Корпоративные Информационные Системы Администрирование Сетевого

А. Е.
ЖУРАВЛЕВ,
А. В. МАКШАНОВ,
Л. Н. ТЫНДЫКАРЬ
КОРПОРАТИВНЫЕ
ИНФОРМАЦИОННЫЕ СИСТЕМЫ
АДМИНИСТРИРОВАНИЕ
СЕТЕВОГО ДОМЕНА
Учебное пособие
•САНКТПЕТЕРБУРГ•МОСКВА•КРАСНОДАР•
2020
УДК 004.73
ББК 32.973я723
Ж 91 Журавлев А. Е. Корпоративные информационные системы. Адми

нистрирование сетевого домена : учебное пособие для СПО / А. Е. Жу
равлев, А. В. Макшанов, Л. Н. Тындыкарь. — СанктПетербург :
Лань, 2020. — 172 с. : ил. — Текст : непосредственный.
ISBN 978"5"8114"5517"1
В учебном пособии в виде практикума излагаются элементы общей теории и

практики виртуализации и рассматриваются операции по администрированию
серверных операционных систем (ОС) на примере ОС Microsoft Windows Server.
Описываются способы управления информационной структурой предприятия и
методы ее оптимизации путем делегирования прав и разграничения областей
ответственности.
Учебное пособие рекомендуется учащимся всех форм обучения в соответствии
с ФГОС 3++ профессионального учебного цикла по специальностям среднего
профессионального образования «Информационные системы» и «Организация
и технология защиты информации» и изучающим курсы, непосредственно связан
ные с сетевыми технологиями, такие как «Компьютерные сети», «Инфокомму
никационные системы и сети», «Корпоративные информационные системы»
и т. п., в качестве основной литературы.
УДК 004.73
ББК 32.973я723
Обложка
П. И. ПОЛЯКОВА
© Издательство «Лань», 2020

© Коллектив авторов, 2020
© Издательство «Лань»,
художественное оформление, 2020
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ ............................................................................................... 5
1. ПОНЯТИЕ ВИРТУАЛИЗАЦИИ ....................................................... 8
1.1. Виртуальная машина VMware ....................................................... 8
1.2. Краткие сведения о среде ............................................................... 9
1.3. Создание виртуальной машины .................................................. 20
2. СЕРВЕРНЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ .......................... 22
2.1. Обзор Windows Server .................................................................. 22
2.2. Установка операционной системы .............................................. 29
2.3. Управление паролями (политика паролей)................................. 32
3. СЕТЕВОЕ ПОДКЛЮЧЕНИЕ .......................................................... 34
3.1. Сетевые адаптеры в Windows ...................................................... 34
3.2. Основные проблемы при работе с сетью .................................... 36
3.3. Настройка сетевого подключения ............................................... 41
4. DNS — СИСТЕМА ДОМЕННЫХ ИМЕН ..................................... 44
4.1. Основные теоретические сведения ............................................. 44
4.2. Терминология и принципы работы ............................................. 45
4.3. Установка и настройка роли ........................................................ 49
5. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY ......................... 52
5.1. Назначение службы каталогов Active Directory ......................... 55
5.2. Планирование пространства имен AD ........................................ 63
5.3. Развертывание домена .................................................................. 67
6. ПЕРЕМЕЩАЕМЫЕ ПРОФИЛИ .................................................... 76
6.1. Обязательные профили пользователей Windows 10 .................. 77
6.2. Профили групп и пользователей ................................................. 81
6.3. Назначение прав доступа ............................................................. 88
7. ГРУППЫ И ПЕРЕНАПРАВЛЕНИЕ ДЛЯ ПРОФИЛЕЙ ............ 91
7.1. Автоматизация работы с профилями .......................................... 91
7.2. Создание группы профилей ......................................................... 97
7.3. Перенаправление папок.............................................................. 100
8. ПОЛЬЗОВАТЕЛИ И КЛИЕНТЫ.................................................. 106
8.1. Сравнительный обзор операционных систем........................... 106
8.2. Настройка Windows-клиента ..................................................... 113
8.3. Ввод в домен ............................................................................... 116
9. DHCP — ДИНАМИЧЕСКАЯ КОНФИГУРАЦИЯ УЗЛА......... 121
9.1. Установка и настройка DHCP-сервера ..................................... 121
3
9.2. Дополнительные настройки клиента ........................................ 128
9.3. Браузер компьютеров — Computer Browsing ........................... 129
10. ИЕРАРХИЯ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП ............................. 154
10.1. Пользователи и группы ............................................................ 155
10.2. Каталоги и профили.................................................................. 157
10.3. Настройка безопасности........................................................... 160
ЗАКЛЮЧЕНИЕ .................................................................................... 166
СПИСОК ЛИТЕРАТУРЫ .................................................................. 168
4
ВВЕДЕНИЕ
Важнейшей сферой профессиональной деятельности специалистов в

области информационных технологий является управление (администриро-
вание) функционированием операционных систем как отдельных компью-
теров, так и их групп, объединенных в вычислительные сети.
Системные администраторы — это специалисты, которые противо-
стоят атакам взломщиков и позволяют безопасно общаться пользователям
и системам внутри инфраструктуры компании, а также за ее пределами.
Системный администратор должен знать все приемы взлома и обхода
защиты (например, брандмауэра), которые применяют взломщики. Однако
в большинстве организаций обязанностью системного администратора яв-
ляется не только слежение за сетевой безопасностью организации, но и ре-
шение других сопутствующих задач. Типичные задачи системного админи-
стратора рассмотрены далее.
Администрирование сети. Спектр задач — от конфигурирования про-
стейшего активного сетевого оборудования до разработки архитектуры
компьютерной сети на сотни пользователей в различных территориально
удаленных филиалах. Сюда входят: топология сети, планирование структу-
рированной кабельной системы (СКС), конфигурация виртуальных частных
сетей (VPN), различных служб контроля доступа и т. д.
Администрирование рабочих станций. Включает решение проблем вы-
шедшего из строя оборудования, его сервисное обслуживание, устранение
проблем работы программного обеспечения (ПО). В целом — задачи от ба-
зовой установки типового ПО до разработки групповой политики автомати-
ческого обновления ПО, не имеющего собственного MSI, а также автомати-
ческого резервирования и его развертывания.
Централизованная авторизация. Обычно в этом качестве выступает
Active Directory. Это одна из самых специализированных задач, она же —
одна из самых сложных. Диапазон требований: от добавления/удаления
пользователей и добавления новой рабочей станции в домен до реализации
автоматического назначения политик безопасности на пользователей задан-
ного OU в случае доступа к компьютеру в одном из узлов соседнего дерева
в лесу.
5
Администрирование почтовых служб. Классифицируется по размеру:
– небольшие Windows почтовые сервера (класса Kerio);
– сложнейший многофункциональный Exchange;
– стандартный Linux/FreeBSD сервер с любым распространенным поч-
товым сервером (postfix, exim, sendmail и т. д.).
Диапазон задач: от добавления почтового ящика, дополнительного до-
мена и адреса пользователю до настройки почтовой тикет-системы, списка
рассылки, фильтрации спама, автоматической регистрации ящиков и т. д.
Администрирование баз данных (БД) — чаще всего является частью
определенной инфраструктуры. Специализированные администраторы баз
данных — отдельная сложнейшая специальность. Спектр задач начинается
с установки, перезапуска, подключения в приложении, добавления/удале-
ния БД, а также формирования резервных копий и их восстановления (что
сложнее). Потолок, теоретически, упирается в бесконечность, так как если
имеются полные знания по определенной системе управления базами дан-
ных (СУБД), SQL, навыки развертывания сервера с активной асинхронной
подпиской на другую БД, то далее идет рассмотрение различных типов баз
данных, количество которых огромно. Технически, потолком можно счи-
тать способность восстановить поврежденную БД типа MyISAM.
Администрирование 1C. Управление информационной средой и кон-
фигурациями на базе продуктов 1C: Предприятие. Задачи: от создания но-
вой базы, настройки пользователей и обновления базовой конфигурации до
редактирования конфигураций, их дальнейшей поддержки, интеграции с
другим ПО и SQL.
Веб-администрирование. Задачи зависят от типа предприятия и теку-
щего проекта: от организации простейшего хостинга сайта до решения про-
блем производительности в django-orm при работе с postregsql. Также в этот
диапазон могут оказаться включенными копирайтинг, поисковый спам
(SEO), веб-дизайн, веб-программирование и т. д.
Администрирование систем контроля доступа и видеонаблюдения.
Чаще всего за это отвечают специализированные организации, однако бы-
вает, что приходится подключаться и системному администратору. Спектр
задач: от подключения дополнительных камер и регистрации карточек до-
ступа до настройки автоэкспорта видео в архив, синхронизации всех видов
контроля.
6
Администрирование автоматических телефонных станций (АТС).
Еще одна область, которая попадает в системное администрирование слу-
чайно. Задачи: от добавления переадресации и подключения дополнитель-
ных входящих линий до развертывания собственной программной АТС с
голосовым меню на сотни пунктов, SIP/Skype-шлюзом, маршрутизацией,
способной адекватно использовать IP, медь и E1 в зависимости от условий.
Администрирование процессов печати/сканирования. Задача является
тривиальной, но ровно до тех пор, пока не встает проблема установки сете-
вых принтеров и устранения сбоев различных промышленных принтеров.
Спектр задач: от подключения принтера в сеть до решения проблем цвето-
вых профилей, подключения принтера этикеток в качестве сетевого, авто-
матического назначения принтеров при входе пользователя в компьютер.
Далее будут рассмотрены основные аспекты первых перечисленных за-
дач системного администрирования, внимание уделяется администрирова-
нию сети в целом и рабочих станций в частности, а также методам органи-
зации централизованной авторизации пользователей в сети.
7
1. ПОНЯТИЕ ВИРТУАЛИЗАЦИИ
Виртуализация — это изоляция вычислительных процессов и ресурсов

друг от друга, то есть процесс представления набора вычислительных ре-
сурсов или их логического объединения, который дает какие-либо преиму-
щества перед оригинальной конфигурацией. Фактически это виртуальный
взгляд на ресурсы составных частей, не ограниченных реализацией, физи-
ческой конфигурацией или географическим положением. Обычно виртуа-
лизированные ресурсы включают вычислительные мощности и хранилище
данных.
Примером виртуализации являются симметричные мультипроцессор-
ные компьютерные архитектуры, которые используют более одного процес-
сора. Операционные системы конфигурируются таким образом, чтобы не-
сколько процессоров представлялись как единый процессорный модуль.
Вот почему программные приложения могут быть написаны для одного ло-
гического (виртуального) вычислительного модуля, что значительно
проще, чем работать с большим количеством различных процессорных кон-
фигураций.
1.1. Виртуальная машина VMware

Виртуальная машина — это окружение, которое представляется для
«гостевой» операционной системы как аппаратное. Однако на самом деле
это программное окружение, которое эмулируется программным обеспече-
нием хостовой (родительской) системы. Эта эмуляция должна быть доста-
точно надежной, чтобы драйверы гостевой системы могли стабильно рабо-
тать. При использовании паравиртуализации виртуальная машина не эму-
лирует аппаратное обеспечение, а вместо этого предлагает использовать
специальный API (Application Programming Interface — интерфейс приклад-
ного программирования).
Полезная информация для студентов, выполняющих задание с помо-
щью VMware: перед установкой ОС (WinXP и WinServer) необходимо пом-
нить о настройке оборудования для создаваемой виртуальной машины. Сле-
дует использовать рекомендованные параметры, за исключением размера
жесткого диска (для виртуальных машин, рассмотренных в данных приме-
рах, применялись следующие параметры: размер HDD для WinXP — 10 Gb,
8
размер HDD для WinServer — 20 Gb). Особое внимание стоит уделить под-
ключению и настройке сетевого адаптера.
1.2. Краткие сведения о среде

VMware Workstation (рис. 1) предоставляет инновационные возможно-
сти, которыми технические специалисты пользуются ежедневно. Благодаря
поддержке новейших ОС, датчиков планшетов и виртуальных машин с
ограниченным сроком действия это идеальное средство, упрощающее и об-
легчающее работу, а также улучшающее возможности связи.
Рис. 1. VMware Workstation

Новый уровень возможностей Windows (рис. 2):
– улучшенный режим Unity обеспечивает прозрачную поддержку из-
менений в интерфейсе пользователя Windows 8.1/10;
– теперь Workstation может преобразовать физический компьютер под
управлением Windows в виртуальную машину;
– высочайшая производительность (рис. 3);
– поддержка до 16 виртуальных ЦП, дисков SATA объемом 8 Тбайт и
до 64 Гбайт ОЗУ (рис. 4);
– виртуальный контроллер дисков SATA;
– поддержка 20 виртуальных сетей;
– поддержка потоковой передачи через USB 3 для ускорения копиро-
вания файлов;
– сокращение времени запуска приложений и виртуальных машин
Windows;
– SSD-накопители с поддержкой сквозной передачи данных.
9
Рис. 2. Виртуальная среда
Рис. 3. Создание виртуального окружения
10
Рис. 4. Дополнительные настройки
Повышение управляемости: предоставляется возможность создания
виртуальных машин с ограниченным доступом и сроком действия. Вклю-
ченная виртуальная машина отправляет на сервер запросы с определенным
интервалом, сохраняя текущее системное время в файле политик виртуаль-
ной машины с ограниченным доступом в качестве последней надежной
метки времени.
Планшет в виртуальной машине: виртуальные датчики планшета
(рис. 5) предоставляют виртуальным машинам, работающим на планшетах,
преимущества датчика ускорения, гироскопа, компаса и датчика внешней
освещенности (рис. 6).
11
Рис. 5. Виртуальная операционная система
Рис. 6. Рабочий стол Windows 8
12
Лучший способ работы:
– настроить несколько мониторов (два, три или четыре) достаточно
просто (рис. 7). VMware-KVM предоставляет новый интерфейс для исполь-
зования нескольких виртуальных машин.
Рис. 7. Управление виртуальными окружениями

ПО VMware Workstation получило широкое признание благодаря под-
держке операционных систем, полноценной пользовательской среде, ком-
плексному набору возможностей и высокой производительности. Решение
VMware Workstation предназначено для специалистов, использующих в
своей работе виртуальные машины.
Новый уровень производительности:
– запуск приложений одновременно в нескольких операционных систе-
мах (таких как Linux, Windows и др.) на одном компьютере без переза-
грузки;
– оценка и тестирование новых ОС, приложений и исправлений в изо-
лированной среде;
– демонстрация сложных приложений на одном ноутбуке — надежно
и воспроизводимо;
13
– консолидация нескольких компьютеров, на которых выполняются
веб-серверы, серверы баз данных и т. п., на одном компьютере;
– создание эталонных архитектур для выполнения оценки перед раз-
вертыванием в производственной среде;
– простой способ перемещения виртуальной машины с ПК в среду
vSphere или в облако (рис. 8);
– постоянный и повсеместный доступ;
– прозрачный доступ ко всем виртуальным машинам независимо от их
расположения (рис. 9);
– удаленное подключение к виртуальным машинам, работающим в
другом экземпляре VMware Workstation или на платформе VMware
vSphere;
– веб-интерфейс Workstation обеспечивает доступ к локальным и раз-
мещенным на сервере виртуальным машинам с компьютера, смартфона,
планшета или любого другого устройства, оснащенного современным брау-
зером. Дополнительные подключаемые модули не требуются.
Рис. 8. Облачное окружение
14
Рис. 9. Доступ к облаку
Облако на компьютере:
– с помощью Workstation можно создать облако прямо на компьютере
или ноутбуке;
– запуск 64-разрядных виртуальных машин в среде VMware vSphere
или Microsoft Hyper-V Server, которая сама работает в виртуальной машине
Workstation;
– запуск VMware Micro Cloud Foundry и других облачных инфраструк-
тур, таких как OpenStack от Apache;
– запуск приложений для обработки больших объемов данных (предо-
ставляемых такими компаниями, как Cloudera), в том числе библиотеки ПО
Apache™, Hadoop™;
– выполнение самых ресурсоемких приложений. VMware Workstation
поддерживает новейшее оборудование для воссоздания серверных сред,
сред настольных компьютеров и сред планшетов (рис. 10);
15
– можно создавать виртуальные машины, включающие до 16 виртуаль-
ных ЦП или 16 виртуальных ядер, виртуальные диски емкостью 8 Тбайт и
до 64 Гбайт памяти каждая. Поддержка HD-аудиокодеков с трехмерной аку-
стической системой 7.1, интерфейсов USB 3.0 и Bluetooth;
– виртуальные процессоры, включающие расширения виртуализации.
Контроллеры виртуальных дисков с интерфейсами SCSI, SATA и IDE.
Впервые виртуальная машина оснащена виртуальными магнитометром,
датчиком ускорения и гироскопом;
– обеспечение безопасности с помощью виртуальных машин с ограни-
ченным доступом (рис. 11). Создание виртуальных машин с шифрованием,
обязательной сменой пароля администратора и истечением срока действия
в заданную вами дату;
– VMware Workstation может работать как сервер и предоставлять об-
щий доступ к виртуальным машинам для команды, отдела или организации.
Управление доступом пользователей (рис. 12) в масштабе организации —
самый быстрый способ обеспечить общий доступ к приложениям и их те-
стирование в среде, близкой к производственной.
Рис. 10. Виртуализация
16
Рис. 11. Настройки доступа
Рис. 12. Управление разрешениями
17
Powered by TCPDF (www.tcpdf.org)

Лучшая трехмерная графика:
– ПО VMware Workstation стало первым решением, поддерживающим
трехмерную графику (рис. 13) в виртуализированных средах. Благодаря
поддержке DirectX 9.0c Shader Model 3 и OpenGL 2.1 на виртуальных маши-
нах с ОС Windows и Linux можно запускать приложения с трехмерной гра-
фикой. Упрощение работы с ресурсоемкими приложениями трехмерной
графики, такими как AutoCAD, SolidWorks, и многими современными иг-
рами. Оптимизированный графический драйвер для Windows XP;
– последние дистрибутивы Linux включают графический драйвер
VMware и предоставляют готовые возможности для работы с трехмерными
настольными системами и приложениями.
Рис. 13. Расширенная графика

Удобство работы: интерфейс пользователя VMware Workstation раз-
работан для активной рабочей среды и включает понятные меню, динами-
ческие значки, а также мощную библиотеку виртуальных машин. Библио-
тека виртуальных машин упрощает просмотр локальных и удаленных вир-
18
туальных машин. Средства поиска помогают быстро найти нужные вирту-
альные машины, работающие на локальном ПК, в VMware vSphere или в
другом экземпляре Workstation в сети.
Выполнение многоуровневых приложений на одном компьютере: удоб-
ное управление несколькими виртуальными машинами, подключенными к
сети, путем их размещения в одной папке. Папки в библиотеке виртуальных
машин обеспечивают удобный запуск и выполнение сложных многоуров-
невых корпоративных приложений на одном ПК — одним щелчком мыши.
Снимки и клоны:
– снимки сохраняют текущее состояние виртуальной машины, чтобы
при необходимости всегда можно было вернуться к этому состоянию.
Снимки полезны, если нужно вернуть виртуальную машину в предыдущее
состояние для установки новой сборки приложения, удаления или исправ-
ления вредоносного ПО;
– установка операционных систем и приложений может быть трудоем-
кой и длительной. С помощью клонов можно создать несколько копий вир-
туальных машин в рамках базового процесса установки и настройки. Эта
возможность ускоряет и упрощает поддержку стандартизированных вычис-
лительных сред для сотрудников компаний и студентов, а также облегчает
создание базовой конфигурации для тестирования. Связанные клоны помо-
гают добиться того же результата при использовании значительно мень-
шего объема дискового пространства.
Печать без дополнительной настройки: автоматический доступ к
принтерам, подключенным к компьютерам, для виртуальных машин
Windows и Linux — драйверы и настройка не требуются. Принтер ПК по
умолчанию будет отображаться как принтер по умолчанию в виртуальных
машинах.
Машина времени для компьютеров: неисправные приложения, отказы
оборудования, вирусы и другое вредоносное ПО не сопровождаются преду-
преждением, что пора создать снимок вручную. AutoProtect создает снимки
автоматически через указанные интервалы, что обеспечивает защиту от слу-
чайных неполадок и возврат в исправное состояние.
Перепрофилирование старого оборудования: быстрое и удобное преоб-
разование всех физических ПК на базе Microsoft Windows и Linux, которые
занимают место на вашем рабочем столе, в виртуальные машины VMware
19
Workstation. Получите все преимущества виртуализации и освободите рабо-
чее место и оборудование.
Защита: защита виртуальных машин от несанкционированного до-
ступа с помощью расширенного 256-разрядного шифрования.
1.3. Создание виртуальной машины

При создании виртуальной машины (рис. 14) нужные нам параметры
сетевого адаптера недоступны, но можно его просто включить. Для этого
выберем в соответствующем диалоге настройки тип подключения как NAT-
сервер.
Рис. 14. Создание виртуальной машины

После того как виртуальная машина создана, а ОС установлена, нужно
остановить виртуальную машину и зайти в конфигурацию ее устройств
(рис. 15). Выбрать в списке наш сетевой адаптер или добавить его, как по-
казано на картинке, если это не было сделано раньше.
Теперь настроим наш сетевой адаптер таким образом, чтобы обе опе-
рационные системы использовали одно подключение (рис. 16). Для этого в
списке режимов работы сетевого адаптера выберем пользовательское под-
ключение.
20
Рис. 15. Редактирование оборудования
Рис. 16. Выбор сети

Из доступного списка можно выбрать любую сеть. Необходимо вы-
брать на каждой из виртуальных машин выбранную сеть, ведь ОС удастся
связать между собой, только если у них будет сетевое подключение к одной
сети, а не к различным.
21
2. СЕРВЕРНЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ
2.1. Обзор Windows Server

В операционной системе усовершенствована платформа веб-приложе-
ний. Сервер Windows Server содержит множество усовершенствований,
превращающих его в самую надежную платформу веб-приложений на ос-
нове Windows Server среди всех версий Windows. Он содержит обновлен-
ную роль веб-сервера и службы IIS с версии 7.5 и обеспечивает поддержку
.NET в режиме установки Server Core. При создании служб IIS 7.5 в них
были внесены усовершенствования, предоставляющие администраторам
веб-серверов удобные средства развертывания веб-приложений и управле-
ния ими и повышающие тем самым надежность и масштабируемость.
Кроме того, службы IIS 7.5 упрощают управление и расширяют возможно-
сти настройки среды веб-сервера.
В Windows Server в службы IIS и веб-платформу Windows внесены сле-
дующие усовершенствования:
– снижение трудоемкости администрирования и поддержки веб-прило-
жений;
– снижение трудоемкости поддержки и разрешения проблем;
– усовершенствованные службы передачи файлов (FTP);
– возможность расширения функциональности;
– улучшенная поддержка .NET;
– повышение защищенности пула приложений;
– портал сообщества IIS.NET;
– поддержка виртуализации серверов и настольных компьютеров.
Виртуализация играет важнейшую роль в работе современных центров
обработки данных. Обеспечиваемое виртуализацией повышение эффектив-
ности работы позволяет организациям значительно снизить трудоемкость
эксплуатации и энергопотребление. Windows Server 2008 R2 поддерживает
следующие типы виртуализации: виртуализация серверов и клиентских
компьютеров с помощью Hyper-V и виртуализация представлений.
Hyper-V. В состав Windows Server входит новая версия Hyper-V, кото-
рая содержит усовершенствования, помогающие создавать динамические
виртуальные центры обработки данных, более эффективное управление,
упрощенное развертывание и новую функцию живой миграции.
22
Службы удаленных рабочих столов (Remote Desktop Services), ранее
называвшиеся службами терминалов (Terminal Services), виртуализируют
среду обработки и отделяют обработку от графической подсистемы и
средств ввода-вывода, что позволяет запускать приложение в одном месте,
а работать с ним из другого места. Виртуализация представлений дает воз-
можность опубликовать как конкретные приложения или отображать рабо-
чий стол, позволяющий выполнять несколько приложений.
Упрощение управления и снижение энергопотребления. Управление
серверами в центрах обработки данных — одна из тех задач, что отнимают
у IT-специалистов больше всего времени. Применяемая в организации стра-
тегия управления должна поддерживать управление физическими и вирту-
альными средами. Одной из целей создания Windows Server было уменьше-
ние трудоемкости управления серверами Windows Server и выполнения по-
вседневных задач по администрированию серверов, а также предоставление
возможности выполнять эти задачи как непосредственно на сервере, так и
удаленно:
– усовершенствованное управление энергопотреблением центров обра-
ботки данных;
– упрощение удаленного администрирования;
– снижение трудоемкости административных задач, выполняемых
вручную;
– повышение эффективности управления и работы со средствами ко-
мандной строки благодаря PowerShell версии 2.0;
– более эффективное управление удостоверениями;
– повышение уровня соответствия существующим стандартам и пере-
довому опыту.
Масштабируемость и надежность. Windows Server поддерживает не-
достижимые ранее объемы рабочих нагрузок, динамическую масштабируе-
мость, доступность и надежность на всех уровнях, а также ряд других новых
и обновленных функций:
– использование современной архитектуры процессоров;
– повышение уровня модульности операционной системы;
– повышение производительности и масштабируемости приложений и
служб;
– более эффективные решения для хранения данных;
23
– более эффективная защита интранет-ресурсов;
– преимущества совместного использования с Windows 7/8/10.
Windows Server поддерживает ряд функций, рассчитанных на работу с
клиентскими компьютерами под управлением Windows 7. Следующие воз-
можности доступны только при использовании клиентских компьютеров
под управлением Windows 7/8/10 и серверов Windows Server:
– упрощение удаленного подключения к корпоративным компьютерам
благодаря применению функции DirectAccess;
– повышение производительности филиалов;
– повышение безопасности филиалов;
– повышение эффективности управления питанием;
– повышение эффективности интеграции с виртуальными рабочими
столами;
– повышение устойчивости соединений между сайтами;
– повышение защищенности съемных носителей;
– более эффективная защита от потери данных мобильных пользовате-
лей.
2.1.1. Обзор редакций

