Операционные системы, среды и оболочки

  • Вид работы:
    Методичка
  • Предмет:
    Информационное обеспечение, программирование
  • Язык:
    Русский
    ,
    Формат файла:
    MS Word
    4,19 Мб
  • Опубликовано:
    2012-06-04
Вы можете узнать стоимость помощи в написании студенческой работы.
Помощь в написании работы, которую точно примут!

Операционные системы, среды и оболочки













Методические указания к проведению практических занятий по дисциплине «Операционные системы, среды и оболочки»


Составитель В. А. Карповский









Владимир 2009

УДК 681.3.06 ББК 32.973 М54

Рецензент Доктор технических наук, профессор зав. кафедрой информатики и защиты информации Владимирского государственного университета М.Ю. Монахов

Печатается по решению редакционного совета Владимирского государственного университета

Методические указания к проведению лабораторных ра- М54 бот по дисциплине «Операционные системы, среды и оболочки» / Владим. гос. ун-т ; сост. В. А. Карповский. - Владимир : Изд-во Владим. гос. ун-та, 2009. - 56 с.

Приведены методические указания к лабораторным работам по дисциплине «Операционные системы, среды и оболочки». Использована технология виртуальных машин, позволяющая при проведении лабораторных работ в компьютерном классе моделировать условия работы реальной компьютерной сети предприятия на основе домена. Лабораторные работы охватывают наиболее важные темы и направлены на формирование у обучаемыйов базовых навыков эффективного использования операционных систем в компьютерной сети предприятия.

Предназначены для обучаемыйов 2 - 3-го курсов специальности 080801 - прикладная информатика в экономике очной и заочной форм обучения.

УДК 681.3.06 ББК 32.973

Предисловие

Парадокс программного обеспечения состоит в том, что простота и удобство для конечных пользователей достигаются за счет совершенствования программных средств и внутреннего усложнения [1].

Это в полной мере относится к операционным системам, составляющим основу, платформу вычислительной системы.

Специалисты в области информатики обязаны уметь эффективно использовать сложные современные операционные системы в условиях предприятия, обеспечивать надежность и безопасность работы пользователей, а также надежное сохранение данных и их безопасность. В соответствии со стандартом дисциплины «Операционные системы, среды и оболочки» вопросам эффективного использования операционных систем уделено значительное внимание как в теоретической, так и в практической частях курса, читаемого обучаемым специальности 080801 - прикладная информатика в экономике.

Большая проблема при преподавании данной дисциплины и проведении практических и лабораторных занятий связана с тем, что для полноценного изучения операционных систем на реальной аппаратуре необходимо обладать правами администратора - только в этом случае доступны функции настройки и администрирования операционной системы. Однако в реальной обстановке учебного компьютерного класса такими правами обучаемого наделять нельзя. Кроме того, при изучении систем надо выполнять множество действий и настроек учебного плана, неприемлемых для реальной системы.

Для проведения практических занятий используется технология виртуальной машины. Она позволяет создать на базе обычного компьютерного класса, в котором для обучаемых установлены права простого пользователя, не имеющего возможности изменять настройки системы, полнофункциональную виртуальную компьютерную сеть предприятия на основе домена, в которой обучаемый является администратором.

При этом администрирование и настройка виртуальных объектов никак не влияет на реальную систему и не представляет для неё опасности. Виртуальная система легко переносится с компьютера на компьютер, очень просто восстанавливается в случае сбоев и неправильных настроек. Обучаемый при минимуме затрат времени может создать точную копию системы, используемой в учебной лаборатории, на своем компьютере и заниматься самостоятельно и дополнительно совершенствовать свои навыки в условиях, моделирующих реальную систему предприятия. Это делает предлагаемый методический комплекс уникальной средой для обучения работе с операционными системами, пригодной для всех форм обучения .

Виртуальная модель на единой платформе применяется преподавателем при чтении лекций, и все темы курса находят свое отражение в учебном процессе по данной дисциплине. В учебном плане предусмотрено чтение факультативных курсов по администрированию операционных систем, в которых специальные вопросы найдут свое более полное освещение.

 

Практическое занятие № 1. Установка виртуальной компьютерной сети на основе операционных систем Windows

Цель работы: создать модель компьютерной сети предприятия на основе виртуальной машины Microsoft Virtual PC.

Назначение виртуального компьютера в составе лабораторного комплекса

Применение виртуального компьютера позволяет создать гибкую в настройках и безопасную для реального компьютера среду, в которой обчаемый обладает правами администратора, и изучать все аспекты применения операционных систем без вмешательства в настройки реального (физического) компьютера. Это создает уникальные возможности для изучения любых ОС в составе сети предприятия без необходимости их установки на реальном компьютере.

Под управлением основной системы могут быть одновременно запущены любые операционные системы, и процесс изучения ОС, приобретения и тестирования навыков проходит эффективно. Изолированность виртуальной машины от основной операционной системы исключает возможность распространения вирусов или срабатывания вредоносных механизмов исследуемого программного обеспечения.

Виртуальный компьютер представлен файлами на диске реального компьютера и может быть легко перенесен с одного компьютера на другой.

Виртуальную машину с нужным набором программного обеспечения в течение нескольких минут можно установить на все машины компьютерного класса. Если обучаемый в процессе освоения преподаваемых технологий умышленно или нечаянно разрушит подопытную среду, то для восстановления поврежденной виртуальной машины из резервной копии понадобится всего несколько минут. При выполнении практических занятий все тестовые сети и компьютеры, находящиеся внутри них, создают, используя средства комплекса виртуальных машин.

Указания к выполнению практического занятия

Создание виртуальных компьютеров для лабораторного комплекса необходимо выполнить в следующей последовательности.

1.  Реализуйте действия, необходимые для установки Microsoft Virtual PC 2004/2007 на компьютере учебного класса с операционной системой Windows XP или Windows Vista. Установка выполняется путем запуска установочного файла setup.exe из дистрибутива Microsoft Virtual PC 2004/2007, являющегося бесплатным и свободно распространяемым продуктом.

При запуске виртуальной машины появляется консоль управления виртуальными компьютерами (рис. 1.1), предоставляющая возможность установки любых операционных систем и работы с ними после установки как по отдельности, так и в составе компьютерной сети.

2.  Для установки операционной системы на виртуальной платформе необходимо выбрать пункт New и далее Create a virtual machine. При переносе уже имеющейся машины на другой компьютер выбирают пункт Add an existing virtual machine, позволяющий добавить в данный контейнер ранее созданный виртуальный компьютер.

Рис. 1.1. Выбор варианта установки виртуального компьютера

При установке выбирают объем оперативной памяти, достаточный для функционирования устанавливаемой ОС, и вариант создания жесткого диска машины, как это показано на рис. 1.2 и 1.3.

Рис. 1.2. Выбор объема оперативной памяти виртуальной машины

Рис. 1.3. Выбор варианта создания жесткого диска виртуальной машины

Машину можно установить на новый виртуальный жесткий диск (A new virtual hard disk) или использовать диск, созданный ранее (An existing virtual hard disk).

После создания новой виртуальной машины ее имя появляется в консоли и ее можно запустить для установки операционной системы (рис. 1.4).

Рис. 1.4. Запуск виртуальной машины для установки операционной системы

Для установки операционной системы необходимо иметь ее дистрибутив на CD/DVD диске или файл образа в формате ISO.

В первом случае в меню виртуального компьютера в пункте CD выберите Use physical drive, и виртуальная машина будет использовать привод реального компьютера. При наличии ISO-образа выбирают пункт Capture ISO image и указывают соответствующий файл.

Далее установка операционной системы ничем не отличается от ее установки на реальном компьютере.

При установке ОС необходимо указать размер виртуального жесткого диска, достаточный для операционной системы и предполагаемого к установке ПО, а при форматировании диска обязательно выберите опцию Форматировать раздел в системе NTFS. Далее при установке следует выбирать стандартные настройки, предлагаемые по умолчанию. По окончании установки системы новый виртуальный компьютер появляется в консоли управления виртуальной машиной и может быть запущен кнопкой Start.

Аналогично устанавливается операционная система Windows Server 2003. Здесь выбирают все варианты по умолчанию, так как настройки сети и серверов предполагается выполнить на следующих практических занятиях.

4. Среда, моделирующая компьютерную сеть предприятия, образуется при одновременном запуске виртуальных машин с серверной и клиентской операционными системами. Для организации сетевого взаимодействия виртуальных компьютеров необходимо настроить виртуальные сетевые соединения. Для этого используется раздел Settings установки параметров Virtual PC, в котором предусмотрено несколько режимов настройки сети. Для того чтобы создать изолированную от реальной системы виртуальную сеть, выбирают режим Local only (рис. 1.5), в котором виртуальные машины взаимодействуют только между собой.

