WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     || 2 | 3 | 4 | 5 |   ...   | 11 |
-- [ Страница 1 ] --

Exam 70-217 Microsoft® Windows 2000 Active Directory Services Microsoft Press Сертификационный экзамен 70-217 Microsoft® Windows 2000 Active

Directory Services Официальное пособие Microsoft для самостоятельной подготовки 3-е издание, исправленное Москва 2004 Я. П С Ш 1 Р Е Ш И М УДК 004 ББК 32.973.26-018.2 М59 Microsoft Corporation М59 Microsoft Windows 2000 Active Directory Services. Учебный курс MCSE: Пер. с англ. 3-е изд., испр. — М.: Издательско-торговый дом «Русская Редакция», 2004. — 608 стр.: ил.

ISBN 5-7502-0247-Х.

Эта книга посвящена работе службы каталогов Active Directory. Вы научитесь планировать, на страивать и администрировать инфраструктуру Active Directory и систему доменных имен (Domain Na me System, DNS). Вы узнаете об использовании Active Directory для централизованного управления пользователями, группами, общими папками и сетевыми ресурсами, об администрировании среды поль зователя и программного обеспечения средствами групповой политики, о порядке внедрения, об устра нении проблем с безопасностью, а также о мониторинге и оптимизации производительности Active Directory.

Учебный курс адресован профессионалам в области информационных систем, которые занима ются установкой, настройкой, контролем и сопровождением Microsoft Windows 2000, а также тем, кто хочет подготовиться к сертификационному экзамену по программе MCSE 70-217: Implementing and Ad ministering a Microsoft Windows 2000 Directory Services Infrastructure.

Издание состоит из 15 глав, двух приложений и предметного указателя.

УДК ББК 32.973.26^018. Подготовлено к изданию по лицензионному договору с Microsoft Corporation, Редмонд, Вашингтон, США.

ActiveX, JScript, Microsoft, Microsoft Press, MSDN, MS-DOS, PowerPoint, Visual Bask, Visual C++, Visual Inter Dev, Visual SourceSafe, Visual Studio, Win32, Windows и Windows NT являются товарными знаками или охраня емыми товарными знаками корпорации Microsoft в США и/или других странах. Все другие товарные знаки являются собственностью соответствующих фирм.

Все названия компаний, организаций и продуктов, а также имена лиц, используемые в примерах, вымышлены и не имеют никакого отношения к реальным компаниям, организациям, продуктам и лицам.

Оригинальное издание на английском ншке, Microsoft Corporation, Перевод на русский язык, Microsoft Corporation, ISBN 0-7356-OW9-3 (англ.) Оформление и подготовка к изданию, мздательско ISBN 5-7502-0247-Х торговый дом «Русская Редакция», Содержание Об этой книге XXIII Кому адресована эта книга XXIII Соглашения, принятые в учебном курсе XXIV Обзор глав и приложений XXV Материалы для подготовки к экзаменам XXVII Начало работы XXX Аппаратное обеспечение XXX Программное обеспечение XXXI Подготовка компьютера к выполнению практических заданий XXXI Программа сертификации специалистов Microsoft XXXVII Преимущества программы сертификации Microsoft XXXVIII Требования к соискателям XXXIX Подготовка к экзаменам XXXIX Техническая поддержка XL Глава 1. Знакомство с Microsoft Windows 2000 Занятие 1. Краткий обзор возможностей Windows 2000 Семейство Windows 2000 Сетевая среда Windows 2000 Модель рабочей группы... Модельдомена Резюме Занятие 2. Краткий обзор архитектуры Windows 2000 Уровни, подсистемы и диспетчеры Windows 2000 Пользовательский режим Подсистемы среды Встроенные подсистемы Режим ядра Исполняемая часть ОС Windows 2000 Драйверы устройств Микроядро Уровень абстрагирования от оборудования Резюме Занятие 3. Краткое знакомство со службой каталогов Windows 2000 Что такое служба каталогов Назначение службы каталогов Возможности службы каталогов Windows 2000 Упрошенное администрирование Масштабируемость Поддержка открытых стандартов DNS Поддержка LDAP и HTTP Поддержка стандартных форматов имен Место Active Directory в архитектуре Windows 2000 Содержание Архитектура Active Directory Резюме Занятие 4. Вход в систему Windows 2000 Вход в систему домена Регистрация на локальном компьютере Процесс проверки подлинности Windows 2000 Практикум: вход в систему изолированного сервера Резюме Занятие 5. Диалоговое;

окно Windows Security Использование диалогового окна Windows Security Практикум: использование диалогового окна Windows Security Резюме Закрепление материала Глава 2, Введение в Active Directory Занятие 1. Знакомстве! с Active Directory :... Объекты Active Directory Схема Active Directory Компоненты Active Directory Логическая структура Домен Организационное подразделение Дерево Лес Физическая структура Сайт Контроллеры домена - Резюме Занятие 2. Концепции работы Active Directory Глобальный каталог Репликация — Виды реплицируемой информации Как работает репликация Доверительные отношения Пространство имен DNS Пространство имен домена Сервер имен Правила именования Составное имя Относительное составное имя Глобально уникальный идентификатор Основное имя пользователя Резюме Закрепление материала Глава 3. Задачи и средства администрирования Active Directory., Занятие 1. Задачи администрирования Active Directory Задачи администрирования Active Directory Windows 2000 Резюме Занятие 2. Средства администрирования Active Directory Средства администрирования Active Directory Консоль Active Directory Domains and Trusts Содержание у| | Консоль Active Directory Sites and Services Консоль Active Directory Users and Computers Прочие средства администрирования Active Directory Оснастка Active Directory Schema Средства поддержки Active Directory Интерфейсы службы,Ас11уе Directory Консоль управления ММС Стандартные консоли ММС Пользовательские консоли М МС Дерево консоли и панель подробных сведений Оснастки Изолированные оснастки Расширения Настройка параметров консоли, Авторский режим Пользовательский режим Резюме Занятие 3. Консоли управления Стандартные ММС Пользовательские консоли управления Использование консоли управления для удаленного администрирования Практикум: работа с консолью ММС.. Упражнение 1: работа со стандартной консолью ММС Упражнение 2: создание пользовательской консоли М МС Резюме Занятие 4. Task Scheduler Знакомство с Task Scheduler Параметры Дополнительные параметры заданий Практикум: использование Task Scheduler Резюме Закрепление материала Глава 4. Внедрение Active Directory Занятие 1. Планирование внедрения Active Directory Планирование структуры домена Оценка логической среды Требования пользователей и сети Оценка требований управления Необходимость создания нескольких доменов Способы организации домена Планирование доменного пространства имен Выбор доменного имени DNS Внутреннее и внешнее пространства имен Планирование структуры ОП Планирование иерархии ОП Планирование структуры сайта Оптимизация трафика регистрации рабочей станции Оптимизация репликации каталогов Проектирование структуры сайта Резюме,.... Занятие 2. Установка Active Directory Мастер установки Active Directory Добавление контроллера к существующему домену Создание первого контроллера для нового домена Конфигурирование DNS для Active Directory База данных и общий системный том Режимы домена Смешанный режим Основной режим Удаление служб Active Directory с контроллера домена Практикум;

установка Active Directory Резюме Занятие 3. Роли хозяина операций Роли хозяина операций Роли хозяина операций на уровне леса Хозяин схемы - Хозяин именования домена Роли хозяина операций на уровне домена Хозяин относительных идентификаторов Эмулятор основного контроллера домена Хозяин инфраструктуры Планирование расположения хозяина операций Планирование назначения ролей хозяев операций в домене Планирование ролей хозяев операций для леса Планирование развития Определение назначений ролей хозяина операций Передача ролей хозяина операций Действия в случае отказов хозяина операций Отказ хозяина схемы Отказ хозяина именования домена Отказ хозяина относительных идентификаторов Отказ эмулятора РОС Отказ хозяина инфраструктуры Резюме Занятие 4. Внедрение структуры ОП Создание ОП Задание свойств ОП Практикум: создание ОП Резюме Закрепление материала Глава 5. Взаимодействие DNS и Active Directory Занятие 1. Основы разрешения имен в DNS ПО Разрешение имен IP-адресация Запрос поиска Прямой запрос Кэширование на серверах DNS Обратный запрос Резюме ИЗ Занятие 2. Зоны Планирование зоны. Содержание [X Зона прямого просмотра Тип зоны Имя зоны Файл зоны Главные серверы DNS Зона обратного просмотра Тип зоны Наименование зоны обратного просмотра Файл зоны обратного просмотра Главные серверы DNS Записи ресурсов Делегирование зоны Конфигурирование Dynamic DNS Динамическое обновление DDNS и DHCP Практикум: конфигурирование зоны Резюме Занятие 3. Репликация и передача зон Добавочная зонная передача Пример: зонная передача... Безопасность при зонной передаче Уведомления DNS Процедура уведомления DNS Резюме Занятие 4. Мониторинг и устранение неполадок DNS для Active Directory Наблюдение за сервером DNS Запись событий сервера DNS Команды отладки Устранение неполадок DNS Резюме Закрепление материала Глава 6, Настройка сайтов Занятие 1. Настройка параметров сайта Сайт Подсети Связи сайтов Протоколы репликации - Лицензирование сайтов.. Практикум: настройка сайта Резюме Занятие 2, Настройка репликации между сайтами Настройка межсайтовой репликации Атрибуты связей сайтов Стоимость Частота репликации Доступность репликации Мосты, объединяющие связи сайтов Настройка подключений вручную Назначение основного сервера-плацдарма Практикум: настройка репликации между сайтами Резюме.. Содержание Занятие 3. Устранение неполадок репликации Проверка топологии репликации Резюме Занятие 4. Изменение параметров сервера Создание объекта-сервера в сайте Перемещение объектов-серверов между сайтами Включение и отключение поддержки глобального каталога Удаление бездействующего объекта-сервера из сайта Резюме Закрепление материала Глава 7. Управление учетными записями пользователей Занятие 1. Учетные записи пользователей Локальная учетная запись Учетные записи домена - Встроенные учетные записи Встроенная учетная запись Administrator Встроенная учетная запись Guest Резюме Занятие 2. Планирование новых учетных записей Правила именования учетных записей Требования к паролям Параметры учетных записей Часы входа в систему Компьютеры, с которых пользователю разрешено войти в систему Истечение срока действия учетной записи Практикум: планирование новых учетных записей Сценарий Условия Список новых сотрудников Определение правил именования О Резюме Занятие 3. Создание учетной записи Создание локальной учетной записи Создание доменной учетной записи Настройка пароля, Практикум: создание доменной учетной записи Свойства учетной записи Настройка личных свойств Настройка свойств учетных записей Настройка времени входа Компьютеры, с которых пользователи могут входить в систему Вкладка Dial-In Практикум: изменение свойств учетной записи Упражнение 1: настройка времени входа и срока действия учетной записи Упражнение 2: тестирование учетных записей Резюме Занятие 4. Создание профиля пользователя Возможности профиля пользователя Типы профилей Параметры, хранящиеся в профиле пользователя Содержимое профиля пользователя. Содержание XI Локальные профили пользователей Перемещаемые профили пользователей Стандартные перемешаемые профили пользователей Создание перемещаемых профилей пользователей Создание стандартного перемещаемого профиля пользователя Обязательные профили пользователей Создание обязательного профиля пользователя Практикум: работа с профилями пользователей Упражнение 1: настройка локального профиля пользователя Упражнение 2: определение стандартного перемешаемого профиля пользователя.... Резюме Занятие 5. Создание домашних папок Знакомство с домашними папками Создание домашних папок на сервере Резюме Занятие 6. Изменение учетных записей Отключение, подключение, переименование и удаление учетной записи пользователей Смена паролей и разблокирование учетных записей Смена пароля Разблокирование учетных записей Практикум: администрирование учетных записей Упражнение 1: подключение учетной записи..*,.. Упражнение 2: восстановление пароля для учетной записи Резюме Закрепление материала Глава 8. Управление учетными записями групп. Занятие 1. Знакомство с группой Группа и разрешения Типы групп Группы безопасности Группы распространения Область действия группы Глобальная группа Локальная группа домена Универсальная группа Вложенность групп Члены групп Локальная группа Использование локальной группы Резюме Занятие 2. Стратегия формирования группы Планирование глобальных и локальных групп домена Использование универсальных групп - Практикум: планирование новых учетных записей групп Ситуация Заполнение тетради «Планирование групп» Резюме Занятие 3. Формирование группы Создание группы Удаление группы XII Содержание Добавление членов в группу Изменение типа группы Преобразование группы в универсальную Создание локальной группы Практикум: создание группы Упражнение 1: создание глобальной группы и добавление в нее членов Упражнение 2: создание локальной группы домена и добавление в нее членов Резюме Занятие 4. Группы по умолчанию Встроенная глобальная группа Встроенная локальная группа домена Встроенная локачьная группа ' Встроенная системная группа Резюме,...;

Занятие 5. Группы для администраторов •..... Почему не следует работать на компьютере с полномочиями администратора Администраторы как члены групп Users и Power Users Запуск приложений с помощью утилиты Run As Команда RUNAS Примеры использования команды RUNAS Практикум: запуск программы с правами администратора при помощи утилиты Run As Резюме ' Закрепление материала Глава 9. Безопасность сетевых ресурсов Занятие 1. Общие сведения о разрешениях NTFS Разрешения NTFS Разрешения NTFS для доступа к папкам Разрешения для файлов NTFS Список управления доступом Правила назначения нескольких разрешений NTFS ;

Суммирование разрешений Разрешения для файлов перекрывают разрешения для папок Приоритет отмены разрешений Наследование разрешений NTFS Предотвращение наследования разрешений Резюме Занятие 2. Назначение разрешений NTFS Планирование разрешений NTFS Назначение разрешений NTFS Назначение или смена разрешения Предотвращение наследования разрешений Практикум: планирование и назначение разрешений NTFS Упражнение 1: планирование разрешений NTFS Упражнение 2: назначение разрешений NTFS для папки Data Упражнение 3: назначение разрешений NTFS Упражнение 4;

проверка разрешений NTFS Резюме Занятие 3. Специальные разрешения Специальные разрешения Смена разрешений, Содержание XIII Получение прав владельца Назначение специальных разрешений Получение файла или папки во владение Практикум: получение файла во владение Резюме Занятие 4. Копирование и перемещение файлов и папок Копирование файлов и папок, Перемещение файлов и папок Перемещение в пределах одного тома NTFS Перемещение между томами NTFS Практикум: копирование и перемещение папок Резюме Занятие 5. Устранение неполадок при задании разрешений Типичные проблемы с разрешениями Предотвращение проблем с разрешениями Практикум: удаление файла при отмене всех разрешений Резюме Закрепление материала Глава 10. Администрирование общих папок Занятие 1. Общие папки Возможности общих папок Применение разрешений на доступ к общей папке Основные правила назначения разрешений на доступ к общей папке Практикум: назначение разрешений Резюме Занятие 2. Планирование общих папок Папки приложений Папки данных Общие данные Рабочие данные Резюме Занятие 3. Доступ к папкам Требования для открытия доступа к папкам Административные общие папки Открытие доступа к папке Назначение разрешений на доступ к общей папке Изменение параметров общих папок.. Подключение к общей папке Резюме Занятие 4. Сочетание разрешений на доступ к общей папке и разрешений NTFS Стратегии сочетания разрешений на доступ к общей папке и разрешений NTFS.... Практикум: управление доступом к общим папкам Упражнение 1: сочетание разрешений Упражнение 2: планирование общих папок Упражнение 3: предоставление доступа к папкам Упражнение 4: назначение разрешений доступа к общей папке Упражнение 5 (дополнительное);

