36. Серверы имен. Основные понятия DNS, WINS

реклама
36. Серверы имен. Основные понятия DNS, WINS
Сервер имен - специальный сервер, осуществляющий отображение доменных имен в IP-адреса (и
наоборот)
И WINS, и DNS выполняют разрешение имен, которое представляет собой процесс преобразования
компьютерного имени в адрес. WINS преобразовывает внутренние имена NetBIOS в IP-адреса, а DNS
преобразует в IP-адреса Internet-имена. Если ваша сеть охватывает только вашу компанию и в ней
используются только системы компании Microsoft (например, на базе NetBIOS), DNS вам абсолютно ни к
чему; все, что необходимо для разрешения имен предлагает WINS. Однако, если вы подключены к Internet,
вам следует подумать о том, какой тип связи имеет смысл реализовывать. Если ваши пользователи будут
получать доступ к внешним серверам в Internet, необходимо предоставить им возможности, которые
выходят за рамки поиска адреса в Internet. Если же, напротив, вы планируете предоставлять ресурсы, к
которым будут обращаться пользователи вне вашей сети, следует в своей базе данных DNS
сконфигурировать серверы (например, все машины, которые содержат ресурсы для совместного
использования) как хосты.
DNS - это часть семейства протоколов и утилит TCP/IP. Microsoft и другие компании предлагают
различные версии DNS, работающие на разнообразных операционных системах (в основном на вариантах
Unix). Слово domain в названии DNS относится к доменам в Internet, а не к доменной модели NT.
Internet подразделяется на домены, каждый из которых обслуживает различные группы
пользователей. К таковым доменам относятся домены .com, .edu, .gov и .mil. Ими управляет Internet-сервер
первого уровня, получивший название корневого сервера имен (это название становится понятным, если
представлять себе Internet как древовидную структуру).
Система именования доменов Internet сначала обращается к Internet-серверам первого уровня, а затем
"спускается" по дереву серверов. Когда вы набираете адрес, ваш локальный сервер DNS просматривает
свою базу данных и кэширует требуемую информацию. Если локальный сервер не содержит IP-адрес, он
передает запрос корневому серверу имен. После чего корневой сервер имен возвращает вашему серверу
DNS адрес соответствующего сервера имен. В свою очередь ваш сервер DNS обращается с запросом к
серверу имен в поисках адреса сервера на следующем уровне и далее процесс повторяется.
WINS-сервер служит для хранения имен NetBIOS и разрешения их в IP-адреса. Если для узла TCP/IP
задан IP-адрес WINS-сервера, то этот узел TCP/IP регистрирует свои имена NetBIOS на этом WINS-сервере
и направляет ему запросы на разрешение имен NetBIOS.
37. Групповые политики, функции и назначения. Объекты групповой политики. Назначение
групповых политик для задач администрирования.
Групповая политика — это набор правил, в соответствии с которыми производится настройка рабочей
среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект
групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих:
контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy
Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая
включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам
каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую
среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталога Active Directory.
Создание групповых политик
По умолчанию в иерархии каталога Active Directory создаются две групповые политики с
чрезвычайно выразительными именами: Default Domain Policy (политика домена по умолчанию) и Default
Domain Controller’s Policy (политика контроллера домена по умолчанию). Первая из них назначается
домену, а вторая — контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой
собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом
создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain
Administrators (Администраторы домена). Чтобы создать новый объект групповой политики, необходимо
выполнить следующие действия:
Убедитесь в том, что вы подключились к системе с использованием учетной записи,
принадлежащей к одной из групп: Domain Administrators (Администраторы домена) или Enterprise
Administrators (Администраторы предприятия).
Убедитесь в том, что в системе, к которой вы подключились, установлены средства
администрирования, необходимые для работы с групповыми политиками. В частности, вам потребуется
оснастка Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Этой
оснастке соответствует файл dsa.msc.
Откройте консоль Active Directory Users and Computers (Active Directory — пользователи и
компьютеры) и перейдите к контейнеру OU, в отношении которого вы намерены применить политику.
Правой кнопкой мыши щелкните на контейнере OU, в появившемся меню выберите пункт Properties
(Свойства) и перейдите на вкладку GPO.
Чтобы создать новый объект GPO и назначить его текущему контейнеру, щелкните на кнопке New
(Новый).
В списке ссылок на объекты GPO появится новая позиция, строка имени которой будет находиться в
режиме редактирования. Присвойте новому объекту GPO содержательное имя.
Созданная вами политика является лишь заготовкой. Ее содержимое формируется на основе
административных шаблонов, содержащихся в папке SysVol контроллера домена, на котором был создан
GPO. Эти шаблоны можно расширить и модифицировать в соответствии с нуждами вашей организации. В
дополнение к существующим компонентам объекта GPO можно добавить созданные вами расширения.
Например, при помощи групповой политики можно управлять настройками прикладных программ.
Информация о том, как создавать свои собственные расширения GPO, содержится в Windows 2000
SDK (Software Development Kit). После создания GPO следует модифицировать содержащиеся в этом
объекте значения параметров таким образом, чтобы настроить определяемую групповой политикой
конфигурацию рабочей среды. На вкладке Group Policy (Групповая политика) щелкните на кнопке Edit
(Редактировать). При этом запустится редактор групповой политики, при помощи которого вы сможете
модифицировать конфигурацию компьютера и пользователя, определяемую политикой. Список ссылок на
объекты GPO, отображаемый на странице свойств контейнера OU, содержит ссылки на объекты GPO,
расположенные в каталоге Active Directory. Изменения, вносимые в любой из объектов GPO, могут повлиять
на поведение многих объектов каталога Active Directory. Чтобы определить, в отношении каких именно
контейнеров OU будут применены сделанные вами изменения, откройте диалоговое окно свойств
интересующего вас GPO и перейдите на вкладку Links (ссылки). Чтобы получить список контейнеров, с
которыми связана данная политика, воспользуйтесь кнопкой Find
Средства администрирования
Утилиты группы Administrative Tools (Администрирование) входят в комплект поставки
операционных систем Server, Advanced Server и Datacenter Server. Файл, необходимый для установки этих
утилит, называется adminpak.msi и располагается в каталоге i386 на установочном компакт-диске или в
подкаталоге WINNT\SYSTEM32\ операционной системы. Этот 15-мегабайтный файл устанавливает все
необходимые оснастки и регистрирует библиотеки DLL, необходимые для использования средств
администрирования. В настоящее время установить утилиты группы Administrative Tools
(Администрирование) можно только на платформе Windows 2000.
Применение групповых политик
Работая с групповыми политиками, следует учитывать, что:
 объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
 один контейнер может быть связан с несколькими объектами GPO;
 объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого
контейнера в том порядке, в котором они были назначены;
 объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и
параметры, относящиеся к пользователю;
 обработку любой из этих составляющих можно отключить;
 наследование объектов GPO можно блокировать;
 наследование объектов GPO можно форсировать;
 применение объектов GPO можно фильтровать при помощи списков ACL.
38. Маршрутизация и удаленный доступ. Организация маршрутизации на сервере Windows Server 2003.
Маршрутизация (routing) — это процесс пересылки данных между локальными вычис­
лительными сетями (ЛВС). В отличие от моста (bridge), который обеспечивает связь
сетевых сегментов и совместный доступ к трафику с использованием аппаратных адресов, маршрутизатор принимает и пересылает трафик, ориентируясь на программные
адреса.
Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows
Server 2003 представляет собой программный многопротокольный маршрутизатор, ко­
торый легко объединяется с другими функциями Windows, такими как учетные записи
безопасности и групповые политики.
Во вновь установленной копии Windows Server 2003 служба Маршрутизация и удаленный
доступ отключена — ее активизируют с помощью Мастера настройки сервера маршру­
тизации и удаленного доступа (Routing and Remote Access Server Setup Wizard).
Консоль Маршрутизация и удаленный доступ (Routing and Remote Access) — это стандарт
ный графический пользовательский интерфейс пользователя для управления маршру­
тизацией в Windows Server 2003.
Параметры службы Маршрутизация и удаленный доступ настраиваются в окне свойств
узла сервера в консоли Маршрутизация и удаленный доступ. К этим параметрам относят­
ся: маршрутизация, вызов по требованию, включение поддержки удаленного доступа,
конфигурация аутентификации, назначение адресов пользователей, протокол РРР
(Point-to-Point Protocol) и особенности входа в систему.
Маршрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соот­
ветствии с информацией, хранящейся в таблицах маршрутизации. Отдельные записи таблицы
маршрутизации называются маршрутами (routes) — они содержат ссылки на сети и узлы-адресаты.
Существуют три типа маршрутов:
• Маршрут узла (host route) — определяет ссылку на определенный узел или широко­
вещательный адрес. В таблицах маршрутизации IP такие маршруты обозначаются
маской подсети 255.255.255.255.
• Маршрут сети (network route) — определяет маршрут к определенной сети, а соответ­
ствующее поле в таблицах IP-маршрутизации может содержать любую маску подсе­
ти из диапазона 0.0.0.0-255.255.255.255.
• Маршрут по умолчанию (default route) — один маршрут, по которому «уходят» все
пакеты, чей адрес назначения не совпадает ни с одним адресом таблицы маршрутизации. В таблицах IP-маршрутизации такому маршруту соответствует адрес 0.0.0.0 и
маска подсети 0.0.0.0.
Увидеть таблицу IP-маршрутизации можно в консоли Маршрутизация и удаленный дос­
туп (Routing and Remote Access) или в командной строке.
39. Контроллеры доменов, их функции и назначения. Роли к-ров в АД. Репликация между к-рами.
Протоколы репликации.
Структура контроллеров домена. В операционной системе главный контроллер домена является
единственным источником изменений содержимого базы данных SAM. В системе Windows 2003 изменения
в БД SAM вносятся без участия главных контроллеров доменов, ибо данная ОС обеспечивает
мультисерверную репликацию данных AD. Но основные контроллеры доменов тоже остаются.
Функционирование леса Windows 2003 требует наличия контроллеров домена, выполняющих пять функций
или ролей — Operations Master roles. Перечислим их: основной контроллер домена (PDC), контроллер пула
относительных идентификаторов (Relative Identifier — RID — Pool), контроллер инфраструктуры
(Infrastructure), контроллер именования доменов (Domain Naming) и контроллер схемы (schema).
Роли Master PDC, RID Pool Master и Infrastructure Operatons Master должны выполняться по меньшей мере
одним контроллером в каждом домене. Если сервер, ответственный за выполнение одной из этих ролей,
выходит из строя, ее нужно вручную возложить на другой контроллер домена. Смысл роли Master PDC:
если имеются резервные контроллеры домена и клиенты младшей версии ОС NT 4.0, контроллер домена
Windows 2003, на который возложена роль PDC, и будет основным контроллером домена.
