355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Ирина Козлова » Информатика: конспект лекций » Текст книги (страница 7)
Авторские права
Информатика: конспект лекций
  • Текст добавлен: 26 сентября 2016, 20:13

Текст книги "Информатика: конспект лекций"


Автор книги: Ирина Козлова



сообщить о нарушении

Текущая страница: 7 (всего у книги 18 страниц) [доступный отрывок для чтения: 7 страниц]

Назад к карточке книги
5.4. Организация доменной структуры сети

Когда компьютеры объединяются в сеть на платформе Windows NT, они группируются в рабочие группы или домены.

Группа компьютеров, составляющих административный блок и не принадлежащих доменам, называется рабочей. Она формируется на платформе Windows NT Workstation. Любой из компьютеров рабочей группы включает в себя собственную информацию по бюджетам пользователей и групп и не делит ее с другими компьютерами рабочей группы. Члены, которые входят в состав рабочих групп, регистрируются только на рабочей станции и могут по сети просматривать каталоги других членов рабочей группы. Компьютеры одноранговой сети образуют рабочие группы, которые следует формировать, исходя из организационной структуры предприятия: рабочая группа бухгалтерии, рабочая группа планового отдела, рабочая группа отдела кадров и т. д.

Рабочую группу можно создать на основе компьютеров с разными ОС. Члены данной группы могут выполнять роль как пользователей ресурсов, так и их поставщиков, т. е. они равноправны. Право предоставления другим ПК доступа ко всем или некоторым имеющимся в их распоряжении локальным ресурсам принадлежит серверам.

Когда в сеть входят компьютеры разной мощности, то самый производительный в конфигурации сети компьютер может использоваться в качестве невыделенного сервера файлов. При этом в нем можно хранить информацию, которая постоянно необходима всем пользователям. Остальные компьютеры работают в режиме клиентов сети.

При установке Windows NT на компьютере указывается, является он членом рабочей группу или домена.

Логическое объединение одного или нескольких сетевых серверов и других компьютеров, обладающих общей системой безопасности и информацией в виде централизованно управляемой базы данных о бюджетах пользователей, называется доменом. Каждый из доменов обладает индивидуальным именем.

Компьютеры, входящие в один домен, могут располагаться в локальной сети или в разных странах и континентах. Они могут быть связаны различными физическими линиями, например телефонными, оптоволоконными, спутниковыми и др.

Каждый компьютер, входящий в домен, обладает собственным именем, которое, в свою очередь, должно разделяться точкой с именем домена. Членом данного имени является компьютер, и домен образует полное имя домена для компьютера.

Контроллером домена является организация доменной структуры в сети, установление в ней определенных правил, управление взаимодействием между пользователем и доменом.

Компьютер, который работает под управлением Windows NT Server и использует один разделяемый каталог для сохранения информации по бюджетам пользователей и безопасности, касающейся всего домена, называется контроллером домена. Его задачей является управление внутри домена взаимодействием между пользователем и доменом.

Все изменения информации о бюджетах домена отбирает, сохраняет информацию в базе данных каталога и постоянно тиражирует на резервные домены главный контроллер домена. Благодаря этому обеспечивается централизованное управление системой безопасности.

Используется несколько моделей построения сети с доменной архитектурой:

• однодоменная модель;

• модель с мастер-доменом;

• модель с несколькими мастер-доменами;

• модель полностью доверительных отношений.

5.5. Многоуровневый подход. Протокол. Интерфейс. Стек протоколов

Взаимодействие между устройствами в сети является сложной задачей. Для ее решения применяют универсальный прием – декомпозицию, который заключается в разбиении одной сложной задачи на несколько более простых задач-модулей. Декомпозиция состоит из четкого определения функций каждого модуля, который решает отдельную задачу, и интерфейсов между ними. В итоге достигается логическое упрощение задачи, к тому же появляется возможность преобразования отдельных модулей без изменения остальной части системы.

При декомпозиции иногда применяют многоуровневый подход. В этом случае все модули разбивают на уровни, которые образуют иерархию, т. е. имеются вышележащие и нижележащие уровни. Модули, составляющие каждый уровень, сформированы таким образом, что для выполнения своих задач они обращаются с запросами только к тем модулям, которые непосредственно примыкают к нижележащим уровням. Однако результаты работы всех модулей, которые принадлежат некоторому уровню, могут быть переданы только модулям соседнего вышележащего уровня. При данной иерархической декомпозиции задачи необходимо четкое определение функции каждого уровня и интерфейсов между уровнями. Интерфейс устанавливает набор функций, предоставляемых нижележащим уровнем вышележащему. В итоге иерархической декомпозиции достигается значительная независимость уровней, т. е. возможность их легкой замены.

