Самоучитель
системного администратора

4. Информационные системы предприятия

Построение информационной системы зависит от многих параметров, в том числе, от численности сотрудников, от распределенности офисов, от решаемых задач и т. п.

Домашние сети

В малых предприятиях с небольшим числом компьютеров к функционированию сети не предъявляется особых требований. Обычно нужно получить доступ к файлам на диске другого компьютера, распечатать документ на общем принтере и выйти в Интернет. Сотрудники хорошо знают друг друга, и не возникает необходимости разделения прав доступа к каким-либо ресурсам и т. п. Такие сети принято называть домашними.

Создаются такие системы крайне просто. Необходимо только осуществить прокладку локальной сети, установить рабочие станции и предоставить ресурсы для совместного использования. Обычно все эти шаги не вызывают сложностей даже у не очень подготовленного пользователя.

Для работы в Интернете, конечно, можно использовать и вариант совместного доступа, предусмотренный в Windows, но лучше приобрести небольшой аппаратный маршрутизатор. Эти устройства дешевы, обеспечивают подключение компьютеров локальной сети к Интернету, надежно защищают внутреннюю сеть от внешних атак, включают в себя сервисы DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации хоста) и точки беспроводного доступа (Wi-Fi).

Такая сеть имеет некоторые особенности настройки.

Первая заключается в особенностях группы Все. Если ресурсы предоставляются с рабочей станции Windows для совместного использования всем, то это означает не всех в житейском понимании этого слова, а для всех учетных записей, которые зарегистрированы на локальном компьютере. Иными словами, в системе должны быть созданы пользователи, соответствующие текущим пользователям каждой рабочей станции сети (идентичные имена и пароли). Если в Windows нет учетной записи с именем и паролем пользователя, пытающегося подключиться с другой станции (а обычно операция производится от имени того, кто работает на компьютере), то в подключении будет отказано. То есть если на одном компьютере работает пользователь Иванов с паролем пароль, на втором — Петров с паролем пароль2, то необходимо создать пользователей Иванов и Петров с соответствующими значениями паролей на той станции Windows, ресурсы которой предоставляются для совместного использования. Причем при необходимости смены паролей они должны изменяться синхронно. На практике на малых предприятиях в этом случае на всех компьютерах прописывается один и тот же пользователь с одинаковым ненулевым паролем.

Более удобный в этом случае вариант для малой сети — это разрешить анонимный доступ. Делается это включением учетной записи Гость, которая по умолчанию заблокирована. Это самый простой способ, но он не позволяет выборочно контролировать или как-то ограничивать доступ к ресурсам, поскольку все подключения к компьютеру будут осуществляться от имени одной учетной записи. Если ресурс будет предоставлен в общее пользование, то он станет доступен любому пользователю.

Вторая проблема — это ограничения, искусственно введенные в рабочие станции Windows. Прежде всего, это максимальное количество подключений пользователей по сети — 10. Это ограничение не мешает подключиться одиннадцатому пользователю, но при этом автоматически разорвется одно из имеющихся неактивных соединений. Кроме того, существуют ограничения по количеству одновременно открытых по сети файлов. К сожалению, это условие становится критичным при использовании популярной программы 1С:Предприятие (в комплексной версии или при работе уже 3—4 сотрудников в обычной конфигурации).

Самый простой и бесплатный способ обойти подобные ограничения Windows — установить Linux-систему и организовать с нее предоставление ресурсов для Windows-клиентов (см. главу 2).

Одноранговые сети

Описанная в предыдущем разделе сеть является частным случаем одноранговой сети, в которой каждый компьютер управляется автономно и отсутствуют какие-либо централизованно реализуемые правила. Все управление ресурсами компьютера остается за локальным администратором. Кстати, по такому принципу реализован и Интернет.

Для объединения компьютеров в одноранговую сеть достаточно только создать структуру сети (провести кабели или купить беспроводные точки доступа, поставить коммутаторы и т. п.). Компьютер подключается к сети и настраивается на использование ресурсов других систем. В свою очередь администратор каждого компьютера должен определить, какие ресурсы локальной системы предоставляются в общее пользование и с какими правами, и осуществить необходимые настройки.

