Текст книги "Самоучитель системного администратора"
Автор книги: Александр Кенин
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 11 (всего у книги 39 страниц) [доступный отрывок для чтения: 14 страниц]
ся авторизованным для ответов и сообщит клиенту внутренний адрес почтовой
системы. Произойдет подключение по локальному адресу системы.
А если, например, клиенту необходимо обратиться к этому же почтовому серве-
ру из Интернета, то он запросит внешний сервер DNS, получит от него адрес
брандмауэра и отправит запрос на него. Брандмауэр, получив запрос, проанали-
зирует его и перешлет на локальный адрес почтовой системы.
Настройка DNS в удаленных офисах
Возможны различные варианты конфигурации разрешения имен для удаленных
офисов. В наиболее часто используемом случае подключения удаленного офиса
к основному через Интернет по VPN-каналу можно реализовать следующую
настройку DNS. DNS-сервер удаленного офиса настроить на пересылку запросов
разрешения имени на DNS-сервер интернет-провайдера, а пересылку запросов на
Структура сети
107
разрешение внутренних имен настроить на DNS-сервер центрального офиса. Такая
конфигурация легко реализуется на DNS-серверах Windows Server 2003/2008.
ПРИМЕЧАНИЕ
Ресурсом, для которого наиболее часто приходится реализовывать подключение
пользователей как изнутри организации, так и снаружи, является почтовая система.
Если в организации установлен MS Exchange Server и клиенты применяют MS Outlook
(полной версии), то для локального подключения к почтовой системе по умолчанию
применяется протокол RPC. Подключение по этому протоколу использует динамиче-
ское открытие портов на сервере, что вызывает серьезные сложности в настройке
брандмауэра при подключении клиента Outlook из глобальной сети. В результате на
практике такое подключение из Интернета фактически не использовалось. Начиная с
Windows Server 2003, для реализации всей функциональности полной версии Outlook
предназначена специальная технология создания RPC Proxy, которая подробно опи-
сана в документах базы данных Microsoft (см. документ "Exchange Server 2003 RPC
over HTTP Deployment Scenarios" или КВ 833401). Обратите внимание, что одновре-
менно следует настроить и клиента Outlook так, чтобы по умолчанию для подключения
к почтовому серверу Exchange использовался вариант RPC over HTTP (статья
"Configuring Outlook 2003 for RPC over HTTP").
Обслуживание и диагностика неисправностей DNS-сервера
Самый простой способ проверить работоспособность сервера – включить опции
мониторинга на соответствующей вкладке консоли управления. Вы должны полу-
чить положительную диагностику при тестировании самого сервера и ответа от
сервера, на который настроена пересылка запросов.
Сервер DNS ведет протокол своих основных событий в специальном журнале —
DNS-сервер (доступен с помощью программы Просмотр событий). В этом журнале
по умолчанию фиксируются только основные события (старт или остановка служ-
бы, серьезные ошибки: невозможность передачи зоны и т. п.). Если необходимо
подробно проанализировать работу сервера, то можно включить крайне детализиро-
ванный протокол – установить опции ведения журнала отладки на соответст-
вующей вкладке консоли управления сервером DNS. Но использовать эту возмож-
ность следует только на период отладки. В журнал по умолчанию заносится вся
информация (подробно – все данные пакетов), что негативно сказывается на про-
изводительности сервера.
Универсальная утилита, которую можно использовать для получения данных с лю-
бого DNS-сервера (и, соответственно, проверки его работоспособности), – это
nslookup, которая вызывается одноименной командой. Она по умолчанию присутст-
вует среди утилит в системах с установленным протоколом TCP/IP.
Утилита nslookup позволяет вручную получить от сервера DNS такую же информа-
цию, какую системы получают в автоматическом режиме при разрешении имен.
Поэтому она часто используется при диагностике систем.
После запуска утилиты осуществляется подключение к серверу DNS, указанному в
настройках сетевого адаптера по умолчанию. Далее в режиме командной строки
можно получить ответ на запрос к любому DNS-серверу.
108
Глава 3
Рассмотрим пример использования программы nslookup (строки, вводимые пользо-
вателем, в начале строки отмечены знаком >).
