Локальные сети, управляемые ОС Windows NT
В последние годы все большую популярность приобретают локальные сети на базе операционной системы Windows. В серверной версии ОС — Windows Server 2000 используются названные выше и многие дополнительные возможности увеличения производительности сети.
Рассмотрим технологию построения сетей Windows. Операционная система Windows NT (Windows 2000) имеет две сетевые модификации:
1. Windows NT Workstation;
2. Windows NT Server.
Windows NT Workstation (Windows 2000 Professional) предназначена для установки на рабочих станциях с возможностью организации одноранговых сетей. Есть возможность создать и сеть типа «клиент-сервер», но с весьма ограниченной функциональностью.
Рассмотрим конкретный пример. Если в распоряжении предприятия имеется хотя бы два компьютера с установленными на них операционными системами Windows 98, Windows NT Workstation или Windows 2000, то эти компьютеры могут быть объединены в одноранговую локальную сеть с помощью стандартных программных средств, встроенных в перечисленные операционные системы. Естественно, на компьютерах должно быть установлено все необходимое сетевое оборудование, в первую очередь сетевые адаптеры.
Все компьютеры в одноранговой сети равноправны и могут выступать как в роли пользователей (клиентов) ресурсов, так и в роли их поставщиков (серверов), предоставляя другим узлам сети право доступа ко всем или к некоторым из имеющихся в их распоряжении локальных ресурсов (файлам, принтерам, программам).
В качестве иллюстрации построения простейшей одноранговой сети представим следующую конфигурацию из трех персональных компьютеров, соединенных при помощи сетевых адаптеров и кабеля (рис.5). На компьютерах PC 1 и PC 2 установлена операционная система Windows 98, а на компьютере PC 3 — Windows NT Workstation.
В одноранговой сети каждый компьютер может выполнять свою конкретную функцию, и его конфигурация определяется решаемыми на нем задачами. Например, PC 1 и PC 2 могут быть маломощными компьютерами и работать в качестве клиентов. Однако некоторые ресурсы одного компьютера могут быть предоставлены в общее пользование, например принтер, подключенный к PC 2.
Совершенно другую роль может играть PC 3 с ОС Windows NT Workstation. Этот компьютер — самый мощный в рассматриваемой конфигурации сети, поэтому он может использоваться для хранения информации, которая необходима пользователям постоянно, то есть выступать в качестве невыделенного сервера файлов. Параллельно компьютер PC 3 может выполнять функции высокопроизводительной рабочей станции.
Windows NT Server (Windows Server 2000) позволяет реализовать полноценную двухранговую сеть. Сервер сети при этом может выступать как: сервер приложений, файл-сервер, сервер печати, сервер связи, сервер Интернета, сервер удаленного доступа и т. д.
Проектировалась ОС Windows NT для реализации модели «клиент-сервер» и ориентировалась на мощную машину-сервер, выделяющую по запросу клиента нужные ему вычислительные ресурсы — вычисления выполняются на сервере, а результаты расчетов передаются клиенту. В первую очередь система ориентируется на выполнение таких приложений, которые свойственны: серверу баз данных MS SQL Server, серверу информационного обмена MS Exchange, серверу управления системой MS System Management Server, серверу связи с мэйнфреймами SNA Server, серверу Интернета.
Сети на базе Windows Server 2000 используют доменную модель, в основе которой лежит понятие домена — совокупности компьютеров, характеризующейся наличием общей базы учетных записей пользователей и единой политикой осуществления защиты. Всей структурой централизованно управляет служба каталогов Windows 2000 Active Directory (ОС Microsoft Windows NT основана на службе каталогов Directory Service)1.
Доменный метод организации упрощает централизованное управление сетью и позволяет использовать Windows Server 2000 в качестве сетевой операционной системы предприятия любого масштаба. Доменная служба каталогов основана на однократной регистрации пользователя в сети для доступа ко всем серверам и ресурсам информационной системы независимо от места регистрации.
