Лекции по "Администрированию сетей"

Вторая часть  работает в пользовательском режиме. Эту часть составляют защищенные подсистемы ОС. Особенности процессов  пользовательского режима:

1. Не имеют прямого доступа к оборудованию, все запросы на использование аппаратных ресурсов должны быть разрешены компонентом режима ядра;
2. Ограничены размерами выделенного адресного пространства, что устанавливается  выделением процессу фиксированных адресов;
3. Могут быть выгружены из физической памяти в виртуальную на жестком диске;
4. Приоритет процессов данного типа ниже приоритета процессов режима ядра.

Защищенные подсистемы

Защищенные подсистемы - это  серверные процессы пользовательского  режима, создаваемые ОС во время  загрузки. После создания они функционируют  постоянно, обрабатывая сообщения  от прикладных процессов и других подсистем.

В Windows два типа защищенных подсистем.

1. Подсистемы среды. Под такими подсистемами понимаются программы-серверы пользовательского режима, реализующие программный интерфейс некоторой операционной системы. Главнейшей подсистемой этого типа является Win32. К ее функциям относятся:

• предоставление приложениям стандартного программного интерфейса к функциям ОС;

• реализация графического пользовательского интерфейса;
• управление пользовательским вводом/выводом.

К подсистемам среды относятся  также подсистемы POSIX и OS/2.

2. Внутренние подсистемы. К этому типу относятся подсистемы, выполняющие важные функции ОС. Вот основные.
1. Подсистема безопасности. Осуществляет регистрацию правил контроля доступа, поддержку базы данных учетных записей пользователей, прием регистрационной информации и инициализацию процесса аутентификации пользователей.
2. Служба рабочей станции. Предоставляет приложениям механизм доступа к сетевым ресурсам, таким как файлы, папки, принтеры и т. п.
3. Служба сервера. Обслуживает входящие из сети запросы на доступ к ресурсам компьютера, например, к файлам и папкам.

 Исполнительная система и уровень абстрагирования от оборудования

В состав исполнительной системы входят следующие элементы.

1. Справочный монитор защиты (Security Reference Monitor, SRM). Гарантирует выполнение политики защиты на локальном компьютере. Оберегает ресурсы ОС, обеспечивая защиту объектов и аудит доступа к ним.
2. Диспетчер процессов (Process Manager). Создает и завершает процессы и потоки. Кроме того, приостанавливает и возобновляет исполнение потоков, хранит и выдает информацию о процессах и потоках NT.
3. Диспетчер межпроцессного взаимодействия (Interprocess Communication Manager, IPC Manager). Обеспечивает взаимодействие между подсистемами режима пользователя и исполнительной подсистемы.
4. Диспетчер виртуальной памяти (Virtual memory manager, VMM). Реализует виртуальную память - схему управления памятью, которая предоставляет каждому процессу большое собственное адресное пространство и защищает это пространство от других процессов.
5. Ядро (Kernel). Реагирует на прерывания и исключения, выполняет межпроцессорную синхронизацию и предоставляет набор элементарных объектов и интерфейсов, используемый остальными частями исполнительной системы для реализации объектов более высокого уровня.
6. Подсистема ввода/вывода (I/O Subsystem). Состоит из группы компонентов, отвечающих за выполнение ввода/вывода на разнообразные устройства. Подробнее подсистема ввода/вывода рассматривается в следующих разделах.
7. Диспетчер объектов (Object manager). Создает, поддерживает и уничтожает объекты исполнительной системы Windows - абстрактные типы данных, представляющие системные ресурсы.
8. Диспетчер электропитания (Advanced Configuration and Power Interface Manager, ACPI-manager). Управляет электропитанием устройств, координирует запросы устройств, связанные с изменением режима электропитания.
9. Диспетчер Plug and Play (PnP-manager). Обеспечивает распознавание PnP-устройств после процесса загрузки ОС, управляет их драйверами, предоставляет интерфейс средствам пользовательского режима для поиска устройств, их установки и удаления, а также остановки и возобновления их работы.
10. Диспетчер окон и интерфейс графических устройств (Graphic Device Interface, GDI). Управляет отображением окон, обеспечивает прием ввода от клавиатуры и мыши, распределяя информацию приложениям.
11. Компоненты исполнительной системы реализованы как независимые от аппаратной платформы модули. Это обеспечивается наличием уровня абстрагирования от оборудования и делает ОС максимально переносимой.

Уровень абстрагирования  от оборудования.

Представляет собой программную  прослойку между исполнительной системой Windows и аппаратной платформой, на которой работает ОС. HAL скрывает аппаратно-зависимые детали, такие  как интерфейсы ввода/вывода, контроллеры  прерываний и механизмы межпроцессорных  связей. Вместо того чтобы обращаться к аппаратуре непосредственно, исполнительная система Windows вызывает функции HAL.

Системный реестр Windows

Вся конфигурационная информация (приложений, служб, параметров оборудования и т.п.).

