Косарев В.П., Еремин Л.В. Экономическая информатика: Учебник

Подождите немного. Документ загружается.

Операционные системы новых технологий

181

ных записей (Security Account Manager, SAM), создает маркер до-

ступа

(access token), который передается утилите WINLOGIN для

запуска оболочки пользователя.

Если пользователь входит в рабочую группу, то его учетная

запись создается и хранится в SAM его рабочей станции и локаль-

ное программное обеспечение аутентификации обращается для

проверки введенных пользователем параметров регистрации в

базу данных SAM рабочей станции. Если же пользователь регис-

трируется

домене,

то обращение для проверки введенных пользо-

вателем параметров регистрации производится к базе данных

SAM домена, к которому принадлежит его машина.

Управление доступом пользователей

сетевым

ресурсам (фай-

лам, каталогам и устройствам) осуществляется с помощью следу-

ющих

средств:

бюджет пользователя, права пользователя или груп-

пы пользователей, права доступа к объектам и др.

Бюджет пользователя (время работы в сети, область опера-

тивной памяти, отведенная пользователю, и другие права пользо-

вателя в системе) определяется администратором при создании

учетной записи.

Права пользователя или группы пользователей - это правила,

определяющие действия, которые они могут

производить.

Возмож-

ности пользователя по доступу к сетевым ресурсам определяются

предоставленными правами и ограничениями, накладываемыми

на отдельного пользователя или на группу пользователей.

Стандартным группам Windows NT Server уже присвоены оп-

ределенные права. При создании новых групп им можно назна-

чать набор пользовательских прав. Эти права могут быть обыч-

ными и расширенными. Большинство расширенных прав назна-

чаются только программистам и иногда администраторам

рабочих станций, но не предоставляются группам пользователей.

Для просмотра, назначения и изменения

прав,

предоставляемых

пользователю или группе, используется команда Права пользова-

теля меню

Политика

программы Диспетчер

пользователей.

Информация о правах пользователя хранится в файлах сис-

темной политики, имеющих расширение .pol. В этих файлах со-

держится информация, которая при регистрации пользователя в

системе автоматически вводится в реестр.

Для корректировки и установки новых прав определенного

пользователя администратором предназначен Редактор систем-

ной политики.

182

Глава 4

Большинство административных функций в Windows NT вы-

полняется с помощью таких графических приложений, как Дис-

петчер

пользователей, Диспетчер

серверов

др.

Однако существу-

ет ряд функций администрирования, выполняемых с помощью

программной строки. Например, это управление учетной поли-

тикой на отдельных серверах или всех серверах домена (команда

Net Accounts и ее параметры), регистрация компьютеров в доме-

не (команда Net Computer и ее параметры), управление сервиса-

ми (Net Start и др.), управление группами пользователей (коман-

да Net Group, Net Local group), управление пользовательскими

учетными записями (Net User), управление адресацией сообще-

ний (Net Name с параметрами), управление сеансами регистра-

ции (Net Session) и др.

Права пользователя в системе Windows NT определяются ад-

министратором при создании учетной записи пользователя.

На основе присваиваемого администратором пользовательс-

кого имени бюджета, идентификационных данных пользователя

и прав пользователя создается Уникальный идентификатор безо-

пасности (Unique Security Identifier, SID).

Создаваемый при регистрации пользователя в Windows NT

маркер доступа включает SID пользователя, идентификаторы бе-

зопасности групп - GID-групп, к которым он принадлежит (для

подсистемы Posix), и другую информацию.

Windows NT

все

элементы системы являются объектами. Каж-

дый объект характеризуется типом, набором служб и атрибутов.

В Windows NT к типам

объектов

относятся каталоги, файлы,

принтеры, процессы, устройства, окна и т.д. Тип объекта опре-

деляет допустимые наборы служб и атрибутов.

Наборы служб представляют собой совокупность действий,

которые могут быть выполнены объектом или с объектом. На-

пример, объект-каталог имеет службы: Просмотр, Чтение, Изме-

нение, Удаление и др.

Атрибуты включают имя объекта, данные и список управле-

ния доступом. Список управления доступом - обязательный ат-

рибут объекта, в него включены следующие сведения: список

служб объекта, список пользователей и групп, имеющих разреше-

ние на выполнение каждого действия.