Все редакции начиная с Windows Server 2008 R2 и по ныне актуаль-
ную Windows Server 2019 поддерживают основные возможности, необхо-
димые для решения задач, которые возникают в работе IТ-систем и орга-
низаций любого размера. Чтобы получить дополнительные сведения о
возможностях отдельной редакции, щелкните на рабочем столе соответ-
ствующий значок или ссылку.
Windows Server 2008 R2 Datacenter (рис. 17) является платформой кор-
поративного уровня для важнейших бизнес-приложений и крупномасштаб-
ной виртуализации на небольших или мощных серверах. Эта редакция от-
личается повышенной доступностью, улучшенным управлением электро-
питанием и встроенными решениями для мобильных сотрудников и работ-
ников филиалов. Эта редакция также включает неограниченные лицензион-
ные права на виртуальные системы, что позволяет значительно сократить
затраты на инфраструктуру путем консолидации приложений. Данная ре-
дакция поддерживает от двух до 64 процессоров. Windows Server
24
Datacenter — это надежная основа для решений виртуализации корпоратив-
ного уровня и крупномасштабных систем.
Рис. 17. Windows Server 2008 R2 Datacenter

Windows Server 2008 R2 Enterprise — это мощная серверная платформа
(рис. 18), обеспечивающая надежную поддержку для самых важных процес-
сов и нагрузок. В этой редакции предусмотрены расширенные возможности
виртуализации; возможность экономии электроэнергии; улучшена управля-
емость; мобильные сотрудники могут проще получать доступ к ресурсам
компании.
Рис. 18. Windows Server 2008 R2 Enterprise

Windows Server 2008 R2 Standard — это самая надежная операционная
система из семейства Windows Server в настоящее время (рис. 19). Эта си-
стема имеет встроенный веб-сервер и возможности виртуализации. Она по-
может повысить надежность и гибкость серверной инфраструктуры при
снижении расходов и экономии времени. Мощные инструменты обеспечи-
вают более удобное управление серверами, упрощают настройку и управ-
ление. Надежные средства безопасности этой операционной системы защи-
щают сети и данные, что дает возможность построить исключительно проч-
ный фундамент для IT-среды вашего бизнеса.
Рис. 19. Windows Server 2008 R2 Standard

Windows Web Server 2008 R2 представляет собой мощную платформу
для веб-приложений и веб-служб (рис. 20). Эта редакция содержит службы
Internet Information Services (IIS) 7.5 и предназначена исключительно для
интернет-серверов; в ней предусмотрены улучшенные средства админи-
стрирования и диагностики, позволяющие снизить затраты при их исполь-
25
зовании с несколькими популярными платформами разработки. Эта плат-
форма поддерживает роли веб-сервера и DNS-сервера, обладает повышен-
ной надежностью и масштабируемостью и обеспечивает управление в са-
мых разных средах, от отдельного веб-сервера до фермы веб-серверов.
Рис. 20. Windows Web Server 2008 R2

Windows HPC Server 2008 принадлежит к следующему поколению вы-
сокопроизводительных вычислительных систем (рис. 21) и предоставляет
средства уровня промышленного предприятия для создания высокопроиз-
водительной вычислительной среды. Средства масштабирования Windows
HPC Server обеспечивают поддержку тысяч процессорных ядер и содержат
консоли управления, помогающие выполнять проактивный мониторинг и
поддерживать работоспособность и стабильность системы. Гибкость и ши-
рокие возможности взаимодействия, предоставляемые средствами планиро-
вания, обеспечивают интеграцию с высокопроизводительными вычисли-
тельными платформами на базе Windows и Linux и поддерживают приложе-
ния с сервис-ориентированной архитектурой (SOA) и пакетное выполнение
приложений.
Рис. 21. Windows HPC Server 2008

Windows Server для систем на базе процессоров Itanium представляет
собой платформу корпоративного уровня для важнейших бизнес-приложе-
ний (рис. 22). Эта платформа поддерживает крупные СУБД, бизнес-прило-
жения и системы, разработанные на заказ, и отвечает всем потребностям
растущего бизнеса. Для повышения доступности служит поддержка отказо-
устойчивых кластеров и возможности динамического аппаратного секцио-
нирования. Поддерживается развертывание виртуальных экземпляров
Windows Server (без ограничения их количества). Windows Server для си-
стем на базе процессоров Itanium обеспечивает прочный фундамент для ди-
намичной IT-инфраструктуры. Требуется серверное оборудование, поддер-
26
живающее такую функцию. Требуется технология виртуализации сторон-
них разработчиков. Виртуализация Hyper-VTM недоступна для систем на
базе процессоров Itanium.
Рис. 22. Windows Server 2008 R2 Itanium
Windows Server 2008 R2 Foundation — это недорогое и экономичное

техническое решение для бизнеса (рис. 23). Данная редакция предназначена
для владельцев небольших компаний и IT-специалистов, занимающихся их
поддержкой. Это недорогая, удобная в развертывании и надежная плат-
форма, на которой можно запускать распространенные бизнес-приложения
и обеспечивать общий доступ к информации и ресурсам.
Рис. 23. Windows Server 2008 R2 Foundation
2.1.2. Компоненты Windows Server

Active Directory. Описание поддерживаемых в Windows Server новых и
усовершенствованных возможностей Active Directory — надежной службы
каталогов.
AppFabric. Windows Server AppFabric — это набор служб приложений,
предназначенный для повышения производительности и управления веб-
приложениями, а также составными и корпоративными приложениями.
Резервное копирование и восстановление данных. Система резервного
копирования Windows Server — это базовое решение, предназначенное для
архивации и восстановления данных на компьютерах, работающих под
управлением ОС Microsoft Windows Server.
BranchCache. Кеш филиалов повышает скорость работы централизо-
ванных приложений при доступе по сети из удаленных офисов; пользова-
тели этих офисов могут работать столь же удобно, как если бы они работали
в локальной сети.
Кластеризация и балансировка сетевых нагрузок. В Windows Server
благодаря новым и улучшенным возможностям по настройке, управлению
27
и диагностике, предназначенным для решений по отказоустойчивой класте-
ризации, IT-специалисты могут проще и быстрее выполнять настройку кла-
стеров и управлять ими.
Факс-сервер — это роль в Windows Server 2 для управления общими
ресурсами факсов. Факс-сервер позволяет настроить факсимильные устрой-
ства так, чтобы пользователи сети могли отправлять и получать факсы.
Основная инфраструктура. Windows Server поддерживает и расши-
ряет службы основной инфраструктуры, необходимые для работы сети.
DirectAccess — это новая функция в операционных системах Windows
7/8/10 и Windows Server, обеспечивающая удобное подключение пользова-
телей к корпоративной сети в любое время при наличии доступа в Интернет.
Решения для работы с файлами и принтерами. Новые возможности
управления и оптимизации производительности делают подсистему хране-
ния данных Windows Server самой эффективной на сегодняшний день.
Сетевые службы. В Windows Server входят усовершенствованные се-
тевые технологии, которые упрощают процесс подключения к сети и под-
держку соединения, независимо от места нахождения пользователей и типа
сети.
Службы удаленных рабочих столов (RDS). Служба удаленных рабочих
столов (RDS) ускоряет развертывание рабочих столов и приложений, поз-
воляя любому клиенту использовать любое приложение или операционную
систему.
Инфраструктура классификации файлов. Благодаря инфраструктуре
классификации файлов можно повысить эффективность управления, сокра-
тить затраты и снизить риски путем использования готового решения для
классификации файлов, позволяющего администраторам автоматизировать
выполняемые вручную процессы с помощью предварительно созданных по-
литик, основанных на коммерческой ценности данных.
Идентификация и управление доступом. Решения Microsoft по управ-
лению удостоверениями и доступом помогают организациям в управлении
пользователями и их правами доступа.
Internet Information Services. Windows Server с IIS — это удобная в
управлении платформа с повышенной безопасностью для разработки и
надежного размещения веб-приложений и веб-служб.
28
Защита доступа к сети (NAP). NAP обеспечивает принудительное со-
блюдение требований к работоспособности, оценивая работоспособность
клиентских компьютеров при их подключении к сети или попытках обмена
данными с сетью.
Управление сервером. Описание новых возможностей Windows Server,
упрощающих развертывание серверов и управление ими.
Виртуализация с помощью Hyper-V. Все, что требуется для поддержки
виртуализации серверов, — Hyper-V, компонент операционной системы
Windows Server.
Windows Storage Server. Microsoft Windows Storage Server основан на
оптимизированном выпуске гибких и надежных файловых служб Windows
Server и обеспечивает более высокую производительность при работе с фай-
лами.
Службы потокового мультимедиа. Роль служб потокового мультиме-
диа в Windows Server предоставляет возможность потоковой передачи циф-
рового мультимедийного содержимого на клиентские компьютеры через
сеть.
Службы развертывания Windows (WDS). Службы развертывания
Windows в Windows Server являются обновленной и переработанной вер-
сией служб удаленной установки (RIS).
Службы Windows Server Update Services (WSUS). Позволяют IT-
администраторам развертывать последние обновления продуктов Microsoft
на компьютерах под управлением OC Windows.
2.2. Установка операционной системы

Для установки вам потребуется образ диска Windows Server (если вы
будете устанавливать из-под ОС) или загрузочный диск (если вы будете
устанавливать через БИОС). Установка очень проста и не потребует широ-
ких знаний в сфере ОС. Итак, приступим.
На первом этапе установки вам предложат ввести ключ продукта для
активации. Для этого введем его в поле, представленное на рисунке 24.
29
Рис. 24. Активация ОС
Примечание: если ключ не подходит, оставляем поле пустым, т. е. бу-
дем пользоваться системой в триальном периоде. Активировать ее не обя-
зательно, самое страшное — это окошко с просьбой активировать систему
при старте.
Также можно активировать при помощи Интернета, для этого нужно
поставить галочку рядом с полем «Автоматически активировать Windows
при подключении к Интернету». Мы воспользуемся первым вариантом. По-
сле ввода нажимаем кнопку «Далее».
Идет установка сервера (рис. 25).
Во время установки включится автоматическая перезагрузка. После пе-
резагрузки установщик перейдет к последней стадии установки, представ-
ленной на рисунке 26, после чего опять перезагрузится.
Далее входим в систему (рис. 27). Для этого нажимаем одновременно
кнопки Ctrl + Alt + Delete, система попросит ввести новый пароль админи-
стратора.
30
Рис. 25. Установка ОС
Рис. 26. Завершение установки ОС
31
Рис. 27. Вход в систему
Примечание: пароль администратора должен состоять минимум из

15 символов (должны входить буквы верхнего и нижнего регистра, а также
цифры).
На этом установка Windows Server завершена.
2.3. Управление паролями (политика паролей)

При первом запуске Windows Server для дальнейшего облегчения ра-
боты с сервером рекомендуется прежде всего настроить политику паролей.
Перейдем по: «Пуск» => «Администрирование» => «Локальная поли-
тика безопасности» (рис. 28).
Рис. 28. Настройка политики безопасности
32
Открываем вкладку: Политики учетных записей => Политика паролей
(рис. 29).
Рис. 29. Локальная политика безопасности

Просмотрите и настройте каждый пункт, особое внимание обратите на
пункт «Минимальная длина пароля».
33
3. СЕТЕВОЕ ПОДКЛЮЧЕНИЕ
3.1. Сетевые адаптеры в Windows

В диспетчере устройств Windows есть отдельный раздел «Сетевые
адаптеры», в котором отображаются все сетевые адаптеры, которые уста-
новлены в системе. Чаще всего это сетевая карта (LAN), Wi-Fi адаптер
(WLAN), устройства Bluetooth и системные: TAP-Windows Adapter, Micro-
soft Virtual Wi-Fi, Microsoft Wi-Fi Direct, WAN Miniport и т. д.
Далее будут рассмотрены следующие вопросы.
1. За что отвечают и как работают сетевые адаптеры различных ти-
пов.
2. Какие сетевые адаптеры должны быть в диспетчере устройств
Windows.
3. Как добавлять и удалять адаптеры из диспетчера.
4. Почему сетевые адаптеры не отображаются в диспетчере устройств,
не удаляются, не работают, не видят Wi-Fi и Интернет.
Так, например, в том же диспетчере устройств эти адаптеры нередко
отображаются с ошибками. Например, «код 31». Бывает, что возле адаптера
отображается восклицательный знак, стрелочка или сама иконка прозрач-
ная. Это означает, что в работе этого устройства есть ошибки, оно работает
неправильно или отключено.
На ноутбуке, в котором кроме сетевой карты подключен Wi-Fi и
Bluetooth-модуль, и на обычном персональном компьютере конфигурация
сетевых устройст может быть различна. Например, на ноутбуке, где не уста-
новлены драйвера на Wi-Fi и Bluetooth, в разделе сетевых устройств может
отображаться вообще один адаптер — сетевая карта (например, Realtek PCIe
GBE Family Controller), так как Windows практически всегда автоматически
ставит драйвер на сетевую карту. Да и она есть почти в каждом системном
блоке и ноутбуке. Хотя сейчас уже много ноутбуков без сетевой карты.
В зависимости от устройства (ПК, ноутбук, планшет), установленного
в нем аппаратного обеспечения, драйверов, настроек и т. д., количество се-
тевых адаптеров и их названия могут отличаться — это нормально. Напри-
мер, в одном ноутбуке установлен Wi-Fi-модуль (сама плата) Qualcomm
Atheros, а в другом Intel. Далее будут рассмотрены подробнее адаптеры их
назначение, функционал и особенности работы.
34

Realtek PCIe GBE Family Controller — это сетевая карта (LAN) от про-
изводителя Realtek. Она нужна для подключения к Интернету с помощью
сетевого кабеля, который подключается в Ethernet-порт на ноутбуке, или к
ПК. В ее названии обычно есть слова «PCI-E» или «Ethernet». Самые попу-
лярные производители этих контроллеров: Realtek, Qualcomm Atheros, Intel.
Если этого адаптера нет в диспетчере устройств, значит, либо он не уста-
новлен (или сломан), либо не установлен драйвер.
Intel(R) Dual Band Wireless-AC 3160 — это Wi-Fi-адаптер. Через него
устанавливается подключение к Wi-Fi-сетям. На ноутбуках он, как правило,
встроенный. А на ПК приходится покупать и подключать USB- или PCI-
адаптер. Слова, по которым можно определить Wi-Fi-адаптер: «WLAN»,
«Wireless», «AC», «Dual Band», «802.11». Производители могут быть раз-
ные: Intel, Atheros, Broadcom. Если такого адаптера в диспетчере устройств
нет, то он не подключен/сломан/не установлен драйвер. Очень часто возни-
кает проблема с драйверами.
Bluetooth Device (personal area network) — эти адаптеры отвечают не за
работу Bluetooth, а за организацию локальной сети по Bluetooth, через раз-
ные протоколы. Их может быть несколько. Если таких адаптеров нет, то
не подключен Bluetooth-адаптер, он не настроен или не настроена такая
сеть.
TAP-Windows Adapter V9 — виртуальный сетевой адаптер Windows.
Может использоваться для разных задач. Очень часто он появляется
после настройки VPN, установки программ, которые меняют сетевые
настройки.
WAN Miniport — это системные адаптеры, которые нужны Windows
для подключения к Интернету через разные протоколы (PPTP, PPPoE, L2TP
и т. д.).
Также там может отображаться «Виртуальный адаптер Wi-Fi Direct
(Майкрософт)», «Виртуальный адаптер размещенной сети (Майкрософт)»,
«Сетевой адаптер с отладкой ядра (Майкрософт)». Все это системные адап-
теры, которые нужны для работы определенных функций. Чаще всего это
функция раздачи Wi-Fi через командную строку или мобильный хот-спот в
Windows 10.
Как управлять сетевыми адаптерами в Windows? Можно нажать на
«Вид» и поставить галочку возле поля «Показывать скрытые устройства».
35
После этого появятся все отключенные адаптеры, которые раньше были
подключены и настроены.
3.1.1. Скрытые сетевые адаптеры в Windows

Если иконка возле адаптера не яркая, а прозрачная, то он отключен и
использовать его нельзя. Если возле иконки есть значок в виде стрелочки,
то это значит, что адаптер просто выключен. Чтобы он начал работать, нам
нужно его задействовать (включить устройство).
Включаем сетевой адаптер в Windows 10. Возле адаптера также может
быть желтый восклицательный знак. Это значит, что адаптер работает не-
правильно. Нажмите на него правой кнопкой мыши и выберите «Свойства».
Там будет отображаться «Состояние устройства». Может быть сообщение
об ошибке и код ошибки, по которому можно найти решение.
Состояние сетевого адаптера:
– не работает;
– не подключен;
– работает нормально.
Нажав правой кнопкой мыши на адаптер, можно обновить его драй-
вера, отключить или удалить из системы. А также открыть свойства (как
показано выше) и изменить необходимые параметры на соответствующих
вкладках.
Настройка сетевого адаптера через диспетчер устройств
В диспетчере устройств отображаются как физические адаптеры (сете-
вая карта, Wi-Fi-модуль/адаптер), так и виртуальные адаптеры, и другие
компоненты, которые нужны Windows для работы разных функций.
Можно открыть параметры каждого адаптера, отключить его, удалить,
обновить драйвера, посмотреть состояние, ошибки и т. д.
3.2. Основные проблемы при работе с сетью
3.2.1. В диспетчере устройств отсутствует сетевой адаптер

Типична ситуация, когда появляется необходимость подключить ком-
пьютер к Интернету с помощью сетевого кабеля или по Wi-Fi, и оказыва-
ется, что подключение не работает, так как в диспетчере устройств нет се-
тевого адаптера. И здесь даже неважно, ноутбук это или обычный ПК, уста-
новлена на нем Windows 10, Windows 7, 8, или Windows XP. В результате
36
просто отсутствует возможность подключиться к Интернету. Очень часто с
этой проблемой сталкиваются после переустановки Windows. Далее еще раз
кратко будут рассмотрены основные адаптеры, использующиеся для под-
ключения к сети Интернет.
Беспроводной сетевой адаптер — он же Wi-Fi-адаптер — отвечает за
подключение к Интернету по Wi-Fi. Как правило, он встроен в каждый но-
утбук и изначально отсутствует в стационарных компьютерах. Но его
можно докупить.
Сетевая карта, или Ethernet-адаптер (LAN), используется для подклю-
чения по сетевому кабелю. Есть на всех ПК (LAN-порт на материнской
плате или отдельной картой). Также LAN есть практически на всех ноутбу-
ках, кроме ультрабуков. Там используются переходники USB-LAN.
Еще раз обратите внимание, что в зависимости от производителя ноут-
бука, ПК или адаптеров, они могут иметь разные название. Также там может
быть много других адаптеров, типа WAN Miniport.
Чтобы открыть диспетчер устройств, можете воспользоваться поиском
в Windows 10, открыть его через свойства в «Мой компьютер» или, нажав
сочетание клавиш Win+R, выполнить команду mmc devmgmt.msc.
Как показывает практика, адаптер (или оба) отсутствует в основном по
трем причинам.
1. Адаптера просто нет в устройстве. В ПК обычно нет встроенного Wi-
Fi-модуля. И, соответственно, он не может отображаться в диспетчере
устройств. Но всегда можно купить такой адаптер и установить. Или та же
сетевая карта может отсутствовать в ноутбуке.
2. Не установлен драйвер на Wi-Fi, или Ethernet-адаптер. Это самая по-
пулярная причина. В таком случае в диспетчере устройств должны быть не-
известные устройства (если физически адаптер присутствует) на вкладке
«Другие устройства». Сюда еще можно отнести настройки BIOS/UEFI.
В некоторых случаях WLAN- или LAN-адаптер может быть отключен в
настройках BIOS/UEFI.
3. Адаптер неисправен. Нередко на стационарных компьютерах сго-
рают сетевые карты, а на ноутбуках выходят из строя Wi-Fi-модули. Сете-
вую карту всегда можно купить (USB или PCI) и установить в ПК. Беспро-
водной модуль можно также поменять. Как для ПК, так и для ноутбука
можно выбрать USB Wi-Fi-адаптер.
37
4. Отсутствует Wi-Fi-адаптер в диспетчере устройств. Практически
всегда, в названии беспроводного адаптера есть такие слова: Wireless,
WLAN, Wireless Network Adapter, 802.11. В основном сетевые адаптеры
отображаются там как сетевой контроллер или USB2.0 WLAN. А дальше
уже необходимо установить на них драйвер. Или сразу загружайте драйвера
на WLAN для своей модели ноутбука и запускайте установку.
5. Отсутствует сетевая карта (LAN). С сетевыми картами проблем
намного меньше. Хотя бы потому, что Windows практически всегда автома-
тически ставит драйвер на Ethernet-адаптеры. Разве что в Windows XP при-
дется ставить драйвер вручную. Но это сейчас уже не очень актуально.
Если сетевой карты в диспетчере устройств нет, а физически она в ком-
пьютере присутствует, то, скорее всего, она вышла из строя. Проверяем
вкладку «Другие устройства». Если там нет неизвестных устройств, карту
вероятно, придется заменить или купить USB Ethernet-адаптер.
3.2.2. Драйвера устройств

Сам Ethernet-контроллер практически всегда интегрирован в ноутбук,
или материнскую плату стационарного компьютера. Возможно, в систем-
ном блоке стоит уже дискретная сетевая карта, которая подключена в PCI
слот. И может быть еще USB-адаптер, примерно такой как TP-LINK UE300,
но это редкость.
Неважно, какой Ethernet-контроллер установлен. В любом случае,
чтобы он работал, на него должен быть установлен драйвер. Это можно про-
верить в диспетчере устройств.
Заходим в диспетчер устройств и смотрим что к чему. Если сетевая
карта там есть (возле нее нет никаких значков) и Интернет не работает, то
возможно проблема не в ней, а в кабеле, например, или в роутере (если он
есть).
Если сетевой карты вы там не увидите, то должно быть неизвестное
устройство (с желтым восклицательным знаком). Скорее всего, у него будет
название «Ethernet-контроллер». Это и есть сетевая карта, которая не рабо-
тает из-за отсутствия драйвера. Windows без драйвера просто не знает, что
это за устройство и как с ним «общаться».
38
Следует просто установить драйвер на сетевую карту или переустано-
вить его, если адаптер есть, но он работает с ошибками или вообще не ра-
ботает.
Какой драйвер скачать для сетевой карты (Ethernet-контроллера)? Са-
мый правильный способ — это искать драйвер для модели вашего ноутбука,
материнской платы или самой сетевой карты. Если с самим адаптером, но-
утбуком или материнской платой (для ПК) был в комплекте диск с драйве-
рами, то можно попробовать установить драйвер с диска.
Если диска нет, то придется искать и скачивать драйвер с другого ком-
пьютера или даже мобильного устройства. Затем переносить его на нужный
компьютер и устанавливать.
Если у вас ноутбук со встроенным сетевым адаптером, то здесь все
очень просто. Сначала нужно узнать модель ноутбука. Она точно указана
на наклейке снизу ноутбука. Дальше набираем модель ноутбука в Google и
переходим на официальный сайт. Или заходим на официальный сайт про-
изводителя вашего ноутбука и через поиск по сайту находим страничку мо-
дели своего ноутбука. Там уже ищем вкладку «Драйвера», «Поддержка»
и т. д. и загружаем LAN Driver. Обязательно для конкретной установленной
версии Windows.
В зависимости от производителя ноутбука, сам процесс будет разли-
чаться. Поэтому конкретных инструкций привести нет возможности. Но по-
рядок действий будет таким же. На сайте каждого производителя,
есть страничка определенной модели ноутбука, где можно скачать все драй-
вера.
Поиск LAN драйвера для стационарного компьютера
Если у вас стационарный компьютер, на котором сетевая карта, встро-
енная в материнскую плату, то драйвер нужно искать на сайте производи-
теля материнской платы, для модели вашей материнской платы.
Есть много программ типа AIDA64 или CPU-Z, позволяющих выяснить
модель материнской платы. Но это можно сделать также через командную
строку.
Откройте командную строку, и по очереди выполните команды:
wmic baseboard get Manufacturer
39
wmic baseboard get product
Можно только последнюю. После ее выполнения вы увидите модель
материнской платы. Дальше ищем в Интернете по модели материнской
платы, переходим на сайт разработчика, и скачиваем LAN-драйвер. Только
не забудьте выбрать свою операционную систему. Там точно будет такая
возможность.
Если у вас PCI- или USB-сетевая карта, то сначала проверьте, не было
ли диска с драйверами в комплекте с самой картой.
Если нет, то нужно узнать модель сетевого адаптера и скачать драйвер
с официального сайта. Модель, как правило, можно посмотреть на самом
устройстве.
Также можно осуществить поиск драйвера Ethernet-контроллера по
VEN и DEV, но это, скорее, запасной способ. Сначала заходим в диспетчер
устройств, нажимаем правой кнопкой мыши на наш Ethernet-контроллер
(или неизвестное устройство, которое, по вашему мнению, может быть се-
тевым адаптером) и выбираем «Свойства».
В новом окне переходим на вкладку «Сведения». В выпадающем меню
выбираем «ИД оборудования». Копируем последнюю строчку (если не по-
лучится, можно попробовать другие).
Переходим на сайт http://devid.info. В строке поиска вставляем скопи-
рованную строчку с диспетчера устройств и нажимаем «Искать».
Скачиваем первый драйвер из списка. Обратите внимание, что возле
драйвера будет указана операционная система, для которой он подходит.
Вам нужен драйвер для установленной у вас операционной системы
Windows. Сверху можно выбрать нужную систему и разрядность системы.
Например, Windows 10.
Далее, как показывает практика, для установки нужно просто открыть
скачанный архив, запустить файл setup.exe и следовать инструкциям по
установке.
Если в процессе установки драйвера появится какая-то ошибка, то пе-
резагрузите компьютер и попробуйте запустить установку еще раз. Если все
же драйвер не захочет устанавливаться, то попробуйте скачать другой. Но
проблем возникнуть не должно.
40
Можно попробовать еще один способ установки. Сначала извлеките
все файлы из архива с драйвером, например на рабочий стол.
Дальше заходим в диспетчер устройств и нажимаем правой кнопкой
мыши на сетевую карту, точнее на неизвестное устройство (или Ethernet-
контроллер), которое, по вашему мнению, является сетевым адаптером, и
выбираем «Обновить драйверы».
В новом окне выбираем «Выполнить поиск драйверов на этом компь-
ютере».
Дальше нажимаем на кнопку «Обзор», указываем папку с драйверами
и нажимаем кнопку «Далее».
Система должна сама найти и установить драйвер, если вы указали
папку с правильными драйверами.
3.2.3. Резюме
Проверяем наличие необходимого сетевого адаптера на своем компью-
тере.
Убеждаемся, что проблема не в драйверах.
Если ничего не помогает — относим компьютер в ремонт или самосто-
ятельно меняем необходимый адаптер. Нужно отметить, что в домашних
условиях весьма проблематично определить причину отсутствия адаптера и
найти поломку.
3.3. Настройка сетевого подключения