подключение к общей папке Упражнение 6: прекращение доступа к папке Упражнение 7: назначение разрешений NTFS и открытие доступа к папкам.... Упражнение 8 (дополнительное): проверка разрешений NTFS и разрешений на доступ к общей папке XIV Содержание Резюме Занятие 5. Настройка DFS, Знакомство с DFS Использование DFS Топология DFS Создание системы DFS Создание корня DFS Создание DFS-ссылки Добавление общей папки DFS Настройка политики репликации Репликация корня DFS Настройка политики репликации для общей папки DFS Практикум: использование DFS Резюме ;

;

.-;

Закрепление материала ;

Глава 11. Администрирование Active Directory Занятие 1. Поиск объектов Active Directory Наиболее распространенные объекты Active Directory Команда Find Практикум: поиск в Active Directory ' Резюме Занятие 2. Управление доступом к объектам Active Directory Основы разрешений Active Directory Безопасность Active Directory Разрешения для объектов Обычные и специальные разрешения Назначение разрешений Active Directory Использование наследования разрешений.' Запрет наследования разрешений Практикум: управление доступом к объектам Active Directory Резюме Занятие 3. Публикация ресурсов в Active Directory Публикация ресурсов в Active Directory Публикация учетных записей пользователей и компьютеров Публикация общих ресурсов Публикация сетевых служб Типы сведений о службе Параметры сведений о службе Пример публикации службы Резюме Занятие 4. Перемещение объектов Active Directory Перемещение объектов Перемещение объектов в пределах домена Перемещение объектов между доменами :

Операции, поддерживаемые утилитой MOVETREE. Операции, не поддерживаемые утилитой MOVETREE Перемещение объектов пользователей Перемещение групп Перемещение объектов между доменами с помощью утилиты MOVETREE Пример использования команды MOVETREE Файлы журнала MOVETREE.. Содержание }(у Перемещение рабочих станций и рядовых серверов между доменами Пример использования команды NETDOM Перемещение контроллеров домена между сайтами Практикум: перемещение объектов в пределах домена Резюме Занятие 5. Делегирование управления объектами Active Directory Рекомендации по делегированию управления Мастер Delegation Of Control Рекомендации по администрированию Active Directory Практикум: делегирование управления в Active Directory Резюме Занятие 6. Резервное копирование Active Directory Подготовительные операции Мастер архивации. Окно What to Back Up Окно Where to Store the Backup Задание дополнительных параметров резервного копирования Настройка расписания резервного копирования Active Directory Резюме Занятие 7. Восстановление Active Directory Подготовка к восстановлению Active Directory, Непринудительное восстановление Принудительное восстановление Выполнение непринудительного восстановления Настройка дополнительных параметров восстановления Выполнение принудительного восстановления Дополнительные задачи для принудительного восстановления всей базы данных Active Directory Резюме Занятие 8. Устранение неполадок Active Directory Резюме.. Закрепление материала Глава 12. Администрирование групповой политики Занятие 1. Концепции групповой политики Что такое групповая политика Объекты групповой политики Делегирование управления групповой политикой -. Оснастка Group Policy.. Запуск оснастки Group Policy Параметры групповой политики Узел Software Settings Узел Windows Settings Узел Administrative Templates Модель оснасток ММС Пространство имен оснастки Group Policy Влияние групповой политики на загрузку компьютера и регистрацию пользователя в системе Порядок обработки групповой политики Исключения в порядке обработки по умолчанию Наследование групповой политики Фильтрование групповой политики с помощью групп безопасности XVI Содержание Резюме Занятие 2. Планирование внедрения групповой политики Выбор типа ОГП Однородная политика Комбинированная политика Раздельная политика Стратегии внедрения ОГП Многоуровневая и единая структура ОГП Многоуровневая структура Единая структура Структурирование по функциональным ролям и командам Структурирование по функциональным ролям Структурирование по командам Делегирование управления ОП с центральным или распределенным администрированием - Централизованное администрирование Распределенное управление Резюме Занятие 3. Внедрение групповой политики Развертывание групповой политики Создание ОГП Создание консоли для ОГП Делегирование прав управления ОГП Определение параметров групповой политики Отключение неиспользуемых параметров групповой политики Настройка исключений в порядке обработки ОГП Фильтрование области действия ОГП Привязка ОГП Изменение групповой политики Удаление ссылки на ОГП Удаление ОГП Изменение ОГП или его параметров Практикум: развертывание групповой политики Упражнение 1: создание ОГП Упражнение 2: создание консоли ОГП Упражнение 3: делегирование управления ОГП Упражнение 4: определение параметров групповой политики Упражнение 5: отключение неиспользуемых параметров групповой политики... Упражнение 6: выявление исключений в порядке обработки ОГП Упражнение 7;

фильтрование области действия ОГП Упражнение 8: привязка ОГП Упражнение 9: тестирование ОГП Резюме Занятие 4. Управление программным обеспечением с помощью групповой политики.. Средства управления программным обеспечением Расширение Software Installation Назначение обязательных приложений Публикация приложений Как работает расширение Software Installation Настройка пакетов Windows Installer Внедрение Software Installation. )(У(| Содержание Планирование и подготовка установки приложений Настройка точки распространения приложений Выбор параметров по умолчанию, используемых при установке приложений Развертывание приложений Назначение приложений Публикация приложений Развертывание приложений с преобразованиями Выбор параметров автоматической установки Создание категорий приложений Задание свойств приложений Редактирование параметров установки приложений Выбор категорий приложений,. Задание разрешений для установки ПО Поддержка приложений Обновление приложений Удаление приложений Резюме Занятие 5. Управление специальными папками с помощью групповой политики Перенаправление папок Преимущества перенаправления папки My Documents Расположение специальных папок по умолчанию Настройка перенаправления папок Последствия удаления политики Резюме Занятие 6. Устранение проблем при использовании групповой политики Рекомендации по использованию групповой политики Общие рекомендации Рекомендации по работе с расширением Software Installation Рекомендации по перенаправлению папок Резюме Закрепление материала Глава 13. Администрирование конфигурации безопасности Занятие 1. Конфигурация безопасности Параметры конфигурации безопасности Узел Account Policies Узел Local Policies Узел Event Log Узел Restricted Groups Узел System Services Узлы Registry и File System Узел Public Key Policies Узел IP Security Policies Резюме Занятие 2. Аудит Общие сведения Использование политики аудита Рекомендации по настройке политики аудита Виды аудита Требования к аудиту Настройка аудита Настройка политики аудита Содержание XVII!

Аудит доступа к файлам и папкам Аудит доступа к объектам Active Directory.... f Аудит доступа к принтерам Практическая польза от аудита Практикум: аудит ресурсов и событий Упражнение 1: проектирование политики аудита домена Упражнение 2: настройка политики аудита Упражнение 3: аудит файлов Упражнение 4: аудит принтеров Упражнение 5: аудит объектов Active Directory Резюме Занятие 3. Использование журнала безопасности Журналы Windows 2000 Просмотр журналов безопасности Поиск событий, Фильтрование событий Настройка журнала безопасности Архивирование журналов безопасности Практикум: использование журнала безопасности Упражнение 1: просмотр журнала безопасности Упражнение 2: управление журналом безопасности Упражнение 3: архивирование и очистка журнала безопасности Резюме Занятие 4. Права пользователя Действие прав пользователя Привилегии Права на вход в систему Предоставление прав пользователя Резюме Занятие 5. Использование шаблонов безопасности Что такое шаблон безопасности Применение шаблонов безопасности Стандартные шаблоны безопасности Уровни безопасности Управление шаблонами безопасности Доступ к консоли Security Templates Настройка стандартных шаблонов безопасности Создание нового шаблона безопасности Импорт шаблонов безопасности в ОГП Экспорт параметров в шаблон безопасности Практикум: управление шаблонами безопасности Упражнение 1: вызов консоли Security Templates Упражнение 2: настройка стандартного шаблона безопасности Резюме Занятие в. Консоль Security Configuration and Analysis Принципы работы консоли Security Configuration and Analysis Конфигурация безопасности Анализ безопасности Использование консоли Security Configuration and Analysis Вызов консоли Security Configuration and Analysis • Содержание XIX Создание рабочей базы данных Импорт шаблонов безопасности в базу данных Анализ безопасности системы Просмотр результатов анализа безопасности Настройка безопасности системы Экспорт шаблонов безопасности Практикум: использование консоли Security Configuration and Analysis. Упражнение 1: вызов консоли Security Configuration and Analysis Console Упражнение 2: установка рабочей базы данных. Упражнение 3: анализ безопасности системы Упражнение 4: просмотр результатов анализа безопасности Резюме Занятие 7. Решение проблем с конфигурацией безопасности Проблемы с конфигурацией безопасности Резюме Закрепление материала Глава 14. Управление производительностью Active Directory. Занятие I. Средства мониторинга производительности Active Directory, Консоль Event Viewer Консоль Performance Оснастка System Monitor Отбор наблюдаемых данных Счетчики производительности объекта NTDS Мониторинг счетчиков производительности Оснастка Performance Logs and Alerts Журналы счетчиков Трассировочные отчеты Параметры регистрации Требования к созданию журналов счетчиков и трассировочных отчетов Создание журнала счетчиков Создание трассировочного отчета Оповещение Создание оповещения Практикум: использование System Monitor Резюме Занятие 2. Средства поддержки Active Directory Утилита LDP Утилита Replmon Утилита Repadmin.. Утилита Dsastat Утилита Sdcheck ' Утилита Nltest Утилита Acldiag Утилита Dsacls Резюме Занятие 3. Мониторинг доступа к общим папкам Назначение мониторинга сетевых ресурсов Требования к мониторингу сетевых ресурсов Мониторинг доступа к общим папкам Определение максимально допустимого числа одновременных подключений к общей папке Содержание Изменение свойств обшей папки Мониторинг открытых файлов Отключение пользователей от открытых файлов Отправка консольных сообщений Практикум: управление обшими папками '..... Резюме Закрепление материала Глава 15, Установка Windows 2000 с использованием RIS Занятие 1. Знакомство со службой RIS Удаленная установка ОС Компоненты сервера удаленной установки Компоненты клиента удаленной установки Технология удаленной загрузки РХЕ Как работает технология удаленной загрузки РХЕ Загрузочный диск служб удаленной установки Реализация удаленной установки Процесс удаленной установки операционной системы Требования к серверу и клиенту RIS Требования к аппаратном)' обеспечению сервера Требования к программному обеспечению сервера Требования к аппаратному обеспечению клиента Сетевые платы, поддерживаемые загрузочным диском RIS Резюме Занятие 2. Особенности реализации RIS Установка RIS Добавление компонента RIS Установка R1S Настройка R1S для обслуживания клиентов Авторизация серверов RIS Настройка свойств RlS-сервера Параметры установки клиентов RIS Задание разрешений на доступ к образу RIPrep Создание образа RIPrep Создание конфигурации исходного компьютера Настройка рабочей станции Создание образа RIPrep Требования RIPrep Ограничения Rl Prep < Источники образа установки Создание загрузочного диска RIS Проверка конфигурации RIS Резюме Занятие 3. Администрирование RIS Администрирование RIS Управление образами установки клиентов RIS Управление компьютерами-клиентами RIS Предварительная настройка компьютере в-клиентов RIS Просмотр компьютеров-клиентов RIS Поиск G UID для компьютеров-клиентов Содержание XXI Управление безопасностью RIS Определение разрешений доступа для создания учетных записей компьютеров.... Определение разрешений для присоединения компьютеров к домену Резюме Занятие 4. Ответы на часто задаваемые вопросы о службах RIS и устранение неполадок RIS Ответы на часто задаваемые вопросы о RIS Устранение неполадок RIS Резюме Закрепление материала ПриложеииеА Вопросы и ответы Приложение & Установка и настройка службы DHCP Предметный указатель 06 этой книге Мы рады представить вам учебный курс MCSE — «Microsoft Windows 2000 Active Directory Services*. Он посвящен установке, настройке, администрированию, мониторингу, поиску и устранению неполадок в Microsoft Windows 2000 Active Directory.

Вы познакомитесь со службой каталогов Active Directory и научитесь планировать, настраивать и администрировать ее инфраструктуру, настраивать систему доменных имен (Domain Name System, DNS) для управления разрешением имен, а также схему и репли кацию. Вы узнаете об использовании Active Directory для централизованного упрааиения пользователями, группами, общими папками и сетевыми ресурсами, об администрирова нии пользовательского окружения и программного обеспечения средствами групповой по литики, о порядке внедрения и устранении неполадок защиты службы каталогов, а также о способах наблюдения и оптимизации производительности Active Directory. Вы изучите удаленную установку Windows 2000 при помощи служб удаленной установки (Remote Installation Services, RIS).

Данный курс входит в программу сертификации системных инженеров Microsoft.

Примечание О программе сертификации MCSE см. далее раздел «Программа сертифика ции специалистов Microsoft».

Главы учебника подразделяются на занятия, большинство которых содержат упражне ния, предназначенные для демонстрации излагаемых методов и приобретения практичес ких навыков. Каждое занятие заканчивается кратким обобщением материала— «Резю ме», а глава — вопросами, которые помогут вам определить, насколько вы усвоили мате риал.

В разделе «Начато работы» вводной главы книги перечислены конкретные требования к аппаратуре, программному обеспечению и параметрам сетевой конфигурации, необхо димые для освоения материала и выполнения практических заданий курса. Внимательно прочитайте его, прежде чем приступать к материалам учебного курса.

Кому адресована эта книга Данный курс адресован тем, кто занимается установкой, настройкой, контролем и сопро вождением Microsoft Windows 2000 Active Directory, а также тем, кто желает сдать серти фикационный экаамен MCSE 70-217: Implementing and Administering Microsoft a Windows Directory Services Infrastructure.

Для изучения данного курса необходимо:

• знать основы современных сетевых технологий;

• знать Microsoft Windows 2000 Server в объеме соответствующего курса MSCE.

Справочные материалы К ним относятся:

• официальные документы по Windows 2000, доступные в сети Интернет по адресу http:/ /www.microsoft.corn/windows/server/;

• справочная система Windows 2000 Server;

• справочная система средств поддержки (доступна после их установки);

• документация Windows 2000 Server Resource Kit.

Соглашения, принятые в учебном курсе В этом разделе мы расскажем о терминологии и обозначениях, принятых в учебнике.

Структура книги • Каждая глава начинается с раздела «В этой главе», содержащего краткий обзор обсуж даемых тем.

• Главы состоят из занятий, большинство из которых содержат упражнения. Выполнив их, вы закрепите изученный материал и приобретете практические навыки. Упражне ния отмечены значком на полях.

Внимание! Большинство упражнений курса являются продолжением упражнений из предыдущих глав. Поскольку состояние системы на тестовом компьютере в ходе выпол нения практических занятий изменяется, вероятно, вам не удастся выполнить упражне ние из середины курса, если вы не выполнили предыдущих.

