Локальные сети, управляемые ОС Windows NT

В последние годы все большую популярность приобретают локальные сетина базе операционной системы Windows. В серверной версии ОС — Windows Server 2000используются названные выше и многие дополнительные возможности увеличения производительности сети.

Рассмотрим технологию построения сетей Windows. Операционная система Windows NT(Windows 2000) имеет две сетевые модификации:

1. Windows NT Workstation;

2. Windows NT Server.

Windows NTWorkstation(Windows 2000 Professional) предназначена для установки на рабочих станциях с возможностью организации одноранговых сетей. Есть возможность создать и сеть типа «клиент-сервер», но с весьма ограниченной функциональностью.

Рассмотрим конкретный пример. Если в распоряжении предприятия имеется хотя бы два компьютера с установленными на них операционными системами Windows 98, Windows NT Workstation или Windows 2000, то эти компьютеры могут быть объединены в одноранговую локальную сеть с помощью стандартных программных средств, встроенных в перечисленные операционные системы. Естественно, на компьютерах должно быть установлено все необходимое сетевое оборудование, в первую очередь сетевые адаптеры.

Все компьютеры в одноранговой сети равноправны и могут выступать как в роли пользователей (клиентов) ресурсов, так и в роли их поставщиков (серверов), предоставляя другим узлам сети право доступа ко всем или к некоторым из имеющихся в их распоряжении локальных ресурсов (файлам, принтерам, программам).

В качестве иллюстрации построения простейшей одноранговой сети представим следующую конфигурацию из трех персональных компьютеров, соединенных при помощи сетевых адаптеров и кабеля (рис. 12.5). На компьютерах PC 1 и PC 2 установлена операционная система Windows 98, а на компьютере PC 3 — Windows NT Workstation.

Рис. 12.5. Конфигурация одноранговой сети из трех компьютеров

В одноранговой сети каждый компьютер может выполнять свою конкретную функцию, и его конфигурация определяется решаемыми на нем задачами. Например, PC 1 и РС 2 могут быть маломощными компьютерами и работать в качестве клиентов. Однако некоторые ресурсы одного компьютера могут быть предоставлены в общее пользование, например, принтер, подключенный к РС 2.

Совершенно другую роль может играть PC 3 с ОС Windows NT Workstation. Этот компьютер — самый мощный в рассматриваемой конфигурации сети, поэтому он может использоваться для хранения информации, которая необходима пользователям постоянно, то есть выступать в качестве невыделенного сервера файлов. Параллельно компьютер PC 3 может выполнять функции высокопроизводительной рабочей станции.

Windows NT Server (Windows Server 2000) позволяет реализовать полноценную двухранговую сеть. Сервер сети при этом может выступать как: сервер приложений, файл-сервер, сервер печати, сервер связи, сервер Интернета, сервер удаленного доступа и т. д.

Проектировалась ОС Windows NT для реализации модели «клиент-сервер» и ориентировалась на мощную машину-сервер, выделяющую по запросу клиента нужные ему вычислительные ресурсы — вычисления выполняются на сервере, а результаты расчетов передаются клиенту. В первую очередь система ориентируется на выполнение таких приложений, которые свойственны: серверу баз данных MS SQL Server, серверу информационного обмена MS Exchange, серверу управления системой MS System Management Server, серверу связи с мэйнфреймами SNA Server, серверу Интернета.

Сети на базе Windows Server 2000 используют доменную модель, в основе которой лежит понятие домена — совокупности компьютеров, характеризующейся наличием общей базы учетных записей пользователей и единой политикой осуществления защиты. Всей структурой централизованно управляет служба каталоговWindows 2000 Active Directory (ОС Microsoft Windows NT основана на службе каталогов Directory Service)[4].

Доменный метод организации упрощает централизованное управление сетью и позволяет использовать Windows Server 2000 в качестве сетевой операционной системы предприятия любого масштаба. Доменная служба каталогов основана на однократной регистрации пользователя в сети для доступа ко всем серверам и ресурсам информационной системы независимо от места регистрации.