>nslookup
Default Server: ack
Address: 192.168.0.10
ПРИМЕЧАНИЕ
После запуска программа выдала сообщение, что подключена к DNS-серверу ack
с IP-адресом 192.168.0.10.
>server ns.unets.ru
Default Server: ns.unets.ru
Address: 195.161.15.19
ПРИМЕЧАНИЕ
В окне программы nslookup была введена команда подключения к DNS-серверу
ns.unets.ru. В ответ программа сообщила, что подключилась к этому серверу и сооб-
щила его IP-адрес.
>uzvt.ru
Server: ns.unets.ru
Address: 195.161.15.19
Non-authoritative answer:
uzvt.ru nameserver = ns.isp.ru
uzvt.ru nameserver = ns.e-burg.ru
ns.e-burg.ru internet address = 195.12.66.65
ПРИМЕЧАНИЕ
Пользователь ввел запрос на разрешение имени uzvt.ru. Утилита сообщила, что сер-
вер ns.unets.ru предоставил неавторизованную информацию (Non-authoritative
answer) об этом имени. Из того, что сервер "вернул" данные NS-записей, следует, что
uzvt.ru – это домен Интернета, что его серверы имен – ns.e-burg.ru и ns.isp.ru.
>set type=mx
>uzvt.ru
Server: ns.unets.ru
Address: 195.161.15.19
Non-authoritative answer:
uzvt.ru MX preference = 50, mail exchanger =
relay.utnet.ru
uzvt.ru MX preference = 10, mail exchanger = mail.uzvt.ru
uzvt.ru nameserver = ns.isp.ru
uzvt.ru nameserver = ns.e-burg.ru
mail.uzvt.ru internet address = 195.12.67.218
relay.utnet.ru internet address = 195.209.191.2
ns.e-burg.ru internet address = 195.12.66.65
Структура сети
109
ПРИМЕЧАНИЕ
Следующими командами пользователь определил, что ему нужна информация о поч-
товых серверах (set type=mx), и вновь указал в запросе тот же домен (uzvt.ru). Ути-
лита вернула от сервера DNS ответ, что для домена зарегистрированы два почтовых
сервера с разными приоритетами (mail.uzvt.ru, приоритет 10 и relay.utnet.ru, приори-
тет 50), и сообщила их адреса. Поскольку mail.uzvt.ru имеет меньший приоритет, то
именно по этому адресу и будет направляться электронная почта для домена uzvt.ru.
Для проверки разрешения имен DNS почтового сервера MS Exchange используется
специальная утилита, которую необходимо загрузить с сайта Microsoft – dnsdiag.
Эта программа должна быть запущена на компьютере почтового сервера из папки
информационного сервера (IIS) с помощью команды dnsdiag.
Выходная информация программы полностью соответствует тем данным, которые
получает почтовый сервер в процессе разрешения имен. Эта информация может
помочь в диагностике проблемных ситуаций.
Рассмотрим пример использования утилиты dnsdiag.
ПРИМЕЧАНИЕ
В примере вызова утилиты после параметра v стоит цифра 1. Это номер виртуального
сервера, соответствующего почтовому серверу (может быть иным в зависимости от
конфигурации системы).
c:WINNTsystem32inetsrv>dnsdiag mail.ru -v 1
mail.ru is an external server (not in the Exchange Org).
No external DNS servers on VSI. Using global DNS servers.
Created Async Query:
–
QNAME = mail.ru
Type = MX (0xf)
Flags = UDP default, TCP on truncation (0x0)
Protocol = UDP
DNS Servers: (DNS cache will not be used)
192.168.0.32
192.168.0.10
Connected to DNS 192.168.0.32 over UDP/IP.
Received DNS Response:
–
Error: 0
Description: Success
These records were received:
mail.ru MX 10 mxs.mail.ru
mxs.mail.ru A 194.67.23.20
Processing MX/A records in reply.
Sorting MX records by priority.
110
Глава 3
Target hostnames and IP addresses
–
HostName: "mxs.mail.ru"
194.67.23.20
Утилита сообщила параметры MX-записи для домена mail.ru и необходимую до-
полнительную информацию.
Перенос записей зон
Информация зон DNS домена может быть экспортирована в обычный текстовый
файл. Таким способом можно легко вручную перенести зону DNS с одного сервера
на другой (например, при модернизации платформы или после какого-либо восста-
новления).
