Similar presentations:
Администрирование локальной компьютерной сети
1.
Администрированиесетевых
операционных сетей
2.
Администрирование – процедуры управления,регламентирующие некоторые процессы или их часть. Как
правило, оно фиксирует и руководит процессами и
ситуациями, нуждающимися в ограничениях или целевом
управлении.
Основной целью системного
администрирования является приведение сети в
соответствие с целями и задачами, для которых она
предназначена. Достигается эта цель путём управления
сетью, позволяющего минимизировать затраты времени и
ресурсов, направляемых на управление системой, и в
тоже время максимизировать доступность,
производительность и продуктивность системы.
Управление сетью (Network management) –
целенаправленное воздействие на сеть, осуществляемое
для организации её функционирования по заданной
программе.
3.
Управление сетью включает следующие процедуры:включение и отключение системы, каналов передачи
данных, терминалов;
диагностика неисправностей;
сбор статистики;
подготовка отчётов и т.п.
С точки зрения модели OSI управление сетью
подразделяется на управление:
конфигурацией;
отказами;
безопасностью;
трафиком;
учётом.
4.
Задачи, решаемые в данной области,разбиваются на две группы:
Контроль за работой сетевого оборудования,
Управление функционированием сети в целом.
Конечной целью управления сетью является
достижение параметров функционирования ИС,
соответствующих потребностям пользователей.
Пользователи оценивают работу ИС не по
характеристикам сетевого трафика, применяемым
протоколам, времени отклика серверов на запросы
определённого типа и особенностям выполняемых
сценариев управления, а по поведению приложений,
ежедневно запускаемых на их настольных компьютерах.
5.
Интегрированная система управлениясетью (Integrated network management system, INMS) –
система управления, обеспечивающая объединение
функций, связанных с анализом, диагностикой и
управлением сетью.
Проекты развития административных механизмов
обычно включают в себя задачи постановки
стратегического управления, разработки политики
информационного обеспечения и доступа к
информационным ресурсам, а также программноаппаратным устройствам, системам и комплексам,
постановки и развития системы, совершенствование
непрерывного управления.
6.
ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТОРА СЕТИАдминистратор сети – специалист, отвечающий за
нормальное функционирование и использование
ресурсов автоматизированной системы и (или)
вычислительной сети.
Администрирование информационных систем включает
следующие цели:
Установка и настройка сети.
Поддержка её дальнейшей работоспособности.
Установка базового программного обеспечения.
Мониторинг сети.
7.
В связи с этим администратор сети должен выполнятьследующие задачи:
Планирование системы.
Установка и конфигурация аппаратных устройств.
Установка программного обеспечения.
Установка сети.
Архивирование (резервное копирование) информации.
Создание и управление пользователями.
Установка и контроль защиты.
Мониторинг производительности.
Обеспечение работоспособности системы требует и
осуществления профилактических мероприятий.
Администратор должен обеспечивать удовлетворение
санкционированных запросов пользователей.
8. Создание учетных записей пользователей и групп
Основнойчастью работы администратора является
создание учетных записей пользователей. Они
позволяют Microsoft Windows2000 управлять
информацией о пользователях, включая полномочия и
права доступа. Для этого служат:
• ActiveDirectoryUsers And Computers (ActiveDirectory—
пользователи и компьютеры) — средство
администрирования учетных записей в домене
ActiveDirectory;
• Local Users And Groups (Локальные пользователи и
группы) — средство администрирования учетных
записей на локальных компьютерах. В этой главе
описано создание учетных записей доменов,
локальных пользователей и групп.
9.
Учётная запись пользователя – это запись, котораясодержит сведения, необходимые для идентификации
пользователя при подключении к системе, а также
информацию для авторизации и учёта. Это имя пользователя и
пароль (или другое аналогичное средство аутентификации —
например, биометрические характеристики). Пароль или его
аналог, как правило, хранится в зашифрованном или
кэшированном виде (в целях его безопасности).
Для повышения надёжности могут быть, наряду с паролем,
предусмотрены альтернативные средства аутентификации —
например, специальный секретный вопрос такого содержания,
что ответ может быть известен только пользователю. Такие
вопросы и ответы также хранятся в учётной записи.
