- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
160
7.2. Администрирование учетных записей пользователей
Для регистрации пользователя в домене или в локальной системе и доступа к ресурсам создается учетная запись пользователя (user accounts) — набор уникальных реквизитов, идентифицирующих его для Windows Server. Учетная запись включает имя пользователя и, если требуется, пароль для регистрации в системе, указывает его принадлежность к группам и определяет его привилегии и разрешения на использование компьютера и сети и на доступ к ресурсам.
7.2.1.Учетные записи пользователей Windows Server
Windows поддерживает два типа учетной записи пользователя: локальную и доменную.
Локальные учетные записи разрешают пользователям входить в систему и получать доступ к ресурсам только на том ко м- пьютере, на котором создана локальная учетная запись. Эти учетные записи существуют в локальной базе данных SAM (Security Accounts Manager) на каждой системе, работающей под управлением Windows 2003. Они создаются с использованием инстру-
мента Local Users and Groups (Локальные пользователи и группы) консоли Computer Management (Управление компьютером).
Для входа в систему по локальной учетной записи эта учетная запись обязательно должна присутствовать в базе данныхSAM на системе, в которую Вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей вследствие больших накладных расходов по их администрированию.
Windows не реплицирует информацию о локальной учетной записи на контроллеры домена. После создания локальной учетной записи компьютер использует свою локальную БД безопасности для аутентификации локальной учетной записи, что позволяет пользователю войти в систему данного компьютера.
Учетные записи пользователей домена хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу Active Directory. Учетные записи этого типа создаются централизованно при помощи консоли Active Directory Users and Computers (Active Directory – пользователи и компьютеры). Они позволяют войти в домен и получить доступ
161
к ресурсам сети. Эта информация позволяет Windows Server аутентифицировать его и создать маркер доступа, содержащий сведения о пользователе и параметрах безопасности. Маркер доступа идентифицирует пользователя для компьютеров с Windows, к ресурсам которых он пытается получить доступ. Windows предоставляет маркер доступа на время выполнения входа.
Доменные учетные записи пользователей хранятся в специальных контейнерах Active Directory. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с назва-
нием Domain Controllers.
Контроллер домена реплицирует информацию о новой учетной записи пользователя на все контроллеры домена в домене. После репликации информации о новой учетной записи пользователя все контроллеры данного домена могут аутентифицировать его при входе.
Кроме того, Windows предоставляет встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. Windows автоматически создает несколько встроенных учетных записей, из которых чаще всего применя-
ются Администратор (Administrator) и Гость (Guest). ОС не позволяет удалять встроенные учетные записи или отключать запись Administrator, хотя встроенные учетные записи можно переименовывать.
Учетная запись Administrator
Учетная запись Administrator применяется для управления общей конфигурацией компьютера или домена, например для создания и изменения учетных записей пользователей и групп, управления политикой безопасности, создания принтеров и предоставления учетным записям разрешений доступа к ресурсам. Если Вы администратор, создайте учетную запись пользователя для выполнения неадминистративных задач. Применяйте учетную запись Administrator только для выполнения административных задач.
162
Учетная запись Guest
Позволяет случайным пользователям войти в систему и получить временный доступ к ресурсам.
7.2.2. Планирование новых учетных записей пользователей
Планируя и организуя информацию для учетных записей пользователей, можно упростить процесс их создания.
Следует планировать:
•правила именования учетных записей пользователей;
•требования к паролям;
•параметры учетных записей, например время входа в систему, компьютеры, с которых в нее можно войти, и срок действия учетной записи.
7.2.2.1. Правила именования
Определяют порядок идентификации пользователей в домене. Постоянные правила именования помогут Вам и Вашим пользователям запомнить пользовательские имена входа в систему и найти их в списке.
В таблице 7.2 приведены пояснения некоторых вопросов, рассматриваемых при определении правил именования.
Таблица 7.2
Функциональные возможности режимов
Термин |
Пояснение |
|
Уникальные |
Регистрационные имена пользователей домена |
|
регистрацион- |
должны быть уникальны в пределах каталога и |
|
ные |
имена |
внутри ОП, где создаются доменные учетные за- |
пользователей |
писи. Локальные учетные записи должны быть |
|
|
|
уникальны в пределах компьютера |
Максимум 20 |
Регистрационное имя может содержать не более |
|
символов |
|
20 символов прописных или строчных букв. Поле |
|
|
ввода принимает более 20 символов, но Windows |
|
|
распознает только первые 20 |
Недопустимые |
=, + * ? < > |
|
символы |
|
|
|
|
163 |
|
|
|
Окончание табл. 7.2 |
|
|
|
|
|
Термин |
|
Пояснение |
|
Регистрацион- |
Для создания уникальных учетных записей мож- |
|
|
ные имена |
не- |
но использовать комбинацию специальных и ал- |
|
чувствительны |
фавитно-цифровых символов. Регистрационные |
|
|
к регистру |
|
имена не чувствительны к регистру, хотя и со- |
|
|
|
храняют его |
|
Сотрудники |
с |
Для различения одинаковых имен можно исполь- |
|
одинаковыми |
зовать имя и первую букву фамилии и затем до- |
|
|
именами |
|
бавить разное количество букв фамилии. Для раз- |
|
|
|
личения двух сотрудников с именем Ivan Petrov |
|
|
|
можно выбрать имена Ivanp и Ivanpet. Можно до- |
|
|
|
бавить в имя и цифру, например, Ivan1 и Ivan2 |
|
Тип сотрудни- |
Иногда по учетным записям пользователей по- |
|
|
ка |
|
лезно идентифицировать временных сотрудни- |
|
|
|
ков. Например, для идентификации временных |
|
|
|
сотрудников можно ввести букву Т и дефис перед |
|
|
|
регистрационным именем входа в систему: T- |
|
|
|
Ivan. Или можно использовать заключенную в |
|
|
|
скобки пояснительную фразу, например Ivan Pe- |
|
|
|
trov (Temp) |
|
Имена учетных |
Для работы многих фоновых служб требуются |
|
|
записей служб |
учетные записи. Добавьте к именам таких учет- |
|
|
|
|
ных записей аббревиатуру, например svc |
|
7.2.2.2.Требования к паролю
Вцелях защиты доступа к домену или компьютеру каждый пользователь должен иметь пароль.
Для паролей существуют следующие правила:
• для предотвращения несанкционированного доступа к учетной записи Administrator присваивайте пароль для этой учетной записи;
• определите, будут ли администратор или пользователи контролировать пароли. Вы можете присвоить уникальные пароли для учетных записей пользователей и запретить пользователям изменять их или разрешить им ввести свои пароли при первом входе в систему. В большинстве случаев контролировать пароли следует пользователям;