• Каждую главу завершает раздел «Закрепление материала», вопросы которого помогут вам проверить, насколько твердо вы усвоили материал.

• Приложение А «Вопросы и ответы» содержит вопросы всех глав книги и ответы на них.

О примечаниях Практически во всех главах встречаются примечания разных видов.

• Совет — поясняет возможный результат или описывает альтернативный метод реше ния задачи.

• Внимание! — предупреждает о возможной потере данных или содержит сведения, не обходимые для выполнения поставленной задачи.

• Примечание — содержит дополнительную информацию.

Обозначения • Вводимые вами символы или команды набраны строчными буквами полужирного начер тания.

• Курсив в операторах указывает, что в этом месте вы должны подставить собственные значения. Кроме того, курсивом выделены новые термины и понятия, а также реко мендуемые дополнительно источники информации.

• Имена файлов, папок и каталогов начинаются с Прописных Букв (за исключением имен, которые вы задаете сами). Кроме особо оговоренных случаев, для ввода имен файлов и каталогов в диалоговом окне или в командной строке вы можете использо вать строчные буквы.

• Названия элементов интерфейса для русифицированной версии даются в скобках пос ле английских названий.

• Расширения имен файлов набраны строчными буквами.

• Аббревиатуры напечатаны ПРОПИСНЫМИ БУКВАМИ.

^^ XXV • Примеры кола, текста, выводимого на экран, и текста, вводимого в командной строке, выделены моноширинным шрифтом (все его символы имеют одинаковую ширину).

• Необязательные элементы операторов заключены в квадратные скобки []. Например [имя_файла] в синтаксисе команды означает, что после команды можно указать имя файла. Сами скобки вводить НЕ надо.

• Обязательные элементы операторов заключены в фигурные скобки {}. Сами скобки вводить НЕ надо.

• Некоторые разделы помечены значками.

Значок Описание Упражнение для закрепления навыков, приобретенных при изучении материала Этим значком отмечены разделы «Закрепление материала» в конце каждой главы.

Ответы см. в приложении А «Вопросы и ответы» Комбинации клавиш клавиатуры • Знак «+*> между названиями клавиш означает, что их следует нажать одновременно.

Например, выражение «Нажмите Alt+Tab» обозначает, что, удерживая нажатой клави шу Alt, нужно нажать клавишу Tab.

• Запятая между названиями клавиш означает их последовательное нажатие. Например, выражение «Нажмите Alt, F, X» означает, что надо последовательно нажать и отпустить указанные клавиши. Если же указано «Нажмите Alt+W, L», то сначала следует нажать клавиши AJt и W вместе, потом отпустить их и нажать клавишу L.

• Команды меню можно подавать с клавиатуры. Для этого нажмите клавишу Alt (чтобы активизировать меню), а затем последовательно — выделенные или подчеркнутые бук вы в названиях нужных разделов меню или команд. Кроме того, некоторым командам сопоставлены комбинации клавиш клавиатуры (они указаны в меню).

• Флажки и переключатели также можно включать и снимать с клавиатуры. Для этого достаточно нажать Alt, а затем клавишу, соответствующую подчеркнутой букве в на звании флажка или переключателя. Кроме того, нажимая клавишу Tab, вы можете сде лать зону нужного параметра активной, а затем включить или снять выбранный фла жок или переключатель, нажав клавишу «пробел».

Работу с диалоговым окном всегда можно прервать, нажав клавишу ESC.

Обзор глав и приложений Задача курса — помочь вам научиться устанавливать, настраивать, администрировать, контролировать и обслуживать Active Directory Windows 2000. Курс предполагает самосто ятельную работу, включает занятия, упражнения и проверочные вопросы. Он рассчитан на последовательное изучение, но это не значит, что вы не можете работать с интересую щими вас главами в произвольном порядке (дополнительная информация содержится в следующем разделе «С чего начать»). В этом случае советуем обращать внимание на раз дел «Прежде всего» в начале каждой главы, где указаны предварительные требования для выполнения упражнений.

Итак, краткое содержание глав и приложений учебного курса.

• В разделе «Об этой книге» собраны сведения о содержании учебника и данные о струк турных единицах и условных обозначениях, принятых в нем. Внимательно прочитайте его: это поможет вам эффективно работать с материалами курса, а также выбрать ин тересующие вас темы. Здесь также описана установка Microsoft Windows 2000 Surver — эта ОС понадобится вам для выполнения упражнений данного курса.

Об этой книге XXVI Глава 1 «Знакомство с Microsoft Windows 2000» содержит обзор возможностей Win dows 2000. Вы узнаете о ее архитектуре и службах каталогов Windows 2000.

Глава 2 «Введение в Active Directory» познакомит вас с компонентами Active Directory, — объектами, доменами, организационными подразделениями (ОП), деревьями и леса ми. Также мы расскажем о концепциях Active Directory, в том числе о глобальном ката логе, репликации, доверительных отношениях, пространстве имен DNS и правилах именования.

Глава 3 «Задачи и средства администрирования Active Directory» посвящена основным задачам администрирования Active Directory — настройке, администрированию пользо вателей и групп, защите сетевых ресурсов, администрированию рабочей среды пользо вателя, аудиту и наблюдению ресурсов и событий. Также в главе рассказывается о сред ствах администрирования Active Directory, включая консоль управления (Microsoft Management Console, MMC) и Task Scheduler (Диспетчер задач).

В главе 4 «Внедрение Active Directory» описано поэтапное сопровождение Active Directory, состоящее из планирования, установки, определения ролей хозяина операций и внедре ния структуры ОП В главе 5 «Взаимодействие DNS и Active Directory» обсуждается разрешение имен и зоны DNS, а также устранение неполадок в конфигурации DNS и Active Directory. В практической части описана настройка зон, их репликация и передача.

Глава 6 «Настройка сайтов» посвящена настройке параметров сайта, межсайтовой реп ликации, а также устранению неполадок межсайтовой репликации.

Глава 7 «Управление учетными записями пользователей» посвящена учетным записям пользователей и их планированию. Описываются способы создания и настройки пара метров домена, локальных учетных записей пользователей, создание профилей поль зователей и домашних каталогов. Также обсуждается порядок обслуживания ученых записей пользователей, их отключение, включение, переименование, удаление, раз блокирование и смена паролей.

В главе 8 «Управление учетными записями групп» рассказывается о стратегии плани рования групп и порядке их создания, а также о встроенных в Windows 2000 группах и группах, включающих администраторов.

Глава 9 «Безопасность сетевых ресурсов» посвящена папкам и разрешениям доступа к файлам в файловой системе NTFS. Вы научитесь назначать разрешения NTFS папкам и файлам для учетных записей пользователей и групп, а также узнаете, как перемеще ние или копирование файлов и папок влияет на эти разрешения. В конце главы описа но решение типичных проблем доступа к ресурсам.

В главе 10 «Администрирование общих папок» рассказывается об общих папках и их планировании. Обсуждается процесс предоставления обшего доступа к папкам и их зашита с помощью разрешений, а также установка распределенной файловой системы (DPS) Mcrosoft для предоставления пользователям удобного доступа к общим папкам, размещенным в сети.

В главе 11 «Администрирование Active Directory» описаны задачи администрирования Active Directory, включая поиск объектов, назначение им разрешений, публикацию ресурсов, перенос объектов в пределах и между доменами, делегирование администра тивного управления в ОП, резервное копирование, восстановление и устранение не поладок Active Directory.

В главе 12 «Администрирование групповой политики» рассказывается о концепциях груп повой политики и ее: планировании. Описывается процесс внедрения групповой полити ки, управление с ее помощью программным обеспечением и специальными папками, а также последовательность устранения неполадок, связанных с групповой политикой.

В главе 13 «Администрирование конфигурации безопасности» обсуждается использо вание параметров безопасности для определения конфигурации безопасности систе мы, включая аудит, журналы безопасности, права пользователей, шаблоны безопасно ^ XXVII сти и утилиту Security Configuration and Analysis. В конце главы рассказывается об уст ранении неполадок конфигурации безопасности.

• Глава 14 «Управление производительностью Active Directory» посвящена средствам мониторинга производительности, поддержки и мониторинга общих папок.

• В главе \ 5 «Установка Windows 2000 с использованием RIS» рассказывается о службах удаленной установки (RIS). Поэтапно описано сопровождение и администрирование RIS. В конце главы приведены ответы на часто задаваемые вопросы и информация об устранении неполадок, связаннв!х с RIS.

• В приложении А «Вопросы и ответы» приведены ответы на вопросы из упражнений и разделов «Закрепление материала» всех глав учебного курса.

• Приложение Б «Установка и настройка службы DHCP» содержит основные инструк ции по установке и настройке службы DHCP для подготовки к использованию RIS.

С чего начать Данный курс предназначен для самостоятельного изучения, поэтому вы можете пропускать некоторые занятия, чтобы вернуться к ним потом. Помните, что для выполнения упражне ний курса необходимо выполнить процедуру установки, описанную в этой главе. Чтобы определить, с чего начать изучение курса, обратитесь к следующей таблице.

Если Вы Что делать готовитесь к сдаче сертификацией- см. раздел «Начало работы», а также описание ного экзамена 70-217: Implementing процедур установки далее в этой главе. Затем изучите все материалы этого курса and Administering a Microsoft Windows 2000 Directory Services Infrastructure хотите изучить информацию по см. раздел «Материалы для определенной теме экзамена подготовки к экзаменам».

Материалы для подготовки к экзаменам В следующих таблицах перечислены темы сертификационного экзамена 70-217: Implemen ting and Administering a Microsoft Windows 2000 Directory Services Infrastructure и главы насто ящего учебного курса, где обсуждаются соответствующие вопросы.

Примечание Конкретная программа любого экзамена определяется компанией Micro soft и может быть изменена без предварительного уведомления.

Установка, настройка и устранение неполадок Active Directory Тема Где обсуждается Глава Занятие Установка, настройка и устранение неполадок Active Directory Установка Active Directory Создание сайтов Создание подсетей Создание связей между сайтами Создание мостов связей сайтов Создание объектов подключений б этой XKVHI ° Тема Где обсуждается Глава Занятие Установка, настройка и устранение неполадок компонентов Active Directory Создание серверов глобального каталога 6 Перенос объектов сервера между сайтами 6 Перенос ролей хозяина операций 4 Проверка установки Active Directory 4 ' Внедрение структуры ОП 4 Резервное копирование и восстановление Active Directory Принудительное восстановление Active Directory II Восстановление системы после сбоя 11 Установка, настройка, управление, мониторинг и устранение неполадок DNS Тема 1де обсуждается 1лава Занятие Установка, настройка, управление, мониторинг и устранение неполадок DNS Объединение Active Directory DNS с альтернативными DNS 5 2, Настройка зон для динамического обновления 5 2, Управление, мониторинг и устранение неполадок DNS Управление репликацией данных DNS 5 3, Установка, настройка, управление, мониторинг, оптимизация и устранение неполадок при управлении конфигурацией Тема Где обсуждается Занятие Глава Внедрение и устранение неполадок групповой политики Создание объектов групповой политики (ОГП) 12 3, Привязка существующего ОГП 12 3, Делегирование административного управления 12 3, групповой политикой Изменение наследования групповой политики 12 3, Фильтрование параметров групповой политики 12 3, путем сопоставления ОГП группам безопасности Настройка групповой политики 12 3, Управление и устранение неполадок среды пользователя средствами групповой политики Управление средой пользователя средствами административных шаблонов 12 3, Назначение пользователям и компьютерам 12 3, политики сценариев (продолжение) Тема • Где обсуждается Глава Занятие Управление и устранение неполадок программного обеспечения средствами групповой политики Развертывание ПО средствами групповой политики 12 Обслуживание ПО средствами групповой политики 12 Настройка параметров развертывания 12 Решение типичных проблем развертывания ПО 12 Управление конфигурацией сети средствами групповой политики 12 Развертывание Windows 2000 средствами RIS Установка образа на компьютер-клиент RIS 15 Создание загрузочного диска RIS 15 Настройка параметров удаленной установки 15 Устранение неполадок RIS 15 Управление образами для выполнения удаленных 15 установок Настройка безопасности RIS Авторизация сервера RIS 15 Предоставление прав на создание учетной записи 15 компьютера Предварительная подготовка компьютеров-клиентов 15 RIS для дополнительной безопасности и балансировки нагрузки Управление, мониторинг и оптимизация компонентов Active Directory Тема Где обсуждается Глава Занятие Управление объектами Active Directory Перенос объектов Active Directory 11 Публикация ресурсов в Active Directory 11 Поиск объектов в Active Directory 11 Создание и управление учетными записями вручную 3, 4, или при помощи сценариев 8 3, 4, Управление доступом к объектам Active Directory 11 Делегирование административного управления 11 объектами в Active Directory Управление производительностью Active Directory Мониторинг, поддержка и устранение неполадок 14 1, 2, производительности контроллера домена Мониторинг, поддержка и устранение неполадок 14 1, 2, компонентов Active Directory Управление и устранение неполадок репликации Active Directory Управление межсайтовой репликацией 6 К 2, Управление внутрисайтовой репликацией 6 1, XXX Об этой книге (окончание) Настройка, управление, мониторинг и устранение неполадок безопасности Active Directory Тема Ktt обсуждается Глава Занятие Настройка и устранение неполадок безопасности в инфраструктуре службы каталогов Применение политик безопасности средствами 13 1, 3, 4, групповой политики Создание, анализ и модификация конфигураций 13 5, 6, безопасности при помощи оснастки Security Configuration and Analysis и шаблонов безопасности Внедрение политики аудита 13 2, Мониторинг и анализ событий безопасности 13 Начало работы Данный курс предназначен для самостоятельного изучения и содержит упражнения и практические рекомендации, которые помогут вам освоить Windows 2000 Active Directory.

Для выполнения большинства упражнений вам потребуется один компьютер с Windows 2000 Server. Однако некоторые упражнения требуют наличия двух компьютеров;

для луч шего понимания материала курса постарайтесь их не пропустить. Если у вас нет возмож ности раздобыть второй компьютер, прочитайте пункты упражнения и попытайтесь по нять логику действий.

Для изучения этого курса рекомендуется выделить отдельную сеть, чтобы не нарушать работу сети вашего предприятия и пользователей вашего домена. Тем не менее вы можете выполнять упражнения и в существующей сети.

Внимание! Для выполнения некоторых упражнений потребуется изменить конфигурацию серверов. Если вы подключены к большой сети, это может привести к нежелательным ре зультатам. Перед выполнением таких упражнений предварительно проконсультируйтесь с сетевым администратором.

Аппаратное обеспечение Компьютер должен соответствовать приведенной далее минимальной конфигурации, а установленное на нем оборудование необходимо выбрать из списка совместимых с Win dows 2000 устройств (Hardware Compatibility List, HCL):

• 32-разрядный процессор Pentium с частотой не менее 166 МГц;

• не менее 64 Мб оперативной памяти для сети с числом клиентских компьютеров от одного до пяти (для большинства сетей рекомендуется 128 Мб);

• жесткий диск с 2 П> свободного пространства;

• 12-скоростной привод CD-ROM (для установки Windows 2000 по сети привод CD-ROM не требуется);

• монитор SVGA с разрешением 800 х 600 (рекомендуется 1024 х 768);

• дисковод для дискет 3,5-дюйма (если ваш привод CD-ROM не поддерживает загрузку и вы не можете запустить с него программу установки);

• мышь Microsoft или другое совместимое устройство.

