Лабораторная работа № 9 «Администрирование и управление ресурсами в Windows nt/2000/2003/xp»
Сетевые модели организации пользователей: модель рабочих групп и доменная модель. Доверительные отношения.
Система управления Windows NT имеет обширный набор функций и свойств. Она базируется на двух моделях построения сети:
Модель рабочих групп имеет дело с организационной единицей рабочая группа, которая объединяет несколько компьютеров Windows NT. Система администрирования такой группы аналогична администрированию одного компьютера. Все выполняемые административные действия применяются только к одной рабочей станции.
Модель доменов используется для обеспечения надежной защиты и упрощения управления сетью при децентрализации баз учетных данных и разнообразных средств защиты. Организационной единицей этой модели является домен как совокупность компьютеров с общей базой учетных записей пользователей и единой политикой защиты. На каждого пользователя заводится только одна запись. Параметры пользователя распространяются на все компьютеры, входящие в домен. Компьютер, на котором находится база учетных записей, называется первичным контроллером домена. Для обеспечения надежности информация базы учетных записей пользователей дублируется на других компьютерах домена Windows NT. Эти компьютеры называются резервными контроллерами домена. Пользователи могут получить доступ ко всем компьютерам домена, выполнив процедуру регистрации всего лишь один раз.
Пользователи одного домена не имеют никаких прав в другом домене. Для объединения нескольких доменов назначаются доверительные отношения между доменами, которые позволяют получить информацию о ресурсах объединяемых доменов. Доверительные отношения обеспечивают доступ к ресурсам одного Домена пользователям, имеющим учетные записи в другом домене. Доверительные отношения могут быть односторонними и двухсторонними. Односторонние доверительные отношения предоставляют права доступа пользователям одного домена к ресурсам другого. Двухсторонние доверительные отношения предоставляют пользователям обоих доменов доступ к ресурсам этих доменов.
Доверительные отношения не являются транзитивными. Например, если домен А доверяет домену В, а В доверяет С, то это не значит, что А автоматически доверяет С.
Типовые доменные модели Windows nt/2000/2003/xp.
Механизм доменов можно использовать различными способами. В зависимости от специфики предприятия можно объединить ресурсы и пользователей в различное количество доменов, а также по-разному установить между ними доверительные отношения.
Microsoft предлагает использовать четыре типовые модели использования доменов на предприятии:
- Модель с одним доменом;
- Модель с главным доменом;
- Модель с несколькими главными доменами;
- Модель с полными доверительными отношениями.
Модель с одним доменом
Эта модель подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели — производительность, которая падает, когда пользователи просматривают домен, включающий много серверов.
Использование только одного домена также означает, что сетевой администратор всегда должен администрировать все серверы. Разделение сети на несколько доменов позволяет назначать администраторов, которые могут администрировать только отдельные серверы, а не всю сеть.
Наилучшая модель для предприятий с небольшим числом пользователей и ресурсов
Централизованное управление пользовательской учетной информацией
Нет нужды в управлении доверительными отношениями
Локальные группы нужно определять только однажды
Низкая производительность, если домен имеет слишком много пользователей и/или серверов
Невозможность группирования ресурсов
Модель с главным доменом
Эта модель хорошо подходит для предприятий, где необходимо разбить ресурсы на группы в организационных целях, и в то же время количество пользователей и групп пользователей не очень велико. Эта модель сочетает централизацию администрирования с организационными преимуществами разделения ресурсов между несколькими доменами.
Главный домен удобно рассматривать как чисто учетный домен, основное назначение которого — хранение и обработка пользовательских учетных данных. Остальные домены в сети — это домены ресурсов, они не хранят и не обрабатывают пользовательскую учетную информацию, а поставляют ресурсы (такие как разделяемые файлы и принтеры) для сети. В этой модели пользовательскую учетную информацию хранят только основной и резервный контроллеры главного домена.
Наилучшая модель для предприятия, у которого не очень много пользователей, а разделяемые ресурсы должны быть распределены по группам
Учетная информация может централизованно управляться
Ресурсы логически группируются
Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела
Глобальные группы должны определяться только один раз (в главном домене)
Плохая производительность, если в главном домене слишком много пользователей и групп
Локальные группы нужно образовывать в каждом домене, где они используются
Модель с несколькими главными доменами
Эта модель предназначена для больших предприятий, которые хотят поддерживать централизованное администрирование. Эта модель в наибольшей степени масштабируема.
В данной модели имеется небольшое число главных доменов. Главные домены используются как учетные домены, причем учетная информация каждого пользователя создается только в одном из главным доменов. Сотрудники отдела Автоматизированных Информационных Систем (АИС) предприятия могут администрировать все главные домены, в то время как ресурсные домены могут администрировать сотрудники соответствующих отделов.
Каждый главный домен доверяет всем остальным главным доменам. Каждый домен отдела доверяет всем главным доменам, но доменам отделов нет необходимости доверять друг другу.
Так как все ресурсные домены доверяют всем главным, то данные о любом пользователе могут использоваться в любом отделе предприятия.