Г Л АВ А 4
Информационные системы
предприятия
Построение информационной системы зависит от многих параметров, в том числе,
от численности сотрудников, от распределенности офисов, от решаемых задач
и т. п.
Домашние сети
В малых предприятиях с небольшим числом компьютеров к функционированию
сети не предъявляется особых требований. Обычно нужно получить доступ к фай-
лам на диске другого компьютера, распечатать документ на общем принтере и
выйти в Интернет. Сотрудники хорошо знают друг друга, и не возникает необхо-
димости разделения прав доступа к каким-либо ресурсам и т. п. Такие сети принято
называть домашними.
Создаются такие системы крайне просто. Необходимо только осуществить про-
кладку локальной сети, установить рабочие станции и предоставить ресурсы для
совместного использования. Обычно все эти шаги не вызывают сложностей даже
у не очень подготовленного пользователя.
Для работы в Интернете, конечно, можно использовать и вариант совместного дос-
тупа, предусмотренный в Windows, но лучше приобрести небольшой аппаратный
маршрутизатор. Эти устройства дешевы, обеспечивают подключение компьютеров
локальной сети к Интернету, надежно защищают внутреннюю сеть от внешних
атак, включают в себя сервисы DHCP (Dynamic Host Configuration Protocol – про-
токол динамической конфигурации хоста) и точки беспроводного доступа (Wi-Fi).
Такая сеть имеет некоторые особенности настройки.
Первая заключается в особенностях группы Все. Если ресурсы предоставляются
с рабочей станции Windows для совместного использования всем, то это означает
не всех в житейском понимании этого слова, а для всех учетных записей, которые
зарегистрированы на локальном компьютере. Иными словами, в системе должны
быть созданы пользователи, соответствующие текущим пользователям каждой
рабочей станции сети (идентичные имена и пароли). Если в Windows нет учетной
112
Глава 4
записи с именем и паролем пользователя, пытающегося подключиться с другой
станции (а обычно операция производится от имени того, кто работает на компью-
тере), то в подключении будет отказано. То есть если на одном компьютере работа-
ет пользователь Иванов с паролем пароль, на втором – Петров с паролем пароль2, то
необходимо создать пользователей Иванов и Петров с соответствующими значения-
ми паролей на той станции Windows, ресурсы которой предоставляются для совме-
стного использования. Причем при необходимости смены паролей они должны из-
меняться синхронно. На практике на малых предприятиях в этом случае на всех
компьютерах прописывается один и тот же пользователь с одинаковым ненулевым
паролем.
Более удобный в этом случае вариант для малой сети – это разрешить анонимный
доступ. Делается это включением учетной записи Гость, которая по умолчанию за-
блокирована. Это самый простой способ, но он не позволяет выборочно контроли-
ровать или как-то ограничивать доступ к ресурсам, поскольку все подключения к
компьютеру будут осуществляться от имени одной учетной записи. Если ресурс
будет предоставлен в общее пользование, то он станет доступен любому пользова-
телю.
Вторая проблема – это ограничения, искусственно введенные в рабочие станции
Windows. Прежде всего, это максимальное количество подключений пользователей
по сети – 10. Это ограничение не мешает подключиться одиннадцатому пользова-
телю, но при этом автоматически разорвется одно из имеющихся неактивных
соединений. Кроме того, существуют ограничения по количеству одновременно
открытых по сети файлов. К сожалению, это условие становится критичным при
использовании популярной программы 1С:Предприятие (в комплексной версии или
при работе уже 3—4 сотрудников в обычной конфигурации).
Самый простой и бесплатный способ обойти подобные ограничения Windows —
установить Linux-систему и организовать с нее предоставление ресурсов для
Windows-клиентов (см. главу 2).
Одноранговые сети
Описанная в предыдущем разделе сеть является частным случаем одноранговой
сети, в которой каждый компьютер управляется автономно и отсутствуют какие-
либо централизованно реализуемые правила. Все управление ресурсами компьюте-
ра остается за локальным администратором. Кстати, по такому принципу реализо-
ван и Интернет.