XXXI Программное обеспечение Для выполнения практических заданий вам потребуется установочный компакт-диск Microsoft Windows 2000 Server. Пробную версию Windows 2000 Server и инструкции по заг рузке можно найти на Web-узле Microsoft по адресу: http://www.microsoft.com/windows 2000/downIoads/default.asp (материалы по Windows 2000 на русском языке: http://www mic rosoft.com/rus/windows2000).

Подготовка компьютера к выполнению практических заданий Ниже описаны основные этапы подготовки вашего компьютера к выполнению заданий этого курса. Если ранее вы не устанавливали Windows 2000 или другую сетевую ОС, обра титесь к опытному сетевому администратору. После выполнения каждого этапа отметьте галочкой соответствующую строку. Подробные инструкции для выполнения каждого эта па описаны ниже. Итак, кратко:

• создайте установочные дискеты Windows 2000 Server;

• запустите программу установки Windows 2000 Server;

• установите сетевые компоненты;

• установите аппаратное обеспечение.

Примечание Далее рассказано, как установить Windows 2000. Это поможет вам подгото вить компьютер для выполнения заданий этой книги. Однако обучение установке не вкодит в цели данного курса. Подробнее об установке Windows 2000 Server рассказано в учебном курсе MSCE, посвященном Microsoft Windows 2000 Server.

Установка Windows 2000 Server Для выполнения упражнений этого курса необходимо установить Windows 2000 Server.

Компьютер, предназначенный для этого, не должен содержать форматированных разде лов. Раздел на жестком диске для установки Windows 2000 Server в качестве изолирован ного сервера рабочей группы можно создать непосредственно в процессе установки Windows 2000 Server.

Для выполнения приведенных ниже инструкций на вашем компьютере должна быть установлена MS-DOS или любая версия Windows, причем умеющая обращаться к каталогу Bootdisk установочного компакт-диска с Windows 2000 Server. Если ваш компьютер на строен для загрузки с CD-ROM, вы можете установить Windows 2000, не используя уста новочные дискеты. В этом случае в BIOS надо отключить поддержку загрузки с CD- (IOM.

Внимание! Для выполнения этой процедуры потребуются четыре дискеты емкостью 1, Мб каждая. Запись на дискеты выполняется поверх уже имеющихся данных;

при этом со ответствующего предупреждения вы не получите.

> Создание установочных дискет Windows 2000 Server 1. Наклейте на четыре пустые отформатированные дискеты емкостью 1,44 Мб наклейки со следующими надписями:

• «Установочный диск Windows 2000 Server №1»;

• «Установочный диск Windows 2000 Server №2*;

• «Установочный диск Windows 2000 Server №3»;

• «Установочный диск Windows 2000 Server №4».

2. Вставьте установочный компакт-диск для Microsoft Windows 2000 Server в привод CD- ROM.

Об этой книге 3. Если появится сообщение Windows 2000 CD-ROM с запросом на установку или обнов ление операционной системы до Windows 2000, щелкните кнопку No.

4. Откройте окно командной строки.

5. Введите букву привода CD-ROM в командную строку и нажмите Enter.

6. Сделайте активным каталог Bootdisk, введя в командную строку cd bootdisk, и нажмите Enter.

7. Если на компьютере, на котором вы создаете загрузочные дискеты, установлена MS DOS, 16-разрядная версия Windows, Windows 95 или Windows 98, введите в командной строке makeboot а: (где а: — имя вашего дисковода) и нажмите Enter. Если на компь ютере установлена Windows NT или Windows 2000, введите makebt32 а: (где а: — имя вашего дисковода) и нажмите Enter. Появится сообщение, что будут созданы четыре установочные дискеты для Windows 2000, для чего вам необходимо приготовить четыре пустых отформатированных гибких дискеты высокой плотности.

8. Нажмите любую клавишу для продолжения. Появится сообщение, что нужно вставить в дисковод дискету, на которую будет записана установочная информация.

9. Вставив в дисковод пустую отформатированную дискету, надписанную «Установочный диск Windows 2000 Server № 1» и нажмите любую клавишу. После создания образа диска Windows 2000 попросит вас поочередно вставить вторую, третью и четвертую дискеты.

10. В командной строке введите exit и нажмите Enter.

Выньте дискету из дисковода и компакт-диск из привода CD-ROM.

> Запуск программы установки Windows 2000 Server Примечание При описании этой процедуры предполагается, что на вашем компьютере не установлена ОС, жесткий диск не разбит на разделы, а поддержка загрузки с CD-ROM отключена.

1. Вставьте дискету, надписанную «Установочный диск Windows 2000 Server № 1» и загру зочный диск Windows 2000 Server и перезагрузите компьютер.

После перезапуска компьютера появится сообщение, что выполняется проверка ва шей системной конфигурации. Вскоре после этого откроется окно Windows 2000 Setup.

Обратите внимание на серую строку внизу экрана. В ней сообщается, что выполняется проверка компьютера и загрузка Windows 2000 Executive — минимальной версии ядра Windows 2000.

2. Вставьте в дисковод дискету №2 (когда увидите соответствующее сообщение) и на жмите Enter.

Setup произведет загрузку HAL, шрифтов, драйверов шины и других программ, обес печивающих работу материнской платы, шины и других аппаратных средств вашего компьютера. Кроме того, будут загружены исполнимые файлы Windows 2000 Setup.

3. Вставьте в дисковод дискету №3 (когда увидите соответствующее сообщение) и на жмите Enter.

Setup произведет загрузку драйверов контроллера дисковода и инициализацию драй веров, обеспечивающих поддержку доступа к дисководу. Во время этого процесса Setup может несколько раз останавливаться.

4. Вставьте в дисковод дискету №4 (когда увидите соответствующее сообщение) и на жмите Enter.

Будут загружены драйверы периферийных устройств, например драйвер дисковода и файловых систем, после чего произойдет инициализация Windows 2000 Executive и заг рузка оставшихся установочных файлов.

Если вы устанавливаете пробную версию Windows 2000, программа установки предуп редит вас об этом.

5. Прочитав сообщение Setup, нажмите Enter.

Заметьте, что программа установки позволяет вам произвести не только первоначаль ную установку, но и восстановить поврежденную версию Windows 2000.

6. Прочитайте сообщение, содержащееся в окне Welcome To Setup, и нажмите Enter для продолжения установки. Откроется окно License Agreement (Лицензионное соглашение), 7. Прочитайте лицензионное соглашение. Для прокрутки текста пользуйтесь клавишей Page Down.

8. Выберите I Accept The Agreement (Я принимаю соглашение), нажав клавишу F8.

Откроется окно Windows 2000 Server Setup (Установка Windows 2000 Server), где вам пред лагается выбрать область диска (или уже существующий раздел) для установки Windows 2000, На этом этапе вы можете создавать и удалять разделы на вашем жестком диске.

Если ваш жесткий диск ранее не содержал разделов (как предполагается в этом упраж нении), то вы увидите на диске неразмеченное пространство.

9. Убедившись, что выбрано Unpartitioned space (Неразмеченное пространство), введите с.

Появится сообшение, что сейчас будет создан новый раздел, а также указаны мини мальный и максимальный возможные размеры этого раздела.

10. Выбрав размер раздела (минимум 2 Гб), нажмите Enter.

Новый раздел будет назван С: New (Unformatted).

Примечание На этом этапе вы можете создавать и дополнительные разделы ш сво бодном дисковом пространстве. Тем не менее созданием разделов рекомендуется зани маться после установки Windows 2000, используя оснастку Disk Management.

11. Убедившись, что выбран новый раздел, нажмите Enter.

Появится предложение выбрать файловую систему для нового раздела.

12. Воспользовавшись клавишами управления курсором, выберите Format The Partition Using The NTFS File System (Отформатировать раздел под файловую систему NITS) и нажмите Enter.

Setup отформатирует раздел под NTFS, выполнит проверку жесткого диска на наличие ошибок, которые могут повлечь сбои в установке, после чего скопирует файлы на диск.

Это займет несколько минут.

По завершении копирования компьютер будет перезагружен.

13. Выньте установочную дискету из дисковода.

Внимание! Если ваш компьютер настроен для загрузки с CD-ROM и поддержка загруз ки с CD-ROM не была отключена в BIOS, то при перезапуске произойдет загрузка именно с него. Это приведет к тому, что программа установки будет запушена с самого начала.

В этом случае выньте компакт-диск из привода CD-ROM и перезагрузите компьютер.

14. Программа установки скопирует дополнительные файлы, после чего перезагрузит ваш компьютер и запустит мастер установки Windows 2000.

*• Графический режим установки Примечание С этого момента Setup начинает работать в графическом режиме.

1. В окне мастера установки Windows 2000 щелкните кнопку Next (Далее) для сбора ин формации о компьютере.

2- 06 этой книге XXXIV Setup произведет конфигурирование папки и разрешений NTFS для файлов ОС. Пос ле этого будет выполнен поиск устройств, подключенных к компьютеру, а также уста новка и конфигурирование драйверов этих устройств. Это займет несколько минут, 2. Убедившись, что системные и пользовательские параметры и раскладка клавиатуры, указанные в окне Regional Settings (Региональные настройки), соответствуют нужному вам языку и региону, щелкните Next.

Примечание Чтобы изменить региональные параметры после того, как Windows уже установлена, дважды щелкните значок Regional Options на панели управления.

3. Введите ваше имя в поле Name (Имя) и имя вашей организации в поле Organization (Организация), затем щелкните Next.

Примечание Если откроется окно Your Product Key (Ключ продукта), введите в него номер, указанный на желтой наклейке на задней стороне коробки установочного ком пакт-диска Windows 2000 Server.

Откроется окно Licensing Modes (Режимы лицензирования) с предложением выбрать режим лицензирования- По умолчанию устанавливается режим лицензирования Per Server (На сервер). Setup попросит вас ввести количество приобретенных для этого сервера лицензий.

4. Щелкните переключатель Per Server Number Of Concurrent Connections (Число одно временных соединений для одного сервера) и установите число одновременных соеди нений равным 5 (для этого введите 5 в соответствующее поле). Далее щелкните Next.

Внимание! Для выполнения упражнений курса рекомендуется выбрать параметр Per Server Number Of Concurrent Connections и задать число одновременных подключений рав ным 5. Тем не менее число одновременных соединений не должно превышать количества имеющихся у вас лицензий. Вы можете также использовать режим лицензирования Per Seat вместо Per Server.

Откроется окно Computer Name And Administrator Password (Имя компьютера и ад министративный пароль). Обратите внимание, что имя компьютера сгенерировано на основе имени вашей организации.

5. В поле Computer Name (Имя компьютера) введите server 1.

Вы увидите имя компьютера. Оно состоит из прописных букв вне зависимости от того, использовали ли вы при вводе строчные или прописные буквы.

Внимание! Если ваш компьютер подключен к сети, для задания имени компьютера обратитесь к администратору.

На протяжении всего курса учебный компьютер в вопросах и упражнениях будет обо значаться именем Server 1. Если вы назвали свой сервер по-другому, вместо имени Serverl подставляйте имя вашего сервера.

6. В поля Administrator Password (Пароль администратора) и Confirm Password (Подтвер ждение пароля) введите строчными буквами password и щелкните кнопку Next. Пароль чувствителен к регистру, поэтому убедитесь, что слово password набрано именно строч ными буквами.

Для изучения этого курса пароль администратора password вполне подходит. В реаль ных ситуациях для пароля администратора рекомендуется выбирать более сложное сочетание символов (чтоб затруднить угадывание). В частности, Microsoft рекомендует XXXV составлять пароль из прописных и строчных букв, а также чисел и других символов (например, Lp6*g9).

Откроется окно Windows 2000 Components (Компоненты Windows 2000), в котором пере числены доступные компоненты Windows 2000.

7. Щелкните Next.

Вы можете установить дополнительные компоненты после установки Windows 2000.

Для этого дважды щелкните значок Add/Remove Programs (Установка и удаление про грамм) на панели управления. Пока же вам нужно установить только компоненты, выбранные по умолчанию. Дополнительные компоненты вы зададите позже, в ходе изучения курса.

Если во время установки на вашем компьютере был обнаружен модем, откроется окно Modem Dialing Information (Информация о модеме).

8. Если открылось окно Modem Dialing Information, введите в него код региона или горо да и щелкните Next.

Откроется окно Date And Time Settings (Настройки даты и времени).

Внимание! Работа многочисленных служб Windows 2000 основана на данных о дате и времени. Поэтому, чтобы избежать проблем в будущем, укажите правильный часовой пояс и регион.

9. Введя правильные параметры даты, времени и часового пояса, щелкните Next.

Откроется окно Network Settings (Сетевые настройки), и будут установлены сетевые компоненты.

^ Завершение установки сетевых компонентов Сетевые компоненты — неотъемлемая часть Windows 2000 Server. При их настройке суще ствуют возможности выбора. Пока вам нужно установить только основные сетевые ком поненты, а дополнительные вы установите во время выполнения упражнений курса.

1. Убедившись, что на странице Networking Settings (Сетевые параметры) выбран пара метр Typical Settings, щелкните Next. Начнется установка сетевых компонентов.

Выбор параметра Typical Settings означает, что будут установлены компоненты, исполь зуемые для реализации и предоставления доступа к сетевым ресурсам. Кроме того, протокол TCP/IP будет автоматически запрашивать IP-адрес у сервера DHCP.

Откроется окно Workgroup Or Computer Domain (Рабочая группа или домен) с запро сом, хотите ли вы включить ваш компьютер в рабочую группу или домен.

2. Убедившись, что в окне Workgroup Or Computer Domain выбран переключатель No, This Computer Is Not On A Network or Is On A Network Without A Domain (Компьютер,не подключен к сети или входит в сеть без доменов) и в качестве имени рабочей груп пы указано WORKGROUP, щелкните Next.

Откроется окно Installing Components (Установка компонентов), в котором изобра жается статус выполняемых операций по установке и настройке остальных компо нентов ОС. Это займет несколько минут.

Затем откроется окно Performing Final Tasks (Выполнение завершающих задач), в котором отображается ход операций по завершению копирования файлов, внесению и сохранению изменений в конфигурации и удалению временных файлов. Если аппарат ное обеспечение вашего компьютера ненамного превосходит минимальные требования, для завершения этой фазы установки может понадобиться более 30 минут.

По завершении установки откроется окно Completing The Windows 2000 Setup Wizard (Завершение работы мастера установки Windows 2000) Об этай XXXVI 3. Выньте установочный компакт-диск с Windows 2000 Server из привода CD-ROM и щел кните кнопку Finish (Готово).

Внимание! Если ваш компьютер поддерживает загрузку с CD-ROM и вы не вынули установочный компакт-диск, то после перезагрузки компьютера программа установки запустится снова, В этом случае выньте CD-ROM и перезагрузите компьютер еще раз.

После перезагрузки будет запущена только что установленная версия Windows Server.

^ Завершение установки аппаратных средств Сейчас вы выполните поиск устройств Plug and Play, не обнаруженных на предыдущих стадиях установки, 1. Войдите в систему, нажав Ctrl+AlH-Delete.

