- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
187
Членов в локальную группу можно добавить как при создании группы, так и после.
7.3.5.Встроенные группы
ВWindows определено четыре типа встроенных групп: глобальные, доменные локальные, изолированные локальные и системные. Встроенные группы обладают предопределенным набором членов и прав. Windows автоматически создает такие группы, чтобы Вам не приходилось вручную создавать группы и назначать разрешения для часто используемых функций.
7.3.5.1.Встроенные глобальные группы
Позволяют объединять учетные записи общего типа. Windows по умолчанию добавляет членов в некоторые встроенные глобальные группы. Вы также можете добавлять в них новых членов, чтобы предоставить им права и разрешения группы.
При создании домена Windows создает встроенные глобальные группы в хранилище Active Directory. Чтобы присвоить встроенной глобальной группе права, ее можно добавить в локальную группу домена или явно назначить ей нужные права и разрешения. ОП Users содержит все встроенные группы домена. В таблице 7.6 перечислены стандартные участники наиболее распространенных встроенных глобальных групп.
7.3.5.2. Встроенная локальная группа домена
Windows создает встроенные локальные группы домена, чтобы предоставить пользователям права и разрешения на выполнение задач в хранилище Active Directory, а также на контроллерах домена. Встроенная локальная группа в целом работает аналогично локальной группе домена, единственное отличие в том, что ее нельзя удалить. Встроенные локальные группы домена предоставляют добавляемым в них учетным записям пользователей и глобальным группам набор предопределенных прав и разрешений. Наиболее распространенные встроенные локальные группы, а также привилегии, которыми обладают их члены, описаны в таблице 7.7.
188
Таблица 7.6
Стандартные участники наиболее распространенных встроенных глобальных групп
Глобальная груп- |
Описание |
|
па |
|
|
Domain Users |
Windows автоматически добавляет глобальную |
|
(Пользователи |
группу Domain Users во встроенную локальную |
|
домена) |
|
группу Users (Пользователи). Учетная запись |
|
|
Administrator (Администратор) по умолчанию |
|
|
включена в группу Domain Users, и Windows |
|
|
автоматически добавляет в эту группу все но- |
|
|
вые учетные записи пользователей домена |
Domain |
Admin |
Windows автоматически добавляет глобальную |
(Администраторы |
группу Domain Admins в локальную группу до- |
|
домена) |
|
мена Administrators, чтобы члены группы Do- |
|
|
main Admins могли выполнять административ- |
|
|
ные задачи на любом компьютере домена. По |
|
|
умолчанию учетная запись Administrator вклю- |
|
|
чена в группу Domain Admins |
Domain |
Gue |
Windows автоматически добавляет глобальную |
(Гости домена) |
группу Domain Guests во встроенную локаль- |
|
|
|
ную группу Guests (Гости). Учетная запись |
|
|
Guest по умолчанию включена в группу Domain |
|
|
Guest; данная учетная запись по умолчанию |
|
|
отключена |
Enterprise |
Admins |
В эту группу можно добавить учетные записи |
(Администраторы |
пользователей, которым нужны администра- |
|
предприятия) |
тивные привилегии в масштабах всей сети. |
|
|
|
Встроенная локальная группа Administrators |
|
|
каждого домена по умолчанию включена в гло- |
|
|
бальную группу Enterprise Admins. По умолча- |
|
|
нию учетная запись Administrator также являет- |
|
|
ся членом этой глобальной группы |
189
Таблица 7.7
Наиболее распространенные встроенные локальные группы домена
Встроенная ло- |
Члены группы вправе |
|||
кальная группа |
|
|
||
домена |
|
|
||
Account |
Operators |
Создавать, удалять и изменять права групп и |
||
(Операторы учета) |
учетных записей пользователей. Члены груп- |
|||
|
|
|
пы не имеют разрешения на изменение группы |
|
|
|
|
Administrators и любых групп операторов |
|
Server |
|
Operato |
Предоставлять в |
совместное использование |
(Операторы |
сер- |
дисковые ресурсы, архивировать и восстанав- |
||
вера) |
|
|
ливать файлы на контроллере домена |
|
|
Opera |
Настраивать и управлять сетевыми принтера- |
||
(Операторы |
печа- |
ми на контроллерах домена |
||
ти) |
|
|
|
|
Administrators |
Выполнять все административные задачи на |
|||
(Администраторы) |
любых контроллерах домена, включая сам до- |
|||
|
|
|
мен. По умолчанию членами данной локаль- |
|
|
|
|
ной группы являются учетная запись Adminis- |
|