Объекты при необходимости могут быть защищены. Права

доступа к объектам определяются Дескриптором безопасности,

описывающим атрибуты безопасности объекта. Он включает

Операционные системы новых технологий

183

сведения о SID владельца объекта, который может изменить уро-

вень доступа к объекту, избирательный Список контроля досту-

па, идентифицирующий пользователя и группы, которым разре-

шен или запрещен определенный вид доступа, и системный Спи-

сок контроля доступа, контролирующий сообщения аудита,

генерируемые системой.

системе Windows NT для контроля над доступом к объектам

используются два типа прав - локальный и удаленный.

В локальные права

входят разрешения файловой системы NTFS

(запись, чтение, выполнение, удаление, изменение разрешений).

Удаленные

права контролируются общими ресурсами. Общий

ресурс - это сетевой ресурс, позволяющий пользователям удален-

ных компьютеров получать доступ по сети к объектам. Общий

ресурс является объектом, указывающим на объект локального

ресурса. Общий ресурс имеет собственный набор разрешений (пол-

ный запрет, полный доступ, просмотр, чтение и др.).

Для пользователей, принадлежащих к нескольким группам,

имеющим разрешение на доступ к одним и тем же ресурсам, раз-

решения складываются. Доступ разрешается в том случае, если

среди всех разрешений нет указателя на запрет доступа к ресурсу.

Права доступа к объекту определяются тем, является ли он

контейнерным (например, каталог) или неконтейнерным (напри-

мер,

файл). Неконтейнерные объекты, содержащиеся внутри кон-

тейнерных объектов, могут наследовать определенные типы прав

доступа от родительского контейнера.

Для контроля и управления доступом программ пользовате-

ля к объектам, чтобы они не превышали прав самого пользовате-

ля,

используются субъекты. Субъект - это комбинация маркера

доступа пользователя и программы, работающей от имени пользо-

вателя. Например, если пользователь имеет право на чтение из

определенного файла, то программа файла не сможет выполнить

запись в этот файл и будет иметь право, как и пользователь, толь-

ко на чтение.

Технология, позволяющая процессу брать атрибуты безопас-

ности другого процесса, называется

имперсонацией.

Например, для

решения задачи клиента необходимы ресурсы, к которым сервер

не имеет доступа. В этом случае серверному процессу, действую-

щему от лица клиента, присваиваются атрибуты безопасности

клиентского процесса.

184

Глава 4

Разрешение на доступ пользователя к объекту принимается

Диспетчером контроля

безопасности Windows

NT на основе ана-

лиза информации о безопасности в пользовательском маркере

доступа и информации о безопасности, содержащейся

Дескрип-

торе

безопасности

объекта.

При отсутствии полного совпадения

сведений доступ отклоняется.

С целью фиксации всех событий, происходящих в локальной

сети, существует система аудита. Аудит информирует админист-

ратора обо всех запрещенных действиях пользователя, позволяет

получить сведения о частоте обращений к тем или иным ресур-

сам, определить последовательность действий, которые провели

пользователи.

Сведения, полученные в результате аудита, могут быть исполь-

зованы администратором для принятия решений о повышении

безопасности системы, для своевременного определения места

нахождения повреждений системы.

На этапе формирования политики аудита администратор оп-

ределяет, какие системные события будут регистрироваться в ауди-

торском журнале. Для этого используется команда Аудит меню

Политика.

Существуют три уровня управления аудитом:

1) включение и отключение аудита;

2) аудирование любых из семи предлагаемых типов событий

(вход и выход, доступ к файлам и объектам и т.д.);

3) на уровне конкретных объектов.

Управление первыми двумя уровнями осуществляется с по-

мощью команды Аудит из меню Политика утилиты Диспетчер

файлов.

Управление третьим уровнем аудита применяется к объектам,

обозначенным как Доступ к файлам и объектам. Управление ауди-

том в этом случае осуществляется с помощью переключателей,

находящихся в свойствах таких объектов, как файлы, принтеры.

Уровень аудируемых событий может быть изменен в соответ-

ствии

требованием пользователей. Вся информация, получаемая

в результате аудита, хранится в Журнале безопасности. Для про-

смотра записей в этом журнале используется программа

Просмотр

событий.

Когда журнал безопасности переполняется, Windows NT

завершает работу.

Операционные системы новых технологий

185

4.5.5. УПРАВЛЕНИЕ РЕСУРСАМИ СЕТИ

Процесс управления ресурсами сети обширен и включает мно-

жество задач. Рассмотрим некоторые из них.