2. В диалоговом окне Enter Password (Ввод пароля) введите administrator в поле User Name (Имя пользователя) и password — в поле Password (Пароль).

3. Щелкните ОК.

4. Если Windows 2000 найдет устройства, которые не были обнаружены при установке, откроется окно мастера Found New Hardware (Обнаруженные устройства), сообщая вам, что Windows 2000 устанавливает соответствующие драйверы.

Если откроется окно мастера Found New Hardware, убедитесь, что флажок Restart The Computer When I Click Finish (Перезагрузить компьютер после окончания установки) не выбран, и щелкните кнопку Finish для завершения работы мастера Found New Hardware, Откроется окно Configure Your Server (Настройка вашего сервера), позволяющее вам конфигурировать множество различных параметров и служб.

5. Выберите I Will Configure This Server Later (Настроить сервер позднее) и щелкните кнопку Next (Далее).

6. В следующем окне сбросьте флажок Show This Screen At Startup (Показывать это окно при запуске).

7. Закройте окно Configure Your Server.

Установка Windows 2000 Server завершена, и вы зарегистрированы с учетной записью Administrator.

Примечание Для правильного завершения работы Windows NT Server в меню Start выберите команду Shut Down и следуйте инструкциям на экране.

Чтобы вы могли выполнять упражнения, связанные с работой в сети, компьютеры дол жны иметь возможность связываться друг с другом. Назначьте первый компьютер с име нем Server 1 основным контроллером домена (primary domain controller, PDC) Domain 1.

В большинстве процедур этого курса второй компьютер будет выполнять функции клиен та или дополнительного сервера.

Внимание! Если ваши компьютеры являются частью большой сети, обратитесь к сетево му администратору и проверьте, не входят ли имена компьютеров, доменов и другая введен ная при установке информация в конфликт с текущими сетевыми параметрами. В случае конфликта попросите администратора присвоить вашим компьютерам другие значения и используйте их на протяжении всего курса.

Программа сертификации специалистов Microsoft Программа сертификации специалистов Microsoft (Microsoft Certified Professional, MCP) — отличная возможность подтвердить ваши знания современных технологий и программ ных продуктов этой фирмы. Лидер отрасли в области сертификации — компания Microsoft разработала современные методы тестирования. Экзамены и программы сертификации подтвердят вашу квалификацию разработчика или специалиста по реализации решений на основе технологий и программных продуктов Microsoft. Сертифицированные Microsoft профессионалы квалифицируются как эксперты и высоко ценятся на рынке труда.

Программа сертификации специалистов предлагает восемь типов сертификации по разным специальностям.

• Сертифицированный специалист Microsoft (Microsoft Certified Professional, MCP) — пред полагается глубокое и доскональное знание по крайней мере одной операционной си стемы Microsoft. Сдав дополнительные экзамены, кандидаты подтвердят право на ра боту с продуктами Microsoft BackOffice, инструментальными средствами или приклад ными программами.

• Сертифицированный специалист Microsoft + Интернет (MCP + Internet) — должен раз бираться в планировании систем защиты, установке и конфигурировании серверных продуктов, управлении ресурсами сервера, расширении возможностей сервера сред ствами сценариев интерфейса общего шлюза (Common Gateway Interface, CGI) и интер фейса прикладного программирования сервера Интернета (Internet Server Application Programming Interface, ISAPI), мониторинге работы сервера, анализе его производитель ности и устранении неисправностей.

• Сертифицированный специалист Microsoft + Site Bulding (MCP + Site Bulding) — плани рование, создание, поддержка и управление \№Ь-узлами с применением технологий и продуктов Microsoft.

• Сертифицированный системный инженер Microsoft (Microsoft Certified Systems Engineer) — умение эффективно планировать, развертывать, сопровождать и поддерживать инфор мационные системы на базе Microsoft Windows 95, Microsoft Windows NT и интегриро ванного семейства серверных продуктов Microsoft BackOffice.

Сертифицированный системный инженер Microsoft + Интернет (MCSE + Internet) - раз вертывание и сопровождение многофункциональных решений для интрасети и Интер нета, включая программы просмотра, представительские серверы, базы данных, систе мы сообщений и коммерческие компоненты. Кроме того, сертифицированные по этой специальности инженеры должны уметь управлять Web-узлом и выполнять его анализ.

• Сертифицированный администратор баз данных Microsoft (Microsoft Certified Database Administrator, MCDBA) — разработка физической структуры, логических моделей дан ных, создание физических БД, создание служб доступа к данным с использованием Т SQL, управление и поддержка БД, настройка и управление системой защиты, монито ринг и оптимизация БД, а также установка и настройка Microsoft SQL Server.

• Сертифицированный разработчик программных решений на основе продуктов Microsoft (Microsoft Certified Solution Developer, MCSD) — разработка и создание прикладных приложений с применением инструментальных средств, технологий и платформ Micro soft, включая Microsoft Office и Microsoft BackOffice.

• Сертифицированный преподаватель Microsoft (Microsoft Certified Trainer, MCT) — теоре тическая и практическая подготовка для ведения соответствующих курсов в авторизо ванных учебных центрах Microsoft.

XXXVIII °б этой Преимущества программы сертификации Microsoft Программа сертификации Microsoft — один из самых строгих и полных тестов оценки знаний и навыков в области проектирования, разработки и сопровождения программного обеспечения. Сертифицированными специалистами Microsoft становятся лишь те, кто де монстрирует умение решать конкретные задачи, применяя продукты компании. Програм ма тестирования позволяет не только оценить квалификацию специалиста, но и служит ориентиром для всех, кто стремится достичь современного уровня знаний в этой области.

Как и любой другой тест или экзамен, сертификация Microsoft является показателем оп ределенного уровня знаний специалиста, что важно при трудоустройстве.

Для специалистов. Звание Microsoft Certified Professional даст вам следующие преиму щества:

• официальное признание знаний и опыта работы с продуктами и технологиями Microsoft;

• доступ к технической информации о продуктах Microsoft через защищенную область Web-узла МСР;

• членство MSDN Online Certified Membership, обеспечивающее доступ к лучшим техни ческим ресурсам, сообществу МСР и другим полезным ресурсам и службам (некоторые из элементов узла MSDN Online доступны лишь на английском языке, а в некоторых странах — недоступны вообще);

для получения растущего списка услуг, доступных сертифицированным членам, обратитесь на \\еЬ-узел MSDN;

• эмблемы, свидетельствующие, что вы имеете квалификацию сертифицированного спе циалиста Microsoft;

• приглашения на конференции, семинары и специальные мероприятия для специалис тов Microsoft;

• сертификат «Microsoft Certified Professional»;

• подписку на различные издания Microsoft, содержащие ценную техническую инфор мацию о продуктах и технологиях Microsoft.

Кроме того, в зависимости от типа сертификации и страны, сертифицированные спе циалисты получают:

• годовую подписку на ежемесячно распространяемые компакт-диски Microsoft TechNet Technical Information Network;

• годовую подписку на программу бета-тестирования продуктов Microsoft (вы бесплатно получите до 12 компакт-дисков с бета-версиями новейших программных продуктов компании Microsoft), Для работодателей и организаций. Сертификация позволяет быстро окупить затраты на технологии Microsoft и извлечь максимум прибыли из этих технологий. Исследования показывают, что сертификация сотрудников по программам Microsoft:

• быстро окупается за счет стандартизации требований к обучению специалистов и ме тодов оценки их квалификации;

• позволяет увеличить эффективность обслуживания клиентов, повысить производитель ность труда и снизить расходы на сопровождение ОС;

• обеспечивает надежные критерии найма специалистов и их продвижения по службе;

• предоставляет методы оценки эффективности труда персонала;

• обеспечивает гибкие методы переподготовки сотрудников для обучения новым техно логиям;

• позволяет оценить партнеров — сторонние фирмы.

Дополнительную информацию о том, какую пользу ваша компания извлечет из серти фикации, вы найдете на странице http://www.microsoft.com/mcp/mktg/bus_bene.htm (рус скоязычная страница — http://www. microsoft. com/rus/mcp/org_be nefits.html).

XXXIX Требования к соискателям Требования к соискателям определяются специализацией, а также служебными функция ми и задачами.

Соискатель сертификата Microsoft должен сдать экзамен, подтверждающий его глубо кие знания в области программных продуктов Microsoft. Экзаменационные вопросы, под готовленные с участием ведущих специалистов компьютерной отрасли, отражают реалии применения программных продуктов компании Microsoft.

• «Сертифицированный специалист Microsoft» — кандидаты на это звание сдают экзамен по работе с одной из операционных систем. Кандидат может сдать дополнительные экзамены, которые подтвердят его право на работу с продуктами Microsoft BackOffice, инструментальными средствами или прикладными программами.

• «Сертифицированный специалист Microsoft + Интернет» — кандидаты на это звание сда ют экзамен по ОС Microsoft Windows NT Server 4.0, поддержке TCP/IP и экзамены по Microsoft Internet Information Server.

• «Сертифицированный специалист Microsoft + Site Building» — кандидаты на это звание сдают два экзамена по основам технологий Microsoft Front Page, Microsoft Site Server и Microsoft Visual InterDev.

• «Сертифицированный системный инженер Microsoft» — кандидаты на это звание сдают экзамены по технологии ОС Microsoft Windows, сетевым технологиям и технологиям интегрированного семейства серверных продуктов Microsoft BackOffice, • «Сертифицированный системный инженер Microsoft + Интернет» — кандидаты на это звание сдают семь экзаменов по операционным системам и два — по выбору.

• «Сертифицированный администратор баз данных Microsoft» — кандидаты на это ивание сдают три ключевых экзамена и один — по выбору.

• «Сертифицированный разработчик программных решений на основе продуктов Micro.oft» — кандидаты сдают два экзамена по основам технологии ОС Microsoft Windows и два — по технологиям интегрированного семейства серверных продуктов Microsoft BackOffice.

• «Сертифицированный преподаватель Microsoft» — надо подтвердить свою теоретичес кую и практическую подготовку для ведения соответствующих курсов в авторизован ных учебных центрах Microsoft. Более подробные сведения о сертификации по этой программе вы получите в компании Microsoft по телефону (800) 636-7544 (в США и Канаде) или по адресу http://www.microsoft.com/train_cert/mct/. За пределами США и Канады обращайтесь в местные отделения компании Microsoft.

Подготовка к экзаменам Рекомендуются три режима подготовки: самостоятельная работа, интерактивный режим, а также занятия с инструктором в авторизованных центрах подготовки.

Самостоятельная подготовка Самостоятельная подготовка — наиболее эффективный метод подготовки для инициатив ных соискателей. Издательства «Microsoft Press» и «Microsoft Developer Division» предла гают весь спектр учебных пособий для подготовки к экзаменам по программе сертифика ции специалистов Microsoft. Учебные курсы для самостоятельного изучения, адресован ные специалистам компьютерной отрасли, содержат теоретические и практические мате риалы, мультимедийные презентации, упражнения и необходимое ПО. Все эти пособия позволяют наилучшим образом подготовиться к сдаче сертификационных экзаменов.

Об этой книге Интерактивная подготовка Интерактивная подготовка средствами Интернета — альтернатива занятиям в учебных цен трах. Вы можете выбрать наиболее удобный распорядок занятий в виртуальном классе, где научитесь работать с продуктами и технологиями компании Microsoft и подготовитесь к сдаче экзаменов. В интерактивном режиме доступно множество курсов Microsoft — от обыч ных официальных до специальных, доступных лишь в интерактивном режиме. Интерактив ные ресурсы доступны круглосуточно в сертифицированных центрах подготовки.

Сертифицированные центры технического обучения Microsoft Сертифицированные центры технического обучения Microsoft (Certified Technical Educa tion Center, CTEC) — самый простой способ пройти курс обучения под руководством опытного инструктора и стать сертифицированным специалистом. Microsoft CTEC — все мирная сеть учебных центров, которые позволяют специалистам повысить свой техничес кий потенциал под руководством сертифицированных инструкторов Microsoft.

Список центров СТЕС в США и Канаде можно получить, обратившись на Web-узел компании Microsoft по адресу http://www.microsoft.com/CTEC/default.htm (на русском язы ке: http://www.microsoft.com/rus/CTEC/default.htm).

Техническая поддержка Мы постарались сделать все от нас зависящее, чтобы и сам учебный курс, и прилагаемый к нему компакт-диск не содержали ошибок. Если все же у вас возникнут вопросы или вы захотите поделиться своими предложениями или комментариями, обращайтесь в изда тельство Microsoft Press по одному из этих адресов.

Электронная почта tkinput@microsort.com Почтовый адрес: Microsoft Press Attn:MCSE Training Kit-Microsoft Windows 2000 Professional Editor One Microsoft Way Redmond,WA 98052- Издательство «Microsoft Press» публикует постоянно обновляемый список исправле ний и дополнений к своим книгам по адресу http://mspress.microsoft.com/support/.

Учтите, что по указанным почтовым адресам техническая поддержка не предоставля ется. Для получения подробной информации о технической поддержке программных про дуктов Microsoft обращайтесь на Web-узел компании Microsoft по адресу http://www.micro soft.com/support/ или звоните в службу Microsoft Support Network Sales no телефону (800) 936-3500 - в США.

Подробнее о получении полных версий программных продуктов Microsoft вы можете узнать, позвонив в службу Microsoft Sales по телефону (800) 426-9400 или по адресу www.microsoft.com.

ГЛАВА Знакомство с Microsoft Windows Занятие 1 > Краткий обзор возможностей Windows 2000 Занятие 2. Краткий обзор архитектуры Windows 2000 Занятие 3. Краткое знакомство со службой каталогов Windows 2000 Занятие 4. Вход в систему Windows 2000 Занятие 5. Диалоговое окно Windows Security Закрепление материала В этой главе В этой главе вы познакомитесь с операционной системой Microsoft Windows 2000 и набо ром функций, входящих в эту ОС. Вы узнаете о роли, которую они играют, и о различиях в администрировании рабочей группы и домена. Мы расскажем об архитектуре Windows 2000 и о службах каталога Windows 2000. Кроме того, вы освоите на практике основные процедуры входа в систему и выполнение ключевых задач в диалоговом окне Windows Security (Безопасность Windows).

Прежде всего Для изучения материалов этой главы необходимо выполнить процедуру установки, опи санную во вводной главе.

2 Знакомство с Microsoft Windows 2000 Глава t Занятие 1. Краткий обзор возможностей Windows Вы познакомитесь с семейством продуктов Windows 2000, с их возможностями и преиму ществами. Мы расскажем об основных различиях между этими продуктами и о среде, для использования в которой они предназначены.

Изучив материал этого занятия, вы сможете:

•/ рассказать о Windows 2000;

•/ объяснить ключевые различия между Windows 2000 Professional и Windows Server;

•S описать возможности и преимущества Windows 2000;

S описать различия между моделями рабочей группы и домена в сетевой среде.

Продолжительность занятия — около 15 минут.

