ИВЦ СГЭУ Установка и конфигурирование Windows 2003 Server.

ИВЦ СГЭУ Установка и конфигурирование Windows 2003 Server. Часть 1 Ганичкин Олег Вениаминович Заместитель начальника Информационно-вычислительного центра Самарского государственного экономического университета. Приволжский центр по переподготовке военнослужащих

ИВЦ СГЭУ Обзор семейства Microsoft Windows Server 2003 Windows Server 2003. Standard Edition обладает богатым набором функций и конфигурационных параметров, поддерживает до двух центральных процессоров и до 4 Гбайт оперативной памяти. Windows Server 2003. Enterprise Edition расширяет возможности Windows Server 2003, Standard Edition, обеспечивая поддержку служб кластеров, служб метакаталогов. В ней также поддерживаются 64-разрядные процессоры, оперативная память с возможностью «горячей» замены. Windows Server 2003, Datacenter Edition самый надежный Windows-сервер. Эта версия с большими объемами оперативной памяти — до 64 Гбайт на процессорах х86 и до 128 Гбайт на процессорах Itanium. Windows Server 2003, Web Edition, предназначена для запуска служб Web при развертывании Web-узлов и Web-приложений.

ИВЦ СГЭУ Standard Edition Internet Information Services IIS 6.0, Средства зашиты IIS Средства каталога Служба Microsoft Active Directory Управление модернизацией Auto Update Брандмауэр для Интернета Удаленный доступ Поддержка серверных аппаратных средств Верификация приложений Файловые службы Отслеживание системных событий Мастер Configure Your Server, Мастер Manage Your Server Удаленное администрирование сервера Remote Desktop Удаленная поддержка Remote Assistance Теневое копирование Terminal Server –сервер терминалов Сервер Web-приложений Windows Media Services – управление мультимедиа Поддержка беспроводных ЛВС

ИВЦ СГЭУ Windows Server 2003, Enterprise Edition Служба кластеров 64-битная поддержка Многопроцессорная поддержка Поддержка Metadirectory Services «Горячее» добавление памяти Поддержка NUMA Terminal Services Session Directory

ИВЦ СГЭУ Datacenter Edition Расширенное пространство физической памяти Поддержка Intel Hyper-Threading Windows Sockets: непосредственный доступ к SAN

ИВЦ СГЭУ Web Edition Средства создания и развертывания Web-приложений, Средства создания и развертывания Web-страниц Средства создания и развертывания Web-сервисов Последние улучшения в IIS 6.0, Microsoft ASP.NET и Microsoft .NET Framework.

ИВЦ СГЭУ Аппаратные требования.

ИВЦ СГЭУ Роли серверов Контроллер домена (Domain controller) Почтовый сервер (РОРЗ, SMTP) Mail server (POP3, SMTP) Сервер печати (Print Server) Сервер потоков мультимедиа (Streaming media server) Сервер приложений (Application server) Сервер терминалов (Terminal Server) Сервер удаленного доступа или VPN-сервер (Remote access/VPN server) Узел кластера серверов (Server cluster node) Файл-сервер (File server) DHCP-сервер (DHCP Server) DNS-сервер (DNS Server) WINS-сервер (WINSserver)

ИВЦ СГЭУ Основные графические средства администрирования Active Directory Domains and Trusts - управление доверительными отношениями между доменами. Active Directory Users and Computers — Active Directory пользователи и компьютеры - Управление группами, компьютерами и другими объектами Active Directory. DHCP- Конфигурация и управление службой DHCP DNS - Управление службой системы доменных имен (DNS) WINS - Управление службой WINS, преобразующей имена NetBIOS в IP-адреса Администратор кластеров - Управление службой Cluster (Cluster Administrator) Администратор серверных расширений (Server Extensions Administrator) - Управление серверными расширениями, например FrontPage Внешнее хранилище; (Remote Storage) - Управление службой Remote Storage Диспетчер служб Интернета (Internet Information Services Manager) - Управление Web-, FTP- и SMTP-cepверами. Диспетчер служб терминалов (Terminal Services Manager) - Управление и мониторинг пользователей, сеансов и процессов Terminal Service

