Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
ЖУРАВЛЕВ,
А. В. МАКШАНОВ,
Л. Н. ТЫНДЫКАРЬ
КОРПОРАТИВНЫЕ
ИНФОРМАЦИОННЫЕ СИСТЕМЫ
АДМИНИСТРИРОВАНИЕ
СЕТЕВОГО ДОМЕНА
Учебное пособие
•САНКТПЕТЕРБУРГ•МОСКВА•КРАСНОДАР•
2020
УДК 004.73
ББК 32.973я723
ISBN 978"5"8114"5517"1
УДК 004.73
ББК 32.973я723
Обложка
П. И. ПОЛЯКОВА
ВВЕДЕНИЕ ............................................................................................... 5
1. ПОНЯТИЕ ВИРТУАЛИЗАЦИИ ....................................................... 8
1.1. Виртуальная машина VMware ....................................................... 8
1.2. Краткие сведения о среде ............................................................... 9
1.3. Создание виртуальной машины .................................................. 20
2. СЕРВЕРНЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ .......................... 22
2.1. Обзор Windows Server .................................................................. 22
2.2. Установка операционной системы .............................................. 29
2.3. Управление паролями (политика паролей)................................. 32
3. СЕТЕВОЕ ПОДКЛЮЧЕНИЕ .......................................................... 34
3.1. Сетевые адаптеры в Windows ...................................................... 34
3.2. Основные проблемы при работе с сетью .................................... 36
3.3. Настройка сетевого подключения ............................................... 41
4. DNS — СИСТЕМА ДОМЕННЫХ ИМЕН ..................................... 44
4.1. Основные теоретические сведения ............................................. 44
4.2. Терминология и принципы работы ............................................. 45
4.3. Установка и настройка роли ........................................................ 49
5. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY ......................... 52
5.1. Назначение службы каталогов Active Directory ......................... 55
5.2. Планирование пространства имен AD ........................................ 63
5.3. Развертывание домена .................................................................. 67
6. ПЕРЕМЕЩАЕМЫЕ ПРОФИЛИ .................................................... 76
6.1. Обязательные профили пользователей Windows 10 .................. 77
6.2. Профили групп и пользователей ................................................. 81
6.3. Назначение прав доступа ............................................................. 88
7. ГРУППЫ И ПЕРЕНАПРАВЛЕНИЕ ДЛЯ ПРОФИЛЕЙ ............ 91
7.1. Автоматизация работы с профилями .......................................... 91
7.2. Создание группы профилей ......................................................... 97
7.3. Перенаправление папок.............................................................. 100
8. ПОЛЬЗОВАТЕЛИ И КЛИЕНТЫ.................................................. 106
8.1. Сравнительный обзор операционных систем........................... 106
8.2. Настройка Windows-клиента ..................................................... 113
8.3. Ввод в домен ............................................................................... 116
9. DHCP — ДИНАМИЧЕСКАЯ КОНФИГУРАЦИЯ УЗЛА......... 121
9.1. Установка и настройка DHCP-сервера ..................................... 121
3
9.2. Дополнительные настройки клиента ........................................ 128
9.3. Браузер компьютеров — Computer Browsing ........................... 129
10. ИЕРАРХИЯ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ............................. 154
10.1. Пользователи и группы ............................................................ 155
10.2. Каталоги и профили.................................................................. 157
10.3. Настройка безопасности........................................................... 160
ЗАКЛЮЧЕНИЕ .................................................................................... 166
СПИСОК ЛИТЕРАТУРЫ .................................................................. 168
4
ВВЕДЕНИЕ
5
Администрирование почтовых служб. Классифицируется по размеру:
– небольшие Windows почтовые сервера (класса Kerio);
– сложнейший многофункциональный Exchange;
– стандартный Linux/FreeBSD сервер с любым распространенным поч-
товым сервером (postfix, exim, sendmail и т. д.).
Диапазон задач: от добавления почтового ящика, дополнительного до-
мена и адреса пользователю до настройки почтовой тикет-системы, списка
рассылки, фильтрации спама, автоматической регистрации ящиков и т. д.
Администрирование баз данных (БД) — чаще всего является частью
определенной инфраструктуры. Специализированные администраторы баз
данных — отдельная сложнейшая специальность. Спектр задач начинается
с установки, перезапуска, подключения в приложении, добавления/удале-
ния БД, а также формирования резервных копий и их восстановления (что
сложнее). Потолок, теоретически, упирается в бесконечность, так как если
имеются полные знания по определенной системе управления базами дан-
ных (СУБД), SQL, навыки развертывания сервера с активной асинхронной
подпиской на другую БД, то далее идет рассмотрение различных типов баз
данных, количество которых огромно. Технически, потолком можно счи-
тать способность восстановить поврежденную БД типа MyISAM.
Администрирование 1C. Управление информационной средой и кон-
фигурациями на базе продуктов 1C: Предприятие. Задачи: от создания но-
вой базы, настройки пользователей и обновления базовой конфигурации до
редактирования конфигураций, их дальнейшей поддержки, интеграции с
другим ПО и SQL.
Веб-администрирование. Задачи зависят от типа предприятия и теку-
щего проекта: от организации простейшего хостинга сайта до решения про-
блем производительности в django-orm при работе с postregsql. Также в этот
диапазон могут оказаться включенными копирайтинг, поисковый спам
(SEO), веб-дизайн, веб-программирование и т. д.
Администрирование систем контроля доступа и видеонаблюдения.
Чаще всего за это отвечают специализированные организации, однако бы-
вает, что приходится подключаться и системному администратору. Спектр
задач: от подключения дополнительных камер и регистрации карточек до-
ступа до настройки автоэкспорта видео в архив, синхронизации всех видов
контроля.
6
Администрирование автоматических телефонных станций (АТС).
Еще одна область, которая попадает в системное администрирование слу-
чайно. Задачи: от добавления переадресации и подключения дополнитель-
ных входящих линий до развертывания собственной программной АТС с
голосовым меню на сотни пунктов, SIP/Skype-шлюзом, маршрутизацией,
способной адекватно использовать IP, медь и E1 в зависимости от условий.
Администрирование процессов печати/сканирования. Задача является
тривиальной, но ровно до тех пор, пока не встает проблема установки сете-
вых принтеров и устранения сбоев различных промышленных принтеров.
Спектр задач: от подключения принтера в сеть до решения проблем цвето-
вых профилей, подключения принтера этикеток в качестве сетевого, авто-
матического назначения принтеров при входе пользователя в компьютер.
Далее будут рассмотрены основные аспекты первых перечисленных за-
дач системного администрирования, внимание уделяется администрирова-
нию сети в целом и рабочих станций в частности, а также методам органи-
зации централизованной авторизации пользователей в сети.
7
1. ПОНЯТИЕ ВИРТУАЛИЗАЦИИ
8
размер HDD для WinServer — 20 Gb). Особое внимание стоит уделить под-
ключению и настройке сетевого адаптера.
9
Рис. 2. Виртуальная среда
10
Рис. 4. Дополнительные настройки
Повышение управляемости: предоставляется возможность создания
виртуальных машин с ограниченным доступом и сроком действия. Вклю-
ченная виртуальная машина отправляет на сервер запросы с определенным
интервалом, сохраняя текущее системное время в файле политик виртуаль-
ной машины с ограниченным доступом в качестве последней надежной
метки времени.
Планшет в виртуальной машине: виртуальные датчики планшета
(рис. 5) предоставляют виртуальным машинам, работающим на планшетах,
преимущества датчика ускорения, гироскопа, компаса и датчика внешней
освещенности (рис. 6).
11
Рис. 5. Виртуальная операционная система
12
Лучший способ работы:
– настроить несколько мониторов (два, три или четыре) достаточно
просто (рис. 7). VMware-KVM предоставляет новый интерфейс для исполь-
зования нескольких виртуальных машин.
13
– консолидация нескольких компьютеров, на которых выполняются
веб-серверы, серверы баз данных и т. п., на одном компьютере;
– создание эталонных архитектур для выполнения оценки перед раз-
вертыванием в производственной среде;
– простой способ перемещения виртуальной машины с ПК в среду
vSphere или в облако (рис. 8);
– постоянный и повсеместный доступ;
– прозрачный доступ ко всем виртуальным машинам независимо от их
расположения (рис. 9);
– удаленное подключение к виртуальным машинам, работающим в
другом экземпляре VMware Workstation или на платформе VMware
vSphere;
– веб-интерфейс Workstation обеспечивает доступ к локальным и раз-
мещенным на сервере виртуальным машинам с компьютера, смартфона,
планшета или любого другого устройства, оснащенного современным брау-
зером. Дополнительные подключаемые модули не требуются.
14
Рис. 9. Доступ к облаку
Облако на компьютере:
– с помощью Workstation можно создать облако прямо на компьютере
или ноутбуке;
– запуск 64-разрядных виртуальных машин в среде VMware vSphere
или Microsoft Hyper-V Server, которая сама работает в виртуальной машине
Workstation;
– запуск VMware Micro Cloud Foundry и других облачных инфраструк-
тур, таких как OpenStack от Apache;
– запуск приложений для обработки больших объемов данных (предо-
ставляемых такими компаниями, как Cloudera), в том числе библиотеки ПО
Apache™, Hadoop™;
– выполнение самых ресурсоемких приложений. VMware Workstation
поддерживает новейшее оборудование для воссоздания серверных сред,
сред настольных компьютеров и сред планшетов (рис. 10);
15
– можно создавать виртуальные машины, включающие до 16 виртуаль-
ных ЦП или 16 виртуальных ядер, виртуальные диски емкостью 8 Тбайт и
до 64 Гбайт памяти каждая. Поддержка HD-аудиокодеков с трехмерной аку-
стической системой 7.1, интерфейсов USB 3.0 и Bluetooth;
– виртуальные процессоры, включающие расширения виртуализации.
Контроллеры виртуальных дисков с интерфейсами SCSI, SATA и IDE.
Впервые виртуальная машина оснащена виртуальными магнитометром,
датчиком ускорения и гироскопом;
– обеспечение безопасности с помощью виртуальных машин с ограни-
ченным доступом (рис. 11). Создание виртуальных машин с шифрованием,
обязательной сменой пароля администратора и истечением срока действия
в заданную вами дату;
– VMware Workstation может работать как сервер и предоставлять об-
щий доступ к виртуальным машинам для команды, отдела или организации.
Управление доступом пользователей (рис. 12) в масштабе организации —
самый быстрый способ обеспечить общий доступ к приложениям и их те-
стирование в среде, близкой к производственной.
16
Рис. 11. Настройки доступа
17
18
туальных машин. Средства поиска помогают быстро найти нужные вирту-
альные машины, работающие на локальном ПК, в VMware vSphere или в
другом экземпляре Workstation в сети.
Выполнение многоуровневых приложений на одном компьютере: удоб-
ное управление несколькими виртуальными машинами, подключенными к
сети, путем их размещения в одной папке. Папки в библиотеке виртуальных
машин обеспечивают удобный запуск и выполнение сложных многоуров-
невых корпоративных приложений на одном ПК — одним щелчком мыши.
Снимки и клоны:
– снимки сохраняют текущее состояние виртуальной машины, чтобы
при необходимости всегда можно было вернуться к этому состоянию.
Снимки полезны, если нужно вернуть виртуальную машину в предыдущее
состояние для установки новой сборки приложения, удаления или исправ-
ления вредоносного ПО;
– установка операционных систем и приложений может быть трудоем-
кой и длительной. С помощью клонов можно создать несколько копий вир-
туальных машин в рамках базового процесса установки и настройки. Эта
возможность ускоряет и упрощает поддержку стандартизированных вычис-
лительных сред для сотрудников компаний и студентов, а также облегчает
создание базовой конфигурации для тестирования. Связанные клоны помо-
гают добиться того же результата при использовании значительно мень-
шего объема дискового пространства.
Печать без дополнительной настройки: автоматический доступ к
принтерам, подключенным к компьютерам, для виртуальных машин
Windows и Linux — драйверы и настройка не требуются. Принтер ПК по
умолчанию будет отображаться как принтер по умолчанию в виртуальных
машинах.