Настроить сетевое подключение несложно, для этого нужно пройти по
пути: «Панель управления» => «Сеть и Интернет» => «Сетевые подключе-
ния», нажать правой кнопкой мыши на «Подключение по локальной сети»
и нажать левой кнопкой мыши на «Свойства» (рис. 30).
Далее выделяем правой кнопкой мыши «Протокол Интернета версии 4
(TCP/IPv4)» и нажимаем на «Свойства» (рис. 31).
Выбираем пункт «Использовать следующий IP-адрес» и вводим IP-
адрес 192.168.1.12, этот адрес будет использован как DNS-сервер, маску
подсети 255.255.255.0 (рис. 32). Нажимаем ОК и «Закрыть».
41
Рис. 30. Сетевые подключения
Рис. 31. Подключение по локальной сети
42
Рис. 32. Свойства протокола TCP/IPv4
На этом настройка сетевого подключения окончена.
43
4. DNS — СИСТЕМА ДОМЕННЫХ ИМЕН
DNS (Domain Name System — система доменных имен) — компьютер-

ная распределенная система для получения информации о доменах. Чаще
всего используется для получения IP-адреса по имени хоста (компьютера
или устройства), получения информации о маршрутизации почты, обслужи-
вающих узлах для протоколов в домене (SRV-запись). Распределенная база
данных DNS поддерживается с помощью иерархии DNS-серверов, взаимо-
действующих по определенному протоколу. Основой DNS является пред-
ставление об иерархической структуре доменного имени и зонах. Каждый
сервер, отвечающий за имя, может делегировать ответственность за даль-
нейшую часть домена другому серверу (с административной точки зре-
ния — другой организации или человеку), что позволяет возложить ответ-
ственность за актуальность информации на серверы различных организаций
(людей), отвечающих только за «свою» часть доменного имени.
4.1. Основные теоретические сведения

Использование более простого и запоминающегося имени вместо чис-
лового адреса хоста относится к эпохе ARPANET. Стэнфордский исследо-
вательский институт (теперь SRI International) поддерживал текстовый файл
HOSTS.TXT, который сопоставлял имена узлов с числовыми адресами ком-
пьютеров в ARPANET. Поддержание числовых адресов, называемых спис-
ком присвоенных номеров, было обработано Джоном Постелем в Институте
информационных наук Университета Южной Калифорнии (ISI), команда
которого тесно сотрудничала с НИИ.
Адреса назначались вручную. Чтобы запросить имя хоста и адрес и до-
бавить компьютер в главный файл, пользователи связывались с сетевым ин-
формационным центром (NIC) SRI, руководимым Элизабет Фейнлер, по те-
лефону в рабочее время.
К началу 1980-х гг. поддержание единой централизованной таблицы
хостов стало медленным и громоздким, а развивающейся сети требовалась
автоматическая система именования для решения технических и кадровых
вопросов. Постел поставил перед собой задачу выработать компромисс
между пятью конкурирующими предложениями для решения задачи,
44
сформулированной Полом Мокапетрисом. Мокапетрис вместо этого создал
концепцию иерархической системы доменных имен.
Рабочая группа IETF опубликовала оригинальные спецификации в RFC
882 и RFC 883 в ноябре 1983 года.
В 1984 году четыре студента UC Berkeley, Дуглас Терри, Марк Пейн-
тер, Дэвид Риггл и Сонгниан Чжоу, написали первую версию сервера имен
BIND (Berkeley Internet Name Daemon). В 1985 году Кевин Данлэп из DEC
существенно пересмотрел реализацию DNS. Майк Карел, Фил Альмквист и
Пол Викси поддерживали BIND с тех пор. В начале 1990-х годов BIND был
перенесен на платформу Windows NT. Он широко распространен, особенно
в Unix-системах, и по-прежнему является наиболее широко используемым
программным обеспечением DNS в Интернете.
В ноябре 1987 года были приняты спецификации DNS — RFC 1034 и
RFC 1035. После этого были приняты сотни RFC, изменяющих и дополня-
ющих DNS.
Актуальная версия DNS обладает следующими характеристиками:
– распределенность администрирования: ответственность за разные
части иерархической структуры несут разные люди или организации;
– распределенность хранения информации: каждый узел сети в обяза-
тельном порядке должен хранить только те данные, которые входят в его
зону ответственности, и (возможно) адреса корневых DNS-серверов.
– кеширование информации: узел может хранить некоторое количество
данных не из своей зоны ответственности для уменьшения нагрузки на сеть;
– иерархическая структура, в которой все узлы объединены в дерево,
и каждый узел может или самостоятельно определять работу нижестоящих
узлов, или делегировать (передавать) их другим узлам;
– резервирование: за хранение и обслуживание своих узлов (зон) отве-
чают (обычно) несколько серверов, разделенных как физически, так и логи-
чески, что обеспечивает сохранность данных и продолжение работы даже в
случае сбоя одного из узлов.
4.2. Терминология и принципы работы

Ключевыми понятиями DNS являются следующие.
Домен — узел в дереве имён, вместе со всеми подчинёнными ему уз-
лами (если таковые имеются), то есть именованная ветвь или поддерево
45
в дереве имён. Структура доменного имени отражает порядок следования
узлов в иерархии; доменное имя читается слева направо от младших доме-
нов к доменам высшего уровня (в порядке повышения значимости): вверху
находится корневой домен (имеющий идентификатор «.» (точка)), ниже
идут домены первого уровня (доменные зоны), затем — домены второго
уровня, третьего и т. д. (например, для адреса ru.gumrf.org домен первого
уровня — org, второго — gumrf, третьего — ru). DNS позволяет не указы-
вать точку корневого домена.
Поддомен — подчинённый домен (например, gumrf.org — поддомен
домена org, а ru.gumrf.org — домена gumrf.org). Теоретически такое деление
может достигать глубины 127 уровней, а каждая метка может содержать до
63 символов, пока общая длина вместе с точками не достигнет 254 симво-
лов. Но на практике регистраторы доменных имён используют более стро-
гие ограничения. Например, если у вас есть домен вида mydomain.ru, вы мо-
жете создать для него различные поддомены вида mysite1.mydomain.ru,
mysite2.mydomain.ru и т. д.
Ресурсная запись — единица хранения и передачи информации в
DNS. Каждая ресурсная запись имеет имя (то есть привязана к определён-
ному доменному имени, узлу в дереве имён), тип и поле данных, формат и
содержание которого зависит от типа.
Зона — часть дерева доменных имён (включая ресурсные записи), раз-
мещаемая как единое целое на некотором сервере доменных имён (DNS-
сервере), а чаще — одновременно на нескольких серверах. Целью выделе-
ния части дерева в отдельную зону является передача ответственности (см.
ниже) за соответствующий домен другому лицу или организации. Это назы-
вается делегированием. Как связная часть дерева, зона внутри тоже пред-
ставляет собой дерево. Если рассматривать пространство имён DNS как
структуру из зон, а не отдельных узлов/имён, тоже получается дерево;
оправданно говорить о родительских и дочерних зонах, о старших и подчи-
нённых. На практике большинство зон 0-го и 1-го уровня ('.', ru, com, …)
состоят из единственного узла, которому непосредственно подчиняются до-
черние зоны. В больших корпоративных доменах (2-го и более уровней)
иногда встречается образование дополнительных подчинённых уровней без
выделения их в дочерние зоны.
46
Делегирование — операция передачи ответственности за часть дерева
доменных имён другому лицу или организации. За счёт делегирования в
DNS обеспечивается распределённость администрирования и хранения.
Технически делегирование выражается в выделении этой части дерева в от-
дельную зону и размещении этой зоны на DNS-сервере, управляемом этим
лицом или организацией. При этом в родительскую зону включаются «скле-
ивающие» ресурсные записи (NS и А), содержащие указатели на DNS-сер-
вера дочерней зоны, а вся остальная информация, относящаяся к дочерней
зоне, хранится уже на DNS-серверах дочерней зоны.
DNS-сервер — специализированное ПО для обслуживания DNS,
а также компьютер, на котором это ПО выполняется. DNS-сервер может
быть ответственным за некоторые зоны и/или может перенаправлять за-
просы вышестоящим серверам.
DNS-клиент — специализированная библиотека (или программа) для
работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента.
Авторитетность — признак размещения зоны на DNS-сервере. От-
веты DNS-сервера могут быть двух типов: авторитетные, когда сервер заяв-
ляет, что сам отвечает за зону, и неавторитетные (Non-authoritative), когда
сервер обрабатывает запрос и возвращает ответ других серверов. В некото-
рых случаях вместо передачи запроса дальше DNS-сервер может вернуть
уже известное ему (по запросам ранее) значение (режим кеширования).
DNS-запрос — запрос от клиента (или сервера) серверу. Запрос может
быть рекурсивным или нерекурсивным.
Система DNS содержит иерархию DNS-серверов, соответствующую
иерархии зон. Каждая зона поддерживается как минимум одним авторитет-
ным сервером DNS (от англ. authoritative — авторитетный), на котором рас-
положена информация о домене.
Имя и IP-адрес не тождественны — один IP-адрес может иметь множе-
ство имён, что позволяет поддерживать на одном компьютере множество
веб-сайтов (это называется виртуальный хостинг). Обратное тоже справед-
ливо — одному имени может быть сопоставлено множество IP-адресов: это
позволяет создавать балансировку нагрузки.
Для повышения устойчивости системы используется множество серве-
ров, содержащих идентичную информацию, а в протоколе есть средства,
позволяющие поддерживать синхронность информации, расположенной на
47
разных серверах. Существует 13 корневых серверов, их адреса практически
не изменяются.
Протокол DNS использует для работы TCP- или UDP-порт 53 для отве-
тов на запросы. Традиционно запросы и ответы отправляются в виде одной
UDP-датаграммы. TCP используется, когда размер данных ответа превы-
шает 512 байт, и для AXFR-запросов.
Рекурсия — алгоритм поведения DNS-сервера: выполнение от имени
клиента полного поиска нужной информации во всей системе DNS, при
необходимости обращаясь к другим DNS-серверам.
DNS-запрос может быть рекурсивным — требующим полного поиска,
и нерекурсивным (или итеративным) — не требующим полного поиска.
Аналогично — DNS-сервер может быть рекурсивным (умеющим вы-
полнять полный поиск) и нерекурсивным (не умеющим выполнять полный
поиск). Некоторые программы DNS-серверов, например BIND, можно скон-
фигурировать так, чтобы запросы одних клиентов выполнялись рекурсивно,
а запросы других — нерекурсивно.
При ответе на нерекурсивный запрос, а также при неумении или за-
прете выполнять рекурсивные запросы DNS-сервер либо возвращает дан-
ные о зоне, за которую он ответственен, либо возвращает ошибку.
Настройки нерекурсивного сервера, когда при ответе выдаются адреса сер-
веров, которые обладают большим объёмом информации о запрошенной
зоне, чем отвечающий сервер (чаще всего — адреса корневых серверов), яв-
ляются некорректными, и такой сервер может быть использован для орга-
низации DoS-атак.
В случае рекурсивного запроса DNS-сервер опрашивает серверы (в по-
рядке убывания уровня зон в имени), пока не найдёт ответ или не обнару-
жит, что домен не существует (на практике поиск начинается с наиболее
близких к искомому DNS-серверов, если информация о них есть в кеше и
не устарела, сервер может не запрашивать другие DNS-серверы).
При рекурсивной обработке запросов все ответы проходят через DNS-
сервер, и он получает возможность кешировать их. Повторный запрос на те
же имена обычно не идёт дальше кеша сервера, обращения к другим серве-
рам не происходит вообще. Допустимое время хранения ответов в кеше
приходит вместе с ответами (поле TTL ресурсной записи).
48
Рекурсивные запросы требуют больше ресурсов от сервера (и создают
больше трафика), так что обычно принимаются от «известных» владельцу
сервера узлов (например, провайдер предоставляет возможность делать ре-
курсивные запросы только своим клиентам, в корпоративной сети рекур-
сивные запросы принимаются только из локального сегмента). Нерекурсив-
ные запросы обычно принимаются ото всех узлов сети (и содержательный
ответ даётся только на запросы о зоне, которая размещена на узле, на DNS-
запрос о других зонах обычно возвращаются адреса других серверов).
DNS используется в первую очередь для преобразования символьных
имён в IP-адреса, но он также может выполнять обратный процесс. Для
этого используются уже имеющиеся средства DNS. Дело в том, что с запи-
сью DNS могут быть сопоставлены различные данные, в том числе и какое-
либо символьное имя. Существует специальный домен in-addr.arpa, записи
в котором используются для преобразования IP-адресов в символьные
имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно
запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соот-
ветствующее символьное имя. Обратный порядок записи частей IP-адреса
объясняется тем, что в IP-адресах старшие биты расположены в начале, а в
символьных DNS-именах старшие (находящиеся ближе к корню) части рас-
положены в конце.
4.3. Установка и настройка роли

Для установки нужно пройти по адресу: «Пуск» => «Администрирова-
ние» => «Диспетчер сервера» => «Роли» (рис. 33).
Рис. 33. Доступные роли

Нажимаем «Добавить роли» => «Далее». Перед нами список всех ро-
лей, которые можно установить на сервер (рис. 34). Нас пока интересует
только DNS-сервер. Поэтому ставим галочку напротив «DNS-сервер» и
нажимаем «Далее».
49
Рис. 34. Выбор ролей сервера
На следующем этапе нажимаем «Далее» (рис. 35).
Рис. 35. Роль DNS

На следующем этапе выведен список всех ролей, которые мы хотим
установить (рис. 36).
50
Рис. 36. Подтверждение установки ролей
Нажимаем «Установить». Начинается установка DNS-сервера (рис. 37).
На последнем этапе проверяем, не возникло ли ошибок при установке, и
нажимаем «Закрыть».
Рис. 37. Результаты установки ролей

На этом установка DNS-сервера окончена.
51

5. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
Active Directory (AD) — LDAP-совместимая реализация службы ката-

логов корпорации Microsoft для операционных систем семейства Windows
NT. Active Directory позволяет администраторам использовать групповые
политики (GPO) для обеспечения единообразия настройки пользователь-
ской рабочей среды, развертывать ПО на множестве компьютеров (через
групповые политики или посредством Microsoft Systems Management Server
(или System Center Configuration Manager)), устанавливать обновления ОС,
прикладного и серверного ПО на всех компьютерах в сети (с использова-
нием Windows Server Update Services (WSUS); Software Update Services
(SUS) ранее). Active Directory хранит данные и настройки среды в центра-
лизованной базе данных. Сети Active Directory могут быть различного раз-
мера: от нескольких сотен до нескольких миллионов объектов.
Существует две основные модели управления безопасностью. Как уже
говорилось, основное назначение служб каталогов — управление сетевой
безопасностью. Основа сетевой безопасности — база данных учетных запи-
сей (accounts) пользователей, групп пользователей и компьютеров, с помо-
щью которой осуществляется управление доступом к сетевым ресурсам.
Сравним две модели построения базы данных служб каталогов и управле-
ния доступом к ресурсам.
Модель «Рабочая группа». Данная модель управления безопасностью
корпоративной сети — самая примитивная. Она предназначена для исполь-
зования в небольших одноранговых сетях (три-десять компьютеров) и ос-
нована на том, что каждый компьютер в сети с операционными системами
Windows NT/2000/2003/XP/Vista/7/8 имеет свою собственную локальную
базу данных учетных записей и с помощью этой локальной БД осуществля-
ется управление доступом к ресурсам данного компьютера. Локальная БД
учетных записей называется база данных SAM (Security Account Manager) и
хранится в реестре операционной системы. Базы данных отдельных компь-
ютеров полностью изолированы друг от друга и никак не связаны между
собой.
Пример управления доступом при использовании такой модели изоб-
ражен на рисунке 38.
52
Рис. 38. Модель безопасности «Рабочая группа»
В данном примере изображены два сервера (SRV-1 и SRV-2) и две ра-
бочие станции (WS-1 и WS-2). Их базы данных SAM обозначены соответ-
ственно SAM-1, SAM-2, SAM-3 и SAM-4 (на рисунке базы SAM изобра-
жены в виде овала). В каждой БД есть учетные записи пользователей User1
и User2. Полное имя пользователя User1 на сервере SRV-1 будет выглядеть
как SRV-1\User1, а полное имя пользователя User1 на рабочей станции WS-1
будет выглядеть как WS-1\User1. Представим, что на сервере SRV-1 создана
папка Folder, к которой предоставлен доступ по сети пользователям
User1 — на чтение (R), User2 — чтение и запись (RW). Главный момент в
этой модели заключается в том, что компьютер SRV-1 ничего «не знает» об
учетных записях компьютеров SRV-2, WS-1, WS-2, а также всех остальных
компьютеров сети. Если пользователь с именем User1 локально зарегистри-
руется в системе на компьютере, например WS-2 (или, как еще говорят, вой-
53
дет в систему с локальным именем User1 на компьютере WS-2), то при по-
пытке получить доступ с этого компьютера по сети к папке Folder на сервере
SRV-1 сервер попросит пользователя ввести имя и пароль (исключением яв-
ляется случай, когда у пользователей с одинаковыми именами одинаковые
пароли).
Модель «Рабочая группа» более проста для изучения, здесь нет необ-
ходимости изучать сложные понятия Active Directory. Но при использова-
нии этой модели в сети с большим объемом внутренних сетевых ресурсов
становится очень сложно управлять именами пользователей и их паро-
лями — приходится либо на каждом компьютере (который предоставляет
свои ресурсы для совместного использования в сети) вручную создавать
одни и те же учетные записи с одинаковыми паролями, что очень трудо-
емко, либо делать одну учетную запись на всех пользователей с одним на
всех паролем (или вообще без пароля), что сильно снижает уровень защиты
информации. Поэтому модель «Рабочая группа» рекомендуется только для
сетей с числом компьютеров от трех до десяти (а еще лучше — не более
пяти) и при условии, что среди всех компьютеров нет ни одного с системой
Windows Server.
Доменная модель. В доменной модели существует единая база данных
служб каталогов, доступная всем компьютерам сети. Для этого в сети уста-
навливаются специализированные серверы, называемые контроллерами до-
мена, которые хранят на своих жестких дисках эту базу. На рисунке 39 изоб-
ражена схема доменной модели. Серверы DC-1 и DC-2 — контроллеры до-
мена, они хранят доменную базу данных учетных записей (каждый контрол-
лер хранит у себя свою собственную копию БД, но все изменения, произво-
димые в БД на одном из серверов, реплицируются на остальные контрол-
леры).
В такой модели, если, например, на сервере SRV-1, являющемся чле-
ном домена, предоставлен общий доступ к папке Folder, то права доступа к
данному ресурсу можно назначать не только для учетных записей локаль-
ной базы SAM данного сервера, но, самое главное, учетным записям, хра-
нящимся в доменной БД. На рисунке для доступа к папке Folder даны права
доступа одной локальной учетной записи компьютера SRV-1 и нескольким
учетным записям домена (пользователя и группам пользователей). В домен-
ной модели управления безопасностью пользователь регистрируется на
54
компьютере («входит в систему») со своей доменной учетной записью
и, независимо от компьютера, на котором была выполнена регистрация, по-
лучает доступ к необходимым сетевым ресурсам. Таким образом, нет необ-
ходимости на каждом компьютере создавать большое количество локаль-
ных учетных записей, все записи созданы однократно в доменной БД. С по-
мощью доменной базы данных осуществляется централизованное управле-
ние доступом к сетевым ресурсам независимо от количества компьютеров
в сети.
Рис. 39. Доменная модель безопасности
5.1. Назначение службы каталогов Active Directory