ИВЦ СГЭУ Основные графические средства администрирования Контроль допуска QpS (QoS Admission Control) - Управление службой Quality of Service (QpS) Admissions Control для регулировки пропускной способности сети Лицензирование (Licensing) - Управление лицензированием доступа клиентов к серверным продуктам Маршрутизация и удаленный доступ к сети (Routing and Remote Access) - Конфигурация и управление службой Routing and Remote Access, контролирующей интерфейсы маршрутизации, динамическую IP-маршрутизацию и удаленный доступ Настройка сервера (Configure Your Server)- Добавление, удаление и конфигурация служб Windows для сети. Настройка служб терминала (Terminal Services Configuration) -Управление настройкой протокола Terminal Service и параметрами сервеpa. Пакет администрирования диспетчера подключений (Connection Manager Administration Kit) - Конфигурирование и настройка диспетчера подключений Политика безопасности домена (Domain Security Policy) - Просмотр и редактирование политики безопасности в домене. Политика безопасности контроллера домена (Domain Controller Security Policy) - Просмотр и редактирование политики безопасности.

ИВЦ СГЭУ Основные графические средства администрирования Производительность (Performance) Отображение графиков производительности системы и настройка журналов и сигналов оповещения Просмотр событий (Event Viewer) - Управление событиями и журналами Распределенная файловая система DFS (Distributed File System)- Создание и управление распределенными файловыми системами объединяющими общие папки из разных компьютеров. Сетевой монитор (Microsoft NeLwork Monitor) - Мониторинг сетевого трафика и устранение неисправностей в сети Службы (Services) - Управление запуском и настройка служб Windows Службы компонентов (Component Services) - Конфигурация и управление приложениями СОМ, управление событиями и службами. Удаленные рабочие столы (Remote Desktop) - Настройка удаленных подключений и просмотр сеансов удаленных подключений Управление компьютером (Computer Management) - Запуск и остановка служб, управление дисками и другими средствами управления системой. Центр сертификации (Certification Authority) - Управление сертификационными службами

ИВЦ СГЭУ Основные команды. ARP - отображает и управляет программно-аппаратной привязкой адресов, используемой Windows Server 2003 для отправки данных по сети TCP/IP. DNSCMD - отображает и управляет конфигурацией службы DNS. FTP - запускает встроенный FTP-клиент. HOSTNAME - oто6paжает имя локального компьютера. IPCONFIG - отображает свойства TCP/IP для сетевых адаптеров, установленных в системе. Также используется для обновления и освобождения выданных службой DHCP адресов. NBTSTAT - отображает статистику и текущее соединение протокола NetBIOS поверх TCP/IP. NET - отображает список подкоманд команды NET. NETSH - отображает и управляет сетевой конфигурацией локального и удаленных компьютеров. NETSTAT - oтoбpaжaeт текущие TCP/I Р-соединения и статис­тику протокола. NSLOOKUP - проверяет статус узла или IP-адреса при использовании с DNS. РАТН - проверяет сетевые пути и отображает информацию о потерянных пакетах. PING - тестирует соединение с удаленным узлом. ROUTE - управляет таблицами маршрутизации в системе. TRACERT - во время тестирования определяет сетевой путь к удаленному узлу.

ИВЦ СГЭУ Системное управление и роль администратора сети. Архивация и восстановление данных Изменение принадлежности к группам Проверка журналов событий Создание административных сценариев Создание сценариев входа в систему Создание учетных записей пользователя и группы Развертывание и обновление программного обеспечения Установка DHCP-сервера Установка контроллера домена Управление приложениями на локальном компьютере Удаленное управление приложениями Управление репликацией каталогов Управление дисками и томами

ИВЦ СГЭУ Системное управление и роль администратора сети. Управление файлами и папками Управление сетевыми принтерами Удаленное управление серверами Управление службами Наблюдение за сетевым трафиком Наблюдение за событиями, связанными с безопасностью Наблюдение за быстродействием сервера Сброс паролей пользователя Защита системы Планирование выполнения заданий Установка DNS Установка TCP/IP Установка безопасности пользователя и группы

ИВЦ СГЭУ Администрирование Windows 2003 Server. Ч 2. Учетные записи. Ганичкин Олег Вениаминович Заместитель начальника Информационно-вычислительного центра Самарского государственного экономического университета. ИВЦ СГЭУ