Рис. 1.5. Выбор варианта сетевого взаимодействия виртуальных машин

Далее необходимо настроить протокол TCP/IP на сервере и клиентской машине. Настройка протокола TCP/IP на сервере сводится к установлению постоянного (статического) IP-адреса виртуального компьютера с операционной системой Windows Server. Для этого открывают окно свойств подключения по локальной сети и выбирают компонент Протокол Интернета (TCP/IP) (рис. 1.6). Настраивают свойства протокола, установив IP-адрес 192.168.1.1 и маску сети 255.255.255.0. Аналогично задается IP-адрес для клиентской машины. Установим его равным 192.168.1.10. В качестве шлюза по умолчанию указывают адрес сервера.

. Проверим взаимодействие виртуальных компьютеров по сети. Для этого в режиме командной строки (Пуск/Выполнить/cmd.exe) введем команду проверки функционирования сети: ping 192.168.1.1 на машине-клиенте и ping 192.168.1.10 на сервере.

Если сетевые адаптеры и протоколы взаимодействуют верно, то результаты выполнения команд будут показывать наличие обмена данными.

Рис. 1.6. Выбор протокола TCP/IP для настройки IP-адресов

Таким образом, мы получили рабочий макет стандартной схемы локальной сети масштаба предприятия. Для простоты понимания учебного примера проведена миниатюризация: в каждую сеть помещен только один компьютер. Этого достаточно для демонстрации работы ОС при её изучении в составе лабораторного комплекса.

Задание на выполнение практического занятия

Одна из бригад обучаемыйов, выбранная преподавателем, выполняет следующее задание.

1.  Установить виртуальную машину.

2.  Установить на виртуальном компьютере операционную систему Windows XP или Windows Vista.

3.  Установить на следующем виртуальном компьютере операционную систему Windows Server 2003 или Windows Server 2008.

4.  Настроить сетевое соединение компьютеров.

5.  Проверить взаимодействие компьютеров через сеть.

6.  Создать копии файлов виртуальных машин на мобильном запоминающем устройстве - DVD-диске или Flash-носителе.

Остальные бригады обучаемыйов получают копии файлов виртуальных машин и создают на их основе виртуальные машины на своих рабочих местах.

Каждая бригада отчитывается перед преподавателем, демонстрируя работу виртуальных компьютеров, установленных на рабочем месте обучаемыйа.

Контрольные вопросы

1.  Назовите преимущества использования виртуальной машины при изучении операционных систем.

2.  Назовите основные шаги установки виртуального компьютера.

3.  Как установить виртуальную машину с параметрами по умолчанию?

4.  Как установить виртуальную машину с использованием файлов уже имеющейся виртуальной машины?

5.  Назовите способы установки операционных систем на виртуальную машину.

6.      Каким образом выбирают режимы работы сетевых адаптеров виртуальной машины?

7.  Каким образом можно установить созданную виртуальную машину на другом компьютере?

8.  Почему в качестве файловой системы виртуальных машин необходимо выбирать систему NTFS?

 

Практическое занятие № 2. Установка и настройка домена

Цель работы: научить обучаемых устанавливать и настраивать домен на основе операционной системы Windows Server.

Указания к установке контроллера домена

Установка контроллера домена выполняется на компьютере с ОС Windows Server. Для этого запускают консоль Управление данным сервером в разделе Администрирование (рис. 2.1).

Рис. 2.1. Мастер настройки сервера

Выберем пункт Добавление/Удаление роли сервера для того, чтобы увидеть перечень возможных ролей сервера с указанием их наличия (Да) или отсутствия (Нет). Как видно из представленной мастером настройки информации (см. рис. 2.1), Контроллер домена (Active Directory) не установлен, не настроены также необходимые в домене служба имен (DNS-сервер) и служба присвоения IP-адресов (DHCP-сервер). Для установки контроллера домена выберем эту роль (см. рис. 2.1) и нажмем кнопку Далее. Другой путь установки домена - запуск программы установки домена dcpromo.exe командой Выполнить, доступной после активации кнопки Пуск. Мастер настройки сервера последовательно открывает окна для выполнения требуемых настроек. Необходимы следующие операции.

В окне Выбор типа контроллера домена выберите Контроллер домена в новом домене. В окне Создать новый домен выберите Новый домен в новом лесу. Чтобы указать новое имя домена, введите имя домена, например class.pi. Далее следуйте указаниям мастера установки, оставляя предлагаемые настройки до пункта настройки службы имен на основе DNS-сервера. В окне Диагностика регистрации DNS- сервера выберите Установить и настроить DNS-сервер на этом компьютере.

На этом этапе установки потребуется диск с Service Pack1. Далее с помощью кнопки Обзор укажите на диск с дистрибутивом или подключите виртуальную машину через ее меню (пункт CD) к образу ISO. После завершения установки потребуется перезагрузка, после чего компьютер готов к выполнению роли контроллера домена. На рис. 2.2 видно, что установлены роли Контроллера домена (Active Directory), DNS-сервера и DHCP-сервера. Службы DNS и DHCP и соответствующие серверы рассматриваются в практическому занятию № 6.

Основные средства администрирования домена доступны через главное меню сервера в разделе Администрирование. В повседневной работе администратор наиболее часто использует пункт Active Directory - пользователи и компьютеры, отмеченный на рис. 2.3.

Рис. 2.2. Мастер настройки сервера после установки домена

Рис. 2.3. Раздел Администрирование домена

Следующая задача создания сети предприятия - подключение компьютера клиента к домену. Для этого на машине клиента необходимо раскрыть Мой компьютер/Свойства и перейти в раздел Имя компьютера/Изменение имени компьютера, в котором выбрать подключение к домену, набрать имя домена и ввести учетную запись администратора домена.

Если все настройки верные, через некоторое время последует сообщение «Добро пожаловать в домен class.pi» (рис. 2.4).

После перезагрузки компьютера становится возможным вход в домен с учетной записью администратора домена. Затем, используя средства администрирования сервера, можно приступить к созданию рабочей среды домена.

Рис. 2.4. Сообщение об успешном подключении к домену

Задание к проведению практического занятия

1. Установить службу Active Directory на виртуальном компьютере с операционной системой Windows Server и интегрированной службой DNS. С целью коллективного использования системы в учебном процессе строго выполнить следующее указание. При создании домена установить учетную запись администратора со следующими параметрами: имя - администратор, пароль - p@ssw0rd. Создав домен, обучаемые могут задать удобную для себя дополнительную учетную запись с правами администратора.

2. Подключить рабочую станцию к домену, используя учетную запись администратора домена.

3.      Продемонстрировать преподавателю полученные результаты и сохранить снимки экранов с основными этапами работы для включения их в отчет о практическому занятию.

Контрольные вопросы

1. С какой целью создается домен?

2. Укажите основные этапы установки Active Directory.

3.  Какая ОС должна быть на компьютере, чтобы была возможна установка Active Directory?

4. Кто имеет право подсоединить компьютер к домену?

5. Какова роль службы DNS в домене?

6.  Где хранятся учетные записи пользователей и компьютеров домена?

7.      В чем отличие учетных записей домена от локальных учетных записей компьютеров одноранговой сети?

8. Почему уровень безопасности сети на основе домена выше, чем в одноранговой сети?

9.      Если на компьютере установлены протоколы TCP/IP, какую максимальную длину имени компьютера можно задать во время установки?

10.    Можно ли изменить имя компьютера после установки ОС на клиентской машине и на контроллере домена?

11. Какое из следующих утверждений верно:

•  вы можете подключить компьютер к рабочей группе или домену только во время установки;

•        если вы подключите компьютер к рабочей группе во время установки, то к домену можно подключиться позже;

•   если вы подключите компьютер во время установки к домену, то к рабочей группе можно подключиться позже;

•        вы не можете подключить компьютер к рабочей группе или домену во время установки?

. Когда вы настраиваете сетевые компоненты со стандартными параметрами, какие компоненты устанавливаются? Для чего нужен каждый компонент?

 

Практическое занятие № 3. Управление группами, пользователями и компьютерами домена

Цель работы: привить обучаемым навыки управления пользователями, группами и компьютерами домена.

Данные операции составляют основу повседневной работы администратора компьютерной сети предприятия.

Для достижения поставленной цели рассматриваются следующие объекты домена и операции управления ими:

•  учетные записи пользователей и компьютеров;

•  управление пользователями;

•        управление группами;

•        управление компьютерами.