|
|
|
trator, глобальные группы Domain Admins и |
|
|
|
|
Enterprise Admins |
|
Backup |
Operator |
Архивировать и восстанавливать все контрол- |
||
(операторы |
архи- |
леры домена при помощи утилиты Windows |
||
ва) |
|
|
Backup (Архивация) |
|
Guests (Гости) |
Обращаться лишь к тем ресурсам и выполнять |
|||
|
|
|
лишь те задачи, на которые у них имеются |
|
|
|
|
разрешения. Члены группы не могут вносить |
|
|
|
|
постоянные изменения в конфигурацию рабо- |
|
|
|
|
чего стола. По умолчанию членами этой груп- |
|
|
|
|
пы являются учетная запись Guest и глобаль- |
|
|
|
|
ная группа Domain Guests. При установке не- |
|
|
|
|
которые службы |
автоматически добавляют |
|
|
|
пользователей в эту локальную группу. |
|
|
|
|
Например, службы Microsoft Internet Infor- |
|
|
|
|
mation Services (IIS) автоматически добавляют |
|
|
|
|
во встроенную группу Guests учетные записи |
|
|
|
|
анонимных пользователей |
|
|
190 |
|
Окончание табл. 7.7 |
Встроенная |
Члены группы вправе |
локальная группа |
|
домена |
|
Users (Пользова- |
Обращаться лишь к тем ресурсам и выполнять |
тели) |
лишь те задачи, на которые у них имеются |
|
разрешения. Члены группы не могут вносить |
|
постоянные изменения в конфигурацию рабо- |
|
чего стола. По умолчанию членами этой груп- |
|
пы являются группа Domain Users, специаль- |
|
ные группы Authenticated Users (Прошедшие |
|
проверку) и Interactive (Интерактивные). Под- |
|
держка системных групп осуществляется Win- |
|
dows; удалить их нельзя. Группу Users реко- |
|
мендуется применять для предоставления всем |
|
учетным записям домена прав и разрешений, |
|
которыми должен обладать каждый пользова- |
|
тель |
7.3.5.3. Встроенные локальные группы
На всех изолированных и рядовых серверах и компьютерах с Windows есть встроенные локальные группы. Они предоставляют разрешения на выполнение задач (восстановление и архивирование файлов, изменение системного времени, администрирование ресурсов системы и др.) на отдельном компьютере. Windows помещает встроенные локальные группы в папку
Groups (Группы) оснастки Computer Management. Как и встр о-
енные доменные локальные, удалить встроенные недоменные локальные группы нельзя.
Права, которыми обладают члены встроенных локальных групп, представлены в таблице 7.8.
|
|
191 |
|
|
|
Таблица 7.8 |
|
Права членов встроенных локальных групп |
|||
|
|
|
|
Локальная груп- |
Члены группы вправе |
||
па |
|
|
|
Users (Пользова- |
Обращаться лишь к тем ресурсам и выполнять |
|
|
тели) |
|
лишь те задачи, на которые у них есть соответ- |
|
|
|
ствующие разрешения. Члены группы не могут |
|
|
|
вносить постоянные изменения в конфигурацию |
|
|
|
рабочего стола. По умолчанию Windows добав- |
|
|
|
ляет в группу Users все новые локальные учет- |
|
|
|
ные записи пользователей. Если рядовой сервер |
|
|
|
или компьютер с Windows присоединяются к |
|
|
|
домену, Windows добавляет в локальную группу |
|
|
|
Users глобальную группу Domain Users и спе- |
|
|
|
циальные группы Authenticated Users и Interac- |
|
|
|
tive |
|
Administrators |
Выполнять на компьютере любые администра- |
|
|
(Администрато- |
тивные задачи. Встроенная учетная запись Ad- |
|
|
ры) |
|
ministrator компьютера по умолчанию является |
|
|
|
членом локальной группы Administrators. Если |
|
|
|
рядовой сервер или компьютер с Windows при- |
|
|
|
соединяется к домену, Windows добавляет в ло- |
|
|
|
кальную группу Administrators глобальную |
|
|
|
группу Domain Admins |
|
Guests (Гости) |
Обращаться лишь к тем ресурсам и выполнять |
|
|
|
|
лишь те задачи, на которые у них имеются раз- |
|
|
|
решения. Члены группы не могут вносить по- |
|
|
|
стоянные изменения в конфигурацию рабочего |
|
|
|
стола. Встроенная учетная запись Guest компь- |
|
|
|
ютера по умолчанию является членом локаль- |
|
|
|
ной группы Guests; при установке эта учетная |
|
|
|
запись отключается. Если рядовой сервер или |
|
|
|
компьютер с Windows присоединяется к домену, |
|
|
|
доменные группы в эту группу не добавляются |
|
Backup |
|
Архивировать и восстанавливать систему с по- |
|
Operators(Операт |
мощью утилиты Windows Backup |
|
|
оры архива) |
|
|
|
Power |
|
Создавать и изменять учетные записи пользова- |
|
(Опытные |
поль- |
телей компьютера, открывать доступ к ресурсам |
|
зователи) |
|
|
|
Replicator |
(Ре- |
Настраивать службы репликации файлов |
|
пликатор) |
|
|
|