Для объединения компьютеров в одноранговую сеть достаточно только создать
структуру сети (провести кабели или купить беспроводные точки доступа, поста-
вить коммутаторы и т. п.). Компьютер подключается к сети и настраивается на ис-
пользование ресурсов других систем. В свою очередь администратор каждого ком-
пьютера должен определить, какие ресурсы локальной системы предоставляются
в общее пользование и с какими правами, и осуществить необходимые настройки.
Одноранговая сеть удобна, если число компьютеров не превышает одного-двух де-
сятков. С увеличением числа компьютерных систем осуществлять автономное
Информационные системы предприятия
113
управление каждой по единым требованиям предприятия администратору стано-
вится слишком затруднительно. Поэтому при росте локальной сети вводится то или
иное централизованное управление. Конкретный критерий смены варианта управ-
ления сети определяется спецификой функционирования каждой организации.
Для сетей небольших организаций в качестве операционной системы рабочих стан-
ций может быть использована любая программа. Учитывая, что большинство поль-
зователей имеют на домашних компьютерах ту или иную версию Windows и что
обычно на таких предприятиях не существует серьезных производственных задач,
можно рекомендовать построение небольшой локальной сети на основе Windows.
Не стоит приобретать топовые версии операционной системы. Для работы на ма-
лых предприятиях прекрасно подойдет версия Windows 7 Home Edition, стоимость
которой существенно ниже профессионального варианта. Различие между этими
системами касается в основном вопросов безопасности при работе в составе домена
и не существенно в данном случае.
Также не имеет смысла обновлять версии операционных систем: прежде чем тра-
тить средства на такое обновление, следует тщательно оценить, какие преимущест-
ва принесет эта операция и будут ли оправданы затраты.
ПРИМЕЧАНИЕ
Определенным стимулом для западных пользователей является наличие поддержки
операционных систем изготовителем. Однако, учитывая, что российские пользователи
практически не прибегают к такому сервису, данный факт не может быть серьезным
основанием для замены операционных систем новыми версиями.
Сеть с централизованным управлением
В средних и больших организациях для упрощения управления сетью создают сис-
тему централизованного управления. Для этого параметры учетных записей хранят
централизованно (службы каталогов), а на всех системах производят регистрацию
общих групп пользователей.
В случае Windows – централизованное управление реализуется путем создания
доменов Windows.
В доменах Windows каждый компьютер "теряет" свою автономность, он начинает
управляться не только локальным администратором, но и администратором до-
мена.
Управление локальными ресурсами
Для того чтобы централизованно управлять компьютером, на нем необходимо осу-
ществить ряд настроек. Эти операции выполняются при включении компьютера
в домен. Их можно выполнить как для рабочих станций с операционной системой
Windows, так и с Linux.
Обычно систему добавляют в домен с локальной консоли. Данная операция вклю-
чена в меню свойств компьютера на вкладке сетевой идентификации. Она должна
114
Глава 4
выполняться с правами локального администратора. Кроме того, необходимо знать
идентификационные данные (имя пользователя и пароль) учетной записи, которая
имеет право добавлять компьютеры в домен.
ПРИМЕЧАНИЕ
Операцию можно выполнить из командной строки с помощью утилиты netdom
(netdom
join ComputerName / Domain DomainName / UserD DomainUserUPN
/ PasswordD * / User0 ComputerAdminUser / Password0 * / Reboot). Эта программа
позволяет осуществить операцию подключения и удаленно. Однако первоначальная
установка Windows имеет политику безопасности, разрешающую только локальное
выполнение данной операции.
Возможность добавлять рабочие станции в домен
Начиная с ОС Windows 2000, право добавлять рабочие станции в домен предостав-
лено обычным пользователям домена. Но с ограничением – не более десяти стан-
ций. В некоторых случаях желательно разрешить пользователю превысить этот
лимит.
Обычные рекомендации для изменения такого лимита сводятся к тому, чтобы отре-
дактировать права доступа к объекту Подразделение (Organization Unit, OU): пре-
доставить конкретному пользователю право создания объектов типа "компьютер" и
модификации его атрибутов. Операция легко выполняется настройкой соответст-
вующих свойств безопасности для OU в оснастке управления AD (Active Directory,
служба каталогов). Но это не единственная возможность и далеко не лучшая.