Учетные записи пользователя и компьютера

Учетные записи пользователей и компьютеров в Active Directory представляют физические объекты: компьютер или пользователя.

Группы, а также учетные записи пользователей и компьютеров называются участниками безопасности. Последние являются объектами каталогов, которым автоматически назначают коды безопасности (SID) для доступа к ресурсам домена.

Учетная запись пользователя или компьютера используется для следующих целей:

•   проверки подлинности пользователя или компьютера;

•  разрешения или запрещения доступа к ресурсам домена;

• аудита действий, выполняемых с использованием учетной записи пользователя или компьютера. Аудит помогает при наблюдении за безопасностью учетных записей.

Учетные записи пользователей

Учетные записи пользователей, созданные автоматически при установке домена, называются встроенными учетными записями пользователей. После установки Active Directory контейнер Users, расположенный в оснастке Active Directory - пользователи и компьютеры, отображает встроенные учетные записи пользователей: «Администратор», «Гость».

Учетная запись администратора имеет самые большие права и разрешения в домене, а учетная запись гостя - ограниченные права и разрешения.

При помощи учетной записи «Администратор» можно полностью контролировать домен, назначать права пользователей и разрешения управления доступом для пользователей домена. Эта запись должна использоваться только для задач, выполнение которых требует учетных данных администратора. По умолчанию учетная запись «Администратор» включается в группы Администраторы, Администраторы домена, Администраторы предприятия, Владельцы-создатели групповой политики и Администраторы схемы в Active Directory. Она не может быть удалена или перемещена из группы «Администраторы», но ее настоятельно рекомендуем переименовать, поскольку коды безопасности (SID) учетных записей сохраняются, а у переименованной учетной записи остаются все остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, учетная информация, а также любые разрешения и права пользователя.

Учетная запись «Гость» используется теми, кто не имеет действительной учетной записи в домене. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись «Гость» не требует пароля.

X X       vy               тI                                vy          vy           vy

Учетной записи «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. По умолчанию учетная запись «Гость» является членом встроенной группы «Гости» и глобальной группы «Гости домена», позволяющих пользователям входить в домен. По умолчанию она отключена. Рекомендуем оставить ее в этом положении.

Защита учетных записей пользователей

Для обеспечения безопасности проверки подлинности пользователя следует создавать отдельные учетные записи для каждого пользователя сети, применяя для этого оснастку Active Directory - пользователи и компьютеры. Каждая учетная запись пользователя (включая учетные записи администратора и гостя) может быть добавлена в группу для управления правами и разрешениями, назначенными этой учетной записи. Использование соответствующих этой сети учетных записей и групп позволяет проверить подлинность входящего в сеть пользователя и возможность предоставления ему разрешенных ресурсов.

Повысить защиту домена от атак можно с помощью надежных паролей и политики блокировки учетных записей. Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен путем повторных попыток. Политика блокировки учетных записей позволяет установить число неудачных попыток входа в систему, после которых учетная запись отключается.

Параметры учетным записей

Каждая учетная запись пользователя Active Directory имеет ряд параметров, относящихся к безопасности и определяющих, как производится проверка подлинности данной учетной записи при входе в сеть. Параметры пароля и безопасности для учетных записей можно настроить указанными ниже способами.

•  Потребовать смену пароля при следующем входе в систему.

Задает требование смены пользователем пароля при следующем

входе в сеть. Параметр используется, когда необходима уверенность в том, что никто, кроме пользователя, не знает его пароля.

•  Запретить смену пароля пользователем.

Не разрешает пользователю менять пароль. Параметр используется при необходимости контролировать учетную запись пользователя, например учетную запись гостя или временную учетную запись.

•   Срок действия пароля не ограничен.

Снимает временные ограничения на использование пароля.

•   Хранить пароль, используя обратимое шифрование.

Позволяет пользователю входить в сеть Windows с компьютеров

Apple.

•   Отключить учетную запись.

Не разрешает использовать данную учетную запись для входа в сеть. Многие администраторы используют отключенные учетные записи в качестве шаблонов для часто употребляемых учетных записей пользователей.

•   Требовать смарт-карту для интерактивного входа в сеть.

Требует наличия смарт-карты для входа в сеть в интерактивном

режиме.

•   Учетная запись доверена для делегирования.

Позволяет службе использовать данную учетную запись для выполнения операций от имени других пользователей в сети.

•   Учетная запись важна и не может быть делегирована.

•   Использовать для данной учетной записи тип шифрования DES. Обеспечивает поддержку шифрования с алгоритмом DES (Data

Encryption Standard).

Управление пользователями

Управление пользователями домена включает в себя следующие операции:

•   создание новой учетной записи пользователя;

•        смена пароля пользователя;

•        копирование учетной записи пользователя;

•        перемещение учетной записи пользователя;

•   установка времени входа;

•   отключение или включение учетной записи пользователя;

•        сопоставление сертификата учетной записи пользователя;

•        изменение основной группы пользователя;

•   удаление учетной записи пользователя.

Создание новой учетной записи пользователя

Чтобы создать новую учетную запись пользователя, используя интерфейс Windows, откройте оснастку Active Directory - пользователи и компьютеры.

ТЛ                                              _____ W__ ___ W________ _ _

В дереве консоли щелкните правой кнопкой мыши на папку, в которую добавляется учетная запись пользователя, выделите пункт Создать, а затем выберите команду Пользователь.

В поле Имя введите имя пользователя. В поле Инициалы введите инициалы пользователя. В поле Фамилия введите фамилию пользователя.

В поле Имя входа пользователя введите имя входа пользователя, к которому добавляется суффикс UPN (@ имя домена), а если доменов в сети несколько, то выберите суффикс UPN в раскрывающемся списке.

В полях Пароль и Подтверждение введите пароль пользователя, а затем выберите соответствующие параметры пароля.

Смена пароля пользователя, копирование или перемещение учетной записи пользователя, отключение или включение учетной записи, смена основной группы пользователя, а также ее удаление осуществляются выбором соответствующей операции, доступной после щелчка правой кнопкой по учетной записи пользователя.

Чтобы установить время входа, щелкните учетную запись пользователя правой кнопкой мыши и выберите команду Свойства. На вкладке Учетная запись выберите команду Время входа и установите часы, когда пользователю разрешен или запрещен вход в систему.

Управление компьютерами

Каждый компьютер, который присоединяется к домену, имеет учетную запись компьютера. Так же, как и учетные записи пользователей, учетные записи компьютеров предоставляют возможность проверки подлинности и аудита доступа компьютера к сети и ресурсам домена. Учетная запись компьютера должна быть уникальной. Она создается при подключении компьютера к домену. компьютерный сеть домен windows

Учетные записи компьютеров и пользователей добавляются, отключаются, восстанавливаются и удаляются с помощью оснастки Active Directory - пользователи и компьютеры.

Чтобы выполнить операцию с учетной записью компьютера, используя интерфейс Windows, откройте оснастку Active Directory - пользователи и компьютеры, выберите компьютер и соответствующую команду, доступную при щелчке правой кнопкой мыши.

Управление группами

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.

В Active Directory существует два типа групп: группы распространения и группы безопасности. Группы распространения используются только приложениями электронной почты (например Exchange) для отправки сообщений группам пользователей, для создания списков рассылки электронной почты.

Группы безопасности необходимы для задания разрешений на использование общих ресурсов. Они обеспечивают эффективное управление доступом к ресурсам сети. Использование групп безопасности позволяет выполнять следующие действия:

•   назначать права пользователя группе безопасности в Active Directory;

•   назначать разрешения на использование ресурсов для групп безопасности.

Не следует путать разрешения с правами пользователей. Разрешения задаются для групп безопасности, использующих общие ресурсы. Они определяют, кто может получить доступ к данному ресурсу и уровень доступа. Права пользователя, заданные для групп безопасности, определяют, что может делать член данной группы в области действий домена или на локальном компьютере рабочей группы.

Группы безопасности перечислены в избирательных таблицах управления доступом, в которых определены разрешения на ресурсы и объекты. Администраторам следует назначать разрешения для ресурсов (общих файлов, принтеров и т. д.) группам безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз в отличие от назначения прав каждому отдельному пользователю. Каждая учетная запись при добавлении к группе получает права, заданные данной группе в Active Directory, и разрешения, определенные для данной группы на ресурсе.

Группы безопасности могут использоваться в качестве адресатов электронной почты, как и группы распространения. Сообщение электронной почты, предназначенное группе, отправляется всем членам группы.