Учётная запись может содержать следующие
дополнительные анкетные данные о пользователе:
ФИО, псевдоним (ник), пол; национальность, возраст; дату
рождения; адрес электронной почты; адрес, номер мобильного
телефона; идентификатор Skype, др.
10.
Прежде чем создавать учетные записи, вы должныопределить политики, которые будете использовать при
их настройке в рамках организации.
Ключевая политика, которую нужно установить, —
схема именования учетных записей. Учетная запись
пользователя имеет отображаемое (или полное) имя
(display name) и имя для входа (logon name).
Первое отображается пользователю и упоминается в его
сеансах. Второе применяется при входе в домен.
11.
Правила для отображаемых именОтображаемое имя обычно является именем и
фамилией пользователя, по вы можете назначить ему
любое строковое значение.
При этом:
локальное отображаемое имя должно быть уникальным
на рабочей станции;
отображаемые имена должны быть уникальными во
всем домене;
отображаемые имена должны содержать не более 64
символов;
отображаемые имена могут содержать буквенноцифровые и специальные символы.
12.
Имена для входа задаются по таким правилам.1. Локальные имена для входа должны быть уникальны
на рабочей станции, а глобальные имена для входа — во
всем домене.
2. Имена для входа могут содержать до 104 символов,
однако имена длиной более 64 символов неудобно
использовать.
3. Имена для входа не могут содержать символов:
«\\ :;!-.+*?<>
4. Имена для входа могут содержать все другие
специальные символы, включая пробелы, точки, тире и
символы подчеркивания. Но вообще использование
пробелов в именах учетных записей не рекомендуется.
Имена пользователей хранят регистр, но не
чувствительны к нему.
13.
Схемы именованияДля назначения имени учетным записям необходимо
применять согласованную процедуру, которая позволит
расти базе пользователей, ограничит конфликты имен и
гарантирует, что у учетных записей защищенные имена.
Типы схем назначения имен могут быть следующими.
Имя и первая буква фамилии пользователя — имя
пользователя сочетается с первой буквой его фамилии.
Эта схема непрактична для больших организаций.
Первая буква имени и фамилия пользователя — первая
буква имени пользователя сочетается с фамилией. Эта
схема также непрактична для больших организаций.
14.
Инициалыи фамилия пользователя сочетаются с его
фамилией.
Инициалы и первые пять букв фамилии пользователя —
сочетаются инициалы пользователя с первыми пятью
буквами его фамилии
Имя и фамилия пользователя — вы сочетаете имя и
фамилию пользователя. Для разделения имени и
фамилии можно использовать символ подчеркивания ( _
) или дефис (-).
В системах с повышенной безопасностью имени для
входа можно назначить цифровой код длиной не менее 20
символов. Соединение такого метода назначения имен со
смарт-картами и устройствами для их чтения позволяет
пользователям быстро войти в сеть. У пользователей попрежнему будет отображаемое имя, удобное для чтения.
15.
Пароли и учетные политикиДля аутентификации доступа к ресурсам сети
учетные записи используют пароли и открытые
сертификаты.
Пароль — это чувствительная к регистру строка
длиной до 104 символов для службы каталогов
ActiveDirectory и до 14 — для диспетчера
безопасности. В паролях можно применять буквы,
цифры и знаки. ОС пароль в зашифрованном виде в
базе данных учетных записей.
Однако просто пароль не предотвратит
несанкционированного доступа к сетевым ресурсам.
Для этого необходимо применять защищенные пароли:
их труднее разгадать и взломать.
Можно затруднить взлом паролей, комбинируя все
возможные типы символов, включая буквы верхнего и
нижнего регистров, цифры и знаки.
16.
Настройка политики паролейПолитики паролей управляют безопасностью
паролей и позволяют задать следующие параметры:
Требовать
неповторимости паролей;
Максимальный
срок действия пароля;
Минимальный
срок действия пароля;
Минимальная
длина пароля;
Пароли
должны отвечать требованиям сложности;
Хранить
пароли всех пользователей в домене,
используя обратимое шифрование.
17.
