Анализ методов и средств администрирования сетей

Размещено на http://www.allbest.ru/

85

Размещено на http://www.allbest.ru/

Введение

администрирование компьютерный учетный

Системное администрирование -- управление компьютерными системами, в том числе: операционными, графическими, базами данных и так далее.

В данной бакалаврской работе рассмотрены возможности администрирования компьютеров под управлением Microsoft Windows Server 2003, Microsoft Windows XP и Microsoft Windows 2000. Для удаленного администрирования компьютеров под управлением Windows Server 2003 или Windows 2000 с компьютеров под управлением Windows Server 2003, Windows XP или Windows 2000 можно использовать один из следующих способов.

- Установить и использовать средства администрирования с графическим интерфейсом, входящие в пакет средств администрирования, чтобы удаленно администрировать компьютеры под управлением Windows Server 2003, Windows XP или Windows 2000.

- Использовать службы терминалов для удаленного администрирования компьютеров, на которых локально установлены средства администрирования с поддержкой режимов графического интерфейса и командной строки. Чтобы избежать ограничения в два сеанса, можно использовать режим сервера приложений для установки сервера или службы терминалов на компьютере под управлением Windows Server 2003 или Windows 2000. Если между системами существуют проблемы взаимодействия, необходимо выполнять задачи администрирования с сервера с включенным сервером или службой терминалов, работающего под управлением операционной системы, идентичной операционной системе удаленно администрируемого компьютера.

- Использовать средства командной строки и сценарии для локального и удаленного администрирования компьютеров под управлением Windows Server 2003, Windows XP или Windows 2000. Эти средства и шрифты включают интерфейсы службы Active Directory (ADSI), команды Windows Net.exe и средства, входящие в пакет Suptools.msi.

Windows Server 2003 имеет много новых возможностей, по сравнению с предыдущими версиями. В основном они связаны с Active Directory, например, понятие функциональных уровней леса и домена. Функциональные уровуровни позволяют ввести новые, не имеющие обратной совместимости средства, поподобно тому, как собственный режим Windows 2000 позволил ввести вложенные группы, журнал идентификаторов безопасности (SID) и универсальные группы.

Если выполнить непосредственную модернизацию главного контроллера домедомена (PDC) Windows NT 4, то Windows Server 2003 начинает работать в промежуточном режиме, что дает такие улучшения, как репликация присоединенных значений. Например, если добавить пользователя в группу, содержащую 1000 пользователей, то происходит репликация только нового члена этой группы, а не 1001 пользователя, как это требовалось в Windows 2000 Server.

В режиме (собственном режиме) домена Windows Server 2003 вы дает возможность переименования контроллера домена (раньше для этого требовалось сначала понизить статус контроллера домена до уровня рядового сервера), а также репликацию атрибута timestamp (метка времени) для входов, в результате чего время последнего входа пользователя реплицируется на все контроллеры домена. Это полезно для устранения проблем блокировки учетных записей. Чтобы облегчить конфигурирование групповых политик, в Windows Server 2003 имеется так называемый результирующий набор политик (RSoP). Это позволяет видеть, что означает конкретный набор настроек политики.

Существенно снизилось количество операций, которые требуют перезагрузки сервера. Теперь можно без необходимости перезагрузки увеличивать емкость устройств хранения данных, динамически управлять устройствами хранения, конфигурировать сетевые протоколы и изменять конфигурацию устройств Plug and Play.

Теперь можно конфигурировать полностью автономный («глухонемой») сервер, то есть компьютер, у которого нет монитора, видеоадаптера, клавиатуры и мыши. А из Windows XP в Windows Server 2003 добавлены Remote Assistance (Удаленный помощник) и Compatibility Mode (Режим совместимости). В Windows Server 2003 включены улучшенные средства администрирования из командной строки, которые позволяют администраторам выполнять большинство задач без необходимости использования графического пользовательского интерфейса.

1. Типовые задачи администрирования

1.1 Управление учетными записями

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers. Управление локальными учетными записями на контроллерах домена невозможно Чекмарев А., Вишневский А., Кокорева О., Microsoft Windows Server 2003: Наиболее полное руководство, СПб: БХВ-Петербург, 2003 г. - С. 127.

Оснастка Local Users and Groups (Локальные пользователи и группы) -- это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп -- как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи). Пример окна оснастки Local Users and Groups приведен на рисунке (см. Приложение А).

Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

- Administrator (Администратор) -- эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.

- Guest (Гость) -- эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

- SUPPORT_388945a0 -- компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета -- Internet Information Services.

Для работы с локальными пользователями можно использовать утилиту командной строки net user.

Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Папка Groups. В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы.

Описание свойства групп.