Управление группами включает в себя следующие операции:

•   создание новой группы;

•  добавление участника группы;

•   преобразование типа группы;

•        изменение области действия группы;

•  удаление группы;

•   поиск групп, в которые входит пользователь.

Создание новой группы

Чтобы создать новую группу, щелкните правой кнопкой мыши на папку, в которую добавляется новая группа. Выделите пункт Создать, а затем выберите команду Группа. Введите имя создаваемой группы. Задавая тип группы, выберите один из предложенных вариантов: группа безопасности или группа распространения.

Задавая область действия группы, выберите один из предложенных вариантов: локальная в домене, глобальная или универсальная (только для групп распространения).

Группы с локальной доменной областью действия могут включать в себя учетные записи и группы с глобальной областью действия, а также группы с универсальной областью действия и группы с локальной доменной областью действия только из данного домена.

Группы с глобальной областью действия могут включать в себя учетные записи и группы с глобальной областью действия из данного домена.

Группы с универсальной областью действия могут включать в себя учетные записи и группы с глобальной областью действия, а также группы с универсальной областью действия из любого домена.

Добавление участника группы

Чтобы добавить участника группы, выберите команду Свойства данной группы и на вкладке Члены групп нажмите кнопку Добавить.

В поле Введите имена выбираемых объектов введите имя пользователя, группы или компьютера, добавляемых к выбранной группе, и нажмите кнопку OK. Можно воспользоваться кнопками Дополнительно и Поиск, а затем выбрать добавляемый объект из списка доступных в домене.

Преобразование типа группы

Чтобы преобразовать тип группы, выберите папку, включающую в себя группу, тип которой необходимо изменить. В области сведений щелкните правой кнопкой мыши на необходимую группу и выберите команду Свойства. На вкладке Общие выберите тип группы.

Изменение области действия группы

Чтобы изменить область действия группы, выберите папку, включающую в себя группу, для которой необходимо изменить область действия. В области сведений щелкните правой кнопкой мыши на необходимую группу и выберите команду Свойства. На вкладке Общие в разделе Область действия группы выберите область действия группы.

Удаление группы

Чтобы удалить группу, выберите папку, включающую в себя группу, которую необходимо удалить. На панели сведений щелкните правой кнопкой мыши на необходимую группу и выберите команду Удалить.

Поиск групп, в которые входит пользователь

Чтобы найти группы, в которые входит пользователь, в дереве консоли Active Directory щелкните узел Пользователи. Можно также выбрать папку, содержащую учетную запись пользователя. На панели сведений щелкните правой кнопкой мыши на учетную запись пользователя и выберите команду Свойства, затем вкладку Член групп и определите, в какие группы входит данный пользователь.

Задания к практическому занятию

1.  Создание групп.

Создайте две группы безопасности с локальной доменной областью действия, например группу Разработчики и группу Менеджеры.

Создайте две группы безопасности с глобальной областью действия, например группу Инженеры и группу Экономисты.

2.  Создание учетных записей пользователей и помещение их в группы.

Создайте по одной учетной записи для каждой из созданных групп, задавая в качестве параметра человеческие имена.

Создайте одну учетную запись и поместите её в каждую из созданных групп.

3.  Включение групп в другие группы.

Поместите глобальную группу Инженеры в локальную группу Разработчики, а глобальную группу Экономисты - в локальную группу Менеджеры.

4. Создайте учетную запись для нового компьютера WorkStation1, который предполагается подключить к домену.

5.  Создайте произвольную группу, учетную запись пользователя и учетную запись компьютера. Выполните с ними все описанные операции по управлению и после показа результатов преподавателю удалите эти временные объекты.

Контрольные вопросы

1.  Какие типы групп могут быть созданы в домене?

2.  Чем отличаются группы безопасности от групп распространения?

3.      Назовите порядок размещения пользователей и групп в группах домена большого предприятия с несколькими доменами.

4.  В чем главное отличие групп локального компьютера от групп домена?

5.  В чем различие глобальных и локальных доменных групп?

6.  Какие группы могут быть отнесены к универсальным группам домена?

7.  Как создается учетная запись компьютера в домене?

8.  Как создается учетная запись пользователя домена?

9.  Какими учетными записями должен обладать пользователь для того, чтобы он мог выполнить первоначальное присоединение компьютера к домену?

10. Какая команда служит для управления группами и пользователями домена?

 

Практическое занятие № 4. Управление доступом к файловым ресурсам

Цель работы: освоение навыков управления доступом пользователей к файлам и папкам с целью защиты информации от несанкционированного доступа.

Краткое введение

Файловые системы современных операционных систем при соответствующей настройке эффективно обеспечивают безопасность и надежность хранения данных на дисковых накопителях. Для операционных систем Windows стандартной является файловая система NTFS.

Устанавливая для пользователей определенные разрешения для файлов и каталогов (папок), администраторы могут защитить информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы, но обратная передача владения от администратора к пользователю невозможна.

Назначение разрешений производится для пользователей или групп. Так как рекомендуется выполнять настройки безопасности для групп, то необходимо, чтобы пользователь был членом хотя бы одной группы на компьютере или в домене.

Разрешения могут быть установлены для различных объектов компьютерной системы, однако в настоящем издании рассмотрены разрешения для файлов и папок. Другие задачи, например разрешения для принтеров, решаются аналогичным образом.

Указания к проведению практического занятия

Для назначения разрешений для файла или папки администратор выбирает данный файл или папку и при нажатии правой кнопки мыши использует команду Свойства (Properties), в появившемся окне переходит на вкладку Безопасность (Security). Пример для папки с именем Авиатор приведен на рис. 4.1.

В зоне Имя (Name) имеется список групп и пользователей, которым уже назначены разрешения для данного файла или папки.

Рис. 4.1. Вкладка Безопасность окна свойств папки Авиатор

Для добавления пользователя или группы нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении появится диалог Выбор: Пользователи, Компьютеры или Группы (Select Users, Computers or Groups). Добавив пользователя или группу, мы увидим этот объект в зоне Имя и, выделив его, можем задать необходимые разрешения с помощью установки флажков Разрешить (Allow) или Запретить (Deny) в зоне Разрешения (Permissions).

Стандартные разрешения для файлов:

•   полный доступ (Full Control);

•        изменить (Modify);

•   чтение и выполнение (Read&Execute);

•        чтение (Read);

•        запись (Write).

Стандартные разрешения для папок:

•   полный доступ (Full Control);

•        изменить (Modify);

•  чтение и выполнение (Read&Execute);

•   список содержимого папки;

•  чтение (Read);

•        запись (Write).

Разрешение Чтение позволяет просматривать файлы и папки и их атрибуты.

Разрешение Запись позволяет создавать новые файлы и папки внутри папок, изменять атрибуты и просматривать владельцев и разрешения.

Разрешение Список содержимого папки позволяет просматривать имена файлов и папок.

Разрешение Чтение и выполнение для папок позволяет перемещаться по структуре других папок и служит для того, чтобы разрешить пользователю открывать папку, даже если он не имеет прав доступа к ней, для поиска других файлов или вложенных папок. Разрешены все действия, право на которые дают разрешения Чтение и Список содержимого папки. Это же разрешение для файлов позволяет запускать файлы программ и выполнять действия, право на которые дает разрешение Чтение.

Разрешение Изменить позволяет удалять папки, файлы и выполнять все действия, право на которые дают разрешения Запись и Чтение и выполнение.

Разрешение Полный доступ позволяет изменять разрешения, менять владельца, удалять файлы и папки и выполнять все действия, на которые дают право все остальные разрешения NTFS.

Разрешения для папок распространяются на их содержимое: под- папки и файлы.

При назначении пользователю или группе разрешения на доступ к файлу или папке руководствуются тем уровнем доступа, который достаточен для данной группы или пользователя при выполнении им своих рабочих обязанностей.

Рассмотренные разрешения относятся к пользователям данного компьютера, совершившим вход локально на данную машину. Такие разрешения называются разрешениями файловой системы.

Так как файловая система Windows называется NTFS, то разрешения файловой системы для Windows называют разрешениями NTFS.

Разрешения для пользователей, получивших доступ к папке или файлу через сеть, регулируются отдельно с помощью так называемых разрешений общего доступа. Эти разрешения распространяются только на папки, к которым предоставлен общий доступ через сеть, и действуют только для пользователей, обращающихся к папке через сеть. Возможности пользователя задаются разрешениями, представленными ниже:

•   полный доступ (Full Control);

•        изменить (Change);

•   чтение (Read).

Доступ к средствам настройки разрешений общего доступа выполняется через свойства папки, предоставленной в общий доступ (рис. 4.2).