Если необходимо изменить лимит, установленный для всех пользователей, то сле-
дует модифицировать атрибуты объекта службы каталогов. Количество рабочих
Рис. 4.1. Изменение квоты на добавление компьютеров в домен
Информационные системы предприятия
115
станций, которое пользователь может добавить в домен, определяется атрибутом
ms-DS-MachineAccountQuota объекта "домен". Для его изменения достаточно вос-
пользоваться программой ADSI Edit и установить желаемое значение (рис. 4.1).
Установка значения этого параметра в 0 предоставляет пользователям право добав-
лять в домен неограниченное количество компьютеров.
Более целесообразно не пускать создание новых систем в домене "на самотек". Ад-
министратору следует создать объекты типа "компьютер" в службе каталогов и
предоставить право подключения данных компьютеров в домен соответствующим
пользователям, для чего следует в момент их создания выбрать опцию Изменить и
определить пользователя, которому будет предоставлено такое право (рис. 4.2).
Рис. 4.2. Создание объекта «компьютер» с делегированием его подключения к домену
Удаление устаревших записей о компьютерах и пользователях
В процессе эксплуатации старые компьютеры заменяют новыми путем простого
добавления в домен новой системы. При этом учетные записи старых компьютеров
продолжают храниться в службе каталогов. Аналогичная ситуация и с учетными
записями пользователей: для новых работников создаются учетные записи, но при
увольнении сотрудников блокировка (с последующим удалением) их учетной запи-
сей не выполняется.
Определить такие устаревшие записи легко: в службе каталогов хранится инфор-
мация о последнем входе соответствующей учетной записи в домен. Нужно просто
выбрать из всего списка те записи, у которых период неактивности больше некото-
рого значения.
Удобно сделать это с помощью утилиты dsquery, команда запуска которой имеет
специальный ключ – inactive. Например, так можно вывести на экран список
пользователей, не работавших в течение последних 4 недель:
dsquery user -inactive 4
116
Глава 4
ПРИМЕЧАНИЕ
При большом числе устаревших объектов для автоматизации процесса вывод данной
команды можно направить по конвейеру на команду удаления из службы каталогов.
Хотя, мне кажется, лучше контролировать такие операции вручную.
Изменения настроек системы при подключении ее к домену
При добавлении станции в состав домена производится ряд изменений настроек
Windows.
Во-первых, назначаются новые ресурсы для совместного использования. Предос-
тавляются для совместного использования корневые каталоги локальных дисков
(под именами C$, D$ и т. д.), каталог установки системы (ADMIN$), создается со-
вместный ресурс IPC$ (используется для установки соединений по именованному
каналу – named pipes), PRINT$ (для управления принтерами) и FAX$ (при нали-
чии факса с совместным доступом). Эти ресурсы носят название административ-
ных, поскольку они предназначены для управления системами.
Данные ресурсы невидимы при просмотре сети (как и все другие ресурсы совмест-
ного использования, имя которых заканчивается знаком $). Если вы попытаетесь
удалить их, то после перезагрузки системы они вновь восстановятся. Настройкой
реестра системы эти ресурсы можно отключить.
Во-вторых, в локальную группу безопасности Администраторы добавляется группа
администраторов домена, а в группу локальных пользователей – группа пользова-
телей домена. Именно потому, что администратор предприятия состоит в группе
локальных администраторов, он и получает право управления этим компьютером.
А пользователи домена могут работать в системе, поскольку они состоят в группе
пользователей домена, входящей в группу пользователей этого компьютера.
ПРИМЕЧАНИЕ
При входе пользователей домена на рабочую станцию система использует данные
учетных записей (имя, пароль, установленные ограничения и т. п.), хранимые на кон-
троллерах домена. Обычно политикой безопасности разрешено кэширование не-
скольких паролей пользователя, что позволяет последнему войти в систему даже при
отсутствии связи с контроллером домена, используя параметры последнего входа.
Если работу начинает локальный пользователь, то данные берутся из локальной базы
учетных записей.
«Кто кого»: локальный или доменный администратор
Централизованное управление порой вызывает у некоторых пользователей нега-
тивную реакцию. При этом опытные пользователи вполне могут наложить ограни-
чения на реализацию тех или иных функций управления. Рассмотрим некоторые
такие возможности.