Реестр представляет собой иерархическую структуру. Разделы и параметры могут  быть двух типов:

1. Постоянные. Разделы и параметры, которые сохраняются на диске и загружаются после перезагрузки компьютера. Большинство данных в реестре – постоянные;
2. Временные – разделы и параметры присутствуют только в оперативной памяти (например, текущая конфигурация оборудования).

 

Использование реестра.

 

Компонент	Использование системного реестра
Программа установки	Программа установки Windows и другие программы установки (приложений и  оборудования) добавляют данные в  системный реестр. Например, при  установке в реестр записываются значения многих настраиваемых параметров приложений по умолчанию. Программы  установки также выполняют чтение системного реестра для определения  наличия в системе необходимых  компонентов
Определитель оборудования	При каждом запуске компьютера, работающего  под управлением Windows, определитель оборудования помещает данные аппаратной конфигурации в реестр. Эти данные включают список оборудования, обнаруженного  в системе. Диагностика действующего оборудования выполняется программами Ntdetect.com и Ntoskrnl.exe
Ядро Windows	В процессе загрузки ОС ядро Windows извлекает  из реестра необходимые данные, например перечень загружаемых драйверов  и порядок загрузки. Кроме того, программа Ntoskrnl.exe записывает в реестр собственные данные (например номер  версии)
Драйверы устройств	Драйверы устройств заносят  в реестр и извлекают из него параметры  собственного запуска и настройки  обслуживаемого оборудования. Драйвер  устройства сообщает об использовании  тех или иных системных ресурсов, например прерываний и каналов прямого  доступа к памяти, после чего эти  сведения записываются в системный  реестр. Кроме того, программы и  драйверы устройств используют данные реестра для автоматизации установки  и настройки программ
Приложения	Приложения используют реестр для  хранения глобальных и пользовательских настроек. Например, Microsoft Word хранит в  реестре список последних открытых пользователем документов. Многие приложения, являющиеся неотъемлемой частью ОС, например Проводник , также хранят свои настройки  в реестре

 

Организация системного реестра

Верхний уровень иерархии системного реестра составляют поддеревья. Поддеревья включают разделы. Разделы  и подразделы, в свою очередь, могут  включать подразделы и параметры.

Поддеревья реестра

• HKLM хранит параметры компьютера и общие параметры настройки ПО и ОС;
• HKCU хранит параметры настройки ПО и ОС текущего пользователя.

При одинаковых параметрах приоритет у HKCU.

Однако, чтобы  облегчить поиск сведений в реестре, программы редактирования реестра  выводят пять поддеревьев.

1. HKEY_LOCAL_MACHINE. Содержит информацию о конфигурации оборудования компьютера, ОС и ПО. Параметры конфигурации ПО являются общими для всех пользователей компьютера.
2. HKEY_CLASSES_ROOT. Содержит информацию о конфигурации COM-компонентов и OLE-объектов. Является ссылкой на разделы HKEY_LOCAL_MACHINE\SOFTWARE\Classes и HKEY_CURRENT_USER\SOFTWARE\Classes . Если какое-либо значение существует в обоих разделах, то значение из поддерева HKEY_CURRENT_USER перекрывает значение из поддерева HKEY_LOCAL_MACHINE.
3. HKEY_CURRENT_USER. Содержит информацию о конфигурации ОС и ПО для пользователя, работающего в системе в данный момент. Является ссылкой на раздел HKEY_USERS\ идентификатор_безопасности_пользователя.
4. HKEY_USERS. Содержит информацию о конфигурации ОС и ПО для пользователей, работающих в системе в данный момент, а также информацию о конфигурации для профиля пользователя по умолчанию.
5. HKEY_CURRENT_CONFIG. Содержит информацию о текущей аппаратной конфигурации компьютера. Является ссылкой на раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current

Кусты и файлы реестра

Куст описывает древовидную  структуру непрерывного связанного набора разделов, подразделов и параметров, выходящую из вершины иерархии реестра. Куст хранится на диске в виде отдельного файла и имеет отдельный журнал. Файлы реестра хранятся в папках %systemroot%\system32\Config (системная часть) и %userprofile% (пользовательская часть).

Каждый куст реестра представлен  на диске в виде двух стандартных  файлов:

1. HKEY_LOCAL_MACHINE\SAM. sam и sam.log
2. HKEY_LOCAL_MACHINE\SECURITY. security и security.log
3. HKEY_LOCAL_MACHINE\SOFTWARE. software и software.log
4. HKEY_LOCAL_MACHINE\SYSTEM. system и system.log
5. HKEY_CURRENT_CONFIG. system и system.log
6. HKEY_CURRENT_USER. ntuser.dat и ntuser.dat.log.
7. HKEY_USERS\.DEFAULT. default и default.log

Параметры

Каждый  раздел реестра содержит элементы данных, называемые параметрами. Некоторые  параметры хранят сведения, характерные  для отдельного пользователя, другие - применимые ко всем пользователям  компьютера.

