Лекции по "Администрированию сетей"

По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных ( U niversal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.

Встроенные рабочие  группы на рабочей станции или  на простом сервере.

1. Администраторы. Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группа Администраторы домена..
2. Операторы резервного компьютера. Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
3. Администраторы DHCP (только на сервере). Члены этой группы могут администрировать службу DHCP Server.
4. Операторы сетевой конфигурации. Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически.
5. Пользователи монитора производительности. Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом.
6. Пользователи журнала производительности. Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом.
7. Опытные пользователи. Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группах Опытные пользователи, Пользователи и Гости.
8. Операторы печати. Члены группы могут управлять принтерами и очередями печати на конкретном сервере.
9. Пользователи удаленного рабочего стола. Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера.
10. Пользователи. Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группы Интерактивные и Прошедшие проверку.

Встроенные доменные локальные группы 
(локально на контроллере домена)

1. Администраторы. Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная запись Администратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы.
2. Операторы учетных записей. Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группу Администраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы.
3. Операторы резервного копирования. Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу.
4. Администраторы DNS. Члены группы имеют административный доступ к серверам DNS.
5. Операторы сетевой конфигурации. Члены группы могут изменять настройки TCP/IP на контроллерах доменов.
6. Пользователи монитора производительности. Члены группы могут следить за счетчиками производительности на контроллерах домена.
7. Пользователи журнала производительности. Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена.
8. Операторы печати. Члены группы могут управлять работой принтеров домена
9. Операторы сервера. Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности.
10. Пользователи. Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи домена является по умолчанию членом данной группы.

Встроенные Глобальные группы

1.  Администраторы домена. Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группы Администраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию.
2. Компьютеры домена. Все контроллеры, серверы и рабочие станции домена являются членами этой группы.
3. Контроллеры домена. Все контроллеры домена являются членами этой группы.
4. Пользователи домена. Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группу Пользователи.
5. Администраторы предприятия (только в корневом домене леса). Имеют административные права на всех доменах леса. Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса. Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу.
6. Администраторы схемы. Члены этой группы могут изменять схему Active Directory.

Динамические группы.

1. Интерактивные. В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере.
2. Прошедшие проверку. Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения.
3. Все. Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов.

Управление организационными подразделениями.

Назначение Организационных  подразделений ( ОП, Organizational Units, OU ) —  организация иерархической структуры  объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную  структуру компании.

На практике использование  ОП (кроме иерархической организации  объектов) сводится к двум задачам:

1. Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе пользователей;
2. Применение групповых политик к объектам, входящим в ОП.

Делегирование административных полномочий на управление объектами  ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию  учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих  административные права на уровне всего  домена.

Групповые политики.

Управление рабочими станциями, серверами, пользователями в большой  организации — очень трудоемкая задача. Механизм Групповых политик (Group Policy) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object ) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД Active Directory, и шаблона групповых политик ( GPT, Group Policy Template ), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Каждый объект политик  содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются  соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых  политик производится Редактором групповых  политик, который можно открыть  в консоли управления соответствующим  объектом AD.

Каждый объект политик  может быть привязан к тому или  иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

Задание параметров групповых  политик производится Редактором групповых  политик, который можно открыть  в консоли управления соответствующим  объектом AD (" ctive Directory – сайты  и службы” , "Active Directory – пользователи и компьютеры", локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки).

При загрузке компьютера и  аутентификации в домене к нему применяются  компьютерные разделы всех привязанных  политик. При входе пользователя в систему к пользователю применяется  пользовательский раздел всех групповых  политик. Политики, привязанные к  некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются  всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

• локальная политика;
• политики сайта Active Directory;
• политики домена;
• политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых  политик:

• блокировка наследования политик на каком либо уровне иерархии AD;
• запрет блокировки конкретного объекта групповых политик;
• управление приоритетом применения политик на конкретном уровне AD (кнопками " Вверх " и " Вниз ");
• разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП " Чтение " и " Применение групповой политики ").

Кроме применения политик  в момент загрузки компьютера или  входа пользователя в систему, каждый компьютер постоянно запрашивает  обновленные политики на контроллерах домена, загружает их и применяет  обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции  домена и простые серверы запрашивают  обновления каждые 90 ± 30 минут, контроллеры  домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно  из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами " secedit /refreshpolicy machine_policy " и " secedit /refreshpolicy user_policy " (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных  политик домена и выполнить задания  по настройке рабочей среды пользователей  с помощью групповых политик.

Управление приложениями

Рассмотрим немного подробнее  использование групповых политик  для развертывания приложений в  сетях под управлением Active Directory.

Групповые политики могут  использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.

Используются  следующие способы управления установкой приложений:

• назначение приложений компьютерам (при данном способе приложение, назначенное компьютеру, автоматически устанавливается при загрузке компьютера);
• назначение приложений пользователям (приложение устанавливается при первом вызове данного приложения — при открытия ярлычка приложения или файла, соответствующего данному приложению);
• публикация приложений пользователям (название приложения добавляется к списку доступных для установки программ в окне " Установка и удаление программ " в Панели управления ).

С помощью политик можно  управлять установкой приложений, которые  устанавливаются с помощью компоненты Windows Installer, т.е. для них установочный пакет должен быть создан в формате  файла с расширением " .msi ". Если приложение можно установить только с помощью установочной программы  типа setup.exe или install.exe, то такие приложения могут быть опубликованы (но не назначены) после создания файла типа " .zap ", в котором заданны соответствующие  параметры, необходимые для публикации средствами ГП.

Протокол Kerberos

Протокол Kerberos был создан более десяти лет назад в Массачусетском технологическом институте в  рамках проекта Athena. Однако общедоступным  этот протокол стал, начиная с версии 4. После того, как специалисты  изучили новый протокол, авторы разработали  и предложили очередную версию — Kerberos 5, которая была принята в  качестве стандарта IETF. Требования реализации протокола изложены в документе RFC 1510, кроме того, в спецификации RFC 1964 описывается механизм и формат передачи жетонов безопасности в  сообщениях Kerberos.

Протокол Kerberos предлагает механизм взаимной аутентификации клиента и  сервера перед установлением  связи между ними, причём в протоколе  учтён тот факт, что начальный  обмен информацией между клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут  быть перехвачены и модифицированы. Другими словами, протокол идеально подходит для применения в Интернет и аналогичных сетях.