сборник лр ЭОСИ. Методические указания для выполнения лабораторных работ по профессиональному модулю

ным каталогом (global catalog): он предоставляет информацию об объектах, расположен- ных в других доменах леса.
Групповая политика
Организационные подразделения (ОП) также используются для объединения оди- наково настроенных объектов — компьютеров и пользователей. Групповая политика
Active Directory позволяет централизованно управлять практически любыми конфигура- ционными изменениями системы. С ее помощью можно указать настройки безопасности, развернуть ПО и настроить поведение ОС и приложений, даже не прикасаясь к компьюте- рам пользователей. Вы просто реализуете свою конфигурацию в рамках одного объекта групповой политики (ОГП).
ОГП состоят из сотен возможных конфигурационных параметров: от прав и приви- легий пользователя до ПО, которое разрешено запускать на системе. ОГП подключается к контейнеру внутри Active Directory (обычно к ОП, но может и к доменам или даже сай- там), и после этого его настройки распространяются на всех пользователей и компьютеры внутри этого контейнера.
Любой сервер может поддерживать одну или более следующих ролей.
-
Контроллер домена (Domain controller) — сервер, на котором работают службы каталогов и располагается хранилище данных каталога. Контроллеры домена также отве- чают за вход в сеть и поиск в каталоге. При выборе этой роли на сервере будут установле- ны DNS и Active Directory. Почтовый сервер (POPS, SMTP) [Mail server (РОРЗ, SMTP)] - сервер, на котором работают основные почтовые службы РОРЗ (Post Office Protocol 3) и
SMTP (Simple Mail Transfer Pro tocol), благодаря чему почтовые РОРЗ-клиенты домена мо- гут отправлять и получать электронную почту. Выбрав эту роль, вы определяете домен по умолчанию для обмена почтой и создаете почтовые ящики. Эти службы удобны в не- больших компаниях или при удаленном соединении, когда электронная почта необходи- ма, но вполне может обойтись без функциональности Microsoft Exchange Server.
-
Сервер печати (Print, server) — сервер, организующий доступ к сетевым принте- рам и управляющий очередями печати и драйверами принтеров. Выбор этой роли позво- лит вам быстро настроить параметры принтеров и драйверов.
-
Сервер потоков мультимедиа (Streaming media server) — сервер, предоставляю- щий мультимедийные потоки другим системам сети или Интернета. Выбор этой роли приводит к установке служб Windows Media. Эта роль поддерживается только в версиях
Standard Edition и Enterprise Edition.
-
Сервер приложений (Application server) — сервер, на котором выполняются
Web- службы XML, Web-приложения и распределенные приложения. При назначении сер- веру этой роли на нем автоматически устанавливаются IIS, COM+ и Microsoft .NET
Framework. При желании вы можете добавить к ним серверные расширения Microsoft
FrontPage, а также включить или выключить ASP.NET.
-
Сервер терминалов (Terminal Server) — сервер, выполняющий задачи для кли- ентских компьютеров, которые работают в режиме терминальной службы. Выбор этой роли приводит к установке Terminal Server. Для удаленного управления сервером уста- навливать Terminal Server не нужно. Необходимый для этого удаленный рабочий стол
(Remote Desktop) устанавливается автоматически вместе с ОС.
-
Сервер удаленного доступа или VPN-сервер (Remote access/VPN server) — сер- вер, осуществляющий маршрутизацию сетевого трафика и управляющий телефонными соединениями и соединениями через виртуальные частные сети (virtual private network,
VPN). Выбрав эту роль, вы запустите Мастер настройки сервера маршрутизации и уда- ленного доступа (Routing and Remote Access Server Setup Wizard). С помощью параметров маршрутизации и удаленного доступа вы можете разрешить только исходящие подключе- ния, входящие и исходящие подключения или полностью запретить доступ извне.
-
Узел кластера серверов (Server cluster node) — сервер, действующий в составе группы серверов, объединенных в кластер. Выбор этой роли приводит к запуску Мастера

