Косарев В.П., Еремин Л.В. Экономическая информатика: Учебник

Подождите немного. Документ загружается.

Операционные системы новых технологий

171

Workstation.

рабочей группе каждый компьютер содержит соб-

ственную информацию по бюджетам пользователей и групп и не

разделяет эту информацию с другими компьютерами рабочей

группы. Члены рабочих групп регистрируются только на рабо-

чей станции и могут по сети просматривать каталоги других чле-

нов рабочей группы.

В рабочие группы объединяются компьютеры одноранговой

сети. Рабочие группы целесообразно организовывать исходя из

организационной структуры предприятия: рабочая группа бух-

галтерии, рабочая группа планового отдела, рабочая группа от-

дела кадров и т.д. (рис. 4.6).

Рабочая группа бухгалтерии

Рабочая группа планового отдела

Рис.

4.6. Рабочие группы

Рабочая группа может быть организована на основе компью-

теров с разными операционными системами (Windows for

Workgroups, Windows 9x, Windows NT Workstation). Все члены

такой группы равноправны, т.е. могут выступать как в роли

пользователей ресурсов (клиентов), так и в роли поставщиков ре-

сурсов (серверов). Серверы предоставляют другим компьютерам

право доступа ко всем или некоторым из имеющихся в их распо-

ряжении локальных ресурсов (файлов, принтеров, программ).

В сети, состоящей из компьютеров разной мощности, наибо-

лее производительный в конфигурации сети компьютер с Windows

NT Workstation может быть использован в качестве невыделен-

ного сервера файлов (рис. 4.7). В этом качестве он может исполь-

зоваться для хранения информации, постоянно необходимой всем

пользователям. Остальные компьютеры сети могут работать как

клиенты сети.

172

Глава 4

Windows NT Workstation

Windows for

Workgroups

Рис.

4.7. Рабочая группа с невыделенным файл-сервером

В сетях, построенных на платформе Windows NT Server, рабо-

чие станции клиентов подключаются к выделенным серверам, а

серверы, в свою очередь, группируются в домен. При установке

Windows NT на компьютере указывается, входит он в рабочую

группу или в домен.

Домен - это логическая группировка одного или нескольких

сетевых серверов и других компьютеров, которые разделяют об-

щую систему безопасности и информацию в виде централизован-

но управляемой базы данных о бюджетах пользователей (т.е. о

выделенных ресурсах). Каждому домену присваивается индиви-

дуальное имя.

Компьютеры, входящие в один домен, могут находиться в ло-

кальной сети или быть разбросаны по странам и континентам.

Они могут быть связаны различными физическими линиями, на-

пример, через телефонные каналы, оптоволоконные линии, спут-

никовые и выделенные линии и др.

Каждому компьютеру, входящему в домен, назначается имя.

Имя компьютера, разделенное точкой с именем домена, членом

которого является компьютер (и далее - вся иерархия вложенных

доменов), образует полное имя домена для компьютера.

Организация доменной структуры в сети, установление в ней

определенных отношений и правил, управление взаимодействи-

ем между пользователем и доменом осуществляются контролле-

ром домена.

Контроллер

домена

- это компьютер, работающий под управ-

лением Windows NT Server, использующий один разделяемый ката-

Windows 95

Операционные системы новых технологий

173

лог для сохранения информации по бюджетам пользователей и

безопасности, касающейся всего домена. Внутри домена контрол-

лер домена управляет всеми аспектами взаимодействия между

пользователем и доменом. Для аутентификации пользователей,

входящих в домены, контроллер домена сверяет имя и пароль

пользователя с информацией, содержащейся в базе данных.

Главный контроллер домена отслеживает все изменения ин-

формации о бюджетах домена, сохраняет информацию в базе дан-

ных каталога и регулярно реплицируется (тиражируется) на ре-

зервные

домены.

Это обеспечивает централизованное управление

системой безопасности.

Резервный контроллер домена хранит копию базы данных

каталога.