ПРИМЕЧАНИЕ
Опытный пользователь, работающий на локальном компьютере, всегда может полу-
чить пароль локального администратора, необходимый для выполнения описываемых
операций, использовав, например, способы восстановления пароля администратора.
Информационные системы предприятия
117
Исключение компьютера из домена.
Один из самых эффективных способов блокирования централизованного управ-
ления – это исключение локальной системы из домена. Достаточно отключить
компьютер от сети, в свойствах системы изменить ее сетевую идентифика-
цию – вместо домена указать одноименную рабочую группу. Мастер идентифи-
кации выдаст сообщение о невозможности удаления учетной записи компьютера
в домене, но успешно завершит все локальные операции.
После чего необходимо создать локального пользователя, имя которого и пароль
совпадают с данными пользователя домена. В результате пользователь сохра-
нит практически всю функциональность работы в сети, но исключит любое цен-
трализованное управление.
"Технически" противостоять такому решению весьма сложно. Ограничения, ко-
торые может накладывать администратор домена для исключения такого вари-
анта, должны основываться на анализе членства учетной записи компьютера
в домене. Практически единственный способ – это включение политики ipsec
и настройка ее на разрешение сессий только с членами домена. Однако такой
вариант неприменим в случае наличия в сети рабочих станций с операцион-
ными системами предыдущих версий, которые также не являются членами до-
мена.
Отключение совместного использования административных ресурсов.
Локальный пользователь может отключить создание административных ресур-
сов, если добавит параметр
AutoShareWks : DWORD = 0
в ветвь реестра
HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters
(Для восстановления необходимо удалить этот параметр.)
Следует учитывать, что отключение этих ресурсов может нарушить работу
имеющейся в домене системы управления.
Исключение администратора домена из группы локальных администра–
торов.
Поскольку локальный администратор имеет полные права над своей системой,
то он может ограничить администратора предприятия, исключив его из группы
локальных администраторов. В системах с Windows NT 4.0 против такого реше-
ния практически не было "противоядия". C Windows 2000 и далее появилась
возможность регулировать членство в группах с помощью групповых политик.
Хотя практика контроля состава групп локальных администраторов вызывает
крайнее недовольство рядовыми пользователями, но администратор предпри-
ятия может самостоятельно определить список членов этой группы.
Блокировать такой вариант можно, только приняв меры по недопущению
применения групповой политики для данной системы (блокировав порты на
118
Глава 4
транспортном уровне), но работа полученной системы будет существенно за-
труднена.
Блокировка администратора домена на уровне файловой системы.
С помощью ограничений доступа к файлам локального компьютера можно за-
претить, например, конкретным администраторам домена локальный вход в сис-
тему. Для этого следует установить для учетной записи такого администратора
запрет доступа к файлам nddagnt.exe, userinit.exe, win.com, wowexec.exe. Выпол-
нять операцию следует внимательно, чтобы случайно не запретить доступ, на-
пример, самому себе.
ПРИМЕЧАНИЕ
Данная рекомендация может быть использована также при приеме на работу нового
администратора. Поскольку в системе нет штатных средств ограничения локального
входа администратора, то это, по сути, единственный способ защиты наиболее ответ-
ственных участков от непрофессиональных действий нового, непроверенного работ-
ника.
Конечно, данное ограничение нельзя рассматривать всерьез, поскольку, напри-
мер, групповой политикой (если не заблокировать ее) администратор домена
может восстановить права доступа к значениям по умолчанию.
Блокирование групповой политики.
Поскольку основное управление осуществляется через применение групповых
политик, то целью локального администратора может являться изменение огра-
ничений, налагаемых групповой политикой, или полная ее блокировка.
ПРИМЕЧАНИЕ
В доменах Windows 2003 по умолчанию групповая политика не загружалась на мед-
ленных каналах связи. А поскольку для определения скорости канала использовалась
оценка времени ответа на команду ping, то блокировка таких пакетов была самым
простым методом отключения применения групповой политики. Во-первых, локальный
администратор может переопределить параметры, установленные групповой полити-
кой. Групповая политика для компьютера применяется при старте системы, а для
пользователя – в момент его входа в сеть. Впоследствии система периодически про-
веряет изменения настроек групповой политики и применяет только обнаруженные
изменения в групповой политике. Конечно, можно задать периодическое применение
всех параметров групповой политики. В этом случае параметры, занесенные локаль-
ным администратором, будут вновь переписаны на централизованные. Но админист-
раторы домена редко используют такие настройки, поскольку это существенно увели-
чивает нагрузку на контроллеры домена.
