на котором работает любая ОС Microsoft (включая MS-DOS, Windows 9x/2000).
Для создания домашней папки на файловом сервере в сети нужно выполнить следующее:
•Создайте и откройте совместный доступ к папке, в которой будут храниться все домашние папки на сетевом сервере. Домашняя папка для всех пользователей будет вложена в эту общую папку.
•Для общей папки удалите разрешение по умолчанию
Full Control (Полный доступ) для группы Everyone (Все) и
назначьте его группе Users (Пользователи). Это гарантирует,
что доступ к общей папке получат только пользователи с доменными учетными записями.
• Укажите путь на вкладке Profile (Профиль) диалогового окна свойств учетной записи в группе Home folder (Домашняя папка) (рис. 7.8). Поскольку домашняя папка находится на сетевом сервере, щелкните Connect (Подключить) и укажите букву подключаемого диска. Тогда при подключении пользователя к сети определенное Вами имя диска появится в окне My Computer.
В поле To (к) появится имя UNC в виде:
\\<сервер>\<ресурс>\<регистрационное_имя_пользователя>.
177
В качестве имени пользователя укажите переменную %username%, чтобы автоматически присвоить имя и создать домашнюю папку пользователя с тем же именем, под каким он входит в систему.
Рис. 7.8. Указание пути к домашней папке
Можно расширить свойства домашней папки, перенаправив пользователя от папки My Documents к месту расположения его домашнего каталога.
Примечание
Если задается имя папки на томе NTFS с помощью переменной %username%, пользователь и участники встроенной локальной группы Administrators получат для нее разрешение Full Control. Все другие разрешения для этой папки удаляются, включая права группы Everyone.