Компьютеры, работающие под управлением Windows NT

Server, могут быть сконфигурированы как серверы - члены доме-

на. Они не выполняют функций контроллера домена, а работают

в качестве файлового сервера - централизованного хранилища

большого количества коллективно используемых файлов; прин-

терного сервера, предоставляющего в совместное использование

неограниченное число принтеров, подключаемых локально или

по сети; сервера приложений (в случае работы на сервере прило-

жений, обрабатывающих большие объемы данных); сервера, пе-

редающего полученные результаты по запросам на маломощные

клиентские станции - серверы службы удаленного доступа.

При построении сети на базе Windows NT учитываются коли-

чество пользователей, количество подразделений, охватываемых

сетью, степень их взаимодействия, территориальное расположе-

ние и т.д.

Разделение сети на домены может осуществляться по разным

принципам: по функциональному назначению, по территориаль-

ному расположению и др.

Существует несколько моделей построения сети с доменной

архитектурой: однодоменная Модель, модель с одним мастер-до-

меном, модель с несколькими мастер-доменами и модель полнос-

тью доверительных отношений.

Однодоменная модель

строится для небольших организаций с

небольшим числом пользователей и ресурсов. Она включает один

или несколько серверов и несколько рабочих станций (рис 4.8).

Модель с

мастер-доменом

(рис. 4.9) предполагает наличие в

сети нескольких доменов, взаимодействующих между собой. По

умолчанию пользователи одного домена не имеют прав доступа

174

Глава 4

Главный контроллер домена

Резервный

контроллер

домена

Сервер

Рис.

4.8.

Однодоменная модель

к ресурсам другого домена. Однако имеется механизм установле-

ния связи между ними. Связь, соединяющая два домена в один

административный блок, который может давать доступ к ресур-

сам обоих

доменов,

называется

доверительными

отношениями.

Они

могут быть односторонними, когда один домен "доверяет" пользо-

вателям другого свои ресурсы, и двусторонними, когда каждый

домен "доверяет" пользователям другого домена. "Отношения

доверия " позволяют Windows NT установить безопасный канал

между системами и обеспечить доступ к ресурсам домена.

В модели с мастер-доменом один

из

доменов объявляется глав-

ным, а остальные являются вторичными - ресурсными домена-

ми.

главном домене сосредоточена информация обо всех пользо-

вателях, и поэтому ими просто управлять. Таким образом, в этой

модели в мастер-домене осуществляется процесс администриро-

вания учетных записей, а в ресурсных - процесс администрирова-

ния ресурсов. Все ресурсные домены "доверяют" главному мас-

тер-домену. В каждом из ресурсных доменов есть свой контрол-

лер домена и может быть несколько серверов. Такая модель

позволяет централизовать управление бюджетами. Модель с мае-

Операционные системы новых технологий

175

Мастер-домен

и •

Рис.

4.9. Модель с мастер-домен ом

тер-доменом организуется на крупном предприятии и может быть

использована для работы с глобальными сетями. Она поддержи-

вает до 40 тыс. учетных записей.

В модели с

несколькими мастер-доменами

главными объявля-

ются несколько доменов, а остальные являются ресурсными до-

176

Глава

менами. В каждом из главных доменов хранятся учетные записи

некоторого подмножества пользователей сети. Все ресурсные до-

мены "доверяют" либо всем главным доменам, либо некоторым

из них. Данная модель используется в сети, число пользователей

которой превышает 40 тыс.

Кроме того, имеется редко используемая из-за сложности уп-

равления модель полностью

доверительных

отношений.

В ней все

домены равноправны. Такая модель подходит для неограничен-

но больших сетей.

Для построения сети на базе Windows NT Server необходимо

планирование доменной архитектуры и расположения серверов.

Доменный метод организации улучшает безопасность сети,

упрощает централизованное управление

сетью,

облегчает процесс

создания сетей методом объединения существующих сетевых фраг-

ментов.

Для управления всеми доменами, для администрирования за-

писей о доменах в Windows NT организован полный сервер сис-

темы имен доменов (Domain Name System -

DNS).

нем указыва-

ется статическое соответствие между именем хоста (компьютера,

подсоединенного линией связи к Интернету) и его IP-адресом.

IP-адрес - это фиксированный адрес, однозначно идентифи-

цирующий хост Internet.

Для динамического обновления базы имен хостов и соответ-

ствующих им IP-адресов DNS интегрирован со службой имен

Windows Internet - WINS.