Машина времени для компьютеров: неисправные приложения, отказы
оборудования, вирусы и другое вредоносное ПО не сопровождаются преду-
преждением, что пора создать снимок вручную. AutoProtect создает снимки
автоматически через указанные интервалы, что обеспечивает защиту от слу-
чайных неполадок и возврат в исправное состояние.
Перепрофилирование старого оборудования: быстрое и удобное преоб-
разование всех физических ПК на базе Microsoft Windows и Linux, которые
занимают место на вашем рабочем столе, в виртуальные машины VMware
19
Workstation. Получите все преимущества виртуализации и освободите рабо-
чее место и оборудование.
Защита: защита виртуальных машин от несанкционированного до-
ступа с помощью расширенного 256-разрядного шифрования.
20
Рис. 15. Редактирование оборудования
21
2. СЕРВЕРНЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ
22
Службы удаленных рабочих столов (Remote Desktop Services), ранее
называвшиеся службами терминалов (Terminal Services), виртуализируют
среду обработки и отделяют обработку от графической подсистемы и
средств ввода-вывода, что позволяет запускать приложение в одном месте,
а работать с ним из другого места. Виртуализация представлений дает воз-
можность опубликовать как конкретные приложения или отображать рабо-
чий стол, позволяющий выполнять несколько приложений.
Упрощение управления и снижение энергопотребления. Управление
серверами в центрах обработки данных — одна из тех задач, что отнимают
у IT-специалистов больше всего времени. Применяемая в организации стра-
тегия управления должна поддерживать управление физическими и вирту-
альными средами. Одной из целей создания Windows Server было уменьше-
ние трудоемкости управления серверами Windows Server и выполнения по-
вседневных задач по администрированию серверов, а также предоставление
возможности выполнять эти задачи как непосредственно на сервере, так и
удаленно:
– усовершенствованное управление энергопотреблением центров обра-
ботки данных;
– упрощение удаленного администрирования;
– снижение трудоемкости административных задач, выполняемых
вручную;
– повышение эффективности управления и работы со средствами ко-
мандной строки благодаря PowerShell версии 2.0;
– более эффективное управление удостоверениями;
– повышение уровня соответствия существующим стандартам и пере-
довому опыту.
Масштабируемость и надежность. Windows Server поддерживает не-
достижимые ранее объемы рабочих нагрузок, динамическую масштабируе-
мость, доступность и надежность на всех уровнях, а также ряд других новых
и обновленных функций:
– использование современной архитектуры процессоров;
– повышение уровня модульности операционной системы;
– повышение производительности и масштабируемости приложений и
служб;
– более эффективные решения для хранения данных;
23
– более эффективная защита интранет-ресурсов;
– преимущества совместного использования с Windows 7/8/10.
Windows Server поддерживает ряд функций, рассчитанных на работу с
клиентскими компьютерами под управлением Windows 7. Следующие воз-
можности доступны только при использовании клиентских компьютеров
под управлением Windows 7/8/10 и серверов Windows Server:
– упрощение удаленного подключения к корпоративным компьютерам
благодаря применению функции DirectAccess;
– повышение производительности филиалов;
– повышение безопасности филиалов;
– повышение эффективности управления питанием;
– повышение эффективности интеграции с виртуальными рабочими
столами;
– повышение устойчивости соединений между сайтами;
– повышение защищенности съемных носителей;
– более эффективная защита от потери данных мобильных пользовате-
лей.
24
Datacenter — это надежная основа для решений виртуализации корпоратив-
ного уровня и крупномасштабных систем.
25
зовании с несколькими популярными платформами разработки. Эта плат-
форма поддерживает роли веб-сервера и DNS-сервера, обладает повышен-
ной надежностью и масштабируемостью и обеспечивает управление в са-
мых разных средах, от отдельного веб-сервера до фермы веб-серверов.
26
живающее такую функцию. Требуется технология виртуализации сторон-
них разработчиков. Виртуализация Hyper-VTM недоступна для систем на
базе процессоров Itanium.
27
и диагностике, предназначенным для решений по отказоустойчивой класте-
ризации, IT-специалисты могут проще и быстрее выполнять настройку кла-
стеров и управлять ими.
Факс-сервер — это роль в Windows Server 2 для управления общими
ресурсами факсов. Факс-сервер позволяет настроить факсимильные устрой-
ства так, чтобы пользователи сети могли отправлять и получать факсы.
Основная инфраструктура. Windows Server поддерживает и расши-
ряет службы основной инфраструктуры, необходимые для работы сети.
DirectAccess — это новая функция в операционных системах Windows
7/8/10 и Windows Server, обеспечивающая удобное подключение пользова-
телей к корпоративной сети в любое время при наличии доступа в Интернет.
Решения для работы с файлами и принтерами. Новые возможности
управления и оптимизации производительности делают подсистему хране-
ния данных Windows Server самой эффективной на сегодняшний день.
Сетевые службы. В Windows Server входят усовершенствованные се-
тевые технологии, которые упрощают процесс подключения к сети и под-
держку соединения, независимо от места нахождения пользователей и типа
сети.
Службы удаленных рабочих столов (RDS). Служба удаленных рабочих
столов (RDS) ускоряет развертывание рабочих столов и приложений, поз-
воляя любому клиенту использовать любое приложение или операционную
систему.
Инфраструктура классификации файлов. Благодаря инфраструктуре
классификации файлов можно повысить эффективность управления, сокра-
тить затраты и снизить риски путем использования готового решения для
классификации файлов, позволяющего администраторам автоматизировать
выполняемые вручную процессы с помощью предварительно созданных по-
литик, основанных на коммерческой ценности данных.
Идентификация и управление доступом. Решения Microsoft по управ-
лению удостоверениями и доступом помогают организациям в управлении
пользователями и их правами доступа.
Internet Information Services. Windows Server с IIS — это удобная в
управлении платформа с повышенной безопасностью для разработки и
надежного размещения веб-приложений и веб-служб.
28
Защита доступа к сети (NAP). NAP обеспечивает принудительное со-
блюдение требований к работоспособности, оценивая работоспособность
клиентских компьютеров при их подключении к сети или попытках обмена
данными с сетью.
Управление сервером. Описание новых возможностей Windows Server,
упрощающих развертывание серверов и управление ими.
Виртуализация с помощью Hyper-V. Все, что требуется для поддержки
виртуализации серверов, — Hyper-V, компонент операционной системы
Windows Server.
Windows Storage Server. Microsoft Windows Storage Server основан на
оптимизированном выпуске гибких и надежных файловых служб Windows
Server и обеспечивает более высокую производительность при работе с фай-
лами.
Службы потокового мультимедиа. Роль служб потокового мультиме-
диа в Windows Server предоставляет возможность потоковой передачи циф-
рового мультимедийного содержимого на клиентские компьютеры через
сеть.
Службы развертывания Windows (WDS). Службы развертывания
Windows в Windows Server являются обновленной и переработанной вер-
сией служб удаленной установки (RIS).
Службы Windows Server Update Services (WSUS). Позволяют IT-
администраторам развертывать последние обновления продуктов Microsoft
на компьютерах под управлением OC Windows.
29
Рис. 24. Активация ОС
Примечание: если ключ не подходит, оставляем поле пустым, т. е. бу-
дем пользоваться системой в триальном периоде. Активировать ее не обя-
зательно, самое страшное — это окошко с просьбой активировать систему
при старте.
Также можно активировать при помощи Интернета, для этого нужно
поставить галочку рядом с полем «Автоматически активировать Windows
при подключении к Интернету». Мы воспользуемся первым вариантом. По-
сле ввода нажимаем кнопку «Далее».
Идет установка сервера (рис. 25).
Во время установки включится автоматическая перезагрузка. После пе-
резагрузки установщик перейдет к последней стадии установки, представ-
ленной на рисунке 26, после чего опять перезагрузится.
Далее входим в систему (рис. 27). Для этого нажимаем одновременно
кнопки Ctrl + Alt + Delete, система попросит ввести новый пароль админи-
стратора.
30
Рис. 25. Установка ОС
31
Рис. 27. Вход в систему
32
Открываем вкладку: Политики учетных записей => Политика паролей
(рис. 29).
33
3. СЕТЕВОЕ ПОДКЛЮЧЕНИЕ
34
35
После этого появятся все отключенные адаптеры, которые раньше были
подключены и настроены.
36
просто отсутствует возможность подключиться к Интернету. Очень часто с
этой проблемой сталкиваются после переустановки Windows. Далее еще раз
кратко будут рассмотрены основные адаптеры, использующиеся для под-
ключения к сети Интернет.
Беспроводной сетевой адаптер — он же Wi-Fi-адаптер — отвечает за
подключение к Интернету по Wi-Fi. Как правило, он встроен в каждый но-
утбук и изначально отсутствует в стационарных компьютерах. Но его
можно докупить.
Сетевая карта, или Ethernet-адаптер (LAN), используется для подклю-
чения по сетевому кабелю. Есть на всех ПК (LAN-порт на материнской
плате или отдельной картой). Также LAN есть практически на всех ноутбу-
ках, кроме ультрабуков. Там используются переходники USB-LAN.
Еще раз обратите внимание, что в зависимости от производителя ноут-
бука, ПК или адаптеров, они могут иметь разные название. Также там может
быть много других адаптеров, типа WAN Miniport.
Чтобы открыть диспетчер устройств, можете воспользоваться поиском
в Windows 10, открыть его через свойства в «Мой компьютер» или, нажав
сочетание клавиш Win+R, выполнить команду mmc devmgmt.msc.
Как показывает практика, адаптер (или оба) отсутствует в основном по
трем причинам.
1. Адаптера просто нет в устройстве. В ПК обычно нет встроенного Wi-
Fi-модуля. И, соответственно, он не может отображаться в диспетчере
устройств. Но всегда можно купить такой адаптер и установить. Или та же
сетевая карта может отсутствовать в ноутбуке.
2. Не установлен драйвер на Wi-Fi, или Ethernet-адаптер. Это самая по-
пулярная причина. В таком случае в диспетчере устройств должны быть не-
известные устройства (если физически адаптер присутствует) на вкладке
«Другие устройства». Сюда еще можно отнести настройки BIOS/UEFI.
В некоторых случаях WLAN- или LAN-адаптер может быть отключен в
настройках BIOS/UEFI.
3. Адаптер неисправен. Нередко на стационарных компьютерах сго-
рают сетевые карты, а на ноутбуках выходят из строя Wi-Fi-модули. Сете-
вую карту всегда можно купить (USB или PCI) и установить в ПК. Беспро-
водной модуль можно также поменять. Как для ПК, так и для ноутбука
можно выбрать USB Wi-Fi-адаптер.
37
4. Отсутствует Wi-Fi-адаптер в диспетчере устройств. Практически
всегда, в названии беспроводного адаптера есть такие слова: Wireless,
WLAN, Wireless Network Adapter, 802.11. В основном сетевые адаптеры
отображаются там как сетевой контроллер или USB2.0 WLAN. А дальше
уже необходимо установить на них драйвер. Или сразу загружайте драйвера
на WLAN для своей модели ноутбука и запускайте установку.
5. Отсутствует сетевая карта (LAN). С сетевыми картами проблем
намного меньше. Хотя бы потому, что Windows практически всегда автома-
тически ставит драйвер на Ethernet-адаптеры. Разве что в Windows XP при-
дется ставить драйвер вручную. Но это сейчас уже не очень актуально.
Если сетевой карты в диспетчере устройств нет, а физически она в ком-
пьютере присутствует, то, скорее всего, она вышла из строя. Проверяем
вкладку «Другие устройства». Если там нет неизвестных устройств, карту
вероятно, придется заменить или купить USB Ethernet-адаптер.
38
Следует просто установить драйвер на сетевую карту или переустано-
вить его, если адаптер есть, но он работает с ошибками или вообще не ра-
ботает.