Семейство Windows Windows 2000 представляет собой многоцелевую ОС с встроенной поддержкой клиент серверных и одноранговых сетей. Она сконструирована на основе технологий, уменьшаю щих совокупную стоимость владения и обеспечивающих масштабируемость от небольшой до крупной корпоративной сети. Совокупная стоимость владения (Total cost of ownership, TCO) — общая сумма, необходимая на приобретение компьютеров и развертывание про граммного обеспечения, их дальнейшее сопровождение и техническую поддержку. Дру гой главный фактор, влияющий на ТСО, — снижение производительности из-за ошибок пользователей, аппаратных проблем или из-за обновлений программ и их настройки.

В этом учебном курсе мы рассмотрим две версии ОС Windows 2000.

• Windows 2000 Professional. Этот продукт представляет собой высокопроизводительную безопасную сетевую корпоративную ОС, сочетающую лучшие возможности Microsoft Windows 98 и управляемость, надежность, безопасность и быстродействие Microsoft Win dows NT Workstation 4.0. Windows 2000 Professional используется в качестве настольной ОС в одноранговой сети в составе рабочей группы или в качестве рабочей станции в составе домена Windows 2000 Server или Windows NT. Данный продукт можно считать основной настольной ОС Microsoft для предприятий любого масштаба.

• Windows 2000 Server. Это сервер файлов, печати, терминалов и приложений, а также платформа Web-сервера, содержащая все возможности Windows 2000 Professional, и множество новых серверных функций. Оптимальный выбор для поддержки корпора тивных приложений среднего размера, \\еЬ-серверов, рабочих групп и филиалов.

Семейство Windows 2000 также включает еще два продукта: Windows 2000 Advanced Server и Windows 2000 Datacenter Server.

• Windows 2000 Advanced Server. Это мощный промышленный сервер приложений, обес печивающий поддержку сетевой операционной системы (network operations system, NOS) и служб Интернета. Advanced Server поддерживает физическую память большого объе ма, кластеризацию и балансировку нагрузки. Подробное знакомство с данным про дуктом и его возможностями выходит за рамки нашего курса.

• Windows 2000 Datacenter Server. Это самая мощная и функциональная ОС в семействе Windows 2000. Оптимизирована для хранения больших объемов данных, эконометри ческого анализа, моделирования крупных научных и инженерных проектов и много Занятие 1 Краткий обзор возможностей Windows серверных систем. Подробное знакомство с данным продуктом и его возможностями также выходит за рамки нашего курса.

В табл. 1-1 перечислены новые возможности Windows 2000.

Табл. 1-1. Новые возможности Windows Возможность Описание Каталог Active Directory является масштабируемой, основанной Служба каталогов на стандартах Интернета и полностью интегрированной на уровне Active Directory операционной системы службой каталогов корпоративного уровни.

Эта служба упрощает администрирование и облегчает поиск нужных ресурсов. Служба каталога Active Directory предоставляет широкий набор средств и возможностей, включая групповую политику, неслож ное масштабирование, поддержку нескольких протоколов проверки подлинности и использование стандартов Интернета Интерфейсы службы Active Directory являются моделью службы ката Интерфейсы службы логов и набором СОМ-интерфейсов. Они позволяют приложениям Active Directory (Active Directory Service Windows 95, Windows 98, Windows NT и Windows 2000 получать доступ к данным в некоторых сетевых службах каталогов, в том числе Interfaces, ADSI) и Active Directory. Данные средства включены в пакет для разработ чиков Software Development Kit (SDK) Является высокоскоростным протоколом с установкой соединения, Асинхронный режим разработанным для передачи по сети потоков данных различных передачи (Asynch ronous Transfer типов. Он применим как к локальным, так и к глобальным сетям.

Режим ATM позволяет осуществлять одновременную передачу ш» сети Mode, ATM) звука, информации, графики и видео Службы сертификации и средства управления сертификатами Службы в Windows 2000 позволяют внедрить собственную инфраструктуру сертификации открытого ключа. Инфраструктура открытого ключа позволяет при менить такие стандартные технологии, как подключение по смарт картам, проверка подлинности клиентов по протоколам SSL и TLS, зашита электронной почты, электронные подписи и защита подклю чений с помощью средств безопасности протокола IP. С помощью служб сертификации можно установить центры сертификации, предоставляющие и отзывающие сертификаты Х.509 V3, и управлять ими. Это позволяет обеспечить независимость от коммерческих служб сертификации клиентов, хотя при необходимости возможно объединение коммерческой службы проверки подлинности клиен тов с созданной инфраструктурой открытого ключа Службы компонентов являются набором служб на основе расширений Службы компонентов СОМ (модели компонентных объектов) и Microsoft Transaction Server (более раннем выпуске системы обработки транзакций на основе компонентов). Эти службы обеспечивают повышение производитель ности и безопасности при обработке транзакций, предоставляют воз можность управления транзакциями и группировки объектов в пулы, выстраивания компонентов в очереди, а также позволяют осущест влять администрирование и создание пакетов приложений Применяются на томах с файловой системой NTFS для просмотра и Дисковые квоты ограничения количества дискового пространства конкретных пользо вателей. Вы можете задать способ реакции системы на превышение порогового значения Глава Знакомство с Microsoft Windows Табл. 1-1. Новые возможности Windows 2000 (продолжение) Описание Возможность Совместная работа протокола DHCP со службами DNS и Active Протокол Dynamic Directory в сетях IP помогает избежать назначения и отслеживания Host Configuration IP-адресов вручную. Протокол DHCP автоматически назначает Protocol (DHCP) со IP-адреса компьютерам и другим ресурсам, подключенным к сети IP службами Domain Name System (DNS) и Active Directory Шифрованная файловая система Windows 2000 дополняет имеющиеся Шифрованная фай средства управления доступом и обеспечивает дополнительный уро ловая система вень зашиты данных. Шифрованная файловая система интегрирована (Encrypting File с системными службами, что позволяет легко управлять ею. а также System, EPS) повышает ее надежность и прозрачность для пользователя Оснастка Disk Management (Управление дисками) позволяет управ Графическое средство лять дисковым пространством и включает множество новых возмож управления дисками ностей, например поддержку томов и точек их монтирования Политики могут быть использованы для определения действий и пара Групповая политика метров для пользователей и компьютеров. В отличие от локальной (часть Active Directory) политики, групповая политика позволяет установить политики для всего узла, домена или организационной единицы в каталоге Active Directory. Управление на основе политики упрощает выполнение таких задач, как обновление операционной системы, установка прило жений, настройка профилей пользователей и блокировка настольных систем Служба индексирования предоставляет быстрый, простой и безопасный Службы способ поиска пользователями локальных или сетевых данных. Для индексирования поиска в файлах различного формата и на различных языках пользо ватели могут применять великолепные средства запросов, как с по мощью команды Search (Поиск) из меню Start (Пуск), так и на стра ницах в формате HTML, отображаемых обозревателем IntelliMirror Средства IntelliMirror позволяют осуществить такой контроль для клиентов с системой Windows 2000 Professional. Набор средств IntelliMirror позволяет определить политики на основе должностных обязанностей пользователей, участия их в группах и расположении.

С помощью таких политик рабочие станции с Windows 2000 Professio nal автоматически настраиваются в соответствии с конкретными потребностями пользователей при каждом входе в сеть независимо от места подключения к сети Служба проверки Предоставляет пользователям централизованное управление проверкой подлинности, авторизацией, обработкой учетных записей и аудитом подлинности в Интернете (Internet удаленных пользователей и пользователей виртуальных частных Authentication сетей. Служба IAS использует протокол PvADIUS (Remote Authentication Service, IAS) Dial-In User Service), разработанный группой IETF (Internet Enginee ring Task Force) Позволяет подключить к Интернету домашнюю или небольшую офис Общий доступ ную сеть. Например, ваша домашняя сеть подключена к Интернету к подключению Интернета (Internet при помощи модема. Для предоставления доступа к Интернету с ком Connection пьютера, на котором установлен модем, необходимо на всех остальных Sharing, ICS) компьютерах сети настроить преобразование сетевых адресов (network address translation, NAT), адресацию и службу разрешения имен Занятие 1 Краткий обзор возможностей Windows Табл. 1-1. Новые возможности Windows 2000 (продолжение) Возможность Описание Мощные средства IIS, включенные в Microsoft Windows 2000 Server, Internet Information упрощают совместное использование документов и данных в локаль Services (IIS) 5. ной сети организации и Интернете. Службы IIS позволяют внедрить масштабируемые и надежные ^feb-приложения, а также включать имеющиеся данные и приложения в Интернет. Службы IIS включают поддержку страниц ASP и других возможностей Безопасность протокола Интернета (IPSec) может быть использована Internet Security Protocol (IPSec) для защиты подключений в локальной сети и создания безопасных структур виртуальных частных сетей в Интернете. Это средство было разработано группой IETF (Internet Engineering Task Force) и считается промышленным стандартом для шифрования данных при передаче по протоколу TCP/IP Kerberos V5 является хорошо зарекомендовавшим себя стандартным (Cerberos V протоколом для проверки подлинности в сети. Этот протокол поз воляет организовать быстрый единый процесс подключения поль зователей к необходимым ресурсам серверов с системой Windows на уровне организации, а также к другим ресурсам, доступ к которым осуществляется с поддержкой данного протокола. Поддержка прото кола Kerberos V5 предоставляет дополнительные преимущества, такие, как взаимная проверка подлинности, при которой проверка должна выполняться как клиентом, так и сервером, и делегирование провер ки подлинности, при которой данные пользователя отслеживаются от узла к узлу Протокол туннелирования канального уровня L2TP является версией Поддержка протокола протокола РРТР (Pointto-Point Tunneling Protocol) с повышенной Layer 2 Tunneling степенью зашиты и используется для туннелирования, назначения Protocol (L2TP) адресов и проверки подлинности Общепринятый стандарт LDAP (Lightweight Directory Access Protocol) Поддержка является основным протоколом, используемым для доступа к Active протокола LDAP Directory. Протокол LDAP версии 3 был определен группой IETF (Internet Engineering Task Force) Интегрированные средства очередей сообщений в Windows Очереди сообщений помогают разработчикам создавать и внедрять приложения, отличаю щиеся надежностью сетевой работы, в том числе и в Интернете. Эти приложения могут взаимодействовать с приложениями, работающими на различных платформах, таких, как большие ЭВМ и системы на основе UNIX Консоль управления Microsoft (MMC) позволяет упорядочить нужные Консоль управления административные средства и действия в едином интерфейсе. Также Microsoft (Microsoft имеется возможность делегирования задач определенным пользова Management Console, телям путем создания для них заранее сконфигурированных консолей MMC) ММС. Такие консоли будут содержать выбранные вами для этих пользователей средства Глава Знакомство с Microsoft Window*: Табл. 1-1. Новые возможности Windows 2000 (продолжение) Описание Возможность NAT скрывает управляемые изнутри IP-адреса от внешних сетей, Трансляция сетевых транслируя закрытые внутренние адреса в открытые внешние адреса.

адресов (Network Это уменьшает стоимость регистрации IP-адресов, позволяя внутри Address Translation, сети использовать незарегистрированные IP-адреса с их последующей NAT) трансляцией в небольшое количество зарегистрированных внешних адресов. При этом скрывается структура внутренней сети, что умень шает риск ее атаки извне Перенос, поддержка и Windows 2000 тесно интегрирована с имеющимися операционными интеграция операци- системами и содержит как средства поддержки операционных онных систем систем Windows предыдущих версий, так и новые средства для под держки других распространенных операционных систем. Windows 2000 предоставляет следующие возможности:

• взаимодействие с Windows NT Server 3.51 и 4.0;

• поддержку клиентов с различными операционными системами, включая Windows 3.x, Windows 95, Windows 98 и Windows NT Workstation 4.0;

• взаимодействие с большими и средними ЭВМ с помощью шлюзов транзакций и очередей S/390 и AS/400 через SNA-сервер;

• файловый сервер для Macintosh, позволяющий клиентам Macintosh организовывать общий доступ к файлам и использовать общие ресурсы Windows 2000 Server с помощью протокола TCP/IP (протокол AFP через IP) Plug and Play (PnP) Поддержка Plug and Play на аппаратном и программном уровне поз воляет серверу автоматически обнаружить изменения конфигурации и настроить новую конфигурацию без вмешательства пользователя и перезагрузки Используя QoS, управляют распределением сетевых ресурсов между Качество обслуживания приложениями. Важным приложениям можно дать больше ресурсов, а (Quality of Servict, менее значимым — меньше. Протоколы и службы QoS обеспечивают QoS) гарантированную, быструю систему доставки информации по сети Служба удаленной С помощью служб удаленной установки можно произвести удаленную установки (Remote установку Windows 2000 Professional, не посещая каждого клиента.

Installation Services, Конечные компьютеры-клиенты должны либо поддерживать удален RIS) ную загрузку с РХЕ boot ROM (Pre-Boot execution Environment), либо должны быть загружены с гибкого диска удаленной загрузки. Уста новка системы на несколько клиентов значительно упрощается Съемные запоми- Служба Removable Storage (съемные ЗУ) упрощает отслеживание съем нающие устройства ных носителей (таких, как ленты или оптические диски) и управление и внешнее хранилище аппаратными библиотеками, например устройствами смены дисков.

Служба внешнего хранилища автоматически копирует редко исполь зуемые файлы на съемный носитель, руководствуясь заданными поль зователем критериями. Если объем свободного места на диске снижа ется до указанного уровня, служба внешнего хранилища удаляет с диска содержимое кэша файлов. Если файл понадобится в дальней шем, содержимое автоматически вызывается из хранилища. Remote Storage (Удаленное хранилище) позволяет сократить расходы, так как съемные оптические диски и магнитные ленты имеют более низкую стоимость в пересчете на один мегабайт Краткий обзор возможностей Windows Занятие Табл. 1-1. Новые возможности Windows 2000 (продолжение) Возможность Описание Служба маршрути- Служба Routing and Remote Access (Маршрутизация и удаленный зации и удаленного доступ) является интегрированной службой, обеспечивающей как доступа конечные подключения для удаленных клиентов и клиентов вир туальных частных сетей, так и маршрутизацию для протоколов IP, IPX и AppleTalk. Служба маршрутизации и удаленного доступа позволяет серверу с системой Windows 2QOO Server выполнять функции сервера удаленного доступа, сервера виртуальной частной сети, шлюза или маршрутизатора подразделения организации Загрузка в защищен- При запуске Windows 2000 в безопасном режиме используется мини ном режиме мальный набор драйверов и служб, после чего просматривается журнал с последовательностью событий, произошедших после запуска.

При этом диагностируются проблемы с драйверами и другими компо нентами, затрудняющими нормальную загрузку системы Инфраструктура Службы сертификации и средства управления сертификатами в Win смарт-карт dows 2000 позволяют внедрить собственную инфраструктуру откры того ключа. Инфраструктура открытого ключа позволяет применить такие стандартные технологии, как подключение по смарт-картам, проверка подлинности клиентов по протоколам SSL и TLS, защита электронной почты, электронные подписи и защита подключений средствами безопасности протокола IP Интерфейс TAPI 3.0 Объединяет возможности IP-связи и обычной телефонной связш, что позволяет разработчикам создавать мощные приложения компью терной телефонии нового поколения, работающие с Интернетом или локальными сетями так же эффективно, как и с обычной телефонной линией Только семейство Windows 2000 Server предлагает ОС для серверов, Службы терминалов имеющих интегрированные службы эмуляции терминалов. Службы терминалов позволяют пользователям получить доступ с помоа[ью различных средств предыдущих версий к приложениям, работающим на сервере. Например, пользователи могут работать с виртуальным рабочим столом Windows 2000 Professional и 32-разрядными прило жениями на компьютерах, не позволяющих работать с этими средст вами локально. Службы терминалов предоставляют такую возможность как клиентам с системами Windows, так и клиентам с другими сис темами. (Для клиентов с системами, отличными от Windows, требует ся наличие программного обеспечения компании Citrix Systeim.) Виртуальная частная сеть предоставляет пользователям доступ к сети, Виртуальная частная даже если они находятся за пределами организации, и сократить сеть (Virtual Private затраты на такое подключение. С помощью виртуальных частных Network, VPN) сетей пользователи могут легко создать безопасное подключение к сети организации- Подключение осуществляется через местного поставщика услуг Интернета, что сокращает затраты.