Поэтому если параметр настройки доступен для изменения локальным администрато-
ром, то он будет сохраняться в этом измененном состоянии фактически до следующей
перезагрузки системы. А компьютер можно не перезагружать весьма долго...
Во-вторых, можно заблокировать применение всех политик, сохранив членство ком-
пьютера в домене. Например, поскольку групповые политики копируются в виде фай-
лов с контроллеров домена (из папок SYSVOL), то можно создать такую настройку
ipsec, которая будет блокировать SMB-трафик с контроллеров домена ("закрыть" пор-
ты 137, 139, 445).
Информационные системы предприятия
119
Способы, к которым может прибегнуть локальный администратор для ограничения
возможностей своего доменного коллеги, можно перечислять еще долго. Данная
проблема имеет только одно принципиальное решение – это организационные ме-
ры, когда подобные действия локального администратора повлекут за собой "вос-
питательные меры" руководителей подразделений.
Проблема аудитора
Серьезные проблемы безопасности в Windows создает наличие у администратора
(как локального, так и всей сети в целом) полных и единоличных прав над своей
системой. Поэтому он может выполнить какие-либо операции в системе, а потом
попытаться их скрыть, замаскировав тем или иным способом. Например, переписав
журнал протокола. Это создает потенциальные бреши в системе безопасности. Для
исключения подобных действий в сетевых системах (например, в сетях Novell)
обычно имеется специальный аудитор – пользователь, который не имеет админи-
стративных прав, но может протоколировать любые действия. Причем даже адми-
нистратор не имеет технической возможности изменить состояние файлов прото-
колов. Иными словами, скрыть свои операции.
Возможный вариант решения данной проблемы в рамках систем, построенных ис-
ключительно на Windows, – это сбор данных протоколов работы компьютеров в
реальном времени на отдельную, изолированную рабочую станцию. В этом случае
принципиально останется возможность сравнения данных работающих систем и
архивов аудита. Администратору доступно много программ, реализующих данную
функцию, найти которые в Интернете не предоставляет особого труда.
Методы управления локальной системой
После добавления рабочей станции в домен администратор домена получает над
ней фактически неограниченную власть.
Какие возможности управления есть у администратора?
Во-первых, имеющиеся в системе оснастки (например, Управление компьютером)
позволяют – при наличии соответствующих прав – управлять не только ло-
кальной системой, но и любой удаленной. Так, администратор может оста-
навливать и запускать службы, просматривать протоколы работы системы, созда-
вать удаленных локальных пользователей и менять их членство в группах и т. п.
Операции достаточно понятные и не требуют особого объяснения. Нужно только
выполнить подключение соответствующей оснастки к удаленному компьютеру
(рис. 4.3).
На практике подобные инструменты администратора используются только для ин-
дивидуальных настроек. Применение их нерационально, если настройки надо вы-
полнить, например, с десятком компьютеров.
120
Глава 4
Рис. 4.3. Подключение оснастки управления к удаленному компьютеру
Во-вторых, каждый пользователь при регистрации в домене на компьютере – чле-
не домена1 вызывает исполнение сценария входа в систему. Необходимость вы-
полнения сценариев определяется в свойствах учетной записи пользователя на
вкладке Профиль. Достаточно создать желаемый сценарий, который должен вы-
полняться при начале работы пользователя, сохранить его в папке Scripts на кон-
троллере домена и назначить пользователям.
В Windows NT 4.0 пользователь мог прервать выполнение сценария входа в систе-
му (например, во время исполнения пакетного файла нажать комбинацию клавиш
ществляется скрыто. Хотя администратор может с помощью групповой политики
включить отображение выполнения команд (Конфигурация Windows | Админи-
стративные шаблоны | Система | Сценарии) и выбрать синхронный (пока сцена-
рий не будет выполнен до конца, пользователь не начнет работу в системе) или