Разрешения общего доступа - средство обеспечения безопасности данных при коллективной работе с документами. Они должны устанавливаться очень тщательно и обоснованно. При этом администратору рекомендуется действовать следующим образом.

•   Для каждого ресурса общего доступа определить, каким группам пользователей необходим доступ к нему и какой требуется уровень доступа.

•   Для упрощения администрирования назначать

разрешения группам, а не отдельным пользователям.

•   Устанавливать максимально строгие разрешения, которые, однако, должны позволять пользователям совершать необходимые действия.

•   Организовать ресурсы общего доступа таким образом, чтобы папки с одинаковым уровнем требований безопасности находились в одной папке. Затем установить общий доступ только к ней, все вложенные папки наследуют настройки безопасности.

•   Для папок общего доступа применять интуитивно понятные пользователям имена, корректно отображаемые всеми клиентскими операционными системами, используемыми на предприятии.

•        Если в общих папках предполагается хранить программы- приложения, то целесообразно поместить их в одну папку - единое место хранения и обновления приложений.

Несколько общих папок, доступных членам группы Администраторы, так называемые скрытые административные общие папки, создается операционной системой автоматически. Имена этих папок заканчиваются знаком $. Это корневые каталоги каждого тома на жестком диске (C$, D$ и т.д.), папка Admin$ - для доступа к системному каталогу, папка Print$ - для доступа к файлам драйверов принтеров.

Кроме того, скрытую папку с общим доступом можно создать с целью доступа к ней только тех пользователей, которые будут знать имя скрытой папки.

Получить доступ к общим папкам других компьютеров можно, используя компоненты Сетевое окружение, Мой компьютер, Мастер добавления в сетевое окружение и команду Выполнить (Run).

Соединение с общей папкой через Сетевое окружение выполняется двойным щелчком по ресурсу, к которому необходимо получить доступ. Если общий ресурс отсутствует в списке доступных, выберите значок Добавить новый элемент в сетевое окружение и укажите адрес подключаемого ресурса.

Соединение с общей папкой через компонент Мой компьютер выполняется через меню Сервис этого компонента в пункте Подключить сетевой диск посредством указания пути к общему ресурсу. Если необходимо пользоваться этим соединением постоянно, нужно, чтобы флажок Восстанавливать при входе в систему был установлен. Соединение будет доступно в разделе Сетевые диски окна Мой компьютер.

Для соединения с общей папкой с помощью команды Выполнить щелкните Пуск, затем Выполнить и введите путь к папке в формате UNC (\\имя_ компьютера\имя_общей папки).

Рассмотрим, как пользоваться средствами установки разрешений файловой системы и общего доступа.

После выбора объекта, для которого будет выполняться настрой-

W 1 W                     W                                                         V/      1 V/

ка разрешений файловой системы, в диалоговом окне свойств файла или папки необходимо выбрать вкладку Безопасность, показанную на рис. 4.3.

В данном случае видим, что для папки Авиатор для группы Администраторы установлены разрешения уровня Полный доступ, а для группы Все разрешения ограничены уровнем Чтение.

При установке разрешений в списке групп можно заметить имена так называемых встроенных системных групп, невидимых при использовании оснасток для управления группами и пользователями. Эти группы не имеют определенных членств, которые можно назначить или изменить, но в них система включает различных пользователей в различное время в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам.

Встроенные системные группы были рассмотрены в практическому занятию № 3. В данном случае имеется в виду группа Все, в которую во время работы входят все, кто получил доступ к компьютеру или домену.

Разрешения можно не только устанавливать, но и запрещать. Запрет имеет больший приоритет, чем разрешение. Запрет разрешений как метод контроля ресурсов применять не рекомендуется, и он используется в основном для дополнительной настройки разрешений конкретным пользователям в отличие от разрешений для остальных пользователей группы.

Рассмотренные разрешения называются стандартными и позволяют решить большинство задач, связанных с регулированием уровня доступа групп к ресурсам.

Кнопка Дополнительно (см. рис. 4.3) служит для задания специальных разрешений. Каждое стандартное разрешение состоит из нескольких специальных. Например, стандартное разрешение Запись включает в себя шесть специальных разрешений: создание файлов/запись данных, создание папок/дозапись данных, запись атрибутов, запись дополнительных атрибутов, чтение разрешений, синхронизация. Специальные разрешения можно использовать для настройки в нестандартных ситуациях.

В окне специальных разрешений имеются закладки Аудит, Владелец и Эффективные разрешения.

Аудит - это процесс, позволяющий фиксировать события, происходящие в системе и имеющие отношение к безопасности. На данной вкладке производится выбор пользователя или группы, для которых данная папка (или файл) будет объектом аудита. Аудит изучается в практическому занятию № 5.

Закладка Владелец обеспечивает такое свойство безопасности, как право владения объектом файловой системы. Администратор всегда может стать владельцем любого объекта файловой системы, любой пользователь - владелец созданных им объектов. Если локальные или доменные политики безопасности разрешат, пользователь может назначать себя владельцем других файлов и папок.

Подробное рассмотрение вопросов владения выходит за рамки данного издания, однако отметим, что многие операции с файлами и папками, например смена разрешений, шифрование и дешифрование, привязаны к факту владения данным объектом.

Список управления доступом (ACL) хранится на диске NTFS для каждого файла или папки. В нем перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения.

Каждому пользователю или группе могут быть установлены множественные разрешения через участие в нескольких группах с разным набором разрешений. В этом случае действуют эффективные разрешения - пользователь обладает всеми назначенными ему разрешениями.

Действует приоритет разрешений для файлов над разрешениями для папок и приоритет запрещения над разрешением.

Разрешения, назначенные родительской папке, по умолчанию наследуются всеми подпапками и файлами, содержащимися в папках. Однако есть возможность предотвратить наследование для любой вложенной папки. В этом случае эта папка сама становится родительской для вложенных в нее папок.

Если папка предоставлена для общего доступа, то на нее распространяются разрешения двух видов:

•  разрешения файловой системы, установленные для пользователей данного компьютера;

•        разрешения общего доступа, объявленные для пользователей, получивших доступ через сеть.

Обычно для папок общего доступа задают разрешения полного доступа, а ограничения вводят установкой разрешений NTFS [4, 5].

В этом случае действует объединение разрешений NTFS и разрешений для общей папки, при котором наиболее строгое разрешение имеет приоритет над другими.

Задание к проведению практического занятия

1.  Создайте папку, в которую поместите текстовый файл и приложение в виде файла с расширением exe, например одну из стандартных программ Windows, такую как notepad.exe (Блокнот).

2.  Установите для этой папки разрешения полного доступа для одного из пользователей группы Администраторы и ограниченные разрешения для пользователя с ограниченной учетной записью.

3.  Выполните различные действия с папкой и файлами для обеих учетных записей и установите, как действуют ограничения, связанные с назначением уровня доступа ниже, чем полный доступ.

4.      Установите общий доступ к папке и подключитесь к ней через сеть с другого виртуального компьютера.

5.  Установите разрешения общего доступа так, чтобы администратор не имел ограничений, а пользователь имел ограниченный уровень доступа.

6.  Экспериментально убедитесь в выполнении правил объединения разрешений NTFS и разрешений общего доступа.

7.  Составьте отчет о проведенных экспериментах.

8.  Разработайте стратегию регулирования безопасности при коллективном доступе к общим папкам для различных групп пользователей.

Контрольные вопросы

1.  Какое из следующих разрешений NTFS для папок позволяет удалять папку:

•        чтение;

•        чтение и выполнение;

•        изменение;

•        администрирование?

2.  Какое разрешение NTFS для файлов следует установить, если вы позволяете пользователям удалять файл, но не позволяете становиться его владельцами?

3.  Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки?

4.  Кто может устанавливать разрешения для отдельных пользователей и групп (выберите все правильные ответы):

•        члены группы Администраторы;

•        члены группы Опытные пользователи;

•        пользователи, обладающие разрешением Полный доступ;

•         владельцы файлов и папок?

5.  Какой из следующих вкладок диалогового окна свойств файла или папки следует воспользоваться для установки или изменения разрешений NTFS:

•        Дополнительно;

•        Разрешения;

•        Безопасность;

•        Общие?

6. Если вы хотите, чтобы пользователь или группа не имели доступа к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?

Практическое занятие № 5. Аудит безопасности

Цель работы: научить обучаемыйов проводить настройку аудита событий безопасности и использовать журналы безопасности для повышения защищенности системы.