Какой драйвер скачать для сетевой карты (Ethernet-контроллера)? Са-
мый правильный способ — это искать драйвер для модели вашего ноутбука,
материнской платы или самой сетевой карты. Если с самим адаптером, но-
утбуком или материнской платой (для ПК) был в комплекте диск с драйве-
рами, то можно попробовать установить драйвер с диска.
Если диска нет, то придется искать и скачивать драйвер с другого ком-
пьютера или даже мобильного устройства. Затем переносить его на нужный
компьютер и устанавливать.
Если у вас ноутбук со встроенным сетевым адаптером, то здесь все
очень просто. Сначала нужно узнать модель ноутбука. Она точно указана
на наклейке снизу ноутбука. Дальше набираем модель ноутбука в Google и
переходим на официальный сайт. Или заходим на официальный сайт про-
изводителя вашего ноутбука и через поиск по сайту находим страничку мо-
дели своего ноутбука. Там уже ищем вкладку «Драйвера», «Поддержка»
и т. д. и загружаем LAN Driver. Обязательно для конкретной установленной
версии Windows.
В зависимости от производителя ноутбука, сам процесс будет разли-
чаться. Поэтому конкретных инструкций привести нет возможности. Но по-
рядок действий будет таким же. На сайте каждого производителя,
есть страничка определенной модели ноутбука, где можно скачать все драй-
вера.
Поиск LAN драйвера для стационарного компьютера
Если у вас стационарный компьютер, на котором сетевая карта, встро-
енная в материнскую плату, то драйвер нужно искать на сайте производи-
теля материнской платы, для модели вашей материнской платы.
Есть много программ типа AIDA64 или CPU-Z, позволяющих выяснить
модель материнской платы. Но это можно сделать также через командную
строку.
Откройте командную строку, и по очереди выполните команды:
wmic baseboard get Manufacturer
39
wmic baseboard get product
Можно только последнюю. После ее выполнения вы увидите модель
материнской платы. Дальше ищем в Интернете по модели материнской
платы, переходим на сайт разработчика, и скачиваем LAN-драйвер. Только
не забудьте выбрать свою операционную систему. Там точно будет такая
возможность.
Если у вас PCI- или USB-сетевая карта, то сначала проверьте, не было
ли диска с драйверами в комплекте с самой картой.
Если нет, то нужно узнать модель сетевого адаптера и скачать драйвер
с официального сайта. Модель, как правило, можно посмотреть на самом
устройстве.
Также можно осуществить поиск драйвера Ethernet-контроллера по
VEN и DEV, но это, скорее, запасной способ. Сначала заходим в диспетчер
устройств, нажимаем правой кнопкой мыши на наш Ethernet-контроллер
(или неизвестное устройство, которое, по вашему мнению, может быть се-
тевым адаптером) и выбираем «Свойства».
В новом окне переходим на вкладку «Сведения». В выпадающем меню
выбираем «ИД оборудования». Копируем последнюю строчку (если не по-
лучится, можно попробовать другие).
Переходим на сайт http://devid.info. В строке поиска вставляем скопи-
рованную строчку с диспетчера устройств и нажимаем «Искать».
Скачиваем первый драйвер из списка. Обратите внимание, что возле
драйвера будет указана операционная система, для которой он подходит.
Вам нужен драйвер для установленной у вас операционной системы
Windows. Сверху можно выбрать нужную систему и разрядность системы.
Например, Windows 10.
Далее, как показывает практика, для установки нужно просто открыть
скачанный архив, запустить файл setup.exe и следовать инструкциям по
установке.
Если в процессе установки драйвера появится какая-то ошибка, то пе-
резагрузите компьютер и попробуйте запустить установку еще раз. Если все
же драйвер не захочет устанавливаться, то попробуйте скачать другой. Но
проблем возникнуть не должно.
40
Можно попробовать еще один способ установки. Сначала извлеките
все файлы из архива с драйвером, например на рабочий стол.
Дальше заходим в диспетчер устройств и нажимаем правой кнопкой
мыши на сетевую карту, точнее на неизвестное устройство (или Ethernet-
контроллер), которое, по вашему мнению, является сетевым адаптером, и
выбираем «Обновить драйверы».
В новом окне выбираем «Выполнить поиск драйверов на этом компь-
ютере».
Дальше нажимаем на кнопку «Обзор», указываем папку с драйверами
и нажимаем кнопку «Далее».
Система должна сама найти и установить драйвер, если вы указали
папку с правильными драйверами.
3.2.3. Резюме
Проверяем наличие необходимого сетевого адаптера на своем компью-
тере.
Убеждаемся, что проблема не в драйверах.
Если ничего не помогает — относим компьютер в ремонт или самосто-
ятельно меняем необходимый адаптер. Нужно отметить, что в домашних
условиях весьма проблематично определить причину отсутствия адаптера и
найти поломку.
41
Рис. 30. Сетевые подключения
42
Рис. 32. Свойства протокола TCP/IPv4
На этом настройка сетевого подключения окончена.
43
4. DNS — СИСТЕМА ДОМЕННЫХ ИМЕН
44
сформулированной Полом Мокапетрисом. Мокапетрис вместо этого создал
концепцию иерархической системы доменных имен.
Рабочая группа IETF опубликовала оригинальные спецификации в RFC
882 и RFC 883 в ноябре 1983 года.
В 1984 году четыре студента UC Berkeley, Дуглас Терри, Марк Пейн-
тер, Дэвид Риггл и Сонгниан Чжоу, написали первую версию сервера имен
BIND (Berkeley Internet Name Daemon). В 1985 году Кевин Данлэп из DEC
существенно пересмотрел реализацию DNS. Майк Карел, Фил Альмквист и
Пол Викси поддерживали BIND с тех пор. В начале 1990-х годов BIND был
перенесен на платформу Windows NT. Он широко распространен, особенно
в Unix-системах, и по-прежнему является наиболее широко используемым
программным обеспечением DNS в Интернете.
В ноябре 1987 года были приняты спецификации DNS — RFC 1034 и
RFC 1035. После этого были приняты сотни RFC, изменяющих и дополня-
ющих DNS.
Актуальная версия DNS обладает следующими характеристиками:
– распределенность администрирования: ответственность за разные
части иерархической структуры несут разные люди или организации;
– распределенность хранения информации: каждый узел сети в обяза-
тельном порядке должен хранить только те данные, которые входят в его
зону ответственности, и (возможно) адреса корневых DNS-серверов.
– кеширование информации: узел может хранить некоторое количество
данных не из своей зоны ответственности для уменьшения нагрузки на сеть;
– иерархическая структура, в которой все узлы объединены в дерево,
и каждый узел может или самостоятельно определять работу нижестоящих
узлов, или делегировать (передавать) их другим узлам;
– резервирование: за хранение и обслуживание своих узлов (зон) отве-
чают (обычно) несколько серверов, разделенных как физически, так и логи-
чески, что обеспечивает сохранность данных и продолжение работы даже в
случае сбоя одного из узлов.
45
в дереве имён. Структура доменного имени отражает порядок следования
узлов в иерархии; доменное имя читается слева направо от младших доме-
нов к доменам высшего уровня (в порядке повышения значимости): вверху
находится корневой домен (имеющий идентификатор «.» (точка)), ниже
идут домены первого уровня (доменные зоны), затем — домены второго
уровня, третьего и т. д. (например, для адреса ru.gumrf.org домен первого
уровня — org, второго — gumrf, третьего — ru). DNS позволяет не указы-
вать точку корневого домена.
Поддомен — подчинённый домен (например, gumrf.org — поддомен
домена org, а ru.gumrf.org — домена gumrf.org). Теоретически такое деление
может достигать глубины 127 уровней, а каждая метка может содержать до
63 символов, пока общая длина вместе с точками не достигнет 254 симво-
лов. Но на практике регистраторы доменных имён используют более стро-
гие ограничения. Например, если у вас есть домен вида mydomain.ru, вы мо-
жете создать для него различные поддомены вида mysite1.mydomain.ru,
mysite2.mydomain.ru и т. д.
Ресурсная запись — единица хранения и передачи информации в
DNS. Каждая ресурсная запись имеет имя (то есть привязана к определён-
ному доменному имени, узлу в дереве имён), тип и поле данных, формат и
содержание которого зависит от типа.
Зона — часть дерева доменных имён (включая ресурсные записи), раз-
мещаемая как единое целое на некотором сервере доменных имён (DNS-
сервере), а чаще — одновременно на нескольких серверах. Целью выделе-
ния части дерева в отдельную зону является передача ответственности (см.
ниже) за соответствующий домен другому лицу или организации. Это назы-
вается делегированием. Как связная часть дерева, зона внутри тоже пред-
ставляет собой дерево. Если рассматривать пространство имён DNS как
структуру из зон, а не отдельных узлов/имён, тоже получается дерево;
оправданно говорить о родительских и дочерних зонах, о старших и подчи-
нённых. На практике большинство зон 0-го и 1-го уровня ('.', ru, com, …)
состоят из единственного узла, которому непосредственно подчиняются до-
черние зоны. В больших корпоративных доменах (2-го и более уровней)
иногда встречается образование дополнительных подчинённых уровней без
выделения их в дочерние зоны.
46
Делегирование — операция передачи ответственности за часть дерева
доменных имён другому лицу или организации. За счёт делегирования в
DNS обеспечивается распределённость администрирования и хранения.
Технически делегирование выражается в выделении этой части дерева в от-
дельную зону и размещении этой зоны на DNS-сервере, управляемом этим
лицом или организацией. При этом в родительскую зону включаются «скле-
ивающие» ресурсные записи (NS и А), содержащие указатели на DNS-сер-
вера дочерней зоны, а вся остальная информация, относящаяся к дочерней
зоне, хранится уже на DNS-серверах дочерней зоны.
DNS-сервер — специализированное ПО для обслуживания DNS,
а также компьютер, на котором это ПО выполняется. DNS-сервер может
быть ответственным за некоторые зоны и/или может перенаправлять за-
просы вышестоящим серверам.
DNS-клиент — специализированная библиотека (или программа) для
работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента.
Авторитетность — признак размещения зоны на DNS-сервере. От-
веты DNS-сервера могут быть двух типов: авторитетные, когда сервер заяв-
ляет, что сам отвечает за зону, и неавторитетные (Non-authoritative), когда
сервер обрабатывает запрос и возвращает ответ других серверов. В некото-
рых случаях вместо передачи запроса дальше DNS-сервер может вернуть
уже известное ему (по запросам ранее) значение (режим кеширования).
DNS-запрос — запрос от клиента (или сервера) серверу. Запрос может
быть рекурсивным или нерекурсивным.
Система DNS содержит иерархию DNS-серверов, соответствующую
иерархии зон. Каждая зона поддерживается как минимум одним авторитет-
ным сервером DNS (от англ. authoritative — авторитетный), на котором рас-
положена информация о домене.
Имя и IP-адрес не тождественны — один IP-адрес может иметь множе-
ство имён, что позволяет поддерживать на одном компьютере множество
веб-сайтов (это называется виртуальный хостинг). Обратное тоже справед-
ливо — одному имени может быть сопоставлено множество IP-адресов: это
позволяет создавать балансировку нагрузки.
Для повышения устойчивости системы используется множество серве-
ров, содержащих идентичную информацию, а в протоколе есть средства,
позволяющие поддерживать синхронность информации, расположенной на
47
разных серверах. Существует 13 корневых серверов, их адреса практически
не изменяются.
Протокол DNS использует для работы TCP- или UDP-порт 53 для отве-
тов на запросы. Традиционно запросы и ответы отправляются в виде одной
UDP-датаграммы. TCP используется, когда размер данных ответа превы-
шает 512 байт, и для AXFR-запросов.
Рекурсия — алгоритм поведения DNS-сервера: выполнение от имени
клиента полного поиска нужной информации во всей системе DNS, при
необходимости обращаясь к другим DNS-серверам.
DNS-запрос может быть рекурсивным — требующим полного поиска,
и нерекурсивным (или итеративным) — не требующим полного поиска.