ИВЦ СГЭУ Протоколы аутентификации KerberosVS — главный Интернет-протокол аутентификации пользователей и систем (основной механизм аутентификации в Windows Server 2003); NT LAN Manager (NTLM)— основной протокол аутентификации в Windows NT, служит для аутентификации компьютеров в домене Windows NT; SSL/TLS (Secure Socket Layer/TransportLayer Security) — основной механизм аутентификации, применяемый при входе на защищенные Web-серверы; .NET Passport Authentication — механизм аутентификации Microsoft Internet Information Services (IIS), позволяющий использовать информацию Active Directory для аутентифика­ции пользователей Интернета, внутренних и внешних сетей

ИВЦ СГЭУ Модель аутентификации Windows Server 2003 1. Пользователь входит в домен, вводя имя и пароль или вставляя смарт-карту в считывающее устройство. 2. Система аутентифицирует доступ пользователя посредством процесса интерактивного входа. Для локальной учетной записи реквизиты аутентифицируются локально, и пользователю предоставляется доступ к локальному компьютеру. Для доменной учетной записи реквизиты аутентифицируются в Active Directory, и пользователь получает доступ к сетевым ресурсам. 3. Теперь пользователь может аутентифицироваться на любом компьютере в домене посредством процесса сетевой аутентификации. Для доменных учетных записей сетевая аутентификация выполняется автоматически (пароль вводится лишь раз). Пользователи с локальными учетными записями должны предоставлять имя и пароль при каждом обращении к сетевому ресурсу.

ИВЦ СГЭУ Записи управления доступом (access control entries, АСЕ) АСЕ по умолчанию создаются с разрешенным наследованием; наследование и происходит сразу после создания АСЕ; во всех АСЕ содержится информация, указывающая, было ли разрешение унаследовано или явно назначено соответствую­щему объекту. Отдельные записи в дескрипторе безопасности называют записями управления доступом (access control entries, АСЕ). Объек­ты Active Directory способны наследовать АСЕ от родительских объектов, т. е. разрешения родительского объекта могут применяться к дочернему.

ИВЦ СГЭУ Учетные записи пользователей Доменные учетные записи (domain user accounts) определены в Active Directory. Посредством системы однократного ввода пароля такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Локальные учетные записи (local user accounts) определены на локальном компьютере, имеют доступ только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке Локальные пользователи и группы (Local Users and Groups). Примечание Локальные учетные записи пользователей и групп хранятся только на рядовых серверах и рабочих станциях. На первом контроллере домена они перемещаются в Active Directory и преобразуются в доменные учетные записи.

ИВЦ СГЭУ Имена для входа в систему имя пользователя — текстовое имя учетной записи; домен или рабочая группа, в которых находится учетная запись. [email protected]

ИВЦ СГЭУ Типы групп локальные группы (local groups) определяются и используют­ся только на локальном компьютере, создаются в оснастке Локальные пользователи и группы (Local Users and Groups); группы безопасности (security groups) располагают дескрипторами защиты и определяются в доменах посредством консо­ли Active Directory — пользователи и компьютеры (Active Directory Users and Computers); группы распространения (distribution groups) используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах посредством кон­соли Active Directory — пользователи и компьютеры (Active Directory Users and Computers).

ИВЦ СГЭУ Область действия группы Локальные доменные группы предоставляют разрешения в одном домене. В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домена, в котором они определены. Встроенные локальные группы обладают особыми разрешениями в локальном домене. Для простоты их часто также называют локальными доменными группами, но в отличие от обычных групп встроенные локальные группы нельзя создать или удалить — можно лишь изменить их состав. Глобальные группы используются для назначения разрешений на доступ к объектам в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены. Универсальные группы управляют разрешениями во всем дереве или лесе; в них входят учетные записи и группы из любого домена в дереве или лесе домена. Универсальные группы доступны только в Active Directory в основном режиме Windows 2000 или в режиме Windows Server 2003.

