КОНСПЕКТ ЛЕКЦИЙ по дисциплине Операционные системы и среды
Государственное бюджетное образовательное учреждение
Астраханской области среднего профессионального образования
«Астраханский колледж вычислительной техники»
КОНСПЕКТ ЛЕКЦИЙ
| по дисциплине | Операционные системы и среды | |
| ( 1 семестр) | ||
| для специальности (специальностей) | ||
| «Программирование в компьютерных системах» | ||
| (код и наименование специальности) | ||
| Рассмотрен цикловой комиссией цикловой комиссией специальности 230115 Программирование в компьютерных системах ГБОУ АО СПО «Астраханский колледж вычислительной техники» Протокол № ____ от __________________ Председатель цикловой комиссии ________________ М.В.Беляева | Составлен на основе Федерального государственного стандарта среднего профессионального образования по специальности 230115 |
| Утвержден Методическим советом Протокол №____ от _____________20__ г. | |
| Председатель Методического совета _________________________ Т.В. Каракаш | |
| Авторы: | ______________________ И.В. Шишманова |
| Рецензенты: | ______________________ Л.М. Бойченко |
Оглавление
Введение в дисциплину. 4
Раздел 1. Введение в операционные системы.. 5
Тема 1.1. Назначение и функции операционных систем (ОС) 5
1.1.1. Определение операционной системы.. 5
1.1.2. Эволюция ОС.. 7
1.1.3. Требования к современным операционным системам.. 9
Тема 1.2. Архитектура операционной системы.. 11
1.2.1. Ядро и вспомогательные модули ОС.. 11
1.2.2 Работа ядра в привилегированном режиме. 12
1.2.3. Многослойная структура ОС.. 14
1.2.4. Концепция микроядерной архитектуры.. 18
Тема 1.3. Процессы и потоки. 20
1.3.1. Понятия вычислительного процесса и ресурса. 20
1.3.2. Создание процессов и потоков. 22
1.3.3. Состояния процессов. 25
1.3.4. Алгоритмы планирования процессов. 27
1.3.5. Управление процессами и потоками в Windows 2000. 31
1.3.6. Процессы в Linux. 33
Тема 1.4. Планирование процессов и потоков. 35
1.4.1. Типы прерываний. 35
1.4.2. Обработка прерываний. 36
1.4.3. Цели и средства синхронизации. 38
1.4.4. Методы борьбы с тупиками. 40
Тема 1.5. Управление памятью.. 41
1.5.1. Типы адресов. 41
1.5.2. Методы распределения памяти с использованием дискового пространства 43
1.5.3. Понятие виртуальной памяти. 44
1.5.4. Страничное распределение памяти. 46
1.5.5. Сегментное распределение памяти. 48
1.5.6. Странично - сегментное распределение памяти. 49
1.5.7. Свопинг. 49
Тема 1.6. Организация ввода - вывода данных. 50
1.6.1. Принцип действия кэш-памяти. 52
1.6.2. Внутреннее устройство кэша. 53
1.6.3. Технологии ввода – вывода. 54
1.6.4. Ввод-вывод с использованием прерываний. 55
1.6.5. Прямой доступ к памяти. 55
Тема 1.7. Организация файловой системы.. 57
1.7.1. Физическая организация устройств ввода-вывода. 57
1.7.2. Согласование скоростей обмена и кэширование данных. 58
1.7.3. Поддержка нескольких файловых систем.. 58
1.7.4.Физическая организация накопителей на МД.. 58
1.7.5. Принципы записи информации на МД.. 61
1.7.6. Системы управления файлами. 63
1.7.7. Файловая система FAT.. 63
1.7.8. Ключевые возможности NTFS. 67
1.7.9 Физическая организация s5 и ufs. 71
Тема 1.8. Сетевые службы.. 75
1.8.1. Состояние сетевых служб операционной системы.. 75
1.8.2. Проверка доступности сетевых служб. 75
1.8.3. Настройка протокола TCP/IP. 76
1.8.4. Настройка имени компьютера и рабочей группы.. 79
1.8.5. Диагностика сетевых настроек. 83
Тема 1.9. Сетевая безопасность. 85
1.9.1. Основные понятия безопасности. 85
1.9.2. Классификация угроз. 86
1.9.3. Системный подход к обеспечению безопасности. 89
1.9.4. Политика безопасности. 90
1.9.5. Аутентификация, авторизация, аудит. 93
Раздел 2. Операционные системы семейства Windows. 98
Тема 2.1. Введение в Windows. 98
2.1.1. Обзор Windows 2000. 98
2.1.2. Управление. 99
2.1.3. Поддержка аппаратуры.. 99
2.1.4. Симметричная многопроцессорная обработка. 100
2.1.5. Асимметричная многопроцессорная обработка. 100
2.1.6. Безопасность. 101
2.1.7. Домены и рабочие группы.. 101
2.1.8. Вход в сеть Windows 2000. 103
2.1.9. Подготовка к установке ОС.. 103
2.1.10. Лицензирование. 106
Тема 2.2. Конфигурирование системы.. 106
2.2.1 Использование консоли управления и Task Scheduler 106
2.2.2 Конфигурирование оборудования. 109
2.2.3. Виртуальная память. 112
Переменные среды.. 117
Общие сведения о реестре. 118
Управление дисками. 121
Установка и конфигурирование сетевых протоколов. 125
Проверка возможности соединения с использованием TCP/IP. 128
Тема 2.3. Введение в службу каталогов Active Directory. 129
2.3.1. Active Directory. 129
2.3.2. Концепции Active Directory. 132
2.3.3. Учетные записи и управление ими. 135
2.3.4. Создание и администрирование групп. 138
Тема 2.4.Безопасность и аудит. 139
2.4.1. Разрешения доступа к общей папке. 139
2.4.2. Основные правила назначения разрешений на доступ к общей папке 141
2.4.3. Назначение разрешений доступа к общей папке. 144
2.4.4. Аудит ресурсов и событий. 145
2.4.5. Использование оснастки Event Viewer для просмотра журналов безопасности 146
2.4.6. Планирование политики аудита. 146
Тема 2.5. Архивация и восстановление данных. 147
2.5.1. Архивация Windows. 148
2.5.2. Планирование архивации. 148
2.5.3. Типы архивации. 150
2.5.4. Восстановление данных. 151
2.5.5. Выбор архивов и подлежащих восстановлению данных. 152
Тема 2.6. Изучение возможностей утилиты cmd. 153
2.6.1. Основные команды.. 154
2.6.2. Создание командных файлов. 159
Введение в дисциплину
Термин System Software (системное программное обеспечение), использующийся в англоязычной литературе, означает комплексы программ применяемых как для автоматизации создания новых программ, так и для организации выполнения программ уже существующих. Один из основных компонентов системного программного обеспечения – операционные системы.
Операционные системы (ОС)– это комплекс управляющих и обрабатывающих программ, которые организуют интерфейс между аппаратурой компьютера и пользовательскими задачами и предназначены для эффективного использования ресурсов компьютера.
Данная дисциплина посвящена описанию концепций, структуры и механизмов различных операционных систем. Операционные системы разработаны для огромного количества разнообразных компьютерных систем: как однопользовательских рабочих станций и персональных компьютеров, многопользовательских систем, а также таких специализированных машин, как системы реального времени. Разнообразие ОС проявляется не только в возможностях аппаратных платформ машин, но и в их назначении, а также в требованиях, предъявляемых к их системному обслуживанию. Однако, несмотря на такое разнообразие систем и постоянные изменения в подходах по организации вычислительных процессов, некоторые фундаментальные положения остаются неизменными. В курс дисциплины входит всестороннее рассмотрение основополагающих принципов устройства операционных систем, их взаимосвязей с различными новациями в этой области, а также с современными направлениями развития операционных систем.
Раздел 1. Введение в операционные системы
Тема 1.1. Назначение и функции операционных систем (ОС)
Определение операционной системы
Операционная система (ОС) компьютера представляет собой комплекс взаимосвязанных программ, который осуществляет интерфейс между приложениями и… В соответствии с этим определением ОС выполняет две группы функций:… - обеспечение пользовательского интерфейса позволяет представлять пользователю управление ресурсами компьютера, за…Эволюция ОС
Создание первых цифровых вычислительных машин произошло после второй мировой войны. В середине 40-х были созданы первые ламповые вычислительные… – машинное время стоило очень дорого, и возникали трудности с определением… - запуск программы (задание – job) требовал большой подготовительной работы – загрузки в память компилятора и…Требования к современным операционным системам
Безопасность данных вычислительной системы обеспечивается средствами отказоустойчивости ОС, направленными на защиту от сбоев и отказов аппаратуры и… Надежность и отказоустойчивость. Система защищена от внутренних и внешних… Кроме этого к операционным системам предъявляются эксплутационные требования, перечисленные ниже:Тема 1.2. Архитектура операционной системы
Архитектура ОС – комплекс программных модулей, имеющих четкое функциональное назначение, правила взаимодействия и рациональную структуру. Обычно, в состав ОС входят исполняемые и объектные модули стандартных для данной ОС форматов, библиотеки разных типов, модули исходного текста программ, программные модули специального формата (например, загрузчик ОС, драйверы ввода-вывода), конфигурационные файлы, файлы документации, модули справочной системы и т. д.
Большинство современных операционных систем представляют собой хорошо структурированные модульные системы, способные к развитию, расширению и переносу на новые платформы. Какой-либо единой архитектуры ОС не существует, но существуют универсальные подходы к построению ОС.