Для организации доменной структуры в сети и установления в ней определенных отношений и правил используется сервер — главный контроллердомена, на котором хранится база учетных записей пользователей этого домена с уникальными параметрами и их привилегиями. Когда пользователь рабочей станции регистрируется в сети, происходит его идентификация на главном контроллере или на одном из резервных контроллеров домена. Если пароль и имя пользователя совпадают с введенным, то пользователь регистрируется в домене.

Сети малых размеров могут состоять из одного домена. Однако для средних и больших предприятий сеть, как правило, состоит из нескольких доменов, повторяя, например, организационную структуру предприятия. Механизм взаимодействия доменов основан на установлении доверительных отношений — так называется связь между доменами, позволяющая пользователям одного домена обращаться к ресурсам другого домена.

По умолчанию пользователи одного домена не имеют прав доступа к ресурсам другого домена. Однако имеется механизм предоставления пользователям различных доменов возможности совместно использовать ресурсы путем установления доверительных отношений между доменами (рис. 12.6).

Рис. 12.6. Доверительные связи доменов в сети

Доверительные отношения могут быть как двусторонними, так и односторонними. При двусторонних отношениях пользователь любого из двух доменов имеет доступ к ресурсам серверов, находящихся в соседнем домене. При односторонних доверительных отношениях пользователь, зарегистрированный в доверяемом домене, получает доступ к серверам домена-доверителя, но не наоборот. На рис. 12.6 доменыА и Б полностью доверяют друг другу. Пользователь домена А может осуществлять доступ к ресурсам серверов домена Б. Аналогично пользователь домена Б вправе использовать ресурсы любого из серверов домена А. В то же время пользователи домена В имеют доступ к ресурсам домена Б, но не наоборот.

Существуют разнообразные способы объединения доменов с помощью установления доверительных отношений, однако следует выделить две основные модели: модель с мастер-доменами и модель полностью доверительных отношений.

В модели с мастер-доменами один или несколько доменов объявляются главными, и в каждом из них хранятся учетные записи подмножества пользователей сети. Остальные домены являются вторичными, так называемыми ресурсными доменами. Все они доверяют каждому из главных доменов или только некоторым из них. В каждом из вторичных доменов есть свой контроллердомена и может быть несколько серверов. Такая модель более актуальна для сети, количество пользователей в которой составляет несколько десятков тысяч.

В модели с полностью доверительными отношениями все домены равноправны, и из каждого из них может производиться управление сетью. Другими словами, не существует главного домена, и каждый из доменов способен содержать как учетные записи, так и разделяемые ресурсы. Данная модель также может объединять большое число пользователей, но чрезвычайно сложна в управлении, поскольку в ней необходимо устанавливать большое число доверительных отношений.

В качестве стандартного протокола клиентского доступа к Active Directory система Windows 2000 использует протокол Lightweight Directory Access Protocol (LDAP). Для клиентского доступа к Active Directory подходит LDAP версий 2 и 3. Active Directory задействует систему именования доменов Domain Name System (DNS). Другие службы каталогов могут также взаимодействовать с Active Directory с помощью протокола LDAP.

Каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль и ограничения на его деятельность в сети.

Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на домен. В случае локальной учетной записи пользователь получает доступ только к ресурсам своего компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, воспользовавшись своей глобальной учетной записью. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, регистрируясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.

Создавать, модифицировать учетные записи и управлять ими администратор сети может с помощью программы User Manager for Domains. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят пользователь, и рабочие станции, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и другие.

Пароль пользователя играет важную роль, так как именно путем подбора пароля часто происходит незаконный доступ к сетевым ресурсам.

Возможности пользователя в системе определяются набором его прав. Права пользователей бывают стандартными и расширенными. К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п. Расширенные права специфичны для операционной системы и приложений.

Механизмы защиты Windows NT позволяют гибко ограничивать или предоставлять права пользователям на доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним доступ, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор вправе вступить во владение файлом или каталогом без согласия владельца.

Наряду с базовой ОС Windows Server 2000 существуют еще две «продвинутые» ее модификации: ОС Windows 2000 Advanced Server и ОС Windows 2000 Datacenter Server, имеющие увеличенную масштабируемость и производительность и поддерживающие, соответственно, 8 процессоров и 8 Гбайт оперативной памяти и 32 процессора и 64 Гбайт оперативной памяти.