Каталог (справочник) может хранить различную информацию, относя-
щуюся к пользователям, группам, компьютерам, сетевым принтерам, об-
щим файловым ресурсам и т. д., — будем называть все это объектами. Ка-
талог хранит также информацию о самом объекте или его свойства, называ-
55
емые атрибутами. Например, атрибутами, хранимыми в каталоге о пользо-
вателе, могут быть его имя руководителя, номер телефона, адрес, имя для
входа в систему, пароль, группы, в которые он входит, и многое другое. Для
того чтобы сделать хранилище каталога полезным для пользователей,
должны существовать службы, которые будут взаимодействовать с ката-
логом. Например, можно использовать каталог как хранилище информа-
ции, по которой можно аутентифицировать пользователя, или как место,
куда можно послать запрос для того, чтобы найти информацию об объ-
екте.
Active Directory отвечает не только за создание и организацию этих не-
больших объектов, но также и за большие объекты, такие как домены, OU
(организационные подразделения) и сайты.
Об основных терминах, используемых в контексте службы каталогов
Active Directory, читайте далее.
Служба каталогов Active Directory (AD) обеспечивает эффективную ра-
боту сложной корпоративной среды, предоставляя следующие возможно-
сти:
– единая регистрация в сети: пользователи могут регистрироваться в
сети с одним именем и паролем и получать при этом доступ ко всем сетевым
ресурсам и службам (службы сетевой инфраструктуры, службы файлов и
печати, серверы приложений и баз данных и т. д.);
– безопасность информации: средства аутентификации и управления
доступом к ресурсам, встроенные в службу Active Directory, обеспечивают
централизованную защиту сети;
– централизованное управление: администраторы могут централизо-
ванно управлять всеми корпоративными ресурсами;
– администрирование с использованием групповых политик: при за-
грузке компьютера или регистрации пользователя в системе выполняются
требования групповых политик; их настройки хранятся в объектах группо-
вых политик (GPO) и применяются ко всем учетным записям пользователей
и компьютеров, расположенных в сайтах, доменах или организационных
подразделениях;
– интеграция с DNS: функционирование служб каталогов полностью
зависит от работы службы DNS. В свою очередь серверы DNS могут хра-
нить информацию о зонах в базе данных Active Directory;
56
– расширяемость каталога: администраторы могут добавлять в схему
каталога новые классы объектов или добавлять новые атрибуты к существу-
ющим классам;
– масштабируемость: служба Active Directory может охватывать как
один домен, так и множество доменов, объединенных в дерево доменов, а
из нескольких деревьев доменов может быть построен лес;
– репликация информации: в службе Active Directory используется ре-
пликация служебной информации в схеме со многими ведущими (multi-
master), что позволяет модифицировать БД Active Directory на любом кон-
троллере домена. Наличие в домене нескольких контроллеров обеспечивает
отказоустойчивость и возможность распределения сетевой нагрузки;
– гибкость запросов к каталогу: БД Active Directory может использо-
ваться для быстрого поиска любого объекта AD, используя его свойства
(например, имя пользователя или адрес его электронной почты, тип прин-
тера или его местоположение и т. п.);
– стандартные интерфейсы программирования: для разработчиков
программного обеспечения служба каталогов предоставляет доступ ко всем
возможностям (средствам) каталога и поддерживает принятые стандарты и
интерфейсы программирования (API).
В Active Directory может быть создан широкий круг различных объек-
тов. Объект представляет собой уникальную сущность внутри каталога и
обычно обладает многими атрибутами, которые помогают описывать и рас-
познавать его. Учетная запись пользователя является примером объекта.
Этот тип объекта может иметь множество атрибутов, таких как имя, фами-
лия, пароль, номер телефона, адрес и многие другие. Таким же образом об-
щий принтер тоже может быть объектом в Active Directory и его атрибутами
являются его имя, местоположение и т. д. Атрибуты объекта не только по-
могают определить объект, но также позволяют вам искать объекты внутри
каталога.
5.1.1. Терминология
Служба каталогов системы Windows Server построена на общеприня-
тых технологических стандартах. Изначально для служб каталогов был раз-
работан стандарт X.500, который предназначался для построения иерархи-
57
ческих древовидных масштабируемых справочников с возможностью рас-
ширения как классов объектов, так и наборов атрибутов (свойств) каждого
отдельного класса. Однако практическая реализация этого стандарта оказа-
лась неэффективной с точки зрения производительности. Тогда на базе
стандарта X.500 была разработана упрощенная (облегченная) версия стан-
дарта построения каталогов, получившая название LDAP (Lightweight
Directory Access Protocol). Протокол LDAP сохраняет все основные свой-
ства X.500 (иерархическая система построения справочника, масштабируе-
мость, расширяемость), но при этом позволяет достаточно эффективно реа-
лизовать данный стандарт на практике. Термин «lightweight» (облегченный)
в названии LDAP отражает основную цель разработки протокола: создать
инструментарий для построения службы каталогов, которая обладает доста-
точной функциональной мощью для решения базовых задач, но не перегру-
жена сложными технологиями, делающими реализацию служб каталогов
неэффективной. В настоящее время LDAP является стандартным методом
доступа к информации сетевых каталогов и играет роль фундамента во мно-
жестве продуктов, таких как системы аутентификации, почтовые про-
граммы и приложения электронной коммерции. Сегодня на рынке присут-
ствует более 60 коммерческих серверов LDAP, причем около 90% из них
представляют собой самостоятельные серверы каталогов LDAP, а осталь-
ные предлагаются в качестве компонентов других приложений.
Протокол LDAP четко определяет круг операций над каталогами, кото-
рые может выполнять клиентское приложение. Эти операции распадаются
на пять групп:
– установление связи с каталогом;
– поиск в нем информации;
– модификация его содержимого;
– добавление объекта;
– удаление объекта.
Кроме протокола LDAP служба каталогов Active Directory использует
также протокол аутентификации Kerberos и службу DNS для поиска в сети
компонент служб каталогов (контроллеры доменов, серверы глобального
каталога, службу Kerberos и др.).
Основной единицей системы безопасности Active Directory является
домен. Домен формирует область административной ответственности. База
58
данных домена содержит учетные записи пользователей, групп и компью-
теров. Большая часть функций по управлению службой каталогов работает
на уровне домена (аутентификация пользователей, управление доступом
к ресурсам, управление службами, управление репликацией, политики без-
опасности).
Имена доменов Active Directory формируются по той же схеме, что и
имена в пространстве имен DNS. И это не случайно. Служба DNS является
средством поиска компонент домена — в первую очередь контроллеров до-
мена.
Контроллеры домена — специальные серверы, которые хранят соот-
ветствующую данному домену часть базы данных Active Directory. Основ-
ные функции контроллеров домена:
– хранение БД Active Directory (организация доступа к информации, со-
держащейся в каталоге, включая управление этой информацией и ее моди-
фикацию);
– синхронизация изменений в AD (изменения в базу данных AD могут
быть внесены на любом из контроллеров домена, любые изменения, осу-
ществляемые на одном из контроллеров, будут синхронизированы c копи-
ями, хранящимися на других контроллерах);
– аутентификация пользователей (любой из контроллеров домена осу-
ществляет проверку полномочий пользователей, регистрирующихся на кли-
ентских системах).
Настоятельно рекомендуется в каждом домене устанавливать не менее
двух контроллеров домена — во-первых, для защиты от потери БД Active
Directory в случае выхода из строя какого-либо контроллера, во-вторых, для
распределения нагрузки между контроллерами.
Дерево является набором доменов, которые используют единое связан-
ное пространство имен. В этом случае «дочерний» домен наследует свое
имя от «родительского» домена. Дочерний домен автоматически устанавли-
вает двухсторонние транзитивные доверительные отношения с родитель-
ским доменом. Доверительные отношения означают, что ресурсы одного из
доменов могут быть доступны пользователям других доменов.
Пример дерева Active Directory изображен на рис. 40. В данном при-
мере домен company.ru является доменом Active Directory верхнего
уровня. От корневого домена отходят дочерние домены it.company.ru
59
и fin.company.ru. Эти домены могут относиться соответственно к IТ-
службе компании и финансовой службе. У домена it.company.ru есть под-
домен dev.it.company.ru, созданный для отдела разработчиков ПО IТ-
службы.
Корпорация Microsoft рекомендует строить Active Directory в виде од-
ного домена. Построение дерева, состоящего из многих доменов, необхо-
димо в следующих случаях:
– для децентрализации администрирования служб каталогов (напри-
мер, в случае когда компания имеет филиалы, географически удаленные
друг от друга, и централизованное управление затруднено по техническим
причинам);
– для повышения производительности (для компаний с большим коли-
чеством пользователей и серверов актуален вопрос повышения производи-
тельности работы контроллеров домена);
– для более эффективного управления репликацией (если контроллеры
доменов удалены друг от друга, репликация в одном может потребовать
больше времени и создавать проблемы с использованием несинхронизиро-
ванных данных);
– для применения различных политик безопасности для различных
подразделений компании;
– при большом количестве объектов в БД Active Directory.
Рис. 40. Пример дерева
60
Лес — это наиболее крупная структура в Active Directory. Он объеди-
няет деревья, которые поддерживают единую схему (схема — это набор
определений типов, или классов, объектов в БД Active Directory). В лесу
между всеми доменами установлены двухсторонние транзитивные довери-
тельные отношения, что позволяет пользователям любого домена получать
доступ к ресурсам всех остальных доменов, если они имеют соответствую-
щие разрешения на доступ. По умолчанию первый домен, создаваемый в
лесу, считается его корневым доменом, в корневом домене хранится
схема AD.
Новые деревья в лесу создаются в том случае, когда необходимо по-
строить иерархию доменов с пространством имен, отличным от других про-
странств леса. В примере на рисунке 40 российская компания могла открыть
офис за рубежом и для своего зарубежного отделения создать дерево с до-
меном верхнего уровня company.com. При этом оба дерева являются ча-
стями одного леса с общим «виртуальным» корнем.
При управлении деревьями и лесами нужно помнить два очень важных
момента:
– первое созданное в лесу доменов дерево является корневым деревом,
первый созданный в дереве домен называется корневым доменом дерева
(tree root domain);
– первый домен, созданный в лесу доменов, называется корневым до-
меном леса (forest root domain), данный домен не может быть удален (он
хранит информацию о конфигурации леса и деревьях доменов, его обра-
зующих).
5.1.2. Организационные подразделения (ОП)

Организационные подразделения (Organizational Units, OU) — контей-
неры внутри AD, которые создаются для объединения объектов в целях де-
легирования административных прав и применения групповых политик
в домене. ОП существуют только внутри доменов и могут объединять
только объекты из своего домена. ОП могут быть вложенными друг в друга,
что позволяет строить внутри домена сложную древовидную иерархию из
контейнеров и осуществлять более гибкий административный контроль.
61
Кроме того, ОП могут создаваться для отражения административной
иерархии и организационной структуры компании.
5.1.3. Глобальный каталог

Глобальный каталог является перечнем всех объектов, которые суще-
ствуют в лесу Active Directory. По умолчанию контроллеры домена содер-
жат информацию об объектах только своего домена. Сервер глобального
каталога является контроллером домена, в котором содержится информация
о каждом объекте (хотя и не обо всех атрибутах этих объектов), находя-
щемся в данном лесу.
5.1.4. Именование объектов

В службе каталогов должен быть механизм именования объектов, позво-
ляющий однозначно идентифицировать любой объект каталога. В каталогах
на базе протокола LDAP для идентификации объекта в масштабе всего леса
используется механизм отличительных имен (Distinguished Name, DN).
В Active Directory учетная запись пользователя с именем User домена
company.ru, размещенная в стандартном контейнере Users, будет иметь
следующее отличительное имя: «DC = ru, DC = company, OU = Users,
CN = User».
Обозначения:
– DC (Domain Component) — указатель на составную часть доменного
имени;
– OU (Organizational Unit) — указатель на организационное подразде-
ление (ОП);
– CN (Common Name) — указатель на общее имя.
Если отличительное имя однозначно определяет объект в масштабе
всего леса, то для идентификации объекта относительно контейнера, в ко-
тором данный объект хранится, существует относительное отличительное
имя (Relative Distinguished Name, RDN). Для пользователя User из предыду-
щего примера RDN-имя будет иметь вид «CN = User».
62
Кроме имен DN и RDN, используется основное имя объекта (User
Principal Name, UPN). Оно имеет формат <имя субъекта>@<суффикс до-
мена>. Для того же пользователя из примера основное имя будет выглядеть
как User@company.ru.
Имена DN, RDN могут меняться, если объект перемещается из одного
контейнера AD в другой. Для того чтобы не терять ссылки на объекты при
их перемещении в лесу, всем объектам назначается глобально уникальный
идентификатор (Globally Unique Identifier, GUID), представляющий собой
128-битное число.
5.2. Планирование пространства имен AD

Планирование пространства имен и структуры AD — очень ответ-
ственный момент, от которого зависит эффективность функционирования
будущей корпоративной системы безопасности. При этом надо иметь в
виду, что созданную вначале структуру в процессе эксплуатации будет
очень трудно изменить (например, в Windows 2000 изменить имя домена
верхнего уровня вообще невозможно, а в Windows 2003 решение этой за-
дачи требует выполнения жестких условий и тщательной подготовки дан-
ной операции). При планировании AD необходимо учитывать следующие
моменты:
– тщательный выбор имен доменов верхнего уровня;
– качество коммуникаций в компании (связь между отдельными под-
разделениями и филиалами);
– организационная структура компании;
– количество пользователей и компьютеров в момент планирования;
– прогноз темпов роста количества пользователей и компьютеров.
Рассмотрим вопрос пространства имен AD.
При планировании имен доменов верхнего уровня можно использовать
различные стратегии и правила. В первую очередь необходимо учитывать
вопросы интеграции внутреннего пространства имен и пространства имен
сети Интернет — так как пространство имен AD базируется на пространстве
имен DNS, при неправильном планировании могут возникнуть проблемы с
безопасностью, а также конфликты с внешними именами. Рассмотрим ос-
новные варианты.
63
5.2.1. Один домен, одна зона DNS
На рисунке 41 в левой части — внутренняя сеть компании, справа —
сеть Интернет, две сети разделены маршрутизатором R (кроме маршрутиза-
тора на границе могут быть также прокси-сервер или межсетевой экран).
Рис. 41. Один домен, одна зона

В данном примере используется одна и та же зона DNS (company.ru)
как для поддержки внутреннего домена AD с тем же именем (записи DC,
SRV-1, SRV-2, WS-1), так и для хранения ссылок на внешние ресурсы ком-
пании — веб-сайт, почтовый сервер (записи www, mail).
Такой способ максимально упрощает работу системного администра-
тора, но при этом DNS-сервер, доступный для всей сети Интернет, хранит
зону company.ru и предоставляет доступ к записям этой зоны всем пользо-
вателям Интернета. Таким образом, внешние злоумышленники могут полу-
чить полный список внутренних узлов корпоративной сети. Даже если сеть
надежно защищена межсетевым экраном и другими средствами защиты,
предоставление потенциальным взломщикам информации о структуре
внутренней сети — вещь очень рискованная, поэтому данный способ орга-
низации пространства имен AD не рекомендуется (хотя на практике встре-
чается довольно часто).
64
5.2.2. «Расщепление» пространства имен DNS — одно имя домена,
две различные зоны DNS
В данном случае (рис. 42) на различных серверах DNS создаются раз-
личные зоны с одним и тем же именем company.ru. На внутреннем DNS-
сервере функционирует зона company.ru для Active Directory, на внешнем
DNS-сервере — зона с таким же именем, но для ссылок на внешние ре-
сурсы.
Рис. 42. Один домен, две зоны
Важный момент: данные зоны никак между собой не связаны — ни

механизмами репликации, ни ручной синхронизацией.
Здесь во внешней зоне хранятся ссылки на внешние ресурсы, а во
внутренней — на внутренние ресурсы, используемые для работы Active
Directory. Данный вариант несложно реализовать, но для сетевого адми-
нистратора возникает нагрузка управления двумя разными доменами с од-
ним именем.
65
5.2.3. Поддомен в пространстве имен DNS для поддержки
Active Directory
В данном примере (рис. 43) корневой домен компании company.ru слу-
жит для хранения ссылок на внешние ресурсы. В домене company.ru настра-
ивается делегирование управления поддоменом corp.company.ru на внут-
ренний DNS-сервер, и именно на базе домена corp.company.ru создается до-
мен Active Directory. В этом случае во внешней зоне хранятся ссылки на
внешние ресурсы, а также ссылка на делегирование управления поддоме-
ном на внутренний DNS-сервер. Таким образом, пользователям Интернета
доступен минимум информации о внутренней сети. Такой вариант органи-
зации пространства имен довольно часто используется компаниями.
Рис. 43. Поддомен
5.2.4. Два различных домена DNS для внешних ресурсов

и для Active Directory
В этом сценарии компания регистрирует у провайдера два доменных
имени (рис. 44): одно для публикации внешних ресурсов, другое — для раз-
вертывания Active Directory.
Данный сценарий планирования пространства имен самый оптималь-
ный. Во-первых, имя внешнего домена никак не связано с именем внутрен-
66
него домена, и не возникает никаких проблем с возможностью показа в Ин-
тернете внутренней структуры. Во-вторых, регистрация (покупка) внутрен-
него имени гарантирует отсутствие потенциальных конфликтов, вызванных
тем, что какая-то другая компания может зарегистрировать в Интернете
имя, совпадающее с внутренним именем вашей компании.
Рис. 44. Два различных домена
5.2.5. Домен с именем типа company.local

Во многих учебных пособиях и статьях используются примеры с до-
менными именами вида company.local. Такая схема вполне работоспособна
и также часто применяется на практике. Однако в материалах разработчика
системы Windows — корпорации Microsoft — нет прямых рекомендаций об
использовании данного варианта.
5.3. Развертывание домена

Приступим к установке. Заходим в меню «Пуск» и вводим в пустое тек-
стовое поле, находящееся в самом низу меню «Пуск», команду cmd (рис. 45)
для вызова консоли (рис. 46).
67
Рис. 45. Начало установки AD
Рис. 46. Консоль сервера

Далее пишем команду dcpromo и нажимаем Enter. Запускается автома-
тическая установка (рис. 47).
68

На первом этапе установки нажимаем «Далее» (рис. 48).
Рис. 47. Инициализация установки AD
Рис. 48. Мастер установки AD
69
На следующем этапе также нажимаем «Далее» (рис. 49).
Рис. 49. Проверка совместимости

На третьем этапе установщик предложит выбрать: «Создать новый до-
мен в новом лесу» или «Существующий лес» (рис. 50).
Рис. 50. Выбор конфигурации
70
Для начала, что такое лес:
– домен — минимальная структурная единица организации Active
Directory;
– дерево доменов — иерархическая система доменов, имеющая единый
корень (корневой домен);
– лес доменов — множество деревьев доменов, находящихся в различ-
ных формах доверительных отношений.
Так как новый сервер установлен, выберем «Создать новый домен в но-
вом лесу», нажимаем «Далее».
На следующем этапе нам предлагают ввести полное имя домена
(рис. 51). Введем my.domain.com (имя может быть любое) и нажмем «Да-
лее».
Рис. 51. Имя корневого домена леса
На следующем этапе нам предлагают выбрать режим работы леса. Мы

выберем Windows (рис. 52). Нажимаем «Далее».
71
Рис. 52. Задание режима работы леса
На следующем этапе нажимаем «Далее», так как DNS-сервер мы уже
установили (рис. 53).
Рис. 53. Дополнительные параметры работы
72
Дальше выскочит предупреждение «Назначение статического IP-
адреса». Выберем первый вариант «Да, компьютер будет использовать ди-
намически назначаемый IP-адрес» (рис. 54).
Рис. 54. Адресация

На следующем этапе нажимаем «Далее» (рис. 55).
Рис. 55. Расположение баз данных
73
На следующем этапе нам предлагают ввести пароль для восстановле-
ния служб каталогов. Вводим пароль и нажимаем «Далее» (рис. 56).
Рис. 56. Пароль администратора

На последнем этапе выводится вся информация, которую мы вводили
(обязательно проверьте) (рис. 57). Нажимаем «Далее».
Рис. 57. Сводка
74
После этого начнется установка введенных данных (рис. 58). В конце
установки должно выскочить окно. Нажимаем «Готово».
Рис. 58. Завершение развертывания AD

На этом установка Active Directory окончена.
75
6. ПЕРЕМЕЩАЕМЫЕ ПРОФИЛИ
Профиль — это совокупность папок и данных, в которых хранится

текущее окружение пользователя (содержимое рабочего стола, параметры
настройки приложений и личные данные). Профиль пользователя также
содержит все элементы меню «Пуск» («Старт») для данного пользователя
и список разрешенных сетевых дисков. Профили бывают трех типов. Ло-
кальный (Local) — создается при первом входе пользователя в систему,
хранится на локальном жестком диске. Перемещаемый (Roaming) — хра-
нится в общей папке на сервере сети и доступен с любого компьютера.
Обязательный (Mandatory) — то же, что и перемещаемый, но изменение
может производить только системный администратор. Профиль является
неотъемлемой частью каждой учетной записи. Профиль пользователя
включает:
– ветвь реестра HKEY_CURRENT_USER (файл ntuser.dat), хранящую
настройки пользователя;
– набор папок, хранящих документы и конфигурационные файлы, та-
кие как «Рабочий стол», «Главное меню», «Мои документы».
Перемещаемый профиль загружается на компьютер, с которого поль-
зователь входит в домен Active Directory. При выходе пользователя из си-
стемы изменения в профиле синхронизируются с копией, находящейся на
сервере. Если вход в домен невозможен, используется сохраненный ло-
кально при предыдущем входе в систему (кешированный) профиль, кото-
рый может не содержать последних изменений, или создается временный
профиль.
Преимущества использования перемещаемых профилей:
– перемещаемый профиль позволяет пользователю автоматически по-
лучать доступ к своим данным с любого сетевого компьютера, входящего в
домен;
– использование перемещаемых профилей упрощает резервное копи-
рование данных пользователей;
– при замене компьютера нет необходимости сохранять документы и
настройки пользователя, при входе в домен они автоматически загружаются
на новый компьютер.
76
Недостатком перемещаемых профилей является создаваемый при их
использовании дополнительный сетевой трафик и увеличение времени
входа в систему и выхода из системы.
6.1. Обязательные профили пользователей Windows 10

Обязательный профиль пользователя — это перемещаемый профиль
пользователя, который предварительно настроен администратором для за-
дания параметров пользователей. Параметры, которые обычно определя-
ются в обязательном профиле, включают (но не ограничиваются): значки,
которые отображаются на рабочем столе, фон рабочего стола, параметры
пользователя в панели управления, выбор принтеров и т. д. Изменения кон-
фигурации, внесенные во время сеанса пользователя, которые обычно со-
храняются в перемещаемый профиль пользователя, не сохраняются при
назначении обязательного профиля пользователя.
Обязательные профили пользователей полезны, когда важна стандар-
тизация, например, на устройстве киоска или в образовательных парамет-
рах. Только системные администраторы могут вносить изменения в обяза-
тельные профили пользователей.
Если сервер, хранящий обязательный профиль, недоступен (например,
если пользователь не подключен к корпоративной сети), пользователи с
обязательными профилями могут войти в систему с помощью локальной ке-
шированной копии обязательного профиля, если таковая существует. В про-
тивном случае пользователь будет входить с временным профилем.
Профили пользователей становятся обязательными, когда администра-
тор переименовывает файл NTuser.dat (куст реестра) для профиля каждого
пользователя в файловой системе сервера профилей с NTuser.dat компью-
тера. NTuser.man — это .man-расширение приводит к тому, что профиль
пользователя будет доступен только для чтения.
6.1.1. Расширение профиля для каждой версии Windows

Имя папки, в которой вы хотите сохранить обязательный профиль,
должно использовать правильное расширение для операционной системы,
к которой он применяется. В приведенной ниже таблице указано правиль-
ное расширение для каждой версии операционной системы.
77
Дополнительные сведения можно найти в разделе развертывание пере-
мещаемых профилей пользователей, приложения б и перемещаемых профи-
лей пользователей в Windows 10 и технической версии Windows Server.
6.1.2. Создание обязательного профиля пользователя

Сначала создайте профиль пользователя по умолчанию с нужными
настройками, запустите Sysprep с параметром CopeProfile, для которого в
файле ответов установлено значение true, скопируйте пользовательский
профиль по умолчанию в сетевую общую сеть, а затем переименуйте про-
филь, чтобы сделать его обязательным.
Создание профиля пользователя по умолчанию: войдите в систему на
компьютере с Windows 10, который входит в локальную группу админи-
страторов. Не используйте учетную запись домена.
Чтобы создать профиль пользователя по умолчанию, используйте ла-
бораторный или дополнительный компьютер под управлением новой копии
Windows 10. Не используйте основной рабочий компьютер, так как в ходе
этого процесса удаляются все учетные записи домена с компьютера, в том
числе папки профиля пользователя.
Настройте параметры компьютера, которые вы хотите включить в про-
филь пользователя. Например, можно настроить параметры фона рабочего
стола, удалить приложения по умолчанию, установить бизнес-приложения
и т. д.
В отличие от предыдущих версий Windows, вы не можете применить
макет «Пуск» и «Панель задач» с обязательным профилем. Для получения
дополнительных способов настройки меню «Пуск» изучите соответствую-
щую документацию.
Создайте файл ответа (Unattend.XML), который задает для параметра
«CopeProfile» значение true. Параметр «CopeProfile» указывает, что про-
грамма Sysprep копирует папку профиля пользователя, выполнившего вход
в настоящее время, в профиль пользователя по умолчанию. Вы можете со-
здать файл Unattend.XML с помощью диспетчера системных образов Win-
dows, который входит в комплект средств для оценки и развертывания Win-
dows (ADK).
78
Настоятельно рекомендуется удалить ненужные приложения, так как
они будут замедлять вход пользователей. В командной строке введите сле-
дующую команду и нажмите клавишу «Ввод».
sysprep /oobe /reboot /generalize /unattend:unattend.xml
(Sysprep.exe расположен по адресу: C:\Windows\System32\sysprep. По
умолчанию программа Sysprep ищет файл Unattend. XML в этой же папке.)
Если появляется сообщение об ошибке «Программа Sysprep не смогла
проверить установленную копию Windows», откройте %WINDIR%\
System32\Sysprep\Panther\setupact.log и найдите запись, подобную приве-
денной ниже:
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Status\SysprepStatus
«CleanupState» = 0x00000007(7)
Также, найдите и удалите раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\Setup\Upgrade
И затем удалите ключ «Upgrade» в том же разделе.
Процесс Sysprep перезагружает ПК и запускается на экране первого за-
пуска. Завершите настройку и войдите в систему с помощью учетной за-
писи, обладающей правами локального администратора.
Щелкните правой кнопкой мыши кнопку «Пуск», выберите пункт «Па-
нель управления» → «Дополнительные системные параметры», а затем вы-
берите «Параметры» в разделе «Профили пользователей».
В профилях пользователей нажмите кнопку «Профиль по умолчанию»,
а затем выберите команду «Копировать в».
В разделе «Копировать в» в поле «Разрешено использовать» нажмите
кнопку «Изменить».
В окне выберите пользователя или группу, в поле введите имя объекта
для выбора введите everyone, нажмите «Проверить имена», а затем нажмите
кнопку «ОК».
В поле «Копировать в» введите путь и имя папки, в которой вы хотите
сохранить обязательный профиль. Имя папки должно использовать пра-
вильное расширение для версии операционной системы. Например, имя
папки должно заканчиваться на «.V6», чтобы идентифицировать его как
папку профиля пользователя для Windows 10 версии 1607.
79
Если устройство подключено к домену и вы вошли в систему с помо-
щью учетной записи, у которой есть разрешения на запись в общую папку
в сети, то вы можете ввести путь к общей папке.
Если устройство не подключено к домену вы можете сохранить про-
филь на локальном компьютере, а затем скопировать его в общую папку.
Пример пользовательского интерфейса
Нажмите кнопку «ОК», чтобы скопировать профиль пользователя по
умолчанию.
Чтобы сделать профиль пользователя обязательным, выполните ниже-
следующие действия.
В проводнике откройте папку, в которой хранилась копия профиля.
Если папка не отображается, нажмите кнопку «Параметры» → «Про-
смотра», чтобы изменить папку и параметры поиска. На вкладке «Вид»
установите флажок «Показывать скрытые файлы и папки», снимите флажок
«Скрывать защищенные системные файлы», нажмите кнопку «Да», чтобы
подтвердить, что вы хотите показать файлы операционной системы, и
нажмите кнопку «ОК», чтобы сохранить изменения.
Далее следует переименовать Ntuser.dat в Ntuser.man.
Применение обязательного профиля пользователя к пользователям: в
домене вы можете изменить свойства учетной записи пользователя, чтобы
она указывала на обязательный профиль в общей папке, расположенной на
сервере. Для этого откройте оснастку «Пользователи и компьютеры Active
Directory» (DSA.msc). Затем перейдите к учетной записи пользователя, для
которой будет назначен обязательный профиль.
Щелкните правой кнопкой мыши имя пользователя и откройте «Свой-
ства». На вкладке «Профиль» в поле «путь к профилю» введите путь к об-
щей папке без расширения и нажмите «ОК».
Для репликации этого изменения на все контроллеры домена может по-
требоваться некоторое время.
Когда пользователь конфигурируется с обязательным профилем, Win-
dows 10 запускается так, как если бы он был первым входом при каждом
входе пользователя. Чтобы повысить производительность входа для поль-
зователей с обязательными профилями пользователей, примените пара-
метры групповой политики. Так, например, параметры групповой поли-
тики, описанные выше, можно применять в Windows 10 Professional Edition.
80
6.2. Профили групп и пользователей
Для создания перемещаемого профиля пройдите по следующему ад-
ресу: «Пуск» => «Администрирование» => «Active Directory — пользова-
тели и компьютеры» (рис. 59 и 60).
Рис. 59. Администрирование
Рис. 60. Пользователи и компьютеры
81
Далее создадим подразделение для наших профилей (рис. 61 и 62). Для
этого нажимаем правой кнопкой мыши на название нашего домена, далее
открываем вкладку «Создать» => «Подразделение» и пишем название под-
разделения.
Рис. 61. Создание подразделения
Рис. 62. Имя объекта
82
Теперь приступим к созданию самих профилей. Для этого нажимаем
правой кнопкой мыши на созданное нами подразделение и создаем пользо-
вателя (рис. 63).
Рис. 63. Создание профиля
На первом этапе вводим: имя, инициалы, фамилия, имя входа пользо-