Роль RID Pool Master получила такое название от идентификатора пользователя RID, который является
частью идентификатора Security ID, SID. Поскольку в Windows 2003 допускается внесение изменений в
каталог любым контроллером домена, без координации назначений относительных идентификаторов новым
объектам не обойтись. Именно эту роль и выполняет RID Pool Master. Infrastructure Operatons Master —
процесс, поддерживающий согласованность данных об объектах, которые реплицируются между доменами
(это относится к общему каталогу, конфигурации узлов и соединениям репликации).
Роли Domain Naming и Schema Masters выполняются по меньшей мере на одном контроллере домена в
каждом лесу. Роль Domain Naming Master гарантирует уникальность имени домена в масштабах леса при
добавлении новых доменов. Роль Schema Master определяет, на каком контроллере домена могут вноситься
изменения в схему каталога; понятно, что, если позволить вносить изменения в схему каталога на
нескольких контроллерах домена, это может вызвать проблемы.
Структура и репликация Физически информация AD хранится на одном или нескольких равнозначных
контроллерах доменов, заменивших использовавшиеся в Windows основной и резервные контроллеры
домена (хотя для выполнения некоторых операций сохраняется и так называемый сервер «операций с одним
главным сервером», который может эмулировать главный контроллер домена). Каждый контроллер домена
хранит копию данных AD, предназначенную для чтения и записи. Изменения, сделанные на одном
контроллере, синхронизируются на все контроллеры домена при репликации. Серверы, на которых сама
служба Active Directory не установлена, но которые при этом входят в домен AD, называются рядовыми
серверами.
Репликация AD выполняется по запросу. Служба KCC создаёт топологию репликации, которая использует
сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и
автоматически с помощью средства проверки согласованности (уведомлением партеров по репликации об
изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от
качества канала) — различная «оценка» (или «стоимость») может быть назначена каждому каналу
(например DS3, T1, ISDN и т. д.), и трафик репликации будет ограничен, передаваться по расписанию и
маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитивно
передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD
автоматически назначает более низкую оценку для связей «сайт-сайт», чем для транзитивных соединений.
Репликация сайт-сайт выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют
изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу
RPC по IP, междоменная — может использовать также протокол SMTP.
Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов
используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным
набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и
обслуживает междоменные запросы.
Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация
с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного
контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер
относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер
инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена
(мастер именования доменов). Первые три роли уникальны в рамках домена, последние две — уникальны в
рамках всего леса. Базу AD можно разделить на три логические хранилища или «раздела». «Схема» является
шаблоном для AD и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья
находятся в одном лесу, потому что у них одна схема). «Конфигурация» является структурой леса и
деревьев AD. «Домен» хранит всю информацию об объектах, созданных в этом домене. Первые два
хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется
между репликами контроллеров в рамках каждого домена и частично — на сервера глобального каталога.
40. Объекты Active Directory. Инструменты управления объектами AD.
Active Directory (AD) имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три
основные категории: ресурсы, службы и люди. Каждый объект представляет отдельную сущность —
пользователя, компьютер, принтер, приложение или общую сетевую папку — и его атрибуты. Объекты
могут также быть контейнерами для других объектов. Объект уникально идентифицируется своим именем и
имеет набор атрибутов — характеристик и данных, которые объект может содержать, — которые зависят от
типа объекта. Атрибуты являются составляющей базовой структуры объекта и определяются в схеме. Схема
определяет, какие типы объектов могут существовать в AD.
Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один
объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а
один объект атрибута схемы определяет атрибут, который объект может иметь.
Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти
объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда
это необходимо. Однако каждый объект схемы является частью определений объектов Active Directory,
поэтому деактивация или изменение этих объектов может иметь серьёзные последствия, так как в
результате этих действий будет изменена структура AD. Изменение объекта схемы автоматически
распространяется в Active Directory. Будучи однажды созданным объект схемы не может быть удалён, он
может быть только деактивирован. Обычно все изменения схемы тщательно планируются. Верхним
уровнем структуры является лес — совокупность всех объектов, атрибутов объектов и правил (синтаксиса
атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными
отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию
транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS —
пространствами имён.
Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют
создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать
организационную и/или географическую структуры компании в Active Directory. Подразделения могут
содержать другие подразделения. Рекомендуетcя использовать как можно меньше доменов в Active
Directory, а для структурирования AD и политик использовать подразделения. Часто групповые политики
применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение
является самым низким уровнем, на котором могут делегироваться административные полномочия.Другим
способом деления AD являются «сайты», которые являются способом физической (а не логической)
группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным
каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по
высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько
доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно
учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами.
Ключевым решением при проектировании AD является решение о разделении информационной
инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями,
используемыми для такого разделения, являются модели разделения по функциональным подразделениям
компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто
используются комбинации этих моделей.
Администрирование Active Directory включает в себя управление объектами домена и их свойствами.
Объекты, которые управляются в домене, включают в себя учетные записи пользователей, групп,
компьютеров и OU. В отличие от NT 4, где мы использовали один инструмент для управления
пользователями и группами (User Manager for Domain (Диспетчер пользователей для домена)) и совсем
другой для учетных записей компьютера (Server Manager (Диспетчер серверов)), в домене Windows 2003 все
управление этими объектами осуществляется при помощи инструмента, называемую Active Directory Users
and Computers (Пользователи и компьютеры Active Directory), оснастки ММС.
Инструменты работы с объектами AD:
Консоли ММС: Active Directory домены и доверие, Active Directory пользователи и компьютеры, Active
Directory Сайты и службы, Схема Active Directory.
Консольные программы:dsadd, dsmod и т.п., csvde, wmic.
Еще дополнительные инструменты, которые можно найти на диске WS 2003:
Acldiag.exe: используется для определения того, является ли пользователь был предоставлен доступ или
отказано в доступе на объект в Active Directory.
Adsiedit.msc: используется для добавления, перемещения и удаления объектов, а также изменить или
удалить объект атрибутов.
Dcdiag.exe: используется для определения состояния контроллеров домена в лесу / предприятия.
Dfsutil.exe: Используется для управления распределенной файловой системы (DFS) и просмотреть
информацию DFS.
Dsacls.exe: Используется для управления списки управления доступом к объектам Active Directory.
Dsastat.exe: Для сравнения контекстов именования на контроллерах домена.
Ldifde: используется для создания, удаления и изменения объектов на компьютерах под управлением WXP и
WS 2003.
Ldp.exe: Используется для проведения Lightweight Directory Access Protocol (LDAP) функции по Active
Directory.
Movetree.exe: используется для перемещения объектов с одного домена на другой домен.
Netdom.exe: Может быть использован для управления доменами и доверительных отношений.
Nltest.exe: Может быть использована для просмотра информации о начальном контроллеры домена, трестов
и репликации.
Repadmin.exe: Используется для мониторинга, диагностики, управления и воспроизведения проблем.
Replmon.exe: Используется для мониторинга и управления репликации с помощью графического
интерфейса пользователя (GUI).
Sdcheck.exe: Отображает Дескриптор безопасности для объектов Active Directory, и может быть
использовано для проверки ACL распространения, тиражирования и списки управления доступом ли в
настоящее время унаследовала правильно.
Setspn.exe: используется для просмотра, изменения или удаления службы Высший названиям (SPN) каталога
собственности для обслуживания счета в Active Directory.
Sidwalker.exe: используется для конфигурирования списки управления доступом на объекты, которые
принадлежат либо перемещаются или удаляются учетные записи.
41. Удаленное управление компьютером. Сервер терминалов. Сеансы пользователей.
Управление многопользовательской средой. Инструменты управления.
Терминальный сервер, сервер терминалов — сервер, предоставляющий клиентам вычислительные ресурсы
(процессорное время, память, дисковое пространство) для решения задач. Технически, терминальный сервер
представляет собой очень мощный компьютер (либо кластер), соединенный по сети с терминальными
клиентами — которые, как правило, представляют собой маломощные или устаревшие рабочие станции или
специализированные решения для доступа к терминальному серверу. Терминал сервер служит для
удалённого обслуживания пользователя с предоставлением рабочего стола. В семействе Windows 2000
Server был реализован набор технологий, позволяющих выполнять удаленное администрирование и
совместно использовать приложения с помощью Служб терминалов. В WS 2003 службы терминалов —
неотъемлемый компонент семейства, а инструмент Дистанционное управление рабочим столом
усовершенствован и позиционируется как стандартная функция. Достаточно одного щелчка мыши, и
компьютер с WS 2003 будет параллельно обрабатывать до двух подключений удаленного
администрирования. Добавив компонент Сервер терминалов и настроив соответствующую лицензию,
администратор добьется еще большего эффекта: множество пользователей смогут запускать приложения на
сервере.
Службы терминалов позволяют совместно использовать приложения с помощью таких инструментов, как
Дистанционное управление рабочим столом (Remote Desktop), Удаленный помощник (Remote Assistance) и
Сервер терминалов (Terminal Server). Подключение к удаленному рабочему столу (Remote Desktop
Connection) — это клиентское приложение, используемое для подключения к серверу в контексте режима
Дистанционное управление рабочим столом (Remote Desktop) или Сервер терминалов (Terminal Server). Для
клиента нет функциональных различий между этими двумя конфигурациями сервера. На компьютерах с
Windows XP и Windows Server 2003 программа.
Параметры сервера
Параметры входа (Logon Settings) Позволяет задать статические реквизиты для подключения
вместо реквизитов, предоставляемых клиентом
Сеансы (Sessions) Чтобы перекрыть настройки клиента, задайте здесь параметры завершения
прерванного сеанса, ограничения длительности сеанса и времени его простоя, а также допустимость
повторного подключения
Среда (Environment) Перекрывает настройки из профиля пользователя для данного подключения в
отношении запуска программы: здесь вы можете переопределить запускаемую при подключении
программу. Заданный здесь путь и папка запуска приоритетнее настроек, сделанных программой
Подключение к удаленному рабочему столу
Разрешения (Permissions) Позволяет задавать дополнительные разрешения для данного
подключения
Удаленное управление (Remote Control) Указывает, можно ли удаленно управлять сеансом
Подключение к удаленному рабочему столу, и если так, то должен ли пользователь выдавать разрешение на
инициализацию сеанса удаленного управления. Дополнительные параметры позволяют ограничить сеанс
удаленного управления только функцией просмотра либо разрешить полную интерактивность с сеансом
клиента Дистанционное управление рабочим столом
Параметры клиента (Client Settings) Позволяют перекрыть параметры из конфигурации клиента,
изменить глубину цвета и отключить различные коммуникационные порты (порты ввода-вывода)
Сетевой адаптер (Network Adapters) Указывает, какие сетевые платы на сервере будут принимать
удаленные подключения для администрирования
Общие (General) Задает уровень шифрования и механизм проверки подлинности для подключений к
этому серверу
Устранение неполадок при работе со службами терминалов
При использовании программы Удаленный рабочий стол для администрирования (Remote Desktop for
Administration) создается подключение к консоли сервера. Есть несколько потенциальных причин
неудачных подключений или сеансов с ошибками.