4.5. АДМИНИСТРИРОВАНИЕ ОС MS

WINDOWS NT

4.5.1.

ОБЩИЕ СВЕДЕНИЯ

Под администрированием сети понимаются основные опера-

ции, выполняемые администратором сети. Администрирование в

ОС предполагает обеспечение доступности сервера и сетевых сер-

висов в локальной сети для пользователя, чтобы он не задумы-

вался о том, каким образом ему предоставляют эти услуги.

этом

случае говорят о доступности и прозрачности сети. Для достиже-

ния доступности и прозрачности сети администрирование долж-

но обеспечить управление пользователями и надежность сети.

Операционные системы новых технологий

177

В обязанности администратора сети входит большой круг за-

дач,

выполняемых с разной периодичностью:

• ежедневно решаются задачи по контролю файлов регистра-

ции ошибок, стола справок электронной почты, создаются резер-

вные копии, ведется проверка свободного пространства на диске

и др.;

• еженедельно удаляются временные файлы и решаются дру-

гие контрольные задачи, аналогичные ежедневным;

• ежемесячно выполняются архивирование и удаление неис-

пользуемых файлов, контроль работы оборудования, создание ре-

зервных копий.

Основными задачами администрирования в ОС Windows NT

являются:

• создание и управление учетными записями пользователей;

• управление группами пользователей;

• управление политикой защиты;

• управление ресурсами сети.

4.5.2.

ОРГАНИЗАЦИЯ

УЧЕТНЫХ ЗАПИСЕЙ

Учетная

запись - это совокупность сведений о пользователе,

необходимых для его идентификации и работы в сети Windows

NT.

Для каждого пользователя создается своя учетная запись. Она

содержит уникальное имя, набираемое пользователем при регис-

трации в сети (не более 20 символов), и пароль для входа в сеть.

При желании можно ввести полное имя пользователя (фамилию,

имя, инициалы), а также комментарии.

В учетную запись вносятся также сведения, определяющие:

• группу пользователей, в которую включают пользователя;

• путь к профилю пользователя, определяющему среду пользо-

вателя (например, вид

Рабочего

стола,

подключенные диски и др.)

и доступные программы (как правило, профили пользователей

хранятся в общей папке сервера Windows NT);

• время, в которое пользователь может войти в сеть (по умол-

чанию пользователь может подключиться к сети в любое время и

в любой день недели);

178

Глава

• рабочую станцию, с которой можно данному пользователю

войти в сеть (по умолчанию новая учетная запись позволяет вход

в сеть с любого компьютера клиента);

• срок действия учетной записи (по умолчанию неограничен)

и тип учетной записи (глобальная или локальная);

• права пользователя на средства удаленного доступа и об-

ратного вызова.

Управление учетной записью обеспечивает возможность вне-

сения изменений в учетные записи (изменение пароля, переимено-

вание учетной записи, изменение пользовательской группы - уда-

ление из одной и включение в другую, блокировка доступа, уда-

ление учетной записи).

Процесс создания и управления учетными записями в Windows

NT Workstation и Windows NT Server в принципе одинаков, но

имеются некоторые отличительные особенности в Windows NT

Server.

Так, в Windows NT Server все учетные записи пользователей

хранятся на первичном (главном) контроллере домена и имеется

возможность их дублирования на резервных контроллерах до-

мена или на других серверах. Учетные записи контроллера до-

мена могут быть действительны и для других доменов, с кото-

рыми установлены доверительные отношения. Имеются некото-

рые отличия и в объединении учетных записей пользователей в

группы пользователей с целью расширения прав доступа к ре-

сурсам сети.

Создание и управление учетными записями осуществляются с

помощью соответствующих команд Новый пользователь (New

User) и Свойства (Properties) из меню Пользователь (User) про-

граммы Диспетчер

пользователей

(User Manager - в Windows NT

Workstation

или User Manager for Domains -

Windows NT Server

4),

расположенной в подменю Administrative Tools меню Programs.

4.5.3. УПРАВЛЕНИЕ

ГРУППАМИ ПОЛЬЗОВАТЕЛЕЙ

В Windows NT 4 заложена концепция управления не отдель-

ными пользователями, а целыми группами пользователей. В ос-

нове этой концепции лежат назначение прав сразу целой группе

пользователей и осуществление контроля доступа путем добавле-

ния и удаления пользователей из разных групп. В результате та-

Операционные системы новых технологий

179

кого подхода каждой учетной записи предоставляются все права

доступа той группы, в которую данная учетная запись помещена.