Ядро и вспомогательные модули ОС
- ядро – модули, выполняющие основные функции ОС; - модули, выполняющие вспомогательные функции ОС. Модули ядра выполняют такие базовые функции ОС, как управление процессами, памятью, устройствами ввода-вывода и т. п.…Работа ядра в привилегированном режиме
Обеспечение исключительных прав операционной системы невозможно без специальных средств аппаратной поддержки. Аппаратура компьютера должна… Приложения ставятся в подчиненное положение за счет запрета выполнения в… Аналогичным образом обеспечиваются привилегии ОС при доступе к памяти. Например, выполнение инструкции доступа к…Многослойная структура ОС
Такой подход существенно упрощает разработку системы, так как позволяет сначала определить «сверху вниз» функции слоев и межслойные интерфейсы, а… Ядро операционной системы в классическом варианте может состоять из следующих… Средства аппаратной поддержки ОС. Известно, что часть функций ОС может выполняться аппаратными средствами компьютера.…Концепция микроядерной архитектуры
Суть микроядерной архитектуры состоит в том, что в привилегированном режиме остается работать только очень небольшая часть ОС, называемая микроядром… Рис. 1.12. Перенос основного объема функций ядра в пользовательское пространствоТема 1.3. Процессы и потоки
Архитектура многозадачной ОС, каковыми и являются все современные операционные системы, используют концепцию процесса. Таким образом, основные требования, которым должна удовлетворять ОС могут быть сформулированы с помощью понятия процесса.
o ОС должна соблюдать очередность при выполнении процессов одновременно, чтобы повысите коэффициент использования процессорного времени.
o ОС должна распределять ресурсы между процессами в соответствии с уровнями приоритета процессов, избегая взаимоблокировок (тупиков)
o ОС поддерживает обмен информацией между процессами и обеспечивает создание пользовательских процессов.
Подробное изучение операционных систем мы начнем с изучения процессов и управления ими.
Понятия вычислительного процесса и ресурса
В качестве примеров можно назвать следующие процессы (задачи): прикладные программы пользователей, утилиты и другие системные обрабатывающие… Понятие ресурса, так же как и понятие процесса является, пожалуй, основным при… Ресурсы могут быть разделяемыми, когда несколько процессов могут их использовать одновременно (в один и тот же момент…Создание процессов и потоков
Причинами завершения процессов могут служить как обычное завершение выполнения программы, так и системные ошибки, произошедшие в процессе выполнения… Создание процесса начинается с создания описателя процесса, в качестве… Примерами описателей процесса являются блок управления задачей (ТСВ - Task Control Block) в ОS/360, управляющий блок…Идентификация процессов
o Идентификатор данного процесса
o Идентификатор родительского процесса
o Идентификатор пользователя
Рис. 2.1. Общая структура управляющих таблиц ОС
Информация о состоянии процесса
o Регистры, доступные пользователю – регистры, к которым возможно обращение с помощью машинных команд (от 32 регистров до 100 в некоторых реализациях RISK- процессоров)
o Управляющие регистры и регистры состояния
o Указатели на стек – в стеках хранятся параметры и адреса вызовов процедур и системных служб.
Управляющая информация процесса
o Структурирование данных – информация о приоритете процесса или указатели на родительские процессы (для родственных процессов) o Обмен информацией между процессами – различные флаги, сигналы и сообщения,… o Привилегии процессов – определение прав доступа к определенным областям памяти или возможность выполнения некоторых…Состояния процессов
- ВЫПОЛНЕНИЕ - активное состояние процесса, во время которого процесс обладает всеми необходимыми ресурсами и непосредственно выполняется… - Готовность к выполнению - пассивное состояние процесса. Процесс ожидает… - блокированный – пассивное состояние процесса. Процесс не может выполняться до тех пор, пока не произойдет некоторое…Алгоритмы планирования процессов
Вытесняющие и невытесняющие алгоритмы планирования.
Preemptive multitasking - вытесняющая многозадачность - это такой способ, при котором решение о переключении процессора с выполнения одного процесса…Алгоритмы планирования, основанные на квантовании
Смена активного процесса происходит, если: - процесс завершился и покинул систему; - произошла ошибка;Алгоритмы планирования, основанные на приоритетах
Приоритет - это число, характеризующее степень привилегированности процесса при использовании ресурсов вычислительной машины, в частности,… Существует две разновидности приоритетных алгоритмов: алгоритмы, использующие…Смешанные алгоритмы планирования
Во многих операционных системах алгоритмы планирования построены с использованием, как квантования, так и приоритетов. Например, в основе планирования лежит квантование, но величина кванта и/или порядок выбора процесса из очереди готовых определяется приоритетами процессов. Именно так построено планирование в системе Windows NT, в которой квантование сочетается с динамическими абсолютными приоритетами. На выполнение выбирается готовый поток с наивысшим приоритетом. Ему выделяется квант времени. Если во время выполнения в очереди готовых появляется поток с более высоким приоритетом, то он вытесняет выполняемый поток. Вытесненный поток возвращается в очередь готовых, причем становится впереди всех остальных потоков, имеющих такой же приоритет.
Управление процессами и потоками в Windows 2000
При входе в пользователя в систему ОС создает признак доступа, включающий идентификатор безопасности пользователя. Этот признак используется ОС для… В ОС W2K различают два типа объектов – процессы и потоки. Процесс – это объект… Каждый процесс в W2K представлен объектом с определенным количеством атрибутов:Процессы в Linux
Любой процесс или задание может быть представлен структурой данных task_struct. Linux поддерживает таблицу task, представляющую собой список… o Состояние – состояние выполнения процесса; o Информация по планированию процесса – тип выполнения процесса (обычный или в реальном времени), приоритет процесса,…Тема 1.4. Планирование процессов и потоков
Типы прерываний
В зависимости от источника прерывания делятся на четыре больших класса. Таблица 1.1. Классы прерыванийОбработка прерываний
1. Устройство посылает процессору сигнал прерывания. 2. Перед тем, как ответить на прерывание, процессор должен завершить… 3. Процессор производит проверку наличия прерывания, обнаруживает его и посылает устройству, приславшему это…Цели и средства синхронизации
o Многозадачность – управление множеством процессов в однопроцессорной ОС; o Многопроцессорность – управление множеством процессоров в многопроцессорной… o Распределенные вычисления – управление множеством процессов, выполняемых в распределенной вычислительной системе на…Методы борьбы с тупиками
- предотвращение тупиков; - обход тупиков; - распознавание тупика с последующим восстановлением системы.Тема 1.5. Управление памятью
Оперативная память (далее - память) является важнейшим ресурсом компьютерной системы, который требует тщательного управления операционной системой. Память является энергозависимой.
Функциями ОС по управлению памятью являются: отслеживание свободной и занятой памяти, выделение памяти процессам и освобождение памяти при завершении процессов, вытеснение процессов из оперативной памяти на диск, когда размеры основной памяти не достаточны для размещения в ней всех процессов, и возвращение их в оперативную память, когда в ней освобождается место, а также настройка адресов программы на конкретную область физической памяти.
Типы адресов
Символьные имена присваивает пользователь при написании программы на алгоритмическом языке или ассемблере. Виртуальные адреса (называют математическими или логическими) вырабатывает… Физические адреса соответствуют номерам ячеек оперативной памяти, где в действительности расположены или будут…Методы распределения памяти с использованием дискового пространства
Существует множество различных алгоритмов распределения оперативной памяти. Все методы разделены на два класса – с использованием дисковых накопителей и без использования (рис. 3.2.) Простейшие методы: распределение динамическими разделами и перемещаемыми разделами памяти фиксированными разделами использовались в операционных системах 60-70 годов и в настоящее время в чистом виде практически не используются. В рамках изучения данной темы рассмотрим только методы, основанные на использовании дисковых накопителей.
Рис. 3.2. Методы распределения памяти
Понятие виртуальной памяти
В мультипрограммном режиме помимо активного процесса, то есть процесса, коды которого в настоящий момент интерпретируются процессором, имеются… Использование виртуальной памяти осуществляется совокупностью программных… - размещение данных в запоминающих устройствах разного типа, например часть кодов программы — в оперативной памяти, а…Страничное распределение памяти
Вся оперативная память машины также делится на части такого же размера, называемые физическими страницами (или блоками). Размер страницы обычно выбирается равным степени двойки: 512, 1024 и т.д., это… При загрузке процесса часть его виртуальных страниц помещается в оперативную память, а остальные - на диск. Смежные…Сегментное распределение памяти
Рассмотрим, каким образом сегментное распределение памяти реализует эти возможности (рисунок 3.5). Виртуальное адресное пространство процесса… При загрузке процесса часть сегментов помещается в оперативную память (при… Система с сегментной организацией функционирует аналогично системе со страничной организацией: время от времени…Странично - сегментное распределение памяти
Как видно из названия, данный метод представляет собой комбинацию страничного и сегментного распределения памяти и, вследствие этого, сочетает в себе достоинства обоих подходов. Виртуальное пространство процесса делится на сегменты, а каждый сегмент в свою очередь делится на виртуальные страницы, которые нумеруются в пределах сегмента. Оперативная память делится на физические страницы. Загрузка процесса выполняется операционной системой постранично, при этом часть страниц размещается в оперативной памяти, а часть на диске. Для каждого сегмента создается своя таблица страниц, структура которой полностью совпадает со структурой таблицы страниц, используемой при страничном распределении. Для каждого процесса создается таблица сегментов, в которой указываются адреса таблиц страниц для всех сегментов данного процесса. Адрес таблицы сегментов загружается в специальный регистр процессора, когда активизируется соответствующий процесс.
Свопинг
Разновидностью виртуальной памяти является свопинг.
При свопинге, в отличие от рассмотренных ранее методов реализации виртуальной памяти, процесс перемещается между памятью и диском целиком, то есть в течение некоторого времени процесс может полностью отсутствовать в оперативной памяти. Существуют различные алгоритмы выбора процессов на загрузку и выгрузку, а также различные способы выделения оперативной и дисковой памяти загружаемому процессу.