- Administrators (Администраторы) -- ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.

- Backup Operators (Операторы архива) -- члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.

- Guests (Гости) -- эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest. Титтел Э., Стьюарт Дж., Microsoft Windows Server 2003 для "чайников", М.: Диалектика, 2004 .- С. 77.

- Power Users (Опытные пользователи) -- члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.

- Replicator (Репликатор) -- членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.

- Users (Пользователи) -- члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

- Network Configuration Operators (Операторы настройки сети) -- группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.

- Remote Desktop Users (Удаленные пользователи рабочего стола) -- эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.

- HelpSenicesGroup (Группа служб поддержки) -- группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

- Еще четыре группы появились в системах Windows Server 2003.

- Performance Log Users -- члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).

- Performance Monitor Users -- группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.

- Print Operators -- члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.

- TelnetClients -- группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

На компьютерах -- членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

1.2 Удаленный доступ к рабочему столу

В предыдущих серверных версиях Windows для удаленного управления сервером администратор должен был использовать службы терминалов. Минусом подобного решения являлась необходимость развертывания службы терминалов даже в том случае, когда администратору требовалось только одно удаленное подключение с целью выполнения рутинных административных задач. В системах Windows XP и Windows Server 2003 имеется стандартный механизм Remote Desktop for Administration, или просто Remote Desktop, который позволяет подключаться удаленно и выполнять необходимые операции по управлению сервером. Этот механизм в своей основе использует службы терминалов и поддерживает два одновременных удаленных подключения (в Windows XP -- одно). Администратор может с любого рабочего места администрировать все серверы, находящиеся под управлением Windows Server 2003, подключаясь к ним удаленно. Маримото Р., Аббат Э., Ковач Э., Робертс Э., Microsoft Windows Server 2003: решения экспертов, М.: Кудиц-Образ, 2005. - С.111-112.

В системах Windows XP и Windows Server 2003 имеется также функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получить помощь в сложных ситуациях.

По умолчанию функции Remote Desktop и Remote Assistance отключены.

Кроме этого, если на некотором компьютере под управлением Windows XP или Windows Server 2003 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удаленный доступ к любой системе Windows XP или Windows Server 2003, находящейся в той же локальной сети, из веб-браузера (Internet Explorer 4.0 и выше), работающего в любой операционной системе. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удаленной системы Windows Server 2003 на базе какого-нибудь мощнейшего процессора, работать на ней в полноэкранном режиме.

Все сессии удаленного доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам: протокол RDP, использующийся при этом, шифруется с помощью алгоритма RC4.

Для управления режимом удаленного доступа используется вкладка Remote (Удаленное использование) окна свойств системы System Properties (см. Приложение Б, Рисунок 1). (Для быстрого доступа к этому окну можно использовать клавиши <Win>+<Break>.)

Чтобы пользователи могли с других компьютеров обратиться к вашей системе, установите флажок Allow users to connect remotely to this computer. Нажав кнопку Select Remote Users, вы можете явно указать, каким пользователям разрешен удаленный доступ (см. Приложение Б, Рисунок 2): эти пользователи будут включены в локальную группу Remote Desktop Users. По умолчанию только администраторы имеют удаленный доступ к компьютеру. Использовать учетные записи без пароля для удаленного доступа нельзя. Если на компьютере имеются такие записи, то при установке флажка Allow users to connect remotely to this computer появится предупреждение, показанное на рисунке (см. Приложение Б, Рисунок 3).

Для инициализации сеанса удаленного доступа служит утилита Remote Desktop Connection (см. Приложение Б, Рисунок 4).

Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера необходимо ввести http://<имя_cepвepa>/TSWeb, где имя_сервера -- DNS-имя веб- сервера (компьютера с установленными службами IIS) или его IP-адрес. Чекмарев А., Вишневский А., Кокорева О., Microsoft Windows Server 2003: Наиболее полное руководство, СПб: БХВ-Петербург, 2003. - С.227.

После соединения с сервером появится веб-страница "Remote Desktop Web Connection" (Интернет-подключение к удаленному рабочему столу) (см. Приложение Б, Рисунок 5), где в поле Server (Сервер) вы должны указать имя или адрес того компьютера, к которому хотите подключиться, после чего нажмите кнопку Connect (Подключить). Обратите внимание на то, что имена веб-сервера и целевого компьютера могут различаться: т. е. вы "входите" в сеть через один компьютер, а подключаетесь к любому другому.

При первом выполнении описанной процедуры с сервера загрузится компонент ActiveX, который нужно установить на локальном компьютере (см. Приложение Б, Рисунок 6).