вателя. Остальные поля заполняются автоматически (рис. 64). Введем имя
User1, инициалы и фамилию оставим пустыми, имя входа в систему также
напишем user1 и нажимаем «Далее».
83
Рис. 64. Профиль
На следующем этапе нужно ввести пароль, под которым мы будет вхо-
дить (рис. 65). Введем пароль 123-=qwerty, поставим галочку только напро-
тив «Срок действия пароля не ограничен» и нажмем «Далее».
Рис. 65. Пользователь
84
На следующем этапе нажимаем «Готово». Профиль создан.
Теперь сделаем его перемещаемым. Для этого нужно создать папку с
открытым общим доступом на локальном диске. Создаем папку Allmypro-
files$. Знак $ необходим для того, чтобы скрыть от пользователей папку с
профилями. Доступ к этой папке должен быть открыт всем для хранения
там профильных данных, а во избежание редактирования чужих данных
папку необходимо скрыть.
Примечание: если нам нужно скрыть общую (с открытым общим до-
ступом) папку, нужно в конце ее имени поставить знак доллара $.
Рассмотрим скрытие общей папки на примере.
Созданы две папки, открыт общий доступ у каждой папки с одинако-
выми параметрами доступа. В конце имени второй папки «Петя» поставим
знак доллара (рис. 66).
Рис. 66. Каталог отдела кадров
Так выглядят наши папки в окне проводника. Можно заметить, что

папка со знаком доллара не видна (рис. 67).
85

Рис. 67. Каталоги подразделений
Тот факт, что папка не видна в проводнике, не означает, что папка не
существует (рис. 68), и зайти в нее по-прежнему можно, для этого нужно
просто прописать имя папки в адресной строке, не забыв добавить $ в конце
имени.
Рис. 68. Каталог профилей

Нажимаем правой кнопкой мыши по созданной папке и выбираем
«Свойства» (рис. 69).
86
Рис. 69. Свойства каталога пользователей
Далее переходим на вкладку «Доступ» и нажимаем «Общий доступ»
(рис. 70).
Рис. 70. Доступ
87
Здесь нам нужно выбрать, кто именно будет иметь доступ к этой папке
и с какими правами (рис. 71). Выберем из списка «Все», нажимаем добавить
и ставим его «Совладельцем», который дает нам полные права для «Все».
Рис. 71. Настройка общего доступа

Нажимаем «Общий доступ», затем «Готово», далее «Закрыть».
6.3. Назначение прав доступа

Далее нам нужно прописать путь профиля к этой папке и дать права на
сервер. Возвращаемся в «Active Directory — пользователи и компьютеры»,
нажимаем правой кнопкой мыши на созданный ранее профиль и выбираем
«Свойства» (рис. 72). Откроется окно настройки профиля.
88
Рис. 72. Свойства пользователя
Переходим к вкладке «Профиль» и вписываем в поле «Путь к про-
филю», корневой путь к папке Allmyprofiles$ (рис. 73).
Рис. 73. Профиль пользователя

Корневой путь должен иметь следующий вид: «\\WIN-
4BHBTSFYA7I\Allmyprofiles$\%username%», где:
– WIN-4BHBTSFYA7I — имя компьютера;
89
– Allmyprofiles$ — скрытая папка с открытым доступом;
– %username% — создаст папку с именем профиля.
Перейдем к вкладке «Член групп» и добавим наш профиль в группу
«Операторы сервера» (рис. 74).
Рис. 74. Выбор группы

Нажимаем «Применить», потом ОК.
На этом создание перемещаемого профиля окончено. Работоспособ-
ность проверим позже, когда будем рассматривать настройки и добавление
клиентской машины в домен.
90
7. ГРУППЫ И ПЕРЕНАПРАВЛЕНИЕ ДЛЯ ПРОФИЛЕЙ
Во многих компаниях используются перемещаемые профили. Такие

профили обычно используются в том случае, когда пользователям нужно
предоставить возможность получения доступа непосредственно к своему
профилю при выполнении входа в домен из любого компьютера в органи-
зации. Пользовательские профили размещаются непосредственно на выде-
ленном администратором сервере. Когда пользователь выполняет вход в си-
стему и проходит проверку подлинности в Active Directory, пользователь-
ский профиль копируется на локальный компьютер. Соответственно, изме-
нения, вносимые пользователем в свой профиль, записываются локально, а
также для использования при следующем входе в систему, копируются в
профиль пользователя, расположенный на сервере.
7.1. Автоматизация работы с профилями

Вроде бы все хорошо, и пользователи смогут всегда получать доступ к
своей информации, но при использовании перемещаемых профилей есть не-
сколько негативных моментов.
Во-первых, если сервер недоступен, то пользователь получает копию
перемещаемого профиля, сохраненного в локальном буфере, если же он ни
разу не входил в систему с данного компьютера, то для него создается но-
вый (временный) профиль локального пользователя.
И, во-вторых, по вполне понятным причинам размер пользователь-
ского профиля со временем может увеличиваться. Если у пользователя в
папках профиля хранится большое количество документов или ярлыков на
рабочем столе — не страшно, эти файлы быстро скопируются на компьютер
при входе в систему. Но если ваш пользователь знатный меломан и хранит
в папке «Музыка» огромную фонотеку или, не дай бог, скопировал в папку
«Видео» фильм в HD-качестве, что же произойдет при выполнении входа в
систему на новом компьютере? Файлы будут копироваться бесконечно
долго и, в конечном счете, пользователь будет недоволен.
Именно для того, чтобы избежать интенсивного использования трафика
в подобных ситуациях, в функционале групповой политики предусмотрен
компонент перенаправления папок. Именно о перенаправлении папок и
пойдет речь ниже.
91
7.1.1. Использование перенаправления папок
Итак, перенаправление папок позволяет вам сэкономить место на ло-
кальном диске пользователя при использовании локальных пользователь-
ских профилей, а также существенно сократить трафик при загрузке пере-
мещаемого профиля в случае использование последнего. Данная функцио-
нальная возможность позволяет изменять расположение определенных па-
пок пользовательского профиля и все файлы, помещенные в такие папки,
будут сохраняться в новом расположении, например, на общем сетевом ре-
сурсе. Какие же преимущества можно отметить у данного функционала?
Прежде всего, это доступность данных — пользователь всегда может полу-
чить доступ к своим файлам и папкам, даже если вход в систему выполнен
из разных компьютеров. Причем доступ к перенаправленным папкам при
помощи технологии автономных файлов для пользователей будет доступен
даже при отсутствии подключения к сети организации. Также основным
преимуществом является уменьшение размера перемещаемого профиля.
Другими словами, данные, расположенные в перенаправленных папках, не
копируются во время выполнения входа в систему, а синхронизируются в
фоновом режиме уже после выполнения входа при помощи технологии ав-
тономных файлов. Помимо таких пользовательских папок, как «Доку-
менты», «Музыка» или «Видео», вы можете даже для пользователей, у ко-
торых установлено одинаковое программное обеспечение, перенаправить
папку «Главное меню», и у всех пользователей из определенной группы без-
опасности она будет расположена в общедоступной папке.
Рассмотрим несколько примеров перенаправления папок. Прежде
всего, будет создано простое перенаправление папок «Музыка» и «Видео»
для всех пользователей, расположенных в подразделении «Продажи», а по-
сле этого будет создано расширенное перенаправление папки «Документы»
для пользователей, которые входят в группу безопасности «Продажи». Для
того чтобы реализовать определенные выше задачи, выполните следующие
действия.
Откройте оснастку «Управление групповой политикой». В данной
оснастке, в дереве консоли разверните узел «Лес: %имя леса%», узел «До-
мены», затем узел с названием вашего домена. Перейдите к узлу «Объекты
групповой политики». В узле «Объекты групповой политики» создайте но-
вый объект GPO, например «Перенаправление папок». Затем в оснастке
92
«Управление групповой политикой» выберите созданный вами объект груп-
повой политики, нажмите на нем правой кнопкой мыши, а затем для откры-
тия оснастки «Редактор управления групповыми политиками» из кон-
текстного меню выберите команду «Изменить».
В оснастке «Редактор управления групповыми политиками» развер-
ните узел Конфигурация пользователя\Политики\Конфигурация Windows и
выберите узел «Перенаправление папки». В этом узле вы можете найти
13 параметров политики, названия которых совпадают с наименованиями
соответствующих папок пользовательского профиля. Думаю, сразу стоит
обратить внимание на то, что для пользователей операционной системы
Windows XP вы можете настраивать перенаправление только для пяти па-
пок, а именно для папок «AppData (перемещаемая)» (в XP — это папка
«Application Data»), «Рабочий стол», «Документы», «Изображения» и
«Главное меню».
Выберите параметр политики «Музыка», нажмите на нем правой кноп-
кой мыши и из контекстного меню выберите команду «Свойства». В отоб-
разившемся диалоговом окне «Свойства: Музыка» для изменения доступны
параметры, в зависимости от выбранной политики.
Следовать за папкой «Документы». Этот параметр политики позволяет
переместить папку «Музыка», «Видео» или «Изображения» в папку «Доку-
менты» в качестве дочерней папки. Так как эти три папки подлежат измене-
ниям только в таких операционных системах, как Windows Vista и Windows
7/8/10, а для операционной системы Windows XP такая возможность не
предоставляется, при выборе данного параметра политики она нормально
обработается в любой операционной системе.
Перенаправлять папки всех пользователей в одно расположение (про-
стая). Данный параметр предназначен для перенаправления всех папок
пользователей, расположенных в указанном в объекте групповой политики
подразделения в единое общедоступное расположение.
Указать различные расположения для разных групп пользователей. Ис-
пользуя текущий параметр, вы можете определить папки общего сетевого
ресурса для перенаправляемых папок, в зависимости от группы безопасно-
сти, в которую входят определенные пользователи.
93
Не задана. Если выбрать этот параметр, то расположение папок поль-
зовательского профиля не изменится. Этот параметр выбран по умолча-
нию.
Так как в указанных выше условиях для папок «Музыка» и «Видео»
для всех пользователей, расположенных в подразделении «Продажи»,
должно быть создано простое перенаправление папок, из раскрывающего
списка «Политика» выберите опцию «Перенаправлять папки всех пользова-
телей в одно расположение (простая)». Перед определением корневого пути
перенаправляемой папки, вам нужно указать тип расположения целевой
папки. Доступны следующие варианты типа расположения.
Создать папку для каждого пользователя на корневом пути. Указав те-
кущий тип расположения целевой папки, вы тем самым позволите для каж-
дого пользователя создавать отдельную папку, расположенную внутри кор-
невой папки. Создаваемая папка для пользователя будет отображаться как
имя учетной записи пользователя.
Перенаправлять в следующее расположение. Этот параметр позволяет
создавать для каждого пользователя отдельную папку. Целесообразно ис-
пользовать этот параметр в том случае, когда вам нужно, чтобы данные из
пользовательских профилей сохранялись в одно расположение. Чтобы
сымитировать расположение целевых папок, подобных предыдущему типу
расположения целевой папки, вы можете указать переменную %username%.
Перенаправлять в расположение, определяемое локальным профилем.
Если указать этот тип расположения, папки не будут перенаправляться в
общедоступное сетевое расположение.
Выберите параметр «Создать папку для каждого пользователя на кор-
невом пути» и в соответствующем текстовом поле укажите путь к общедо-
ступной папке.
Наряду с параметрами конечной папки, вам также предоставляется воз-
можность задать дополнительные параметры для перенаправленных папок.
Здесь вы можете выбрать следующие дополнительные параметры.
Предоставить права монопольного доступа к %ИмяПапки%. Если вы
установите флажок напротив этого параметра, то доступ к данной перена-
правленной папке будет предоставлен только для пользовательской учетной
записи, а также для системной учетной записи. Никакие другие, даже адми-
нистративные учетные записи не смогут получить доступ к текущей папке.
94
Перенести содержимое %ИмяПапки% в новое расположение. Активи-
ровав этот параметр, содержимое пользовательской папки будет переме-
щено в новое расположение. Если же флажок будет снят, то все данные бу-
дут копироваться.
Применить политику перенаправления также к операционным систе-
мам Windows 2000, Windows 2000 Server, Windows XP и Windows Server
2003. Установив этот флажок, вы сможете перенаправлять папки пользова-
тельских профилей для пользователей, чьи операционные системы ниже
Windows Vista, только для пяти указанных ранее папок. При перенаправле-
нии папки «Музыка» вам не предоставляется такая возможность.
Параметры удаления политики. Выбранное в этой группе действие
определяет поведение перенаправленной папки после удаления объекта
групповой политики, содержащего текущие параметры. Так как по умолча-
нию выбран параметр «После удаления политики оставить папку в новом
расположении», в случае удаления объекта GPO папка пользовательского
профиля не будет обратно скопирована локально и останется на общедо-
ступном сетевом ресурсе. В противном случае все содержимое текущей
папки будет обратно скопировано на пользовательский компьютер.
Так как все установленные по умолчанию дополнительные параметры
настроены оптимальным образом, нет смысла в изменении данных парамет-
ров. По нажатию на кнопку «ОК» будет отображено предупреждающее со-
общение, свидетельствующее о том, что настройки перенаправленной
папки не будут распространяться на операционную систему Windows XP и
более старые версии операционной системы. Так как эта информация не яв-
ляется для вас новой и вам это уже известно, нажмите на кнопку «Да». Для
сохранения настроек перенаправленной папки нажмите на кнопку «ОК».
Повторите аналогичные действия для «Видео». Стоит обратить внимание
на то, что на выделенном сервере заранее должна быть создана общедоступ-
ная папка для перенаправленных папок.
На этом шаге нужно настроить перенаправление папки «Документы»
для пользователей, которые входят в группу безопасности «Продажи». Вы-
полняемая на этом шаге задача отличается от предыдущей прежде всего
тем, что здесь вам нужно выбрать параметр политики «Указать различные
расположения для разных групп пользователей». При использовании этой
политики вам нужно будет указать группу безопасности Active Directory,
95
членами которой являются пользователи, папки профилей которых, со-
гласно данной политике, должны перенаправляться. Нажмите на кнопку
«Добавить», расположенную в группе «Членство в группе безопасности».
В отобразившемся диалоговом окне «Выбор группы и расположения»
вам нужно указать группу безопасности, а также параметры расположения
целевой папки. Для выбора группы безопасности нажмите на кнопку
«Обзор», расположенную возле текстового поля «Членство в группе без-
опасности». Затем выберите параметр «Создать папку для каждого пользо-
вателя на корневом пути» из раскрывающегося списка расположения целе-
вой папки. Стоит обратить внимание на то, что в отличие от простого пере-
направления папок, в данном раскрывающемся списке есть еще четвертый
параметр — «Перенаправить на домашнюю папку пользователя». Данный
параметр переместит расположение выбранной вами папки в локальный
пользовательский профиль. Укажите корневой путь, после чего нажмите на
кнопку «ОК».
При необходимости вы можете добавить несколько настроек, согласно
которым будет перенаправляться выбранная вами папка. После того как вы
добавите все требуемые группы безопасности и укажите для них настройки
расположения целевых папок, не стоит изменять дополнительные пара-
метры, просто сохраните свойства создаваемой перенаправляемой папки.
Осталось только связать созданный нами объект групповой политики с
подразделением «Продажи». Закройте оснастку «Редактор управления
групповой политики» и свяжите созданный объект групповой политики со
своим подразделением. Для этого в дереве консоли оснастки «Управление
групповой политикой» выберите подразделение, нажмите на него правой
кнопкой мыши и из контекстного меню выберите команду «Связать суще-
ствующий объект групповой политики». В отобразившемся диалоговом
окне «Выбор объекта групповой политики» выберите данный объект груп-
повой политики и нажмите на кнопку «ОК».
Проверим, удалось ли перенаправить три папки для пользователя, ко-
торый входит в группу безопасности «Продажи» и чья учетная запись рас-
положена в подразделении «Продажи». Выполним вход в систему при по-
мощи учетной записи такого пользователя, а затем сохраним в папки «До-
кумент», «Музыка» и «Видео» по одному файлу. Повторно выполните вход
в систему, а затем откройте диалоговое окно свойств библиотеки «Музыка»
96
или «Видео». Около перенаправленной папки отображается индикатор син-
хронизации, указывающий на состояние данных внутри перенаправленной
папки.
Вы узнали об очередном компоненте групповой политики — перена-
правлении папок. Данная возможность позволяет вам сэкономить место на
локальном диске пользователя при использовании локальных пользователь-
ских профилей, а также существенно сократить трафик при загрузке пере-
мещаемого профиля. Был рассмотрен пример перенаправления нескольких
папок, используя простое перенаправление, а также перенаправление, осно-
ванное на группах безопасности.
7.2. Создание группы профилей

Теперь мы рассмотрим, как создать группу, как добавить профили в
группу, как поставить профиль с правами управления группой.
Итак, начнем. Для создания группы перейдем в: «Пуск» => «Админи-
стрирование» => «Active Directory — пользователи и компьютеры».
Нажмем правой кнопкой по папке Myprofiles, выберем «Создать» и
«Группа» (рис. 75).
Рис. 75. Создание группы

Нам предлагают ввести имя группы. Введем GroupProfiles. Отметки
ставим, как на рисунке 76.
97
Рис. 76. Параметры группы
Нажимаем ОК. Группа создана.
Теперь добавим профили в созданную группу. Для этого нажмем пра-
вой кнопкой мыши на профиль и «Добавить в группу». Вводим название
нашей группы и нажимаем ОК (рис. 77).
Рис. 77. Выбор группы
98
Все, профиль теперь находится в группе. Чтобы убедиться в этом, зай-
дем в свойства группы, перейдем на вкладку «Члены группы» и увидим спи-
сок профилей, находящихся в группе (рис. 78).
Рис. 78. Члены группы

Теперь поставим профиль с правами на управление этой группой (он
может добавлять, удалять и т. д.). Для этого в свойствах группы перейдем
на вкладку «Управляется», нажимаем «Изменить» и добавляем профиль
(рис. 79).
Рис. 79. Управление группой
99
7.3. Перенаправление папок
Для создания перенаправления папок перейдем: «Пуск» => «Админи-
стрирование» => «Управление групповой политикой» (рис. 80).
Рис. 80. Управление групповой политикой

Далее нажимаем правой кнопкой мыши на имя нашего домена и «Со-
здать объект GPO в этом домене и связать его…» (рис. 81).
Рис. 81. Создание объекта политики
100
Далее вписываем в поле «Имя» название объекта, назовем его «Пере-
направление папок», нажимаем ОК (рис. 82).
Рис. 82. Имя нового объекта

Теперь нам нужно добавить профили, у которых будем перенаправлять
папки (рис. 83). Мы добавим группу GroupProfiles. Для этого нажмем «До-
бавить» и напишем название группы.
Рис. 83. Добавление профилей
101
Теперь нам нужно назначить, какие папки будем перенаправлять
(рис. 84). Для этого нажимаем правой кнопкой на «Перенаправление папок»
и «Изменить». Откроется редактор.
Рис. 84. Редактор управления политиками

Далее нужно перейти: «Конфигурация пользователя» => «Политики»
=> «Конфигурация Windows» => «Перенаправление папок» (рис. 85).
Рис. 85. Перенаправление
102

Тут представлен список папок, которые можно перенаправить. Мы пе-
ренаправим «Рабочий стол». Для этого нажимаем правой кнопкой мыши на
папку «Рабочий стол», далее — «Свойства» (рис. 86).
Рис. 86. Свойства каталога перенаправления

Рассмотрим все параметры на вкладке «Конечная папка». Нам предла-
гают выбрать политику из нескольких вариантов, нас интересует только
«Перенаправлять папки всех пользователей в одно место» — эта политика
будет перенаправлять все в одну папку (которую вы можете задать).
Далее для этой политики предлагают выбрать «Размещение конечной
папки». Рассмотрим каждый из вариантов:
– «Создать папку для каждого пользователя на корневом пути» — пе-
ренаправленные папки будут храниться отдельно для каждого профиля;
– «Перенаправлять в следующее место» — все папки всех профилей
будут перенаправляться в одну и ту же папку;
103
– «Перенаправлять в место, определяемое локальным профилем» —
папки будут перенаправляться автоматически.
Мы выберем второй вариант и пропишем корневой путь к папке Allmy-
profiles (рис. 87).
.
Рис. 87. Конечная папка
Теперь переходим к вкладке «Параметры». Здесь нам предлагают за-
дать условия перенаправления:
– предоставить права монопольного доступа к «Главному меню» —
если установить рядом галку, то доступ будет иметь первый зашедший в
домен профиль;
– перенести содержимое «Главному меню» в новое место — будет пе-
ренаправлять «Главное меню» в новое место;
– применить политику перенаправления также к операционным систе-
мам Windows 2000, Windows 2000 Sever, Windows XР и Windows Server
2003 — для этих ОС данный параметр обязателен.
Поставьте галки как показано на рисунке 88, нажмите «Применить» и
ОК.
104
Рис. 88. Параметры
На этом с перенаправлением папок закончено.
105
8. ПОЛЬЗОВАТЕЛИ И КЛИЕНТЫ
8.1. Сравнительный обзор операционных систем

Для сравнения выбираем наиболее актуальные ОС семейства Windows
(7/8/10). Сравнивать все ОС будем по трем важнейшим критериям:
– интерфейс и удобство использования;
– безопасность;
– скорость работы и требования к аппаратному обеспечению.
8.1.1. Windows 7
Сразу после релиза в 2009 г. Windows 7 получила массу критики из-за
недоработок и постоянно вылетающих багов. Со временем разработчикам
удалось усовершенствовать работу системы, и сегодня она по праву назы-
вается самой удачной реализацией Windows.
Несмотря на выход новых современных версий ОС, «семерка» все еще
остается популярной среди пользователей. Более 45% компьютеров с Win-
dows используют именно седьмое поколение операционной системы. Пока
даже вездесущая реклама Windows 8, 10 не помогла новым системам повто-
рить успех седьмой версии. Так почему же Windows 7 так популярна?
В первую очередь следует отметить замечательную совместимость с лю-
быми устройствами. Вы сможете легко подключить телефон к компьютеру
или найти версию любимой игры, которая подходит для «семерки».
Рабочий стол. Именно он стал главной фишкой ОС. Несмотря на внеш-
нее сходство с предыдущей версией — Windows XP, рабочая область «се-
мерки», лучше продумана, имеет удобный интерфейс и расположение эле-
ментов.
Поддержка виджетов. Windows 7 отличается наличием огромного ко-
личества виджетов для удобной организации работы. Добавляйте на рабо-
чий стол календарь, список дел, часы, стикеры и другие полезности.
Удобный поиск. В меню «Пуск» доступно удобное поле поиска по фай-
лам на компьютере. Просто введите нужное название или часть содержи-
мого, чтобы ОС автоматически определила нужные вам элементы.
106
Панель задач. С помощью организованной панели задач вы можете пе-
реключаться между закрепленными программами, меню «Пуск», откры-
тыми паками и файлами. В трее видим область уведомлений и клавишу для
мгновенного сворачивания всех открытых вкладок.
Организация проводника. В стандартном файловом проводнике Win-
dows 7 пользователи могут создавать собственные библиотеки или пользо-
ваться уже существующими разделами. Библиотека — это папка, которая
автоматически распознает файлы одной тематики и формата.
Медиацентр. Встроенная утилита Windows 7 Media Center позволяет
легко управлять всеми мультимедиаданными на вашем компьютере. Слу-
шайте музыку, смотрите фильмы, картинки в одной программе.
Требования к железу. Технические характеристики для установки Win-
dows 7: процессор с минимальной тактовой частотой в 1 ГГц и разрядно-
стью 32х (86х) или 64х; 1 Гб оперативной памяти (для 32х архитектуры) или
2 Гб (для 64х архитектуры); устройство графического модуля с поддержкой
DirectX 9.
Безопасность. Основу безопасности Windows 7 составляет модуль кон-
троля учетных записей пользователей. В сравнении с более ранними верси-
ями Windows, «семерка» поддерживает защищенный контроль пользовате-
лей, а также ограничивает работу для юзеров, которые не являются админи-
страторами. Служба UAC требует подтверждения перед выполнением лю-
бого важного действия в системе (установка программы, работа с антивиру-
сом, изменение системных настроек и так далее).
Такой подход гарантирует защиту от поломки системы «по неосторож-
ности», а также ограничивает круг лиц и программ, которые могут получить
доступ к содержимому системы.
Система шифрования диска BitLocker сохранит все ваши личные дан-
ные от хищения и несанкционированного копирования.
Биометрическая безопасность. В ОС Windows 7 присутствует под-
держка программ биометрического контроля пользователей. К примеру,
если на вашем компьютере есть сканер отпечатков пальцев, вы без проблем
сможете установить утилиту для работы этого устройства.
Среди преимуществ Windows 7 можно выделить следующие:
– упрощенная система восстановления;
– устойчивость к ошибкам;
107
– поддержка современных игр и приложений;
– интуитивно понятный интерфейс;
– нет особых требований к железу.
Минусы ОС:
– отсутствие основной поддержки от Microsoft;
– простой проводник с ограниченным набором функций;
– низкая производительность;
– долгое включение ОС.
В целом, пользователи со всего мира положительно отзываются о Win-
dows 7 уже на протяжении многих лет. Особенной популярностью пользу-
ется простая организация функционала и возможность кастомизации рабо-
чего стола. Огромное количество совместимого ПО и небольшие требова-
ния к железу — еще одна причина популярности системы среди многомил-
лионной аудитории.
В 2015 г. Microsoft заявила о прекращении основной поддержки «се-
мерки». Однако пакеты обновлений все еще приходят пользователям.
Служба безопасности ОС и встроенные утилиты совершенствуются.
В ближайшие годы разработчик вряд ли лишит многомиллионное
число пользователей любимой ОС. Скорее, переход на более новые версии
будет выполняться постепенно и по желанию самих пользователей.
Если у вас появилось желание поставить на свой компьютер «семерку»,
смело начинайте установку, ведь система проработает еще приличное коли-
чество времени. При необходимости всегда можно обновить лицензию Win-
dows 7 на аналогичную сборку Windows 10.
8.1.2. Windows 8 и 8.1