Тема 1.6. Организация ввода - вывода данных
- чем меньше время доступа, тем дороже бит информации; - чем больше объем памяти, тем ниже стоимость хранения одного бита… - чем выше емкость памяти, тем больше время доступа к ней.Принцип действия кэш-памяти
- значение элемента данных; - адрес, который этот элемент данных имеет в основной памяти; - дополнительную информацию, которая используется для реализации алгоритма замещения данных в кэше и обычно включает…Внутреннее устройство кэша
- размер кэша; - размер блока; - функция отображения;Ввод-вывод с использованием прерываний
При альтернативном подходе процессор может передать контроллеру команду ввода-вывода, а затем перейти к выполнению другой полезной работы. Затем,… Почти в каждой компьютерной системе есть несколько контроллеров ввода-вывода,…Прямой доступ к памяти
1. Скорость передачи данных при вводе-выводе ограничена скоростью, с которой процессор может проверять и обслуживать устройство. 2. Процессор занят организацией передачи данных; при вводе-выводе для каждой… Для перемещения больших объемов данных может использоваться более эффективный метод — прямой доступ к памяти (direct…Тема 1.7. Организация файловой системы
Одной из главных функций ОС является управление всеми устройствами ввода-вывода компьютера. ОС должна передавать устройствам команды, перехватывать прерывания и обрабатывать ошибки; она также должна обеспечивать интерфейс между устройствами и остальной частью системы. В целях развития интерфейс должен быть одинаковым для всех типов устройств (независимость от устройств).
Физическая организация устройств ввода-вывода
Байт-ориентированные устройства не адресуемы и не позволяют производить операцию поиска, они генерируют или потребляют последовательность байтов.… Внешнее устройство обычно состоит из механического и электронного… Механический компонент представляет собственно устройство.Согласование скоростей обмена и кэширование данных
Однако буферизация в оперативной памяти недостаточна – разница в скоростях обмена данными между устройством и ОП слишком значительна, кроме того,… Еще одно решение – использование большой буферной памяти в контроллерах…Поддержка нескольких файловых систем
Диски представляют особый род периферийных устройств, так как именно на них хранится большая часть как пользовательских, так и системных данных. Данные на дисках организуются в файловые системы и свойства файловой системы во многом определяют свойства самой ОС. Популярность «родной» файловой системы, приводит к миграции ее в другие ОС. Кроме того, для хранения данных применяются устройства с принципиально другими способами организации хранения данных (например, CD, DVD и т.д.). Поэтому важна поддержка ОС нескольких файловых систем, отвечающих за ввод-вывод данных с различных устройств и с помощью различных файловых систем. Обычно в ОС имеется специальный слой программного обеспечения, отвечающий за решение данной задачи, называемый также диспетчером файловых систем.
Физическая организация накопителей на МД
Накопитель на магнитном диске (НГМД) является программно-управляемым устройством со своим набором команд, обеспечивающим выполнение накопителем… Жесткий диск имеет головки чтения/записи, для каждой стороны каждого диска. … Каждая сторона каждого жесткого диска (называемая поверхностью диска) разделяется на концентрические дорожки.…Принципы записи информации на МД
Сектора добавляются к файлам по мере необходимости, при этом каждый добавляется единица, называемая кластером. Размер кластера зависит от формата,… По мере того, как вы создаете и удаляете файлы, а также меняете находящуюся… Корень Файл1 Файл2 Файл3 ПустоСистемы управления файлами
Систему управления файлами составляет программное обеспечение, представляющее сервисные функции при работе пользователей и приложений с файлами.… Windows 2000 (W2K) поддерживает несколько файловых систем, включая FAT,… - клиент- серверные приложения, такие, как файловые серверы, вычислительные серверы и серверы баз данных;Файловая система FAT
Каждый логический диск имеет своеуникальное имя.В качестве имени логического диска используются буквы английского алфавита от А до Z (включительно).… На рисунке 4.7. показана логическая структура магнитного диска. Начальный… Логический диск подразумевает организацию, полностью совпадающую с логической структурой МД.Основные логические области диска
Таблица размещения файлов (FAT - File Allocation Table), Корневой Каталог (Root-Directory), Область данных (оставшееся свободным дисковое пространство) - основные логические области магнитного диска.Ключевые возможности NTFS
Способность восстановления данных. Первой в списке требований к новой файловой системе W2K была способность восстановления данных при полном отказе… Безопасность. Для обеспечения безопасности NTFS использует объектную модель… Диски и файлы больших объемов. NTFS поддерживает очень большие диски и файлы более эффективно по сравнению с другими…Том NTFS и файловая структура
Сектор. Наименьшая единица физического хранения на диске. Размер данных в байтах является степенью двойки и почти всегда равен 512 байт; Кластер. Один или несколько последовательных секторов на одной дорожке. Размер… Том. Логический раздел диска, состоящий из некоторого количества кластеров и используемый файловой системой для…Главная файловая таблица
Сердцем файловой системы в W2K является MFT. MFT организована в виде таблицы строк переменной длины, именуемых записями. Каждая строка описывает файл или папку этого тома, включая MFT, которая рассматривается как файл. Если содержимое файла достаточно мало, то он полностью размещается в строке MFT. В противном случае строка для этого файла будет содержать частичную информацию, а оставшаяся часть файла будет распределена среди доступных кластеров тома с указателями на эти кластеры в строке MFT для данного файла.
Каждая запись MFT состоит из набора атрибутов, служащих для определения характеристик файла (или папки), а также для определения содержимого файла. В табл. 12.7 перечислены атрибуты, которые могут находиться в строке MFT (обязательные атрибуты выделены темным фоном).
Таблица 4.3. Типы атрибутов файлов и каталогов в Windows NTFS
| Тип атрибута | Описание |
| Стандартная | Включает атрибуты доступа (только для чтения, чтение/запись и т.д.); информация временные метки, включая время создания и последней модификации файла; количество каталогов, указывающих на файл (счетчик связей) |
| Список атрибутов | Список атрибутов, составляющих файл, и ссылка на другую запись атрибутов MFT, в которой размещены атрибуты. Используется, когда все атрибуты не помещаются в одну запись MFT |
| Имя файла | Файл (или каталог) должен иметь одно или несколько имен |
| Дескриптор безопасности | Определяет владельца файла и пользователей, которым разрешен доступ к файлу |
| Данные | Содержимое файла. Файл содержит один неименованный атрибут данных по умолчанию, и может иметь один или несколько именованных атрибутов данных |
| Корневой индекс | Используется для реализации папок |
| Размещение индекса | Используется для реализации папок |
| Информация о томе | Включает информацию, относящуюся к тому, например версия и имя тома |
| Битовая карта | Карта, предоставляющая записи, используемые MFT или каталогом |
Физическая организация s5 и ufs
При изучении данной темы вместо понятия кластер будет использоваться понятие блок, как это принято в операционных системах Unix. Расположение файловой системы s5 на диске иллюстрирует рис. 4.8. Раздел диска,… - загрузочный блок;Тема 1.8. Сетевые службы
Взаимодействие компьютеров между собой, а также с другим активным сетевым оборудованием, в TCP/IP-сетях организовано на основе использования сетевых служб, которые обеспечиваются специальными процессами сетевой операционной системы (ОС) — демонами в UNIX-подобных ОС, службами в ОС семейства Windows и т. п.
Специальные процессы операционной системы (демоны, службы) создают «слушающий» сокет и «привязывают» его к определённому порту(пассивное открытие соединения), обеспечивая тем самым возможность другим компьютерам обратиться к данной службе. Клиентская программа или процесс создаёт запрос на открытие сокета с указанием IP-адреса и порта сервера, в результате чего устанавливается соединение, позволяющее взаимодействовать двум компьютерам с использованием соответствующего сетевого протокола прикладного уровня.
Состояние сетевых служб операционной системы
В большинстве операционных систем можно посмотреть состояние сетевых служб при помощи команды (утилиты)
Netstat -an
Проверка доступности сетевых служб
В случае обнаружения проблем с той или иной сетевой службой, для проверки ее доступности используют различные средства диагностики, в зависимости от… Одно из самых удобных средств — команда (утилита) tcptraceroute (разновидность… В качестве альтернативы можно использовать отдельно traceroute для диагностики маршрута доставки пакетов (недостаток —…Настройка имени компьютера и рабочей группы
Для обеспечения работы сетевого окружения в сети работает выделенный Master Browser. Его задача заключается в том, чтобы оперативно отвечать на… Диалог настройки имени компьютера и рабочей группы выглядит как показано на…Диагностика сетевых настроек
Эти команды выполняются в командной строке. Чтобы запустить командный интерпретатор, необходимо нажать кнопку Start / Пуск и выбрать меню Run /… Здесь необходимо набрать команду cmd (для Windows XP, Windows 2000) или command (для Windows 95/98, Windows ME) и…Тема 1.9. Сетевая безопасность
При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера.
Вопросы сетевой безопасности приобретают особое значение сейчас, когда при построении корпоративных сетей наблюдается переход от использования выделенных каналов к публичным сетям (Интернет, frame relay). Поставщики услуг публичных сетей пока редко обеспечивают защиту пользовательских данных при их транспортировке по своим магистралям, возлагая на пользователей заботы по их конфиденциальности, целостности и доступности.
Основные понятия безопасности
Конфиденциальность, целостность и доступность данных
Безопасная информационная система — это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.
Конфиденциальность (confidentiality) — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
Доступность (availability) — гарантия того, что авторизованные пользователи всегда получат доступ к данным.
Целостность (integrity) — гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.
Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на Web-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, то конфиденциальность в данном случае не требуется. Однако требования целостности и доступности остаются актуальными.
Любое действие, которое направлено на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск — это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.
Классификация угроз
Универсальной классификации угроз не существует, возможно, и потому, что нет предела творческим способностям человека, и каждый день применяются новые способы незаконного проникновения в сеть, разрабатываются новые средства мониторинга сетевого трафика, появляются новые вирусы, находятся новые изъяны в существующих программных и аппаратных сетевых продуктах. В ответ на это разрабатываются все более изощренные средства защиты, которые ставят преграду на пути многих типов угроз, но затем сами становятся новыми объектами атак. Тем не менее, попытаемся сделать некоторые обобщения. Так, прежде всего угрозы могут быть разделены на умышленные и неумышленные.
Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы программных и аппаратных средств системы. Так, например, из-за отказа диска, контроллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопасности так тесно переплетаются с вопросами надежности, отказоустойчивости технических средств. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершенствования, использования резервирования на уровне аппаратуры (RAID-массивы, многопроцессорные компьютеры, источники бесперебойного питания, кластерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).
Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.
В вычислительных сетях можно выделить следующие типы умышленных угроз:
- незаконное проникновение в один из компьютеров сети под видом легального пользователя;
- разрушение системы с помощью программ-вирусов;
- нелегальные действия легального пользователя;
- «подслушивание» внутрисетевого трафика.
Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использованием недокументированных возможностей операционной системы. Эти возможности могут позволить злоумышленнику «обойти» стандартную процедуру, контролирующую вход в сеть.
Другим способом незаконного проникновения в сеть является использование «чужих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем пользователя, наделенного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользователи сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы максимально затруднить угадывание.
Подбор паролей злоумышленник выполняет с использованием специальных программ, которые работают путем перебора слов из некоторого файла, содержащего большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что человек выбирает в качестве пароля легко запоминаемые слова или буквенные сочетания.
Еще один способ получения пароля — это внедрение в чужой компьютер «троянского коня». Так называют резидентную программу, работающую без ведома хозяина данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.
Программа - «троянский конь» всегда маскируется под какую-нибудь полезную утилиту или игру, а производит действия, разрушающие систему. По такому принципу действуют и программы-вирусы, отличительной особенностью которых является способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой исполняемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.
Нелегальные действия легального пользователя — этот тип угроз исходит от легальных пользователей сети, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки их должностных обязанностей. Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, доступ к которой администратору сети запрещен. Для реализации этих ограничений могут быть предприняты специальные меры, такие, например, как шифрование данных, но и в этом случае администратор может попытаться получить доступ к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не половина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.
«Подслушивание» внутрисетевого трафика — это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно тривиальной. Еще более усложняется защита от этого типа угроз в сетях с глобальными связями. Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумышленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зависит от того, используются собственные, арендуемые каналы или услуги общедоступных территориальных сетей, подобных Интернету.
Однако использование общественных сетей (речь в основном идет об Интернете) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опасность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного проникновения в компьютер. Это представляет постоянную угрозу для сетей, подсоединенных к Интернету.
Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного обмена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недостатки, злоумышленники все чаще предпринимают попытки несанкционированного доступа к информации, хранящейся на узлах Интернета.
Системный подход к обеспечению безопасности
К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или… Законодательные средства защиты — это законы, постановления правительства и… Административные меры — это действия, предпринимаемые руководством предприятия или организации для обеспечения…Политика безопасности
Какую информацию защищать? Какой ущерб понесет предприятие при потере или при раскрытии тех или иных… Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты? …Аутентификация, авторизация, аудит
Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с латинского означает «установление подлинности». Аутентификацию следует отличать от идентификации. Идентификаторы пользователей используются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы:
- аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.);
- аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;
- аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.
Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уровня угрозы от раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей в сеть.
Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хочет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обрабатываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи обо всех пользователях сети. Многие приложения имеют свои средства определения, является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки.
В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации'. Здесь мы имеем дело с аутентификацией на уровне приложений. При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Примером такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.
В вычислительных сетях процедуры аутентификации часто реализуются теми же программными средствами, что и процедуры авторизации. В отличие от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации имеет дело только с легальными пользователями, которые уже успешно прошли процедуру аутентификации. Цель подсистем авторизации состоит в том, чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы.
Авторизация доступа
Средства авторизации (authorization) контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.
Система авторизации наделяет пользователя сети правами выполнять определенные действия над определенными ресурсами. Для этого могут быть использованы различные формы предоставления правил доступа, которые часто делят на два класса:
- избирательный доступ;
- мандатный доступ.
Избирательные права доступа реализуются в операционных системах универсального назначения. В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами. Например, пользователю, имеющему идентификатор User_T, может быть разрешено выполнять операции чтения и записи по отношению к файлу Filet. Модификацией этого способа является использование для идентификации пользователей их должностей, или факта их принадлежности к персоналу того или иного производственного подразделения, или еще каких-либо других позиционирующих характеристик. Примером такого правила может служить следующее: файл бухгалтерской отчетности BUCH могут читать работники бухгалтерии и руководитель предприятия.
Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход используется в известном делении информации на информацию для служебного пользования, «секретно», «совершенно секретно». При этом пользователи этой информации в зависимости от определенного для них статуса получают различные формы допуска: первую, вторую или третью. В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи в принципе не имеют возможности изменить уровень доступности информации. Например, пользователь более высокого уровня не может разрешить читать данные из своего файла пользователю, относящемуся к более низкому уровню. Отсюда видно, что мандатный подход является более строгим, он в корне пресекает всякий волюнтаризм со стороны пользователя. Именно поэтому он часто используется в системах военного назначения.
Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение, а также могут поставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем:
- централизованная схема авторизации, базирующаяся на сервере;
- децентрализованная схема, базирующаяся на рабочих станциях.
В первой схеме сервер управляет процессом предоставления ресурсов пользователю. Главная цель таких систем — реализовать «принцип единого входа». В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети. Система Kerberos с ее сервером безопасности и архитектурой клиент-сервер является наиболее известной системой этого типа. Системы TACACS и RADIUS, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход.
При втором подходе рабочая станция сама является защищенной — средства защиты работают на каждой машине, и сервер не требуется. Рассмотрим работу системы, в которой не предусмотрена процедура однократного логического входа. Теоретически доступ к каждому приложению должен контролироваться средствами безопасности самого приложения или же средствами, существующими в той операционной среде, в которой оно работает. В корпоративной сети администратору придется отслеживать работу механизмов безопасности, используемых всеми типами приложений — электронной почтой, службой каталогов локальной сети, базами данных хостов и т. п. Когда администратору приходится добавлять или удалять пользователей, то часто требуется вручную конфигурировать доступ к каждой программе или системе.
В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети: сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети, то есть к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам: разделяемым каталогам, принтерам или приложениям. Сервер удаленного доступа предоставляет доступ на основании имеющегося у него списка прав доступа пользователя (Access Control List, ACL), а каждый отдельный сервер сети предоставляет доступ к своим ресурсам на основании хранящегося у него списка прав доступа, например ACL файловой системы.
Подчеркнем, что системы аутентификации и авторизации совместно выполняют одну задачу, поэтому необходимо предъявлять одинаковый уровень требований к системам авторизации и аутентификации. Ненадежность одного звена здесь не может быть компенсирована высоким качеством другого звена. Если при аутентификации используются пароли, то требуются чрезвычайные меры по их защите. Однажды украденный пароль открывает двери ко всем приложениям и данным, к которым пользователь с этим паролем имел легальный доступ.
Аудит
Аудит (auditing) — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных ОС позволяет дифференцирование задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.
Учет и наблюдение означает способность системы безопасности «шпионить» за выбранными объектами и их пользователями и выдавать сообщения тревоги, когда кто-нибудь пытается читать или модифицировать системный файл. Если кто-то пытается выполнить действия, определенные системой безопасности для отслеживания, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя. Системный менеджер может создавать отчеты о безопасности, которые содержат информацию из журнала регистрации. Для «сверхбезопасных» систем предусматриваются аудио- и видеосигналы тревоги, устанавливаемые на машинах администраторов, отвечающих за безопасность.
Поскольку никакая система безопасности не гарантирует защиту на уровне 100 %, то последним рубежом в борьбе с нарушениями оказывается система аудита.
Действительно, после того как злоумышленнику удалось провести успешную атаку, пострадавшей стороне не остается ничего другого, как обратиться к службе аудита. Если при настройке службы аудита были правильно заданы события, которые требуется отслеживать, то подробный анализ записей в журнале может дать много полезной информации. Эта информация, возможно, позволит найти злоумышленника или по крайней мере предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты.
Раздел 2. Операционные системы семейства Windows
Тема 2.1. Введение в Windows
Семейство операционных систем Microsoft Windows 2000 создано на основе технологии Microsoft Windows NT и отличается многочисленными усовершенствованиями и дополнениями.
Обзор Windows 2000
Платформа Windows 2000 включает четыре версии ОС: - Windows 2000 Professional — пользовательская и корпоративная настольная ОС, характеризуется высокой…Управление
и параметрами ОС. Следует отметить следующие новинки в управлении. - Мастер Add/Remove Programs (Установка и удаление программ) упрощает процесс… - Служба Windows Installer управляет установкой, изменением, восстановлением и удалением приложений. Предоставляет…Поддержка аппаратуры
Мастер Add/Remove Hardware (Установка оборудования) позволяет добавлять, удалять, устранять аппаратные конфликты и модернизировать периферийные… Модель драйверов Win32 (Win32 Driver Model, WDM) — стандартная модель… Поддержка Plug and Play расширяет функциональные возможности системы и позволяет т автоматически и динамически…Симметричная многопроцессорная обработка
Windows 2000 Professional поддержикает симметричную многопроцессорную обработку (symmetric multiprocessing, SMP) и два процессора. Оба процессора совместно используют общую физическую память и должны быть идентичны. Таким образом, Windows 2000 может запускать любой поток на любом доступном процессоре, независимо от того, пользовательский
или системный процесс владеет потоком.
Windows 2000 также поддерживает целевое использование процессо-
ров, когда для выполнения процесса или потока можно выбрать конкретный процессор. Как и в предыдущих версиях Windows NT, для этого в приложении должны применяться соответствующие API-интерфейсы из состава Windows 2000.
Windows 2000 использует на многопроцессорной системе те же правила очередности выполнения команд, что и на однопроцессорной. Следовательно, в любой момент времени выполняется поток, который готов к выполнению и имеет наивысший приоритет.
Асимметричная многопроцессорная обработка
В Windows 2000 Professional возможности управления файлами значительно расширены. Файловая система FAT32 поддерживается для совместимости с Windows 95 OSR2 и… Утилита дефрагментации диска перемещает программы, файлы и незаполненное пространство на жестком диске, чтобы быстрей…Безопасность
Протокол Kerberos 5 позволяет организовать однократную регистрацию в сети для доступа ко всем необходимым ресурсам. Это основной протокол… Шифрованная файловая система (Encrypting File System, EFS) повышает… Протокол Internet Protocol Security (IPSec) шифрует трафик TCP/I P для зашиты информации, передаваемой в интрасети, и…Домены и рабочие группы
Рабочая группа (workgroup) — в сети это логическое объединение компьютеров, использующих обшие ресурсы, например файлы и принтеры. Рабочая группа… - пользователь должен получить учетную запись на каждом компьютере, к… - любые изменения учетной записи пользователя: например имени пользователя, или пароля, или добавление нового…Вход в сеть Windows 2000
Регистрация на локальном компьютере. Пользователь вводит имя и пароль. Windows 2000 подтверждает личность пользователя в процессе процедуры регистрации, Доступ к ресурсам и данным, хранящимся на компьютере или в сети, получает только обладатель соответствующих прав.
