Лекции по "Информатике"

Логическое  объединение одного или нескольких сетевых  серверов и других компьютеров, обладающих общей системой безопасности и информацией  в виде централизованно  управляемой базы данных о бюджетах пользователей, называется доменом. Каждый из доменов обладает индивидуальным именем.

Компьютеры, входящие в один домен, могут располагаться  в локальной сети или в разных странах  и континентах. Они  могут быть связаны  различными физическими  линиями, например телефонными, оптоволоконными, спутниковыми и др.

Каждый  компьютер, входящий в домен, обладает собственным именем, которое, в свою очередь, должно разделяться  точкой с именем домена. Членом данного имени  является компьютер, и домен образует полное имя домена для компьютера.

Контроллером  домена является организация  доменной структуры  в сети, установление в ней определенных правил, управление взаимодействием  между пользователем  и доменом.

Компьютер, который работает под управлением  Windows NT Server и использует один разделяемый каталог для сохранения информации по бюджетам пользователей и безопасности, касающейся всего домена, называется контроллером домена. Его задачей является управление внутри домена взаимодействием между пользователем и доменом.

Все изменения информации о бюджетах домена отбирает, сохраняет  информацию в базе данных каталога и  постоянно тиражирует на резервные домены главный контроллер домена. Благодаря  этому обеспечивается централизованное управление системой безопасности.

Используется  несколько моделей  построения сети с  доменной архитектурой:

• однодоменная модель;

• модель с мастер-доменом;

• модель с несколькими мастер-доменами;

• модель полностью доверительных отношений.

5.5. Многоуровневый подход. Протокол. Интерфейс.  Стек протоколов

Взаимодействие  между устройствами в сети является сложной  задачей. Для ее решения  применяют универсальный  прием – декомпозицию, который заключается в разбиении одной сложной задачи на несколько более простых задач-модулей. Декомпозиция состоит из четкого определения функций каждого модуля, который решает отдельную задачу, и интерфейсов между ними. В итоге достигается логическое упрощение задачи, к тому же появляется возможность преобразования отдельных модулей без изменения остальной части системы.

При декомпозиции иногда применяют многоуровневый подход. В этом случае все модули разбивают  на уровни, которые  образуют иерархию, т. е. имеются вышележащие и нижележащие уровни. Модули, составляющие каждый уровень, сформированы таким образом, что для выполнения своих задач они обращаются с запросами только к тем модулям, которые непосредственно примыкают к нижележащим уровням. Однако результаты работы всех модулей, которые принадлежат некоторому уровню, могут быть переданы только модулям соседнего вышележащего уровня. При данной иерархической декомпозиции задачи необходимо четкое определение функции каждого уровня и интерфейсов между уровнями. Интерфейс устанавливает набор функций, предоставляемых нижележащим уровнем вышележащему. В итоге иерархической декомпозиции достигается значительная независимость уровней, т. е. возможность их легкой замены.

Средства  сетевого взаимодействия тоже могут быть представлены в форме иерархически организованного  множества модулей. В этом случае модули нижнего уровня способны, в частности, решать все вопросы, связанные  с надежной передачей  электрических сигналов между двумя соседними  узлами. Модули более  высокого уровня создадут транспортировку  сообщений в пределах всей сети, используя  для этого средства нижележащего уровня. На верхнем уровне работают модули, которые  предоставляют пользователям  доступ к различным  службам, среди которых  файловая служба, служба печати и т. п. Однако это только один из множества возможных способов для деления общей задачи организации сетевого взаимодействия на частные, более мелкие подзадачи.

Многоуровневый  подход, применяемый  к описанию и реализации функций системы, используется не только в отношении сетевых  средств. Данная модель действия применяется, например, в локальных  файловых системах, если поступивший  запрос на доступ к  файлу по очереди  обрабатывается несколькими  программными уровнями, в первую очередь  верхним уровнем, осуществляющим последовательный разбор составного символьного  названия файла и  определение уникального  идентификатора файла. Последующий уровень  находит по уникальному  имени все оставшиеся характеристики файла: адрес, атрибуты доступа  и т. п. После этого на более низком уровне производится проверка прав доступа к этому файлу, и затем, после расчета координат области файла, содержащей необходимые данные, выполняется физический обмен с внешним устройством с помощью драйвера диска.

