Автор работы: Пользователь скрыл имя, 22 Марта 2012 в 16:18, контрольная работа
Минимальное требование для домена - один сервер, работающий под управлением Windows Server 2003, который служит в качестве первичного контроллера домена и хранит оригинал базы данных учетных карточек пользователя и групп домена. В дополнение к сказанному, домен может также иметь другие серверы, работающие под управлением Windows Server 2003 и служащие в качестве резервных контроллеров домена, а также компьютеры, служащие в качестве стандартных серверов, серверов LAN Manager 2.x, клиентов Windows Server 2003 Workstation и других клиентов, как например, работающих с MS-DOS.
-28-
Администрирование сети на основе Microsoft Windows 2003 Server
Минимальное требование для домена - один сервер, работающий под управлением Windows Server 2003, который служит в качестве первичного контроллера домена и хранит оригинал базы данных учетных карточек пользователя и групп домена. В дополнение к сказанному, домен может также иметь другие серверы, работающие под управлением Windows Server 2003 и служащие в качестве резервных контроллеров домена, а также компьютеры, служащие в качестве стандартных серверов, серверов LAN Manager 2.x, клиентов Windows Server 2003 Workstation и других клиентов, как например, работающих с MS-DOS(рис. 6).
Рис. 6. Структура домена
Первичный контроллер домена должен быть сервером, работающим по управлением Windows Server 2003. Все изменения базы данных, учетных карточек пользователя и групп домена должны выполняться в базе данных первичного контроллера домена.
Резервные контроллеры домена, работающие под управлением Windows Server 2003, хранят копию базы данных учетных карточек домена. База данных учетных карточек копируется во все резервные контроллеры домена.
Все резервные контроллеры домена дополняют первичный контроллер и могут обрабатывать запросы на начала сеанса от пользователей учетных карточек домена. Если домен получает запрос на начало сеанса, первичный контроллер домена или любой из резервных контроллеров домена может идентифицировать попытку начала сеанса.
Дополнительно к первичным и резервным контроллерам домена, работающим под управлением Windows Server 2003, есть другой тип серверов. Во время установки Windows Server 2003 они определяются, как “серверы”, а не контроллеры домена. Сервер, который входит в домен, не получает копию базы данных пользователей домена.
Очень важным моментом является планировка домена.
Есть четыре модели для организации сети: модель единственного домена, модель основного домена, модель многочисленных основных доменов и модель полного доверия.
Если сеть имеет не слишком много пользователей и не должна делиться по организационным причинам, можно использовать самую простую модель - модель единственного домена. В этой модели сеть имеет только один домен. Естественно, все пользователи регистрируются в этом домене.
Никаких связей доверия не нужно, поскольку в сети существует только один домен.
Чтобы гарантировать хорошую производительность сети, можно использовать модель единственного домена, при условии, что у нее небольшое количество пользователей и групп. Точное количество пользователей и групп зависит от количества серверов в домене и аппаратных средств серверов.
Для предприятий, где сеть имеет небольшое количество пользователей и групп, но должна быть разделена на домены из организационных соображений, основная модель домена может быть наилучшим выбором. Эта модель дает централизованное управление и организационные преимущества управления многими доменами.
В этой модели один домен - основной домен, в котором регистрируются все пользователи и глобальные группы. Все другие домены сети доверяют этому домену и таким образом можно использовать пользователей и глобальные группы, зарегистрированные в них.
Основная цель главного домена - управление сетевыми учетными карточками пользователя. Другие домены в сети - домены ресурса; они не хранят учетные карточки пользователя и не управляют ими, а только обеспечивают ресурсы сети.
В этой модели только первичные и резервные контроллеры домена в основном домене имеют копии учетных карточек пользователей сети.
Для больших предприятий, которые хотят иметь централизованную администрацию, модель многочисленных основных доменов может оказаться наилучшим выбором, поскольку он наиболее масштабируемый.
В этой модели небольшое количество основных доменов. Основные домены служат в качестве учетных доменов и каждая учетная карточка пользователя создается в одном из этих основных доменов.
Каждый основной домен доверяет всем другим основным доменам. Каждый ведомственный домен доверяет всем основным доменам, но ведомственным доменам не нужно доверять друг другу.