ИВЦ СГЭУ Влияние области действия группы на ее характеристики

ИВЦ СГЭУ Использование различных типов групп Локальные доменные группы обладают наименьшей сферой влияния и хорошо подходят для управления доступом к та­ким ресурсам, как принтеры и общие папки. Глобальные группы оптимальны для управления учетными записями пользователей и компьютеров в отдельном домене. Предоставляйте разрешения доступа к ресурсу, включая гло­бальную группу в состав локальной доменной группы. Универсальные группы обладают самой широкой сферой влияния. Используйте их для централизации групп, определенных в нескольких доменах. Обычно для этого в универсаль­ную группу добавляется глобальная. Тогда при изменении состава глобальных групп изменения не будут реплицироваться во все ГК, поскольку формально состав универсальных групп не меняется.

ИВЦ СГЭУ Стандартные учетные записи пользователей и группы встроенные (built-in) учетные записи пользователей и групп устанавливаются вместе с ОС, приложениями и службами; предопределенные (predefined) учетные записи пользователей и групп устанавливаются вместе с ОС; неявные (implicit) — специальные группы, создаваемые неяв­но при обращении к сетевым ресурсам; их также называют специальными объектами (special identities).

ИВЦ СГЭУ Встроенные учетные записи Локальная система (Local System) — учетная псевдозапись для выполнения системных процессов и обработки задач системного уровня, доступная только локальной системе. Эта запись обладаем правом Вход в качестве службы (Log on as a service). Local Service - учетная псевдозапись для запуска служб, которым необходимы дополнительные привилегии или права входа на локальной системе. Службы, которые работают под этой учетной записью, по умолчанию обладают правами и привилегиями на вход в качестве службы, на изменение системного времени и на создание журналов безопасности. Network Service—учетная псевдозапись для служб, которым требуются дополнительные привилегии или права входа на локальной системе и в сети. Службы, которые работают под этой учетной записью, обладают правами на вход в качестве службы, изменение системного времени и создание журналов безопасности.

ИВЦ СГЭУ Предопределенные учетные записи пользователей Учетная запись Администратор (Administrator). Эта предопределенная учетная запись обладает полным досту­пом к файлам, папкам, службам и другим ресурсам; ее нельзя от­ключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор (Administrator) обычно имеет доступ только к локаль­ной системе. Файлы и папки можно временно закрыть от адми­нистратора, но он имеет право в любой момент вернуть себе кон­троль над любыми ресурсами, сменив разрешения доступа Учетная запись ASPNET используется в .NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена (Domain Users) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене. Учетная запись Гость (Guest). Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Учетная запись Support применяется встроенной службой Справка и поддержка (Help and Support). Она является членом групп HelpServicesGroup и Пользователи домена (Domain Users) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.

ИВЦ СГЭУ Возможности учетных записей Привилегия (privilege) позволяет выполнять определенную административную задачу, например отключать систему. Привилегии можно назначать как пользователям, так и группам. Права вход в систему (logon rights) определяют возможность входа в систему, например локально. Права на вход разрешается назначить и пользователям, и группам. Встроенные возможности (builtin capabilities) предназначены для групп. Они предопределены и неизменны, но их допустимо делегировать пользователям с разрешением управлять объектами, ОП или другими контейнерами. Например, воз­можность создавать и удалять учетные записи пользовате­лей, а также управлять ими дается администраторам и опе­раторам учета. Разрешения доступа (access permissions) определяют, какие действия можно выполнять с сетевыми ресурсами, например создавать файл в папке. Можно назначать разрешения доступа пользователям, компьютерам и группам

ИВЦ СГЭУ Локальный, перемещаемый и обязательный профили Каждый компьютер, на который входит пользователь, оснащен своей копией профиля пользователя. Этот профиль называется локальным. Профиль хранится на жестком диске; поэтому пользователь, работающий на нескольких рабочих станциях, должен обладать профилем на каждом из них. Профиль, доступный другим компьютерам, — перемещаемый профиль (roaming profile). К такому профилю пользователь вправе обращаться с любого компьютера домена. Перемещаемые профили хранятся только на сервере Windows Server 2003. При входе пользователя с перемещаемым профилем в систему создается локальная копия профиля на компьютере. Профили, управляемые администраторами, называются обязательными (mandatory). Пользователям с обязательными профилями разрешено производить лишь временные изменения своего окружения, которые не будут сохранены. При следующем входе в систему реализуется первоначальный профиль.