Пользователь должен зарегистрироваться в случае, если:
- компьютер входит в состав рабочей группы;
- компьютер включен в домен, но не является его контроллером — пользователь выбирает имя домена в списке Log On To (Вход в) диалогового окна ввода пароля.
Процедура аутентификации в Windows 2000
Для доступа к компьютеру с Windows 2000 или к любым его ресурсам необходимо ввести имя и пароль. На рис. 1-5 показан процесс аутентификации (проверки подлинности) пользователя в домене или на локальном компьютере.
Аутентификация при локальной регистрации происходит так.
1. Пользователь регистрируется: вводит регистрационные данные, то есть имя пользователя и пароль. Windows 2000 передает эти сведения подсистеме безопасности локального компьютера.
2. Windows 2000 сравнивает регистрационные данные с информацией о пользователе, хранящейся в локальной базе данных безопасности.
3. Если реквизиты пользователя достоверны. Windows 2000 создает для него маркер доступа.
Маркер доступа (access token) — это идентификатор пользователя для локального компьютера, содержащий параметры безопасности, которые регулируют доступ к ресурсам.
Подготовка к установке ОС
При установке Windows 2000 Professional программа Setup попросит вас ввести информацию о том, как вы хотите установить и сконфигурировать операционную систему.
Перед началом установки
определите, как разбить на разделы жесткий диск, на который вы собираетесь установить Windows 2000; выберите файловую систему для установочного… Аппаратные требования.Вы должны знать минимальные аппаратные требования, необходимые для установки и эксплуатации…Определение размера установочного раздела
Microsoft рекомендует устанавливать Windows 2000 на раздел объемом не менее I Гб. Хотя для установки Windows 2000 необходимо 650 Мб, больший раздел обеспечит гибкость системы в будущем. Тогда вы сможете установить обновления для Windows 2000, дополнительные системные средства или другие файлы Windows 2000.
Файловые системы
NTFS целесообразно использовать, если для системного раздела диска необходимо применить некоторые из следующих возможностей: - Зашита на уровне файлов и папок. NTFS позволяет контролировать доступ к… - Сжатие диска. NTFS сжимает файлы для хранения большого объема данных на разделеЛицензирование
Лицензия клиентского доступа (Client Access License, CAL) позволяет клиентским компьютерам соединяться с компьютерами, на которых установлен Windows… Лицензирования доступа не требуют: - анонимный или аутентифицированный доступ к Windows 2000 Server с помощью Microsoft Internet Information Services…Тема 2.2. Конфигурирование системы
Использование консоли управления и Task Scheduler
Консоль управления ММС — одно из основных средств администрирования Windows 2000. Она предоставляет стандартизированный способ создания, сохранения… Возможности консоли управления достаточно широки. 1. Выполнение множества задач администрирования и разрешение большинства проблем — консоль экономит время, благодаря…Дерево консоли и панель подробных сведений
В каждой консоли имеется дерево консоли, отображающее иерархию включаемых в нее оснасток. Консоль на рис. включает оснастки Disk Defragmenter (Дефрагментация диска) и Device Manager On Local Computer (Диспетчер устройств).
Дерево консоли организует имеющиеся в ней оснастки, упрощая поиск. Элементы, добавляемые в дерево консоли, отображаются в корне консоли управления (Console Root). В правой панели отображаются элементы выбранного в дереве консоли узла.
Каждая консоль включает меню Acton (Действие) и View (Вид). Доступ к командам этих меню зависит от выбранного в данный момент элемента дерева консоли.
Папка Administrative Tools
Оснастки
Расширения предназначены для работы с одной или несколькими автономными оснастками, в зависимости от назначения автономных оснасток. При добавлении расширений Windows 2000 отображает только те, что совместимы с… При добавлении оснастки в консоль но умолчанию добавляются все доступные расширения. Затем ненужные расширения можно…Параметры консоли
Некоторые изолированные оснастки, например Computer Management (Управление компьютером), используют расширения, обеспечивающие дополнительную функциональность. Другие же, например Event Viewer (Просмотр событий), могут выступать как в качестве оснастки, так и в качестве расширения.
Чтобы определить назначение консоли (оснастка или расширение), воспользуйтесь ее параметрами и выберите соответствующий режим консоли. Режим определяет функциональность сохраненной консоли для конкретного пользователя, Существует два режима консоли: авторский и пользовательский
Конфигурирование оборудования
Панель управления применяется для настройки аппаратуры, среды конкретного пользователя и стандартной среды Windows. Здесь описываются программы панели управления, использующиеся для настройки аппаратных устройств или служб. Все параметры оборудования сохраняются и модифицируются в профилях оборудования.
Общие сведения о профилях оборудования
Профиль оборудования (hardware profile) хранит параметры набора устройств и служб. Windows 2000 может хранить несколько аппаратных профилей для разных конфигураций компьютера. Например, портативный компьютер имеет разные параметры аппаратуры в зависимости от того, подключен он к стыковочному узлу или нет. Пользователь портативного компьютера может создать профиль для обоих состояний и выбрать соответствующий при загрузке Windows 2000.
Создание и изменение профиля оборудования
Порядок профилей в списке определяет их обработку при загрузке системы. По умолчанию выбирается первый профиль в…Активизация профиля оборудования
Windows 2000 автоматически определяет тип компьютера и соответственно помечает флажок This Is A Portable Computer (Это портативный компьютер). Если… Для конфигурирования ОС используются программы в Control Panel (Панель… - производительность системы;Параметры быстродействия
Для просмотра параметров производительности ОС дважды щелкните значок System (Система) в Control Panel, перейдите на вкладку Advanced (Дополнительно) в окне System Properties (Свойства системы) и щелкните кнопку Performance Options (Параметры быстродействия). Появится окно, показанное на рис. 4-4
Элементы этого окна позволяют настраивать отклик приложений (application response) — оптимизировать быстродействие приложений или фоновых служб. Также здесь можно изменить объем виртуальной памяти.
Виртуальная память
Это дает следующие преимущества: - ОС способна одновременно выполнять больше приложений, чем при использовании… - адресное пространство одного процесса защищено от вмешательства других процессов.Виртуальное адресное пространство
Виртуальное адресное пространство (4 Гб) распределяется следующим образом.Подкачка
VMM выполняет в процессе подкачки три задачи. Определяет, какие страницы удалить из заполненного ОЗУ. VMM отслеживает резидентные страницы …Размер файла подкачки
Для конфигурирования файла подкачки в окне Performance Options (Параметры быстродействия) щелкните кнопку Change (Изменить). В окне Virtual Memory… Размеры файлов подкачки никогда не становятся меньше заданного во время…Размер реестра
Параметр Maximum Registry Size (Максимальный размер) в нижней части окна Virtual Memory (Виртуальная память) позволяет задать максимальный размер реестра (рис. 4-8). Этот параметр не резервирует место для реестра (реестр, вероятно, не увеличится до указанного максимального размера), а просто ограничивает размер, до которого может расти реестр.
Повышение производительности
Во-вторых, вы можете переместить файл подкачки с диска, содержащего папку systemroot (по умолчанию это папка Winnt). В итоге уменьшится конкуренция… В-третьих, вы можете задать начальный размер файла подкачки равным значению,…Переменные среды
Переменная среды (environment variable) — это строка, содержащая параметр среды (диск, путь или имя файла), присвоенный доступному в Windows 2000 идентификатору. ОС использует значения этих переменных для контроля различных приложений. Например, переменная окружения TEMP указывает, где приложение должно хранить временные файлы. Для отображения значений заданных в настоящий момент переменных среды в окне свойств системы на вкладке Advanced (Дополнительно) щелкните кнопку Environment Variables (Переменные среды). Появится окно, показанное на рис. 4-10.
Системные переменные среды
Системная переменная среды (system environment variable) применяется ко всей системе, то есть влияет на всех ее пользователей. Setup конфигурирует системные переменные среды по умолчанию, включая путь к файлам Windows 2000. Добавлять, изменять или удалять системные переменные среды вправе только администратор.
Переменные среды пользователя
Переменные среды пользователя (user environment variables) индивидуальны для каждого пользователя компьютера. Они включают любые заданные пользователем параметры (например, параметры рабочего стола). Пользователи могут добавлять, изменять или удалять свои переменные среды в окне System Properties (Свойства системы).
Как Windows 2000 задает переменные среды
Windows 2000 задает переменные среды пользователя в следующем порядке.
1. По умолчанию Windows 2000 просматривает файл Autoexec.bat, если он существует, и задает любые указанные в нем переменные среды.
2. Windows 2000 устанавливает системные переменные среды. Если какие-либо из них конфликтуют с переменными из файла Autoexec.bat, то системные переменные окружения переопределяют переменные из
Autoexec.bat.
3. Windows 2000 задает переменные среды пользователя. Если какиелибо из них конфликтуют с переменными из файла Autoexec.bat, переменные среды пользователя переопределяют переменные из Autoexec.bat.
Например, если вы добавляете в файл Autoexec.bat строку SET TMP=C:\ и задана переменная пользователя ТМР=Х:\ТЕМР, значение переменной среды пользователя (X:\TEMP) замещает заданное ранее значение С:\.
Общие сведения о реестре
Windows 2000 хранит аппаратные и программные параметры централизованно в иерархической базе данных, называемой реестром (registry). Реестр заменяет многие конфигурационные 1NI-, SYS- и СОМ-файлы, использовавшиеся в ранних версиях Microsoft Windows. Он предоставляет операционной системе сведения для инициализации приложений и загрузки таких компонентов, как драйверы устройств и сетевые протоколы.