• Сбои сети. Ошибки в работе стандартной TCP/IP сети могут вызывать сбои или разрывы
подключений Дистанционное подключение к рабочему столу (Remote Desktop). Если не функционирует
служба DNS, клиент не сможет найти сервер по имени. Если не функционирует маршрутизация либо
неверно настроен порт Служб терминалов (Terminal Services) (по умолчанию это порт 3389) на клиенте или
сервере, соединение установить не удастся.
• Реквизиты входа. Для успешного подключения к серверу средствами программы Удаленный
рабочий стол для администрирования пользователи должны быть включены в группу Администраторы
(Administrators) или Пользователи удаленного рабочего стола (Remote Desktop Users). Если подключиться
через Удаленный рабочий стол для администрирования не удается из-за запрета доступа, проанализируйте
членство в группах. В предыдущих версиях Сервера терминалов (Terminal Server) для подключения к
серверу требовалось быть участником группы Администраторы (Administrators), хотя специальные
разрешения можно было выдать вручную. Сервер терминалов поддерживает только два удаленных
подключения.
• Политика. Только администраторам разрешено подключаться средствами программы
Дистанционное подключение к рабочему столу (Remote Desktop) к контроллерам доменов. Чтобы разрешить
подключаться остальным пользователям, нужно настроить политику безопасности на контроллере домена.
• Слишком много параллельных подключений. Если сеансы прерывались без выхода из системы, сервер
может посчитать, что достигнут предел одновременно обрабатываемых подключений, даже если в данный
момент к серверу не подключены два пользователя. Например, администратор может завершить сеанс без
выхода из системы. Если еще два администратора попытаются подключиться к серверу, это удастся только
одному из них.
42. Сетевые службы Windows. Организация и использование файлового сервера в сетях
Microsoft. Утилиты командной строки для управления общими файловыми серверами.
Файловый сервер (File Server). Обеспечивает централизованный доступ к файлам и
каталогам для пользователей, отделов и организации в целом. Выбор этого варианта
позволяет управлять пользовательским дисковым пространством путем включения и
настройки средств управления дисковыми квотами и ускорить поиск в файловой
системе за счет активизации Службы индексирования (Indexing Service).
Windows Server 2003 включает в себя следующие функции по управлению файлами и дисками.
File Server Management (Управление файловым сервером)
Вы можете использовать File Server Management для выполнения ряда таких задач, как
форматирование и дефрагментация томов, создание и управление общими ресурсами, установка квот,
создание отчетов об использовании хранилища, репликация данных с файлового сервера и на него,
управление Storage Area Networks (SANs, Сети хранилищ данных) и выделение файлов в общий доступ для
систем UNIX и Macintosh.
File Server Resource Manager (Управление ресурсами файлового сервера)
Спрос на ресурсы хранилищ данных увеличивается, так как сейчас организации зависят от
информации более тесно, чем когда-либо, - и системные администраторы сталкиваются с требованием
обслуживать всё более и более объёмные и сложные системы хранилищ, и в то же время отслеживать
содержащиеся в них различные типы информации.
File Server Resource Manager (Управление ресурсами файлового сервера) - новая оснастка Microsoft
Management Console (MMC, Управляющей консоли Microsoft), которая предоставляет администраторам
комплект инструментов для отслеживания, контроля и управления количеством и типами информации,
хранящейся на серверах. Используя File Server Resource Manager, администраторы могут задавать квоты на
папки и тома, оперативно классифицировать и отбирать файлы и получать исчерпывающие отчёты о
хранилище.
Квоты File Server Resource Manager (Управление ресурсами файлового сервера) в сравнении с
дисковыми квотами NTFS
Операционные системы Windows 2000 и Windows Server 2003 поддерживают на томах NTFS
дисковые квоты, которые используются для отслеживания и контроля над использованием диска
пользователями. В следующей таблице отражены преимущества инструмента управления квотами File
Server Resource Manager.
Функции квоты
File Server Resource
Manager (Управление Ресурсами
Дисковые квоты NTFS
Файлового Сервера)
Отслеживание квоты
По папкам или по томам
По пользователю
относительно всего тома
Оценка загрузки диска
Фактическое дисковое
пространство
Логический размер файлов
Механизмы уведомления
Электронная почта,
Только журналы событий
настраиваемый отчёт, выполнение
команд, журналы событий
Microsoft Services for Network File System (Службы Microsoft для Сетевой файловой системы)
Microsoft Services for Network File System (NFS, Службы Microsoft для Сетевой файловой системы) это компонент Windows Server 2003 R2, который обеспечивает общий доступ к файлам на предприятиях,
которые используют смешанную среду из Windows и UNIX. Microsoft Services for Network File System (NFS)
позволяют пользователям передавать файлы между компьютерами, работающими под управлением
Windows Server 2003 R2 и UNIX, используя протокол Network File System (NFS).
Microsoft Services for NFS - это обновлённая версия компонентов NFS, которые ранее были доступны
в составе Services for UNIX 3.5 (Служб для UNIX версии 3.5). Microsoft Services for NFS включают
следующие новые функции:
поддержка 64-битной архитектуры. Microsoft Services for NFS могут быть установлены на все издания
Windows Server 2003 R2, включая 64-х битные версии;
обновлённая оснастка Microsoft Management Console (MMC, Управляющей консоли Microsoft) для
администрирования Microsoft Services for NFS;
повышенная надёжность;
поддержка специальных устройств UNIX (mknod)
Microsoft Services for NFS позволяют поддерживать смешанные среды, состоящие из операционных
систем семейств Windows и UNIX, а также производить обновление компьютеров вашей организации,
поддерживая устаревшие технологии на время переходной фазы. Ниже приведены примеры сценариев того,
какие преимущества может получить предприятие от использования Microsoft Services for NFS.
Обеспечить клиентам UNIX доступ к ресурсам, которые находятся на компьютерах, работающих под
управлением Windows Server 2003 R2. Ваша компания может иметь клиентов UNIX, имеющих доступ к
таким ресурсам, как файлы на файловых серверах UNIX. Чтобы воспользоваться преимуществами новых
возможностей Windows Server 2003 - таких, как Shadow Copies for Shared Folders (Теневые копии общих
папок) - вы можете переместить ресурсы с серверов UNIX на компьютеры, работающие под управлением
Windows Server 2003 R2, а затем установить Microsoft Services for NFS для того, чтобы обеспечить доступ
клиентам UNIX, использующим NFS. Все клиенты UNIX смогут получить доступ к ресурсам по протоколу
NFS без внесения каких-либо изменений.
Обеспечить компьютерам, работающим под управлением Windows Server 2003 R2, доступ к
файловым серверам UNIX. Ваша компания может иметь смешанную среду из Windows и UNIX и такие
ресурсы, как файлы, хранящимися на файловых серверах UNIX. Вы можете использовать Microsoft Services
for NFS для того, чтобы обеспечить компьютерам, работающим под управлением Windows Server 2003 R2,
доступ к ресурсам файловых серверов, которые используют NFS.
Storage Management for SANs (Управление сетями хранилищ данных)
Storage Management for SANs (Управление сетями хранилищ данных) является новой оснасткой для
Microsoft Management Console (MMC, Управляющей консоли Microsoft), которая поможет создавать и
управлять номерами логических устройств (LUNs) на оптоволоконных каналах и дисковыми устройствами
iSCSI в вашей сети хранилищ данных. Данная оснастка может быть использована для управления
подсистемами хранилищ, которые поддерживают Virtual Disk Server (VDS, Виртуальные дисковые сервера).
Используйте Storage Management for SANs для создания и присвоения номеров логических устройств
(LUNs), управляйте соединениями между LUN-ами и серверами в вашей SAN и устанавливайте параметры
безопасности для подсистемы хранилища iSCSI.
43. Разграничение доступа к ресурсам файлового сервера. Управление безопасностью общих
сетевых ресурсов. Инструменты разграничения доступа.
Разрешения для общего ресурса
Чтение (Read)
Пользователи могут просматривать имена папок, а также имена, содержимое и атрибуты файлов,
запускать программы и обращаться к другим папкам внутри общей папки
Изменение (Change)
Пользователи могут создавать папки, добавлять файлы и редактировать их содержимое, изменять
атрибуты файлов, удалять файлы и папки и выполнять действия, допустимые разрешением Чтение (Read)
Полный доступ (Full Control)
Пользователи могут изменять разрешения файлов, становится владельцами файлов и выполнять все
действия, допустимые разрешением Изменение (Change)
Разрешения общего ресурса можно предоставлять или отменять. Действующим набором разрешений
общего ресурса называют сумму разрешений, предоставленных пользователю и всем группам, членом
которых он является.
Разрешения общего ресурса определяют максимальные действующие разрешения для всех файлов и
папок внутри общей папки. Назначая разрешения NTFS для отдельных файлов и папок, доступ можно
ужесточить, но не расширить. Другими словами, доступ пользователя к файлу или папке определяется
наиболее жестким набором из разрешений общего ресурса и разрешений NTFS. Если разрешения NTFS
дают группе полный доступ к папке, а разрешения общего ресурса остаются стандартными — группе. Все
(Everyone) предоставлено разрешение Чтение (Read) или даже Изменение (Change) — разрешения NTFS
ограничиваются разрешением общего ресурса. Этот механизм означает, что разрешения общего ресурса
усложняют управление доступом к ресурсам. Это одна из причин, по которой в организациях обычно
назначают общим ресурсам открытые разрешения: группе Все (Everyone) дается разрешение Полный доступ
(Full Control), а для защиты папок и файлов используют только разрешения NTFS.
NTFS — более продуманная система. Разрешения NTFS обеспечивают надежный, безопасный способ
управления доступом к файлам и папкам. Разрешения NTFS реплицируются, сохраняются при
архивировании и восстановлении тома данных, подлежат аудиту и обеспечивают чрезвычайную гибкость и
удобство управления.
Использование разрешений общего ресурса для решения реальных задач
Из-за этих ограничений разрешения общего ресурса применяются только в очень редких случаях,
когда том отформатирован под файловую систему FAT или FAT 32, которые не поддерживают разрешения
NTFS. Иначе, правило «реального мира» звучит так: предоставьте группе Все (Everyone) разрешение общего
ресурса Полный доступ (Full Control), а для ограничения доступа к содержимому общей папки используйте
разрешения NTFS.
Средства разграничения доступа:
- Ограничение физического доступа к серверам
- прямой вход в приложение
- использование ограничивающего командного интерпретатора
- контроль переменной окружения PATH
- установка umask в профайлах пользователей
- разбиения пользователей на группы в соответствии со служебными обязанностями
- использования списка управления доступом для индивидуального задания прав
44. Службы каталогов, функции и назначение. Служба каталогов Active
Directory. Компоненты структуры каталога.