Аналогично — DNS-сервер может быть рекурсивным (умеющим вы-
полнять полный поиск) и нерекурсивным (не умеющим выполнять полный
поиск). Некоторые программы DNS-серверов, например BIND, можно скон-
фигурировать так, чтобы запросы одних клиентов выполнялись рекурсивно,
а запросы других — нерекурсивно.
При ответе на нерекурсивный запрос, а также при неумении или за-
прете выполнять рекурсивные запросы DNS-сервер либо возвращает дан-
ные о зоне, за которую он ответственен, либо возвращает ошибку.
Настройки нерекурсивного сервера, когда при ответе выдаются адреса сер-
веров, которые обладают большим объёмом информации о запрошенной
зоне, чем отвечающий сервер (чаще всего — адреса корневых серверов), яв-
ляются некорректными, и такой сервер может быть использован для орга-
низации DoS-атак.
В случае рекурсивного запроса DNS-сервер опрашивает серверы (в по-
рядке убывания уровня зон в имени), пока не найдёт ответ или не обнару-
жит, что домен не существует (на практике поиск начинается с наиболее
близких к искомому DNS-серверов, если информация о них есть в кеше и
не устарела, сервер может не запрашивать другие DNS-серверы).
При рекурсивной обработке запросов все ответы проходят через DNS-
сервер, и он получает возможность кешировать их. Повторный запрос на те
же имена обычно не идёт дальше кеша сервера, обращения к другим серве-
рам не происходит вообще. Допустимое время хранения ответов в кеше
приходит вместе с ответами (поле TTL ресурсной записи).
48
Рекурсивные запросы требуют больше ресурсов от сервера (и создают
больше трафика), так что обычно принимаются от «известных» владельцу
сервера узлов (например, провайдер предоставляет возможность делать ре-
курсивные запросы только своим клиентам, в корпоративной сети рекур-
сивные запросы принимаются только из локального сегмента). Нерекурсив-
ные запросы обычно принимаются ото всех узлов сети (и содержательный
ответ даётся только на запросы о зоне, которая размещена на узле, на DNS-
запрос о других зонах обычно возвращаются адреса других серверов).
DNS используется в первую очередь для преобразования символьных
имён в IP-адреса, но он также может выполнять обратный процесс. Для
этого используются уже имеющиеся средства DNS. Дело в том, что с запи-
сью DNS могут быть сопоставлены различные данные, в том числе и какое-
либо символьное имя. Существует специальный домен in-addr.arpa, записи
в котором используются для преобразования IP-адресов в символьные
имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно
запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соот-
ветствующее символьное имя. Обратный порядок записи частей IP-адреса
объясняется тем, что в IP-адресах старшие биты расположены в начале, а в
символьных DNS-именах старшие (находящиеся ближе к корню) части рас-
положены в конце.
49
Рис. 34. Выбор ролей сервера
На следующем этапе нажимаем «Далее» (рис. 35).
50
Рис. 36. Подтверждение установки ролей
Нажимаем «Установить». Начинается установка DNS-сервера (рис. 37).
На последнем этапе проверяем, не возникло ли ошибок при установке, и
нажимаем «Закрыть».
51
52
Рис. 38. Модель безопасности «Рабочая группа»
В данном примере изображены два сервера (SRV-1 и SRV-2) и две ра-
бочие станции (WS-1 и WS-2). Их базы данных SAM обозначены соответ-
ственно SAM-1, SAM-2, SAM-3 и SAM-4 (на рисунке базы SAM изобра-
жены в виде овала). В каждой БД есть учетные записи пользователей User1
и User2. Полное имя пользователя User1 на сервере SRV-1 будет выглядеть
как SRV-1\User1, а полное имя пользователя User1 на рабочей станции WS-1
будет выглядеть как WS-1\User1. Представим, что на сервере SRV-1 создана
папка Folder, к которой предоставлен доступ по сети пользователям
User1 — на чтение (R), User2 — чтение и запись (RW). Главный момент в
этой модели заключается в том, что компьютер SRV-1 ничего «не знает» об
учетных записях компьютеров SRV-2, WS-1, WS-2, а также всех остальных
компьютеров сети. Если пользователь с именем User1 локально зарегистри-
руется в системе на компьютере, например WS-2 (или, как еще говорят, вой-
53
дет в систему с локальным именем User1 на компьютере WS-2), то при по-
пытке получить доступ с этого компьютера по сети к папке Folder на сервере
SRV-1 сервер попросит пользователя ввести имя и пароль (исключением яв-
ляется случай, когда у пользователей с одинаковыми именами одинаковые
пароли).
Модель «Рабочая группа» более проста для изучения, здесь нет необ-
ходимости изучать сложные понятия Active Directory. Но при использова-
нии этой модели в сети с большим объемом внутренних сетевых ресурсов
становится очень сложно управлять именами пользователей и их паро-
лями — приходится либо на каждом компьютере (который предоставляет
свои ресурсы для совместного использования в сети) вручную создавать
одни и те же учетные записи с одинаковыми паролями, что очень трудо-
емко, либо делать одну учетную запись на всех пользователей с одним на
всех паролем (или вообще без пароля), что сильно снижает уровень защиты
информации. Поэтому модель «Рабочая группа» рекомендуется только для
сетей с числом компьютеров от трех до десяти (а еще лучше — не более
пяти) и при условии, что среди всех компьютеров нет ни одного с системой
Windows Server.
Доменная модель. В доменной модели существует единая база данных
служб каталогов, доступная всем компьютерам сети. Для этого в сети уста-
навливаются специализированные серверы, называемые контроллерами до-
мена, которые хранят на своих жестких дисках эту базу. На рисунке 39 изоб-
ражена схема доменной модели. Серверы DC-1 и DC-2 — контроллеры до-
мена, они хранят доменную базу данных учетных записей (каждый контрол-
лер хранит у себя свою собственную копию БД, но все изменения, произво-
димые в БД на одном из серверов, реплицируются на остальные контрол-
леры).
В такой модели, если, например, на сервере SRV-1, являющемся чле-
ном домена, предоставлен общий доступ к папке Folder, то права доступа к
данному ресурсу можно назначать не только для учетных записей локаль-
ной базы SAM данного сервера, но, самое главное, учетным записям, хра-
нящимся в доменной БД. На рисунке для доступа к папке Folder даны права
доступа одной локальной учетной записи компьютера SRV-1 и нескольким
учетным записям домена (пользователя и группам пользователей). В домен-
ной модели управления безопасностью пользователь регистрируется на
54
компьютере («входит в систему») со своей доменной учетной записью
и, независимо от компьютера, на котором была выполнена регистрация, по-
лучает доступ к необходимым сетевым ресурсам. Таким образом, нет необ-
ходимости на каждом компьютере создавать большое количество локаль-
ных учетных записей, все записи созданы однократно в доменной БД. С по-
мощью доменной базы данных осуществляется централизованное управле-
ние доступом к сетевым ресурсам независимо от количества компьютеров
в сети.
55
емые атрибутами. Например, атрибутами, хранимыми в каталоге о пользо-
вателе, могут быть его имя руководителя, номер телефона, адрес, имя для
входа в систему, пароль, группы, в которые он входит, и многое другое. Для
того чтобы сделать хранилище каталога полезным для пользователей,
должны существовать службы, которые будут взаимодействовать с ката-
логом. Например, можно использовать каталог как хранилище информа-
ции, по которой можно аутентифицировать пользователя, или как место,
куда можно послать запрос для того, чтобы найти информацию об объ-
екте.
Active Directory отвечает не только за создание и организацию этих не-
больших объектов, но также и за большие объекты, такие как домены, OU
(организационные подразделения) и сайты.
Об основных терминах, используемых в контексте службы каталогов
Active Directory, читайте далее.
Служба каталогов Active Directory (AD) обеспечивает эффективную ра-
боту сложной корпоративной среды, предоставляя следующие возможно-
сти:
– единая регистрация в сети: пользователи могут регистрироваться в
сети с одним именем и паролем и получать при этом доступ ко всем сетевым
ресурсам и службам (службы сетевой инфраструктуры, службы файлов и
печати, серверы приложений и баз данных и т. д.);
– безопасность информации: средства аутентификации и управления
доступом к ресурсам, встроенные в службу Active Directory, обеспечивают
централизованную защиту сети;
– централизованное управление: администраторы могут централизо-
ванно управлять всеми корпоративными ресурсами;
– администрирование с использованием групповых политик: при за-
грузке компьютера или регистрации пользователя в системе выполняются
требования групповых политик; их настройки хранятся в объектах группо-
вых политик (GPO) и применяются ко всем учетным записям пользователей
и компьютеров, расположенных в сайтах, доменах или организационных
подразделениях;
– интеграция с DNS: функционирование служб каталогов полностью
зависит от работы службы DNS. В свою очередь серверы DNS могут хра-
нить информацию о зонах в базе данных Active Directory;
56
– расширяемость каталога: администраторы могут добавлять в схему
каталога новые классы объектов или добавлять новые атрибуты к существу-
ющим классам;
– масштабируемость: служба Active Directory может охватывать как
один домен, так и множество доменов, объединенных в дерево доменов, а
из нескольких деревьев доменов может быть построен лес;
– репликация информации: в службе Active Directory используется ре-
пликация служебной информации в схеме со многими ведущими (multi-
master), что позволяет модифицировать БД Active Directory на любом кон-
троллере домена. Наличие в домене нескольких контроллеров обеспечивает
отказоустойчивость и возможность распределения сетевой нагрузки;
– гибкость запросов к каталогу: БД Active Directory может использо-
ваться для быстрого поиска любого объекта AD, используя его свойства
(например, имя пользователя или адрес его электронной почты, тип прин-
тера или его местоположение и т. п.);
– стандартные интерфейсы программирования: для разработчиков
программного обеспечения служба каталогов предоставляет доступ ко всем
возможностям (средствам) каталога и поддерживает принятые стандарты и
интерфейсы программирования (API).
В Active Directory может быть создан широкий круг различных объек-
тов. Объект представляет собой уникальную сущность внутри каталога и
обычно обладает многими атрибутами, которые помогают описывать и рас-
познавать его. Учетная запись пользователя является примером объекта.
Этот тип объекта может иметь множество атрибутов, таких как имя, фами-
лия, пароль, номер телефона, адрес и многие другие. Таким же образом об-
щий принтер тоже может быть объектом в Active Directory и его атрибутами
являются его имя, местоположение и т. д. Атрибуты объекта не только по-
могают определить объект, но также позволяют вам искать объекты внутри
каталога.
5.1.1. Терминология
Служба каталогов системы Windows Server построена на общеприня-
тых технологических стандартах. Изначально для служб каталогов был раз-
работан стандарт X.500, который предназначался для построения иерархи-
57
ческих древовидных масштабируемых справочников с возможностью рас-
ширения как классов объектов, так и наборов атрибутов (свойств) каждого
отдельного класса. Однако практическая реализация этого стандарта оказа-
лась неэффективной с точки зрения производительности. Тогда на базе
стандарта X.500 была разработана упрощенная (облегченная) версия стан-
дарта построения каталогов, получившая название LDAP (Lightweight
Directory Access Protocol). Протокол LDAP сохраняет все основные свой-
ства X.500 (иерархическая система построения справочника, масштабируе-
мость, расширяемость), но при этом позволяет достаточно эффективно реа-
лизовать данный стандарт на практике. Термин «lightweight» (облегченный)
в названии LDAP отражает основную цель разработки протокола: создать
инструментарий для построения службы каталогов, которая обладает доста-
точной функциональной мощью для решения базовых задач, но не перегру-
жена сложными технологиями, делающими реализацию служб каталогов
неэффективной. В настоящее время LDAP является стандартным методом
доступа к информации сетевых каталогов и играет роль фундамента во мно-
жестве продуктов, таких как системы аутентификации, почтовые про-
граммы и приложения электронной коммерции. Сегодня на рынке присут-
ствует более 60 коммерческих серверов LDAP, причем около 90% из них
представляют собой самостоятельные серверы каталогов LDAP, а осталь-
ные предлагаются в качестве компонентов других приложений.