Теоретическое введение

Аудит - это процесс, позволяющий фиксировать события, происходящие в системе и имеющие отношение к безопасности. Аудит сопровождается записью информации о назначенных событиях в специальные журналы безопасности, контролируемые администратором. Журналы позволяют контролировать поведение пользователей и использование тех ресурсов, для которых администратор назначил проведение аудита.

Аудит по умолчанию отключен. Для его настройки и введения в действие необходимо сначала активизировать аудит через настройки, управляющие политикой безопасности домена (Групповая политика) или компьютера (Локальная политика безопасности). Затем можно выполнить настройку выбранного типа аудита применительно к объектам системы и ее пользователям.

Указания к проведению практического занятия

Чтобы активизировать аудит на локальном компьютере или в масштабах домена, необходимо выполнить следующие действия.

Для локального компьютера на Панели управления в разделе Администрирование выберите Локальные параметры безопасности или в качестве альтернативы запустите в строке Выполнить программу secpol.msc.

В открывшейся оснастке (рис. 5.1) выберите Локальные политики и раскройте пункт Политика аудита. В правой части окна появится список типов аудита. Поначалу ни один из видов аудита не проводится, и необходимо активизировать аудит.

Дважды щелкните на каждой политике, для которой необходимо активизировать аудит, и затем установите флажки Успех и (или) Отказ (рис. 5.2).

Аналогичные действия при управлении доменом выполняются с помощью оснастки Групповая политика безопасности в разделе Администрирование контроллера домена.

Основные события, которые могут быть подвергнуты аудиту, описываются в таблице.

Политика аудита

Описание политики

Аудит событий входа по учетной записи

Эти события возникают в контроллере домена, когда пользователь выполняет вход или выход на другом компьютере, входящем в домен

Аудит управления учетными записями

Эти события возникают при создании, изменении или удалении учетной записи или группы, при переименовании, активизации или отключении учетной записи, когда задается или изменяется пароль

Аудит доступа к службе каталогов

Эти события возникают, когда выполняется доступ к объекту Active Directory

Аудит событий входа

Эти события возникают, когда пользователь выполняет вход или выход на рабочей станции или подсоединяется через сеть

Аудит доступа к объектам

Эти события возникают, когда пользователь выполняет доступ к файлу, папке, принтеру, ключу реестра или другому объекту, для которого задан аудит

Аудит изменения политики

Эти события возникают, когда вносятся изменения в политики назначения прав пользователей, политики аудита

Аудит системных событий

Эти события возникают, когда пользователь перезагружает компьютер, или завершает его работу, или при возникновении события, которое влияет на безопасность компьютера


В практическому занятию выполняется настройка аудита для папок и файлов, т.е. выбирается тип аудита Аудит доступа к объектам.

Для настройки аудита в качестве объекта аудита выберите папку или файл, в диалоговом окне Свойства используйте вкладку Безопасность и по кнопке Дополнительно перейдите в диалоговое окно Параметры управления доступом. Откройте вкладку Аудит (рис. 5.3). Добавьте пользователей или группы (кнопка Добавить).

Измените настройки существующих пользователей (кнопка Просмотр/Правка) в окне Параметры аудита (рис. 5.4).

Если устанавливаются флажки события Успех, то Windows запишет в журнал Безопасность (Security) события, их время и дату для каждой успешной попытки данного пользователя или члена группы совершить действия в отношении указанного файла или папки.

Аналогичным образом, если вы устанавливаете флажок события Отказ, Windows запишет в журнал Безопасность (Security) события, их время и дату для каждой неуспешной попытки данного пользователя или члена группы совершить действия в отношении указанного файла или папки. Для просмотра зафиксированных системой событий аудита служит оснастка Просмотр событий, доступная на локальном компьютере в разделе Администрирование панели управления или в разделе Администрирование домена. Можно запустить оснастку командой eventvwr.msc (рис. 5.5). Данная оснастка открывает доступ к тремжурналам, заполняемым системой: Приложение (Application), Безопасность (Security), Система (System). При выполнении аудита заполняется журнал Безопасность. В нем для каждого события для объектов аудита создается соответствующая запись, которую можно просмотреть, дважды щелкнув по ней, как это показано на рис. 5.5 и 5.6.

Задание к практическому занятию

С целью освоения настройки аудита и его использования для повышения безопасности системы выполните следующие действия.

1.  Войдите на виртуальную машину с учетной записью администратора.

2.      Активизируйте средствами политики безопасности аудит доступа к объектам (Успех и Отказ).

3.  Создайте временную папку и текстовый файл внутри нее.

4.  Выберите эту папку как объект аудита.

5.  Настройте аудит доступа к папке для администратора и пользователя компьютера, ограничив пользователя в возможных действиях с папкой и файлом, чтобы в ряде случаев происходило событие Отказ.

6.  Выполните ряд типовых действий с папкой и файлом от имени администратора и затем от имени пользователя.

7.  Прочитайте журнал событий Безопасность и найдите в нем записи, в которых отражены ваши действия с объектами как от имени администратора, так и от имени пользователя. Сделайте соответствующие выводы.

8.  Результаты в виде экранов и текстов должны быть сохранены в файле отчета по практическому занятию и представлены к защите.

9.  Самостоятельно освойте настройку аудита для принтеров.

Контрольные вопросы

1.  Какова роль аудита в обеспечении безопасности компьютерной системы?

2.  Где и каким образом формируется информация о событиях аудита?

3.  Какая информация может быть получена в результате аудита?

4.  Какие типы аудита вы знаете и для чего предназначен каждый из них?

5.      Каким образом активизируется политика аудита?

6.  Каким образом политика аудита применяется для выбранных объектов и пользователей?

7.      В каких случаях целесообразно учитывать Успех, а когда целесообразно фиксировать Отказ?

8.      Как пользоваться журналами безопасности?

. Какие учетные записи дают право на настройку аудита и проверку результатов аудита? Каким образом администратор может использовать информацию об аудите для повышения безопасности системы?

 

Практическое занятие № 6. Установка и основы настройки служб DHCP и DNS

Цель работы: научить обучаемыйов запускать и настраивать службы DNS и DHCP.

Указания к проведению работы

Службы DNS и DHCP обязательны для работы доменов. Они могут быть созданы на других серверах и платформах, но если они интегрированы в Active Directory, то это существенно упрощает конфигурирование и сопровождение доменов.

DHCP (Dynamic Host Configuration Protocol) - открытый промышленный протокол, упрощающий управление сетями TCP/IP. Каждому компьютеру (хосту) должен быть назначен уникальный IP-адрес. Протокол DHCP автоматизирует эту задачу в масштабах домена, освобождает администратора от необходимости устанавливать адреса всех компьютеров вручную. Все доступные для данной сети IP-адреса хранятся в центральной базе данных вместе с соответствующей информацией, такой как маска подсети, адрес шлюза, адреса серверов DNS.

Основные понятия DHCP - это область (scope) и пул адресов (address pool), диапазон исключения, резервирование, арендный договор.

Область адресов задает непрерывное пространство IP-адресов, которые можно применять в данной сети. Если определена область и исключения из нее, то оставшаяся часть адресного пространства называется пулом доступных для автоматического назначения адресов. Диапазоны исключения - это ограниченная последовательность адресов в пределах области адресов, которая исключается из предоставления службой DHCP.

Резервирование позволяет при необходимости назначить клиенту постоянный IP-адрес и гарантировать, что данное устройство всегда будет использовать один и тот же адрес.

Каждому устройству (хосту) адрес выдается на определенное время (аренда адреса). По истечении срока аренды хост может получить другой адрес, если в момент истечения половины срока аренды не запросит у сервера возобновление этого же адреса.

Система доменных имен DNS (Domain Name System) - стандартная служба TCP/IP. Служба DNS обеспечивает регистрацию и разрешение имен в сети. В этом случае становится возможным обращение к ресурсам сети по имени, так как разрешение имен и IP-адресов выполняется автоматически службой DNS. В домене Windows служба DNS интегрирована с Active Directory.

Рассмотрим установку и настройку служб DNS и DHCP.

Установка и настройка DHCP (краткие сведения)

1. На сервере, где будет расположена служба DHCP, вручную настройте свойства TCP/IP.

2.      Если служба DHCP не установлена, запустите мастера установки компонентов Windows или в окне Сеть и удаленный доступ к сети в меню Дополнительно выберите команду Дополнительные сетевые компоненты.

3. В списке Компоненты выберите Сетевые службы и нажмите кнопку Состав.

4. Установите флажок у элемента DHCP.

5. Через оснастку службы DHCP запустите ее.

6.      Активизируйте службу в Active Directory.

7. Создайте новую область.

8. Добавьте резервирование необходимого числа адресов.