•

Выборочное компрессирование

(уплотнение) томов, папок и

файлов

NTFS с целью экономии дискового пространства. Тексто-

вые файлы, электронные таблицы и некоторые графические

файлы (например,

расширением .bmp) уменьшаются почти в два

раза. Сжатие папок и файлов выполняется с помощью утилиты

compact.exe.

• Архивация данных и решение связанных с этим задач (созда-

ние резервной копии на магнитной

ленте,

исправление неправиль-

ной модификации или случайного удаления диска, восстановле-

ние данных после повреждения диска). Для архивации файлов и

восстановления данных из архива используется программа

NTBA CKUP.EXE. Она поддерживает две файловые системы FAT

и NTFS.

• Разработка

сценариев

- заданных наборов команд. Напри-

мер,

сценарий автоматического выполнения задач при регистра-

ции пользователя в системе, сценарий назначения собственного

каталога пользователям, установления соответствующих сетевых

связей при использовании разных пользовательских имен, фами-

лий и т.д.

• Репликация

(тиражирование)

папок на другие компьютеры

позволяет тиражировать сценарии регистрации

одного контрол-

лера домена на другой, базы данных WINS с одного сервера на

другой с целью поддержки и организации доверительных отно-

шений.

• Совместное с Диспетчером сервисов управление запуском и

работой сервисов (приложений, функционирующих на сервере в

фоновом режиме и обеспечивающих поддержку других прило-

жений).

•

Контроль производительности

системы:

помощью програм-

мы

Системный

монитор.

•

Управление дисками

с помощью программы Администратор

дисков: создание основных (системных) и расширенных (напри-

мер,

для создания логических дисков) разделов, форматирование

разделов, создание составных томов и т.д.

•

Оптимизация

работы Windows NT 4 как файлового сервера

(оптимизация работы жестких дисков, устранение проблем дос-

186

Глава 4

тупа к дискам на программном уровне, повышение пропускной

способности сети), как

сервера приложений

(контроль процессора

сервера приложений, контроль виртуальной памяти, устранение

сетевых проблем) и др.

•

Управление

службой печати в NT

Server.

Все обслуживание

принтеров выполняется с помощью одной программы, доступ к

которой осуществляется через папку Принтеры из Панели управ-

ления или Настройка.

•

Управление

вводом компьютеров в состав домена своего сер-

вера,

удаление компьютеров,

организация

доменов,

назначение

сер-

вера главным контроллером

домена,

репликация данных на другие

серверы,

управление

доверительными отношениями

между

домена-

ми,

объединение

доменов,

аудит сетевых ресурсов

каждого

пользо-

вателя и

т.д.

осуществляются

помощью программ

Диспетчер

сер-

веров

Диспетчер

пользователей

для доменов.

•

Управление

общими ресурсами. Каждый раз при загрузке ком-

пьютера Windows NT создает системные общие ресурсы, задан-

ные по умолчанию, для каждого из дисков системы для поддерж-

ки работы в сети и управления внутренними операциями. Однако

эти системные ресурсы не отображаются в стандартном списке

общих

ресурсов.

Для их отображения в системе Windows NT Server

используется Диспетчер серверов.

Чтобы ресурсы были доступны для пользователей других

компьютеров, администратор назначает им общий статус. При

необходимости одновременно указывается максимальное коли-

чество пользователей, которые могут иметь доступ к данному

ресурсу.

Подключение общих ресурсов может осуществляться с помо-

щью команд Проводника NT, Сетевого окружения или

командной

строки NET

USE...,

использующей уникальное имя (UNC) обще-

го ресурса.

•

Установка

управления удаленным

доступом,

установка кли-

ента и

сервера

удаленного доступа

осуществляются

помощью ути-

литы Сеть из Панели управления. С помощью этой же утилиты

устанавливаются модемы, выбираются протоколы и коммуника-

ционные порты.

•

Управление

всеми

соединениями

сети,

управление доступом

к информации сервера удаленного доступа, а также ко всей ин-

формации сети через сервер удаленного доступа осуществляется с

помощью утилиты

Управление

удаленным доступом.

Операционные системы новых технологий 187

• Поиск

неисправностей

в сети осуществляется с помощью Се-

тевого

монитора.

Это программное средство можно использовать

для просмотра поступающих на Windows NT и отправляемых па-

кетов.