создания кластера (New Server Cluster Wizard), позволяющего создать новую кластерную группу, или Мастера добавления узлов (Add Nodes Wizard), который поможет добавить сервер к существующему кластеру. Эта роль поддерживается только в версиях Enterprise
Edition и Datacenter Edition.
-
Файл-сервер (File server) — сервер, предоставляющий доступ к файлам и управ- ляющий им. Выбор этой роли позволит вам быстро настроить параметры квотирования и индексирования. Вы также можете установить Web-приложен и для администрирования файлов. В этом случае будет установлен IIS и включены страницы ASP (Active Server
Pages).
- DHCP- сервер (DHCP Server) — сервер, на котором запущен DHCP (Dynamic
Hose Configuration Protocol), позволяющий автоматизировать назначение IP-адресов кли- ентам сети. При выборе этой роли на сервере будет установлен DHCP и запущен Мастер создания области (New Scope Wizard).
- DNS- сервер (DNS Server) — сервер, на котором запущена служба DNS, разре- шающая имена компьютеров в IP-адреса и наоборот. При выборе этой роли на сервере бу- дет установлена DNS и запущен Мастер настройки DNS-сервера (Configure DNS Server
Wizard).
- WINS- сервер (WINS server) — сервер, на котором запущена служба WINS
(Windows Internet Name Service), разрешающая имена NetBIOS в IP-адреса и наоборот.
Выбор этой роли приводит к установкеWINS.
Управление выбранными ролями сервера осуществляется с помощью программы
Управление данным сервером (Manage Your Server), в окне которой сосредоточены все основные инструменты для управления Windows Server 2003. В частности, здесь перечис- лены текущие роли сервера (рис.1). Чтобы открыть это окно, воспользуйтесь меню Адми- нистрирование (Administrative Tools).
Рисунок 1. Страница Управление данным сервером
Таблица 1. Краткий справочник основных средств администрирования
Windows Server 2003
Средство администрирования
Назначение
Active Directory — домены и доверие
(Active Directory Domains and Trusts)
Управление доверительными отно- шениями между доменами
Active Directory — пользователи и ком- пьютеры (Active Directory Users and Computers)
Управление пользователями, груп- пами, компьютерами и другими объектами
Active Directory

Active Directory — сайты и службы (Active Directory Sites and Service)
Создание сайтов для управления ре- пликацией Active Directory
DHCP
Конфигурация и управление служ- бой DHCP
DNS
Управление службой системы до- менных имен (DNS)
WINS
Управление службой WINS, преоб- разующей имена NetBIOS в IP-адреса
Администратор кластеров (Cluster
Administrator)
Управление службой Cluster
Администратор серверных расширений
(Server Extensions Administrator)
Управление серверными расширени- ями, например FrontPage
Внешнее хранилище (Remote Storage)
Управление службой Remote Storage
Диспетчер служб Интернета (Internet In- formation Services Manager)
Управление Web-, FTP- и SMTP- серверами
Диспетчер служб терминалов (Terminal
Services Manager)
Управление и МОЕНПЧЛШНГ пользователей, сеансов и процессов
Terminal Service
Источники данных (ODBC) [Data Sources
(ODBC)]
Добавление, удаление и настройка источников данных и драйверов ODBC
(Open Database Connectivity)
Контроль допуска QpS (QoS Admission
Control)
Управление службой Quality of Ser- vice(QpS) Admissions Control для регули- ровки пропускной способности сети
Лицензирование (Licensing)
Управление лицензированием досту- па клиентов к серверным продуктам
Маршрутизация и удаленный доступ к сети (Routing and Remote Access)
Конфигурация и управление служ- бой Routing and Remote Access, контроли- рующей интерфейсы маршрутизации, ди- намическую IP-маршрутизацию и удален- ный доступ
Настройка сервера (Configure Your Serv- er)
Добавление, удаление и конфигура- ция служб Windows для сети
Настройка служб терминалов (Terminal
Services Configuration)
Управление настройкой протокола
Terminal Service и параметрами сервера
Пакет администрирования диспетчера подключений (Connection Manager
Administration Kit)
Конфигурирование и настройка дис- петчера подключений
Политика безопасности домена (Domain
Security Policy)
Просмотр и редактирование полити- ки безопасности в домене
Политика безопасности контроллера до- мена (Domain Controller Security Policy)
Просмотр и редактирование полити- ки безопасности для организационного полразделения контроллера домена
Производительность (Performance)
Отображение графиков производи- тельности системы и настройка журналов и сигналов оповещения
Просмотр событий (Event Viewer)
Управление событиями и журналами
Распределенная файловая система DIFS
(Distributed File System)
Создание и управление распределен- ными файловыми системами, объединяю- щими общие папки из разных компьютеров
Сетевой монитор (Microsoft Network
Мониторинг сетевого трафика и