Многоуровневое  представление средств  сетевого взаимодействия обладает своей спецификой, которая связана  с тем, что в  обмене сообщениями  участвуют две  машины, т. е. в этом случае следует организовать согласованную работу двух «иерархий». При передаче сообщений оба участника сетевого обмена должны принять много соглашений. Например, им необходимо согласовать уровни и форму электрических сигналов, способ определения длины сообщений, договориться о способах контроля достоверности и т. п. Таким образом, соглашения должны быть приняты для всех уровней, начиная от самого низкого, которым являются уровни передачи битов, до самого высокого, который выполняет сервис для пользователей сети.

Модули, которые реализуют  протоколы соседних уровней и находящиеся  в одном узле, также  взаимодействуют  друг с другом в  соответствии с четко  определенными нормами  и с помощью  стандартизованных  форматов сообщений. Эти правила называют интерфейсом. Интерфейс – это набор сервисов, которые предоставляются данным уровнем соседнему уровню. На самом деле протокол и интерфейс определяют одно и то же понятие, но традиционно в сетях за ними закрепили различные области действия: протоколы назначают правила взаимодействия модулей одного уровня в разных узлах, а интерфейсы определяют модули соседних уровней в одном узле.

Средства  любого из уровней  должны отрабатывать, во-первых, свой собственный  протокол, а во-вторых, интерфейсы с соседними  уровнями.

Иерархически  организованный набор  протоколов, который  достаточен для организации  взаимодействия узлов  в сети, носит название стеков коммуникационных протоколов.

Коммуникационные  протоколы можно  выполнить как  программно, так и  аппаратно. Протоколы  нижних уровней чаще всего реализуются  комбинацией программных  и аппаратных средств, а протоколы верхних  уровней – обычно чисто программными средствами.

Программный модуль, который реализует  некоторый протокол, часто для краткости  также именуют  протоколом. В данном случае соотношение  между протоколом – формально определенной процедурой и протоколом – программным  модулем, который  выполняет эту  процедуру, аналогично соотношению между  алгоритмом решения  некоторой задачи и программой, решающей эту задачу.

Один  и тот же алгоритм можно запрограммировать  с разной степенью эффективности. Аналогично и протокол может  обладать несколькими  программными средствами реализации. Исходя из этого при сравнении протоколов необходимо учитывать не только логику их работы, но и качество программных решений. Кроме того, на эффективность взаимодействия устройств в сети оказывает влияние качество всей совокупности протоколов, которые составляют стек, в частности, насколько рационально распределены функции между протоколами различных уровней и насколько хорошо определены интерфейсы между ними.

Протоколы организуются не только компьютерами, но и  другими сетевыми устройствами, например концентраторами, мостами, коммутаторами, маршрутизаторами и т. д. В общем случае связь компьютеров в сети выполняется не напрямую, а через различные коммуникационные устройства. В зависимости от вида устройства в нем необходимы определенные встроенные средства, которые реализуют тот или иной набор протоколов.

5.6. Организация учетных  записей. Управление  группами пользователей

Все сведения о пользователе, которые необходимы для его идентификации  и работы в сети Windows NT, называются учетной записью. Она создается для каждого пользователя и содержит уникальное имя, которое набирается пользователем при регистрации в сети, и пароль для входа в сеть.

При создании учетной  записи необходимо внести следующие сведения:

1) группа пользователей, включающая в себя пользователя;

2) путь к профилю пользователя, который определяет среду пользователя и доступные ему программы;

3) время, в которое пользователю разрешено войти в сеть;

4) рабочая станция, через которую данный пользователь может войти в сеть;

5) сроки действия учетной записи и вид учетной записи;

6) права пользователя на средства удаленного доступа и обратного вызова.