Windows NT поддерживает два вида групп: глобальные и ло-

кальные.

В глобальные

группы объединяются учетные записи пользова-

телей, имеющих доступ к серверам и рабочим станциям в своем

домене и в других доменах, с которыми установлены доверитель-

ные отношения. Глобальные группы могут быть созданы только

в Windows NT Server. Управление глобальными группами осуще-

ствляется с помощью

Диспетчера пользователей

для доменов.

локальные

группы включаются учетные записи пользовате-

лей, которым предоставлен доступ к ресурсам только в локаль-

ной системе

пределах

ее

собственного домена, а также могут быть

включены учетные записи пользователей глобальных групп, име-

ющих доступ к серверам, входящим в их домен. Локальные груп-

пы создаются на рабочей станции Windows NT и на сервере

Windows

NT.

Один пользователь можетвходить в состав несколь-

ких групп.

В Windows NT Workstation существуют встроенные только

локальные группы пользователей, а в Windows NT Server - и ло-

кальные, и глобальные, обладающие различными правами дос-

тупа к ресурсам.

Наибольшими правами наделена группа Администраторы,

отвечающая за общую конфигурацию домена и его серверов. В

эту группу входит глобальная группа Администраторы домена,

обладающая по умолчанию теми же правами, что и Администра-

торы.

Правами создания новых групп и учетных записей пользова-

телей обладают члены группы Операторы бюджета. Права ад-

министрирования учетных записей, серверов и групп домена

них

ограничены. Права с очень ограниченными возможностями, не-

обходимыми для решения их задач, предоставляются таким груп-

пам, как

Пользователи,

Пользователи

домена,

Гости

домена,

Гос-

ти (в последнюю включаются временные пользователи).

При необходимости Windows NT Server 4 предоставляет воз-

можность создания дополнительных групп, пользователи кото-

рых могут быть объединены по функциональному, организаци-

онному и другим признакам. Имеется возможность копирования,

корректирования и удаления созданных пользователем групп.

Группы, встроенные в Windows NT Server 4, удалить невозмож-

но,

так как каждой группе присвоен уникальный код защиты.

180

Глава 4

Кроме стандартных локальных и глобальных групп имеется

несколько специальных групп.

Управление группами пользователей осуществляется с помо-

щью команд Добавить локальную группу и Добавить глобальную

группу из меню Пользователь ранее упоминавшейся программы

Диспетчер пользователей.

Для создания, удаления и добавления пользователей можно

использовать Мастер управления группами (Group Management

Wizard), работающий в полуавтоматическом режиме, оказываю-

щий поэтапную помощь в выполнении административных задач

и входящий в набор Мастеров администрирования (Administrative

Wizards). Они упрощают управление системой, позволяют избе-

жать случайных ошибок при назначении прав и привилегий. Ма-

стера администрирования могут быть использованы при решении

следующих задач:

• создание пользовательских учетных записей;

• управление группами;

• контроль доступа к файлам и папкам;

• ввод драйверов принтеров;

• инсталляция и деинсталляция программ;

• управление лицензированием;

• администрирование сетевых клиентов.

Вызов мастеров администрирования осуществляется из еди-

ной консоли.

4.5.4. УПРАВЛЕНИЕ

ПОЛИТИКОЙ ЗАЩИТЫ

Управление политикой защиты является важной задачей ад-

министрирования, включающей: интерактивную аутентификацию

пользователя, управление доступом пользователя к сетевым ре-

сурсам, аудит.

Интерактивная аутентификация пользователя начинается

после нажатия клавиш [Ctrl] + [Alt] +

[Del],

в результате чего за-

пускается утилита WINLOGIN, открывающая окно Вход

систе-

му (Login).

Введенные пользователем имя и пароль пересылаются в Дис-

петчер контроля безопасности (Security Reference Monitor), ко-

торый сравнивает введенные пользователем данные с аналогич-

ными данными, содержащимися в базе данных Диспетчера учет-