Сети Microsoft Windows поддерживают две модели служб каталогов: рабочую группу (workgroup) и домен
(domain). Для огранизаций, внедряющих Windows Server 2003, модель домена наиболее предпочтительна.
Модель домена характеризуется единым каталогом ресурсов предприятия — Active Directory, — которому
доверяют все системы безопасности, принадлежащие домену. Поэтому такие системы способны работать с
субъектами безопасности (учетными записями пользователей, групп и компьютеров) в каталоге, чтобы
обеспечить защиту ресурсов. Служба Active Directory, таким образом, играет роль идентификационного
хранилища и сообщает «кто есть кто» в этом домене. Впрочем, Active Directory — не просто база данных.
Это коллекция файлов, включая журналы транзакций и системный том ( Sysvol ), содержащий сценарии
входа в систему и сведения о групповой политике. Это службы, поддерживающие и использующие БД,
включая протокол LDAP (Lightweight Directory Access Protocol), протокол безопасности Kerberos, процессы
репликации и службу FRS (File Replication Service). БД и ее службы устанавливаются на один или несколько
контроллеров домена. Контроллер домена назначается Мастером установки Active Directory, который
можно запустить с помощью Мастера настройки сервера (как вы сделаете в упражнении 2) или командой
DCPROMO из командной строки. После того как сервер становится контроллером домена, на нем хранится
копия (реплика) Active Directory, и изменения БД на любом контроллере реплицируются на все остальные
контроллеры домена.
Домены, деревья и леса Active Directory не может существовать без домена и наоборот. Домен — это
основная административная единица службы каталогов. Однако предприятие может включить в свой
каталог Active Directory более одного домена. Когда несколько моделей доменов совместно используют
непрерывное пространство имен DNS, они образуют логические структуры, называемые деревьями (tree).
Например, домены contoso.com , us.contoso.com и europe.contoso.com совместно используют непрерывное
пространство имен DNS и, следовательно, составляют дерево.
Домены Active Directory с разными корневыми доменами образуют несколько деревьев. Они объединяются
в самую большую структуру Active Directory — лес (forest). Лес Active Directory содержит все домены в
рамках службы каталогов. Лес может состоять из нескольких доменов в нескольких деревьях или только из
одного домена. Когда доменов несколько, приобретает важность компонент Active Directory, называемый
глобальным каталогом (global catalog): он предоставляет информацию об объектах, расположенных в других
доменах леса.
Объекты и организационные подразделения Ресурсы предприятия представлены в Active Directory в виде
объектов или записей в БД. Каждый объект характеризуется рядом атрибутов или свойств. Например, у
пользователя есть атрибуты имя пользователя и пароль, у группы — имя группы и список пользователей,
которые в нее входят. Для создания объекта в Active Directory откройте консоль derive Directory —
пользователи и компьютеры (Active Directory Users And Computers) в группе программ Администрирование
(Administrative Tools). Раскройте домен, чтобы увидеть его контейнеры и организационные подразделения.
Щелкните контейнер или ОП правой кнопкой и в контекстном меню выберите Создать (New) тип_объекта.
Служба Active Directory способна хранить миллионы объектов, включая пользователей, группы,
компьютеры, принтеры, общие папки, сайты, связи сайтов, объекты групповой политики (ОГП) и даже зоны
DNS и записи узлов. Можно представить, в какой кошмар превратился бы доступ к каталогу и его
администрирование без определенной структуры.
Структура — цель введения характерного типа объекта, называемого организационным
подразделением (organizationunit, OU). ОП представляют собой контейнеры внутри домена, позволяющие
группировать объекты, управляемые или настраиваемые одинаковым образом. Однако задача ОП — не
только организовать объекты Active Directory, они обеспечивают важные возможности управления,
поскольку образуют точку, куда могут делегироваться функции управления и с которой можно связать
групповые политики.
45. Управление пользователями в ОС. Основные задачи администрирования
пользователей. Понятие учетной записи. Доменные и локальные учетные записи.
Active Directory требует, чтобы перед разрешением доступа к ресурсам проводилась проверка
подлинности пользователя на основе его учетной записи, которая содержит имя для входа в систему, пароль
и уникальный идентификатор безопасности (security identifier, SID). В процессе входа в систему Active
Directory проверяет подлинность имени и пароля. После этого подсистема безопасности может создать
маркер доступа, представляющий этого пользователя. В маркере доступа содержатся SID учетной записи
пользователя и SID всех групп, к которым относится пользователь. При помощи этого маркера можно
проверить назначенные пользователю права, в том числе право локально входить в систему, а также
разрешить или запретить доступ к ресурсам, защищенным таблицами управления доступом (access control
list, ACL).
Учётная запись — запись, содержащая сведения, которые пользователь сообщает о себе некоторой
компьютерной системе.
Учетная запись пользователя – запись в специализированной БД, которая содержит информацию о
пользователях информационной системы. Используется для регистрации пользователя в системе и
проверке и обеспечении доступа к компонентам информационной системы. Характеризуется атрибутами.
Локальные учетные записи – учетные записи, доступные лишь на том компьютере, на котором они
размещаются. Кроме того, локальные учетные записи пользователей могут существовать лишь на
рабочих станциях и на особых серверах (member server). Контроллеры домена не допускают существование
локальных учетных записей пользователей.
Доменная учетная запись – это учетная запись, которой предоставляют права и разрешения в масштабах
домена. Два наиболее важных применения доменных учетных записей — аутентификация пользователей и
разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям
регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена
службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений,
получаемых пользователем через членство в одной или нескольких доменных группах.
Задачи администрирования:
 управление учетными записями пользователей
 управление доступом к ресурсам
 обеспечение сохранности, секретности и актуальности данных
 установка и сопровождение ПО и железа.
Задачи администрирования учетных записей:
создание, удаление, изменение, настройка политик безопасности, блокировка и разблокировка.
Пользователь – физ. лицо, имеющее доступ к определенным ресурсам ИВС. Оно идентифицируется учетной
записью.
46. Обеспечение ИБ в сетях
Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются
идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и
аудит самой системы.
Идентификация и аутентификация
Обычно каждый пользователь в системе имеет уникальный идентификатор. Идентфикаторы
пользователей применяются с теми же целями, что и идентификаторы любых других объектов, файлов,
процессов. Идентификация заключается в сообщении пользователем своего идентификатора. Для того
чтобы установить, что пользователь именно тот, за кого себя выдает, то есть что именно ему принадлежит
введенный идентификатор, в информационных системах предусмотрена процедура аутентификации
(authentication, опознавание, в переводе с латинского означает установление подлинности), задача которой предотвращение доступа к системе нежелательных лиц.
Обычно аутентификация базируется на одном или более из трех пунктов:
то, чем пользователь владеет (ключ или магнитная карта),
то, что пользователь знает (пароль),
атрибуты пользователя (отпечатки пальцев, подпись, голос).
Пароли, уязвимость паролей
Наиболее простой подход к аутентификации - использование пользовательского пароля.
Когда пользователь идентифицирует себя при помощи уникального идентификатора или имени, у него
запрашивается пароль. Если пароль, сообщенный пользователем, совпадает с паролем, хранимым в системе,
система предполагает, что пользователь легитимен.
Пароли часто используются для защиты объектов в компьютерной системе в отсутствие более сложных
схем защиты.
Проблемы паролей связаны с трудностью хранить пароль в секрете. Пароли могут быть
скомпрометированы путем угадывания, случайно показаны или нелегально переданы авторизованным
пользователем неавторизованному
Есть два общих способа угадать пароль. Один для нарушителя, который знает пользователя или
информацию о пользователе. Люди обычно используют очевидную информацию (типа имен кошек) в
качестве паролей. Для иллюстрации важности разумной политики назначения идентификаторов и паролей
можно привести данные исследований, проведенных в AT&T, показывающие, что из 500 попыток
несанкционированного доступа около 300 составляют попытки угадывания паролей или беспарольного
входа по пользовательским именам guest, demo и т.д.
Другой способ - грубой силы - попытаться перебрать все возможные комбинации букв, чисел и
пунктуации. Например, четыре десятичные цифры дают только 10000 вариантов, более длинные пароли,
введенные с учетом регистра символов и пунктуации, менее уязвимы.
Хотя имеются проблемы с их использованием, пароли, тем не менее, распространены, так как они
легки для понимания и использования.
Шифрование пароля
Для хранения секретного списка паролей на диске многие ОС используют криптографию. Система
использует одностороннюю функцию, которую чрезвычайно трудно (дизайнеры надеются, что невозможно)
инвертировать, но просто вычислить. Хранятся только кодированные пароли. В процессе аутентификации
представленный пользователем пароль кодируется и сравнивается с хранящимися на диске. Т.о., файл
паролей нет необходимости держать в секрете.
При удаленном доступе к ОС нежелательно путешествие пароля по сети в открытом виде. Одним из
типовых решений является использование криптографических протоколов. В качестве примера можно
рассмотреть протокол опознавания с подтверждением установления связи путем вызова - CHAP (Challenge
Handshake Authentication Protocol)
Опознавание достигается за счет проверки того, что у пользователя, осуществляющего доступ к
серверу, имеется секретный пароль, который уже известен серверу.
Сервер посылает пользователю запрос (вызов), состоящий из идентифицирующего кода, случайного
числа и имени узла сервера или имени пользователя. При этом пользовательское оборудование в результате
затребования пароля пользователя отвечает следующим ответом, зашифрованным с помощью алгоритма
одностороннего хэширования, наиболее распространенным видом которого является MD5. После
получения ответа сервер при помощи той же функции с теми же аргументами шифрует собственную версию
пароля пользователя. В случае совпадения результатов разрешается вход в систему. Существенно, что
незашифрованный пароль при этом не посылается по каналу связи.
Авторизация. Разграничение доступа к объектам ОС
После того, как легальный пользователь вошел в систему необходимо осуществить авторизацию
(authorization)- предоставление субъекту прав на доступ к объекту. Средства авторизации контролируют
доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права,
которые были определены администратором, а также осуществляют контроль возможности выполнения
пользователем различных системных функций.
Как уже говорилось, компьютерная система может быть смоделирована как набор субъектов
(процессы, пользователи) и объектов. Под объектами мы понимаем как ресурсы оборудования (процессор,
сегменты памяти, принтер, диски и ленты), так и программные (файлы, программы, семафоры). Каждый
объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть
доступен через хорошо определенные и значимые операции. Объекты - абстрактные типы данных.
Операции зависят от объектов. Hапример, процессор может только выполнять команды. Сегменты
памяти могут быть записаны и прочитаны, тогда как считыватель карт может только читать. Файлы данных
могут быть записаны, прочитаны, переименованы и т.д.