Средства сетевого взаимодействия тоже могут быть представлены в форме иерархически организованного множества модулей. В этом случае модули нижнего уровня способны, в частности, решать все вопросы, связанные с надежной передачей электрических сигналов между двумя соседними узлами. Модули более высокого уровня создадут транспортировку сообщений в пределах всей сети, используя для этого средства нижележащего уровня. На верхнем уровне работают модули, которые предоставляют пользователям доступ к различным службам, среди которых файловая служба, служба печати и т. п. Однако это только один из множества возможных способов для деления общей задачи организации сетевого взаимодействия на частные, более мелкие подзадачи.

Многоуровневый подход, применяемый к описанию и реализации функций системы, используется не только в отношении сетевых средств. Данная модель действия применяется, например, в локальных файловых системах, если поступивший запрос на доступ к файлу по очереди обрабатывается несколькими программными уровнями, в первую очередь верхним уровнем, осуществляющим последовательный разбор составного символьного названия файла и определение уникального идентификатора файла. Последующий уровень находит по уникальному имени все оставшиеся характеристики файла: адрес, атрибуты доступа и т. п. После этого на более низком уровне производится проверка прав доступа к этому файлу, и затем, после расчета координат области файла, содержащей необходимые данные, выполняется физический обмен с внешним устройством с помощью драйвера диска.

Многоуровневое представление средств сетевого взаимодействия обладает своей спецификой, которая связана с тем, что в обмене сообщениями участвуют две машины, т. е. в этом случае следует организовать согласованную работу двух «иерархий». При передаче сообщений оба участника сетевого обмена должны принять много соглашений. Например, им необходимо согласовать уровни и форму электрических сигналов, способ определения длины сообщений, договориться о способах контроля достоверности и т. п. Таким образом, соглашения должны быть приняты для всех уровней, начиная от самого низкого, которым являются уровни передачи битов, до самого высокого, который выполняет сервис для пользователей сети.

Модули, которые реализуют протоколы соседних уровней и находящиеся в одном узле, также взаимодействуют друг с другом в соответствии с четко определенными нормами и с помощью стандартизованных форматов сообщений. Эти правила называют интерфейсом. Интерфейс – это набор сервисов, которые предоставляются данным уровнем соседнему уровню. На самом деле протокол и интерфейс определяют одно и то же понятие, но традиционно в сетях за ними закрепили различные области действия: протоколы назначают правила взаимодействия модулей одного уровня в разных узлах, а интерфейсы определяют модули соседних уровней в одном узле.

Средства любого из уровней должны отрабатывать, во-первых, свой собственный протокол, а во-вторых, интерфейсы с соседними уровнями.

Иерархически организованный набор протоколов, который достаточен для организации взаимодействия узлов в сети, носит название стеков коммуникационных протоколов.

Коммуникационные протоколы можно выполнить как программно, так и аппаратно. Протоколы нижних уровней чаще всего реализуются комбинацией программных и аппаратных средств, а протоколы верхних уровней – обычно чисто программными средствами.

Программный модуль, который реализует некоторый протокол, часто для краткости также именуют протоколом. В данном случае соотношение между протоколом – формально определенной процедурой и протоколом – программным модулем, который выполняет эту процедуру, аналогично соотношению между алгоритмом решения некоторой задачи и программой, решающей эту задачу.

Один и тот же алгоритм можно запрограммировать с разной степенью эффективности. Аналогично и протокол может обладать несколькими программными средствами реализации. Исходя из этого при сравнении протоколов необходимо учитывать не только логику их работы, но и качество программных решений. Кроме того, на эффективность взаимодействия устройств в сети оказывает влияние качество всей совокупности протоколов, которые составляют стек, в частности, насколько рационально распределены функции между протоколами различных уровней и насколько хорошо определены интерфейсы между ними.

Протоколы организуются не только компьютерами, но и другими сетевыми устройствами, например концентраторами, мостами, коммутаторами, маршрутизаторами и т. д. В общем случае связь компьютеров в сети выполняется не напрямую, а через различные коммуникационные устройства. В зависимости от вида устройства в нем необходимы определенные встроенные средства, которые реализуют тот или иной набор протоколов.