Требовать неповторяемости паролейЭта политика указывает, насколько часто старые пароли
могут использоваться повторно. Она также может помешать
пользователям менять пароли один на другой из одного
общего набора. ОС может хранить до 24 паролей для
каждого пользователя в предыстории паролей. По
умолчанию хранится один пароль в предыстории. Чтобы
отключить контроль предыстории, обнулите размер
предыстории паролей, а чтобы включить — введите
количество запоминаемых паролей в поле Passwords
Remember.
Максимальный срок действия пароля
Параметр определяет, как долго пользователи могут
применять пароли, прежде чем изменить их. Это делается с
целью заставить пользователей периодически изменять
свои пароли. Значение этого параметра определяется
потребностями вашей сети. Чем важнее безопасность, тем
короче должен быть период действия. По умолчанию — 42
дня.
18.
Минимальныйсрок действия пароля
Параметр Minimum Password Age определяет, как
долго пользователи должны применять пароль, прежде
чем смогут изменить его. Этот параметр позволяет
помешать пользователям мошенничать с системой
паролей, вводя новый пароль, а затем изменяя его на
старый. По умолчанию ОС позволяет пользователям
изменять свой пароль сразу, но вы вправе задать
определенный минимальный срок, Рекомендуемое
значение — 3-7 дней.
Минимальная длина пароля
Параметр Minimum Password Length задает
минимальное количество символов для пароля.
Параметр Reset Account Lockout Threshold After
указывает частоту сброса счетчика неудачных попыток.
19.
Максимальноечисло неудачных попыток
Параметр Account Lockout Threshold определяет
количество попыток входа в сеть. Установите его
значение таким, чтобы оно сбалансировало
потребность предотвращения взлома учетной записи
и потребности пользователей, которым не удается
сразу получить доступ к своим учетным записям.
Рекомендуемый диапазон значений для порога —
от 7 до 15: это позволяет исключить ошибку
пользователя и в то же время помешать
взломщикам.
20.
Продолжительность блокировки учетной записиПараметр Account Lockout Duration задает период
времени, в течение которого учетная запись будет
заблокирована. Возможные значения — от 1 до 99 999
минут. Значение 0 блокирует учетную запись
неопределенное время: это лучшая политика безопасности,
так как при этом только администратор может
разблокировать учетную запись. Это должно предотвратить
попытки взломщиков получить доступ к системе повторно и
заставит пользователей, чьи учетные записи
заблокированы, искать помощи у администратора. Т.о., вы
можете определить, что пользователь делает неправильно,
и помочь ему избежать проблем в дальнейшем.
После блокировки учетной записи откройте окно свойств
учетной записи из консоли ActiveDirectoryUsers And
Computers (ActiveDirectory— пользователи и компьютеры) и
на вкладке Account (Учетная запись) сбросьте флажок
Account Is Locked (Учетная запись заблокирована). Это
разблокирует учетную запись.
21.
Частотасброса счетчика неудачных попыток
После каждой неудачной попытки входа в сеть ОС
увеличивает значение счетчика неправильных попыток
входа. Параметр Reset Account Lockout Threshold After
(Сброс счетчика блокировки учетной записи через)
определяет, как долго сохраняется значение этого
счетчика. В исходное состояние это значение
возвращается двумя путями: если пользователь вошел
в сеть успешно или с момента последней неудачной
попытки прошло время, указанное в параметре Reset
Account Lockout Threshold After. По умолчанию значение
счетчика блокировки сохраняется 1 минуту, но вы
можете задать интервал от 1 до 99 999 минут. Как и с
порогом блокировки, нужно выбрать значение, которое
сбалансирует потребности безопасности и удобства
доступа. Рекомендуемое значение — 1-2 часа.
22.
Максимальное время жизниПараметры Maximum Lifetime For Service Ticket и
Maximum Lifetime For User Ticket задают максимальное
время, в течение которого действительны служебные
или пользовательские билеты. По умолчанию
максимальное время жизни служебных билетов — 41
760 минут, а пользовательских — 720 часов. Нулевое
значения параметра соответствует неограниченному
сроку жизни. Билет, время жизни которого истекло,
может быть возобновлен, если это происходит в
Максимальное отклонение
Параметр Maximum Tolerance For Computer Clock
Synchronization — один из немногих, который, вероятно,
понадобится изменить. По умолчанию компьютеры в
домене должны быть синхронизированы друг с /другом
с точностью до 5 минут, иначе аутентификация
невозможна.