Одноранговая сеть удобна, если число компьютеров не превышает одного-двух десятков. С увеличением числа компьютерных систем осуществлять автономное управление каждой по единым требованиям предприятия администратору становится слишком затруднительно. Поэтому при росте локальной сети вводится то или иное централизованное управление. Конкретный критерий смены варианта управления сети определяется спецификой функционирования каждой организации.

Для сетей небольших организаций в качестве операционной системы рабочих станций может быть использована любая программа. Учитывая, что большинство пользователей имеют на домашних компьютерах ту или иную версию Windows и что обычно на таких предприятиях не существует серьезных производственных задач, можно рекомендовать построение небольшой локальной сети на основе Windows.

Не стоит приобретать топовые версии операционной системы. Для работы на малых предприятиях прекрасно подойдет версия Windows 7 Home Edition, стоимость которой существенно ниже профессионального варианта. Различие между этими системами касается в основном вопросов безопасности при работе в составе домена и не существенно в данном случае.

Также не имеет смысла обновлять версии операционных систем: прежде чем тратить средства на такое обновление, следует тщательно оценить, какие преимущества принесет эта операция и будут ли оправданы затраты.

    Примечание

    Определенным стимулом для западных пользователей является наличие поддержки операционных систем изготовителем. Однако, учитывая, что российские пользователи практически не прибегают к такому сервису, данный факт не может быть серьезным основанием для замены операционных систем новыми версиями.

Сеть с централизованным управлением

В средних и больших организациях для упрощения управления сетью создают систему централизованного управления. Для этого параметры учетных записей хранят централизованно (службы каталогов), а на всех системах производят регистрацию общих групп пользователей.

В случае Windows — централизованное управление реализуется путем создания доменов Windows.

В доменах Windows каждый компьютер "теряет" свою автономность, он начинает управляться не только локальным администратором, но и администратором домена.

Управление локальными ресурсами

Для того чтобы централизованно управлять компьютером, на нем необходимо осуществить ряд настроек. Эти операции выполняются при включении компьютера в домен. Их можно выполнить как для рабочих станций с операционной системой Windows, так и с Linux.

Обычно систему добавляют в домен с локальной консоли. Данная операция включена в меню свойств компьютера на вкладке сетевой идентификации. Она должна выполняться с правами локального администратора. Кроме того, необходимо знать идентификационные данные (имя пользователя и пароль) учетной записи, которая имеет право добавлять компьютеры в домен.

    Примечание

    Операцию можно выполнить из командной строки с помощью утилиты netdom (netdom join ComputerName /Domain DomainName /UserD DomainUserUPN /PasswordD * /UserO ComputerAdminUser /PasswordO * /Reboot). Эта программа позволяет осуществить операцию подключения и удаленно. Однако первоначальная установка Windows имеет политику безопасности, разрешающую только локальное выполнение данной операции.

Возможность добавлять рабочие станции в домен

Начиная с ОС Windows 2000, право добавлять рабочие станции в домен предоставлено обычным пользователям домена. Но с ограничением — не более десяти станций. В некоторых случаях желательно разрешить пользователю превысить этот лимит.

Обычные рекомендации для изменения такого лимита сводятся к тому, чтобы отредактировать права доступа к объекту Подразделение (Organization Unit, OU): предоставить конкретному пользователю право создания объектов типа "компьютер" и модификации его атрибутов. Операция легко выполняется настройкой соответствующих свойств безопасности для OU в оснастке управления AD (Active Directory, служба каталогов). Но это не единственная возможность и далеко не лучшая.

Если необходимо изменить лимит, установленный для всех пользователей, то следует модифицировать атрибуты объекта службы каталогов. Количество рабочих станций, которое пользователь может добавить в домен, определяется атрибутом ms-DS-MachineAccountQuota объекта "домен". Для его изменения достаточно воспользоваться программой ADSI Edit и установить желаемое значение (рис. 4.1). Установка значения этого параметра в 0 предоставляет пользователям право добавлять в домен неограниченное количество компьютеров.

Рис. 4.1.
Изменение квоты на добавление компьютеров в домен

Более целесообразно не пускать создание новых систем в домене "на самотек". Администратору следует создать объекты типа "компьютер" в службе каталогов и предоставить право подключения данных компьютеров в домен соответствующим пользователям, для чего следует в момент их создания выбрать опцию Изменить и определить пользователя, которому будет предоставлено такое право (рис. 4.2).