5.6. Организация учетных записей. Управление группами пользователей

Все сведения о пользователе, которые необходимы для его идентификации и работы в сети Windows NT, называются учетной записью. Она создается для каждого пользователя и содержит уникальное имя, которое набирается пользователем при регистрации в сети, и пароль для входа в сеть.

При создании учетной записи необходимо внести следующие сведения:

1) группа пользователей, включающая в себя пользователя;

2) путь к профилю пользователя, который определяет среду пользователя и доступные ему программы;

3) время, в которое пользователю разрешено войти в сеть;

4) рабочая станция, через которую данный пользователь может войти в сеть;

5) сроки действия учетной записи и вид учетной записи;

6) права пользователя на средства удаленного доступа и обратного вызова.

С помощью управления учетной записью вносят изменения в учетные записи. Данные изменениями могут включать в себя: изменение пароля, переименование учетной записи, изменение пользовательской группы (удаление из одной и включение в другую), блокировка доступа, удаление учетной записи. Учетные записи контроллера домена могут являться действительными и для других доменов, при этом данные домены должны вызывать доверие.

В Windows NT 4 присутствует концепция управления группами пользователей. Основу данной концепции составляет назначение прав сразу целой группе пользователей и исполнение контроля доступа через добавление и удаление пользователей из разных групп. Этот подход к ведению учетной записи предоставляет все права доступа той группе, в которую помещена данная учетная запись.

Учетные записи пользователей, которые имеют доступ к серверам и рабочим станциям в своем и других доменах, с которыми установлены доверительные отношения, называются глобальными группами. Они управляются диспетчером пользователей для доменов.

Локальные группы состоят из учетных записей пользователей, имеющих доступ к ресурсам только в локальной системе в пределах ее собственного домена, и учетных записей пользователей глобальных групп, которые имеют доступ к серверам, входящим в их домен.

Администраторами называют группу, отвечающую за общую конфигурацию домена и его серверов. Эта группа обладает наибольшими правами. В ее состав входит глобальная группа администраторов домена, которые обладают теми же правами, что и администраторы.

Операторы бюджета имеют право создания новых групп и учетных записей пользователей. Однако у них ограничены права администрирования учетных записей, серверов и групп домена. Правами со значительными ограниченными возможностями обладают также группы пользователей, пользователей домена, гостей домена, гостей. Возможно копировать, корректировать и удалять созданные пользователем группы. Мастер управления группами имеет право добавлять и создавать пользователей. Он работает в полуавтоматическом режиме и оказывает поэтапную помощь в выполнении следующих административных задач:

создание пользовательских учетных записей;

управление группами;

осуществление контроля доступа к файлам и папкам;

ввод драйверов принтеров;

инсталляция и деинсталляция программ;

управление лицензированием;

администрирование сетевых клиентов.

5.7. Управление политикой защиты

Одной из важнейшей задач администрирования является управление политикой защиты. В нее входят: интерактивная аутентификация пользователя, управление доступом пользователя к сетевым ресурсам, аудит.

Интерактивную аутентификацию пользователя осуществляют нажатием клавиш Ctrl + Alt + Del, что приводит к запуску утилиты WINLOGIN, открывающей окно Вход в систему.

Когда пользователь входит в рабочую группу, его учетная запись создается и хранится в SAM (оперативной памяти компьютера) его рабочей станции и локальное программное обеспечение аутентификации обращается для проверки вводимых параметров регистрации в базу данных SAM рабочей станции. Если пользователь регистрируется в домене, то обращение для проверки вводимых параметров регистрации происходит к базе данных SAM домена, к которому относится его машина.

Управление доступом пользователя к сетевым ресурсам выполняют благодаря применению бюджета пользователя, правил пользователя или группы пользователей, прав доступа к объектам и др.

Бюджет пользователя формируется администратором после создания учетной записи. В бюджет входят время работы в сети, область ОП, которая предоставляется пользователю, и другие права пользователя в системе.

Правила, которые устанавливают действия, доступные для применения, называются правами пользователя или группы пользователей. Предоставленные права и ограничения, которые накладываются на отдельного пользователя или группу пользователей, определяют возможности пользователя по доступу к сетевым ресурсам.

Пользователь может обладать обычными и расширенными правами. Обычно расширенные права предоставляются только программистам и иногда администраторам рабочих станций, но не предоставляются группам пользователей.

Редактор системной политики применяется для корректировки и установки новых прав некоторого пользователя администратором.