Назначение реестра
В реестре содержатся сведения о следующих компонентах:
- аппаратном обеспечении компьютера — центральном процессоре, типе шины, указательном устройстве или мыши, клавиатуре и т. п.;
- установленных драйверах устройств;
- установленных приложениях;
- установленных сетевых протоколах;
- параметрах сетевой платы: номере IRQ, базовом адресе памяти, базовом адресе порта ввода-вывода, готовности канала ввода-вывода и типе трансивера.
Далее описаны компоненты, использующие реестр.
Ядро - во время загрузки считывает информацию из реестра, Windows NT включая сведения о том, какие драйверы устройств и в каком порядке загружать. Сохраняет в реестре информацию о себе, например, номер версии.
Драйверы - получают из реестра параметры конфигурации и хранят устройств в реестре'информацию об используемых системных ресурсах, например, прерываниях или каналах DMA. Также сообщают об обнаруженных данных конфигурации, профили Windows 2000 создает и поддерживает параметры рабочей пользователей среды пользователя в его профиле. Когда пользователь входит в систему, система кэширует его профиль в реестре. Windows 2000 сначала записывает изменения пользовательской конфигурации в реестр, а затем отражает их в профиле.
Программы - во время установки устройства или приложения могут установки добавить в реестр новые данные конфигурации, а также запросить в реестре сведения о том. были ли установлены требуемые компоненты.
Аппаратные - применяются на компьютерах с несколькими аппаратными конфигурациями. В процессе загрузки Windows 2000 пользователь выбирает аппаратный профиль, и Windows 2000 конфигурирует систему соответствующим образом.
Программа - в процессе загрузки системы на компьютере с процессо Ntdetect.com ром Intel выполняет поиск аппаратных средств. Полученные динамические данные об аппаратной конфигурации хранятся в реестре. Компьютер с RISC-проиессором извлекает эти сведения из ПЗУ устройств компьютера.
Иерархическая структура реестра
Структура реестра напоминает иерархию папок и файлов на диске
Поддеревья реестра
HKEY_LOCAL_MACHINE — содержит сведения о локальном компьютере, в том числе об аппаратной организации и операционной системе, например: о типе… HKEY_USERS — содержит параметры системы по умолчанию (стандартный профиль… HKEY_CURRENT_USER — содержит данные о текущем пользователе. Извлекает копию каждой учетной записи, применяемой для…Использование Registry Editor
Большинству пользователей Windows 2000 никогда не понадобится обращаться к реестру. Однако управление реестром — это важная часть работы системного администратора, включающая просмотр, редактирование, резервное копирование и восстановление реестра. Для просмотра и изменения конфигурации реестра используется Registry Editor (Редактор реестра).
Программа Regedt32.exe
Setup также устанавливает второй редактор реестра — Regedit. ехе. У него нет меню безопасности и он не поддерживает режим «Только для чтения», а… Хотя Registry Editor (Редактор реестра) разрешает редактировать реестр… Внимание! Некорректное использование редактора реестра может вызвать серьезные общесистемные проблемы, для решения…Управление дисками
Область хранения информации на жестком диске надо предварительно
разбить на разделы и отформатировать. Этой областью может быть весь диск (если у вас несколько дисков) или его часть.
Установка жесткого диска
Перед тем, как настроить свободное место на диске, куда установить Windows 2000, или устанавливая новый жесткий диск, следует выполнить ряд подготовительных операций.
Инициализируйте диск, указав тип хранилища. Инициализация определяет фундаментальную структуру диска. Windows 2000 поддерживает два типа хранилищ: базовый и динамический.
Создайте разделы (для базового диска) или тома (для динамического).
Отформатируйте диск под файловую систему NTFS, FAT или FAT32.
Выбор файловой системы определяет, например, механизмы управления пользовательским доступом, организацию хранения данных, объем жесткого диска, типы ОС, имеющих доступ к хранящимся на диске данным.
Структуры диска
Windows 2000 поддерживает базовую (basic storage) и динамическую (dynamic storage) структуры дисков. Физический диск может использовать только одну структуру, то есть быть либо базовым, либо динамическим. В системе же из нескольких дисков можно одновременно использовать обе структуры.
Базовая структура
Будучи стандартом, базовые диски поддерживаются всеми версиями Microsoft Windows, MS-DOS, Windows NT/2000. В Windows 2000 no умол- чанию используется базовая структура, то есть все диски являются базо-Типы разделов (для базовых дисков)
Базовый диск может содержать основные и дополнительный разделы.
Разделы функционируют как самостоятельные хранилища информации, что позволяет хранить разные типы информации раздельно (например, в одном разделе — пользовательские ланные, а в другом — приложения). Базовый диск может иметь только один дополнительный раздел, разделов не должно быть более четырех.
Основной раздел
Основные разделы (primary partitions) используются Windows 2000 для запуска компьютера. Только основной раздел может быть активным (содержать загрузочные файлы). На одном диске одновременно не может быть более одного активного раздела. Применение нескольких активных разделов позволяет изолировать разные ОС или типы данных.
При двухвариантной загрузке Windows 2000 и Windows 95 или Windows 2000 и MS-DOS активный раздел должен быть разделом FAT, так как Windows 95 не может обращаться к разделам FAT32 или NTFS. Что касается двухвариантной загрузки Windows 2000 и Microsoft Windows 95 OSR2 (более поздней версии Windows 95, способной обращаться к разделам FAT32) или Windows 2000 it Windows 98, то здесь активным может быть как раздел FAT, так и FAT32.
Дополнительный раздел (extended partition) создается на свободном пространстве диска. Так как на жестком диске может быть только один дополнительный раздел, в него следует включать все оставшееся свободное дисковое пространство. В отличие от основных разделов, дополнительный форматировать нельзя. Кроме того, ему нельзя задать имя. И все же дополнительный раздел можно разделить на сегменты — логические диски, которые форматируют с помощью определенной файловой системы и присваивают им имена.
Примечание: Системный раздел (system partition) Windows 2000 — это активный раздел, содержащий аппаратно-зависимые файлы, предназначенные для загрузки ОС. Загрузочный раздел (boot partition) Windows 2000 — это основной раздел или логический диск, где размешаются файлы ОС. Один раздел может быть одновременно и загрузочным, и системным. И все же системный раздел всегда активный (обычно им делают диск С;), тогда как загрузочный может быть любым разделом (как основным, так и дополнительным).
Типы томов (для динамических дисков)
Базовые диски можно превратить в динамические, а на них — создать
тома Windows 2000. Определите для себя, какой из следующих типов томов позволяет достичь оптимального сочетания эффективного использования дисковых ресурсов и производительности.
- Простой том (simple volume) содержит область только одного диска и не является отказоустойчивым.
- Составной том (spanned volume) может располагаться на нескольких дисках (до 32). Записываемые на такой том данные сначала сохраняются на первом диске. Когда вся область первого диска, входящего в составной том. заполнится, данные записываются на следующий диск и т. д. Составной том не является отказоустойчивым: при отказе любого диска все данные тома будут потеряны.
- Чередующийся том (striped volume) объединяет области нескольких жестких дисков (до 32) в единый логический том. Чередующиеся тома позволяют повысить производительность, так как данные записываются равномерно на все диски тома. При отказе диска все данные чередующегося тома будут потеряны.
Примечание: Windows 2000 Server обеспечивает отказоустойчивость (faulttolerance) динамических дисков за счет зеркальных (mirrored) и RAID-5- томов. Такие тома имеются только в Windows 2000 Server; тома Windows 2000 Professional отказоустойчивости не обеспечивают.
Создание нескольких томов на одном жестком диске может пригодиться для выполнения таких задач, как архивирование данных. Например, можно разбить диск на три равных раздела и в первый поместить файлы ОС, во второй — приложения, а в третий — пользовательские дан
Установка и конфигурирование сетевых протоколов
Пакет протоколов TCP/IP обеспечивает межсетевое взаимодействие компьютеров с разной аппаратной архитектурой и операционными системами. Реализация… Настройка TCP/IP для использования статичного IP-адресаУтилита ping
Протестировав конфигурацию TCP/IP, проверьте с помощью утилиты ping возможность установления связи. Утилита ping — диагностическое средство для проверки конфигураций TCP/IP и выявления сбоев соединений, она позволяет проверить доступность и функциональность определенного TCP/IP-узла.
Совместное использование утилит ipconfig и ping
компьютера и тестировать соединения с маршрутизатором.Тема 2.3. Введение в службу каталогов Active Directory
Служба каталогов Active Directory включена в продукты Windows 2000 Server. Это сетевая служба, она идентифицирует все ресурсы в сети и предоставляет доступ к ним пользователям и приложениям.
Active Directory включает каталог (Directory), который хранит информацию о сетевых ресурсах, и прочие элементы, делающие эту информацию доступной и полезной. Хранящиеся в каталоге сведения о ресурсах: пользовательских данных, принтерах, серверах, БД, группах, компьютерах и политиках безопасности, — называются объектами.
Служба каталогов Active Directory иерархически организует ресурсы в
доменах. Домен (domain) — это логическая группа серверов и других сетевых ресурсов, основной узел репликации и безопасности в сети Windows 2000.
Каждый домен включает один или более контроллеров. Контролер домена (domain controller) — это компьютер с Windows 2000 Server, хранящий полную реплику каталога домена. Для упрощения администрирования все контроллеры в домене равноправны. Вы можете изменить любой контроллер домена, и обновления скопируются на остальные контроллеры домена.
Active Directory значительно упрощает администрирование, обеспечивая одну точку администрирования для всех объектов в сети, одну точку входа для доступа к любым сетевым ресурсам. Таким образом, администратор может с одного компьютера управлять объектами на любом компьютере в сети.
В Active Directory информация организована в виде разделов, позволяющих хранить большое количество объектов. В результате каталог может расширяться по мере роста организации — от нескольких сотен до миллионов объектов.
Active Directory
Active Directory позволяет создать структуру каталога, соответствующую конкретным потребностям фирмы, Следовательно, перед установкой Active Directory' вы должны изучить порядок деловых операций обслуживаемой организации. Active Directory полностью отделяет логическую структуру иерархии домена от физической структуры. Многие предприятия имеют централизованную структуру, в которой присутствуют мощные отделы информационных технологий (IT), определяющие и жестко контролирующие корпоративную сеть. Другие организации, особенно крупные, децентрализованы и включают несколько вполне самостоятельных подразделений. Им требуются децентрализованные подходы к управлению деловыми отношениями и сетями.