После этого выполняется подключение к выбранному (целевому) компьютеру и появляется традиционное окно регистрации (см. Приложение Б, Рисунок 7). В окне адреса указан IP-адрес одного компьютера (через который мы вошли в сеть), а подключение выполнено к другому компьютеру -- его адрес указан в нижней части экрана. В полноэкранном режиме работы панели браузера не отображаются совсем, и мы увидим только рабочий стол удаленного компьютера.

Средство Remote Assistance (Удаленный помощник) по сути реализовано так же, как и функция Remote Desktop. Реймер С., Малкер М., Active Directory для Windows Server 2003. Справочник администратора/Пер, с англ. - М.: «СП ЭКОМ», 2004. - С. 114.

Для использования Remote Assistance обе системы должны работать под управлением Windows ХР или Windows Server 2003. Включить/выключить это средство можно на вкладке Remote (Удаленное использование) (см. Приложение Б, Рисунок 8). Нажав на этой вкладке кнопку Advanced (Подробнее), можно настроить некоторые параметры удаленного помощника (см. Приложение Б, Рисунок 8). При включении Remote Assistance по умолчанию разрешено и удаленное управление компьютером. Это не должно вас пугать, поскольку для управления компьютером всегда требуется дополнительное, явное разрешение с вашей стороны во время сеанса работы удаленного помощника. Если вы не измените срок действия запроса (по умолчанию 30 дней), то в течение этого времени ваше приглашение будет действительным, т. е. помощник сможет запрашивать доступ к вашему компьютеру. Всякий раз при этом от вас потребуется отдельное разрешение на его подключение.

Работа с удаленным помощником не вызывает затруднений (поскольку осуществляется с помощью программы-мастера), поэтому опишем процедуру инициализации сеанса совместной работы в целом.

1.3 Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.

Для управления средой пользователя предназначены следующие средства систем Windows 2000/XP и Windows Server 2003.

Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды системы, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью.

Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не нужно встраивать в документ HTML. Чекмарев А., Вишневский А., Кокорева О., Microsoft Windows Server 2003: Наиболее полное руководство, СПб: БХВ-Петербург, 2003. - С.207.

Аудит -- это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security) можно просмотреть с помощью оснастки Event Viewer (Просмотр событий). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

Настройка аудита может выполняться как в один, так и в два приема:

1. Сначала его следует активизировать с помощью оснастки Local Security Settings (Локальная политика безопасности) или Group Policy Object Editor (Редактор объектов групповой политики). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.

2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (ACL). Для разных объектов -- файлов, реестра или объектов каталога Active Directory -- используемый при этом пользовательский интерфейс будет непринципиально различаться. Windows 2000 Server. Учебный курс MCSE. - М.: изд-во Русская ре-дакция, 2000.- С. 278.

В автономных системах Windows Server 2003 по умолчанию включен аудит событий регистрации в системе (logon events). На контроллерах домена под управлением Windows Server 2003 по умолчанию включен аудит большинства системных событий, за исключением доступа к объектам и процессам, а также событий использования привилегий.

1.4 Сервер сценариев Windows

Сервер сценариев Windows (Windows Script Host, WSH) не зависит от языка сценария и устанавливается в системах Windows 98/ME, Windows 2000/XP и Windows Server 2003 как стандартное средство. Также его можно установить в системах Windows 95 и Windows NT 4.0. Компания Microsoft разработала и поддерживает ядро сценариев как для Visual Basic, так и для JavaScript. В составе Windows XP и Windows Server 2003 поставляется WSH версии 5.6.

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и JScript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS. Сосински Б., Дж. Московиц Дж. Windows 2000 Server за 24 часа. - М.: Издательский дом Вильямс, 2000. - С. 164-165.

Компания Microsoft поставляет три среды, предназначенных для выполнения языков сценариев на платформах Windows:

- Internet Explorer;

- Internet Information Server или WWW Server в составе служб Internet Information Services;

- Windows Scripting Host.

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.

Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.

Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или в окне командной консоли, для этого не нужно встраивать их в документ HTML. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения неинтерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

2. Администрирование доменов

Время, которое администратор тратит на выполнение операций управления системой, во многом зависит от используемого инструментария. В составе Windows Server 2003 поставляется множество системных утилит и оснасток самого разного назначения. Более того, одна и та же операция может быть выполнена различными инструментами. Поэтому администратору необходимо знать имеющиеся возможности и умело их использовать.

В данной главе будут рассмотрены некоторые из наиболее важных инструментов администрирования доменов на базе Active Directory. Это те инструменты, которые используют в своей повседневной работе администраторы службы каталога. Кроме того, описываются способы выполнения типовых операций по управлению Active Directory.