Протокол LDAP четко определяет круг операций над каталогами, кото-
рые может выполнять клиентское приложение. Эти операции распадаются
на пять групп:
– установление связи с каталогом;
– поиск в нем информации;
– модификация его содержимого;
– добавление объекта;
– удаление объекта.
Кроме протокола LDAP служба каталогов Active Directory использует
также протокол аутентификации Kerberos и службу DNS для поиска в сети
компонент служб каталогов (контроллеры доменов, серверы глобального
каталога, службу Kerberos и др.).
Основной единицей системы безопасности Active Directory является
домен. Домен формирует область административной ответственности. База
58
данных домена содержит учетные записи пользователей, групп и компью-
теров. Большая часть функций по управлению службой каталогов работает
на уровне домена (аутентификация пользователей, управление доступом
к ресурсам, управление службами, управление репликацией, политики без-
опасности).
Имена доменов Active Directory формируются по той же схеме, что и
имена в пространстве имен DNS. И это не случайно. Служба DNS является
средством поиска компонент домена — в первую очередь контроллеров до-
мена.
Контроллеры домена — специальные серверы, которые хранят соот-
ветствующую данному домену часть базы данных Active Directory. Основ-
ные функции контроллеров домена:
– хранение БД Active Directory (организация доступа к информации, со-
держащейся в каталоге, включая управление этой информацией и ее моди-
фикацию);
– синхронизация изменений в AD (изменения в базу данных AD могут
быть внесены на любом из контроллеров домена, любые изменения, осу-
ществляемые на одном из контроллеров, будут синхронизированы c копи-
ями, хранящимися на других контроллерах);
– аутентификация пользователей (любой из контроллеров домена осу-
ществляет проверку полномочий пользователей, регистрирующихся на кли-
ентских системах).
Настоятельно рекомендуется в каждом домене устанавливать не менее
двух контроллеров домена — во-первых, для защиты от потери БД Active
Directory в случае выхода из строя какого-либо контроллера, во-вторых, для
распределения нагрузки между контроллерами.
Дерево является набором доменов, которые используют единое связан-
ное пространство имен. В этом случае «дочерний» домен наследует свое
имя от «родительского» домена. Дочерний домен автоматически устанавли-
вает двухсторонние транзитивные доверительные отношения с родитель-
ским доменом. Доверительные отношения означают, что ресурсы одного из
доменов могут быть доступны пользователям других доменов.
Пример дерева Active Directory изображен на рис. 40. В данном при-
мере домен company.ru является доменом Active Directory верхнего
уровня. От корневого домена отходят дочерние домены it.company.ru
59
и fin.company.ru. Эти домены могут относиться соответственно к IТ-
службе компании и финансовой службе. У домена it.company.ru есть под-
домен dev.it.company.ru, созданный для отдела разработчиков ПО IТ-
службы.
Корпорация Microsoft рекомендует строить Active Directory в виде од-
ного домена. Построение дерева, состоящего из многих доменов, необхо-
димо в следующих случаях:
– для децентрализации администрирования служб каталогов (напри-
мер, в случае когда компания имеет филиалы, географически удаленные
друг от друга, и централизованное управление затруднено по техническим
причинам);
– для повышения производительности (для компаний с большим коли-
чеством пользователей и серверов актуален вопрос повышения производи-
тельности работы контроллеров домена);
– для более эффективного управления репликацией (если контроллеры
доменов удалены друг от друга, репликация в одном может потребовать
больше времени и создавать проблемы с использованием несинхронизиро-
ванных данных);
– для применения различных политик безопасности для различных
подразделений компании;
– при большом количестве объектов в БД Active Directory.
60
Лес — это наиболее крупная структура в Active Directory. Он объеди-
няет деревья, которые поддерживают единую схему (схема — это набор
определений типов, или классов, объектов в БД Active Directory). В лесу
между всеми доменами установлены двухсторонние транзитивные довери-
тельные отношения, что позволяет пользователям любого домена получать
доступ к ресурсам всех остальных доменов, если они имеют соответствую-
щие разрешения на доступ. По умолчанию первый домен, создаваемый в
лесу, считается его корневым доменом, в корневом домене хранится
схема AD.
Новые деревья в лесу создаются в том случае, когда необходимо по-
строить иерархию доменов с пространством имен, отличным от других про-
странств леса. В примере на рисунке 40 российская компания могла открыть
офис за рубежом и для своего зарубежного отделения создать дерево с до-
меном верхнего уровня company.com. При этом оба дерева являются ча-
стями одного леса с общим «виртуальным» корнем.
При управлении деревьями и лесами нужно помнить два очень важных
момента:
– первое созданное в лесу доменов дерево является корневым деревом,
первый созданный в дереве домен называется корневым доменом дерева
(tree root domain);
– первый домен, созданный в лесу доменов, называется корневым до-
меном леса (forest root domain), данный домен не может быть удален (он
хранит информацию о конфигурации леса и деревьях доменов, его обра-
зующих).
61
Кроме того, ОП могут создаваться для отражения административной
иерархии и организационной структуры компании.
62
Кроме имен DN и RDN, используется основное имя объекта (User
Principal Name, UPN). Оно имеет формат <имя субъекта>@<суффикс до-
мена>. Для того же пользователя из примера основное имя будет выглядеть
как User@company.ru.
Имена DN, RDN могут меняться, если объект перемещается из одного
контейнера AD в другой. Для того чтобы не терять ссылки на объекты при
их перемещении в лесу, всем объектам назначается глобально уникальный
идентификатор (Globally Unique Identifier, GUID), представляющий собой
128-битное число.
63
5.2.1. Один домен, одна зона DNS
На рисунке 41 в левой части — внутренняя сеть компании, справа —
сеть Интернет, две сети разделены маршрутизатором R (кроме маршрутиза-
тора на границе могут быть также прокси-сервер или межсетевой экран).
64
5.2.2. «Расщепление» пространства имен DNS — одно имя домена,
две различные зоны DNS
В данном случае (рис. 42) на различных серверах DNS создаются раз-
личные зоны с одним и тем же именем company.ru. На внутреннем DNS-
сервере функционирует зона company.ru для Active Directory, на внешнем
DNS-сервере — зона с таким же именем, но для ссылок на внешние ре-
сурсы.
65
5.2.3. Поддомен в пространстве имен DNS для поддержки
Active Directory
В данном примере (рис. 43) корневой домен компании company.ru слу-
жит для хранения ссылок на внешние ресурсы. В домене company.ru настра-
ивается делегирование управления поддоменом corp.company.ru на внут-
ренний DNS-сервер, и именно на базе домена corp.company.ru создается до-
мен Active Directory. В этом случае во внешней зоне хранятся ссылки на
внешние ресурсы, а также ссылка на делегирование управления поддоме-
ном на внутренний DNS-сервер. Таким образом, пользователям Интернета
доступен минимум информации о внутренней сети. Такой вариант органи-
зации пространства имен довольно часто используется компаниями.
66
него домена, и не возникает никаких проблем с возможностью показа в Ин-
тернете внутренней структуры. Во-вторых, регистрация (покупка) внутрен-
него имени гарантирует отсутствие потенциальных конфликтов, вызванных
тем, что какая-то другая компания может зарегистрировать в Интернете
имя, совпадающее с внутренним именем вашей компании.
67
Рис. 45. Начало установки AD
68
69
На следующем этапе также нажимаем «Далее» (рис. 49).
70
Для начала, что такое лес:
– домен — минимальная структурная единица организации Active
Directory;
– дерево доменов — иерархическая система доменов, имеющая единый
корень (корневой домен);
– лес доменов — множество деревьев доменов, находящихся в различ-
ных формах доверительных отношений.
Так как новый сервер установлен, выберем «Создать новый домен в но-
вом лесу», нажимаем «Далее».
На следующем этапе нам предлагают ввести полное имя домена
(рис. 51). Введем my.domain.com (имя может быть любое) и нажмем «Да-
лее».
71
Рис. 52. Задание режима работы леса
На следующем этапе нажимаем «Далее», так как DNS-сервер мы уже
установили (рис. 53).
72
Дальше выскочит предупреждение «Назначение статического IP-
адреса». Выберем первый вариант «Да, компьютер будет использовать ди-
намически назначаемый IP-адрес» (рис. 54).
73
На следующем этапе нам предлагают ввести пароль для восстановле-
ния служб каталогов. Вводим пароль и нажимаем «Далее» (рис. 56).
74
После этого начнется установка введенных данных (рис. 58). В конце
установки должно выскочить окно. Нажимаем «Готово».
75
6. ПЕРЕМЕЩАЕМЫЕ ПРОФИЛИ
76
Недостатком перемещаемых профилей является создаваемый при их
использовании дополнительный сетевой трафик и увеличение времени
входа в систему и выхода из системы.
77
Дополнительные сведения можно найти в разделе развертывание пере-
мещаемых профилей пользователей, приложения б и перемещаемых профи-
лей пользователей в Windows 10 и технической версии Windows Server.
78
Настоятельно рекомендуется удалить ненужные приложения, так как
они будут замедлять вход пользователей. В командной строке введите сле-
дующую команду и нажмите клавишу «Ввод».
sysprep /oobe /reboot /generalize /unattend:unattend.xml
(Sysprep.exe расположен по адресу: C:\Windows\System32\sysprep. По
умолчанию программа Sysprep ищет файл Unattend. XML в этой же папке.)
Если появляется сообщение об ошибке «Программа Sysprep не смогла
проверить установленную копию Windows», откройте %WINDIR%\
System32\Sysprep\Panther\setupact.log и найдите запись, подобную приве-
денной ниже:
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus
«CleanupState» = 0x00000007(7)
Также, найдите и удалите раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Upgrade
И затем удалите ключ «Upgrade» в том же разделе.
Процесс Sysprep перезагружает ПК и запускается на экране первого за-
пуска. Завершите настройку и войдите в систему с помощью учетной за-
писи, обладающей правами локального администратора.
Щелкните правой кнопкой мыши кнопку «Пуск», выберите пункт «Па-
нель управления» → «Дополнительные системные параметры», а затем вы-
берите «Параметры» в разделе «Профили пользователей».
В профилях пользователей нажмите кнопку «Профиль по умолчанию»,
а затем выберите команду «Копировать в».
В разделе «Копировать в» в поле «Разрешено использовать» нажмите
кнопку «Изменить».
В окне выберите пользователя или группу, в поле введите имя объекта
для выбора введите everyone, нажмите «Проверить имена», а затем нажмите
кнопку «ОК».
В поле «Копировать в» введите путь и имя папки, в которой вы хотите
сохранить обязательный профиль. Имя папки должно использовать пра-
вильное расширение для версии операционной системы. Например, имя
папки должно заканчиваться на «.V6», чтобы идентифицировать его как
папку профиля пользователя для Windows 10 версии 1607.
79
Если устройство подключено к домену и вы вошли в систему с помо-
щью учетной записи, у которой есть разрешения на запись в общую папку
в сети, то вы можете ввести путь к общей папке.
Если устройство не подключено к домену вы можете сохранить про-
филь на локальном компьютере, а затем скопировать его в общую папку.
Пример пользовательского интерфейса
Нажмите кнопку «ОК», чтобы скопировать профиль пользователя по
умолчанию.
Чтобы сделать профиль пользователя обязательным, выполните ниже-
следующие действия.
В проводнике откройте папку, в которой хранилась копия профиля.
Если папка не отображается, нажмите кнопку «Параметры» → «Про-
смотра», чтобы изменить папку и параметры поиска. На вкладке «Вид»
установите флажок «Показывать скрытые файлы и папки», снимите флажок
«Скрывать защищенные системные файлы», нажмите кнопку «Да», чтобы
подтвердить, что вы хотите показать файлы операционной системы, и
нажмите кнопку «ОК», чтобы сохранить изменения.
Далее следует переименовать Ntuser.dat в Ntuser.man.