Рис. 4.2.
Создание объекта "компьютер" с делегированием его подключения к домену

Удаление устаревших записей о компьютерах и пользователях

В процессе эксплуатации старые компьютеры заменяют новыми путем простого добавления в домен новой системы. При этом учетные записи старых компьютеров продолжают храниться в службе каталогов. Аналогичная ситуация и с учетными записями пользователей: для новых работников создаются учетные записи, но при увольнении сотрудников блокировка (с последующим удалением) их учетной записей не выполняется.

Определить такие устаревшие записи легко: в службе каталогов хранится информация о последнем входе соответствующей учетной записи в домен. Нужно просто выбрать из всего списка те записи, у которых период неактивности больше некоторого значения.

Удобно сделать это с помощью утилиты dsquery, команда запуска которой имеет специальный ключ — inactive. Например, так можно вывести на экран список пользователей, не работавших в течение последних 4 недель:

    Примечание

    При большом числе устаревших объектов для автоматизации процесса вывод данной команды можно направить по конвейеру на команду удаления из службы каталогов. Хотя, мне кажется, лучше контролировать такие операции вручную.

Изменения настроек системы при подключении ее к домену

При добавлении станции в состав домена производится ряд изменений настроек Windows.

Во-первых, назначаются новые ресурсы для совместного использования. Предоставляются для совместного использования корневые каталоги локальных дисков (под именами C$, D$ и т. д.), каталог установки системы (ADMIN$), создается совместный ресурс IPC$ (используется для установки соединений по именованному каналу — named pipes), PRINT$ (для управления принтерами) и FAX$ (при наличии факса с совместным доступом). Эти ресурсы носят название административных, поскольку они предназначены для управления системами.

Данные ресурсы невидимы при просмотре сети (как и все другие ресурсы совместного использования, имя которых заканчивается знаком $). Если вы попытаетесь удалить их, то после перезагрузки системы они вновь восстановятся. Настройкой реестра системы эти ресурсы можно отключить.

Во-вторых, в локальную группу безопасности Администраторы добавляется группа администраторов домена, а в группу локальных пользователей — группа пользователей домена. Именно потому, что администратор предприятия состоит в группе локальных администраторов, он и получает право управления этим компьютером. А пользователи домена могут работать в системе, поскольку они состоят в группе пользователей домена, входящей в группу пользователей этого компьютера.

    Примечание

    При входе пользователей домена на рабочую станцию система использует данные учетных записей (имя, пароль, установленные ограничения и т. п.), хранимые на контроллерах домена. Обычно политикой безопасности разрешено кэширование нескольких паролей пользователя, что позволяет последнему войти в систему даже при отсутствии связи с контроллером домена, используя параметры последнего входа. Если работу начинает локальный пользователь, то данные берутся из локальной базы учетных записей.

"Кто кого": локальный или доменный администратор

Централизованное управление порой вызывает у некоторых пользователей негативную реакцию. При этом опытные пользователи вполне могут наложить ограничения на реализацию тех или иных функций управления. Рассмотрим некоторые такие возможности.

    Примечание

    Опытный пользователь, работающий на локальном компьютере, всегда может получить пароль локального администратора, необходимый для выполнения описываемых операций, использовав, например, способы восстановления пароля администратора.

- Исключение компьютера из домена.

Один из самых эффективных способов блокирования централизованного управления — это исключение локальной системы из домена. Достаточно отключить компьютер от сети, в свойствах системы изменить ее сетевую идентификацию — вместо домена указать одноименную рабочую группу. Мастер идентификации выдаст сообщение о невозможности удаления учетной записи компьютера в домене, но успешно завершит все локальные операции.

После чего необходимо создать локального пользователя, имя которого и пароль совпадают с данными пользователя домена. В результате пользователь сохранит практически всю функциональность работы в сети, но исключит любое централизованное управление.

"Технически" противостоять такому решению весьма сложно. Ограничения, которые может накладывать администратор домена для исключения такого варианта, должны основываться на анализе членства учетной записи компьютера в домене. Практически единственный способ — это включение политики ipsec и настройка ее на разрешение сессий только с членами домена. Однако такой вариант неприменим в случае наличия в сети рабочих станций с операционными системами предыдущих версий, которые также не являются членами домена.

- Отключение совместного использования административных ресурсов.

Локальный пользователь может отключить создание административных ресурсов, если добавит параметр

(Для восстановления необходимо удалить этот параметр.)