В Windows NT административные функции чаще всего выполняются с помощью диспетчера пользователя, диспетчера серверов и др.

Права пользователя устанавливает администратор при создании учетной записи пользователя. Элементы системы в Windows NT являются объектами, и каждый объект определяется типом, набором служб и атрибутов.

Типами объектов в Windows NT являются каталоги, файлы, принтеры, процессы, устройства, окна и т. д.; они влияют на допустимые наборы служб и атрибутов.

Совокупность действий, выполняемых объектом или с объектом, представляет собой набор служб.

Имя объекта, данные и список управления доступом – составная частью атрибутов. Список управления доступом является обязательной принадлежностью объекта. В данном списке находятся следующие сведения: список служб объекта, список пользователей и групп, имеющих разрешение на выполнение каждого действия.

В случае необходимости могут быть защищены некоторые права пользователей: права доступа к объектам определяются дескриптором безопасности.

Разрешения файловой системы NTFS (запись, чтение, выполнение, удаление, изменение разрешений) входят в локальные права.

Контроль над. удаленными правами осуществляется общими ресурсами, которые, в свою очередь, контролируются сетевым ресурсом, позволяющим пользователям удаленных компьютеров получать доступ по сети к объектам.

Аудит применяется для фиксации всех событий, которые происходят в локальной сети; он информирует администратора обо всех запрещенных действиях пользователя, предоставляет возможность получить сведения о частоте обращений к тем или иным ресурсам, установить последовательность действий, которые провели пользователи.

Существует три уровня управления аудитом:

1) включение и отключение аудита;

2) аудирование любого из семи возможных типов событий;

3) проверка конкретных объектов.

5.8. Управление ресурсами сети

Управление ресурсами сети многогранно и включает в себя следующие задачи:

1) выборочное компрессирование томов, папок и файлов NTFS, осуществляемое для экономии дискового пространства. Электронные таблицы, текстовые файлы и некоторые графические файлы способны уменьшиться в несколько раз;

2) архивация данных и решение сходных с этим задач;

3) разработка сценариев, которые задаются набором команд. Среди них можно выделить: сценарий автоматического выполнения задач при регистрации пользователя в системе, сценарий определенного собственного каталога пользователя, установления соответствующих сетевых связей при использовании разных пользовательских имен, фамилий и т. д.;

4) репликация папок на другие компьютеры, которая санкционирует тиражирование сценариев регистрации с одного контроллера домена на другой, базы данных с одного сервера на другой в целях поддержки и организации доверительных отношений;

5) совместное с диспетчером сервисов управление запуском и работой сервисов. Среди них могут быть приложения, функционирующие на сервере в фоновом режиме и обеспечивающие поддержку других приложений;

6) контроль производительности системы, осуществляемый при помощи программы Системный монитор;

7) управление дисками с использованием программы Администратор дисков, в том числе создание основных и расширенных разделов, форматирование разделов, создание составных томов и т. д.;

8) оптимизация работы Windows NT 4 как файлового сервера, как сервера приложений (контроль процессора сервера приложений, контроль виртуальной памяти, устранение сетевых проблем) и др. В этом случае осуществляется оптимизация работы жестких дисков, устранение проблем доступа к дискам на программном уровне, повышение пропускной способности сети;

9) управление службой печати. Обслуживание принтеров производится благодаря применению программы, доступ к которой осуществляется через папку Принтеры из панели управления или Настройка;

10) управление вводом компьютеров в состав домена своего сервера, организация доменов, удаление компьютеров, назначение сервера главным контроллером домена, репликация данных на другие серверы, объединение доменов, управление доверительными отношениями между доменами, аудит сетевых ресурсов каждого пользователя и т. д. Все перечисленные действия выполняются с помощью программ Диспетчер серверов и Диспетчер пользователей для доменов;

11) управление общими ресурсами. При загрузке компьютера системой Windows NT для каждого из дисков системы создаются системные общие ресурсы, заданные по умолчанию, в целях поддержки работы в сети и управления внутренними операциями;

12) установка управления удаленным доступом. Установка клиента и сервера удаленного доступа приводится в действие с помощью утилиты Сеть из панели управления. Модемы, протоколы и коммуникационные порты устанавливаются с помощью этой же утилиты;

13) управление всеми соединениями в сети и доступом к информации сервера удаленного доступа, для которого применяется утилита Управление удаленным доступом;

14) поиск неисправностей в сети с помощью сетевого монитора, которым можно пользоваться для просмотра поступающих на Windows NT и отправляемых пакетов.