Применение обязательного профиля пользователя к пользователям: в
домене вы можете изменить свойства учетной записи пользователя, чтобы
она указывала на обязательный профиль в общей папке, расположенной на
сервере. Для этого откройте оснастку «Пользователи и компьютеры Active
Directory» (DSA.msc). Затем перейдите к учетной записи пользователя, для
которой будет назначен обязательный профиль.
Щелкните правой кнопкой мыши имя пользователя и откройте «Свой-
ства». На вкладке «Профиль» в поле «путь к профилю» введите путь к об-
щей папке без расширения и нажмите «ОК».
Для репликации этого изменения на все контроллеры домена может по-
требоваться некоторое время.
Когда пользователь конфигурируется с обязательным профилем, Win-
dows 10 запускается так, как если бы он был первым входом при каждом
входе пользователя. Чтобы повысить производительность входа для поль-
зователей с обязательными профилями пользователей, примените пара-
метры групповой политики. Так, например, параметры групповой поли-
тики, описанные выше, можно применять в Windows 10 Professional Edition.
80
6.2. Профили групп и пользователей
Для создания перемещаемого профиля пройдите по следующему ад-
ресу: «Пуск» => «Администрирование» => «Active Directory — пользова-
тели и компьютеры» (рис. 59 и 60).
81
Далее создадим подразделение для наших профилей (рис. 61 и 62). Для
этого нажимаем правой кнопкой мыши на название нашего домена, далее
открываем вкладку «Создать» => «Подразделение» и пишем название под-
разделения.
82
Теперь приступим к созданию самих профилей. Для этого нажимаем
правой кнопкой мыши на созданное нами подразделение и создаем пользо-
вателя (рис. 63).
83
Рис. 64. Профиль
На следующем этапе нужно ввести пароль, под которым мы будет вхо-
дить (рис. 65). Введем пароль 123-=qwerty, поставим галочку только напро-
тив «Срок действия пароля не ограничен» и нажмем «Далее».
84
На следующем этапе нажимаем «Готово». Профиль создан.
Теперь сделаем его перемещаемым. Для этого нужно создать папку с
открытым общим доступом на локальном диске. Создаем папку Allmypro-
files$. Знак $ необходим для того, чтобы скрыть от пользователей папку с
профилями. Доступ к этой папке должен быть открыт всем для хранения
там профильных данных, а во избежание редактирования чужих данных
папку необходимо скрыть.
Примечание: если нам нужно скрыть общую (с открытым общим до-
ступом) папку, нужно в конце ее имени поставить знак доллара $.
Рассмотрим скрытие общей папки на примере.
Созданы две папки, открыт общий доступ у каждой папки с одинако-
выми параметрами доступа. В конце имени второй папки «Петя» поставим
знак доллара (рис. 66).
85
86
Рис. 69. Свойства каталога пользователей
Далее переходим на вкладку «Доступ» и нажимаем «Общий доступ»
(рис. 70).
87
Здесь нам нужно выбрать, кто именно будет иметь доступ к этой папке
и с какими правами (рис. 71). Выберем из списка «Все», нажимаем добавить
и ставим его «Совладельцем», который дает нам полные права для «Все».
88
Рис. 72. Свойства пользователя
Переходим к вкладке «Профиль» и вписываем в поле «Путь к про-
филю», корневой путь к папке Allmyprofiles$ (рис. 73).
89
– Allmyprofiles$ — скрытая папка с открытым доступом;
– %username% — создаст папку с именем профиля.
Перейдем к вкладке «Член групп» и добавим наш профиль в группу
«Операторы сервера» (рис. 74).
90
7. ГРУППЫ И ПЕРЕНАПРАВЛЕНИЕ ДЛЯ ПРОФИЛЕЙ
91
7.1.1. Использование перенаправления папок
Итак, перенаправление папок позволяет вам сэкономить место на ло-
кальном диске пользователя при использовании локальных пользователь-
ских профилей, а также существенно сократить трафик при загрузке пере-
мещаемого профиля в случае использование последнего. Данная функцио-
нальная возможность позволяет изменять расположение определенных па-
пок пользовательского профиля и все файлы, помещенные в такие папки,
будут сохраняться в новом расположении, например, на общем сетевом ре-
сурсе. Какие же преимущества можно отметить у данного функционала?
Прежде всего, это доступность данных — пользователь всегда может полу-
чить доступ к своим файлам и папкам, даже если вход в систему выполнен
из разных компьютеров. Причем доступ к перенаправленным папкам при
помощи технологии автономных файлов для пользователей будет доступен
даже при отсутствии подключения к сети организации. Также основным
преимуществом является уменьшение размера перемещаемого профиля.
Другими словами, данные, расположенные в перенаправленных папках, не
копируются во время выполнения входа в систему, а синхронизируются в
фоновом режиме уже после выполнения входа при помощи технологии ав-
тономных файлов. Помимо таких пользовательских папок, как «Доку-
менты», «Музыка» или «Видео», вы можете даже для пользователей, у ко-
торых установлено одинаковое программное обеспечение, перенаправить
папку «Главное меню», и у всех пользователей из определенной группы без-
опасности она будет расположена в общедоступной папке.
Рассмотрим несколько примеров перенаправления папок. Прежде
всего, будет создано простое перенаправление папок «Музыка» и «Видео»
для всех пользователей, расположенных в подразделении «Продажи», а по-
сле этого будет создано расширенное перенаправление папки «Документы»
для пользователей, которые входят в группу безопасности «Продажи». Для
того чтобы реализовать определенные выше задачи, выполните следующие
действия.
Откройте оснастку «Управление групповой политикой». В данной
оснастке, в дереве консоли разверните узел «Лес: %имя леса%», узел «До-
мены», затем узел с названием вашего домена. Перейдите к узлу «Объекты
групповой политики». В узле «Объекты групповой политики» создайте но-
вый объект GPO, например «Перенаправление папок». Затем в оснастке
92
«Управление групповой политикой» выберите созданный вами объект груп-
повой политики, нажмите на нем правой кнопкой мыши, а затем для откры-
тия оснастки «Редактор управления групповыми политиками» из кон-
текстного меню выберите команду «Изменить».
В оснастке «Редактор управления групповыми политиками» развер-
ните узел Конфигурация пользователя\Политики\Конфигурация Windows и
выберите узел «Перенаправление папки». В этом узле вы можете найти
13 параметров политики, названия которых совпадают с наименованиями
соответствующих папок пользовательского профиля. Думаю, сразу стоит
обратить внимание на то, что для пользователей операционной системы
Windows XP вы можете настраивать перенаправление только для пяти па-
пок, а именно для папок «AppData (перемещаемая)» (в XP — это папка
«Application Data»), «Рабочий стол», «Документы», «Изображения» и
«Главное меню».
Выберите параметр политики «Музыка», нажмите на нем правой кноп-
кой мыши и из контекстного меню выберите команду «Свойства». В отоб-
разившемся диалоговом окне «Свойства: Музыка» для изменения доступны
параметры, в зависимости от выбранной политики.
Следовать за папкой «Документы». Этот параметр политики позволяет
переместить папку «Музыка», «Видео» или «Изображения» в папку «Доку-
менты» в качестве дочерней папки. Так как эти три папки подлежат измене-
ниям только в таких операционных системах, как Windows Vista и Windows
7/8/10, а для операционной системы Windows XP такая возможность не
предоставляется, при выборе данного параметра политики она нормально
обработается в любой операционной системе.
Перенаправлять папки всех пользователей в одно расположение (про-
стая). Данный параметр предназначен для перенаправления всех папок
пользователей, расположенных в указанном в объекте групповой политики
подразделения в единое общедоступное расположение.
Указать различные расположения для разных групп пользователей. Ис-
пользуя текущий параметр, вы можете определить папки общего сетевого
ресурса для перенаправляемых папок, в зависимости от группы безопасно-
сти, в которую входят определенные пользователи.
93
Не задана. Если выбрать этот параметр, то расположение папок поль-
зовательского профиля не изменится. Этот параметр выбран по умолча-
нию.
Так как в указанных выше условиях для папок «Музыка» и «Видео»
для всех пользователей, расположенных в подразделении «Продажи»,
должно быть создано простое перенаправление папок, из раскрывающего
списка «Политика» выберите опцию «Перенаправлять папки всех пользова-
телей в одно расположение (простая)». Перед определением корневого пути
перенаправляемой папки, вам нужно указать тип расположения целевой
папки. Доступны следующие варианты типа расположения.
Создать папку для каждого пользователя на корневом пути. Указав те-
кущий тип расположения целевой папки, вы тем самым позволите для каж-
дого пользователя создавать отдельную папку, расположенную внутри кор-
невой папки. Создаваемая папка для пользователя будет отображаться как
имя учетной записи пользователя.
Перенаправлять в следующее расположение. Этот параметр позволяет
создавать для каждого пользователя отдельную папку. Целесообразно ис-
пользовать этот параметр в том случае, когда вам нужно, чтобы данные из
пользовательских профилей сохранялись в одно расположение. Чтобы
сымитировать расположение целевых папок, подобных предыдущему типу
расположения целевой папки, вы можете указать переменную %username%.
Перенаправлять в расположение, определяемое локальным профилем.
Если указать этот тип расположения, папки не будут перенаправляться в
общедоступное сетевое расположение.
Выберите параметр «Создать папку для каждого пользователя на кор-
невом пути» и в соответствующем текстовом поле укажите путь к общедо-
ступной папке.
Наряду с параметрами конечной папки, вам также предоставляется воз-
можность задать дополнительные параметры для перенаправленных папок.
Здесь вы можете выбрать следующие дополнительные параметры.
Предоставить права монопольного доступа к %ИмяПапки%. Если вы
установите флажок напротив этого параметра, то доступ к данной перена-
правленной папке будет предоставлен только для пользовательской учетной
записи, а также для системной учетной записи. Никакие другие, даже адми-
нистративные учетные записи не смогут получить доступ к текущей папке.
94
Перенести содержимое %ИмяПапки% в новое расположение. Активи-
ровав этот параметр, содержимое пользовательской папки будет переме-
щено в новое расположение. Если же флажок будет снят, то все данные бу-
дут копироваться.
Применить политику перенаправления также к операционным систе-
мам Windows 2000, Windows 2000 Server, Windows XP и Windows Server
2003. Установив этот флажок, вы сможете перенаправлять папки пользова-
тельских профилей для пользователей, чьи операционные системы ниже
Windows Vista, только для пяти указанных ранее папок. При перенаправле-
нии папки «Музыка» вам не предоставляется такая возможность.
Параметры удаления политики. Выбранное в этой группе действие
определяет поведение перенаправленной папки после удаления объекта
групповой политики, содержащего текущие параметры. Так как по умолча-
нию выбран параметр «После удаления политики оставить папку в новом
расположении», в случае удаления объекта GPO папка пользовательского
профиля не будет обратно скопирована локально и останется на общедо-
ступном сетевом ресурсе. В противном случае все содержимое текущей
папки будет обратно скопировано на пользовательский компьютер.
Так как все установленные по умолчанию дополнительные параметры
настроены оптимальным образом, нет смысла в изменении данных парамет-
ров. По нажатию на кнопку «ОК» будет отображено предупреждающее со-
общение, свидетельствующее о том, что настройки перенаправленной
папки не будут распространяться на операционную систему Windows XP и
более старые версии операционной системы. Так как эта информация не яв-
ляется для вас новой и вам это уже известно, нажмите на кнопку «Да». Для
сохранения настроек перенаправленной папки нажмите на кнопку «ОК».
Повторите аналогичные действия для «Видео». Стоит обратить внимание
на то, что на выделенном сервере заранее должна быть создана общедоступ-
ная папка для перенаправленных папок.
На этом шаге нужно настроить перенаправление папки «Документы»
для пользователей, которые входят в группу безопасности «Продажи». Вы-
полняемая на этом шаге задача отличается от предыдущей прежде всего
тем, что здесь вам нужно выбрать параметр политики «Указать различные
расположения для разных групп пользователей». При использовании этой
политики вам нужно будет указать группу безопасности Active Directory,
95
членами которой являются пользователи, папки профилей которых, со-
гласно данной политике, должны перенаправляться. Нажмите на кнопку
«Добавить», расположенную в группе «Членство в группе безопасности».