Следует учитывать, что отключение этих ресурсов может нарушить работу имеющейся в домене системы управления.

- Исключение администратора домена из группы локальных администраторов.

Поскольку локальный администратор имеет полные права над своей системой, то он может ограничить администратора предприятия, исключив его из группы локальных администраторов. В системах с Windows NT 4.0 против такого решения практически не было "противоядия". C Windows 2000 и далее появилась возможность регулировать членство в группах с помощью групповых политик. Хотя практика контроля состава групп локальных администраторов вызывает крайнее недовольство рядовыми пользователями, но администратор предприятия может самостоятельно определить список членов этой группы.

Блокировать такой вариант можно, только приняв меры по недопущению применения групповой политики для данной системы (блокировав порты на транспортном уровне), но работа полученной системы будет существенно затруднена. - Блокировка администратора домена на уровне файловой системы.

С помощью ограничений доступа к файлам локального компьютера можно запретить, например, конкретным администраторам домена локальный вход в систему. Для этого следует установить для учетной записи такого администратора запрет доступа к файлам nddagnt.exe, userinit.exe, win.com, wowexec.exe. Выполнять операцию следует внимательно, чтобы случайно не запретить доступ, например, самому себе.

    Примечание

    Данная рекомендация может быть использована также при приеме на работу нового администратора. Поскольку в системе нет штатных средств ограничения локального входа администратора, то это, по сути, единственный способ защиты наиболее ответственных участков от непрофессиональных действий нового, непроверенного работника.

Конечно, данное ограничение нельзя рассматривать всерьез, поскольку, например, групповой политикой (если не заблокировать ее) администратор домена может восстановить права доступа к значениям по умолчанию.

- Блокирование групповой политики.

Поскольку основное управление осуществляется через применение групповых политик, то целью локального администратора может являться изменение ограничений, налагаемых групповой политикой, или полная ее блокировка.

    Примечание

    В доменах Windows 2003 по умолчанию групповая политика не загружалась на медленных каналах связи. А поскольку для определения скорости канала использовалась оценка времени ответа на команду ping, то блокировка таких пакетов была самым простым методом отключения применения групповой политики. Во-первых, локальный администратор может переопределить параметры, установленные групповой политикой. Групповая политика для компьютера применяется при старте системы, а для пользователя — в момент его входа в сеть. Впоследствии система периодически проверяет изменения настроек групповой политики и применяет только обнаруженные изменения в групповой политике. Конечно, можно задать периодическое применение всех параметров групповой политики. В этом случае параметры, занесенные локальным администратором, будут вновь переписаны на централизованные. Но администраторы домена редко используют такие настройки, поскольку это существенно увеличивает нагрузку на контроллеры домена.

    Поэтому если параметр настройки доступен для изменения локальным администратором, то он будет сохраняться в этом измененном состоянии фактически до следующей перезагрузки системы. А компьютер можно не перезагружать весьма долго...

    Во-вторых, можно заблокировать применение всех политик, сохранив членство компьютера в домене. Например, поскольку групповые политики копируются в виде файлов с контроллеров домена (из папок SYSVOL), то можно создать такую настройку ipsec, которая будет блокировать SMB-трафик с контроллеров домена ("закрыть" порты 137, 139, 445).

Способы, к которым может прибегнуть локальный администратор для ограничения возможностей своего доменного коллеги, можно перечислять еще долго. Данная проблема имеет только одно принципиальное решение — это организационные меры, когда подобные действия локального администратора повлекут за собой "воспитательные меры" руководителей подразделений.

Проблема аудитора

Серьезные проблемы безопасности в Windows создает наличие у администратора (как локального, так и всей сети в целом) полных и единоличных прав над своей системой. Поэтому он может выполнить какие-либо операции в системе, а потом попытаться их скрыть, замаскировав тем или иным способом. Например, переписав журнал протокола. Это создает потенциальные бреши в системе безопасности. Для исключения подобных действий в сетевых системах (например, в сетях Novell) обычно имеется специальный аудитор — пользователь, который не имеет административных прав, но может протоколировать любые действия. Причем даже администратор не имеет технической возможности изменить состояние файлов протоколов. Иными словами, скрыть свои операции.