Логическая структура
В Active Directory ресурсы организованы в виде логической структуры. Логическая группировка ресурсов позволяет находить ресурс по его имени, а не по физическому местоположению. Благодаря этому Active Directory делает физическую структуру сети ясной для пользователя.
Объект
Объект (object) — это именованная совокупность атрибутов, представляющая сетевой ресурс. Атрибуты (attributes) объекта — это характеристики объектов в катапоге. Например, атрибуты учетной записи пользователя включают его имя и фамилию, отдел и электронный почтовый адрес.
Объекты в Active Directory могут быть организованы в классы (classes), которые являются логическими группами объектов. Например, классом объекта могут быть учетные записи пользователя, группы, компьютеры, домены или организационные подразделения (ОП).
Организационные подразделения
Организационное подразделение (ОП) — это контейнер, который используется для организации объектов внутри домена в логические административные группы. ОП может содержать такие объекты, как учетные записи пользователя, группы, компьютеры, принтеры, приложения, общие файлы и др.
Домен
Главным компонентом логической структуры в службе каталогов Active Directory является домен (domain). Группировка объектов в один или более доменов позволяет сети отражать организацию деловых операций фирмы. Домены имеют следующие особенности:
Все объекты сети существуют внутри домена, и каждый домен хранит информацию только о тех объектах, которые содержит. Теоретически каталог домена может содержать до 10 млн. объектов, но оптимальным является I млн.
Доступ к объектам домена контролируется списками управления доступам (access control list, ACL). Списки ACL связаны с объектами и определяют полномочия пользователей в отношении объектов. В Windows 2000 объекты включают файлы, папки, общие ресурсы, принтеры и объекты Active Directory. Все элементы политики безопасности и правила, такие как права администратора, политики безопасности и списки ACL, не переходят из одного домена в другой. Администратор домена имеет полные права на определение политики безопасности только внутри своего домена
Дерево
Дерево (tree) — это группа или иерархическое расположение одного или более доменов Windows 2000, которые совместно используют непрерывное пространство имен.
Согласно стандартам DNS, имя дочернего домена — это условное имя, присоединенное к имени родительского домена.
Все домены внутри одного дерева имеют общую схему (schema), которая является формальным определением всех типов объектов.
Все домены внутри одного дерева имеют общий глобальный каталог (global catalog), являющийся центральным хранилищем информации об объектах в дереве.
Лес
Лес (forest) — это группа или иерархическое расположение одного или
более деревьев домена, образующих раздельное пространство имен.
Все деревья в лесу имеют общую схему.
Деревья в лесу имеют различную структуру именования в соответствии с их доменами.
Все домены в лесу имеют обший глобальный каталог.
Домены в лесу функционируют независимо, но лес обеспечивает связь по всей организации.
Сайты
Физическая структура Active Directory основана на сайтах. Сайт (site) — это комбинация одной или более подсетей IP, соединенных высокоскоростными каналами связи. Обычно сайт имеет те же самые границы, что и ЛВС. При группировке подсетей в сети, вы должны объединять только те подсети, которые имеют друг с другом быстрые, дешевые и надежные соединения≫ Быстрые сетевые соединения имеют скорость, по меньшей мере, 512 кбит/с. Достаточна полоса пропускания со скоростью 128 кбит/с, В Active Directory сайты не являются частью пространства имен. Когда вы просматриваете логическое пространство имен, то видите компьютеры и пользователей, сгруппированных в домены, а не в сайты. Сайты содержат только компьютерные объекты и объекты подключений, используемые для конфигурирования репликации между ними.
Концепции Active Directory
Схема
Схема (schema) содержит формальное определение содержимого и структуры службы каталогов Active Directory, включая все атрибуты, классы и свойства классов (рис. 9-4). Для каждого класса объектов схема определяет, какие атрибуты должен иметь экземпляр класса, какие он может иметь дополнительные атрибуты, и какой класс объекта является родительским для текущего класса объекта.
По умолчанию содержит определения широко используемых объектов
и свойств (таких как учетные записи пользователей, компьютеры, принтеры, группы и т. д.). Схема, также по умолчанию, содержит определения объектов и свойств, которые используются Active Directory в собственных целях.
Схема Active Directory расширяема, то есть вы можете определять новые типы объектов каталогов и атрибуты, а также новые атрибуты для существующих объектов. Вы можете расширить схему с помощью оснастки Active Directory Schema или средствами Active Directory Services Interface (ADS1). Схема реализуется и хранится внутри Active Directory (в глобальном каталоге) и изменяется динамически, Приложение может дополнить схему новыми атрибутами и классами и немедленно их использовать.
Глобальный каталог
Глобальный каталог (global catalog) — это главное хранилище информации об объектах в дереве или лесе (рис. 9-5). Служба каталогов Active Directory автоматически генерирует содержимое глобального каталога из доменов, составляющих каталог в обычном процессе репликаций.
Глобальный каталог — физическое хранилище, содержащее реплику выбранных атрибутов для каждого объекта в Active Directory. По умолчанию глобальном каталоге хранятся наиболее часто запрашиваемые атрибуты (например, имя и фамилия пользователя, регистрационное имя и т. д.) и атрибуты, необходимые для поиска полной реплики объекта. Вы можете использонать глобальный каталог для поиска объектов в любом месте сети без репликации всей информации домена на все его контроллеры домена.
Пространство имен
Использование общего пространства имен позволяет объединять несколько аппаратных и программных сред в сети и управлять…Правила именования
Каждый объект в Active Directory идентифицируется именем. Active Directory использует несколько правил именования: составные имена, относительные составные имена, глобально уникальные идентификаторы и основные имена пользователей:
DC - Имя контроллера домена
OU - Имя подразделения
CN - Общее имя
DN должны быть уникальными. Служба каталогов Active Directory не
допускает дублирования DN.
Относительное составное имя
Служба каталогов Active Directory поддерживает запросы по атрибутам, поэтому вы можете найти объект, даже если точное DN неизвестно или
изменилось. Относительное составное имя (relative distinguished name, RDN) объекта — это часть имени, являющегося атрибутом объекта. В предыдущем примере RDN пользовательского объекта Firstname Lastname — это Firstname Lastname. RDN родительского объекта — Users. Вы вправе иметь одинаковые RDN для объектов Active Directory, но два объекта с одинаковым RDN не могут находиться в одном и том же ОП. Например, если учетная запись пользователя — Jane Doe, то не может быть второй учетной записи пользователя с именем Jane Doe в том же ОП. Однако объекты с одинаковыми RDN могут существовать в разных ОП, потому что они имеют разные DN (рис. 9-7).
Глобальный уникальный идентификатор
Глобальный уникальный идентификатор {globally unique identifier, GUID) представляет собой 128-разрядное число, уникальность которого гарантируется. Коды GUID назначаются объектам при создании. Код GUID не меняется никогда, даже при перемещении или переименовании объекта. Код GUID объекта может храниться в приложении, что гарантирует успешный поиск объекта независимо от его текущего DN.
Основное имя пользователя
Учетные записи пользователя имеют ≪дружественное* имя — основное имя пользователя (user principal name, UPN). UPN составляется из ≪сокращенного≫ имени учетной записи пользователя, Firstname Lastname (замена настоящих имени и фамилии пользователя) в дереве microsofl.com должен иметь UPN вида FirstnameL@microsoft.com (используется полное имя
и первая буква фамилии).
Учетные записи и управление ими
Учетные записи
В Microsoft Windows 2000 предусмотрено три типа учетных записей: локальные, доменные и встроенные. Локальная учетная запись (local user account) позволяет пользователю зарегистрироваться на конкретном ком- пьютере, чтобы получить доступ к его ресурсам. Пользователь, обладающий доменной учетной 'записью (domain user account) может подключиться к домену, чтобы получить доступ к ресурсам сети. Встроенная учетная запись (built-in user account) позволяет выполнять функции администрирования или получать доступ к локальным или сетевым ресурсам.
Локальные учетные записи
Представим себе рабочую группу, состоящую из пяти компьютеров с Windows 2000 Professional. Если вы создаете локальную учетную запись, например Userl…Учетные записи домена
Позволяют пользователям получить доступ к домену и его ресурсам из любого места сети. В процессе входа в систему пользователь вводит свой пароль и регистрационное имя. На основе этих сведений Windows 2000 опознает пользователя и выделяет ему маркер доступа, который содержит информацию о пользователе и параметрах защиты. Маркер доступа идентифицирует пользователя для компьютеров, работающих под управлением Windows 2000, к ресурсам которых пользователь хочет получить доступ. Windows 2000 создает маркер доступа на время данной сессии.
Доменная учетная запись создается в копии БД каталога Active Directory на контроллере домена. Этот контроллер реплицирует информацию
о новой учетной записи на другие контроллеры домена. Затем все контроллеры в дереве дэмена могут опознать пользователя в процессе входа в систему
Встроенные учетные записи
Windows 2000 автоматически создает встроенные учетные записи. Наиболее часто применяются встроенные учетные записи Administrator (Администратор) и Guest (Гость).
Встроенная учетная запись Administrator
Применяется для управления компьютером в целом. Если компьютер
является частью домена, вы можете использовать ее для конфигурирования домена. Задачи, выполняемые с помощью учетной записи Administrator, включают создание и модификацию учетных записей и групп, управление политикой безопасности, установку принтеров, назначение разрешений учетным записям для доступа к ресурсам. Учетную запись Administrator лучше использовать только для выполнения административных задач.
Встроенная учетная запись Guest
Используйте встроенную учетную запись Guest (Гость), чтобы предоставить возможность входа в систему временным пользователям.