Windows 8 — это инновационный проект от Microsoft, релиз которого
состоялся в 2012 г. Новая версия полюбившейся всем ОС потерпела значи-
тельные изменения, что вызвало большое количество критики и недоволь-
ство среди пользователей.
Главная новинка — плиточный интерфейс. Среди главных нововведе-
ний «восьмерки» следует отметить Metro-интерфейс — это технология
представления информации в плиточном режиме. Разработчики решили
отойти от привычного рабочего стола и меню «Пуск», и теперь пользова-
тели смогут работать на «Домашнем экране».
108
Каждый элемент «Домашнего экрана» — это виртуальная плитка (или
«тайл»), нажав на которую, можно открыть программу, документ, закреп-
лённый в рабочей области файл и т. д. Оформление нового интерфейса
также пошатнуло привычное представление о Windows — яркая цветовая
гамма, анимация, отсутствие привычных областей управления.
Плитки можно изменять по размеру и цветовой гамме. Если вы хотите
добавить больше элементов в рабочую область, прокрутите экран вправо.
Также в главном окне системы есть меню поиска для быстрого доступа к
другим программам и файлам.
Вместо меню «Пуск» пользователям доступна боковая панель задач,
которая появляется при наведении курсора в правую часть экрана. С помо-
щью появившейся панели можно выключить ПК, посмотреть дату и время,
открыть утилиту «Поделиться» для быстрого перемещения файлов между
устройствами. Также на панели задач присутствует вкладка работы с под-
ключенными девайсами и значок для перехода в настройки системы.
Отсутствие привычной клавиши «Пуск» стало причиной массовой кри-
тики «восьмерки» и отказа пользователей от новой системы. Люди начали
массово возвращаться на Windows 7. После этого разработчики Microsoft,
пытаясь сгладить ситуацию, выпустили обновление Windows 8.1. По сути,
апдейт стал новой, улучшенной версией операционной системы, которую
стоило бы выпускать вместо Windows 8.
Если сравнивать Windows 8 и 8.1, сразу можно отметить возврат дол-
гожданной кнопки «Пуск» и рабочего стола. Заметьте, привычное меню
«Пуск» отсутствует, а при нажатии главной клавиши появляется/исчезает
метро-интерфейс. Таким образом, пользователь может удобно переклю-
чаться между обычным рабочим столом и плитками.
В целом, новый интерфейс ОС ориентирован на сенсорные экраны, так
как с 2012 г. на рынке начало появляться все большее количество планшет-
ных ПК и ноутбуков с сенсорным пером. Система полностью готова для ис-
пользования и на обычных компьютерах.
С выпуском «восьмерки» Microsoft представила еще и свой официаль-
ный магазин приложений. Теперь вы сможете скачивать программы с его
помощью. Возможность загрузки обычных EXE-фалов из Интернета оста-
лась.
109
Технические требования для установки системы следующие: процес-
сор с тактовой частотой 1ГГц и поддержкой PAE, SSE2, NX; оперативная
память 1 Гб или 2 Гб (для архитектуры 86х или 64х соответственно); ви-
деокарта с поддержкой DirectX 9. Также необходима поддержка WDMM
версий 1.0+; свободное пространство на жестком диске — 16 Гб (для 86х)
или 20 Гб (для 64х).
Как видите, системные требования для Windows 7 и Windows 8 практи-
чески идентичны, поэтому можно без проблем устанавливать обновленную
версию ОС. На производительность это не повлияет. Наоборот, вы получите
более быстрое включение ОС (всего за 15–17 с) и мгновенный отклик всех
функций.
Система безопасности Windows 8 значительно доработана и улучшена,
если сравнивать с предыдущими поколениями ОС.
Учетная запись пользователя. Теперь контроль всех браузеров проис-
ходит не локально в системе, а на сервере Microsoft. Для создания учетной
записи администратора или обычного пользователя следует привязать к
компьютеру адрес электронной почты. Также настроена интеграция каждой
учетки с OneDrive.
Новые методы аутентификации. Теперь вы можете настроить сразу не-
сколько способов входа в систему и использовать только один из них для
авторизации — пароль, цифровой пин-код, графический ключ, отпечаток
пальца (если в вашем компьютере есть соответствующий сканер).
Обновлённый диспетчер задач с улучшенными алгоритмами шифрова-
ния. Теперь сторонние программы не смогут влиять на запущенные про-
цессы и вредить системе. Также усовершенствована технология шифрова-
ния файлов на жестком диске и на подключенных внешних накопителях.
Система восстановления. Теперь пользователь может запустить встро-
енную систему диагностики и автоматического устранения неполадок ОС
или же сбросить настройки до первоначальных.
Определяя, какая Windows лучше для вас, обращайте внимание на тех-
нические характеристики используемого устройства, свои личные предпо-
чтения и поддержку софта, с которым вы чаще всего работаете.
Плюсы Windows 8:
– усовершенствованная рабочая область;
– быстрый поиск;
110
– система защиты;
– минимальные технические требования;
– поддержка от Microsoft;
– возможность бесплатного перехода на Windows 10;
– быстрое включение ОС;
– совместимость с сенсорными экранами.
Минусы Windows 8:
– сложная адаптация: пользователю, который привык работать с Win-
dows 7 может быть нелегко привыкнуть к новому функционалу ОС;
– отсутствие привычных окон программ;
– небольшое количество приложений.
Стоит ли устанавливать? Если вы хотите поработать с принципиально
новым интерфейсом, но остаться пользователем Windows, советуем устано-
вить «восьмерку». Организация плиточного интерфейса и абсолютно новый
концепт ОС понравится экспериментаторам и обычным пользователям, ко-
торые ищут хорошую систему под сенсорный монитор.
8.1.3. Windows 10
Windows 10 — это последняя на сегодняшний день версия Windows,
которая стремительно набирает популярность среди пользователей по
всему миру. В системе есть все лучшее от полюбившейся всем «семерки» и
нововведения восьмой версии. Последние обновления системы можно ска-
чать на официальном сайте Microsoft (https://www.microsoft.com).
Пересмотрев свои взгляды, разработчики Microsoft отменили свою
цель — полностью устранить привычный интерфейс. Вместо этого они
удачно скомпоновали две системы, добавив улучшенное оформления и еще
более быструю работу.
Обновленная кнопка «Пуск». В отличие от Windows 8, десятая версия
все же получила поддержку стандартного меню «Пуск», так что пользова-
тели, которые отказались от предыдущей версии ОС только из-за отсут-
ствия полюбившегося функционала, могут без проблем устанавливать «де-
сятку».
Главная особенность меню «Пуск» — одновременная поддержка и
обычных полей, и плиточного интерфейса. Таким образом, вы сможете до-
бавить в меню ярлыки программ или веб-страниц.
111
Для любителей metro-интерфейса есть возможность убрать меню
«Пуск» и включить режим основного экрана в виде плиток (с возможностью
перехода на рабочий стол).
Внешний вид системы представлен в стиле минимализма: плавные пе-
реходы между окнами, отсутствие рамок окон и простота в освоении.
Центр уведомлений. Данная функция была перенята с мобильных
устройств. Теперь отслеживать все уведомления можно в специальном
окне, которое расположено в правой части рабочего стола. Открыть его
можно с помощью нажатия специальной клавиши в трее.
Внизу окна центра уведомлений присутствуют плитки, при нажатии на
которые происходит переход в настройки системы или же в управление до-
ступными подключениями и устройствами.
Также можно отметить доработанный проводник, в который пользова-
тели могут вручную добавлять папки на панель быстрого доступа.
Требования к железу. Установленная на ПК Windows 8, 8.1 или 7; про-
цессор 1 ГГц; оперативная память 1 Гб или 2 Гб (для разных архитектур);
20 Гб пространства на диске; минимальное разрешение экрана —
800×600 пикселей; видеокарта с поддержкой DirectX 9 или более новой вер-
сии.
Плюсы Windows 10:
– встроенный защитник Windows Defender;
– быстрое включение (за 15 с);
– рациональное распределение ресурсов ПК;
– совместимость с современными играми и приложениями;
– регулярное получения пакетов обновления и усовершенствования си-
стемы безопасности;
– интерфейс;
– стабильная работа.
Минусы Windows 10:
– не все старые компьютеры «тянут» «десятку»;
– на некоторых устройствах могут возникнуть сложности с установкой
ОС вручную;
– проблемы с настройками региона.
Стоит ли устанавливать? Определенно — да. С Windows 10 вы сможете
получать автоматические обновления ОС и устанавливать их без потери
112
личных данных и файлов. Также новая система постоянно совершенству-
ется, добавляется новый функционал, улучшается интерфейс и функция
поддержки подключенных устройств.
8.2. Настройка Windows-клиента

Переходим: «Панель управления» => «Сеть и подключение к Интер-
нету» => «Сетевые подключения» (рис. 89).
Рис. 89. Сетевые подключения

Далее нажмем правой кнопкой мыши на «Подключение по локальной
сети» и «Свойства» (рис. 90). Выделим строчку «Протокол Интернета
(TCP/IP)» и нажмем «Свойства».
Рис. 90. Подключение по локальной сети
113
Вписываем статистический адрес, маску подсети и DNS-сервер
(IP нашего сервера), как показано на рисунке 91, нажимаем ОК и «Закрыть».
Рис. 91. Настройка протокола Интернета

Все, настройки адаптера на этом завершены. Теперь проверим, есть ли
у нас сеть между сервером и клиентской машиной. Для этого открываем
«Пуск» и нажимаем «Выполнить» (рис. 92).
Рис. 92. Открытие консоли
114
Далее вводим команду cmd и нажимаем ОК (рис. 93).
Рис. 93. Запуск программы
Откроется консоль (рис. 94), там мы вводим команду ping 192.168.1.12

(192.168.1.12 — IP нашего сервера) и нажимаем ОК.
Рис. 94. Консоль
Как можно увидеть на рисунке 94, пакеты и посылаются, и принима-

ются, а это значит, что наша сеть работает.
115
Если сервер (или клиент) не пингуется, рекомендуется проверить
параметры сетевого адаптера — как на сервере, так и на клиентской ма-
шине. Если используется VMware, то проверить настройки сетевого
адаптера vMware (см. п. 1.1). Также рекомендуется проверить наличие в
свойствах используемого сетевого адаптера протокола «Ответчик обна-
ружения топологии канального уровня…», использующегося для обна-
ружения компьютеров, устройств и компонентов сетевой инфраструк-
туры в сети и делающего данный компьютер видимым в ней. Также он
используется для определения пропускной способности сети.
8.3. Ввод в домен

Теперь добавим нашу машину в домен (рис. 95). Для этого идем по ад-
ресу: «Пуск» => «Мой Компьютер», нажимаем правой кнопкой мыши на
любом свободном месте и нажимаем «Свойства».
Рис. 95. Свойства системы
Теперь переходим на вкладку «Имя компьютера» (рис. 96), нажимаем

«Изменить» и в поле «домена» пишем название нашего домена.
116
Рис. 96. Имя компьютера
Всплывет форма для ввода логина и пароля (рис. 97).
Рис. 97. Подтверждение изменений
117
Введем ранее созданного пользователя (логин — User1, пароль —
123-=qwerty) и нажимаем ОК. Если вы сделали все правильно, увидите сле-
дующее сообщение, как на рисунке 98.
Рис. 98. Приглашение в домен

Теперь вас попросят перезагрузить компьютер. Нажимаем ОК. Войдем
в домен. Для этого при входе в систему нажимаем «Параметры» и из выпа-
дающего списка выбираем наш домен (рис. 99).
Рис. 99. Вход в домен
118
Теперь вводим логин и пароль созданного профиля. Все, мы вошли в
домен под нашим перемещаемым профилем. Проверим перенаправление
папок, для этого пройдем: «Пуск» => «Мой компьютер» (рис. 100), далее
слева нажмем «Сетевое окружение» (рис. 101).
Рис. 100. Проводник

Нажимаем «Вся сеть».
.
Рис. 101. Сетевое окружение
119

Нажимаем на Microsoft Windows Network и на наш домен (рис. 102).
Рис. 102. Microsoft Windows Network

Далее мы увидим список компьютеров в сети (рис. 103).
Рис. 103. Домен

Заходим в папку нашего сервера и в папку Allmyprofiles и видим папки
всех профилей, созданных на сервере, но доступ имеем только к папке
нашего профиля и к перенаправленным папкам (рис. 104).
Рис. 104. Сетевые ресурсы компьютера домена

На этом настройка клиентской машины окончена.
120
9. DHCP — ДИНАМИЧЕСКАЯ КОНФИГУРАЦИЯ УЗЛА
DHCP (Dynamic Host Configuration Protocol — протокол динамической

конфигурации узла) — это сетевой протокол, позволяющий компьютерам
автоматически получать IP-адрес и другие параметры, необходимые для ра-
боты в сети TCP/IP. Данный протокол работает по модели «клиент — сер-
вер». Для автоматической конфигурации «компьютер — клиент» на этапе
конфигурации сетевого устройства обращается к так называемому серверу
DHCP и получает от него нужные параметры. Сетевой администратор мо-
жет задать диапазон адресов, распределяемых сервером среди компьюте-
ров. Это позволяет избежать ручной настройки компьютеров сети и умень-
шает количество ошибок. Протокол DHCP используется в большинстве
крупных (и не очень) сетей TCP/IP.
Помимо IP-адреса, DHCP также может сообщать клиенту дополнитель-
ные параметры, необходимые для нормальной работы в сети. Эти пара-
метры называются опциями DHCP. Список стандартных опций можно
найти в RFC 2132.
Некоторыми из наиболее часто используемых опций являются:
– IP-адрес маршрутизатора по умолчанию;
– маска подсети;
– адреса серверов DNS;
– имя домена DNS.
Некоторые поставщики программного обеспечения могут определять
собственные, дополнительные опции DHCP.
9.1. Установка и настройка DHCP-сервера

Для установки перейдем по адресу: «Пуск» => «Администрирование»
=> «Диспетчер сервера» => «Роли»; нажимаем «Добавить роли». Затем
нажимаем «Далее» и ставим галку напротив «DHCP-сервер» (рис. 105).
Нажмем «Далее». На следующем этапе также нажимаем «Далее»
(рис. 106).
На следующем этапе нужно привязать IP-адрес сервера, для этого по-
ставим напротив него галку и нажмем «Далее» (рис. 107).
121
.
Рис. 105. Выбор ролей сервера
Рис. 106. Выбор DHCP-сервера
122
Рис. 107. Привязка сетевого подключения
На следующем этапе нужно ввести имя домена и DNS-сервера
(рис. 108).
Рис. 108. Имя домена
123
Нажмем «Далее». На следующем этапе нам предлагают выбрать: ис-
пользовать Wins-сервер или нет (рис. 109).
Рис. 109. Задание параметров

Так как он у нас не установлен, поставим галку напротив «Wins не тре-
буется для приложений в этой сети» и нажимаем «Далее». На следующем
этапе нужно ввести диапазон IP-адресов сети, которые сервер будет распре-
делять между клиентами (рис. 110).
Рис. 110. Добавление областей
124
Для этого нажмем «Добавить» и введем следующие значения
(рис. 111):
– имя области — может быть любым (введем, например, All IР);
– начальный IP-адрес и конечный IP-адрес — адреса от которых и до
которых будут распределяться IP-адреса (введем начальный 192.168.1.30 и
конечный 192.168.1.60);
– маска подсети — должна подходить для вашего диапазона (введем
255.255.255.0);
– основной шлюз — необязательный параметр, поэтому оставим пу-
стым;
– тип подсети — срок аренды IP-адресов. Поставим «Проводной».
Рис. 111. Параметры области
Нажимаем «Далее». На следующем этапе активируем второй вариант

(рис. 112).
125
Рис. 112. Настройка режимов
Нажмем «Далее». На следующем этапе оставляем как есть и нажимаем
«Далее» (рис. 113).
Рис. 113. Авторизация сервера
126
На последнем этапе выводятся все настройки, которые мы ввели в ходе
установки (рис. 114).
Рис. 114. Сводка и подтверждение

Нажимаем «Установить». Установка завершена (рис. 115).
Рис. 115. Результаты установки
127
9.2. Дополнительные настройки клиента
Теперь нужно сбросить настройки «Подключение по локальной сети»
у клиентской машины для получения динамического IP-адреса. Для начала
нам нужно зайти на клиентскую машину под ее учетной записью (при входе
в домен с клиентской машины многие приложения будут недоступны). Те-
перь на клиентской машине пройдем по следующему адресу: «Пуск» =>
«Панель управления» => «Сеть и подключение к Интернету» => «Сетевые
подключения» (рис. 116). Нажимаем правой кнопкой мыши «Подключение
по локальной сети» и выбираем «Свойства». Нажмем «Протокол Интернета
(TCP/IP)», далее «Свойства» и поставим «Получить IP-адрес автоматиче-
ски».
Рис. 116. Свойства протокола

Нажимаем ОК и «Закрыть». Теперь проверим, получила ли наша кли-
ентская машина динамический IP-адрес. Для этого идем: «Пуск» => «Вы-
полнить». Вводим cmd (рис. 117). В консоли вводим команду ipconfig /all и
видим, что сервер выделил IP-адрес 192.168.1.40.
128
Рис. 117. Консоль
Теперь проверим это на сервере. Для этого перейдем по адресу:
«Пуск» => «Администрирование» => «DHCP», перейдем к папке «Арендо-
ванные адреса» и видим IP и имя нашей клиентской машины (рис. 118).
Рис. 118. Оснастка DHCP
9.3. Браузер компьютеров — Computer Browsing

Если на клиентской операционной системе (MS Windows 7/8/10), вве-
денной в домен под управлением MS Windows возникла ситуация, когда не
отображаются элементы (компьютеры) в сетевом окружении, то следует
сделать несколько операций.
Во-первых, следует проверить доступность имени целевого компью-
тера. Для этого необходимо попытаться получить к нему доступ путем
ввода команды \\имя_компьютера в адресную строку проводника. Если до-
ступа нет, то следует проверить работоспособность установленного сете-
вого подключения (например, при помощи команды Ping из консоли).
129
Во-вторых, необходимо открыть список служб. Сделать это можно не-
сколькими способами:
– удерживая кнопку Windows, нажать R (Win + R), откроется окно «Вы-
полнить…», там ввести services.msc;
– «Пуск» => «Панель управления» => «Администрирование» =>
«Службы»;
– «Пуск» => правой кнопкой мыши «Мой компьютер» => «Управле-
ние» => «Службы и приложения» => «Службы».
Здесь необходимо убедиться, что служба «Браузер компьютеров»
остановлена (рис. 119), если это не так, то ее следует остановить и переза-
грузить ОС. Это особенность работы ОС MS Windows 7 со списком ком-
пьютеров в сети. Заключается она в том, что ОС просматривает все, что
доступно в данном диапазоне IP-адресов, и если сеть многодоменная, то
ОС будет пытаться отобразить все компьютеры в сети независимо от при-
надлежности к домену. К тому же, если в сети периодически появляются
«гости» со своими рабочими группами, то это мгновенно сказывается на
скорости отображения списка. Также стоит заметить, что, может быть,
придется подождать какое-то время для обновления списка узлов и правил
его формирования.
Рис. 119. Оснастка списка служб ОС
130
9.3.1. Обзор технологии
Служба обозревателя компьютеров и сетевое окружение используются
уже более 15 лет. Такой способ организации окружения является устарев-
шей моделью доступа в доменной среде Active Directory, и Microsoft посте-
пенно отказывается от нее в сторону распределенной файловой системы
DFS (Distributed File System). Это оправданное решение, так как служба обо-
зревателя генерирует достаточно много широковещательного трафика
(вследствие чего падает пропускная способность сети и снижается безопас-
ность сети), имеет множество ограничений и негарантированные (неконтро-
лируемые) моменты в своей работе.
В сети есть один домен широковещания, т. е. один компьютер или узел
может найти другой по широковещательному запросу, или как его еще
называют, броадкасту (broadcast). Широковещательные запросы свободно
проходят через хабы и свитчи и ограничиваются лишь маршрутизаторами,
которые не пропускают широковещательные пакеты в другие сети. Если все
узлы в сети подключены к свитчу (или соединенным между собой несколь-
ким свитчам, между которыми нет маршрутизаторов), то каждый узел мо-
жет общаться широковещательными пакетами с любым другим узлом в дан-
ной сети. Чаще всего все эти компьютеры будут входить в одну рабочую
группу, по умолчанию именуемую Workgroup. Вкратце ситуация развивается
следующим образом: при запуске компьютеров в сети начинают происходить
выборы главного компьютера, который будет отвечать за списки компьюте-
ров в сетевом окружении. Его называют главным обозревателем, или мастер-
браузером (master browse server). В выборах участвуют только компьютеры с
запущенной службой «Браузер компьютеров». После выбора мастер-браузера
выбираются ноль или больше резервных обозревателей или резервных брау-
зеров (backup browse server), которые будут обслуживать клиентов. Мастер-
браузер (здесь и далее термин «браузер» будет использоваться для обозначе-
ния главного обозревателя компьютеров или резервного обозревателя) пред-
ставляет собой компьютер в сети с соответствующей ролью. Каждый компь-
ютер сети (ненастроенной) участвует в выборах и может быть выбран на роль
«Мастер-браузера» (MBR, Master BRowser), «Резервного браузера» (BBR,
Backup BRowser) или «Потенциального браузера» (PBR, Potential BRowser).
Количество браузеров в сети зависит от количества участников сети.
Рекомендуется в сети из 2–32 компьютеров иметь 1 мастер и 1 резервный
131
браузер. На каждые следующие 1–32 компьютера нужно по одному допол-
нительному резервному браузеру, которые будут назначаться мастером из
числа Потенциальных.
После прохождения всех выборов каждый узел с запущенной службой
«Сервер» объявляет себя мастер-браузеру, чтобы тот включил его в общий
список компьютеров. Когда все узлы объявят себя мастер-браузеру, тот
сформирует список для сетевого окружения. Регулярно, через некоторый
интервал времени (от одной до 12 мин) компьютер обращается к мастер-
браузеру за списком резервных обозревателей. Получив его, компьютер
произвольно выбирает одного из резервных браузеров и запрашивает уже у
него список компьютеров в сети. Если же резервных браузеров нет, то сам
мастер-браузер будет обслуживать клиента и передавать ему списки компь-
ютеров. Именно этот список можно видеть в папке «Сетевое окружение».
Так все выглядит в общем случае.
Для корректной работы обозревателя требуется наличие компьютера
под управлением Microsoft Windows с включенным клиентом «Клиент для
сетей Microsoft» (рис. 120), включенном транспортном протоколе NetBIOS
и запущенной службой «Сервер» и «Рабочая станция».
Рис. 120. Свойства сетевого подключения
132
На рисунке 120 показано и выделено место в свойствах сетевого адап-
тера, где выставляется параметр «Клиент для сетей Microsoft». В следую-
щем окне (рис. 121) показано, как включить «NetBIOS поверх TCP/IP» (или,
как его называют, NetBT, или просто NBT). Как уже сказано, в качестве
транспорта для трафика сетевого окружения будет использоваться транс-
порт «NetBIOS поверх TCP/IP».
Рис. 121. Вкладка WINS
133
Переключатель должен быть либо выставлен «По умолчанию» (тогда
настройки этого параметра будут регулироваться DHCP), либо явно разре-
шен, игнорируя настройки DHCP-сервера. Далее, на каждом компьютере
должны быть запущены службы «Сервер» и «Рабочая станция» (по умолча-
нию они включены). Запустить их можно, зайдя в консоль «services.msc»,
или одним из описанных способов. Также в свойствах этих служб следует
убедиться, что стоит режим запуска «Автоматически». Если установлен
брандмауэр, то необходимо в нем настроить разрешения для NetBIOS-тра-
фика. Если используется «Брандмауэр Windows» (встроенный в ОС
Windows), то в нем во вкладке «Исключения» необходимо выставить га-
лочку напротив «Общий доступ к файлам и принтерам», как это показано
на рисунке 122.
Рис. 122. Брандмауэр Windows
134
Если же используется другой брандмауэр, который не поддерживает
стандартную опцию исключения NetBIOS, то необходимо открыть следую-
щие входящие порты: 137-UDP; 138-UDP; 139-TCP; 445-TCP.
А также необходимо позволить системе отправлять данные на эти же
порты удаленных компьютеров. Таким образом, основные аспекты, кото-
рые обеспечивают поддержку работоспособности сетевого окружения:
– наличие включенного клиента сетей Microsoft в свойствах сетевой
карты;
– наличие включенного «NetBIOS поверх TCP/IP» в свойствах TCP/IP
протокола;
– созданного исключения в брандмауэре для «Общий доступ к файлам
и принтерам» или ручное конфигурирование входящих и исходящих пор-
тов.
– запущенной на всех компьютерах, к которым или с которых предпо-
лагается доступ по сети и сетевое окружение, службы «Сервер» и «Рабочая
станция».
9.3.2. Выборы главного обозревателя