Очевидно, что процессу может быть разрешен доступ только к тем ресурсам, к которым он имеет
авторизованный доступ. Желательно добиться того, чтобы он имел доступ только к тем ресурсам, которые
ему нужны для выполнения его задачи. Это требование имеет отношение только к принципу минимизации
привилегий, полезному с точки зрения ограничения количества повреждений, которые процесс может
нанести системе. Hапример, когда процесс P вызывает процедуру А, ей должен быть разрешен доступ
только к переменным и формальным параметрам, переданным ей, она должна быть не в состоянии влиять на
другие переменные процесса. Аналогично компилятор не должен оказывать влияния на произвольные
файлы, а только на их хорошо определенное подмножество (типа исходных файлов, листингов и др.),
имеющих отношение к компиляции. С другой стороны, компилятор может иметь личные файлы,
используемые для оптимизационных целей, к которым процесс Р не имеет доступа.
Различают дискреционный (избирательный) способ управления доступом и полномочный (мандатный).
При дискреционном доступе определенные операции над определенным ресурсом запрещаются или
разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав
доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, а
в столбцах - объекты.
Полномочный подход заключается в том, что вся информация делится на уровни в зависимости от
степени секретности, а все пользователи также делятся на группы, образующие иерархию в соответствии с
уровнем допуска к этой информации.
Большинство операционных систем реализуют именно дискреционное управление доступом. Главное
его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность
централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать
секретную информацию в общедоступные файлы.
47. Управление доступом к данным. Списки прав доступа к объектам ОС
Существует несколько моделей предоставления прав доступа к файлам и другим объектам. Наиболее
простая модель используется в системах семейства Unix.
В этих системах каждый файл или каталог имеют идентификаторы хозяина и группы. Определено три
набора прав доступа: для хозяина, группы (т.е., для пользователей, входящих в группу, к которой
принадлежит файл) и всех остальных. Пользователь может принадлежать к нескольким группам
одновременно, файл всегда принадлежит только одной группе.
Бывают три права: чтения, записи и исполнения. Для каталога право исполнения означает право на
поиск файлов в этом каталоге. Каждое из прав обозначается битом в маске прав доступа, т.е. все три группы
прав представляются девятью битами или тремя восьмеричными цифрами.
Права на удаление или переименование файла не существует; вообще, в Unix не определено операции
удаления файла как таковой, а существует лишь операция удаления имени unlink. Для удаления или
изменения имени достаточно иметь право записи в каталог, в котором это имя содержится.
В традиционных системах семейства Unix все глобальные объекты - внешние устройства и
именованные программные каналы - являются файлами (точнее, имеют имена в файловой системе), и
управление доступом к ним охватывается файловым механизмом. В современных версиях Unix адресные
пространства исполняющихся процессов также доступны как файлы в специальной файловой (или
псевдофайловой, если угодно) системе proc. Файлы в этой ФС могут быть использованы, например,
отладчиками для доступа к коду и данным отлаживаемой программы. Управление таким доступом также
осуществляется стандартным файловым механизмом. Кроме доступа к адресному пространству, над
процессом в Unix определена, по существу, только операция посылки сигнала. Обычный пользователь
может посылать сигналы только своим процессам; только суперпользователь (root) может посылать их
чужим процессам. Все остальные операции осуществимы только между процессами, связанными
отношением родитель/потомок, и распределение прав доступа в этой ситуации вообще не нужно. Таким
образом, файловые права доступа используются для управления доступом к практически любым объектам
ОС.
Многие современные системы, не входящие в семейство Unix, а также и некоторые версии Unix,
например, HP/UX или SCO UnixWare 2.x, используют более сложную и гибкую систему управления
доступом, основанную на списках управления доступом (Access Control Lists - ACL). С каждым
защищаемым объектом, кроме идентификатора его хозяина, связан список записей. Каждая запись состоит
из идентификатора пользователя или группы и списка прав для этого пользователя или группы. Понятие
группы в таких системах не играет такой большой роли, как в Unix, а служит лишь для сокращения ACL,
позволяя задать права для многих пользователей одним элементом списка. Многие системы, использующие
эту модель, например Novell Netware, даже не ассоциируют с файлом идентификатора группы.
Обычно список возможных прав включает в себя право на изменение ACL. Таким образом, не только
хозяин объекта может изменять права доступа к нему. Это право может быть дано и другим пользователям
системы или даже группам пользователей, если это окажется для чего-то необходимо.
Однако за дополнительную гибкость приходится платить снижением производительности. В системах
семейства Unix проверка прав доступа осуществляется простой битовой операцией над маской прав. В
системах же, использующих ACL, необходим просмотр списка, который может занять намного больше
времени. Самое плохое состоит в том, что мы не можем гарантировать завершения этого поиска за какоелибо время, не устанавливая ограничений на длину списка.
В современных системах накладные расходы, связанные с использованием ACL, считаются достаточно
малыми, поэтому эта модель распределения прав приобретает все большую популярность.
Кроме прав доступа к объектам, система должна управлять выдачей некоторых привилегий. Так, для
выполнения резервного копирования и восстановления файлов необходим пользователь, способный
осуществлять доступ к файлам и операции на ними, не обращая внимания на права доступа.
Во всех системах необходимы пользователи, имеющие право изменять конфигурацию системы,
заводить новых пользователей и группы и т.д. Если система обеспечивает запуск процессов реального
времени, создание таких процессов тоже должно контролироваться, поскольку процесс РВ имеет более
высокий приоритет, чем все процессы разделенного времени, и может, просто не отдавая процессор,
заблокировать все остальные задачи.
В большинстве современных многопользовательских ОС, не входящих в семейство Unix, с каждым
пользователем ассоциирован список привилегий, которыми этот пользователь обладает. В системах
семейства Unix все гораздо проще: обычные пользователи не обладают никакими привилегиями. Для
выполнения привилегированных функций существует пользователь c численным идентификатором 0 суперпользователь (superuser), который обладает, подобно христианскому Господу Богу, всеми мыслимыми
правами, привилегиями и атрибутами. По традиции суперпользователь имеет символьное имя root ``корень''.
Система списков привилегий предоставляет большую гибкость, чем один сверхпривилегированный
суперпользователь, потому что позволяет администратору системы передать часть своих функций,
например выполнение резервного копирования, другим пользователям, не давая им при этом других
привилегий. Однако, как и ACL, эта схема приводит к большим накладным расходам при контроле прав
доступа: вместо сравнения идентификатора пользователя с нулем мы должны сканировать список
привилегий, что несколько дольше.
В некоторых ситуациях нужен более тонкий контроль за доступом, чем управление доступом на уровне
файлов. Например, для изменения информации о пользователе необходим доступ на запись к
соответствующей базе данных, но не ко всей, а только к определенной записи. Вполне естественно и даже
необходимо дать пользователю возможность менять пароль, не обращаясь к администратору. С другой
стороны, совершенно недопустима возможность менять пароли других пользователей. Одним из решений
было бы хранение пароля для каждого из пользователей в отдельном файле, но это во многих отношениях
неудобно. Другое решение может состоять в использовании модели клиент-сервер с процессом-сервером,
исполняющимся с привилегиями администратора, который является единственным средством доступа к
паролям. Например, в Windows NT весь доступ к пользовательской базе данных осуществляется через
системные вызовы, то есть функции процесса-сервера исполняет само ядро системы. Этот подход позволяет
решить проблему контроля доступа именно к пользовательской базе данных, но аналогичная проблема
возникает и в других ситуациях.
В системах семейства Unix для этой цели был предложен оригинальный механизм, известный как setuid
(setting of user id - установка [эффективного] идентификатора пользователя).
48. Создание и редактирование объектов групповой политики. Инструменты управления
групповыми политиками.
Реализация политик безопасности в Windows 2000 предоставляет значительно более широкие
возможности. При необходимости вы можете устанавливать политики для всего дерева доменов. Различные
контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности.
Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех
серверов и рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью
средств групповых политик (group policy).
Групповая политика имеет следующие преимущества:
Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так
и децентрализовано управлять параметрами политики.
Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций
системы, предназначенных как для малого бизнеса, так и для больших корпораций.
Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным
интерфейсом — оснастку консоли управления Групповая политика (Group Policy).
Обладает высокой степенью надежности и безопасности.
Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся
в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими
контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
1. Политики безопасности Windows 2000 хранятся в двух типах объектов GPO: локальном объекте
групповой политики и объекте групповой политики домена.
2. Объекты групповой политики (GPO)
3. Оснастка Групповая политика (Group Policy)
При создании, настройке и хранении параметров групповых политик применяется подход,
позволяющий работать с GPO как с документами.
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате
групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей,
находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере
являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления Групповая политика, которая может
вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—
пользователи и компьютеры (Active Directory Users and Computers) или Active Directory—сайты и службы
(Active Directory Site and Services). Для вызова оснастки Групповая политика в качестве расширения в окне
соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся
контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку
Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и
ассоциированные с ними GPO.
Для запуска оснастки Групповая политика в виде изолированной оснастки:
1. Нажмите кнопку Пуск (Start). Выберите команду Выполнить (Run). В поле ввода введите с
клавиатуры и нажмите кнопку ОК. Запустится консоль управления Microsoft.
2. В окне консоли управления в меню Консоль (Console) выберите команду Добавить/удалить
оснастку (Add/Remove Snap-in), затем нажмите кнопку Добавить (Add). В открывшемся окне выберите
элемент Групповая политика и нажмите кнопку Добавить.
3. В следующем окне нажмите кнопку Обзор (Browse). В открывшемся окне диалога выберите GPO,
который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта
или домена), и нажмите кнопку ОК. Нажмите кнопки Готово (Finish), Закрыть (Close) и ОКТеперь оснастку
можно сохранить в файле с любым именем.
Создать групповую политику для контейнера Active Directory можно только при наличии
определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000.
Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в
системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации
выбранного контейнера Active Directory.
После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые
являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска
оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации
консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий
применение расширений, позволяет пользователям создавать свои собственные расширения оснастки
Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое
расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика —
чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.
Расширения оснастки Групповая политика
Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся
дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они
могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально
расширять узлы Конфигурация компьютера или Конфигурация пользователя. Оснастка Групповая политика
имеет следующие расширения (рис. 27.1):
Административные шаблоны. (Administrative Templates).
Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний
вид рабочего стола, компонент операционной системы и приложений.
Параметры безопасности (Security Settings).
Служит для настройки параметров системы безопасности компьютеров, на которые воздействует
данный объект групповой политики. С помощью групповых политик можно настроить безопасность
локального компьютера, домена и целой сети. О Установка программ (Software Installation). Служит для
централизованного управления программным обеспечением организации. С его помощью можно задавать
различные режимы установки новых программ на компьютеры пользователей.
Сценарии (Scripts).
Сценарии используются для автоматического выполнения набора команд при загрузке операционной
системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети.
Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно
применять сервер сценариев (Windows Scripting Host).
Перенаправление папок (Folder Redirection).
Позволяет перенаправлять обращение к специальным папкам в сеть.