9. Исключите диапазоны IP-адресов для этой области, не сдаваемые в аренду.

10. Активизируйте область.

11. Проверьте функционирование DHCP.

Установка и настройка DNS (краткие сведения)

В нашем случае сервер DNS устанавливается и настраивается автоматически при установке домена, поэтому дополнительной настройки службы не потребуется. Для ознакомления с настройками откроем оснастку службы DNS домена и рассмотрим информацию, предоставленную оснасткой DNS. Основная информация в нашем случае содержится в разделе Зоны прямого просмотра.

Задание к практическому занятию

1.  Запустите виртуальные машины с контроллером домена и клиентской ОС.

2.      На клиентской машине создайте новое сетевое подключение и задайте режим автоматического получения IP-адреса.

3.  Активизируйте новое соединение и дождитесь окончания автоматической настройки.

4.  Убедитесь, что новое сетевое подключение получило IP-адрес из пула адресов DHCP-сервера.

5.  Отключите на время сервер DHCP с помощью оснастки DHCP.

6.  Повторите опыт с получением сетевого адреса новым сетевым соединением. Запишите, какой адрес присвоен соединению.

7.  Посредством службы помощи и поддержки определите, как называются адреса, получаемые клиентской машиной в случае недоступности сервера DHCP.

8.      Все операции документируйте, включая окна оснасток во время работы, для дальнейшего использования в отчете по практическому занятию.

Контрольные вопросы

1.  О каких проблемах в сети говорит факт получения вашим компьютером автоматического адреса вида 169.254.x.y?

2.  Каково назначение маски подсети?

3.  Какое из следующих утверждений об автоматическом получении IP-адреса верно (выберите все правильные ответы):

•        в Windows XP включена служба DHCP;

•        в Windows XP включена функция автоматического назначения частных IP-адресов, которая предоставляет клиентам DHCP ограниченные сетевые возможности, если сервер недоступен во время запуска;

•        для автоматического назначения частных IP-адресов зарезервирована область от 169.254.00 до 169.254.255.255?

4. На компьютере выполнена ручная настройка TCP/IP. Вы можете соединиться с любым узлом собственной подсети, но вам не удается соединиться с любым узлом в удаленной подсети. Какова причина проблемы и как ее устранить?

 

Практическое занятие № 7. Ознакомление с сетевыми функциями операционной системы

Цель работы: научить обучаемыйов настраивать сетевое подключение и тестировать работу компьютерной сети средствами операционной системы Windows.

Указания к проведению практического занятия

Связь локального компьютера с Интернетом, локальной сетью или другим компьютером обеспечивает компонент Сетевые подключения. Это средство позволяет получать доступ к ресурсам и функциональным возможностям компьютеров сети. Операции создания, настройки, сохранения подключений и наблюдения за ними выполняются в папке Сетевые подключения. Чтобы настроить параметры TCP/IP и открыть компонент Сетевые подключения, выполните следующие действия.

1.  Нажмите кнопку Пуск, выберите пункт Панель управления, а затем дважды щелкните на значке Сетевые подключения.

2.  Выделите подключение, которое требуется настроить, и затем в группе Типичные сетевые задачи щелкните ссылку Изменить параметры этого подключения.

3.  Выполните одно из следующих действий:

•        в случае подключения по локальной сети выберите в списке Отмеченные компоненты используются этим подключением вариант Протокол Интернета (TCP/IP) и нажмите кнопку Свойства;

•        в случае подключения удаленного доступа, в случае входящего подключения или подключения VPN откройте вкладку Сеть. В списке Отмеченные компоненты используются этим подключением выберите вариант Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.

4.   Выполните одно из следующих действий:

•        чтобы параметры IP были назначены автоматически, установите переключатель в положение Получить IP-адрес автоматически и нажмите кнопку ОК;

•        чтобы вручную указать IP-адрес или адрес сервера DNS, выполните следующие действия:

-           установите переключатель в положение Использовать следующий IP-адрес и в поле IP-адрес введите соответствующий адрес и маску сети;

-           установите переключатель в положение Использовать следующие адреса DNS-серверов и введите в полях Предпочитаемый DNS- сервер и Альтернативный DNS-сервер адреса основного и (необязательно) дополнительного серверов DNS.

5.   Чтобы настроить параметры DNS, WINS и IP, нажмите кнопку Дополнительно. Желательно использовать автоматическую настройку параметров IP (с помощью DHCP), что продиктовано следующими соображениями.

•        Служба DHCP включена по умолчанию.

•        При изменении местоположения компьютера не требуется вручную изменять параметры IP.

•        Автоматическое назначение параметров IP используется для всех подключений, при этом отпадает необходимость в настройке параметров DNS, WINS и т. п.

Служебные программы протоколов TCP/IP

Служебные программы TCP/IP обеспечивают подключение к сетям и проверку работы сетевого подключения. Служебные программы и команды выполняются в режиме командной строки. Выполните переход к разделу стандартных программ и выберите пункт Командная строка или, что удобнее, запустите программу cmd.exe через Пуск/Выполнить. В данной консоли вводятся команды и формируются выходные данные. Список служебных команд протоколов TCP/IP довольно обширен [1 - 4]. В рамках данной практического занятия рассматриваются команды ipconfig, ping, tracert.

Команда ipconfig

Команда ipconfig служит для отображения всех текущих параметров сетевых подключений компьютера к сети TCP/IP и обновления параметров служб DHCP и DNS.

При вызове команды ipconfig без параметров выводится только IP-адрес, маска подсети и основной шлюз для каждого сетевого адаптера (рис. 7.1).

Рис. 7.1. Краткая информация о сетевых подключениях

Некоторые примеры команды ipconfig

ipconfig /? - отображение справки по данной команде в командной строке.

ipconfig/all - вывод полной конфигурации TCP/IP для всех адаптеров (рис. 7.2). Адаптеры могут представлять собой физические интерфейсы, такие как установленные сетевые адаптеры, или логические интерфейсы, такие как подключения удаленного доступа.

ipconfig/renew [адаптер] - обновление конфигурации DHCP для всех адаптеров (если адаптер не задан) или для заданного адаптера. Данный параметр доступен только на компьютерах с адаптерами, настроенными для автоматического получения IP-адресов. Чтобы указать адаптер, введите без параметров имя, выводимое командой ipconfig (рис. 7.3).

ipconfig/release [адаптер] - отправка сообщения DHCPRELEASE серверу DHCP для освобождения текущей конфигурации DHCP и удаления конфигурации IP-адресов для всех адаптеров (если адаптер не задан) или для заданного адаптера. Этот адаптер отключает протокол TCP/IP для адаптеров, настроенных для автоматического получения IP-адресов. Чтобы указать адаптер, введите без параметров имя, выводимое командой ipconfig.

Рис. 7.2. Полная информация о сетевых подключениях

Рис. 7.3. Выполнение команды ping

ipconfig/registerdns - динамическая регистрация вручную имен DNS и IP-адресов, настроенных на компьютере. Этот параметр полезен при устранении неполадок в случае отказа в регистрации имени DNS или при выяснении причин неполадок динамического обновления между клиентом и DNS-сервером без перезагрузки клиента.

Для просмотра и обновления IP-адреса можно воспользоваться окном Сетевые подключения: щелкните правой кнопкой мыши сетевое подключение, выберите команду Состояние, а затем откройте вкладку Поддержка.

Данная команда доступна только на компьютерах с адаптерами, настроенными для автоматического получения IP-адресов. Это позволяет пользователям определять, какие значения конфигурации были получены с помощью DHCP, APIPA или другой конфигурации.

Если имя адаптер содержит пробелы, его следует заключать в кавычки (т. е. " имяадаптера").

В именах адаптеров, задаваемых для команды ipconfig, поддерживается использование подстановочного знака звездочки (*) для задания имен, начинающихся с указанной строки или содержащих указанную строку. Например, имя Подкл* будет включать все адаптеры, начинающиеся со строки «Подкл», а имя *сет* - все адаптеры, содержащие строку «сет».

Эта команда доступна, только если в свойствах сетевого адаптера в объекте Сетевые подключения в качестве компонента установлен протокол Интернета (TCP/IP).

Команда ping

Команда ping c помощью отправки сообщений с эхо-запросом по протоколу ICMP проверяет соединение на уровне протокола IP с другим компьютером, поддерживающим TCP/IP. После каждой передачи выводится соответствующее сообщение с эхо-ответом (см. рис. 7.3).

Ping - это основная TCP/IP-команда, используемая для устранения неполадки в соединении, проверки возможности доступа и разрешения имен. Команда ping, запущенная без параметров, выводит справку.