23.
Настройка политик прав пользователяВстроенные возможности учетных записей
изменять нельзя, но администратор может
управлять правами пользователя для учетных
записей, делать пользователей членами
соответствующей группы или групп.
Поэтому изменять политику прав пользователя
должны только опытные администраторы. Можно
назначать права пользователя через узел Local
Policies (Локальные политики) консоли групповых
политик. Администратор может настраивать
локальные политики как часть существующей
групповой политики для сайта, домена или
подразделения, тогда они применяются к учетным
записям компьютеров в сайте, домене или
подразделении.
24.
Добавление учетной записи пользователяНеобходимо создать учетную запись для каждого
пользователя, который хочет обращаться к сетевым ресурсам. Для
этого можно создать доменную учетную запись пользователя в
консоли ActiveDirectoryUsers And Computers (ActiveDirectory—
пользователи и компьютеры), а локальную учетную запись
пользователя — из консоли Local Users And Groups (Локальные
пользователи и группы).
Создание доменной учетной записи пользователя можно
произвести двумя способами:
1. Создание полностью новой учетной записи пользователя.
Щелкните правой кнопкой контейнер, в который вы хотите
поместить учетную запись пользователя, выберите в контекстном
меню New (Создать), а затем — User (Пользователь). Откроется
окно мастера New Object User (Новый объект — пользователь). К
созданной учетной записи применяются системные параметры по
умолчанию.
2. Создание новой учетной записи на основе существующей.
Вызовите контекстное меню правым щелчком учетной записи
пользователя, которую вы хотите скопировать в консоль
25.
2. Создание новой учетной записи на основе существующей.Вызовите контекстное меню правым щелчком учетной записи
пользователя, которую вы хотите скопировать в консоль
ActiveDirectoryUsers And Groups, и выберите Copy (Копировать).
Откроется мастер Copy Object — User, похожий на диалоговое окно
New User (Новый пользователь). Созданная копия учетной записи
получает большинство значений параметров от существующей.
26.
Добавление учетной записи группыУчетные записи групп позволяют управлять привилегиями
нескольких пользователей. Вы можете создавать глобальные
учетные записи групп в консоли ActiveDirectoryUsers And
Computers, а локальные — в консоли Local Users And Groups.
Можно выделить следующие типы групп.
Группы по отделам организации. Сотрудники одного отдела
обычно нуждаются в доступе к одним и тем же ресурсам.
Поэтому можно создавать группы по отделам, таким как отдел
развития бизнеса, отдел продаж, производственный отдел.
Группы по приложениям. Зачастую пользователям нужен доступ
к одному приложению и ресурсам для этого приложения.
Группы по должностям в организации. Группы могут быть
организованы по должностям пользователей в организации. Так,
должностным лицам, возможно, нужны ресурсы, к которым не
обращаются другие пользователи. Создавая группы, основанные
на должностях, вы даете пользователям доступ к ресурсам, и
которых они нуждаются.
27.
Удаление учетных записей пользователей и группУдалив учетную запись, нельзя создать новую с таким же
именем для получения тех же полномочий, поскольку SID новой
записи не будет совпадать с SID старой (Идентификатор
безопасности (Security Identifier (SID)). ОС не позволяет удалять
встроенные учетные записи пользователей групп, так как их
удаление может серьезно повлиять на домен. Чтобы удалить
учетные записи других типов, надо выбрать их и нажать клавишу
DEL.
При удалении учетной записи, ОС не удаляет профиль
пользователя, личные файлы и домашнюю папку. Эти файлы
можно удалить вручную. Администратору приходится часто
изменять или обнулять пароли пользователей. Обычно это
требуется, когда пользователи забывают свои пароли либо если
время действия их паролей истекло.
28.
http://adminbook.ru/index.php?men3=4/9
http://citforum.ru/operating_systems/intw
are_adm/ch3.shtml
http://www.studfiles.ru/preview/4254/
http://compress.ru/article.aspx?id=12484