Управление объектами каталога. В распоряжении администратора имеется множество инструментов, посредством которых он может создавать или удалять объекты Active Directory, a также изменять их атрибуты. Некоторые из этих инструментов позволяют управлять отдельными объектами, другие позволяют управлять группами объектов (так называемый пакетный режим). Многие задачи могут быть выполнены любым из этих инструментов. Ниже перечислены все основные средства управления каталогом Active Directory, предоставляемые системами Windows Server 2003. Станек У., Microsoft Windows Server 2003. Справочник администратора, СПь.: Питер, 2006.- С. 304.

Стандартные, устанавливаемые по умолчанию оснастки -- стандартные утилиты с графическим интерфейсом, позволяющие осуществлять управление только отдельными объектами и имеющие ограниченные возможности по выполнению групповых операций:

- оснастка Active Directory Users and Computers позволяет работать с пользователями, контактами, группами, компьютерами, пользователями из внешних служб каталога, принтерами, общими папками и организационными единицами;

- оснастка Active Directory Sites and Services предназначена для манипулирования сайтами, подсетями, связями и соединениями;

- оснастка Active Directory Domains and Trusts позволяет осуществлять управление доверительными отношениями между доменами.

- Специализированные оснастки -- утилиты с графическим интерфейсом, используемые для выполнения специальных операций либо для точной настройки и отладки Active Directory:

- оснастка Active Directory Schema позволяет осуществлять управление содержимым схемы, создавать новые классы атрибутов и объектов. Эта утилита не создается по умолчанию. Администратор должен создать ее самостоятельно, загрузив соответствующую оснастку в пустую консоль ММС;

- оснастка ADSI Edit, утилиты Ldp.exe и AdsVw.exe. Эти утилиты позволяют редактировать отдельные атрибуты существующих объектов. Однако они могут быть использованы также для создания объектов любого типа (включая те, которые невозможно создать при помощи стандартных инструментов). Станек У., Microsoft Windows Server 2003. Справочник администратора, СПь.: Питер, 2006.- С. 306-307.

- Утилиты LDIFDE и CSVDE -- утилиты командной строки, предназначенные для выполнения операций импорта/экспорта объектов каталога. Эти утилиты могут быть использованы как средство повышения эффективности администрирования крупномасштабных инсталляций Active Directory. Утилиту LDIFDE можно также применять для изменения атрибутов множества однотипных объектов.

- Специальные сценарии и утилиты, позволяющие выполнять специфические задачи:

- утилиты DsAdd.exe и AddUsers.exe, сценарии CreateUsers.vbs, CreateGroups.vbs и другие специализированные утилиты командной строки (например, утилиту NetDom.exe можно использовать для создания учетных записей компьютеров домена);

- сценарии ADSI (Active Directory Service Interfaces) -- самый гибкий и довольно простой способ манипулирования объектами Active Directory. Эти сценарии используют программный интерфейс ADSI для доступа к каталогу.

2.1 Основные оснастки для администрирования Active Directory

После того как на базе некоторого сервера под управлением Windows Server 2003 создан контроллер домена, в группе Administrative Tools (Администрирование) на панели управления появляются новые инструменты (см. Приложение В).

Некоторые дополнительные инструменты (см.Приожение Г) для администрирования Active Directory поставляются в составе пакета Windows Server 2003 Support Tools. Эти инструменты незаменимы в некоторых случаях для тонкой настройки и мониторинга Active Directory.

Оснастка Active Directory Users and Computers является основным инструментом, посредством которого администратор осуществляет управление содержимым доменных разделов каталога. Вот перечень лишь основных операций: создание, модификация и удаление объектов различного типа, привязка объектов групповых политик к контейнерам Active Directory, настройка прав доступа к объектам каталога, аудит. Знание возможностей этой оснастки позволяет повысить эффективность выполнения рутинных операций, особенно в случае, когда доменные разделы содержат большое количество объектов, что затрудняет их поиск и работу с ними. Маримото Р., Аббат Э., Ковач Э., Робертс Э., Microsoft Windows Server 2003: решения экспертов, М.: Кудиц-Образ, 2005.- С. 119.

В системах Windows Server 2003 оснастка Active Directory Users and Computers имеет насколько новых возможностей:

- одновременная работа с несколькими объектами каталога;

- операции, выполняемые с помощью мыши (например, перемещение объектов между контейнерами);

- хранимые запросы (saved queries).

Для выполнения операций с каталогом оснастка Active Directory Users and Computers должна быть подключена к некоторому контроллеру домена (которые выступают в качестве носителя копии разделов каталога). Оснастка может быть подключена только к одному контроллеру домена и, соответственно, к одному доменному разделу. По умолчанию оснастка подключается к контроллеру домена, в котором зарегистрировался текущий пользователь. Администратор может подключить оснастку к любому другому контроллеру домена, а также к другому домену при условии наличия у него соответствующих прав.

