Praca w sieci z serwerem

11
Praca w sieci
z serwerem
Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej,
jak i w sieci z serwerem. Sieć klient-serwer oznacza podłączenie pojedynczego użytkownika z pojedynczej stacji roboczej do sieci zarządzanej przez serwer lub serwery —
wydajne komputery, które zarządzają siecią i uprawnieniami użytkowników, a także
udostępniają zasoby.
11.1. Domena Active Directory
DEFINICJA
Jednym z przykładów sieci typu klient-serwer jest Active Directory — usługa katalogowa oferowana przez firmę Microsoft. Usługa oferuje scentralizowane zarządzanie
zasobami sieciowymi, przypisywanie uprawnień oraz szereg usług dodatkowych takich
jak DNS, DHCP czy serwer stron WWW.
Aby centralnie zarządzać siecią, należy określić, jakie zasoby sieci są dostępne oraz
kto z nich korzysta i na jakich prawach. Informacje te zapisywane są w katalogu (ang.
directory) — specjalnej bazie danych obiektów sieciowych. Active Directory to nazwa
usługi zarządzającej zasobami sieciowymi, w tym przede wszystkim prawami dostępu.
Pozwala ponadto dodawać nowych użytkowników i grupy.
Komputer, na którym uruchomiona została usługa Active Directory, nazywany jest
podstawowym kontrolerem domeny. Jest on odpowiedzialny za uwierzytelnianie
użytkowników logujących się do sieci i komunikację z innymi domenami. Przechowuje informacje o współdzielonych zasobach, użytkownikach i komputerach pracujących w sieci. Administrator domeny ma możliwość określenia dostępu poszczególnych
użytkowników do danych, urządzeń sieciowych, a nawet aplikacji. W sieciach często
sieci_komputerowe.indb 186
2010-04-08 12:57:41
11.1. Domena Active Directory
stosowane są dodatkowe (zapasowe) kontrolery domeny, które mają na celu poprawienie wydajności sieci i zapewnienie bezpieczeństwa na wypadek awarii.
Podstawowym mechanizmem wykorzystywanym przez usługę Active Directory do
identyfikacji obiektów jest DNS (ang. Domain Name System). Służy on do nadawania
nazw urządzeniom zaadresowanym przez numeryczny adres IP. Domeny DNS budowane są w sposób hierarchiczny; taki sam mechanizm zastosowany został w domenach Active Directory.
DNS jest zasadniczą częścią usługi Active Directory. Należy jednak odróżniać domenę DNS, czyli urządzenia przypisane do sieci identyfikowanej za pomocą zarejestrowanej nazwy domeny, od domeny Active Directory, czyli logicznej grupy użytkowników, komputerów i innych obiektów sieci podlegającej prawom ustalanym przez
administratora.
W domenie Active Directory występują jednostki organizacyjne pozwalające na logiczny podział zasobów sieciowych, na przykład odpowiadający strukturze firmy. Taki podział pozwala na lepsze zarządzanie zasobami sieciowymi. Prawa dostępu i ustawienia
przypisywane są jednostkom organizacyjnym i dziedziczone przez przypisane do nich
obiekty — użytkowników i komputery.
11.1.1. Podłączenie do domeny
WSKAZÓWKA
Aby możliwe było korzystanie z sieci opartej na usłudze Active Directory, wymagane
jest używanie systemu operacyjnego w wersji przeznaczonej dla zastosowań biznesowych. Wersje systemu dla użytkowników domowych nie zawierają mechanizmu pracy
w domenie.
Aby podłączyć się do domeny Active Directory, należy mieć konto użytkownika domeny, które przydziela administrator. Użytkownik musi mieć również prawo przyłączenia
komputera do domeny, a więc musi należeć do grupy Administratorzy.
W celu podłączenia się do domeny należy w Panelu sterowania wybrać narzędzie System, w oknie Właściwości systemu wybrać zakładkę Nazwa komputera, a następnie
kliknąć przycisk Zmień. W oknie Zmiany nazwy komputera/domeny (rysunek 11.1)
należy wprowadzić nazwę domeny, do której użytkownik chce się podłączyć, podać
hasło użytkownika uprawnionego do podłączenia do domeny, a następnie zrestartować komputer. W systemie Windows Vista zmianę przynależności do domeny można
przeprowadzić w oknie Zaawansowane ustawienia systemu dostępnym w oknie właściwości systemu.
187
sieci_komputerowe.indb 187
2010-04-08 12:57:41
Rozdział 11 t Praca w sieci z serwerem
Rysunek 11.1. Podłączenie do domeny Active Directory
11.1.2. Uwierzytelnianie użytkownika
Po ponownym uruchomieniu komputera zmianie ulega ekran logowania. Logowanie
do domeny wyklucza użycie ekranu powitalnego systemu Windows. Wyświetlane jest
okno dialogowe, w którym należy wpisać nazwę i hasło użytkownika oraz wybrać
sposób logowania — do domeny lub do komputera lokalnego (rysunek 11.2). Logowanie do domeny powoduje przypisanie praw, które zostały ustalone dla użytkownika przez administratora sieci. Jeśli użytkownik, który zalogował się do komputera
lokalnego, zechce uzyskać dostęp do zasobów sieciowych, będzie musiał każdorazowo
przeprowadzić autoryzację.
Rysunek 11.2.