При желании управлять пользователями и доменами, распределенными среди различных отделов, децентрализовано, можно использовать модель полного доверия. В ней каждый домен сети доверяет другому домену. Таким способом каждый отдел управляет своим собственным доменом и определяет своих собственных пользователей и глобальные группы, и эти пользователи и глобальные группы могут, тем не менее, использоваться во всех других доменах сети. Из-за количества связей доверия, необходимого для этой модели, она не практична для больших предприятий.
2.2.9 Выбор модели организации сети
Проанализировав оргонизационно-штатную структуру подразделения, можно заключить, что оптимальным выбором является модель основного домена. Ее достоинства и недостатки сведены в табл.2.
Таблица 2. Преимущества и недостатки модели основного домена.
Преимущества | Недостатки |
Учетные карточки пользователей могут управляться централизовано. | Ухудшение производительности в случае, если домен будет дополнен большим числом пользователей и групп. |
Ресурсы сгруппированы логически. | Локальные группы должны быть определены в каждом домене, где они будут использоваться. |
Домены отделений могут иметь своих собственных администраторов, которые управляют ресурсами в отделе. |
|
Глобальные группы должны быть определены только один раз (в основном домене). |
|
Логическая структура сети показана на рис. 7.
Рис. 7. Логическая структура сети.
Рис. 8. Функциональная схема ЛВС офиса
2.2.10 Организация защиты сети
Каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на его деятельность в сети.
Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на домен. При использовании локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, воспользовавшись своей глобальной учетной записью. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, регистрируясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.
Создавать, модифицировать и управлять учетными записями администратор может с помощью программы User Manager for Domains. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят: пользователь, профиль пользователя, имена рабочих станций, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и другие.
Пароль пользователя играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому Windows Server 2003 содержит ряд мощных механизмов, связанных с паролем пользователя:
максимальный срок действия, после которого пароль необходимо изменить;
минимальная длина пароля;
минимальный срок хранения пароля;
уникальность пароля и хранение истории паролей;
блокировка учетной записи при неудачной регистрации;
продолжительность блокировки.
Учетная запись пользователя может содержать указания на использование домашнего каталога и сценария регистрации. Администратор может задавать сценарии регистрации пользователей и тем самым устанавливать единый механизм регистрации в сети. Сразу после аутентификации пользователя выполняется сценарий, который представляет собой командный или исполняемый файл. Сценарии могут быть одинаковы для всех пользователей или уникальны для каждого. Каждый пользователь может иметь домашний каталог для хранения персональных файлов. Этот каталог открывается по умолчанию в диалоговых окнах, например в окне Файл|Открыть (File|Open), а также в командной строке. Домашним каталогом может быть как один из общих каталогов, так и персональный каталог пользователя.
Целесообразно объединять учетные записи в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в эту группу.
Возможности пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные. К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т.п.
Расширенные права во многом являются специфичными для операционной системы или приложений. Некоторые из расширенных прав зарезервированы для использования в будущих версиях операционной системы.
Механизмы защиты Windows Server 2003 позволяют гибко ограничивать или предоставлять права пользователей на доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним доступ, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца. Предоставление прав на доступ к файлам и каталогам — основа защиты Windows Server 2003 и является важнейшим механизмом файловой системы NTFS. Права доступа определяются набором атрибутов: Read, Write, Delete, Change Permission, Execute, Take Ownership, No Access.
Для каталогов, предоставляемых в совместное использование, защита состоит из двух уровней: сетевого и локального. Как отмечалось ранее, возможность локальной защиты существует только на файловой системе NTFS. Удаленный пользователь получает права доступа, являющиеся комбинацией локальных ограничений NTFS и прав доступа к совместно используемым ресурсам. Один и тот же каталог может быть предоставлен в совместное использование несколько раз. При этом каждый раз применяется новое имя ресурса, и можно назначить другие права для других групп пользователей. Права доступа определяются следующим набором атрибутов: Read, Change, Full Control, No Access.
Целью моей работы было объединение парка маломощных компьютеров в сеть. Для этого в теоретической части своей работы был сделан обзор сетевых ОС, отвечающих следующим требованиям – надежность, защищенность, преемственность интерфейса Windows (для снижения затрат на переобучение персонала).
В результате рассмотрения операционных систем этим требованиям удовлетворяет Windows Server 2003, т.к. она не предъявляет существенно большие требования к аппаратному обеспечению.
Информация о работе Администрирование сети на основе Microsoft Windows 2003 Server