Режим Saved Queries (Сохраненные запросы). Благодаря этому режиму администратор имеет возможность сохранять предварительно созданные LDAP-запросы. Впоследствии администратор может использовать сохраненные запросы для быстрого поиска требуемых объектов. Сохраненные запросы избавляют администратора от необходимости многократного определения однотипных фильтров при формировании LDAP-запросов.

Оснастка позволяет организовать сохраненные запросы в некую иерархическую структуру в соответствии с предпочтениями администратора. Данная структура формируется внутри контейнера Saved Query оснастки. В рамках этого контейнера могут размещаться как непосредственно сохраненные запросы, так и контейнеры, используемые для их логической организации. Закер К., Планирование и поддержка сетевой инфраструктуры Microsoft Windows Server 2003, М.: Русская Редакция, 2005.- С. 277.

Чтобы создать сохраненный запрос, в контекстном меню контейнера выберите команду New | Query (Создать | Запрос). В открывшемся окне (см. Приложение Д, Рисунок 1) необходимо дать имя создаваемому запросу и краткое описание. Параметр Query root (Корень запроса) задает область поиска. По умолчанию запрос охватывает домен целиком. При необходимости администратор может ограничить область поиска некоторым подразделением. Если требуется, чтобы поиск осуществлялся и во вложенных контейнерах, администратор должен установить флажок Include subcontainers (Включая вложенные контейнеры). Чтобы сформировать LDAP-запрос, нужно щелкнуть по кнопке Define Query (Определить запрос) и выбрать объекты и критерии поиска.

В конечном итоге, администратор может сформировать некоторую произвольную иерархию запросов (см. Приложение Д, Рисунок 2). Для логической организации запросов можно использовать контейнеры. Чтобы создать контейнер, в контекстном меню корневого контейнера выбрать New | Container (Создать | Контейнер).

Сохраненные запросы хранятся не в виде объектов каталога, а в виде атрибутов оснастки. Таким образом, запросы сохраняются вместе с другими настройками оснастки. По умолчанию настройки административных оснасток размещаются в XML-файле в папке Documents and settings \ <имя_пользователя>\Аррliсаtion Data\Microsoft\MMC. Если администратор будет запускать оснастки с различных контроллеров домена, запросы будут сохранены только для одного из экземпляров оснастки. В этой ситуации оптимальным решением будет размещение всех административных оснасток в перемещаемом профиле пользователя. При этом одни и те же настройки оснастки будут использоваться администратором независимо от того, на каком контроллере домена он их запускает. Таненбаум Э., Компьютерные сети: 4 издание, СПб.: Питер, 2005.- С. 179.

Существующие сохраненные запросы могут быть экспортированы в XML-файлы. Эти файлы могут быть переданы другим пользователям или администраторам для последующего использования (при этом они должны импортировать запросы в свои экземпляры оснасток). Для экспорта запроса необходимо в его контекстном меню выбрать пункт Export Query Definition (Экспортировать определение запроса).

Работа с множеством объектов. В системах Windows Server 2003 оснастка Active Directory Users and Computers предоставляет пользователю возможность манипуляции множеством объектов. Другими словами, пользователь может задействовать в некоторой операции сразу несколько объектов. Для большинства классов объектов (группы, компьютеры, подразделения и тому подобное) единственной доступной групповой операцией является изменение описания. В случае объектов, ассоциированных с учетными записями пользователей, имеется порядка 30 атрибутов, которые допускается изменять сразу для множества объектов.

Выделение множества объектов осуществляется стандартным для интерфейса Windows способом -- при помощи клавиш <Ctrl> и <Shift>. Выделив объекты, щелкните правой кнопкой мыши, чтобы вызвать контекстное меню. Для изменения атрибутов выбранных объектов в контекстном меню выберите пункт Properties (Свойства). Это приведет к открытию модифицированного окна свойств для выбранного класса объектов (см. Приложение Д, Рисунок 3).

Если необходимо изменить указанный атрибут для всех выбранных объектов, установите напротив него флажок и определите его значение. В ситуации, когда администратор не определяет для атрибута новое значение, существующее значение данного атрибута у выделенных объектов сбрасывается. Например, администратор может поменять порядок изменения паролей для выбранных объектов, ассоциированных с учетными записями пользователей. Маримото Р., Аббат Э., Ковач Э., Робертс Э., Microsoft Windows Server 2003: решения экспертов, М.: Кудиц-Образ, 2005.- С. 302-304.