Правила именования учетных записей
Имена пользователей должны быть должны быть уникальны на компьютере, где вы их создаете. Имена пользователей могут содержать до 20 симво20 символов… Имена локальных учетных записей, Имена пользователей домена должны быть… Отражайте временный статус служащих в записи. Для этого можно использовать Т и дефис перед именем пользователя.…Требования к паролям
- Всегда назначайте пароль для учетной записи Administrator (Администратор), чтобы предотвратить неавторизированный доступ. - Определитесь, кто будет назначать пароли: администратор или пользователи.… - Используйте пароли, которые трудно угадать. Избегайте паролей с очевидными ассоциациями (например, год рождения,…Создание и администрирование групп
Группа — это набор учетных записей пользователей. Группы упрощают
администрирование, позволяя присваивать разрешения и привилегии сразу нескольким пользователям.
Разрешение (permission) определяет возможность пользователей работать с ресурсами: каталогами, файлами или принтерами. Предоставляя разрешение, вы открываете пользователю доступ к ресурсу и задаете вид доступа. Например, если нескольким пользователям разрешено читать один и тот же файл с конфиденциальным содержанием, объедините этих пользователей в группу, а затем предоставьте группе разрешение на чтение файла. Привилегия (right) позволяет пользователю выполнять системные задачи: например, изменять время на компьютере или создавать резервные копии файлов.
Локальные группы
Рекомендации по использованию локальных групп таковы. - Не создавайте локальные труппы на компьютерах, включенных в домен.… - Члены локальной группы получают разрешения на доступ только к ресурсам компьютера, где эта группа создана.Тема 2.4.Безопасность и аудит
Общие папки (shared folders) обеспечивают доступ полномочных пользователей сети к файловым ресурсам.
Разрешения доступа к общей папке
Обшая папка может содержать приложения, данные или личную папку пользователя (home folder). Каждый тип данных требует различных разрешений доступа.
Далее приведены характеристики таких разрешений.
- Поскольку разрешения доступа применяются ко всей обшей папке, а не к отдельным файлам, они предоставляют менее избирательную защиту, чем разрешения NTFS.
- Разрешения доступа к общей папке не ограничивают доступ пользователей, работающих на компьютере, где расположена эта папка. Они применяются только к тем, кто обращается к папке по сети.
- Разрешения доступа к общей папке — единственный способ обеспечить безопасность сетевых ресурсов на томе FAT. Разрешения NTFS на томах FAT недоступны.
- По умолчанию группа Everyone (Все) получает разрешение Full Control (Полный доступ) для всех новых общих папок.
Разрешения доступа к общим папкам
- Read (Чтение) Просматривать список папок и файлов, содержание файлов и их атрибуты; запускать программы и изменять папки, вложенные в общую… - Full Control Изменять разрешения для файлов, вступать во владение (Полный…Применение разрешений доступа к общей папке
- Несколько разрешений совмещаются. Пользователь может участвовать в нескольких группах, каждая из которых имеет разные разрешения с разными… - Запрет приоритетнее разрешения. Если пользователю запрещен доступ к общей… - Для доступа к ресурсам на томах NTFS требуются разрешения NTFS. Разрешений общей папки достаточно, чтобы получить…Основные правила назначения разрешений на доступ к общей папке
Папки программ
На рис. 15-3 показано, как открыть доступ к папке программ. 1. Создайте одну папку и разместите в ней все ваши программы. Таким образом вы… 2. Назначьте группе Administrators (Администраторы) разрешение Full Control (Полный доступ) для папки программ, чтобы…Папки данных
Для обмена по сети рабочими и общими данными служат папки данных (data folders). Папки данных лучше хранить на отдельном томе, где не установлена ОС или приложения. Файлы данных рекомендуется регулярно архивировать, и если они будут хранится на отдельном томе, этот процесс упростится. Кроме того, том с папками данных не будет затронут, если потребуется переустановить ОС.
Общие данные
Предоставляя доступ к папкам общих данных:
- используйте централизованные папки данных, чтобы было легче их архивировать;
- назначьте группе Users разрешение Change — это обеспечит пользователям единое общедоступное место для хранения данных, которыми они хотят обмениваться; пользователи также смогут получать доступ к папкам, читать, создавать или изменять в них файлы (рис. 15-4).
Открытие доступа к папкам
Открыть доступ к ресурсам можно, сделав общими содержащие их папки. Для этого вы должны быть членом одной или нескольких групп, в зависимости от роли компьютера, на котором находятся общие папки.
Доступом к папке и ее содержимому можно управлять, ограничивая количество пользователей, которые могут одновременно к ней обращаться, и назначая разрешения отдельным пользователям и группам. Вы можете изменить параметры обшей папки: закрыть к ней доступ, изменить ее сетевое имя, а также разрешения пользователей и групп.
Открытие доступа к папке
Вы можете дать папке сетевое имя, снабдить описанием ее содержимого, ограничить число пользователей, имеющих к ней доступ, и предоставить им разрешения.
Чтобы открыть доступ к папке, выполните следующие действия
1. Войдите в систему с учетной записью, полномочной открывать доступ к папкам.
2. Щелкните правой кнопкой нужную папку и выберите в контекстном меню команду Properties (Свойства).
3. На вкладке Sharing (Доступ) окна свойств задайте нужные параметры
Назначение разрешений доступа к общей папке
1. На вкладке Sharing (Доступ) диалогового окна свойств папки щелкните кнопку Permissions (Разрешения). 2. В диалоговом окне Permissions проверьте, что выбрана группа Everyone (Все),… 3. В диалоговом окне Permissions щелкните кнопку Add (Добавить) как показано на рис. 15-7.Подключение к общей папке
1. На рабочем столе щелкните правой кнопкой мыши значок My Network Places (Мое сетевое окружение) и выберите в контекстном меню команду Map Network… 2. В мастере Map Network Drive в поле Folder (Папка) введите сетевой путь к… 3. В списке Drive (Диск) выберите букву диска для подключаемой папки.Аудит ресурсов и событий
Понятие аудита
Аудит позволяет проследить как действия пользователей, так и действия Windows 2000, называемые событиями (events). С помощью аудита вы можете заставить Windows 2000 регистрировать события в журнале безопасности. Журнал безопасности (security log) поддерживает запись успешных и безуспешных попыток входа в систему и событий, связанных с созданием, открытием или удалением файлов или других объектов. Запись аудита в журнале безопасности содержит следующую информацию:
- выполненное действие;
- имя пользователя, выполнившего действие;
- успех или неудачу события, и указание, когда оно произошло.
Использование политики аудита
Политика аудита (audit policy) определяет типы событий безопасности, которые Windows 2000 записывает в журнал безопасности на каждом компьютере. Журнал безопасности позволяет проследить события выборочно.
Windows 2000 записывает событие в журнал безопасности на том компьютере, где оно произошло: например, каждый раз, когда кто-то пытается войти в систему, и это не удается.
Вы можете определить политику аудита для компьютера, чтобы:
- отследить успех и неудачу событий, таких как попытки входа пользователей, попытки определенного пользователя прочитать какой-либо файл, изменения учетной записи пользователя или членства в группах, изменения параметров безопасности;
- устранить или свести к минимуму риск несанкционированного использования ресурсов.
Использование оснастки Event Viewer для просмотра журналов безопасности
Для просмотра событий, записанных Windows 2000 в журнале безопасности, используется оснастка Event Viewer (Просмотр событий). Вы можете также архивировать журналы для отслеживания загрузки принтеров, открытия файлов, попыток несанкионированного использования ресурсов и др.
Планирование политики аудита
Планировать политику аудита — значит определиться, какие события вы хотите отслеживать и на каких компьютерах следует конфигурировать аудит.
Основы политики аудита
Вы можете отслеживать следующие типы событий: - доступ к файлам и папкам; - вход и выход из системы:Существуют следующие основные направления политики аудита.
2. Чаще просматривайте журналы безопасности. Вы должны составить расписание и регулярно следовать ему. 3. Формируйте эффективную и хорошо управляемую политику аудита. Всегда ведите… 4. Отслеживайте доступ к ресурсам участников труппы Everyone (Все), а не только Users (Пользователи). Это гарантирует,…Тема 2.5. Архивация и восстановление данных
Цель резервного копирования — возможность гарантированного восстановления потерянных данных. Архивация — одноразовая процедура создания резервной копии данных. Регулярное резервное копирование содержания жестких дисков серверов и компьютеров-клиентов предотвращает потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов и других случайностей. Тщательное планирование и регулярное проведение процедур резервного копирования позволяет при потере данных быстро их восстановить.
Архивация Windows
Файлы размещаются на жестких дисках, сменных дисках (таких как Iomega Zip и Jaz), записываемых компакт-дисках или оптических носителях. Для проведения архивации и восстановления данных необходимо обладать… - Все пользователи имеют право архивировать собственные файлы и каталоги, а также файлы, на которые у них есть…Планирование архивации
Какие файлы и папки архивировать? Обязательно создавайте резервные копии файлов и папок, жизненно важных для работы предприятия, таких как финансовые…Типы архивации
Обычная архивация (тип Normal) Архивируются все выделенные файлы и папки. Резервное копирование не использует маркеры для определения файлов,…Восстановление данных
Подготовка к восстановлению данных Прежде всего надо указать архивный файл, а также восстанавливаемые файлы и папки. В зависимости от требований к…Выбор архивов и подлежащих восстановлению данных
Можно выбирать как отдельные файлы или папки, так и целое задание архивации или несколько наборов. Архивный набор (backup set) — это множество… Восстановление данных с применением Restore Wizard {Мастер восстановления) выполняется в следующей…Тема 2.6. Изучение возможностей утилиты cmd
Имеется возможность использовать командную оболочку для создания и редактирования пакетных файлов (также называемых сценариями), что позволяет… При изучении возможностей командной оболочки очень важным является изучение… Команды MS-DOS подразделяются на внутренние (встроенные в саму операционную систему) и внешние выполненные в виде…Основные команды
COMMAND.COM — интерпретатор командной строки в операционных системах DOS, OS/2, семейства Windows 9x и ряда других. Загружается при старте системы или VDM (если не указан другой интерпретатор с помощью директивы SHELL= в файле CONFIG.SYS) и выполняет команды из файла AUTOEXEC.BAT.
В операционных системах Windows NT/2000/XP/2003 и OS/2 интерпретатором командной строки является программа cmd.exe. Однако, для совместимости с DOS-приложениями, COMMAND.COM присутствует и в этих системах.