Теперь необходимо выбрать несколько компьютеров на роль кандидата
главного обозревателя сети или мастер-браузера. Для этих целей не стоит
использовать компьютеры, у которых активированы несколько сетевых
карт, т. е. multihomed компьютер. Сочетание трех аспектов — конкретной
сетевой карты; конкретного сетевого протокола; признака поддержки
NetBIOS на этой карте и на этом протоколе в терминологии NetBIOS —
называется LANA (сетевой адаптер NetBIOS).
Multihomed компьютер — это компьютер, у которого больше одного
LANA. Необходимо избегать работы мастер-браузеров, эмуляторов PDC
контроллеров домена и серверов WINS на multihomed компьютерах. Дело в
том, что такой режим работы может привести к непрогнозируемым и нега-
рантированным результатам.
Поэтому службу «Браузер компьютеров» по необходимости следует за-
пускать на компьютерах, имеющих только одну активную сетевую карту.
Браузеры между собой могут разделять пять ролей.
1. Мастер-браузер (master browse server). Как уже говорилось, в сети
(в логической группе) должен быть один главный обозреватель, который
135
будет собирать списки компьютеров и их доступных ресурсов в единый
список, который называется списком обозревателя (browse list) для всей ра-
бочей группы или домена, если он является также и доменным обозревате-
лем (о нем написано далее). Мастер-браузер практически никогда не обслу-
живает клиентов, за него это делают резервные браузеры. Поэтому мастер-
браузер лишь собирает сведения от клиентов и пересылает копию списка
обозревателя резервным браузерам, с которыми уже непосредственно кон-
тактируют клиенты. Мастер-браузер выбирается в сети посредством выбо-
ров. О самом процессе выборов будет написано далее.
2. Доменный мастер-браузер (domain master browse server) — это тот
же главный обозреватель сети, но его область действия ограничивается не
одной рабочей группой, а всем доменом. Исходя из названия, можно пред-
положить, что данный браузер будет доступен только в условиях домена
Active Directory. Доменный мастер-браузер имеет право собирать списки
компьютеров и общих ресурсов со всех удаленных подсетей (которые нахо-
дятся за маршрутизатором) в пределах всего домена. Эта роль всегда назна-
чается первому контроллеру домена или контроллеру домена, который дер-
жит FSMO-роль — эмулятор PDC (PDC Emulator), так как только эмулятор
PDC имеет некоторые особые возможности, которыми не обладают другие
браузеры. Доменный мастер-браузер выбирается посредством условных
выборов, и эта роль всегда закрепляется за эмулятором PDC. Почему
условно — лишь для соблюдения формальности и во избежание ситуации,
когда может быть одновременно два доменных мастер-браузера. Как пра-
вило, доменный обозреватель совмещает и роль мастер-браузера в своей
подсети. Также добавлю, что во всем домене может быть только один кон-
троллер, который держит FSMO-роль (эмулятор PDC). В случае выключе-
ния контроллера домена, который является эмулятором PDC, в домене не
назначаются новые выборы и домен остается без доменного мастер-брау-
зера. В домене функционируют только резервные браузеры, которыми, как
правило, становятся дополнительные контроллеры домена.
3. Резервный браузер (backup browse server) — это браузер, который
проигрывает выборы на роль мастер-браузера. Резервные браузеры перио-
дически (с интервалом от одной до 12 мин) получают копии списка обозре-
вателя от мастер-браузера и по требованию клиента отправляют ему этот
136

список. Резервные браузеры не составляют сами этот список, а только по-
лучают его от главного обозревателя. В случае если из сети выйдет мастер-
браузер или тот перестанет отвечать копиями списка обозревателя, резерв-
ные браузеры форсируют новые выборы мастер-браузера.
4. Потенциальный браузер (potential browser) — это тот же самый кан-
дидат в мастер-браузеры за тем исключением, что при полном комплекте
резервных браузеров (о комплектации сети браузерами будет сказано да-
лее) он прекращает быть браузером и становится клиентом до первого тре-
бования главного обозревателя, когда необходимо повысить свою роль до
резервного обозревателя. Роль потенциального браузера можно опреде-
лять в реестре HKLM\System\CurrentControlSet\Services\Browser\Parameters.
И там есть ключ MaintainServerList, который может принимать три значе-
ния:
– No — этот параметр предохраняет компьютер от участия в выборах,
т. е. этот компьютер никогда не станет мастер-браузером или резервным
браузером;
– Yes — этот параметр позволяет компьютеру участвовать в выборах и
иметь шансы на роль главного обозревателя сети. При подключении к сети
он автоматически станет резервным браузером и первым делом попытается
связаться с мастер-браузером для получения списка компьютеров. Если ма-
стер-браузер не будет обнаружен, этот компьютер форсирует выборы ма-
стер-браузера;
– Auto — этот параметр также позволяет компьютеру участвовать в вы-
борах, но данное значение делает его потенциальным обозревателем или по-
тенциальным браузером. При включении потенциального браузера в сеть
он в первую очередь пытается связаться с мастер-браузером, чтобы узнать
свою роль в сети.
Чтобы не заполнять сеть большим числом браузеров, есть определен-
ное правило расчета мастер-браузеров и резервных браузеров по отноше-
нию к общему количеству компьютеров в сети. Если сети в результате ее
расширения (например, компьютеры по очереди подключаются к сети) тре-
буется дополнительный резервный браузер, то мастер-браузер назначает
дополнительным резервным браузером компьютер, который является по-
тенциальным браузером. В случае если необходимости в дополнительном
резервном браузере нет, потенциальный браузер переходит в статус клиента
137
и не обслуживает списки компьютеров. Но по первому требованию мастер-
браузера он может взять на себя роль резервного браузера. Если же потен-
циальный браузер подключается к сети, в которой еще нет мастер-браузера,
потенциальный браузер форсирует новые выборы. Данный параметр ре-
естра не дает компьютеру никакого преимущества в выборах.
Значения, которые регулируют количество браузеров в сети:
– на один компьютер — только один мастер-браузер;
– от двух до 31 компьютера — один мастер-браузер и один резервный
браузер;
– от 32 до 63 компьютеров — один мастер-браузер и два резервных.
На каждые последующие 32 компьютера полагается по одному допол-
нительному резервному браузеру. Дополнительные резервные браузеры
назначаются, как правило, из списка потенциальных браузеров. Отметим,
что в обычном режиме не надо изменять данный параметр реестра без
острой на то необходимости, нужно оставить все как есть и использовать
данные значения реестра в информативных целях.
5. Предпочтительный браузер (preferred master browser) — это специ-
ально настроенный кандидат в мастер-браузеры, который всегда выигры-
вает выборы. Настройку данного типа браузера стоит выполнять только при
четком понимании процесса выборов и когда в этом есть необходимость.
Настроить предпочтительного обозревателя можно в реестре HKLM\Sys-
tem\CurrentControlSet\Services\Browser\Parameters, где следует изменить па-
раметр REG_SZ (а если его нет, то создать) IsDomainMaster и его значение
выставить в True. Если же значение отсутствует или выставлено в False, или
No, то компьютер такой ролью обладать не будет. К слову, первый контрол-
лер домена в сети или держатель роли эмулятора PDC носит статус предпо-
чтительного браузера. И при наличии в домене нескольких контроллеров,
держатель роли эмулятора PDC при любом раскладе выиграет выборы, так
как только он может быть доменным мастер-браузером.
На заметку: казалось бы, зачем объявлять новые выборы, если предпо-
чтительный браузер все равно выиграет их? Дело в том, что в любой момент
времени в одной логической сети не может быть больше одного мастер-
браузера, поэтому при любых объявлениях выборов текущий мастер-брау-
зер обязан понизить себя до резервного браузера и в этот момент до окон-
чания выборов в сети главного обозревателя не будет. Когда в сети появится
138
предпочтительный обозреватель, он объявляет себя мастер-браузером и
сигналом объявления выборов делает себя единственным мастер-браузе-
ром, так как по правилам при получении сигнала о начале выборов текущий
мастер-браузер должен понизить свою роль.
Внимание! Упомянутые параметры реестра не следует изменять без
острой необходимости в этом. Изменение данных значений может вызвать
конфликты обозревателей в сети, и необходимо отслеживать, чтобы в сети
было не более одного предпочтительного обозревателя.
Следовательно, службу «Браузер компьютеров» следует включить в
режим «Автоматически» только на тех компьютерах, которые должны быть
либо главными обозревателями, либо резервными. Ранее мы говорили о
пяти, а не о двух ролях, но остальные три роли являются лишь расширени-
ями основных двух ролей — главного и резервных браузеров. На остальных
же компьютерах выставить «Вручную» или «Отключена». При запуске ком-
пьютеров в сети все компьютеры с запущенной службой Computer Browser
приступают к выборам главного обозревателя сети (остальные мирно слу-
шают эфир и ждут окончания выборов). В общем случае выборы назнача-
ются в трех случаях:
– когда компьютер не может найти мастер-браузер (если компьютер не
получил ни одного ответа от мастер-браузера на три запроса подряд);
– когда в сети появляется предпочтительный браузер;
– когда запускается и появляется в сети основной контроллер домена,
эмулятор PDC (только в условиях домена).
Первый претендент на роль главного обозревателя или предпочтитель-
ный обозреватель отправляет в сеть специальный широковещательный па-
кет, который извещает остальные компьютеры в сети о начале новых выбо-
ров, именуемый ElectionDatagram, в котором указывает необходимые дан-
ные критериев выбора. При получении этого сообщения мастер-браузер
сети (если он есть) обязан себя понизить до резервного браузера. На данный
пакет реагируют только те компьютеры, на которых запущена служба
«Браузер компьютеров» и которые являются или могут исполнять роль ма-
стер-браузера, т. е. обозреватели. Клиенты же на этот пакет никак не реаги-
руют.
139
В качестве критериев определения лучшего выбора используются сле-
дующие основные параметры:
– версия ОС. Более поздняя редакция будет иметь преимущество
на выборах (кроме случаев участия в выборах серверных ОС, которые
имеют преимущество перед любыми настольными версиями ОС). Так,
например, Windows XP будет иметь преимущество перед Windows 2000
Professional, но Windows 2000 Server будет иметь преимущество перед
Windows XP;
– версия протокола выборов. Чем выше версия, тем выше приоритет.
Данный параметр не зависит от редакции ОС и является лишь версией про-
токола выбора браузера;
– аптайм машины (время бесперебойной работы). Чем выше аптайм,
тем выше приоритет при выборах;
– является ли данный компьютер держателем FSMO-роли эмулятора
PDC;
– сервер WINS;
– является ли этот компьютер предпочтительным обозревателем;
– является ли компьютер текущим мастер-браузером;
– является ли компьютер текущим бэкап-браузером.
Браузер, получивший данный пакет, сравнивает все эти показатели со
своими и выясняет, лучше ли он, чем тот компьютер, который отправил
этот пакет. Свое мнение компьютер выражает в ответном пакете отправи-
телю.
Если вдруг в сети нет никого с запущенной службой «Браузер компь-
ютеров» и выборы не происходят либо клиент не может найти ни одного
мастер-браузера, то каждый компьютер, у которого режим запуска
службы «Браузер компьютеров» установлен «Вручную», форсирует за-
пуск этой службы (что не является гарантированным событием при таких
условиях) и объявляет новые выборы мастер-браузера. В таком случае
процесс может очень сильно затянуться (вплоть до 72 мин). Но это не га-
рантирует успешного завершения выборов (при большом количестве кан-
дидатов), и может оказаться, что сетевое окружение в сети не будет рабо-
тать вообще.
140
Когда выборы окончены, выбран мастер-браузер (об этом все компью-
теры извещаются широковещательным сообщением с указанием имени по-
бедителя) и список компьютеров пуст, мастер-браузер посылает в сеть спе-
циальный сигнал, который форсирует клиентов для объявления самих себя
мастер-браузеру. Такая же процедура происходит при перезапуске службы
«Браузер компьютеров» на главном обозревателе сети (при перезапуске
службы список компьютеров очищается) или при появлении в сети предпо-
чтительного браузера. Эффект появления в сети предпочтительного брау-
зера был описан ранее.
Периодически (в произвольный интервал времени от одной до 12 мин)
каждый компьютер объявляет (представляет) себя перед мастер-браузером.
Мастер-браузер собирает эти данные в единый список. Проигравшие вы-
боры браузеры автоматически становятся резервными браузерами (backup
browser) и регулярно получают копию списка сетевого окружения от ма-
стер-браузера. Они же и занимаются обслуживанием конечных клиентов.
Например, один из клиентов хочет запросить список компьютеров в сети.
Для этого он обращается к мастер-браузеру за списком резервных браузе-
ров. Тот им отвечает списком имен резервных браузеров, клиент произ-
вольно выбирает одного из трех (имена остальных двух он записывает в
кеш) и уже с ним договаривается о списке компьютеров для публикации в
сетевом окружении. Если же в сети нет резервных браузеров, клиент будет
напрямую взаимодействовать с мастер-браузером и уже у него получать
списки компьютеров и общих ресурсов.
9.3.3. Работа обозревателя в одном физическом сегменте

А теперь рассмотрим более детально, как все будет происходить в ре-
альной сети. В данном случае будет использоваться простая логическая сеть
из пяти компьютеров, которые подключены в один свитч или хаб.
На рисунке 123 в виде больших (стационарных) компьютеров пока-
заны те компьютеры, на которых была запущена служба «Браузер компь-
ютеров», а в виде маленьких (ноутбуков) — где эта служба не запущена.
При включении компьютеров в сеть компьютер PC1 посылает в сеть сиг-
нал о начале выборов (Election datagram) со своими показателями крите-
риев выборов, как это показано на рисунке 124.
141
Рис. 123. Простая логическая сеть
Рис. 124. Сигнал о начале выборов в сети

Компьютеры PC2 и PC5 сравнивают показатели компьютера PC1 со
своими и генерируют ответное сообщение с указанием своего статуса (хуже
или лучше). Если PC1 будет настроен как предпочтительный браузер, он
станет мастер-браузером в любом случае, так как этот статус имеет наивыс-
ший приоритет. На рисунке 124 изображено, что PC1 выиграл выборы и
142
стал мастер-браузером для сети Workgroup (сбоку пририсована папочка),
так как он работает под управлением Windows 2000 Server, который имеет
приоритет перед Windows XP. И PC1 отправляет в сеть широковещатель-
ный пакет с указанием своего имени и имени своей логической группы (ло-
гическую группу еще называют LAN-группой), который называется
Workgroup Announcement или Domain Announcement и которым мастер-
браузер объявляет себя в сети. После выборов компьютер PC1 отправит в
сеть другой запрос на объявления компьютеров специальным широковеща-
тельным пакетом RequestAnnouncement. Клиенты (и резервные браузеры)
начинают объявлять себя мастер-браузеру (т. е. компьютеру PC1). После
того как все компьютеры объявят себя, мастер-браузер составит список для
сетевого окружения именуемого списком обозревателя (browse list) и отпра-
вит его копию каждому резервному браузеру, т. е. компьютерам PC2 и PC5
в нашем примере. На рисунке 125 эта процедура отмечена стрелочками с
цифрой 1.
Рис. 125. Составление списка сетевого окружения
143
Теперь клиент захочет посмотреть список компьютеров в сети. Для
этого он отправляет в сеть широковещательный запрос GetBackupList 2, на
поиск мастер-браузера и получения списка резервных браузеров, на кото-
рый мастер-браузер отвечает 3 списком, который будет состоять из PC2 и
PC5. Клиент произвольно выбирает себе понравившийся бэкап-браузер и
уже у него запрашивает список компьютеров в сети 4. Резервный браузер
отвечает списком 5, и клиент публикует его в окне My Network Places, в
котором будут отражены компьютеры PC1, PC2, PC3, PC4 и PC5. Если в
этом окне зайти на любой компьютер, то клиент уже не будет обращаться к
браузеру, а будет контактировать напрямую со своим собеседником, кото-
рого он хочет посмотреть. Точно так же будет работать и доменная сеть,
когда все компьютеры домена находятся в одном сегменте. Можно сразу
сказать, что в качестве компьютера PC1 на рисунке 125 будет выступать
первый контроллер домена или другой контроллер, который держит роль
эмулятора PDC.
9.3.4. Работа нескольких обозревателей в одном сегменте

Бывают ситуации, когда необходимо разделить один физический сег-
мент на несколько логических рабочих групп, например Workgroup и
Workgroup1. Как уже сказано, при объявлении самого себя мастер-бразуер
отправляет в сеть специальный пакет Workgroup Announcement или Domain
Announcement (только если компьютер находится в домене), который слу-
шают не только клиенты своей логической группы, но и мастер-браузеры
других логических сетей. Когда мастер-браузер другой сети получает такой
пакет, он добавляет в список новую логическую группу и имя главного обо-
зревателя той сети. И если клиент захочет обратиться к компьютеру из дру-
гой LAN-группы, он от своего мастер-браузера получает список доступных
логических групп в данном сегменте и связанных с ними мастер-браузеров.
Клиент просто отправляет в сеть широковещательный пакет GetBrowserList,
но с указанием имени конкретной LAN-группы. Мастер-браузер указанной
в запросе LAN-группы возвращает клиенту список бэкап-браузеров, и вся
остальная работа сводится к работе, которая описана в предыдущей главе.
Разница лишь в том, что для каждой логической группы избирается свой
собственный мастер-браузер. И только мастер-браузер собирает названия
других логических групп и имена связанных с ними мастер-браузеров
144
(списки компьютеров других LAN-групп они не собирают, только для
своих). Эта информация будет доступна и клиенту. Выглядеть это будет
следующим образом (рис. 126).
Рис. 126. Мультисегментированная сеть

Здесь мы видим четыре LAN-группы в кружочках (NetworkA,
NetworkB, NetworkC и Domain), которые находятся в одном сегменте. Также
показаны имена мастер-браузеров (MasterA, MasterB, MasterC и DC1) для
каждой LAN-группы. Представлены широковещательные пакеты
Workgroup/Domain Announcement, которые принимают и обрабатывают все
мастер-браузеры в пределах слышимости широковещательных сообщений
(т. е. одного физического сегмента).
В содержании Workgroup Announcement или Domain Announcement
включается название LAN-группы или домена, имя мастер-браузера данной
группы и версия ОС, под которой управляется мастер-браузер конкретной
группы. Стрелочкой от DC1 к PC2 показана пересылка копии списка browse
145

list, которую мастер-браузер DC1 отправляет резервному браузеру LAN-
группы Domain. В этом списке будет отражено то, что приведено в желтом
прямоугольнике, а именно — список доступных LAN-групп и имена их ма-
стер-браузеров (эта информация не отображается в сетевом окружении).
Этот список будет отражаться в сетевом окружении у пользователя. Когда
пользователь зайдет в одну из них, он сначала свяжется с мастер-браузером
пакетом GetBackupList, чтобы получить список резервных браузеров LAN-
группы. А далее — по обычной схеме: выбирает произвольно один из ре-
зервных браузеров, от которого он уже получит список всех компьютеров в
логической группе и в последующем будет работать с этим резервным брау-
зером.
9.3.5. Работа двух логических групп в двух физических сегментах

Предположим, есть два физических сегмента сети, которые соединены
между собой посредством маршрутизатора (роутера), как это показано на
рисунке 127.
Рис. 127. Два соединенных физических сегмента сети

Здесь представлены две логические группы (LAN-группы), которые
называются Workgroup и MyGroup. Каждая группа находится в своем физи-
ческом сегменте, и эти сегменты соединены между собой маршрутизато-
ром. Каждая LAN-группа сама по себе будет работать так, как описано в
п. 9.3.3. Но как быть, если необходимо просмотреть список компьютеров
группы MyGroup из LAN-группы Workgroup? Как известно, каждый мастер-
браузер объявляет себя другим мастер-браузерам в сегменте путем широко-
вещательного сообщения Workgroup Announcement. Но маршрутизатор не
146
пропустит через себя этот пакет в другую сеть (маршрутизаторы не перена-
правляют широковещательные сообщения), а значит, мастер-браузер сети
Workgroup не узнает, что в сети существует LAN-группа MyGroup и кто в
ней является мастер-браузером. К сожалению (а может и к счастью), в усло-
виях рабочей группы не существует механизмов для просмотра списка ком-
пьютеров из другого физического сегмента сети.
9.3.6. Работа одной логической группы

в двух физических сегментах
Допустим, у нас есть два сегмента сети, которые соединены маршрути-
затором, но все компьютеры в этих сегментах состоят в одной LAN-группе
под названием Workgroup (рис. 128).
Рис. 128. Единый логический сегмент сети

Так же как и в предыдущем примере, здесь существует маршрутизатор,
который не будет пропускать из одного сегмента сети в другой широкове-
щательные пакеты объявления выборов, объявления мастер-браузеров
и т. д. В данном случае схема вырождается в предыдущий пример, т. е. в
сети получаются две независимые LAN-группы, в каждой из которых будут
проходить свои выборы и будет свой мастер-браузер со своим набором ре-
зервных браузеров. На компьютерах PC3 и Comp4 будет видна LAN-группа
Workgroup, но в списке будут только компьютеры из своей сети. И левая
LAN-группа Workgroup не сможет контактировать через сетевое окружение
147
с правой LAN-группой Workgroup, и наоборот. Хотя имена у них будут оди-
наковые, но никакой взаимосвязи на уровне сетевого окружения у них не
будет, т. е. это будут просто две изолированные группы с совпадающим
названием, как и в предыдущем примере.
9.3.7. Работа сетевого окружения в домене,

поделенного на сегменты маршрутизатором
Итак, в среде рабочей группы с маршрутизатором LAN-группы, нахо-
дясь в разных сегментах сети, не могут общаться между собой через сетевое
окружение. Если в сети реализован домен, появляется возможность вос-
пользоваться особым функционалом доменного мастер-браузера, которым
не обладают остальные мастер-браузеры. Рассмотрим рисунок 129.
Рис. 129. Структура домена сети

В каждом физическом сегменте (SubnetA, SubnetB, SubnetC, SubnetD)
объявляются выборы мастер-браузера, которые вне зависимости от реали-
148
зации имеют одну и ту же схему. После окончания выборов в каждой под-
сети назначается свой мастер-браузер (MasterA, MasterB, MasterC и DC1).
DC1, являясь держателем роли эмулятора PDC, становится доменным обо-
зревателем — Domain Master Browse Server. После окончания выборов каж-
дый мастер-браузер должен объявить себя и свою LAN-группу остальным
мастер-браузерам широковещательным пакетом Domain Announcement. Так
как здесь домен, а не рабочая группа, все компьютеры в домене входят в
одну LAN-группу, которая совпадает с именем домена (он называется
MyDomain). Если посмотреть на рисунок 129, видно, что этот пакет дойдет
только до маршрутизатора (Router), и его никто в соседних сетях не услы-
шит, и никто никогда так и не узнает о существовании, например, MasterA
в подсети SubnetA, кроме членов этой подсети. NetBIOS обычно разрешает
имена тоже путем отправки в сеть широковещательного пакета. Поэтому
нужен какой-то дополнительный механизм для объявления мастер-браузе-
ров и разрешения имен (в частности разрешения имени доменного обозре-
вателя). В качестве этого механизма будет выступать система WINS
(Windows Internet Name Service).
На заметку: WINS выполняет практически те же функции, что и DNS
(Domain Name Service), с той лишь разницей, что DNS разрешает доменные
имена компьютеров в IP-адреса, а WINS разрешает NetBIOS-имена в IP-ад-
реса. В качестве транспорта служба сетевого обозревателя (окружения) ис-
пользует только NetBIOS. Так как DNS не занимается разрешением
NetBIOS-имен, то этим будет заниматься именно WINS.
WINS работает по схожей схеме, как и DNS. Он имеет свою таблицу
сопоставления NetBIOS-имен компьютеров их IP-адресам. В доменных се-
тях разрешение имен путем широковещания зачастую будет осложнено
маршрутизаторами, поэтому на каждом компьютере необходимо прописы-
вать адрес WINS-сервера. Если в сети развернут протокол динамической
настройки клиентов DHCP (Dynamic Host Configuration Protocol), сервер
DHCP будет сам выдавать клиентам вместе с их IP-адресом и адрес WINS-
сервера. При наличии его адреса клиент получает возможность разрешить
NetBIOS-имя любого компьютера в домене в его IP-адрес путем простого
прямого (не широковещательного) запроса WINS-сервера. Итак, первая
проблема — разрешение имен — решается при помощи внедрения в сеть
WINS-сервера (Windows Internet Name Service).
149
Другая проблема — как узнать, кто в сети является доменным обозре-
вателем? Ведь только доменный обозреватель может собирать списки ком-
пьютеров со всех подсетей домена в единый список домена, который будет
включать все компьютеры домена. Для этой задачи будет также задейство-
ван сервер WINS. Контроллер домена, держащий роль эмулятора PDC, мо-
жет себя регистрировать на WINS-сервере как доменный мастер-браузер.
Остальные же компьютеры (вне зависимости от их роли браузера или кли-
ента) себя регистрируют на WINS-сервере просто как компьютеры. И кли-
енты могут прямым запросом сервера WINS выяснить имя и IP-адрес до-
менного обозревателя и уже прямым сообщением (которое маршрутизатор
пропустит в другую сеть) объявить себя и свою подсеть доменному мастер-
браузеру.
Предположим, что в WINS уже есть таблица сопоставления NetBIOS-
имен всех компьютеров домена. Тогда доменный мастер-браузер регистри-
рует себя особым образом на WINS-сервере и объявляет себя доменным ма-
стер-браузером для всего домена. Например, в подсети SubnetA закончи-
лись выборы, и компьютер MasterA стал для этой сети мастер-браузером.
Сперва он объявляет себя в своем сегменте и посылает в свою сеть широко-
вещательный запрос RequestAnnouncement, сообщая остальным компьюте-
рам его LAN-группы, в котором сообщает свой новый статус мастер-брау-
зера. Когда список browse list будет составлен и его копия будет выдана
всем резервным обозревателям сегмента, мастер-браузер должен себя объ-
явить перед доменным мастер-браузером. Для этого он сначала пробует ши-
роковещательным запросом найти доменного обозревателя. Так как стоит
маршрутизатор, этот запрос останется без ответа. Тогда мастер-браузер об-
ратится к серверу WINS с запросом: есть или нет в сети доменный мастер-
браузер. Если он есть (контроллер домена включен), то WINS отвечает име-
нем доменного обозревателя (т. е. DC1). Получив имя, мастер-браузер сети
SubnetA попытается разрешить имя DC1 в IP-адрес при помощи того же сер-
вера WINS. Получив IP-адрес, мастер-браузер MasterA отправляет прямой
(не широковещательный) пакет MasterBrowserAnnouncement доменному
обозревателю с указанием своего имени. После чего доменный мастер-брау-
зер запросит копию списка всех компьютеров (browse list) в удаленном сег-
менте (SubnetA) и по получении этого списка доменный обозреватель его
150
обработает и включит все компьютеры из этой сети в общий доменный спи-
сок. Доменный список будет содержать одноуровневый список всех компь-
ютеров в домене без их деления по физическому расположению, так как все
компьютеры являются членами одного домена. После этого доменный ма-
стер-браузер отправляет мастер-браузеру сети SubnetA свою копию browse
list списка, который будет включать все компьютеры в сети, которые под-
ключены к сети и успели себя объявить либо напрямую, либо через проме-
жуточные мастер-браузеры. Такая же процедура будет происходить и в от-
ношении остальных подсетей, которые находятся за маршрутизатором.
9.3.8. Работа сетевого окружения при отключении компьютеров