Оснастка Active Directory Sites and Services. Оснастка Active Directory Sites and Services представляет собой основной инструмент с графическим интерфейсом, посредством которого администратор может управлять физической структурой Active Directory -- подсетями, сайтами и соединениями; другие же административные оснастки представляют Active Directory на логическом уровне как единое целое. Оснастка Active Directory Sites and Services является одним из основных средств администрирования Active Directory в том случае, когда корпоративная сеть реализована в виде нескольких сайтов. В случае, если механизм сайтов не используется при построении службы каталога (то есть, сайт только один -- созданный по умолчанию), данная оснастка, скорее всего, останется невостребованной.

Оснастка Active Directory Sites and Services позволяет выполнять следующие операции:

- изменение топологии репликации в лесе доменов (создание/удаление сайтов, подсетей и соединений);

- определение стоимости для соединений (cost);

- изменение расписаний и интервалов для репликации внутри сайта и между сайтами;

- определение мостовых серверов (bridgehead server);

- инициация процесса репликации внутри сайта и между сайтами;

- запуск сервиса Knowledge Consistency Checker (KCC) для регенерации топологии репликации;

- делегирование пользователям или группам прав на управление сайтами, подсетями, серверами и другими контейнерами в разделе конфигурации;

- настройка параметров безопасности и аудита для различных объектов, определяющих топологию репликации;

- выбор объектов GPO, привязка объектов GPO к сайтам и запуск оснастки Group Policy Object Editor для редактирования объектов GPO;

- назначение контроллерам домена роли сервера глобального каталога;

- назначение политик запросов LDAP.

На рисунке (см. Приложение Д, Рисунок 4) показан пример окна оснастки Active Directory Sites and Services. В приведенном примере представлены практически все основные элементы сетевой топологии Active Directory: сайты, подсети, межсайтовые соединения, соединения между контроллерами домена в рамках сайта, а также непосредственно сами контроллеры домена. Маримото Р., Аббат Э., Ковач Э., Робертс Э., Microsoft Windows Server 2003: решения экспертов, М.: Кудиц-Образ, 2005. - С.307.

Кэширование информации о составе групп с универсальной областью действия. Каждый контроллер домена под управлением Windows Server 2003, не являющийся сервером глобального каталога, может хранить информацию о составе групп безопасности с универсальной областью действия (universal group) и поддерживать ее в актуальном состоянии, периодически выполняя обновление. Кэширование позволяет избежать частых обращений к серверу глобального каталога для получения информации о составе групп с универсальной областью действия. Эта информация необходима, например, в процессе аутентификации пользователей. Разработка инфраструктуры сетевых служб Microsoft Windows 2000. Учебный курс MCSE, М.: «Русская редакция», 2001. - С.475-476.

Чтобы активизировать процесс кэширования информации о составе универсальных групп, нужно открыть окно свойств объекта NTDS Site Settings (Настройки NTDS сайта), расположенного непосредственно внутри контейнера, ассоциированного с требуемым сайтом. В открывшемся окне (см. Приложение Д, Рисунок 5) на вкладке Site Settings (Настройки сайта) необходимо установить флажок Enable Universal Group Membership Caching (Включить кэширование информации о составе универсальных групп). При этом в раскрывающемся списке Refresh cache from (Обновлять кэш из) следует выбрать сайт, к которому будут осуществляться обращения для обновления содержимого кэша.

2.2 Делегирование административных полномочий

После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей -- администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций. Следует заметить, что использование механизма организационных единиц и сайтов позволяет реализовывать домены огромного размера с разветвленной инфраструктурой. Управление подобным доменом характеризуется большой нагрузкой на администраторов. Однако реализация подобной инфраструктуры, отражающей логическую и физическую структуру организации, дает возможность делегировать выполнение определенной части задач на квалифицированных пользователей на "местах".

Механизм делегирования некоторой части административных полномочий выгодно отличается от подхода, когда проблема увеличения нагрузки на администраторов решается за счет увеличения их количества. Увеличение количества пользователей, обладающих неограниченными правами на управление доменом, нежелательно. Подобные права должны предоставляться исключительно квалифицированным специалистам, а привлечение большого числа квалифицированных специалистов сопряжено с высокими финансовыми затратами. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Это рутинные операции, выполнение которых не требует от исполнителя обширных знаний. Делегирование этих операций пользователям в подразделениях и сайтах позволяет высвободить администратора для выполнения других более сложных задач.