ИВЦ СГЭУ Управление профилями пользователей Назначить путь к профилю в консоли Active Directory — пользователи и компьютеры Active Directory Users and Computers); Копировать и удалять локальный профиль, а также изменять его тип из панели управления с помощью значка Система (System); Задать системные правила, которые не позволят пользователям управлять некоторыми аспектами своего окружения.

ИВЦ СГЭУ Администрирование Windows 2003 Server. Ч 3. Управление файлами и папками. Ганичкин Олег Вениаминович Заместитель начальника Информационно-вычислительного центра Самарского государственного экономического университета. ИВЦ СГЭУ

ИВЦ СГЭУ Файловые структуры Windows Server 2003. FAT. FAT16 широко используется в Microsoft Windows NT 4.0. FAT16 поддерживает 16-битную таблицу размещения файлов, обычно ее называют просто FAT. Эта система оптимальна для томов размером менее 2 Гбайт; FAT32 появилась во втором выпуске Windows 95 (OSR2) и Windows 98. FAT32 поддерживает 32-битную таблицу размещения файлов и кластеры меньшего размера, чем FAT. за счет чего эффективнее используется пространство диска. В Windows Server 2003 FAТ32 поддерживает тома размером до 32 Гбайт.

ИВЦ СГЭУ NTFS NTFS 4.0 используется в Windows NT 4.0. Полностью поддерживает управление локальным и удаленным доступом к файлам и папкам, а также технологии сжатия Windows. Не поддерживает большую часть возможностей файловой системы Windows 2000 и Windows Server 2003. NTFS 5.0 используется в Windows 2000 и Windows Server 2003. Полностью поддерживает такие возможности, как служба каталогов Active Directory, дисковые квоты, сжатие, шифрование и др. Эта система поддерживается полностью в Windows 2000 и Windows Server 2003 и частично — в Windows NT 4.0 SP4 или более поздних вьпусках.

ИВЦ СГЭУ Имена файлов Соглашении Windows Server 2003 об именах применяются и к файлам, к к папкам. Допускается, чтобы имена файлом в Windows Server 2003 содержали и прописные, и строчные буквы, но это влияет только на их отображение. И NTFS, и FAT32 поддерживают длинные имени файлов — до 255 символов. Допустимо в названиях файлов применять почти все символы, включая пробелы.

ИВЦ СГЭУ Общий доступ к данным. Общий доступ к данным позволяет удаленным пользователям обращаться к сетевым ресурсам: файлам, папкам и дискам. Управлять доступом к определенным файлам и вложенным папкам в общей папке можно только на разделах файловой системы NTFS, где для предоставления и запрета доступа к файлам и палкам служат списки доступа (access control lists, ACL). Разрешения безопасности относятся ко всем ресурсам разделов NTFS — файлам, папкам и объектам службы каталогов Active Directory. Обычно только администраторы имеют право управлять объектами Active Directory, но можно делегировать эти полномочия другим пользователям.. Отслеживая доступ к объектам, можно детально контролировать сетевую активность и обеспечивать доступ к ресурсам только авторизованным пользователям.

ИВЦ СГЭУ Типы доступа У всех пользователей доступ только для чтения (All Users have read-only access) — пользователи могут только просматривать файлы. Создавать, изменять или удалять файлы и папки им не разрешается. Администраторы имеют полный доступ, остальные — доступ только для чтения (Administrators have full access; other users have read-only access) — администраторы могут создавать, изменять и удалять файлы и папки, а на томах NTFS также назначать разрешения и становиться владельцами файлов и папок. Другие пользователи могут только просматривать файлы. Создавать, изменять или удалять файлы и папки им не разрешается. Администраторы имеют полный доступ, остальные — доступ для чтения и записи (Administrators have full access; other users have read and write access) администраторам доступны все возможные действия с файлами и папками. Другие пользователи имеют право создавать, изменять или удалять файлы и папки. Использовать особые права доступа к обшей папке (Use custom share and folder permissions) — позволяет настраивать доступ для конкретных пользователей и групп.