В отобразившемся диалоговом окне «Выбор группы и расположения»
вам нужно указать группу безопасности, а также параметры расположения
целевой папки. Для выбора группы безопасности нажмите на кнопку
«Обзор», расположенную возле текстового поля «Членство в группе без-
опасности». Затем выберите параметр «Создать папку для каждого пользо-
вателя на корневом пути» из раскрывающегося списка расположения целе-
вой папки. Стоит обратить внимание на то, что в отличие от простого пере-
направления папок, в данном раскрывающемся списке есть еще четвертый
параметр — «Перенаправить на домашнюю папку пользователя». Данный
параметр переместит расположение выбранной вами папки в локальный
пользовательский профиль. Укажите корневой путь, после чего нажмите на
кнопку «ОК».
При необходимости вы можете добавить несколько настроек, согласно
которым будет перенаправляться выбранная вами папка. После того как вы
добавите все требуемые группы безопасности и укажите для них настройки
расположения целевых папок, не стоит изменять дополнительные пара-
метры, просто сохраните свойства создаваемой перенаправляемой папки.
Осталось только связать созданный нами объект групповой политики с
подразделением «Продажи». Закройте оснастку «Редактор управления
групповой политики» и свяжите созданный объект групповой политики со
своим подразделением. Для этого в дереве консоли оснастки «Управление
групповой политикой» выберите подразделение, нажмите на него правой
кнопкой мыши и из контекстного меню выберите команду «Связать суще-
ствующий объект групповой политики». В отобразившемся диалоговом
окне «Выбор объекта групповой политики» выберите данный объект груп-
повой политики и нажмите на кнопку «ОК».
Проверим, удалось ли перенаправить три папки для пользователя, ко-
торый входит в группу безопасности «Продажи» и чья учетная запись рас-
положена в подразделении «Продажи». Выполним вход в систему при по-
мощи учетной записи такого пользователя, а затем сохраним в папки «До-
кумент», «Музыка» и «Видео» по одному файлу. Повторно выполните вход
в систему, а затем откройте диалоговое окно свойств библиотеки «Музыка»
96
или «Видео». Около перенаправленной папки отображается индикатор син-
хронизации, указывающий на состояние данных внутри перенаправленной
папки.
Вы узнали об очередном компоненте групповой политики — перена-
правлении папок. Данная возможность позволяет вам сэкономить место на
локальном диске пользователя при использовании локальных пользователь-
ских профилей, а также существенно сократить трафик при загрузке пере-
мещаемого профиля. Был рассмотрен пример перенаправления нескольких
папок, используя простое перенаправление, а также перенаправление, осно-
ванное на группах безопасности.
97
Рис. 76. Параметры группы
Нажимаем ОК. Группа создана.
Теперь добавим профили в созданную группу. Для этого нажмем пра-
вой кнопкой мыши на профиль и «Добавить в группу». Вводим название
нашей группы и нажимаем ОК (рис. 77).
98
Все, профиль теперь находится в группе. Чтобы убедиться в этом, зай-
дем в свойства группы, перейдем на вкладку «Члены группы» и увидим спи-
сок профилей, находящихся в группе (рис. 78).
99
7.3. Перенаправление папок
Для создания перенаправления папок перейдем: «Пуск» => «Админи-
стрирование» => «Управление групповой политикой» (рис. 80).
100
Далее вписываем в поле «Имя» название объекта, назовем его «Пере-
направление папок», нажимаем ОК (рис. 82).
101
Теперь нам нужно назначить, какие папки будем перенаправлять
(рис. 84). Для этого нажимаем правой кнопкой на «Перенаправление папок»
и «Изменить». Откроется редактор.
102
103
– «Перенаправлять в место, определяемое локальным профилем» —
папки будут перенаправляться автоматически.
Мы выберем второй вариант и пропишем корневой путь к папке Allmy-
profiles (рис. 87).
.
Рис. 87. Конечная папка
Теперь переходим к вкладке «Параметры». Здесь нам предлагают за-
дать условия перенаправления:
– предоставить права монопольного доступа к «Главному меню» —
если установить рядом галку, то доступ будет иметь первый зашедший в
домен профиль;
– перенести содержимое «Главному меню» в новое место — будет пе-
ренаправлять «Главное меню» в новое место;
– применить политику перенаправления также к операционным систе-
мам Windows 2000, Windows 2000 Sever, Windows XР и Windows Server
2003 — для этих ОС данный параметр обязателен.
Поставьте галки как показано на рисунке 88, нажмите «Применить» и
ОК.
104
Рис. 88. Параметры
На этом с перенаправлением папок закончено.
105
8. ПОЛЬЗОВАТЕЛИ И КЛИЕНТЫ
8.1.1. Windows 7
Сразу после релиза в 2009 г. Windows 7 получила массу критики из-за
недоработок и постоянно вылетающих багов. Со временем разработчикам
удалось усовершенствовать работу системы, и сегодня она по праву назы-
вается самой удачной реализацией Windows.
Несмотря на выход новых современных версий ОС, «семерка» все еще
остается популярной среди пользователей. Более 45% компьютеров с Win-
dows используют именно седьмое поколение операционной системы. Пока
даже вездесущая реклама Windows 8, 10 не помогла новым системам повто-
рить успех седьмой версии. Так почему же Windows 7 так популярна?
В первую очередь следует отметить замечательную совместимость с лю-
быми устройствами. Вы сможете легко подключить телефон к компьютеру
или найти версию любимой игры, которая подходит для «семерки».
Рабочий стол. Именно он стал главной фишкой ОС. Несмотря на внеш-
нее сходство с предыдущей версией — Windows XP, рабочая область «се-
мерки», лучше продумана, имеет удобный интерфейс и расположение эле-
ментов.
Поддержка виджетов. Windows 7 отличается наличием огромного ко-
личества виджетов для удобной организации работы. Добавляйте на рабо-
чий стол календарь, список дел, часы, стикеры и другие полезности.
Удобный поиск. В меню «Пуск» доступно удобное поле поиска по фай-
лам на компьютере. Просто введите нужное название или часть содержи-
мого, чтобы ОС автоматически определила нужные вам элементы.
106
Панель задач. С помощью организованной панели задач вы можете пе-
реключаться между закрепленными программами, меню «Пуск», откры-
тыми паками и файлами. В трее видим область уведомлений и клавишу для
мгновенного сворачивания всех открытых вкладок.
Организация проводника. В стандартном файловом проводнике Win-
dows 7 пользователи могут создавать собственные библиотеки или пользо-
ваться уже существующими разделами. Библиотека — это папка, которая
автоматически распознает файлы одной тематики и формата.
Медиацентр. Встроенная утилита Windows 7 Media Center позволяет
легко управлять всеми мультимедиаданными на вашем компьютере. Слу-
шайте музыку, смотрите фильмы, картинки в одной программе.
Требования к железу. Технические характеристики для установки Win-
dows 7: процессор с минимальной тактовой частотой в 1 ГГц и разрядно-
стью 32х (86х) или 64х; 1 Гб оперативной памяти (для 32х архитектуры) или
2 Гб (для 64х архитектуры); устройство графического модуля с поддержкой
DirectX 9.
Безопасность. Основу безопасности Windows 7 составляет модуль кон-
троля учетных записей пользователей. В сравнении с более ранними верси-
ями Windows, «семерка» поддерживает защищенный контроль пользовате-
лей, а также ограничивает работу для юзеров, которые не являются админи-
страторами. Служба UAC требует подтверждения перед выполнением лю-
бого важного действия в системе (установка программы, работа с антивиру-
сом, изменение системных настроек и так далее).
Такой подход гарантирует защиту от поломки системы «по неосторож-
ности», а также ограничивает круг лиц и программ, которые могут получить
доступ к содержимому системы.
Система шифрования диска BitLocker сохранит все ваши личные дан-
ные от хищения и несанкционированного копирования.
Биометрическая безопасность. В ОС Windows 7 присутствует под-
держка программ биометрического контроля пользователей. К примеру,
если на вашем компьютере есть сканер отпечатков пальцев, вы без проблем
сможете установить утилиту для работы этого устройства.
Среди преимуществ Windows 7 можно выделить следующие:
– упрощенная система восстановления;
– устойчивость к ошибкам;
107
– поддержка современных игр и приложений;
– интуитивно понятный интерфейс;
– нет особых требований к железу.
Минусы ОС:
– отсутствие основной поддержки от Microsoft;
– простой проводник с ограниченным набором функций;
– низкая производительность;
– долгое включение ОС.
В целом, пользователи со всего мира положительно отзываются о Win-
dows 7 уже на протяжении многих лет. Особенной популярностью пользу-
ется простая организация функционала и возможность кастомизации рабо-
чего стола. Огромное количество совместимого ПО и небольшие требова-
ния к железу — еще одна причина популярности системы среди многомил-
лионной аудитории.
В 2015 г. Microsoft заявила о прекращении основной поддержки «се-
мерки». Однако пакеты обновлений все еще приходят пользователям.
Служба безопасности ОС и встроенные утилиты совершенствуются.
В ближайшие годы разработчик вряд ли лишит многомиллионное
число пользователей любимой ОС. Скорее, переход на более новые версии
будет выполняться постепенно и по желанию самих пользователей.
Если у вас появилось желание поставить на свой компьютер «семерку»,
смело начинайте установку, ведь система проработает еще приличное коли-
чество времени. При необходимости всегда можно обновить лицензию Win-
dows 7 на аналогичную сборку Windows 10.
108
Каждый элемент «Домашнего экрана» — это виртуальная плитка (или
«тайл»), нажав на которую, можно открыть программу, документ, закреп-
лённый в рабочей области файл и т. д. Оформление нового интерфейса
также пошатнуло привычное представление о Windows — яркая цветовая
гамма, анимация, отсутствие привычных областей управления.
Плитки можно изменять по размеру и цветовой гамме. Если вы хотите
добавить больше элементов в рабочую область, прокрутите экран вправо.
Также в главном окне системы есть меню поиска для быстрого доступа к
другим программам и файлам.
Вместо меню «Пуск» пользователям доступна боковая панель задач,
которая появляется при наведении курсора в правую часть экрана. С помо-
щью появившейся панели можно выключить ПК, посмотреть дату и время,
открыть утилиту «Поделиться» для быстрого перемещения файлов между
устройствами. Также на панели задач присутствует вкладка работы с под-
ключенными девайсами и значок для перехода в настройки системы.
Отсутствие привычной клавиши «Пуск» стало причиной массовой кри-
тики «восьмерки» и отказа пользователей от новой системы. Люди начали
массово возвращаться на Windows 7. После этого разработчики Microsoft,
пытаясь сгладить ситуацию, выпустили обновление Windows 8.1. По сути,
апдейт стал новой, улучшенной версией операционной системы, которую
стоило бы выпускать вместо Windows 8.
Если сравнивать Windows 8 и 8.1, сразу можно отметить возврат дол-
гожданной кнопки «Пуск» и рабочего стола. Заметьте, привычное меню
«Пуск» отсутствует, а при нажатии главной клавиши появляется/исчезает
метро-интерфейс. Таким образом, пользователь может удобно переклю-
чаться между обычным рабочим столом и плитками.
В целом, новый интерфейс ОС ориентирован на сенсорные экраны, так
как с 2012 г. на рынке начало появляться все большее количество планшет-
ных ПК и ноутбуков с сенсорным пером. Система полностью готова для ис-
пользования и на обычных компьютерах.
С выпуском «восьмерки» Microsoft представила еще и свой официаль-
ный магазин приложений. Теперь вы сможете скачивать программы с его
помощью. Возможность загрузки обычных EXE-фалов из Интернета оста-
лась.