Установка программ (Software Installation)
Наличие механизма групповых политик всегда являлась одной из главных отличительных черт Active
Directory (AD), а в операционной системе Windows Server 2003 компания Microsoft существенно расширила
функциональность объектов групповой политики (GPO) и возможность управления им, дополнив консоль
MMC оснасткой Group Policy Management Console (GPMC). Компонент GPMC является довольно
масштабным и достаточно сложным инструментом, поэтому для того, чтобы научиться максимально
использовать все преимущества GPO в своей инфраструктуре необходимо хорошо разбираться в предмете.
Группы безопасности (security groups) предназначены для решения следующих двух задач:
ограничения влияния групповой политики и делегирования управления объектами групповой политики.
Ограничение влияния настроек групповой политики
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере,
подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным
контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы
пользователей и компьютеров применяют группы безопасности. Они не могут быть связаны с GPO, но с
помощью вкладки Безопасность окна свойств объекта групповой политики можно задать, будет ли данный
GPO влиять на членов определенной группы безопасности.
Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с
помощью групп безопасности. Группы дистрибуции (distribution groups) для этого не подходят.
Для ограничения влияния настроек групповой политики: 1. В правом подокне окна оснастки
Групповая политика укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Свойства.
3. В окне свойств объекта групповой политики перейдите на вкладку Безопасность.
4. Нажмите кнопку Добавить и добавьте нужную группу.
5. Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить
или запретить доступ к GPO. На членов группы, для которой в строке Применение групповой политики
флажок установлен в позиции Разрешить, влияют настройки данного объекта групповой политики. Чтобы
запретить влияние групповой политики на определенную группу, в строке Применение групповой политики
флажок необходимо установить в позиции Запретить (Deny). Если флажок не установлен ни в одной из
позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.
Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как
указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые
политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е.
на контейнеры Active Directory, однако, используя механизмы безопасности, можно построить систему
групповых политик, ориентированную на группы. Например, можно создать несколько политик на уровне
домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой
политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated
Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и
гибким.
С помощью инструментов управления Active Directory администратор может делегировать другим
пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам
групповой политики, в отношении которых могут быть, в частности, делегированы следующие права: П
Управление связями GPO с сайтом, доменом или подразделением (OU). Для этого с помощью инструмента
управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся
контекстном меню выберите команду Делегирование управления (Delegate Control). Запустится Мастер
делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой
политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в
данном случае Управление ссылками групповой политики (Manage Group Policy links)). Создание и
удаление всех дочерних объектов групповой политики. По умолчанию правом создания объектов в GPO
обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а
также операционная система. Для делегирования пользователю права управления объектами групповой
политики домена необходимо включить его в группу Создатели-владельцы групповой политики (Group
Policy Creator Owners).
Редактирование свойств объектов групповой политики. По умолчанию правом редактирования GPO
обладают администраторы домена, администраторы предприятия и операционная система. Для
делегирования пользователю права редактирования объекта групповой политики необходимо включить его
в одну из указанных трупп безопасности.
49. Шаблоны безопасности. Примеры шаблонов. Управление политикой безопасности.
Оснастка Шаблоны безопасности (Security Templates) — этот инструмент позволяет определять
конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов.
едактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и
редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие
файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных
безопасности.
Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске
и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые
настройки безопасности начнут действовать.
С помощью оснастки Шаблоны безопасности можно конфигурировать:
1. Политики безопасности учетных записей (Account Security). Здесь вы сможете настроить такие
параметры безопасности, как политика паролей, политика блокировки паролей и т. д.
2. Локальные политики (Local Policies). Здесь можно настроить параметры безопасности, касающиеся
политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины
Windows 2000. Большинство этих параметров безопасности соответствуют значениям переменных реестра.
3. Журнал событий (Event Log). Здесь настраиваются параметры, определяющие работу журналов
системы, безопасности, приложений и службы каталогов (Directory Service).
4. Группы с ограниченным доступом (Restricted Groups). Параметры, определяющие членство в
группах, включая поддержку встроенных групп контроллеров домена.
5. Системные службы (System Services). Здесь можно настроить параметры безопасности, касающиеся
режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие
безопасность редиректора и сервера.
6. Реестр (Registry). Можно управлять доступом к разделам реестра системы.
7. Файловая система (File System). Можно настроить параметры управления доступом к файлам и
папкам локальных томов файловой системы и деревьев каталога.
Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в
текстовые файлы с расширением inf, называемые шаблонами безопасности. С их помощью можно
конфигурировать систему. Кроме того, при анализе безопасности системы шаблоны могут быть
использованы в качестве рекомендованной конфигурации.
Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация
шаблонов обрабатывается ядром оснастки Шаблоны безопасности. Шаблоны обладают гибкой
архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа
информации безопасности.
Оснастка Шаблоны безопасности располагает набором созданных заранее шаблонов безопасности. По
умолчанию они хранятся в папке %SystemRoot% \Security\Templates. Они могут быть модифицированы с
помощью этой оснастки и импортированы в расширение Параметры безопасности (Security Settings)
оснастки Групповая политика.
Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С
помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации
безопасности компьютера Windows 2000. Применять шаблоны безопасности, можно только в случае, если
система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые
шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь
дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют
инкрементирующими шаблонами безопасности.
Заранее определенные компанией Microsoft конфигурации безопасности делятся на следующие
типы:
1. Базовая (Basic). Это набор настроек безопасности, генерируемых по умолчанию на рабочих станциях,
серверах и контроллерах доменов при первоначальной установке Windows 2000. Базовая конфигурация в
основном служит для того, чтобы прекращать действие более жестких типов конфигураций безопасности.
Операционная система Windows 2000 содержит три базовых шаблона безопасности:
basicwk.inf — для рабочих станций
basicsv.inf — для серверов
basicdc.inf — для контроллеров доменов
Базовые шаблоны безопасности содержат настройки параметров безопасности, устанавливаемые по
умолчанию для всех областей обеспечения безопасности, за исключением прав пользователя и групп. Эти
шаблоны можно применять в системе Windows 2000 с помощью оснастки Анализ и настройка безопасности
или с помощью утилиты Secedit.exe.
2. Совместимая (Compatible). Эти настройки безопасности генерируются в системах, где не требуются
жесткие меры безопасности, и где работают устаревшие программные продукты. В выборе между
обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация
принимает сторону приложения. Помимо некоторого улучшения установок безопасности, совместимые
конфигурации содержат в себе специальные настройки, предназначенные для защиты пакета Microsoft
Office. В случае, если в системе используется этот продукт, совместимая конфигурация должна быть
включена после установки пакета Office. Однако следует помнить, что конфигурация безопасности,
создаваемая этим шаблоном, не считается защищенной. Файл совместимого шаблона безопасности
называется compatws.inf.
3. Защищенная (Secure). Обеспечивает более надежную безопасность по сравнению с совместимой
конфигурацией. В выборе между обеспечением выполнения' всех функций приложения и обеспечением
безопасности данная конфигурация принимает сторону безопасности. Она содержит жесткие настройки
безопасности для политики учетных записей, аудита и некоторых широко используемых разделов реестра.
Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности
Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны
защищенной безопас ности находятся в файлах securews.inf и securedc.inf.
4. Сильно защищенная (High Security). Эта конфигурация позволяет получить идеально защищенную
систему Windows 2000, не учитывающую функциональность приложений. Подобная конфигурация при
обмене информацией предполагает обязательное использование электронной подписи и шифрования,
которое обеспечивается только средствами Windows 2000. Поэтому компьютеры, на которых установлена
сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими
операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где
работают приложения, предназначенные для функционирования в среде с усиленной системой
безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf.
Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее
созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.
50. Утилиты командной строки для управления удаленным компьютером.
Пакет программ под названием Command Line Management, реализованный Microsoft в Windows Server
2003, предназначен именно для этих нужд администратора. Предлагаю вниманию читателей обзор девяти
утилит командной строки Windows Server 2003, которые группа программистов создала или
усовершенствовала, исходя из существующих инструментов.Одна из целей программы Command Line
Management — предоставить администраторам утилиты командной строки для решения задач управления
высокого уровня. Гибкость и мощность таких утилит, позволяющих любому администратору писать
сценарии, — не единственные их достоинства. Эти программы представляют собой усовершенствованные
во многих отношениях предыдущие инструменты.
Все утилиты имеют стандартный синтаксис, что сокращает количество времени, необходимое
администраторам для изучения каждой из них в отдельности.
Выполнять программы на сервере можно в удаленном режиме без необходимости регистрироваться
непосредственно на консоли.
Утилиты поддерживают работу под другой учетной записью, поэтому могут функционировать в
защищенной среде, в которой администратор, как правило, не является привилегированным пользователем.
Как уже отмечалось выше, не все рассматриваемые утилиты являются новыми..
Нужно соблюдать осторожность, если при создании сценариев на базе утилит командной строки
используется не Notepad, а какой-то другой редактор. По умолчанию Microsoft Word добавляет
автоматические кавычки, заменяет два идущих подряд дефиса длинным тире и использует другие символы
для улучшения вида текста. В результате можно потратить два часа на проверку синтаксиса команд и
обнаружить, что он правильный, но в коде утилиты содержится несколько неотображаемых символов.
гораздо реже, чем другие утилиты командной строки, она важнее всех остальных.
Утилита Dsadd
Утилита Dsadd добавляет в AD наиболее общие типы объектов: пользователей, компьютеры, группы
(безопасности и маршрутизации), организационные единицы и даже контакты. Можно указывать многие
общие атрибуты для добавления объектов, но эта команда не поддерживает все возможные объекты.
Чтобы добавить организационную единицу в BigTex.net, нужно ввести весь следующий текст в одной
строке:
dsadd ou OU=roughnecks,
DC=bigtex,DC=net
-desc «Oilfield Roughnecks»
Чтобы добавить группу в новую организационную единицу, следует ввести:
dsadd group CN=goodolboys,
OU=roughnecks,DC=bigtex,
DC=net -secgrp yes
В процессе создания группы в нее с помощью ключа -members можно добавлять пользователей,
одновременно делая их членами других групп с помощью ключа -memberof. Для того чтобы добавить в
новую группу пользователя по имени Jim Bob, требуется ввести:
dsadd user «CN=James Robert, CN=Users,DC=bigtex,DC=net»
-samid JIMBOB
-upn jimbob@bigtex.net
-fn James -ln Robert -empid 123456 -pwd n0tsecure!
-mustchpwd yes
-memberof CN=goodolboys,
OU=roughnecks,DC=bigtex,DC=net
поскольку параметру mustchpwd присвоено значение yes, пользователи должны изменить свои пароли
при первой регистрации.
Утилита Dsquery
При помощи двух новых утилит командной строки можно получать информацию о восьми типах
объектов AD Windows 2003: сайтах, подсетях, серверах, компьютерах, организационных единицах, группах,
пользователях и контактах. Dsquery предназначена для расширенного поиска и поддерживает использование
шаблонов (*) для поиска любых объектов, удовлетворяющих заданному критерию. Утилита Dsget более
специфична. Она служит для просмотра свойств конкретных объектов в AD.