от сети
Осталось рассмотреть поведение сети и сетевого окружения, когда
компьютеры выходят из сети как в штатном режиме (т. е. корректно), так и
в аварийном (например, отключилось питание или компьютер просто от-
ключен от цифровой сети).
Отключение от сети обычного клиента (не браузера). Известно, что,
объявив себя однажды перед мастер-браузером, клиент обязан периодически
(с интервалом от одной до 12 мин) сообщать о себе мастер-браузеру. Если же
клиент три раза подряд не объявил себя, мастер-браузер вычеркивает (уда-
ляет) этот компьютер из списка обозревателя. Ввиду того, что интервал объ-
явления может достигать 12 мин, существует реальная возможность, что этот
компьютер будет фигурировать еще целых 36 мин в списке обозревателя,
хотя в сети его уже давно нет. Участники других сетей могут считать компь-
ютер «живым» до 72 мин после выведения компьютера из сети.
Выключение резервного обозревателя. Если резервный обозреватель
отключается от сети корректно, он об этом извещает мастер-браузер, кото-
рый его сразу же вычеркивает из списка резервных браузеров. В остальном
же время фигурирования выключенного резервного браузера от сети будет
таким же, как и для обычного клиента. Если же резервный браузер внезапно
отключился от сети, то первыми его отсутствие заметят клиенты, которых
обслуживал этот браузер, так как по правилам, если резервный браузер не
ответил клиенту на три подряд запроса, то клиент вычеркивает его из списка
и пытается связаться с другим резервным браузером. Временные задержки
151
очистки списка окружения будут такими же, как и в случае клиента, т. е.
в своей подсети — до 36 мин, для других подсетей — до 72 мин.
Выключение главного обозревателя. Когда мастер-браузер корректно
завершает свою работу, он отправляет в сеть широковещательный пакет
ForceElection, который извещает участников сети о внеочередных перевы-
борах. Если же мастер-браузер выключился внезапно, то первыми могут за-
метить его отсутствие резервные браузеры, которые получают от него ко-
пии списков обозревателя. Если мастер-браузер в течение 12 мин не отпра-
вил резервному браузеру копию списка обозревателя, этот резервный брау-
зер отправит в сеть сигнал о внеочередных перевыборах. Если же в сети не
будет ни одного резервного обозревателя, то будут задействованы потенци-
альные обозреватели или клиенты, которые способны запустить службу
«Браузер компьютеров» (служба должна быть в режиме запуска «Вруч-
ную»). Если же и таких нет, то сетевое окружение станет недоступным.
Выключение доменного обозревателя. Если отключается от сети (по
любой причине) доменный мастер-браузер, новые выборы не объявляются.
Дело в том, что в доменной модели Active Directory может быть несколько
или очень много равноправных контроллеров домена. Они равноправны
практически во всем, кроме пяти ролей FSMO, одной из которых является
роль эмулятора PDC. В любой момент времени во всем домене может быть
не более одного эмулятора PDC. И при его отключении другие контроллеры
домена не могут повысить свою роль до эмулятора PDC сами по определен-
ным причинам. Передать роль может только вручную системный админи-
стратор домена (и то, только при полной уверенности, что «упавший» кон-
троллер больше не вернется в строй никогда). Если мастер-браузеры не смо-
гут получить копии списка компьютеров всего домена, мастер-браузеры в
каждой подсети удаляют из своих списков компьютеры, которые находятся
в других сетях, и поддерживают только списки тех компьютеров, которые
находятся в их сети. При этом сетевое окружение домена дробится на не-
сколько (в зависимости от количества подсетей) изолированных рабочих
групп, которые не смогут контактировать друг с другом через сетевое окру-
жение, а только напрямую, по известному имени удаленного компьютера.
Внимание! Системным администраторам не следует без особой необ-
ходимости передавать роль эмулятора PDC (равно как и остальные четыре
152
роли: хозяин схемы, хозяин операций, RID-master и хозяин инфраструк-
туры) при временном выведении держателя любой из этих ролей. Дело в
том, что при захвате этих ролей при помощи утилиты ntdsutil контроллер,
который раньше держал любую из этих ролей, в домен возвращать нельзя,
пока с него не будет полностью удалена база Active Directory. Поэтому при-
нудительный захват этих ролей следует производить лишь при полной уве-
ренности, что контроллер, несущий эти роли, стандартными методами вос-
становить не удастся, а только как минимум полным удалением базы Active
Directory или полной переустановкой системы. Поэтому, если временно вы-
веден из строя эмулятор PDC, не передавайте эту роль другим контролле-
рам.
153
10. ИЕРАРХИЯ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП
Рассмотрим создание иерархии пользователей на примере вымышлен-

ного предприятия PetroGroup (рис. 130).
Для начала создадим соответствующее подразделение в нашем домене.
Рис. 130. Новый объект

В подразделении создадим для примера два вложенных подразделения:
«Бухгалтерия» и «ОтделКадров» (рис. 131).
Рис. 131. Новый объект
154
Дальнейшая работа будет производиться с подразделением «Бухгалте-
рия», подразделение «ОтделКадров» нужно будет заполнить пользовате-
лями самостоятельно.
10.1. Пользователи и группы

Создадим простого пользователя в нашем подразделении (имя — «Пет-
ров», логин — petrov) (рис. 132).
Создадим второго пользователя, который в дальнейшем будет админи-

стратором в данном подразделении (имя — admin1, логин — admin1)
(рис. 133).
155
Создадим для нашего пользователя группу безопасности Buhgaltery
(в перспективе в группу могут входить все остальные рядовые пользова-
тели, кроме администратора подразделения) (рис. 134).
Рис. 134. Группа
156
Добавим нашего пользователя «Петров» в эту группу. Кликнем по про-
филю petrov правой клавишей мыши, далее выберем «Добавить в группу» и
напишем название нужной группы Buhgaltery.
10.2. Каталоги и профили

Теперь создадим папку нашей компании PetroGroup на локальном
диске с двумя вложенными папками с соответствующими названиями
(рис. 135).
Рис. 135. Свойства объекта
Далее создадим дополнительно папку PetroProf, в которой будут хра-

ниться все наши профили.
Далее нам нужно открыть общий доступ папки PetroProf, а также запи-
сать как совладельцев группу Buhgaltery (в дальнейшем каждую дополни-
тельно созданную группу нужно будет добавлять как совладельца, если мы
хотим, чтобы профили пользователей добавляемой группы хранились
именно в этой папке) (рис. 136).
157
Рис. 136. Общий доступ
Далее запоминаем сетевой адрес открытой папки и прописываем его
как путь к профилю для нашего пользователя admin1 (рис. 137 и 138).
Рис. 137. Настройка доступа
158
Рис. 138. Профиль
Повторите операцию для второго пользователя «Петров».
Всё, профили пользователей созданы, теперь можно приступить к со-
зданию рабочих папок пользователей, общей рабочей папки и папки адми-
нистратора в папке «Бухгалтерия». Это позволит пользователям хранить
нужные документы в своих папках и знакомиться с необходимыми доку-
ментами в общей папке (открытыми только для чтения). Администратору
же такая структура позволит просматривать все рабочие папки с наимень-
шими затратами времени (рис. 139).
Рис. 139. Каталог профиля
159
Создадим две папки в папке «Бухгалтерия», соответственно для каж-
дого из пользователей (рис. 140).
Рис. 140. Каталог группы
10.3. Настройка безопасности

Теперь нам осталось только распределить права доступа для каждой из
папок так, чтобы администратор мог управлять всеми папками, пользова-
тели только своей, а также могли заходить в «Общую папку», открытую
только для чтения.
Для распределения прав доступа нужно зайти в свойства папки и вы-
брать вкладку «Безопасность» (рис. 141).
Рис. 141. Настройка безопасности
160
В свойствах безопасности нажимаем кнопку «Изменить…».
Добавим в список пользователей нашего администратора admin1 и
назначим ему полный доступ (рис. 142).

Для группы Buhgaltery полностью запретим доступ к папке админи-
стратора, чтобы ни один из пользователей не смог в нее попасть (рис. 143).
161
Примечание: распределяя права доступа, помните, что операция за-
прета доступа имеет высший приоритет по сравнению с операцией разре-
шения доступа.
Теперь пробуем зайти под каждым из пользователей и смотрим, какие
права есть у каждого, для примера можно попробовать открыть каждую из
папок пользователей и общую папку, далее в тех папках, которые будут до-
ступны, попытаться создать любой документ.
Примечание: администратор домена/сервера имеет возможность до-
бавлять любых пользователей в группы администраторов/операторов сер-
вера.
Для этого необходимо, зайдя под пользователем, являющимся админи-
стратором домена, добавить нужного нам пользователя в группу, наделен-
ную полномочиями, которыми мы хотим наделить нашего пользователя.
В нашем примере мы добавим пользователя admin1 в группу «Операторы
учета» (рис. 144, 145 и 146).
Рис. 144. Свойства профиля
162

Рис. 145. Результаты поиска
Рис. 146. Успешное добавление

После успешного завершения операции добавления попробуем зайти
под этой учетной записью на сервер. Выберем на экране выбора пользова-
теля «Другой пользователь», введем логин пользователя и соответствую-
щий пароль (рис. 147).
163
Рис. 147. Вход в систему
Если все операции были выполнены корректно, система настроит лич-
ные параметры для пользователя admin1.
Теперь мы можем управлять учетными записями сервера, заходя не
только под учетной записью администратора, но и под новой учетной запи-
сью пользователя admin1.
Можно создавать/удалять пользователей, распределять права доступа
и т. д. (рис. 148).
Рис. 148. Члены группы
164
На рисунке 148 показана завершенная операция добавления пользова-
теля «Иванов» в группу Buhgaltery пользователем admin1.
Далее следует проверить работу перенаправления папок. Для этого
нужно:
– зайти под учетной записью пользователя admin1 на сервер, создать
любой документ на рабочем столе;
– зайти на клиентскую машину под учетной записью пользователя ad-
min1 и удостовериться в наличии ранее созданного документа на рабочем
столе.
Таким образом демонстрируется работа перемещаемых папок.
Ознакомительная часть по созданию иерархии пользователей на этом
заканчивается, для самостоятельной тренировки предлагается выполнить
следующие задания.
1. Создать в подразделении «Бухгалтерия» и добавить в существую-
щую группу Buhgaltery дополнительно одного простого пользователя,
настроить для него права доступа таким образом, чтобы пользователь имел
собственную рабочую папку в папке «Бухгалтерия», имел права только на
чтение в «Общей папке», как и все пользователи не имел доступа к папке
администратора.
2. Создать аналогичную «Бухгалтерии» структуру для подразделения
«ОтделКадров», включающую в себя:
– несколько рядовых пользователей, имеющих свои рабочие папки, а
также права на чтение «Общей папки»;
– группу безопасности для этих пользователей;
– администратора, имеющего доступ к папкам всех пользователей
группы «ОтделКадров».
165
ЗАКЛЮЧЕНИЕ
Все виртуальное пространство во Всемирной паутине структуриро-

вано. Любой адрес, как и адрес дома или квартиры в реальности, обозначает
местоположение ресурса в Интернете. Положение любого сайта, корпора-
тивного портала, разделяемого ресурса и т. п. в сети четко регламентиро-
вано. Оно задается с помощью доменного имени.
Под именем домена понимают буквенно-символьное обозначение, ко-
торое служит для идентификации принадлежности ресурса к определенной
административной зоне в Интернете. Каждая из таких зон называется до-
менной.
Внутри Всемирной паутины существует четкая иерархия вложенности
подконтрольных доменов в основные. Эта зависимость отражена в любом
доменном имени. Вся система доменных имен называется DNS.
В сети Интернет для идентификации сервера используется его IP-адрес.
Обработка IP-адресов на уровне клиента является трудной для реализации.
Поэтому для клиентской идентификации пользуются системой доменных
имен. За преобразование IP-адреса в доменное имя отвечают DNS-серверы.
Просмотр DNS-записей домена можно осуществить с помощью специ-
альных сервисов, густо разбросанных в сети. Одним из них является
wservice.info. Стоит отметить, что функционал данного сервиса включает в
себя еще десяток инструментов, с помощью которых можно получить раз-
нообразную техническую информацию о хостах.
Из DNS-записей можно узнать о географическом положении домена,
привязанных к нему IP, а также адрес почтового сервера и другие данные.
Более подробное описание значения всех полей записей DNS-сервера
можно получить из технической документации.
Каждое доменное имя показывает принадлежность сайта к той или
иной зоне Интернета. Самый верхний его элемент находится в конце. По-
этому доменное имя читается справа налево. В записях DNS-сервера ис-
пользуется полное доменное имя.
Оно включает в себя следующие части.
Домен верхнего уровня — корневой элемент, состоит из точки. Ею
обозначается начальная безымянная зона домена.
166
Домен первого уровня — первый элемент имени, находящийся в са-
мом конце. Он может отражать как принадлежность домена к определенной
сфере деятельности (com — коммерческие сайты), так и географическую
принадлежность (ru, ua).
Домен второго уровня — может задаваться владельцем домена при
регистрации. Является именем сайта. От правильности его выбора во мно-
гом зависит будущее ресурса.
Домен третьего уровня — используется при условии делегирования
доменной зоны второго уровня. Тогда название ресурса будет последним
элементом в доменном имени.
Под делегированием домена понимают передачу части доменной зоны
(чаще третьего уровня) в распоряжение другой стороны. Технически проце-
дура делегирования сводится к записи в базе данных корневого DNS-сер-
вера сведений о принадлежности части домена другому лицу, указанию ад-
реса подконтрольного сервера DNS. А также передаче определенного диа-
пазона IP-адресов, закрепленных за доменом, новой стороне.
Подбор домена для адресации собственной корпоративной информа-
ционной системы является важным этапом в жизни любой организации. Вот
несколько правил, позволяющих правильно подобрать имя домена.
Имя ресурса должно полностью отражать тематику организации.
Доменное имя должно быть коротким и легко произносимым, чтобы
пользователи могли его быстро запомнить. Если речь идет о корпоративном
ресурсе, то в его имя должно входить название компании.
Лучше, если доменное имя будет второго, а не третьего уровня. Это
также позволит пользователям быстрее запомнить адрес ресурса.
Имя не должно состоять более чем из трех слов. Иначе адрес стано-
вится слишком объемным, а потому тяжелым для восприятия и запомина-
ния.
Для подбора доменного имени можно воспользоваться специализиро-
ванными сервисами.
167
СПИСОК ЛИТЕРАТУРЫ
1. Айвенс, К. Компьютерные сети. Хитрости. — СПб. : Питер,

2006. — 298 с.
2. Анин, Б. Ю. Защита компьютерной информации. — СПб. : БХВ-
Петербург, 2000. — 384 с.
3. Архитектура компьютерных систем и сетей : учебное пособие /
Т. П. Барановская, В. И. Лойко [и др.] ; под ред. В. И. Лойко. —
М. : Финансы и статистика, 2003. — 256 с.
4. Баричев, С. Г. Основы современной криптографии / С. Г. Баричев,
Р. Е. Серов. — СПб. : Наука и Техника, 2004. — 152 с.
5. Блэк, У. Интернет: протоколы безопасности. Учебный курс. —
СПб. : Питер, 2001. — 288 с.
6. Бормотов, С. В. Системное администрирование на 100% (+CD). —
СПб. : Питер, 2006. — 256 с.
7. Ботт, Э. Эффективная работа: Windows XP / Э. Ботт, К. Зихерт. —
СПб. : Питер, 2004. —1069 с.
8. Бройдо, В. Л. Вычислительные системы, сети и телекоммуника-
ции. — СПб. : Питер, 2003. — 688 с.
9. Бэрри, Н. Компьютерные сети : пер. с англ. — М. : Восточная
Книжная Компания, 1996. — 400 с.
10. Галатенко, В. А. Стандарты информационной безопасности: курс
лекций : учебное пособие / под ред. В. Б. Бетелина. — М. :
ИНТУИТ.РУ, 2006. — 264 с.
11. Галатенко, В. А. Основы информационной безопасности: курс
лекций : учебное пособие / под ред. В. Б. Бетелина. — М. :
ИНТУИТ.РУ, 2006. — 208 с.
12. Гультяев, А. К. Виртуальные машины: несколько компьютеров в
одном (+CD). — СПб. : Питер, 2006. — 224 с.
13. Завгородний, В. И. Комплексная защита информации в компьютер-
ных системах : учебное пособие. — М. : Логос; 2001. — 264 с.
14. Иванов, В. Компьютерные коммуникации. Учебный курс. —
СПб. : Питер 2002. — 224 с.
15. Кульгин, М. В. Компьютерные сети. Практика построения. Для
профессионалов. — СПб. : Питер, 2003. — 462 с.
168
16. Матвеев, М. Д. Самоучитель Microsoft Windows XP. Все об исполь-
зовании и настройках / М. Д. Матвеев, М. В. Юдин, А. В. Куприя-
нова ; под ред. М. В. Финкова. — СПб. : Наука и Техника, 2006. —
624 с.
17. Могилев, А. В. Информатика : учебное пособие / А. В. Могилев,
Н. И. Пак, Е. К. Хеннер ; под ред. Е. К. Хеннера. — М. : Издатель-
ский центр «Академия», 2004. — 848 с.
18. Назаров, С. В. Администрирование локальных сетей Windows
NT/2000/.NET : учебное пособие. — М. : Финансы и статистика,
2003. — 480 с. ; 2005. — 320 с.
19. Гук, М. Аппаратные средства локальных сетей : энциклопедия. —
СПб. : Питер, 2004. — 573 с.
20. Новиков, Ю. В. Основы локальных сетей: курс лекций : учебное по-
собие / Ю. В. Новиков, С. В. Кондратенко. — М. : ИНТУИТ.РУ,
2005. — 360 с.
21. Олифер, В. Г. Компьютерные сети. Принципы, технологии, прото-
колы / В. Г. Олифер, Н. А. Олифер. — СПб. : Питер, 2006. — 958 с.
22. Олифер, В. Г. Основы сетей передачи данных: курс лекций : учеб-
ное пособие / В. Г. Олифер, Н. А. Олифер. — М. : ИНТУИТ.РУ,
2005. — 176 с.
23. Пасько, В. П. Энциклопедия ПК. Аппаратура. Программы. Интер-
нет. — Киев : Издательская группа BHV ; СПб. : Питер, 2004. —
800 с.
24. Поляк-Брагинский, А. В. Администрирование сети на примерах. —
СПб. : БХВ-Петербург, 2005. — 320 с.
25. Пятибратов, А. П. Вычислительные системы, сети и телекомму-
никации : учебник / А. П. Пятибратов, Л. П. Гудыно, А. А. Кири-
ченко ; под ред. А. П. Пятибратова. — М. : Финансы и статистика,
2004. — 512 с.
26. Информатика. Базовый курс / под ред. С. В. Симоновича. — СПб. :
Питер, 2003. — 640 с.
27. Станек, У. Р. Microsoft Windows XP Professional. Справочник ад-
министратора : пер. с англ. — М. : Русская редакция, 2003. — 448 с.
28. Столлингс, В. Современные компьютерные сети. — СПб. : Питер,
2003. — 783 с.
169
29. Таненбаум, Э. Компьютерные сети. — СПб. : Питер, 2003. — 992 с.
30. Таненбаум, Э. Современные операционные системы. — СПб. : Пи-
тер, 2004 — 1040 с.
31. Холмогоров, В. Тонкая настройка Windows XP. — СПб. : Питер,
2006. — 288 с.
32. Шнаер, Б. Секреты и ложь. Безопасность данных в цифровом
мире. — СПб. : Питер, 2003. — 368 с.
33. Щеглов, А. Ю. Защита компьютерной информации от несанкцио-
нированного доступа. — СПб. : Наука и Техника, 2004. — 384 с.
170
Антон Евгеньевич ЖУРАВЛЕВ,
Андрей Владимирович МАКШАНОВ,
Любовь Николаевна ТЫНДЫКАРЬ
КОРПОРАТИВНЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
АДМИНИСТРИРОВАНИЕ СЕТЕВОГО ДОМЕНА
Учебное пособие
Зав. редакцией
литературы по информационным технологиям
и системам связи О. Е. Гайнутдинова
Ответственный редактор Т. С. Спирина
Корректор Н. А. Крылова
Выпускающий Т. А. Быченкова
ЛР № 065466 от 21.10.97
Гигиенический сертификат 78.01.10.953.П.1028
от 14.04.2016 г., выдан ЦГСЭН в СПб
Издательство «ЛАНЬ»
lan@lanbook.ru; www.lanbook.com;
196105, СанктПетербург, пр. Юрия Гагарина, д. 1, лит. А
Тел.: (812) 4129272, 3362509.
Бесплатный звонок по России: 88007004071
Подписано в печать 03.09.20.

Бумага офсетная. Гарнитура Школьная. Формат 60×90 1/16.
Печать офсетная. Усл. п. л. 10,75. Тираж 30 экз.
Заказ № 83220.
Отпечатано в полном соответствии
с качеством предоставленного оригиналмакета
в АО «Т8 Издательские Технологии».
109316, г. Москва, Волгоградский пр., д. 42, к. 5.

Корпоративные Информационные Системы Администрирование Сетевого

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Корпоративные Информационные Системы Администрирование Сетевого

Загружено:

Авторское право:

Доступные форматы

А. Е.

Ж 91 Журавлев А. Е. Корпоративные информационные системы. Адми

В учебном пособии в виде практикума излагаются элементы общей теории и

© Издательство «Лань», 2020

Важнейшей сферой профессиональной деятельности специалистов в

Виртуализация — это изоляция вычислительных процессов и ресурсов

1.1. Виртуальная машина VMware

1.2. Краткие сведения о среде

Рис. 1. VMware Workstation

Рис. 3. Создание виртуального окружения

Рис. 6. Рабочий стол Windows 8

Рис. 7. Управление виртуальными окружениями

Рис. 8. Облачное окружение

Рис. 10. Виртуализация

Рис. 12. Управление разрешениями

Powered by TCPDF (www.tcpdf.org)

Рис. 13. Расширенная графика

1.3. Создание виртуальной машины

Рис. 14. Создание виртуальной машины

Рис. 16. Выбор сети

2.1. Обзор Windows Server

2.1.1. Обзор редакций

Рис. 17. Windows Server 2008 R2 Datacenter

Рис. 18. Windows Server 2008 R2 Enterprise

Рис. 19. Windows Server 2008 R2 Standard

Рис. 20. Windows Web Server 2008 R2

Рис. 21. Windows HPC Server 2008

Рис. 22. Windows Server 2008 R2 Itanium

Windows Server 2008 R2 Foundation — это недорогое и экономичное

Рис. 23. Windows Server 2008 R2 Foundation

2.1.2. Компоненты Windows Server

2.2. Установка операционной системы

Рис. 26. Завершение установки ОС

Примечание: пароль администратора должен состоять минимум из

2.3. Управление паролями (политика паролей)

Рис. 28. Настройка политики безопасности

Рис. 29. Локальная политика безопасности

3.1. Сетевые адаптеры в Windows

Powered by TCPDF (www.tcpdf.org)

3.1.1. Скрытые сетевые адаптеры в Windows

3.2. Основные проблемы при работе с сетью

3.2.1. В диспетчере устройств отсутствует сетевой адаптер

3.2.2. Драйвера устройств

3.3. Настройка сетевого подключения

Рис. 31. Подключение по локальной сети

DNS (Domain Name System — система доменных имен) — компьютер-

4.1. Основные теоретические сведения

4.2. Терминология и принципы работы

4.3. Установка и настройка роли

Рис. 33. Доступные роли

Рис. 35. Роль DNS

Рис. 37. Результаты установки ролей

Powered by TCPDF (www.tcpdf.org)

Active Directory (AD) — LDAP-совместимая реализация службы ката-

Рис. 39. Доменная модель безопасности

5.1. Назначение службы каталогов Active Directory

Рис. 40. Пример дерева

5.1.2. Организационные подразделения (ОП)

5.1.3. Глобальный каталог

5.1.4. Именование объектов

5.2. Планирование пространства имен AD

Рис. 41. Один домен, одна зона

Рис. 42. Один домен, две зоны

Важный момент: данные зоны никак между собой не связаны — ни

Ж 91 Журавлев А. Е. Корпоративные информационные системы. Адми