Для создания комфортных и эффективных условий работы

администратору в комплект Windows NT Server, Resource Kit,

Supplement

One

для версии 4 включены

административных ути-

лит. Так, утилита Addclusers.exe предназначается для создания,

удаления и вывода списка пользователей групп в текстовом фор-

мате с разделенными запасами значениями (.csv). Файлы форма-

та .csv импортируются и экспортируются приложениями Excel и

Access. Запуск утилиты командой addusers/dusers.csv создает для

домена файл users.csv, который может использоваться в качестве

шаблона для создания учетных записей и групп пользователей.

Утилиты global.exe и local.exe служат для создания списков гло-

бальных и локальных групп в указанном домене и

др.

Все эти ути-

литы включены в комплект поставки Windows 2000 Server.

4.6.

ВЗАИМОДЕЙСТВИЕ WINDOWS NT

С ОПЕРАЦИОННЫМИ СИСТЕМАМИ

ПОДДЕРЖКИ СЕТЕЙ

4.6.1.

СРЕДСТВА, ОБЕСПЕЧИВАЮЩИЕ

ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОС СЕТИ

Операционной системой поддержки сетей, или просто сетевой

операционной системой, является ОС, взаимодействующая с се-

тевым оборудованием, обеспечивающая межкомпьютерные ком-

муникации, пользовательский интерфейс к сети и позволяющая

пользователям разделять файлу и периферийное оборудование.

Windows NT имеет возможность взаимодействия и обмена

данными со многими существующими сетями, построенными на

основе различных ОС поддержки сетей. Необходимость в этом

возникает по разным обстоятельствам: ввиду наличия уже пост-

роенных на основе других ОС сетей, ресурсы которых необходи-

мы пользователям Windows NT; создания новых сетей, основан-

ных на Windows NT, и других ОС поддержки сетей с целью повы-

шения их эффективности.

188

Глава 4

Взаимодействие сетей, построенных на Windows NT, с други-

ми ОС поддержки сетей обеспечивают следующие средства.

Открытая сетевая

структура,

механизмы динамической

заг-

рузки и выгрузки встроенной сетевой

поддержки

различных сете-

вых

компонентов,

таких, как LAN Manager, NetWare, и дополни-

тельно разработанных сетевых приложений, содержащихся в

Windows NT. Эти механизмы могут использоваться для загрузки

и выгрузки программного обеспечения других производителей.

Такой подход позволяет Windows NT поддерживать большое ко-

личество различных сетевых протоколов, сетевых плат и драйве-

ров,

обеспечивающих взаимодействие между аппаратными и

программными средствами, а также унифицированную привязку

аппаратных средств различных платформ с программными сред-

ствами Windows NT.

Совместимые с другими сетями и

устанавливающие

связь с

ними

протоколы,

которые поддерживает Windows NT.

Так, протокол управления каналом данных Data Link Control

используется для доступа к мэйнфреймам IBM для печати на прин-

терах Hewlett-Packard, подсоединенных к сети.

Протокол NetBEUI - Extented User Interface NetBIOS - рас-

ширенный пользовательский интерфейс. Совместимый с преды-

дущими версиями ОС Windows NT, LAN Manager и другими, он

обеспечивает быстрый протокол в небольших локальных сетях.

При работе в глобальных сетях его производительность низка.

NWLink - это NetWare-совместимый стек протоколов, совме-

стим

протоколами IPX/SPX, которые поддерживает ОС NetWare

(Internet Packet Exchange/Sequenced Packet Exchange).Он позволя-

ет клиентам NetWare, MS DOS, OS/2 и Windows обращаться к

Windows NT Server почти так же, как они обращаются к серверам

NetWare. NWLink служит основой для некоторых приложений,

поставляемых с Windows NT Server для обеспечения взаимодей-

ствия, имитации NetWare и вариантов перехода к Windows NT

Server.

Протокол для глобальных сетей TCP/IP (Transmission Control

Protocol/Internet Protocol), используемый для связи с Интернетом,

предназначается для взаимодействия Windows NT с различными

сервисами на Unix-машинах, а также для связи удаленных локаль-

ных сетей через глобальные.

Служба удаленного доступа для передачи данных от одной

локальной сети к другой удаленной локальной сети через Интер-

Операционные системы новых технологий

189

нет поддерживает следующие протоколы: РРР (Point-to - Point

Protocol) - протокол параллельного соединения по нескольким

телефонным каналам; SLIP (Serial Link Interface Protocol) - меж-

сетевой протокол для последовательного канала; РРТР (Point-to

Point Tunelling Protocol) - протокол, содержащий механизм шиф-

рования для Интернет.