С точки зрения архитектуры Active Directory, делегирование полномочий на выполнение некоторых операций подразумевает под собой предоставление пользователю необходимых разрешений на доступ к объектам каталога. Это разрешения на создание дочерних объектов, их удаление, изменение атрибутов и так далее. Подобные полномочия нужны для выполнения определенных операций. [21]

В качестве примера можно привести ситуацию с созданием учетных записей для новых сотрудников, а также изменение паролей для существующих. Эти операции могут быть делегированы пользователям в организационных единицах (назовем их администраторами организационных единиц). Помимо разгрузки администратора домена, делегирование позволяет также сократить срок принятия элементарных решений. В приведенном примере для создания учетной записи не надо обращаться к администратору домена (который, в случае множества сайтов, может даже находиться в другом городе).

Операция делегирования административных полномочий осуществляется при помощи мастера Delegation of Control Wizard (Мастер делегирования полномочий). Этот мастер может быть вызван из оснасток Active Directory Users and Computers и Active Directory Sites and Services. Посредством этого мастера администратор может осуществлять делегирование полномочий на уровне отдельных контейнеров каталога.

Полный перечень контейнеров, на уровне которых может быть осуществлено делегирование, приведен в таблице (см. Приложение Е). Существует два режима делегирования. В первом случае мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю. Во втором случае администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей. Этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов. Сосински Б., Дж. Московиц Дж. Windows 2000 Server за 24 часа. - М.: Издательский дом Вильямс, 2000. - С.401-403.

В таблице (см. Приложение Ж) перечислены задачи, выполнение которых администратор может делегировать на уровне отдельной организационной единицы, а также контейнеров Computers, Domain Controllers, ForeignSecurityPrincipals, System и Users.

Процесс делегирования полномочий выполняется следующим образом. Запустите оснастку Active Directory Users and Computers. Выберите контейнер, для которого вы хотите делегировать полномочия и вызовите его контекстное меню. Выберите в меню пункт Delegate Control (Делегировать управление), чтобы запустить мастер Delegation of Control Wizard (Мастер делегирования полномочий). На странице Users or Groups необходимо определить пользователей, которым будут делегированы полномочия (см. Приложение З, Рисунок 1).

Для большинства контейнеров на следующей странице мастер предложит выбрать задачи для делегирования (см. Приложение З, Рисунок 2):

- выбрать задачи, выполнение которых будет разрешено пользователям. Данный режим является наиболее предпочтительным для большинства случаев. Этому режиму соответствует переключатель Delegate the following common tasks (Делегировать следующие общие задачи);

- выбрать вручную объекты каталога, управление которыми будет разрешено пользователям. Этот режим рассчитан на опытных администраторов и ему соответствует переключатель Create a custom task to delegate (Создать задачу для делегирования вручную).

Выбрав первый режим делегирования, администратор должен установить флажки напротив задач, которые должны быть делегированы. Если же был выбран расширенный режим делегирования, администратор должен определить классы объектов, управление которыми будет делегировано пользователям в рамках рассматриваемого контейнера (см. Приложение З, Рисунок 3). Если администратор хочет предоставить пользователям возможность создания или удаления экземпляров выбранных классов объектов, он должен установить флажки Create selected objects in this folder (Создание выбранных объектов в данном контейнере) или Delete selected objects in this folder (Удаление выбранных объектов в данном контейнере).

Процесс делегирования только предоставляет пользователям необходимые полномочия для управления объектами. Чтобы предоставить пользователям действительную возможность применить эти полномочия, администратор должен создать для них необходимые инструменты. Используя механизм создания заказных управляющих консолей (ММС), администратор может создавать любой необходимый инструментарий, который и будет применяться пользователями для осуществления операций управления. Станек У., Microsoft Windows Server 2003. Справочник администратора, СПь.: Питер, 2006 . - С. 376.

Помимо задачи делегирования полномочий, существует также задача отзыва уже предоставленных полномочий. Отзыв полномочий фактически означает отзыв у пользователей определенных разрешений на доступ к контейнерам, на уровне которых осуществлялось делегирование. Для отзыва указанных разрешений необходимо в окне свойств соответствующего контейнера перейти на вкладку Security (Безопасность). Для пользователей, которым были делегированы полномочия, необходимо снять флажки Allow (Разрешено) напротив соответствующих полномочий. Таким образом, администратор редактирует элементы списка управления доступом (ACL) выбранного контейнера. Флажки устанавливаются напротив соответствующих разрешений в ходе работы мастера делегирования. Понимая этот механизм, администратор может легко и гибко управлять объектами каталога и, как следствие, точнее настраивать Active Directory под стоящие перед ним задачи.

Кроме того, администратор всегда может восстановить для контейнера установки по умолчанию. Для этого необходимо в окне Advanced Security Settings (Дополнительные параметры безопасности) щелкнуть по кнопке Default (По умолчанию) (см. Приложение З, Рисунок 4). В результате будут отозваны все полномочия, предоставленные кому-либо на уровне данного контейнера. Кроме того, будут восстановлены полномочия, наследуемые контейнером от родительских объектов.