Использование глобальных групп в этой модели несколько сложнее, чем в предыдущих. Если нужно образовать глобальную группу из пользователей, учетная информация которых хранится в разных главных доменах, то фактически приходится образовывать несколько глобальных групп — по одной в каждом главном домене. В модели с одним главным доменом нужно образовать только одну глобальную группу.
Чтобы упростить решение этой проблемы, целесообразно распределять пользователей по главным доменам по организационному принципу, а не по какому-либо иному, например, по алфавитному.
Наилучшая модель для предприятия с большим числом пользователей, и центральным отделом АИС.
Ресурсы логически группируются.
Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.
Как локальные, так и глобальные группы должны определяться по нескольку раз в каждом учетном домене.
Необходимо управлять большим количеством доверительных отношений.
В одном домене локализуются не все данные о пользователях.
Модель с полными доверительными отношениями
Эта модель обеспечивает распределенное администрирование пользователей и доменов. В этой модели каждый домен доверяет каждому. Каждый отдел может управлять своим доменом, определяя своих пользователей и глобальные группы пользователей, и учетная информация о них может использоваться во всех доменах предприятия.
Из-за резкого увеличения числа доверительных отношений эта модель не подходит для больших предприятий. Для n доменов нужно установить n(n-1) доверительных отношений.
К этой модели полностью применим термин «доверие». Для создания доверительных отношений с другим доменом администратор действительно должен быть уверен, что он доверяет администратору того домена, особенно если он дает некоторые права глобальным группам другого домена. Как только такие права даны, местный администратор зависит от того, не добавит ли удаленный администратор в глобальную группу нежелательных или непроверенных пользователей в будущем. При администрировании главных доменов такая опасность также имеется. Но риск здесь ниже из-за того, что пользователей в главные домены добавляют сотрудники центрального отдела АИС, а не произвольно назначенный администратором сотрудник функционального отдела предприятия.
Наилучшим образом подходит для предприятий, на которых нет централизованного отдела АИС
Хорошо масштабируется в отношении количества пользователей.
Каждый отдел имеет полное управление над своими пользователями и ресурсами.
Как ресурсы, так и пользователи группируются по отделам.
Модель не подходит для предприятий с централизованным отделом АИС.
Нужно управлять очень большим количеством доверительных отношений.
Каждый отдел должен довериться администраторам других отделов, что те не включат в состав своих глобальных групп нежелательных пользователей
5.4. Организация доменной структуры сети
Когда компьютеры объединяются в сеть на платформе Windows NT, они группируются в рабочие группы или домены.
Группа компьютеров, составляющих административный блок и не принадлежащих доменам, называется рабочей. Она формируется на платформе Windows NT Workstation. Любой из компьютеров рабочей группы включает в себя собственную информацию по бюджетам пользователей и групп и не делит ее с другими компьютерами рабочей группы. Члены, которые входят в состав рабочих групп, регистрируются только на рабочей станции и могут по сети просматривать каталоги других членов рабочей группы. Компьютеры одноранговой сети образуют рабочие группы, которые следует формировать, исходя из организационной структуры предприятия: рабочая группа бухгалтерии, рабочая группа планового отдела, рабочая группа отдела кадров и т. д.
Рабочую группу можно создать на основе компьютеров с разными ОС. Члены данной группы могут выполнять роль как пользователей ресурсов, так и их поставщиков, т. е. они равноправны. Право предоставления другим ПК доступа ко всем или некоторым имеющимся в их распоряжении локальным ресурсам принадлежит серверам.
Когда в сеть входят компьютеры разной мощности, то самый производительный в конфигурации сети компьютер может использоваться в качестве невыделенного сервера файлов. При этом в нем можно хранить информацию, которая постоянно необходима всем пользователям. Остальные компьютеры работают в режиме клиентов сети.
При установке Windows NT на компьютере указывается, является он членом рабочей группу или домена.
Логическое объединение одного или нескольких сетевых серверов и других компьютеров, обладающих общей системой безопасности и информацией в виде централизованно управляемой базы данных о бюджетах пользователей, называется доменом. Каждый из доменов обладает индивидуальным именем.
Компьютеры, входящие в один домен, могут располагаться в локальной сети или в разных странах и континентах. Они могут быть связаны различными физическими линиями, например телефонными, оптоволоконными, спутниковыми и др.
Каждый компьютер, входящий в домен, обладает собственным именем, которое, в свою очередь, должно разделяться точкой с именем домена. Членом данного имени является компьютер, и домен образует полное имя домена для компьютера.
Контроллером домена является организация доменной структуры в сети, установление в ней определенных правил, управление взаимодействием между пользователем и доменом.
Компьютер, который работает под управлением Windows NT Server и использует один разделяемый каталог для сохранения информации по бюджетам пользователей и безопасности, касающейся всего домена, называется контроллером домена. Его задачей является управление внутри домена взаимодействием между пользователем и доменом.
Все изменения информации о бюджетах домена отбирает, сохраняет информацию в базе данных каталога и постоянно тиражирует на резервные домены главный контроллер домена. Благодаря этому обеспечивается централизованное управление системой безопасности.
Используется несколько моделей построения сети с доменной архитектурой:
• модель с несколькими мастер-доменами;
• модель полностью доверительных отношений.