109
Технические требования для установки системы следующие: процес-
сор с тактовой частотой 1ГГц и поддержкой PAE, SSE2, NX; оперативная
память 1 Гб или 2 Гб (для архитектуры 86х или 64х соответственно); ви-
деокарта с поддержкой DirectX 9. Также необходима поддержка WDMM
версий 1.0+; свободное пространство на жестком диске — 16 Гб (для 86х)
или 20 Гб (для 64х).
Как видите, системные требования для Windows 7 и Windows 8 практи-
чески идентичны, поэтому можно без проблем устанавливать обновленную
версию ОС. На производительность это не повлияет. Наоборот, вы получите
более быстрое включение ОС (всего за 15–17 с) и мгновенный отклик всех
функций.
Система безопасности Windows 8 значительно доработана и улучшена,
если сравнивать с предыдущими поколениями ОС.
Учетная запись пользователя. Теперь контроль всех браузеров проис-
ходит не локально в системе, а на сервере Microsoft. Для создания учетной
записи администратора или обычного пользователя следует привязать к
компьютеру адрес электронной почты. Также настроена интеграция каждой
учетки с OneDrive.
Новые методы аутентификации. Теперь вы можете настроить сразу не-
сколько способов входа в систему и использовать только один из них для
авторизации — пароль, цифровой пин-код, графический ключ, отпечаток
пальца (если в вашем компьютере есть соответствующий сканер).
Обновлённый диспетчер задач с улучшенными алгоритмами шифрова-
ния. Теперь сторонние программы не смогут влиять на запущенные про-
цессы и вредить системе. Также усовершенствована технология шифрова-
ния файлов на жестком диске и на подключенных внешних накопителях.
Система восстановления. Теперь пользователь может запустить встро-
енную систему диагностики и автоматического устранения неполадок ОС
или же сбросить настройки до первоначальных.
Определяя, какая Windows лучше для вас, обращайте внимание на тех-
нические характеристики используемого устройства, свои личные предпо-
чтения и поддержку софта, с которым вы чаще всего работаете.
Плюсы Windows 8:
– усовершенствованная рабочая область;
– быстрый поиск;
110
– система защиты;
– минимальные технические требования;
– поддержка от Microsoft;
– возможность бесплатного перехода на Windows 10;
– быстрое включение ОС;
– совместимость с сенсорными экранами.
Минусы Windows 8:
– сложная адаптация: пользователю, который привык работать с Win-
dows 7 может быть нелегко привыкнуть к новому функционалу ОС;
– отсутствие привычных окон программ;
– небольшое количество приложений.
Стоит ли устанавливать? Если вы хотите поработать с принципиально
новым интерфейсом, но остаться пользователем Windows, советуем устано-
вить «восьмерку». Организация плиточного интерфейса и абсолютно новый
концепт ОС понравится экспериментаторам и обычным пользователям, ко-
торые ищут хорошую систему под сенсорный монитор.
8.1.3. Windows 10
Windows 10 — это последняя на сегодняшний день версия Windows,
которая стремительно набирает популярность среди пользователей по
всему миру. В системе есть все лучшее от полюбившейся всем «семерки» и
нововведения восьмой версии. Последние обновления системы можно ска-
чать на официальном сайте Microsoft (https://www.microsoft.com).
Пересмотрев свои взгляды, разработчики Microsoft отменили свою
цель — полностью устранить привычный интерфейс. Вместо этого они
удачно скомпоновали две системы, добавив улучшенное оформления и еще
более быструю работу.
Обновленная кнопка «Пуск». В отличие от Windows 8, десятая версия
все же получила поддержку стандартного меню «Пуск», так что пользова-
тели, которые отказались от предыдущей версии ОС только из-за отсут-
ствия полюбившегося функционала, могут без проблем устанавливать «де-
сятку».
Главная особенность меню «Пуск» — одновременная поддержка и
обычных полей, и плиточного интерфейса. Таким образом, вы сможете до-
бавить в меню ярлыки программ или веб-страниц.
111
Для любителей metro-интерфейса есть возможность убрать меню
«Пуск» и включить режим основного экрана в виде плиток (с возможностью
перехода на рабочий стол).
Внешний вид системы представлен в стиле минимализма: плавные пе-
реходы между окнами, отсутствие рамок окон и простота в освоении.
Центр уведомлений. Данная функция была перенята с мобильных
устройств. Теперь отслеживать все уведомления можно в специальном
окне, которое расположено в правой части рабочего стола. Открыть его
можно с помощью нажатия специальной клавиши в трее.
Внизу окна центра уведомлений присутствуют плитки, при нажатии на
которые происходит переход в настройки системы или же в управление до-
ступными подключениями и устройствами.
Также можно отметить доработанный проводник, в который пользова-
тели могут вручную добавлять папки на панель быстрого доступа.
Требования к железу. Установленная на ПК Windows 8, 8.1 или 7; про-
цессор 1 ГГц; оперативная память 1 Гб или 2 Гб (для разных архитектур);
20 Гб пространства на диске; минимальное разрешение экрана —
800×600 пикселей; видеокарта с поддержкой DirectX 9 или более новой вер-
сии.
Плюсы Windows 10:
– встроенный защитник Windows Defender;
– быстрое включение (за 15 с);
– рациональное распределение ресурсов ПК;
– совместимость с современными играми и приложениями;
– регулярное получения пакетов обновления и усовершенствования си-
стемы безопасности;
– интерфейс;
– стабильная работа.
Минусы Windows 10:
– не все старые компьютеры «тянут» «десятку»;
– на некоторых устройствах могут возникнуть сложности с установкой
ОС вручную;
– проблемы с настройками региона.
Стоит ли устанавливать? Определенно — да. С Windows 10 вы сможете
получать автоматические обновления ОС и устанавливать их без потери
112
личных данных и файлов. Также новая система постоянно совершенству-
ется, добавляется новый функционал, улучшается интерфейс и функция
поддержки подключенных устройств.
113
Вписываем статистический адрес, маску подсети и DNS-сервер
(IP нашего сервера), как показано на рисунке 91, нажимаем ОК и «Закрыть».
114
Далее вводим команду cmd и нажимаем ОК (рис. 93).
115
Если сервер (или клиент) не пингуется, рекомендуется проверить
параметры сетевого адаптера — как на сервере, так и на клиентской ма-
шине. Если используется VMware, то проверить настройки сетевого
адаптера vMware (см. п. 1.1). Также рекомендуется проверить наличие в
свойствах используемого сетевого адаптера протокола «Ответчик обна-
ружения топологии канального уровня…», использующегося для обна-
ружения компьютеров, устройств и компонентов сетевой инфраструк-
туры в сети и делающего данный компьютер видимым в ней. Также он
используется для определения пропускной способности сети.
116
Рис. 96. Имя компьютера
Всплывет форма для ввода логина и пароля (рис. 97).
117
Введем ранее созданного пользователя (логин — User1, пароль —
123-=qwerty) и нажимаем ОК. Если вы сделали все правильно, увидите сле-
дующее сообщение, как на рисунке 98.
118
Теперь вводим логин и пароль созданного профиля. Все, мы вошли в
домен под нашим перемещаемым профилем. Проверим перенаправление
папок, для этого пройдем: «Пуск» => «Мой компьютер» (рис. 100), далее
слева нажмем «Сетевое окружение» (рис. 101).
.
Рис. 101. Сетевое окружение
119
120
9. DHCP — ДИНАМИЧЕСКАЯ КОНФИГУРАЦИЯ УЗЛА
121
.
122
Рис. 107. Привязка сетевого подключения
На следующем этапе нужно ввести имя домена и DNS-сервера
(рис. 108).
123
Нажмем «Далее». На следующем этапе нам предлагают выбрать: ис-
пользовать Wins-сервер или нет (рис. 109).
124
Для этого нажмем «Добавить» и введем следующие значения
(рис. 111):
– имя области — может быть любым (введем, например, All IР);
– начальный IP-адрес и конечный IP-адрес — адреса от которых и до
которых будут распределяться IP-адреса (введем начальный 192.168.1.30 и
конечный 192.168.1.60);
– маска подсети — должна подходить для вашего диапазона (введем
255.255.255.0);
– основной шлюз — необязательный параметр, поэтому оставим пу-
стым;
– тип подсети — срок аренды IP-адресов. Поставим «Проводной».
125
Рис. 112. Настройка режимов
Нажмем «Далее». На следующем этапе оставляем как есть и нажимаем
«Далее» (рис. 113).
126
На последнем этапе выводятся все настройки, которые мы ввели в ходе
установки (рис. 114).
127
9.2. Дополнительные настройки клиента
Теперь нужно сбросить настройки «Подключение по локальной сети»
у клиентской машины для получения динамического IP-адреса. Для начала
нам нужно зайти на клиентскую машину под ее учетной записью (при входе
в домен с клиентской машины многие приложения будут недоступны). Те-
перь на клиентской машине пройдем по следующему адресу: «Пуск» =>
«Панель управления» => «Сеть и подключение к Интернету» => «Сетевые
подключения» (рис. 116). Нажимаем правой кнопкой мыши «Подключение
по локальной сети» и выбираем «Свойства». Нажмем «Протокол Интернета
(TCP/IP)», далее «Свойства» и поставим «Получить IP-адрес автоматиче-
ски».
128
Рис. 117. Консоль
Теперь проверим это на сервере. Для этого перейдем по адресу:
«Пуск» => «Администрирование» => «DHCP», перейдем к папке «Арендо-
ванные адреса» и видим IP и имя нашей клиентской машины (рис. 118).
129
Во-вторых, необходимо открыть список служб. Сделать это можно не-
сколькими способами:
– удерживая кнопку Windows, нажать R (Win + R), откроется окно «Вы-
полнить…», там ввести services.msc;
– «Пуск» => «Панель управления» => «Администрирование» =>
«Службы»;
– «Пуск» => правой кнопкой мыши «Мой компьютер» => «Управле-
ние» => «Службы и приложения» => «Службы».
Здесь необходимо убедиться, что служба «Браузер компьютеров»
остановлена (рис. 119), если это не так, то ее следует остановить и переза-
грузить ОС. Это особенность работы ОС MS Windows 7 со списком ком-
пьютеров в сети. Заключается она в том, что ОС просматривает все, что
доступно в данном диапазоне IP-адресов, и если сеть многодоменная, то
ОС будет пытаться отобразить все компьютеры в сети независимо от при-
надлежности к домену. К тому же, если в сети периодически появляются
«гости» со своими рабочими группами, то это мгновенно сказывается на
скорости отображения списка. Также стоит заметить, что, может быть,
придется подождать какое-то время для обновления списка узлов и правил
его формирования.
130
9.3.1. Обзор технологии
Служба обозревателя компьютеров и сетевое окружение используются
уже более 15 лет. Такой способ организации окружения является устарев-
шей моделью доступа в доменной среде Active Directory, и Microsoft посте-
пенно отказывается от нее в сторону распределенной файловой системы
DFS (Distributed File System). Это оправданное решение, так как служба обо-
зревателя генерирует достаточно много широковещательного трафика
(вследствие чего падает пропускная способность сети и снижается безопас-
ность сети), имеет множество ограничений и негарантированные (неконтро-
лируемые) моменты в своей работе.
В сети есть один домен широковещания, т. е. один компьютер или узел
может найти другой по широковещательному запросу, или как его еще
называют, броадкасту (broadcast). Широковещательные запросы свободно
проходят через хабы и свитчи и ограничиваются лишь маршрутизаторами,
которые не пропускают широковещательные пакеты в другие сети. Если все
узлы в сети подключены к свитчу (или соединенным между собой несколь-
ким свитчам, между которыми нет маршрутизаторов), то каждый узел мо-
жет общаться широковещательными пакетами с любым другим узлом в дан-
ной сети. Чаще всего все эти компьютеры будут входить в одну рабочую
группу, по умолчанию именуемую Workgroup. Вкратце ситуация развивается
следующим образом: при запуске компьютеров в сети начинают происходить
выборы главного компьютера, который будет отвечать за списки компьюте-
ров в сетевом окружении. Его называют главным обозрев