Сетевые

драйверы

интерфейсы,

создающие Windows NT

возможность подключаться к различным типам сетей и взаимо-

действовать с разными типами вычислительных систем.

Сетевые сервер

редиректор Windows NT - программные ком-

поненты, выполненные в виде драйверов файловых систем, по-

зволяют получить доступ к ресурсам сетей с LAN Server и серве-

рам Microsoft Networks.

Интерфейс TDI (Transport Driver Interface) - стандарт для пе-

редачи сообщений - создает канал взаимодействия между драй-

верами и протоколами и делает редиректор и сервер не зависи-

мыми от всех видов транспорта.

Интерфейс NDIS (Network Device Interface Spesification) созда-

ет канал взаимодействия между сетевыми платами и протокола-

ми.

NDIS позволяет пользователю работать при помощи одной

сетевой платы с разными сетями (Windows NT, NetWare, DECnet,

NetWare, VINES и др.)

Provider (поставщик)-интерфейс позволяет привязать не-

скольких редиректоров к нескольким протоколам, чтобы связать

редиректоры LAN Manager, NetWare, VINES и другие с прило-

жениями Windows NT без дополнительных программ поддерж-

ки сетей.

Сервис

многопользовательского удаленного доступа для си-

стем с Windows NT Server и однопользовательского удаленного

доступа для систем Windows NT Workstation, обеспечивающий

удаленный доступ по глобальной сети к системе Windows NT.

Сервер службы удаленного доступа может обслуживать соеди-

нения сетей, построенных на основе разных ОС, поддерживаю-

щих сети. Это может быть реализовано благодаря возможности

транслировать сообщения из одних форматов в другие, а также

наличию маршрутизатора многосетевого доступа, осуществля-

ющего установление и разрыв сетевого соединения, удаленную

печать и передачу данных по сети сетевому компоненту, обраба-

тывающему запросы на ресурс.

190

Глава 4

Возможность

выполнения многих

приложений

для разных ОС

благодаря наличию в Windows NT различных API (Application

Program Interface). API ввода-вывода Win-32 обрабатывает зап-

росы на ввод-вывод информации из файла или именованного ка-

нала, находящихся на удаленной машине; сетевые API Win-32 об-

рабатывают запросы на просмотр информации, расположенной

на удаленных файловых системах Microsoft

других по сетям LAN

Manager, NetWare, VINES, и другие; API Windows Socket обеспе-

чивает поддержку приложений Unix и позволяет осуществлять до-

ступ к сети Интернет и т.д.

6. Встроенная поддержка различных типов файловых систем

(NTFS,

FAT, CD-ROM, VFAT, Macintoch), возможность конвер-

тирования FAT- и HPFS-разделов в NTFS-разделы, поддержка в

NTFS-разделах каталогов формата Macintoch.

Поддержка

Windows

NT и NetWare общих служб

каталогов

NTDS (Windows NT Directory Service) и NDS (NetWare Directory

Service), таких, как защищенная база каталога, распределенная

архитектура (возможность автоматического тиражирования в

несколько мест), однократная регистрация в сети, простое адми-

нистрирование, гетерогенность (возможность управления серве-

рами NetWare с помощью соответствующих утилит).

8. Возможность

подключения

доменам

новых

пользователей

пользователей других сетей, а также поддержание требуемого

уровня безопасности системы с помощью установления довери-

тельных отношений между доменами; встроенные средства рабо-

ты с глобальными

сетями,

которые могут использоваться для под-

ключения одних локальных сетей

другим через глобальную сеть.

4.6.2.

WINDOWS NT И ОС

ПОДДЕРЖКИ СЕТЕЙ ФИРМЫ MICROSOFT

Для организации обмена информацией между персональны-

ми компьютерами к существующим ОС ранних версий добави-

лась сетевая поддержка, представляющая собой фактически над-

стройку над

ОС.

Например, для сетевой поддержки MS DOS, OS/2,

Unix и других ОС существует MS LAN Manager. Она представ-

ляет собой набор основных программ и драйверов, добавляющих

сетевые возможности к существующим ОС. MS LAN Manager

предоставляет такие средства, как механизмы ведения учетных