Monitor) устранение неисправностей в сети
Службы (Services)
Управление запуском и настройка служб Windows
Службы компонентов (Component
Services)
Конфигурация и управление прило- жениями СОМ-, управление событиями и службами
Удаленные рабочие столы (Remote
Desktop)
Настройка удаленных подключений и просмотр сеансов удаленных подключе- ний
Управление компьютером(Computer
Management)
Запуск и остановка служб, управле- ние дисками и доступ к другим средствами управления системой
Центр сертификации (Certification
Authority)
Управление сертификационными службами
Регистрация пользователя в системе
Защиту ресурсов реализуют несколько процессов на разных уровнях операционной системы. Первый из них — механизм регистрации — обеспечивает защиту доступа к до- мену или компьютеру.
Чтобы получить доступ к ресурсам, пользователям необходимо сначала зареги- стрироваться — идентифицировать себя в домене или на компьютере.
При регистрации пользователя, в зависимости от выбранного способа регистрации в системе, появляется диалоговое окно «Операционная система Windows» с текстом
«Нажмите Ctrl+Alt+Delete».
Рисунок 2. Диалоговое окно "Операционная система Windows"
Рисунок 3. Диалоговое окно "Вход в Windows"
Параметры диалогового окна «Вход в Windows» описаны в таблице 2.

Таблица 2. Параметры диалогового окна "Вход в Windows"
Параметры
Описание
User Name
(Имя)
Введите уникальную учетную запись пользователя, присвоенную
Вам администратором. Эта учетная запись должна присутствовать в ба- зе данных каталогов на контроллерах домена, чтобы обеспечивать реги- страцию в домене, и в базе данных каталогов локального компьютера — для регистрации на локальном компьютере
Password
(Пароль)
Введите пароль, присвоенный указанному Вами имени пользова- теля, учитывая регистр символов. Чтобы пароль не стал достоянием по- сторонних, при его вводе символы на экране заменяются звездочками
(*)
Domain
(Домен)
Чтобы зарегистрироваться в домене, укажите его имя. При по- пытке регистрации пользователя в домене база данных контроллера до- мена проверяется на наличие соответствующего элемента. Регистрация по указанной учетной записи разрешается, если введенное имя пользо- вателя, пароль и имя домена соответствуют данным в базе данных кон- троллера домена. Чтобы зарегистрироваться на локальном компьютере, укажите его имя. Локальный компьютер проверит наличие информации о Вас в локальной базе данных каталогов. Регистрация по указанной учетной записи разрешается, если введенное имя пользователя, пароль и имя компьютера соответствуют данным в локальной базе данных ката- логов. Пользователь может зарегистрироваться на локальном компьюте- ре, только указав имя пользователя, имеющееся в локальной базе дан- ных каталогов. Серверы и компьютеры под управлением Windows 2003 содержат встроенные локальные учетные запи- си Administrator (Администратор) и Guest (Гость).
Проверка глобальной учетной записи
Когда пользователь щелкнет кнопку
ОК, компьютер передает имя домена, имя пользователя и пароль контроллеру домена. Последний сначала проверяет имя домена, а затем ищет имя пользователя и пароль в базе данных домена. Далее события могут разво- рачиваться по одному из трех сценариев.
1.
Если имя домена указано верно, а имя пользователя и пароль соответствуют имеющейся учетной записи, сервер уведомляет компьютер, что регистрация разрешен.
2.
Если пользователь указал имя домена, не совпадающее с именем домена кон- троллера, но контроллер распознает его как имя доверяемого домена, то он передает ин- формацию контроллеру этого домена. Последний выполняет аутентификацию и возвра- щает соответствующую информацию
3.
Если имя домена не совпадает с именем контроллера домена и тот не распо- знает указанный домен, то контроллер запрещает доступ к домену.
Проверка локальной учетной записи
Когда пользователь щелкает кнопку
ОК, компьютер сначала проверяет указанное имя компьютера, а затем ищет имя пользователя и пароль в локальной базе данных ката- логов. Если имена совпадают, регистрация разрешается и пользователь получает доступ к локальным ресурсам. Если же нет, пользователь не получает доступ к компьютеру.
Функции администратора Windows 2003
Администрирование Windows NT подразумевает выполнение как специальных операций после установки системы, так и рутинных каждодневных действий.
Функции администратора можно разделить на пять категорий.
Таблица 3. Функции администратора