Okno logowania do domeny
Active Directory
WSKAZÓWKA
Podstawową korzyścią z wdrożenia domen jest centralne zarządzanie prawami. Użytkownik zalogowany do domeny może swobodnie korzystać z zasobów sieciowych,
a administrator — łatwo zarządzać obiektami sieci. Dużą zaletą zarządzania siecią
opartą na domenach Windows jest centralne administrowanie i możliwość zdalnego
konfigurowania systemów klienckich.
Aby możliwe było zalogowanie się do domeny, jej administrator musi utworzyć domenowe konto użytkownika. W usłudze Active Directory wyróżnia się dwa rodzaje kont.
188
sieci_komputerowe.indb 188
2010-04-08 12:57:41
11.1. Domena Active Directory
Konta użytkowników pozwalają na logowanie się indywidualnych użytkowników do
zasobów sieciowych. Konta grup tworzone są w celu zarządzania wieloma użytkownikami jednocześnie.
Uprawnienia nadawane użytkownikom są jednym z kluczowych elementów zabezpieczeń systemu. Na zabezpieczenia zasobów sieciowych składają się dwa elementy
— uwierzytelnianie użytkowników oraz kontrola dostępu. Uwierzytelnianie obejmuje dwie fazy: logowanie do komputera i uwierzytelnianie sieciowe. Gdy użytkownik
loguje się na komputerze, sprawdzana jest jego tożsamość oraz nadawane są uprawnienia do usługi Active Directory. Uwierzytelnianie sieciowe sprawdza uprawnienia
użytkownika przy każdym odwołaniu do zasobów sieciowych.
11.1.3. Przeglądanie zasobów sieciowych
Dostęp do zasobów sieciowych możliwy jest tylko wtedy, gdy użytkownik ma do nich
prawa dostępu nadane przez właściciela zasobu lub administratora. Aby przeglądać
zasoby sieciowe, należy otworzyć folder Moje miejsca sieciowe (lub Sieć), a następnie
wybrać komputer udostępniający poszukiwane zasoby.
Sposób ten może okazać się niezbyt wydajny w przypadku dużej liczby komputerów
podłączonych do sieci. W takiej sytuacji można skorzystać z mechanizmu przeszukiwania usługi Active Directory. W tym celu należy kliknąć łącze Wyszukaj w usłudze Active
Directory w folderze Moje miejsca sieciowe. Wyświetlone zostanie okno pozwalające na
wyszukanie w domenie różnego rodzaju obiektów — komputerów czy użytkowników
zasobów udostępnionych (rysunek 11.3). Wyszukiwanie może być przeprowadzone
według różnych kluczy: nazwy komputera, nazwy użytkownika, przynależności do
wybranego działu itp.
Rysunek 11.3.
Wyszukiwanie w domenie
Podobnie jak w przypadku zasobów udostępnionych w sieciach równoprawnych, istnieje
możliwość mapowania dysków, co pozwala na stałe korzystanie ze zdalnych zasobów.
189
sieci_komputerowe.indb 189
2010-04-08 12:57:41
Rozdział 11 t Praca w sieci z serwerem
11.1.4. Konta użytkowników
i komputerów w domenie
W przypadku komputera podłączonego do domeny autoryzacja użytkowników przeprowadzana jest na kontrolerze domeny — serwerze, który gromadzi informacje o zabezpieczeniach sieci. Takie rozwiązanie pozwala na podłączenie użytkownika do sieci
niezależnie od komputera. Centralne zarządzanie kontami pozwala także na łatwiejsze
przypisywanie praw dostępu — wszystko odbywa się na centralnym serwerze sieci.
Konta użytkowników i komputerów w domenie odpowiadają fizycznym osobom
i urządzeniom. Mogą być łączone w grupy, co pozwala na stosowanie zabezpieczeń
dla wielu kont jednocześnie.
Na komputerze będącym kontrolerem domeny konta użytkowników i komputerów
reprezentowane są przez obiekty, którym mogą być przypisywane ograniczenia lub
uprawnienia dostępu do zasobów sieci.
Dla każdego komputera podłączanego do domeny zostaje stworzone konto, które pozwala na uwierzytelnianie i sprawdzanie jego praw dostępu do sieci i zasobów domeny.
DEFINICJA
W systemach Windows część parametrów systemu określana jest przez zasady grupy
(ang. group policy). Dzielą się one na parametry konfiguracyjne komputera oraz parametry konfiguracyjne użytkownika. Zasady dotyczące komputera wprowadzane są
w czasie jego uruchomienia, zasady dotyczące użytkowników wczytywane są w trakcie
logowania.
WSKAZÓWKA
Ustawienia zasad grupy są przetwarzane w następującej kolejności:
qq lokalne zasady grupy;
qq z asady grupy dla lokacji — dotyczą obiektów połączonych z daną lokacją
(przetwarzanie odbywa się synchronicznie i w kolejności określonej przez administratora);
qq zasady grupy dla domeny;
qq z asady grupy dla jednostki organizacyjnej — najpierw przetwarzane są obiekty
połączone z jednostką organizacyjną znajdującą się najwyżej w hierarchii usługi
Active Directory, następnie obiekty połączone z jej podrzędną jednostką organizacyjną, a na końcu obiekty połączone z jednostką organizacyjną, do której należy
dany użytkownik lub komputer.
190
sieci_komputerowe.indb 190
2010-04-08 12:57:41