Каждый  параметр имеет три характеристики:

1. Имя. Используется приложениями для обращения к конкретному параметру.
2. Тип данных. Описывает, данные какого типа хранит параметр.
3. Значение параметра. Непосредственно данные, которые могут быть получены при обращении к параметру.

Типы:

1. REG_BINARY. Данные в двоичном формате. Обычно этот тип используется для хранения больших объемов данных, например параметров оборудования.
2. REG_DWORD. Целое число без знака. На хранение отводится 4 байта, чем определяется минимальное (0) и максимальное (4 294 967 296) хранимое значение. Обычно этот тип используется для хранения числовых величин и значений различных флагов.
3. REG_EXPAND_SZ. Строка с символами подстановки. Используется для хранения строковых значений, при считывании которых осуществляется преобразование символов подстановки. Например, при считывании значения %homedrive%\ Users and Settings\%username% возвращается c:\Documents and Settings\User1.
4. REG_MULTI_SZ. Набор из нескольких строковых значений. Используется для хранения списков строк. В качестве разделителя элементов списка используются символы возврата каретки или другие разделители.
5. REG_SZ. Строка символов. Используется для хранения различных простых неинтерпретируемых строковых значений.
6. REG_FULL RESOURCE DESCRIPTOR. Набор массивов данных. Используется для хранения больших бинарных массивов данных. В основном используется для хранения различных параметров аппаратного обеспечения компьютера.

 

Тема 6. Администрирование  сетей на платформе MS Windows Server.

Раздел 1. Обзор редакции и функциональных возможностей WS

Типовые задачи объединены в «роли»:

1. Файловый сервер;
2. Сервер печати;
3. Сервер приложений;
4. Почтовый сервер;
5. Сервер терминалов;
6. Сервер удаленного доступа/сервер виртуальной частной сети;
7. Служба каталогов;
8. Система доменных имен;
9. Сервер протокола динамической настройки узлов;
10. Сервер WINS;
11. Сервер потокового мультимедиа-вещания.

Редакции

Отличаются  набором компонентов и ценой.

1. Windows Server 2008 R2 Core – базовый набор, без графического интерфейса
2. Windows Server 2008 R2 Foundation – базовый набор, графический интерфейс
3. Windows Server 2008 R2 Standard
4. Windows Server 2008 R2 Enterprise
5. Windows Server 2008 R2 Datacenter – для крупномасштабных систем

У Windows Server 2008 R2 нет возможностью стать контроллером домена.

 

Тема 6.1 Служба каталогов Active Directory

Современные сети часто состоят  из множества различных программных  платформ, большого разнообразия оборудования и программного обеспечения. Пользователи зачастую вынуждены запоминать большое  количество паролей для доступа  к различным сетевым ресурсам. Права доступа могут быть различными для одного и того же сотрудника в зависимости от того, с какими ресурсами он работает. Все это  множество взаимосвязей требует  от администратора и пользователя огромного  количества времени на анализ, запоминание  и обучение.

Решение проблемы управления такой разнородной сетью было найдено с разработкой службы каталога. Службы каталога предоставляют  возможности управления любыми ресурсами  и сервисами из любой точки  независимо от размеров сети, используемых операционных систем и сложности  оборудования. Информация о пользователе, заносится единожды в службу каталога, и после этого становится доступной  в пределах всей сети. Адреса электронной  почты, принадлежность к группам, необходимые  права доступа и учетные записи для работы с различными операционными  системами — все это создается  и поддерживается в актуальном виде автоматически. Любые изменения, занесенные в службу каталога администратором, сразу обновляются по всей сети. Администраторам уже не нужно  беспокоиться об уволенных сотрудниках  — просто удалив учетную запись пользователя из службы каталога, он сможет гарантировать автоматическое удаление всех прав доступа на ресурсы сети, предоставленные ранее этому  сотруднику.

В настоящее время большинство  служб каталогов различных фирм базируются на стандарте X.500. Для доступа к информации, хранящейся в службах каталогов, обычно используется протокол Lightweight Directory Access Protocol ( LDAP ). В связи со стремительным развитием сетей TCP/IP, протокол LDAP становится стандартом для служб каталогов и приложений, ориентированных на использование службы каталога.

Служба каталогов Active Directory является основой логической структуры  корпоративных сетей, базирующихся на системе Windows. Термин " Каталог " в самом широком смысле означает " Справочник ", а служба каталогов корпоративной сети — это централизованный корпоративный справочник. Корпоративный каталог может содержать информацию об объектах различных типов. Служба каталогов Active Directory содержит в первую очередь объекты, на которых базируется система безопасности сетей Windows, — учетные записи пользователей, групп и компьютеров. Учетные записи организованы в логические структуры: домен, дерево, лес, организационные подразделения.