С помощью управления учетной записью  вносят изменения  в учетные записи. Данные изменениями  могут включать в  себя: изменение пароля, переименование учетной  записи, изменение  пользовательской группы (удаление из одной и включение  в другую), блокировка доступа, удаление учетной  записи. Учетные записи контроллера домена могут являться действительными  и для других доменов, при этом данные домены должны вызывать доверие.

В Windows NT 4 присутствует концепция управления группами пользователей. Основу данной концепции составляет назначение прав сразу целой группе пользователей и исполнение контроля доступа через добавление и удаление пользователей из разных групп. Этот подход к ведению учетной записи предоставляет все права доступа той группе, в которую помещена данная учетная запись.

Учетные записи пользователей, которые имеют  доступ к серверам и рабочим станциям в своем и других доменах, с которыми установлены доверительные  отношения, называютсяглобальными группами. Они управляются диспетчером пользователей для доменов.

Локальные группы состоят из учетных записей пользователей, имеющих доступ к ресурсам только в локальной системе в пределах ее собственного домена, и учетных записей пользователей глобальных групп, которые имеют доступ к серверам, входящим в их домен.

Администраторами называют группу, отвечающую за общую конфигурацию домена и его серверов. Эта группа обладает наибольшими правами. В ее состав входит глобальная группаадминистраторов домена, которые обладают теми же правами, что и администраторы.

Операторы бюджета имеют право создания новых групп и учетных записей пользователей. Однако у них ограничены права администрирования учетных записей, серверов и групп домена. Правами со значительными ограниченными возможностями обладают также группы пользователей, пользователей домена, гостей домена, гостей. Возможно копировать, корректировать и удалять созданные пользователем группы. Мастер управления группами имеет право добавлять и создавать пользователей. Он работает в полуавтоматическом режиме и оказывает поэтапную помощь в выполнении следующих административных задач:

• создание пользовательских учетных записей;

• управление группами;

• осуществление контроля доступа к файлам и папкам;

• ввод драйверов принтеров;

• инсталляция и деинсталляция программ;

• управление лицензированием;

• администрирование сетевых клиентов.

5.7. Управление политикой  защиты

Одной из важнейшей задач  администрирования  является управление политикой защиты. В нее входят: интерактивная  аутентификация пользователя, управление доступом пользователя к сетевым  ресурсам, аудит.

Интерактивную аутентификацию пользователя осуществляют нажатием клавиш Ctrl + Alt + Del, что приводит к запуску утилиты WINLOGIN, открывающей окно Вход в систему.

Когда пользователь входит в рабочую группу, его учетная запись создается и хранится в SAM (оперативной  памяти компьютера) его рабочей станции  и локальное программное  обеспечение аутентификации обращается для проверки вводимых параметров регистрации в  базу данных SAM рабочей  станции. Если пользователь регистрируется в  домене, то обращение  для проверки вводимых параметров регистрации  происходит к базе данных SAM домена, к  которому относится  его машина.

Управление  доступом пользователя к сетевым ресурсам выполняют благодаря применению бюджета пользователя, правил пользователя или группы пользователей, прав доступа к объектам и др.

Бюджет  пользователя формируется администратором после создания учетной записи. В бюджет входят время работы в сети, область ОП, которая предоставляется пользователю, и другие права пользователя в системе.

Правила, которые устанавливают  действия, доступные  для применения, называются правами пользователя или группы пользователей. Предоставленные права и ограничения, которые накладываются на отдельного пользователя или группу пользователей, определяют возможности пользователя по доступу к сетевым ресурсам.

Пользователь  может обладать обычными и расширенными правами. Обычно расширенные  права предоставляются  только программистам  и иногда администраторам  рабочих станций, но не предоставляются  группам пользователей.

Редактор  системной политики применяется для корректировки и установки новых прав некоторого пользователя администратором.

В Windows NT административные функции чаще всего выполняются с помощью диспетчера пользователя, диспетчера серверов и др.