Для создания подключений к виртуальным частным сетям система Windows 2000 Server предоставляет перечисленные ниже новые протоколы с повышенной степенью защиты.

3 Знакомство с Microsoft Windows 2000 Глава Табл. 1-1. Новые возможности Windows 2000 (окончание) Возможность Описание • Протокол L2TP (Layer 2 Tunneling Protocol), версия протокола РРТР (Point-to-Point Tunneling Protocol) с повышенной степенью защиты. Протокол L2TP используется для туннелирования, назначения адресов и проверки подлинности.

• Протокол IPSec (Internet Protocol Security), стандартный протокол, обеспечивающий наивысший уровень безопасности в виртуальных частных сетях. Протокол IPSec позволяет применить шифрование практически для всех объектов сетевого уровня Службы мультимедиа Позволяют отправлять пользователям потоки высококачественных Windows данных мультимедиа по Интернету и локальным сетям Позволяет автоматизировать такие действия, как создание ярлыка, Сервер сценариев Windows (Windows а также подключение и отключение от сервера сети;

не зависит Scripting Host, WSH) от языка программирования. Сценарий может быть написан на любом стандартном языке сценариев, таком, как Visual Basic Scripting Edition или JScript Сетевая среда Windows Основана на модели рабочей группы или домена. Как Windows 2000 Professional, так и Windows 2000 Server могут использоваться Б обеих моделях. Различия в администрирова нии этих двух продуктов зависят от модели сетевой среды.

Модель рабочей группы Рабочая группа (workgroup) — логическая группировка сетевых компьютеров, предостав ляющих доступ к ресурсам, например к файлам и принтерам. Рабочая группа использует ся в одноранговых (peer-to-peer) сетях, в которых все компьютеры рабочей группы обеспе чивают равноправный доступ к ресурсам без выделенного сервера. Каждый компьютер рабочей группы под управлением Windows 2000 Server или Windows 2000 Professional ведет локальную БД безопасности (рис. 1-1), которая представляет собой список учетных записей пользователей и информацию о защите ресурсов компьютера, на котором она находится.

Поэтому администрирование учетных записей пользователей и зашита ресурсов в рабочей группе децентрализовано.

Недостатки модели рабочей группы:

• пользователю приходится иметь учетные записи на всех компьютерах, к которым ему необходим доступ;

• любые изменения учетных записей пользователей, например смена пароля или добав ление новой учетной записи, необходимо выполнить на каждом компьютере рабочей группы. Если вы забудете добавить новую учетную запись пользователя на один из компьютеров рабочей группы, новый пользователь не сможет войти в систему этого компьютера и получить доступ к его ресурсам;

• предоставление доступа к файлам и устройствам выполняется конкретными компью терами только для пользователей, имеющих учетные записи на каждом конкретном компьютере.

Занятие 1 Краткий обзор возможностей Windows Преимущества рабочей группы Windows 2000:

рабочей группе не нужен компьютер с Windows 2000 Server для хранения централизо ванной информации безопасности;

рабочая группа обеспечивает простоту в проектировании и сопровождении: по сравне нию с доменом не требуется трудоемкое планирование и администрирование;

рабочая группа удобна для небольшого количества расположенных рядом компьюте ров. (Использование рабочей группы непрактично в сетях, состоящих более чем из компьютеров.) Windows 2000 Windows Professional Professional Windows Server Рис. 1-1. Пример рабочей группы Windows Примечание В рабочей группе компьютер с Windows 2000 Server, не являющийся членом домена Windows 2000, называется изолированным сервером (stand-alone server).

Модель домена Домен (domain) Windows 2000 — логическая группа сетевых компьютеров, предоставляющих доступ к центральной БД каталогов (рис. 1-2). База данных каталога (directory database) содержит учетные записи пользователей и параметры безопасности для домена. БД ката лога, или просто каталог, является частью БД службы каталогов. Служба Active Directory пришла на смену контейнерам с «доменной» информацией из предыдущих версий Win dows. Active Directory также содержит информацию о службах и других ресурсах, органи зациях и т. п.

Глава 10 Знакомство с Microsoft Windows Контроллер домена Компьютер клиента Компьютер клиента Рядовой сервер Рис. 1-2. Пример домена Windows В домене каталоги находятся на компьютерах, сконфигурированных как контроллеры ломена, где задаются параметры безопасности взаимодействия пользователей с доменом.

Зашита и администрирование централизованы. В роли контроллеров домена могут высту пать только компьютеры с Windows 2000 Server.

Домен не связан с определенным местоположением или конкретным типом конфигу рации сети. Компьютеры в домене могут находиться рядом в небольшой локальной сети или в разных странах, связываясь друг с другом при помощи различных физических со единений: модемов, линий ISDN (Integrated Services Digital Network), оптоволоконных линий, линий Ethernet, соединений типа «эстафетное кольцо», соединений с ретрансля цией кадров, спутниковых и арендованных каналов. Дополнительная информация о до менах — в главе 2.

Преимущества использования домена Windows 2000 таковы:

• домен позволяет выполнять централизованное управление, так как вся информация о пользователях хранится централизованно. Измененный пользователем пароль автома тически реплицируется по всему домену;

• домен обеспечивает единый процесс входа в систему пользователей для получения доступа к разрешенным сетевым ресурсам, например к файлам, принтерам и приложе ниям. Другими словами, пользователь входит в систему на одном компьютере и обра щается к ресурсам другого компьютера сети в течение времени действия соответству ющих разрешений;

• домен обеспечивает масштабируемость, что позволяет администратору создавать очень большие сети.

Типичный домен Windows 2000 включает следующие компьютеры.

• Контроллеры домена Windows 2000 Server. Каждый контроллер домена хранит и ведет ко пию каталога. В домене необходимо однократно создавать учетную запись пользователя, которую Windows 2000 записывает в каталог. Когда пользователь входит в домен, кон троллер проверяет по каталогу его имя, пароль и полномочия. При наличии нескольких контроллеров домена они.периодически реплицируют информацию своих каталогов.

• Рядовые серверы Windows 2000 Server. Рядовой сервер (member server) — сервер не скон фигурированный как контроллер домена. Он не хранит информацию каталога и не выполняет проверку подлинности пользователей домена;

обеспечивает доступ к ре сурсам, таким, как папки или принтеры.

Занятие 1 Краткий обзор возможностей Windows 2000 Клиентские компьютеры с Windows 2000 Professional. Это компьютеры клиентов с запу • шенным окружением пользовательского рабочего стола, позволяющие получать дос туп к ресурсам домена.

Резюме Windows 2000 является многоцелевой ОС со встроенной поддержкой клиент-серверных и одноранговых сетей. Семейство Windows 2000 состоит из четырех продуктов: Windows Professional, Windows 2000 Server, Windows 2000 Advanced Server и Windows 2000 Datacenter Server. Windows 2000 Professional оптимизирован для самостоятельного использования в качестве настольной ОС, на сетевом компьютере в составе рабочей группы одноранговой сети или рабочей станции домена Windows 2000 Server. Windows 2000 Server оптимизиро ван для использования в качестве файлового сервера, сервера печати и приложений, а также платформы Web-сервера.

Рабочая группа Windows 2000 представляет собой логическую группу сетевых компьюте ров, предоставляющих доступ к ресурсам, например к файлам и принтерам. Рабочая груп па не имеет контроллера домена Windows 2000 Server. Защита и администрирование в Windows 2000 Professional и на рядовых серверах Windows 2000 Server в рабочих группах децентрализованы, так как каждый компьютер ведет свой список учетных записей пользо вателей и параметров безопасности своих ресурсов.

Домен Windows 2000 представляет собой логическую группировку сетевых компьюте ров, предоставляющих доступ к центральной БД каталогов, содержащих информацию о безопасности и учетные записи пользователей. В домене защита и администрирование централизованы, так как каталог находится на контроллере домена, который управляет всеми параметрами безопасности взаимодействий пользователей с доменом.

Глава Знакомство с: Microwatt Windows Краткий обзор архитектуры Windows Windows 2000 является модульной ОС, представляющей собой коллекцию небольших, са модостаточных программных компонентов, совместно работающих для выполнения задач ОС. Каждый компонент выполняет набор функций, представляющих собой интерфейс к остальной части системы.

Изучив материал этого занятия, вы сможете:

^ определять слои и их компоненты в архитектуре ОС Windows 2000.

Продолжительность занятия — около 15 минут.

Уровни, подсистемы и диспетчеры Windows Архитектура Windows, 2000 поддерживает два основных режима;

пользовательский (не привилегированный) и режим ядра (привилегированный) (рис.1-3). На этом занятии вы познакомитесь с архитектурой Windows 2000 и ее компонентами.

Драйверы графических уетройенв Уровень абстрагирования от оборуд°ваи(ЛЯ (HAL) Оборудование Рис. 1-3. Архитектура Windows Пользовательский режим Windows 2000 имеет два различных типа компонентов пользовательского режима: полсис темы среды и встроенные подсистемы.

Занятие 2 Краткий обзор архитектуры Windows 2000 -| Подсистемы среды Одна из возможностей Windows 2000 — способность выполнять приложения, написанные для разных ОС. Это достигается использованием подсистем среды (environment subsystems), которые эмулируют разные ОС, предоставляя необходимые приложениям API-интерфей сы. Подсистемы среды принимают от приложений вызовы API, преобразуют их в формат, понятный Windows 2000, и затем передают для обработки исполняемым службам.

В табл. 1-2 перечислены подсистемы среды из состава Windows 2000.

Табл.1-2. Подсистемы среды в Windows Подсистема среды Назначение 32-разрядная подсистема Отвечает как за управление приложений Win32, так и за предос Windows 2000 на основе тавление среды для приложений Wml6 и MS-DOS. Управляет Windows (Win32) всеми операциями ввода-вывода на экран между подсистемами, Это гарантирует непротиворечивый пользовательский интерфейс независимо от выполняемого пользователем приложения Подсистема OS/2 Предоставляет набор API для 16-разрядных приложений тексте вого режима OS/ Интерфейс переносимых Предоставляет API для POSIX-приложений ОС для подсистем UNIX (POSIX) На подсистемы среды и приложения, работающие в них, налагаются некоторые огра ничения:

• они не имеют прямого доступа к оборудованию;

• они не имеют прямого доступа к драйверам устройств;

• они не имеют доступа к некоторым операциям API буфера обмена;

• они не имеют доступа к некоторым функциям расширений Microsoft CD-ROM (MSCDEX);

• они не имеют доступа к API переключения задач;

• они ограничены в назначении адресного пространства;

• они вынуждены использовать пространство жесткого диска под виртуальную память при нехватке памяти для ОС;

• они работают на более низком приоритетном уровне, чем процессы режима ядра;

• поскольку они работают на более низком приоритетном уровне, чем процессы режима ядра, им менее доступны ресурсы центрального процессора (central processing unii, CPU) чем процессы, которые работают в режиме ядра.

Встроенные подсистемы Множество разных встроенных подсистем выполняет важные функции ОС. В правой ча сти рис.1-3 показана универсальная подсистема. Эта встроенная подсистема можгт быть любой, примеры некоторых встроенных подсистем перечислены в табл. 1-3.

•j 4 Знакомство с Microwatt Windows 2000 Глава Табл. 1-3. Встроенные подсистемы Windows Встроенная подсистема Назначение Подсистема безопасности Контролирует права и разрешения, связанные с учетными запи сями пользователей. Отслеживает, каким системным ресурсам назначен аудит. Принимает запросы на вход пользователей в систему. Инициирует аутентификацию входа в систему Служба рабочей станции Сетевая встроенная подсистема, предоставляющая API для доступа к сетевой системе переадресации. Дает пользователям Windows 2000 доступ к сети Служба сервера Сетевая встроенная подсистема, предоставляющая API для до ступа к сетевому серверу. Предоставляет пользователям Windows. 2000 доступ к сетевым ресурсам Режим ядра Уровень режима ядра имеет доступ к системным данным и оборудованию. Режим ядра предоставляет прямой доступ к памяти, программы этого режима выполняются в защи щенной области памяти. Он состоит из четырех компонентов: исполняемой части ОС Windows 2000, драйверов устройств, микроядра и уровня абстрагирования от оборудования (Hardware Abstraction Layer, HAL).

Исполняемая часть ОС Windows Выполняет большую часть операций ввода-вывода и управления объектами, включая обеспечение безопасности. Он не занимается вводом с клавиатуры и выводом на экран — за это отвечает подсистема Microsoft Win32. Исполняемая часть ОС Windows 2000 содер жит компоненты режима ядра Windows 2000. Каждый из них предоставляет два отличаю щихся набора служб и подпрограмм:

• системные службы — доступны как подсистемам пользовательского режима, так и дру гим исполняемым компонентам ОС;

• встроенные подпрограммы — доступны только другим компонентам в пределах ОС.

Исполняемая часть ОС состоит из компонентов режима ядра (табл. 1-4).

Табл. 1-4. Компоненты исполняемой части Windows Компонент Назначение Диспетчер Управляет процессами ввода-вывода устройств. Компоненты, входящие ввода-вывода в диспетчер ввода-вывода, включают файловые системы (file systems), принимающие запросы ввода-вывода и транслирующие их в вызовы конкретных устройств. Сетевая переадресация и сервер сети реализо ваны в виде драйверов файловой системы. Драйверы устройств (device drivers) — низкоуровневые драйверы, напрямую взаимодействующие с оборудованием, они принимают ввод и записывают вывод.

Диспетчер кэша (cache manager) ускоряет операции ввода-вывода, сохраняя считанные данные в системной памяти. Диспетчер кэша также ускоряет запись путем кэширования запросов на запись и выполнения записи на диск в фоновом режиме Монитор Устанавливает политики безопасности на локальном компьютере безопасности Занятие 2 Краткий обзор архитектуры Windows Табл. 1-4. Компоненты исполняемой части Windows 2000 (продолжение) Компонент Назначение Диспетчер Система управления памятью, которая устанавливает виртуальную память и управляет ею, а также предоставляет защищенное адресное виртуальной памяти (Virtual Memory пространство для каждого процесса. VMM также контролирует Manager, VMM) подкачку по запросу (demand paging) и позволяет использовать диско вое пространство для перемещения программ и данных из физичес кой памяти и в нее Управляет связями между клиентами и серверами, например между Диспетчер межпро подсистемой среды (которая может работать в роли клиента запра цессного взаимо шивающего информацию) и компонентом службы ОС (работает в ро действия (Interpro ли сервера, который отвечает на запрос информации). Диспетчер IPC cess Communication состоит из двух компонентов: средства локального вызова процедур Manager, I PC) (local procedure call, LPC), обслуживающего соединения, когда клиен ты и серверы существуют на одном и том же компьютере, и средства удаленного вызова процедур (remote procedure call, RPC), обслужинаю щего соединения, когда клиенты и серверы находятся на разных компьютерах Диспетчер процессов Создает и завершает процессы и потоки. Процесс (process) — это программа или ее часть. Поток (thread) — определенный набор команд в программе Обеспечивает центральное управление процессами РпР. Взаимо Plug and Play действует с драйверами устройств, управляя добавлением и запуском устройств Управляет API-интерфейсами питания, координирует события, Диспетчер питания связанные с питанием, и генерирует запросы управления питанием Два данных компонента, выполненные в виде одного драйвера Диспетчер окон и ин устройства с именем Win32k.sys, управляют системой дисплея.