Примеры использования команды c параметрами

Ping -t задает для команды ping отправку сообщений с эхо-запросом к точке назначения до тех пор, пока команда не будет прервана. Для прерывания команды и вывода статистики нажмите комбинацию CTRL- BREAK.

Ping -a задает разрешение обратного имени по IP-адресу назначения. В случае успешного выполнения выводится имя соответствующего узла (рис. 7.4).

Рис. 7.4. Выполнение команды ping для разрешения имени по IP-адресу

Ping имя конечного компьютера задает точку назначения, идентифицированную IP-адресом или именем узла (рис. 7.5).

Рис. 7.5. Выполнение команды ping с определением IP-адреса по имени

Ping/? отображает справку в командной строке.

Команда ping позволяет проверить имя и IP-адрес компьютера. Если проверка IP-адреса успешная, а проверка имени - нет, то имеет место проблема разрешения имен. В этом случае с помощью запросов DNS или с помощью методов разрешения имен NetBIOS проверьте, чтобы имя задаваемого компьютера было разрешено в локальном файле Hosts.

Эта команда доступна, только если в свойствах сетевого адаптера в объекте Сетевые подключения в качестве компонента установлен протокол Интернета (TCP/IP).

Команда tracert

Команда tracert определяет путь до точки назначения с помощью отправки в точку назначения эхо-сообщений протокола Control Message Protocol (ICMP) с постоянным увеличением значений срока жизни (Time to Live, TTL). Выведенный путь - это список ближайших интерфейсов маршрутизаторов, находящихся на пути между узлом источника и точкой назначения. Ближний интерфейс представляет собой интерфейс маршрутизатора, ближайшего к узлу отправителя на пути. Запущенная без параметров команда tracert выводит справку.

Примеры использования команды c параметрами

Tracert -d предотвращает попытки команды tracert разрешения IP-адресов промежуточных маршрутизаторов в имена. Увеличивает скорость вывода результатов команды tracert.

Tracert -h максимальное число переходов задает максимальное количество переходов на пути при поиске конечного объекта. Значение по умолчанию равно 30.

Tracert -j список_узлов предписывает сообщениям с эхо-запросом использование параметра свободной маршрутизации в заголовке IP с набором промежуточных мест назначения, указанных в списке узлов. При свободной маршрутизации успешные промежуточные места назначения могут быть разделены одним или несколькими маршрутизаторами. Максимальное число адресов или имен в списке - 9. Список адресов представляет собой набор IP-адресов (в точечно-десятичной нотации), разделенных пробелами.

Tracert -w интервал определяет в миллисекундах время ожидания для получения эхо-ответов протокола ICMP или ICMP-сообщений об истечении времени, соответствующих данному сообщению эхо- запроса. Если сообщение не получено в течение заданного времени, выводится звездочка (*). Тайм-аут по умолчанию - 4000 мс (4 секунды).

Tracert имя_конечного_компьютера задает точку назначения, указанную IP-адресом или именем узла (рис. 7.6).

Рис. 7.6. Трассировка маршрута к указанному компьютеру

Tracert /? отображает справку в командной строке.

Задание на выполнение практического занятия

Задание выполняется в условиях, когда запущены два виртуальных компьютера, соединенных сетью.

. Используя команду ipconfig, выполните следующие действия и объясните полученные результаты:

•   выведите основную конфигурацию TCP/IP для всех адаптеров (введите ipconfig);

•   выведите полную конфигурацию TCP/IP для всех адаптеров (введите ipconfig/all);

•   обновите конфигурацию IP-адреса, назначенного DHCP-сервером, только для адаптера c условным именем Подключение по локальной сети (введите ipconfig /renew "Подключение по локальной сети");

    сбросьте кэш сопоставления имен DNS при несоответствии имен (введите ipconfig /flushdns);

•   выведите код класса DHCP для всех адаптеров с именами, начинающимися со слова Подключение (введите ipconfig/showclassid Подключение*).

2. Используя команду ping, выполните следующие действия и объясните полученные результаты:

•   определите IP-адрес компьютера назначения по его имени (введите ping имя компьютера);

•   определите имя компьютера назначения по его IP-адресу (введите ping -a ip-address);

•   отправьте точке назначения десять сообщений с эхо-запросом, каждое из которых имеет поле данных из 1000 байт (введите ping -n 10 -l 1000 ip-address).

3. Проверьте конфигурацию TCP/IP с помощью команды ping.

•   Чтобы быстро получить значения параметров конфигурации TCP/IP на компьютере, откройте командную строку и выполните команду ipconfig. С помощью сведений, отображенных командой ipconfig, убедитесь, что сетевой адаптер для проверяемой конфигурации TCP/IP не находится в состоянии Сеть отключена.

•   В командной строке обратитесь по адресу замыкания на себя. Для этого выполните команду ping 127.0.0.1.

•   Обратитесь командой ping по IP-адресу данного компьютера.

•        Обратитесь командой ping по IP-адресу основного шлюза.

•   Если команда ping не была успешно выполнена, проверьте правильность IP-адреса основного шлюза и работоспособность этого шлюза (маршрутизатора).

•        Обратитесь командой ping по IP-адресу удаленного узла (узла, находящегося в другой подсети).

•   Если команда ping не была успешно выполнена, проверьте правильность IP-адреса удаленного узла, работоспособность этого узла, а также работоспособность всех шлюзов (маршрутизаторов) между локальным компьютером и удаленным узлом.

•        Обратитесь командой ping по IP-адресу DNS-сервера.

•   Если команда ping не была успешно выполнена, проверьте правильность IP-адреса DNS-сервера, работоспособность DNS-сервера, а также работоспособность всех шлюзов (маршрутизаторов) между локальным компьютером и DNS-сервером.

4. Используя команду tracert, выполните следующие действия и объясните полученные результаты:

•    выполните трассировку маршрута с помощью команды tracert. Откройте командную строку и выполните следующую команду: tracert имя_узла либо tracert ip-адрес, указав в параметре имя__узла или ip-адрес соответственно имя узла или IP-адрес удаленного компьютера;

•        выполните трассировку маршрута от локального компьютера к узлу www.microsoft.com <http://www.microsoft.com> (название узла условно: если ваш компьютер в Интернете, используйте любой адрес, а на занятиях в классе получите от преподавателя имена узлов, доступных в сети). Введите следующую команду: tracert www.microsoft.com <http://www.microsoft.com>;

•        выполните трассировку маршрута от локального компьютера к узлу www.microsoft.com <http://www.microsoft.com>, чтобы команда tracert не разрешала и не выводила на экран имена всех маршрутизаторов на пути. Введите следующую команду: tracert -d www.microsoft.com <http://www.microsoft.com>.

5. Окна терминала командной строки с результатами выполнения команд поместите в отчет по практическому занятию.

Контрольные вопросы

1.  Как настроить TCP/IP для получения статического IP-адреса?

2.   Как настроить TCP/IP для автоматического получения IP-адреса?

3.   К чему приведет последовательное выполнение команд ipcon- fig/release ipconfig/renew?

4.  Как проверить исправность подключения хоста к сети с использованием команды ping?

5.  Какая служба обеспечивает разрешение адреса по имени при выполнении команды ping имя хоста?

6.  Самостоятельно определите, как работают и какую информацию дают при выполнении команды Hostname, Route, NetStat.

 

Библиографический список

1.      Стинсон, Кр. Microsoft Windows Proffessional : справ. профессионала : пер. с англ. / Кр. Стинсон, К. Зихерт. - М. : ЭКОМ, 2003. - 816 с. - ISBN 5-7163-0104-5.

2.      Windows 2000: Server и Professional. Русские версии / А. Г. Андреев [и др.] ; под общ. ред. А. Н. Чекмарева и Д. Б. Вешнякова. - СПб. : БХВ-Петербург, 2004. - 1056 с. - ISBN 5-8206-0107-6.

3.      Managing and Maintaining a Microsoft Windows Server 2003 En- viroment : Microsoft Official Academic Course. - Microsoft Press, 2004.

4.      Microsoft Windows XP Professional : учеб. курс MCSA/MCSE : пер. с англ. - 2-е изд., испр. - М. : Русская редакция, 2004. - 704 с. - ISBN 5-7502-0250-Х.

5.      Шапир, Дж. Windows Server 2003. Библия пользователя : пер. с англ. / Дж. Шапир, Дж. Бой. - М. : Вильямс, 2004. - 1261 с. - ISBN 5-8459-0653-9.

Похожие работы на - Операционные системы, среды и оболочки

 

Не нашел материал для своей работы?
Поможем написать качественную работу
Без плагиата!