Синтаксис Dsquery.
dsquery * [{StartNode | forestroot | domainroot}]
[-scope {subtree | onelevel | base}] [-filter LDAPFilter]
[-attr {AttributeList | *}] [-attrsonly] [-l]
Утилита Dsget
С помощью утилиты Dsget можно узнать определенные свойства объектов AD. Как и во всех других
случаях, в этой утилите командной строки, относящейся к AD, выбор объекта осуществляется по его DN.
dsget user «cn=James Robert,
OU=roughnecks,DC=bigtex,
DC=net» -pwdneverexpires
Утилита Dsmod
Утилита Dsmod изменяет существующие в AD учетные записи пользователей, группы,
организационные единицы и контакты. Например, можно изменить членство в группе и ее тип. С помощью
параметра OU утилиты Dsmod — параметра менее полезного, чем остальные, — можно лишь изменить
описание организационной единицы. Для того чтобы восстановить пароль пользователя по имени Jim Bob и
заставить его сменить пароль при следующей регистрации, нужно ввести:
dsmod user «CN=James Robert,
CN=Users,DC=bigtex,DC=net»
-pwd Uf@tfingeredIt
-mustchpwd yes
Ели необходимо заблокировать учетную запись данного пользователя, следует ввести:
dsmod user «CN=James Robert,
CN=Users,DC=bigtex,DC=net»
-disabled yes
Для того чтобы восстановить учетную запись, нужно ввести:
dsmod computer CN=JimBobsPC,
CN=goodolboys,CN=roughnecks,
DC=bigtex,DC=net -reset
Чтобы изменить тип группы GoodOlBoys с глобального на универсальный, необходимо ввести:
dsmod group CN=GoodOlBoys,
CN=roughnecks,DC=bigtex,
DC=net -scope u
Утилита Dsmove
Утилита Dsmove перемещает объект в пределах домена. Для перемещения объектов между доменами
понадобится инструмент Movetree из набора Support Tools на компакт-диске Windows 2003.
Dsmove имеет два ключа: -newname и -newparent. В следующем примере показано, как использовать
ключ -newname для переименования объекта:
dsmove CN=sdeuby,CN=users,
CN=bigtex,CN=com
-newname "CN=Sean Deuby"
Для переименования объекта с ключом -newname нужно указывать только относительное
отличительное имя (relative distinguished name, RDN) объекта, а не DN целиком. Если требуется переместить
объект SDeuby в подразделение Roughnecks того же домена, следует использовать ключ -newparent, как
показано в следующем примере:
dsmove CN=sdeuby,CN=users,
CN=bigtex,CN=com
-newparent OU=roughnecks,
DC=bigtex,DC=net
В этом случае необходимо точно указать перемещаемому объекту его место назначения, вводя полное
имя DN родительского объекта назначения (организационная единица Roughnecks в Bigtex.net).
Утилита Dsrm
В отличие от других DS-утилит, Dsrm довольно проста: она удаляет объект AD, отличительное имя DN
которого было указано. Помимо параметров для альтернативных учетных данных и серверных
подключений, общих для всех этих инструментов, Dsrm имеет только два параметра. Параметр -subtree
означает, что требуется удалить как сам объект, так и все объекты, стоящие ниже его в иерархии. Если
параметр -subtree не используется, Dsrm удаляет только объект. Переключатель -exclude параметра -subtree
сохраняет объект и удаляет все объекты ниже его в иерархии. Параметр -noprompt отключает запрос на
подтверждение удаления. Например, команда
dsrm OU=roughnecks,DC=bigtex,
DC=net -subtree -exclude
-noprompt
удаляет все объекты в организационной единице Roughnecks, но саму организационную единицу
оставляет без изменения.
51. Серверы БД. СУБД.
База данных (БД) - это поименованная совокупность структурированных данных, относящихся к
определенной предметной области.
Пользователями базы данных могут быть различные прикладные программы, программные комплексы
и специалисты предметной области, выступающие в роли потребителей или источников данных,
называемые конечными пользователями.
В современной технологии баз данных предполагается, что их создание, поддержка и обеспечение
доступа пользователей осуществляются централизованно с помощью специального программного
инструментария — систем управления базами данных.
Система управления базами данных (СУБД) - это комплекс программных и языковых средств,
необходимых для создания баз данных, их поддержания в актуальном состоянии и организации в них
поиска необходимой информации.
Функции, структура и основные характеристики СУБД
1. К основным функциям СУБД принято относить следующие:
2. управление данными во внешней памяти;
3. управление буферами оперативной памяти;
4. управление транзакциями;
5. журнализация и восстановление БД после сбоев;
6. поддержка языков БД.
Управление данными во внешней памяти включает обеспечение необходимых структур внешней
памяти как для хранения данных, непосредственно входящих в базу данных, так и для служебных целей,
например, для ускорения доступа к данным.
Управление буферами оперативной памяти. СУБД, как правило, работают с БД большого объема. По
крайней мере, объем базы данных существенно превышает объем оперативной памяти. Так что, если при
обращении к любому элементу данных будет производиться обмен с внешней памятью, то вся система
будет работать со скоростью устройства внешней памяти. Практически единственным способом реального
увеличения этой скорости является буферизация данных в оперативной памяти. При этом, даже если
операционная система производит общесистемную буферизацию, этого недостаточно для целей СУБД,
которая располагает большей информацией о полезности буферизации той или иной части БД. Поэтому в
развитых СУБД поддерживается собственный набор буферов оперативной памяти с собственной
дисциплиной их замены.
Управление транзакциями. Транзакция - это последовательность операций над БД, рассматриваемых
СУБД как единое целое. Транзакция либо успешно выполняется, и СУБД фиксирует произведенные
изменения данных во внешней памяти, либо ни одно из этих изменений никак не отражается на состоянии
БД. Понятие транзакции необходимо для поддержания логической целостности БД, поэтому поддержание
механизма транзакций является обязательным условием как однопользовательских, так и
многопользовательских СУБД.
Журнализация и восстановление БД после сбоя. Одним из основных требований к СУБД является
надежность хранения данных во внешней памяти. Под надежностью хранения понимается то, что СУБД
должна быть в состоянии восстановить последнее целостное состояние БД после любого аппаратного или
программного сбоя. Обычно рассматриваются два возможных вида аппаратных сбоев: так называемые
мягкие сбои, которые можно трактовать как внезапную остановку работы компьютера, например, аварийное
выключение питания, и жесткие сбои, характеризуемые потерей информации на носителях внешней памяти.
В любом из описанных случаев для восстановления БД нужно располагать некоторой избыточной
информацией. Наиболее распространенным методом формирования и поддержания избыточной
информации является ведение журнала изменений БД.
Журнал - это специальная служебная часть БД, недоступная пользователям, в которую поступают
записи обо всех изменениях основной части БД. В виду особой важности этой информации для
восстановления целостности базы данных после сбоев, важно обеспечить сверхнадежное её хранение. В
некоторых СУБД поддерживаются две копии журнала, располагаемые на разных физических дисках. В
разных СУБД изменения БД фиксируются на разных уровнях: иногда запись в журнале соответствует
некоторой логической операции изменения БД, например, удаление строки из таблицы реляционной БД,
иногда - минимальной внутренней операции модификации страницы внешней памяти, а иногда
одновременно используются оба подхода. Во всех случаях придерживаются стратегии упреждающей записи
в журнал. То есть, запись об изменении любого объекта БД должна попасть во внешнюю память журнала
раньше, чем измененный объект попадет во внешнюю память основной части БД. Если в СУБД корректно
соблюдается это условие, то с помощью журнала можно решить все проблемы восстановления БД после
любого сбоя.
При мягком сбое во внешней памяти основной части БД могут находиться объекты, модифицированные
транзакциями, не закончившимися к моменту сбоя, и могут отсутствовать объекты, модифицированные
транзакциями, которые к моменту сбоя успешно завершились из-за использования буферов оперативной
памяти, содержимое которых в этой ситуации пропадает. При соблюдении стратегии упреждающей записи,
во внешней памяти журнала должна находиться информация, относящаяся к операциям модификации обоих
видов объектов. Целью процесса восстановления после мягкого сбоя является состояние внешней памяти
основной части БД, которое возникло бы при фиксации во внешней памяти изменений всех завершившихся
транзакций и которое не содержало бы никаких следов незаконченных транзакций. Для того чтобы этого
добиться, сначала производят откат незавершенных транзакций, а потом повторно воспроизводят те
операции завершенных транзакций, результаты которых не отображены во внешней памяти.
Для восстановления БД после жесткого сбоя используют журнал и архивную копию БД. Архивная
копия является полной копией БД к моменту начала заполнения журнала. Восстановление БД состоит в том,
что, исходя из архивной копии, по журналу воспроизводится работа всех транзакций, которые закончились к
моменту сбоя.
Поддержка языков БД. Для работы с базами данных используются специальные языки, в целом
называемые языками баз данных. В ранних СУБД поддерживалось несколько специализированных по своим
функциям языков. Чаще всего выделялись два языка - язык определения схемы БД (SDL - Schema Definition
Language) и язык манипулирования данными (DML - Data Manipulation Language). SDL служил, главным
образом, для определения логической структуры БД, какой она представляется пользователям. DML
содержал набор операторов манипулирования данными, позволяющих вводить, удалять, модифицировать и
выбирать данные. В современных СУБД, обычно, поддерживается единый интегрированный язык,
содержащий все необходимые средства для работы с БД и обеспечивающий базовый пользовательский
интерфейс. Стандартным языком наиболее распространенных в настоящее время реляционных СУБД
является язык SQL (Structured Query Language).
Язык SQL содержит специальные средства определения ограничений целостности БД. Ограничения
целостности хранятся в специальных таблицах-каталогах. Обеспечение контроля целостности производится
на языковом уровне. При компиляции операторов модификации БД, компилятор SQL, на основании
имеющихся ограничений целостности, генерирует соответствующий программный код.
Специальные операторы языка SQL позволяют определять так называемые представления БД,
фактически являющиеся хранимыми запросами. Для пользователя представление является такой же
таблицей, как любая базовая таблица, хранимая в БД, но с его помощью можно ограничить или расширить
видимость БД для конкретного пользователя. Поддержание представлений производится также на языковом
уровне.
Наконец, авторизация доступа к объектам БД производится на основе специального набора операторов
SQL. Идея состоит в том, что для выполнения операторов SQL разного вида пользователь должен обладать
различными полномочиями. Пользователь, создавший таблицу БД, обладает полным набором полномочий
для работы с этой таблицей. В число таких полномочий входит право на передачу всех или части
полномочий другим пользователям, включая полномочие на передачу полномочий. Полномочия
пользователей описываются в специальных таблицах-каталогах, а контроль полномочий поддерживается на
языковом уровне.
В типовой структуре современной реляционной СУБД логически можно выделить ядро СУБД,
компилятор языка БД, подсистему поддержки времени выполнения и набор утилит.