5.9. Сетевые службы

Для пользователя сеть представляет собой не компьютеры, кабели и концентраторы и даже не информационные потоки, а является прежде всего набором сетевых служб, которые позволяют просмотреть список имеющихся в сети компьютеров или удаленный файл, распечатать документ на «чужом» принтере или послать почтовое сообщение. Именно совокупность перечисленных возможностей – насколько широк их выбор, насколько они удобны, надежны и безопасны – устанавливает для пользователя облик каждой из сетей.

Кроме самого обмена данными, сетевые службы призваны решать и другие, более специфические, задачи, в частности порождаемые распределенной обработкой данных. Это задачи, направленные на обеспечение непротиворечивости нескольких копий данных, размещенных на разных машинах (служба репликации), или организация выполнения одной задачи одновременно на нескольких машинах сети (служба вызова удаленных процедур). Из сетевых служб можно выделить административные, т. е. ориентированные не на простого пользователя, а на администратора и предназначенные для организации правильной работы сети в целом. К ним относятся: служба администрирования учетных записей о пользователях, позволяющая администратору вести общую базу данных о пользователях сети; система мониторинга сети, в функции которой входит захват и анализ сетевого трафика; служба безопасности, которая среди прочего выполняет процедуры логического входа с последующей проверкой пароля, и т. д.

Работа сетевых служб производится программными средствами. Основными службами являются файловая служба и служба печати, которые обычно предоставляются сетевой ОС, а вспомогательными – служба баз данных, факса или передачи голоса, выполняемые системными сетевыми приложениями или утилитами, которые работают в тесном контакте с сетевой ОС. Распределение служб между ОС и утилитами вполне условно и меняется в конкретных реализациях этой системы.

При разработке сетевых служб необходимо решать проблемы, свойственные любым распределенным приложениям, среди которых определение протокола взаимодействия между клиентской и серверной частями, распределение функций между ними, выбор схемы адресации приложений и др.

Одним из главных показателей качества сетевой службы является ее удобство. Для одного и того же ресурса можно разработать несколько служб, которые по-разному решают одну и туже задачу. Основные проблемы заключаются в производительности или уровне удобства предоставляемых услуг. Например, файловая служба может основываться на применении команды передачи файла из одного компьютера в другой по имени файла, а для этого необходимо, чтобы пользователь знал имя нужного файла. Та же файловая служба может быть организована так, что пользователь монтирует удаленную файловую систему к локальному каталогу, а затем обращается к удаленным файлам как к своим собственным, что намного удобнее. Качество сетевой службы определяется качеством пользовательского интерфейса – интуитивной понятности, наглядности, рациональности.

В случае определения степени удобства разделяемого ресурса часто используют термин «прозрачность». Прозрачным является такой доступ, при котором пользователь не замечает, где находится нужный ему ресурс – на его компьютере или на удаленном. После монтирования удаленной файловой системы в свое дерево каталогов, доступ к удаленным файлам становится для него абсолютно прозрачным. Сама операция монтирования также может обладать разной степенью прозрачности. В сетях с меньшей прозрачностью пользователю необходимо знать и задавать в команде имя компьютера, хранящего удаленную файловую систему, в сетях с большей степенью прозрачности соответствующий программный компонент сети осуществляет поиск разделяемых томов файлов безотносительно мест их хранения, а затем показывает их пользователю в удобном для него виде, например в виде списка или набора пиктограмм.

Для достижения прозрачности важен способ адресации (именования) разделяемых сетевых ресурсов. Имена таких ресурсов не должны зависеть от их физического расположения на том или другом компьютере. В лучшем случае пользователь не должен ничего менять в своей работе, если администратор сети переместил том или каталог между компьютерами. Администратор и сетевая ОС обладают информацией о расположении файловых систем, однако от пользователя она скрыта. Эта степень прозрачности пока редко встречается в сетях. Чаще всего для получения доступа к ресурсам определенного компьютера следует устанавливать с ним логическое соединение. Данный подход применяется, в частности, в сетях Windows NT.

Назад к карточке книги "Информатика: конспект лекций"
Страницы книги >>>  Предыдущая | 1 2 3 4 5 6 7

    Ваша оценка произведения:

Почитать похожее на эту книгу


Популярные книги за неделю

При использовании текстов библиотеки ссылка обязательна: itexts.net.
Электронная библиотека, © 2018-2024