Однако существует другой более гибкий способ управления предоставлением полномочий. Мастер позволяет делегировать полномочия как отдельным пользователям, так и группам. Наиболее удобным и оптимальным вариантом делегирования является применение групп безопасности. Это дает возможность управлять процессом делегирования управления через членство пользователей в выбранной группе. В этом случае для отзыва полномочий достаточно отозвать членство пользователя в группе. Реймер С., Малкер М., Active Directory для Windows Server 2003. Справочник администратора/Пер, с англ. - М.: «СП ЭКОМ», 2004. - С. 332.

2.3 Резервирование и восстановление Active Directory

Для выполнения операций резервного копирования в составе операционной системы Windows Server 2003 Server поставляется утилита Backup. С ее помощью можно резервировать и восстанавливать многие системные данные, в том числе файлы базы данных Active Directory.

Важно понимать, что резервная копия состояния системы (System State) содержит параметры, характеризующие конкретный контроллер домена. Как следствие, вы не можете использовать резервную копию состояния системы одного контроллера домена для восстановления другого контроллера домена. В этом случае вы получите два абсолютно идентичных контроллера домена, что приведет к возникновению конфликтов (начиная с идентичных настроек стека протоколов TCP/IP и заканчивая GUID DSA).

Восстановление Active Directory. В случае выхода из строя контроллера домена, у администратора имеется две возможности восстановления его работоспособности:

?- установить на компьютере операционную систему заново и повысить его до контроллера домена. При этом база данных каталога Active Directory будет автоматически восстановлена в процессе стандартной процедуры репликации. В результате получится совершенно новый контроллер, а все ссылки на старый контроллер домена в Active Directory нужно будет удалить вручную. Этот способ требует минимум усилий со стороны администратора и, что является самым главным, не требует наличия резервной копии каталога. Этот способ восстановления используют в том случае, когда требуется полная переустановка операционной системы. Если же выход из строя контроллера домена связан с повреждением системных файлов службы каталога, проще восстановить базу данных каталога, используя резервную копию. Этот способ неприемлем в том случае, если восстанавливаемый контроллер домена является единственным в домене;

?- использовать резервную копию для восстановления состояния системы. Этот способ позволяет сохранить индивидуальные характеристики контроллера домена и не требует обязательной переустановки операционной системы. Реймер С., Малкер М., Active Directory для Windows Server 2003. Справочник администратора/Пер, с англ. - М.: «СП ЭКОМ», 2004. - С. 337.

При этом у администратора имеется три различных сценария восстановления состояния системы:

- выполнить основное восстановление (primary restore), если имеется только один контроллер домена и требуется восстановить содержимое каталога. При основном восстановлении создается новая -база данных службы репликации файлов (FRS); поэтому восстановленные данные будут затем реплицироваться на другие контроллеры домена;

- если в домене остался хотя бы один контроллер домена, можно выполнить неавторитетное восстановление (non-authoritative restore). При этом база данных каталога будет приведена в состояние, в котором каталог находился на момент создания резервной копии. Восстановленный контроллер получит актуальные данные об изменениях, произошедших в каталоге с момента создания данной резервной копии, в процессе репликации Active Directory с других контроллеров домена. К неавторитетному восстановлению целостности каталога прибегают в случае возникновения неисправностей, вызванных нарушениями в работе компьютера. Этот тип восстановления используется чаще всего;

- если требуется восстановить данные, удаленные из Active Directory, необходимо использовать авторитетное восстановление (authoritative restore). Авторитетное восстановление службы каталога применяется для приведения каталога в некоторое состояние, непосредственно предшествующее сбою системы. Однако авторитетное восстановление может быть выполнено только после того, как будет выполнено неавторитетное восстановление каталога. Авторитетное восстановление возможно для любого раздела каталога, за исключением раздела схемы.

При любом сценарии восстановить Active Directory можно только тогда, когда сервер загружен в режиме восстановления каталога. Станек У., Microsoft Windows Server 2003. Справочник администратора, СПб.: Питер, 2006.- С. 477

Основное и неавторитетное восстановление. При устранении последствий выхода контроллера домена из строя может потребоваться изменение конфигурации сервера. Возможна ситуация, когда вышедший из строя контроллер домена должен быть заменен другим. При этом администратор должен установить необходимые драйверы еще до выполнения операции восстановления. Если изменения в конфигурации контроллера домена затрагивают дисковую подсистему, необходимо позаботиться о выполнении следующих требований:

...