Для организации доменной структуры в сети и установления в ней определенных отношений и правил используется сервер — главный контроллер домена, на котором хранится база учетных записей пользователей этого домена с уникальными параметрами и их привилегиями. Когда пользователь рабочей станции регистрируется в сети, происходит его идентификация на главном контроллере или на одном из резервных контроллеров домена. Если пароль и имя пользователя совпадают с введенным, то пользователь регистрируется в домене.
Рис.5. Конфигурация одноранговой сети из трех компьютеров
Сети малых размеров могут состоять из одного домена. Однако для средних и больших предприятий сеть, как правило, состоит из нескольких доменов, повторяя, например, организационную структуру предприятия. Механизм взаимодействия доменов основан на установлении доверительных отношений — так называется связь между доменами, позволяющая пользователям одного домена обращаться к ресурсам другого домена.
По умолчанию пользователи одного домена не имеют прав доступа к ресурсам другого домена. Однако имеется механизм предоставления пользователям различных доменов возможности совместно использовать ресурсы путем установления доверительных отношений между доменами (рис.6).
Доверительные отношения могут быть как двусторонними, так и односторонними. При двусторонних отношениях пользователь любого из двух доменов имеет доступ к ресурсам серверов, находящихся в соседнем домене. При односторонних доверительных отношениях пользователь, зарегистрированный в доверяемом домене, получает доступ к серверам домена-доверителя, но не наоборот. На рис. 6 домены А и Б полностью доверяют друг другу. Пользователь домена А может осуществлять доступ к ресурсам серверов домена Б. Аналогично пользователь домена Б вправе использовать ресурсы любого из серверов домена А. В то же время пользователи домена В имеют доступ к ресурсам домена Б, но не наоборот.
Существуют разнообразные способы объединения доменов с помощью установления доверительных отношений, однако следует выделить две основные модели: модель с мастер-доменами и модель полностью доверительных отношений.
Рис. 6. Доверительные связи доменов в сети
В модели с мастер-доменами один или несколько доменов объявляются главными, и в каждом из них хранятся учетные записи подмножества пользователей сети. Остальные домены являются вторичными, так называемыми ресурсными доменами. Все они доверяют каждому из главных доменов или только некоторым из них. В каждом из вторичных доменов есть свой контроллер домена и может быть несколько серверов. Такая модель более актуальна для сети, количество пользователей в которой составляет несколько десятков тысяч.
В модели с полностью доверительными отношениями все домены равноправны, и из каждого из них может производиться управление сетью. Другими словами, не существует главного домена, и каждый из доменов способен содержать как учетные записи, так и разделяемые ресурсы. Данная модель также может объединять большое число пользователей, но чрезвычайно сложна в управлении, поскольку в ней необходимо устанавливать большое число доверительных отношений.
В качестве стандартного протокола клиентского доступа к Active Directory система Windows 2000 использует протокол Lightweight Directory Access Protocol (LDAP). Для клиентского доступа к Active Directory подходит LDAP версий 2 и 3. Active Directory задействует систему именования доменов Domain Name System (DNS). Другие службы каталогов могут также взаимодействовать с Active Directory с помощью протокола LDAP.
Каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль и ограничения на его деятельность в сети.
Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на домен. В случае локальной учетной записи пользователь получает доступ только к ресурсам своего компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, воспользовавшись своей глобальной учетной записью. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, регистрируясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.
Создавать, модифицировать учетные записи и управлять ими администратор сети может с помощью программы User Manager for Domains. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят пользователь, и рабочие станции, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и другие.
Пароль пользователя играет важную роль, так как именно путем подбора пароля часто происходит незаконный доступ к сетевым ресурсам.
Возможности пользователя в системе определяются набором его прав. Права пользователей бывают стандартными и расширенными. К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п. Расширенные права специфичны для операционной системы и приложений.
Механизмы защиты Windows NT позволяют гибко ограничивать или предоставлять права пользователям на доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним доступ, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор вправе вступить во владение файлом или каталогом без согласия владельца.