Категория
Характерные задачи
Администрирова- ние учетных записей пользователей и групп
Планирование, создание и ведение учетных записей пользователей и групп для обеспечения каждому пользователю возможности регистрации в сети и доступа к необходимым ре- сурсам
Администрирова- ние защиты
Планирование и реализация стратегии безопасности для защиты данных и общих сетевых ресурсов, в том числе папок, файлов и принтеров
Администрирова- ние принтеров
Настройка локальных и сетевых принтеров для обеспе- чения пользователям доступа к ресурсам печати. Устранение обычных проблем печати
Мониторинг собы- тий и ресурсов сети
Планирование и реализация стратегии аудита событий в сети с целью обнаружения нарушений защиты. Управление ре- сурсами и контроль их использования
Резервное копиро- вание и восстановление данных
Планирование и выполнение регулярных операций ре- зервного копирования для обеспечения быстрого восстановле- ния важных данных
Средства администратора Windows 2003
Средства администрирования входят в состав Windows 2003 и могут применяться или для администрирования любого компьютера домена, или для администрирования ло- кального компьютера.
Рисунок 4. Средства администрирования

Таблица 4. Средства администрирования
Средство
Назначение
Администратор кластеров
Администратор кластеров - это основное средство администрирования и конфигурирования объектов класте- ра серверов, таких как узлы, группы и другие ресурсы. Это позволяет вам управлять кластером серверов без необхо- димости физического присутствия в одном из узлов.
Диспетчер балан- сировки сетевой нагрузки
Обеспечивает балансирование IP-трафика между несколькими серверами. Не обеспечивает переход по отка- зу (failover) для приложений и данных.
Диспетчер служб терминалов
Позволяет управлять конфигурацией сервера служб терминалов
Конфигурация платформы Microsoft.NET
Framework 1.1
Позволяет настраивать среду .NET Framework
Лицензирование
Утилита, позволяющая управлять клиентскими ли- цензиями в масштабах предприятия
Лицензирование сервера терминалов
Утилита, позволяющая управлять клиентскими ли- цензиями для служб терминалов (Terminal Services), рабо- тающих в режиме выполнения приложений
Маршрутизация и удалённый доступ
Служит для управления маршрутизацией и удален- ным доступом
Мастер настройки сервера
Мастер, позволяющий администратору настроить сервер в соответствии с выбранными ролями (файловый сервер, сервер служб Интернета и т. д.)
Производитель- ность
Каждый компьютер с Windows Server 2003 содер- жит компоненты, мониторинг которых можно выполнять с помощью оснастки Performance (Производительность).
Это могут быть аппаратные или программные компонен- ты, которые выполняют задачи или поддерживают рабо- чую нагрузку. Многие из этих компонентов имеют показа- тели, отражающие определенные аспекты их функциони- рования, которые можно точно измерить как скорость вы- полнения задач.
Просмотр событий
Служит для просмотра и управления системным журналом, журналами безопасности и приложений
Распределенная файловая системаDFS
Создает и управляет распределенными файловыми системами, объединяющими совместно используемые папки на различных компьютерах
Службы
Запускает, останавливает и конфигурирует службы
(сервисы) Windows
Службы компо-
Конфигурирует и управляет службами компонентов

нентов
СОМ+
Удалённые рабо- чие столы
Позволяет управлять многочисленными сессиями терминального доступа к удаленным компьютерам
Управление дан- ным сервером
Мастер, представляющий собой информационный центр для управления различными ролями сервера, обра- щения к службам поддержки и вспомогательным инстру- ментам, а также позволяющий быстро находить информа- цию об обновлениях, способах решения проблем и т. п.
Управление ком- пьютером
Предоставляет функции администрирования систе- мы. Содержит в своем составе ряд изолированных осна- сток и оснасток расширения
Центр сертифика- ции
Позволяет работать с центрами сертификации, раз- вернутыми в корпоративной сети
Active Directory - домены и доверие
Служит для управления доменами и доверительны- ми отношениями
Active Directory —
сайты и службы
Определяет топологию и расписание репликации
Active Directory. Обеспечивает изменение служб корпора- тивного уровня
Политика безопас- ности домена
Служит для управления параметрами безопасности
(представленными в узле