Ядро СУБД отвечает за управление данными во внешней памяти, управление буферами оперативной
памяти, управление транзакциями и журнализацию. Соответственно, можно выделить такие компоненты
ядра как менеджер данных, менеджер буферов, менеджер транзакций и менеджер журнала. Ядро обладает
собственным интерфейсом, недоступным пользователям, и является основной резидентной частью СУБД.
При использовании архитектуры «клиент-сервер» ядро является основной составляющей серверной части
системы.
52. Понятие Windows Script Host. Создание сценариев в Windows.
Microsoft Windows Script Host (WSH), в русских версиях Windows называемый Сервером Сценариев,
представляет собой языконезависимый сервер (контроллер обработчиков сценариев) для 32-х разрядных
операционных систем Microsoft Windows. В состав WSH включены обработчики сценариев (scripting
engines) языков Visual Basic Script и JavaScript. Другими поставщиками программного обеспечения могут
быть созданы обработчики сценариев (в виде ActiveX-объектов) для других языков, таких как Perl, TCL,
REXX, и Python. Примером может служить обработчик сценариев, написанных на языке V7Script,
включенный фирмой 1С в состав Web-расширения системы 1С:Предприятие.
Существуют две версии сервера сценариев Windows: wscript.exe, позволяющая задавать параметры
выполнения сценариев в окне свойств, и cscript.exe, позволяющая задавать параметры выполнения
сценариев с помощью ключей командной строки. Чтобы запустить необходимую версию, введите в
командной строке wscript.exe или cscript.exe.
Сервер Сценариев Windows встроен в Windows 98, Windows Me, Windows 2000, Windows XP, в Internet
Information Services (начиная с версии 4.0). Он также доступен и для Windows 95.
Преимущества, предоставляемые Сервером Сценариев Windows
Сервер Сценариев Windows (WSH) обеспечивает возможность запуска сценариев на 32-х разрядных
платформах Windows.
Создание более мощных сценариев
Ранее единственным встроенным языком сценариев, поддерживаемым Windows, был язык команд MSDOS (команды, исполняемые из командной строки и из BAT-файлов). Хотя этот язык является достаточно
быстрым и компактным, он имеет ограниченные возможности по сравнению с языками Visual Basic Script и
JavaScript. На сегодняшний день Сервер Сценариев Windows позволяет пользователям использовать
преимущества мощных языков сценариев, таких как Visual Basic Script и JavaScript, язык команд MS-DOS
также поддерживается.
Способы выполнения сценариев Windows
Архитектура ActiveX, реализующая выполнение сценариев, позволяет использовать такие языки как
VBScript, JavaScript, и Perl. Microsoft в настоящее время предоставляет возможность выполнять сценарии на
этих языках при помощи трех видов серверов (контроллеров) на платформе Windows:
1. Microsoft Internet Explorer;
2. Internet Information Services (IIS);
3. Сервер Сценариев Windows (WSH).
Internet Explorer позволяет выполнять сценарии (обычно на JavaScript), содержащиеся в HTMLстраницах, на клиентских машинах.
Internet Information Services поддерживает технологию Active Server Pages (ASP), позволяющую
запускать сценарии (как правило, на VB Script), на Web-серверах. В частности, это используется для
автоматической генерации передаваемых клиенту через Internet или по внутренней сети страниц.
Сервер Сценариев Windows (WSH) позволяет выполнять сценарии непосредственно в графическом
окне Windows или в текстовой консоли, при этом нет необходимости встраивать тексты сценариев в
документ HTML. Сценарии могут быть запущены напрямую щелчком мыши на файле сценария в
Проводнике Windows либо из командной строки консоли. WSH не требует много оперативной памяти и
удобен для выполнения задач, не требующих взаимодействия с пользователем, таких как написание
сценариев входа (logon), для выполнения административных задач. При запуске сценария с рабочего стола
или из командной строки сервер сценария читает и передает содержимое указанного файла
зарегистрированному обработчику сценариев. Для определения языка сценария используется расширение
имени файла (.vbs для VBScript и .js для JScript).
Установка Сервера Сценариев
Для использования WSH на компьютере должен быть установлен Microsoft Internet Explorer версии не
ниже 3.0. Сервер сценариев использует обработчики сценариев для языков Visual Basic Script и JavaScript,
встроенные в Internet Explorer. Для установки WSH на Windows 95 необходимо загрузить программу
установки с сайта Microsoft.
Запуск сценариев из командной строки
Для выполнения сценариев с помощью сервера сценариев для командной строки (cscript.exe)
предусмотрен следующий синтаксис:
cscript [имя_сценария] [параметры_сервера] [аргументы_сценария]
Здесь:
имя_сценария — имя файла сценария, включая путь и расширение;
параметры_сервера — ключи командной строки, задающие различные свойства сервера сценариев
Windows. Параметр сервера всегда начинается с двух косых черт (//);
аргументы_сценария — ключи командной строки, которые передаются в сценарий. Аргумент сценария
всегда начинается с одной косой черты (/).
Примечания:
Все параметры являются необязательными, однако нельзя задать аргументы сценария, не задав
сценарий. При отсутствии аргументов сценария или самого сценария программа cscript.exe выведет
описание синтаксиса команды и предусмотренные ключи.
Параметр времени ожидания (//T:nnnnn) ограничивает максимальное время выполнения сценария. Если
время выполнения превышает заданную величину, cscript.exe прерывает работу обработчика и
останавливает процесс.
Для использования сервера сценариев Windows можно создать файл .wsf, позволяющий вызвать
несколько обработчиков сценариев и выполнить несколько заданий, в том числе, написанных на разных
языках сценариев.
Запуск сценариев с помощью сервера сценариев для Windows
Способы запустить сценарий в окне Windows:

Двойным щелчком мышью по файлу или ярлыку в окне "Мой компьютер", "Поиск" или в окне
Проводника Windows;

С использованием команды Windows "Выполнить..." - вызвать wscript.exe с именем и
параметрами сценария (либо сделать то же самое из командной строки Windows).
Если расширение файла сценария еще не связано с программой wscript.exe, то появится диалоговое
окно "Открыть с помощью", в котором нужно выбрать программу, с помощью которой нужно открывать
этот файл сценария. Программа wscript будет зарегистрирована как приложение по умолчанию для запуска
всех файлов с данным расширением, если после выбора программы "Cервер сценариев Windows"
(wscript.exe) флажок "Использовать ее для всех файлов такого типа" будет установлен. Например, если
установить этот флажок при запуске программы с расширением .vbs, то wscript.exe станет приложением по
умолчанию для запуска всех программ с таким расширением.
Обзор архитектуры Сервера Сценариев
Как и Microsoft Internet Explorer, Сервер Сценариев Windows может быть контроллером для ActiveX
обработчиков сценариев. Однако в отличие от Internet Explorer, Сервер Сценариев Windows не требует
много памяти и является идеальным средством как для интерактивных, так и для обычных сценариев, таких
как сценарий входа и сценарий администрирования.
Сервер Сценариев читает и передает содержимое файла сценария зарегистрированному ActiveX
обработчику сценариев (script engine), экспортирующему метод IActiveScriptParse::ParseScriptText.
Рисунок 1. Диаграмма движения данных от сервера сценариев к обработчику сценариев
Вместо тега SCRIPT (применяется в HTML) для определения языка сценария используется расширение
имени файла (.vbs для VBScript, .js для JScript). Благодаря этому разработчик сценария не обязан знать
точные программные идентификаторы (ProgID) различных обработчиков сценариев. Сопоставление
расширения имени файла сценария с ProgID и запуск конкретного обработчика сценариев осуществляется
сервером сценариев Windows.
Три способа выполнения каждой задачи
Практически каждая операция в Active Directory выполняется с использованием различных средств.
При этом почти все задачи выполняются как минимум тремя способами:
 с помощью одной из утилит с графическим пользовательским интерфейсом, например, оснастки
ММС;
 с использованием одной из утилит с интерфейсом типа командной строки (например: dsadd, dsmod,
dsrm, dsquery, dsget, nltest, netdom или ldifde);

программным путем — с помощью сценария, написанного на VBScript или Perl.
Выбор метода зависит от предпочтений администратора и от ситуации, в которой возникла проблема.
Здесь и в следующих лабораторных работах будут рассмотрены сценарии на языке VBScript по причине
его доступности для администраторов Windows-систем, а также из-за того, что программировать на нем при
условии использования программного интерфейса ADSI (Active Directory Service Interface — интерфейс
службы Active Directory) и системы WSH довольно просто.
Одним из недостатков языка VBScript является то, что он не предназначен для выполнения сложных
задач (в тех случаях, когда решить проблему с его помощью трудно, часто используют язык Perl).
Определение переменных и обработка ошибок
Важной частью любого сценария являются инструкции, предназначенные для обработки ошибок. Такие
инструкции позволяют своевременно выявить возникшую при выполнении той или иной части сценария
ошибку и предпринять соответствующие действия, не прекращая его работы. В этой и следующих
лабораторных работах большинство скриптов не содержит кода обработки ошибок, предопределенных
переменных или, например, кода, освобождающего занимаемую переменными память. Такие сценарии
должны быть короткими и не могут содержать дополнительный код, который бы их сильно загромождал.
Поэтому их нельзя считать надежными и устойчивыми программами, способными корректно работать при
любых обстоятельствах. Это скорее заготовки, которые позволяют быстро выполнить типичную задачу в
стандартном окружении и на основе которых при желании можно написать собственный, более гибкий и
надежный, код.
Обработка ошибок в VBScript выполняется очень просто. Текст сценария начинается со строки
Она указывает интерпретатору, что в случае возникновения ошибки выполнение сценария нужно
продолжать. Если сценарий не содержит такой инструкции, его выполнение прекращается при первой же
ошибке. При наличии инструкции On Error Resume Next далее в сценарии должен располагаться
программный код, в котором осуществляется проверка объекта Err на наличие ошибок. Такой код должен
следовать за любым фрагментом сценария, где выполняются действия, способные привести к ошибкам. Вот
простейший пример:
Двумя важнейшими свойствами объекта Еrr являются Number, ненулевое значение которого указывает
на наличие ошибки, и Description, содержащее текстовое сообщение об ошибке.
Теперь перейдем к управлению переменными. Желательно в начало каждого сценария помещать
следующую строку:
Установление этой директивы означает, что каждая используемая в сценарии переменная должна быть
объявлена, в противном случае при выполнении сценария будет сгенерировано исключение. Переменные в
VBScript объявляются с помощью ключевого слова Dim. Завершив работу с переменной, следует присвоить
ей значение Nothing, чтобы вернуть системе связанные с ней ресурсы. Кроме того, эта мера помогает
предотвратить случайное повторное использование переменной со старым значением. В следующем
примере продемонстрировано, как дополнить приведенный выше сценарий, выводящий имя домена, кодом
обработки ошибок и управления переменными:
Скачать