терфейс графических Диспетчер окон управляет окнами и выводом на экран, а также устройств (Graphical отвечает за ввод информации с клавиатуры и мыши и передает Device Interface, GDI) введенные сообщения приложениям. GDI содержит функции, требуемые для рисования и обработки графики Создает, управляет и уничтожает объекты, занимающие ресурсы ОС, Диспетчер объектов например процессы, потоки и структуры данных Драйверы устройств Транслируют вызовы драйверов в команды управления конкретными устройствами Микроядро Управляет только микропроцессором. Ядро координирует все функции ввода-вывода и синхронизирует действия исполнимых служб.

Уровень абстрагирования от оборудования Скрывает детали аппаратного интерфейса, делая Windows 2000 переносимой на различ ные аппаратные архитектуры. Содержит аппаратно-зависимый код, ответственный ш ин терфейсы ввода-вывода, контроллеры прерываний и механизм многопроцессорного взаи ^g Знакомство с Microwoft Windows 2000 Глава модействия. Позволяет Windows 2000 работать в системах на базе Intel и Alpha одновре менно, то есть разработчикам не пришлось создавать две отдельные версии для каждой платформы.

Резюме В этом занятии вы познакомились с архитектурой Windows 2000, которая состоит из двух основных режимов: пользовательского и режима ядра. В режиме ядра имеется два типа компонентов: подсистемы среды, позволяющие Windows 2000 выполнять приложения на писанные для разных ОС, и встроенная подсистема, выполняющая жизненно важные функции ОС. На уровне режима ядра выполняется прямой доступ к системным данным и оборудованию, прямой доступ к памяти и программам в ее защищенной области.

Занятие 3 Краткое знакомство со службой каталогов Windows 2000 -j Занятие 3. Краткое знакомство со службой каталогов Windows Служба каталогов используется для уникальной идентификации пользователей и ресурсов в сети. Для работы службы каталогов Windows 2000 применяет Active Directory. Вижно понимать основную цель Active Directory и ее ключевые возможности. Знание взаимодей ствия компонентов архитектуры Active Directory позволит вам разобраться в том, как Active Directory сохраняет и восстанавливает данные. На занятии вы познакомитесь с функция ми, возможностями и архитектурой Active Directory.

Изучив материал этого занятия, вы сможете:

S объяснить работу службы каталога;

•/ объяснить назначение Active Directory;

S перечислить возможности и уровни архитектуры Active Directory.

Продолжительность занятия — около 20 минут.

Что такое служба каталогов Каталог (Directory) — сохраненный набор информации об объектах, связанных друг с другом некоторым способом. Например, в телефонном справочнике хранятся имена объектов и соответствующие им телефонные номера. Телефонный справочник также мо жет содержать адрес или другую информацию об объекте.

В распределенных компьютерных системах или глобальных сетях типа Интернета су ществует множество объектов, например файловые серверы, принтеры, службы факсов, приложения, базы данных и пользователи, которые находят и используют эти объекты.

Необходимо, чтобы администраторы имели возможность управлять этими объектами.

Служба каталогов централизованно хранит всю информацию, требуемую для использова ния и управления этими объектами, упрошая процесс поиска и управления данными ре сурсами.

В данном курсе термины каталог и служба каталогов относятся к каталогам, располо женным в глобальных и частных сетях. Каталог предоставляет средство хранения инфор мации, относящейся к сетевым ресурсам, облегчая их поиск и управление ими. Служба каталогов — сетевая служба, которая идентифицирует все ресурсы сети и делает их дос тупными пользователям. Служба каталогов отличается от каталога тем, что хотя они оба являются источниками информации, служба делает ее доступной для пользователей.

Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет иден тификацией и отношениями между распределенными ресурсами и позволяет им работать вместе. Ввиду поддержки службой каталогов этих фундаментальных функций ОС, они должны быть тесно связаны с механизмами управления и безопасности ОС для обеспече ния целостности и защищенности сети. Они также необходимы для определения и под держания инфраструктуры сети организации, администрирования системы и контроля активности пользователей информационной службы компании.

Назначение службы каталогов Служба каталога предоставляет средства организации и упрощения доступа к ресурсам сетевой компьютерной системы. Пользователи и администраторы могут не знать тачное название необходимых им объектов. Им достаточно знать один или несколько атрибутов Глава Знакомство <;

Mierowoft Windows рассматриваемых объектов. Пользователи обращаются к службе каталогов для запроса списка объектов, отвечающих известным атрибутам (рис. 1-4.). Например, в ответ на зап рос «Найти все цветные принтеры на третьем этаже* каталог выдаст сведения обо всех объектах цветных принтеров с атрибутами «цветной» и «третий этаж» (или у которых атри бут местоположения равен «третий этаж»). Служба каталогов позволяет искать объект по одному или нескольким его атрибутам.

Пользователь Server Каталог Сервер Имя: Served ОС: Windows Тип: Файловый сервер Prlnterl Расположение: 1 этаж Имя: Server ОС: Novell NetWare 4. Тип;

Файловый сервер Расположение: 2 этаж Server2 Имя: Printer!

Тип: HP4SJ Цветной: Нет Двусторонний: Да Расположение: 3 этаж Рнс. 1-4. Работа службы каталогов Служба каталогов выполняет и другие функции:

• назначение безопасности для зашиты объектов БД от внешних вторжений или внут ренних пользователей, не имеющих доступа к данным объектам;

• распространение каталога на множество компьютеров сети;

• дублирование каталога для предоставления доступа большему количеству пользовате лей и отказоустойчивости;

• деление каталога на несколько хранилищ, расположенных на разных компьютерах сети.

Это увеличивает доступное для каталога пространство в целом и позволяет хранить больше объектов.

Служба каталогов является как инструментом администрирования, так и инструмен том пользователя. При расширении сети приходится управлять все большим количеством объектов ресурсов, и наличие службы каталога становится насущной необходимостью.

Возможности службы каталогов Windows Active Directory — это служба каталогов в Windows 2000 Server. Active Directory содержит каталог, в котором хранится информация о сетевых ресурсах и службы, предоставляющие доступ к этой информации. Ресурсы, хранящиеся в каталоге, такие, как данные, сведения о принтерах, серверах, базах данных, группах, службах, компьютерах, политике безопас ности, — называются объектами (object).

Active Directory встроена в Windows 2000 Server и обеспечивает:

• упрощенное администрирование;

• масштабируемость;

• поддержку открытых стандартов;

• поддержку стандартных форматов имен.

Краткое знакомство со службой каталогов Windows 2000 -| Занятие Упрощенное администрирование Active Directory иерархически упорядочивает ресурсы в домене (domain) — логическом объединении серверов и других сетевых ресурсов в единое имя домена. Домен является основной единицей репликации и безопасности в сети Windows 2000.

Каждый домен включает один или несколько контроллеров домена. Контроллер доме на (domain controller) — компьютер под управлением Windows 2000 Server, обеспечиваю щий доступ пользователей в сеть: вход в систему, проверку подлинности и доступ к ката логу и общим ресурсам. Для простоты администрирования все контроллеры домена рав нозначны. Изменения, сделанные на любом из них, реплицируются на остальные кон троллеры в домене.

Active Directory дополнительно упрощает администрирование, предоставляя единую точку администрирования всех объектов сети. Благодаря этому администратор может, войдя в систему на одном компьютере, управлять объектами, расположенными на любом компьютере в сети.

Масштабируемость В Active Directory каталог помешает информацию в разделы, позволяющие хранить мно жество объектов. В результате каталог расширяется с ростом организации. Это позволяет переходить от небольших установок с несколькими сотнями объектов к большим с мил лионами объектов.

Примечание Вы можете распределить информацию каталога по нескольким компьюте рам в сети.

Поддержка открытых стандартов Active Directory соответствует концепции пространства имен Интернета в части службы каталогов Windows 2000. Это позволяет унифицировать и управлять множеством про странств имен, существующих в настоящее время в разнородном программном и аппарат ном окружении корпоративных сетей. В качестве системы именования Active Directory использует DNS и способен обмениваться информацией с любым приложением или ката логом, использующим LDAP или протокол передачи гипертекста (HTTP).

Внимание! Active Directory совместно использует информацию с другими службами ката лога, поддерживающими LDAP версий 2 и 3, например службой каталогов Novell (Novell Directory Services, NDS).

DNS Поскольку Active Directory для доменного именования и службы поиска использует DNS, имена доменов Windows 2000 также являются именами DNS. Windows 2000 Server приме няет динамическую DNS (DDNS), позволяющую клиентам с динамически назначенными адресами напрямую регистрироваться на сервере с работающей службой DNS и динами чески обновлять таблицу DNS. В однородной среде DDNS устраняет потребность в дру гих службах именования Интернета, например в службе имен Интернета для Windows (Windows Internet Name Service, WINS).

Знакомство с Microwoft Windows 2000 Гяава Внимание! Для правильной работы Active Directory и связанного с ней клиентского про граммного обеспечения необходимо установить и настроить службу DNS.

Поддержка LDAP и HTTP Active Directory отвечает стандартам Интернета и напрямую поддерживает LDAP и HTTP.

LDAP — версия протокола доступа к каталогу Х.500, разработан в качестве упрошенной альтернативы протокола доступа к каталогам (Directory Access Protocol, DAP). Active Directory поддерживает обе версии LDAP: 2 и 3. HTTP является стандартным протоколом для отображения страниц во всемирной сети Интернет. Пользователи могут просматри вать каждый объект в Active Directory, как HTML-страницу в обозревателе Web, пользуясь при запросах и просмотре объектов Active Directory всеми преимуществами знакомой мо дели обозревателя Web.

Примечание Для обмена информацией между каталогами и приложениями Active Direc tory использует LDAP. Для получения дополнительной информации о LDAP выполните поиск по ключевому слову «RFC 1777», используя обозреватель Web.

Поддержка стандартных форматов имен Active Directory поддерживает несколько общих форматов имен, следовательно, для обра щения к Active Directory пользователи могут выбрать наиболее привычный формат.

В табл. 1-5 описаны некоторые стандартные форматы, поддерживаемые Active Directory.

Табл. 1-5. Стандартные форматы имен, поддерживаемые Active Directory Формат Описание RFC 822 Применяется в форме пользователь@домен, знаком большинству пользователей по адресам электронной почты Интернета HTTP универсаль- Применяется в форме Шр://домен/путь_к_странице, ный указатель на знаком пользователям обозревателей Vvfeb ресурсы (URL) Универсальные Применяется в форме \\fljicrosoft.com\xI\BUDGET.XLS в сетях на основе правила Windows 2000 Server для обращения к общим томам, принтерам именования и файлам Active Directory поддерживает проект RFC LDAP URL и использует атрибуты, как показано в следующих примерах:

LDAP://someserver.m icrosoft.com/ CN=FirstnameLastname, OU=sys, OU=product, OU=division, DC=devel где CN — имя;

OU — имя организаиионного подразделения;

DC — имя компонента домена;

LDAP URL — сервер, на котором расположены службы Active Directory и атрибутное имя объекта Занятие 3 Краткое знакомство со службой каталогов Windows Место Active Directory в архитектуре Windows На предыдущем занятии вы узнали, что для предоставления приложениям доступа к служ бам в Windows 2000 применяется сочетание модулей и режимов. Два режима доступа к процессору — режим ядра и пользовательский режим — отделяют от процессов верхнего уровня низкоуровневые, платформозависимые процессы, защищая приложения от разли чий платформ и предотвращая прямой доступ приложений к системному коду и данным.

Каждое приложение, в том числе и служебные, выполняется в отдельном модуле (module) в пользовательском режиме, из которого оно запрашивает системные службы посредством API, получающего ограниченный доступ к системным данным. Процесс приложения на чинается в пользовательском режиме и переносится в режим ядра, где происходит его фак тическая обработка в защищенной среде. Затем процесс переносится обратно в пользова тельский режим. Active Directory работает в безопасной подсистеме в пользовательском режиме. Эталонный монитор безопасности (security reference monitor), работающий в ре жиме ядра, является основным средством установления правил безопасности одноимен ной подсистемы. На рис. 1-5 показано расположение Active Directory в Windows 2000.

Тесная взаимосвязь службы каталога и подсистемы безопасности является основой для работы распределенных систем Windows 2000. Доступ к любому объекту каталога требует сначала удостоверения личности (проверки подлинности), а затем и проверки разреше ний доступа (авторизации), которая выполняется компонентами подсистемы безопаснос ти вместе с эталонным монитором безопасности.

[Приложения Приложения Приложения I POSK OS/2 Win32 Подсистемы j. i среды i Л [ i.Встроенные подсистемы Диспетчер Эталон- Диспет- Дис VMM ный Диспетчер петчер Диспетчер Диспетчер ввода- чер монитор окон вывода процессов йцд IPC безопас- and Play Драйверы Файловые ности графических системы устройств Диспетчер кэша Исполняемое ядро Микроядро Драйверы устройств Уровень абстрагирования от оборудования (HAL) Оборудование Рис. 1-5. Место Active Directory в архитектуре Windows Последний управляет доступом применительно к объектам Active Directory.

Архитектура Active Directory Функциональную структуру Active Directory можно представить в виде многоуровнеиой ар хитектуры, в которой уровни являются процессами, предоставляющими клиентским при ложениям доступ к службе каталога. Active Directory состоит из трех уровней служб и не Глава Знакомство с Microwoft Windows скольких интерфейсов и протоколов, совместно работающих для предоставления доступа к службе каталога. Три уровня служб охватывают различные типы информации, необхо димой для поиска записей в БД каталога. Выше уровней служб в этой архитектуре нахо дятся протоколы и API-интерфейсы, осуществляющие связь между клиентами и службой каталога.

На рис. 1-6 изображены уровни службы Active Directory и соответствующие им интер фейсы и протоколы. Стрелки показывают, как различные клиенты получают при помощи интерфейсов доступ к Active Directory.

Сетевые API Windows NT Репликация резервного Протоколы контроллера LDAP/A DSI репликации домена Клиенты Windows NT 4 Outlook Клиенты Outlook {RPC, SMTP IP) REPL LDAP SAM Системный агент каталога Уровень базы данных Расширяемое ядро хранения NTFS Рис. 1-6. Архитектура Active Directory Ниже перечислены основные компоненты служб.

Pages:     || 2 | 3 | 4 | 5 |   ...   | 11 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.