Возможный вариант решения данной проблемы в рамках систем, построенных исключительно на Windows, — это сбор данных протоколов работы компьютеров в реальном времени на отдельную, изолированную рабочую станцию. В этом случае принципиально останется возможность сравнения данных работающих систем и архивов аудита. Администратору доступно много программ, реализующих данную функцию, найти которые в Интернете не предоставляет особого труда.

Методы управления локальной системой

После добавления рабочей станции в домен администратор домена получает над ней фактически неограниченную власть.

Какие возможности управления есть у администратора?

Во-первых, имеющиеся в системе оснастки (например, Управление компьютером) позволяют — при наличии соответствующих прав — управлять не только локальной системой, но и любой удаленной. Так, администратор может останавливать и запускать службы, просматривать протоколы работы системы, создавать удаленных локальных пользователей и менять их членство в группах и т. п. Операции достаточно понятные и не требуют особого объяснения. Нужно только выполнить подключение соответствующей оснастки к удаленному компьютеру (рис. 4.3).

Рис. 4.3.
Подключение оснастки управления к удаленному компьютеру

На практике подобные инструменты администратора используются только для индивидуальных настроек. Применение их нерационально, если настройки надо выполнить, например, с десятком компьютеров.

Во-вторых, каждый пользователь при регистрации в домене на компьютере — члене домена1 вызывает исполнение сценария входа в систему. Необходимость выполнения сценариев определяется в свойствах учетной записи пользователя на вкладке Профиль. Достаточно создать желаемый сценарий, который должен выполняться при начале работы пользователя, сохранить его в папке Scripts на контроллере домена и назначить пользователям.

В Windows NT 4.0 пользователь мог прервать выполнение сценария входа в систему (например, во время исполнения пакетного файла нажать комбинацию клавиш <Ctrl>+<C>). Начиная с Windows 2000, выполнение сценария по умолчанию осуществляется скрыто. Хотя администратор может с помощью групповой политики включить отображение выполнения команд (Конфигурация Windows | Административные шаблоны | Система | Сценарии) и выбрать синхронный (пока сценарий не будет выполнен до конца, пользователь не начнет работу в системе) или асинхронный вариант выполнения сценария.

Поскольку в последних версиях Windows возможности управления из командной строки существенно расширены, то с помощью подобных сценариев можно выполнять практически любые действия: подключать сетевые диски в зависимости от членства пользователя в группе безопасности или в OU, переопределять принтеры, осуществлять копирование файлов и т. п.

Преимущество этого способа управления — выполнение сценария при каждом входе в систему и максимальная простота настройки (например, создали один сценарий и настроили его выполнение для всех пользователей). Недостаток — сценарии выполняются от имени учетной записи пользователя. Если пользователь не имеет административных прав, то в сценарии не будут выполняться команды, требующие наличия прав на управление системой.

Третий способ управления — самый распространенный — использование групповых политик для Windows 200x/XP/7. Число настроек, которыми можно управлять с помощью групповых политик, исчисляется тысячами. При этом можно настраивать не только параметры операционной системы, но и основных приложений. Можно осуществлять контроль запуска приложений, настраивать параметры безопасности транспортного протокола, распространять параметры приложений по умолчанию и т. п.

    Примечание

    Использование групповых политик будет рассмотрено в главе 6.

В-четвертых, для управления компьютерами администратор может создавать собственные программы. Конечно, для этого требуется некоторые познания в программировании и опыт, но так можно, например, собрать и проанализировать любые данные, выполнить желаемую настройку на любом числе компьютеров. Преимуществом способа является и полный контроль над ходом выполнения: вы запускаете программы в то время, когда это необходимо.

Проще всего использовать для создания собственных программ имеющиеся в системе средства программирования. Можно выполнять задания в командной строке. Но функционал этих команд ограничен. Большие возможности предоставляют Visual Basic, WMI и PowerShell. С помощью этих средств администратор легко может составить желаемые сценарии.

Чтобы сценарии выполнились на компьютере, на нем должна быть установлена соответствующая система. Например, для запуска Visual Basic — Windows Scripting Host, для сценариев ps — оболочка PowerShell. Не все операционные системы поддерживают этот функционал при установке с параметрами по умолчанию.

    Примечание

    Некоторые основы составления сценариев описаны в главе 6.


1Групповые политики позволяют задать выполнение сценария входа для компьютера. Но на практике автор не встречался с использованием таких сценариев, поскольку обычно администраторы больше используют сценарии входа пользователей и групповые политики.


Рейтинг@Mail.ru