Praca w sieci z serwerem
Transkrypt
Praca w sieci z serwerem
11 Praca w sieci z serwerem Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej, jak i w sieci z serwerem. Sieć klient-serwer oznacza podłączenie pojedynczego użytkownika z pojedynczej stacji roboczej do sieci zarządzanej przez serwer lub serwery — wydajne komputery, które zarządzają siecią i uprawnieniami użytkowników, a także udostępniają zasoby. 11.1. Domena Active Directory DEFINICJA Jednym z przykładów sieci typu klient-serwer jest Active Directory — usługa katalogowa oferowana przez firmę Microsoft. Usługa oferuje scentralizowane zarządzanie zasobami sieciowymi, przypisywanie uprawnień oraz szereg usług dodatkowych takich jak DNS, DHCP czy serwer stron WWW. Aby centralnie zarządzać siecią, należy określić, jakie zasoby sieci są dostępne oraz kto z nich korzysta i na jakich prawach. Informacje te zapisywane są w katalogu (ang. directory) — specjalnej bazie danych obiektów sieciowych. Active Directory to nazwa usługi zarządzającej zasobami sieciowymi, w tym przede wszystkim prawami dostępu. Pozwala ponadto dodawać nowych użytkowników i grupy. Komputer, na którym uruchomiona została usługa Active Directory, nazywany jest podstawowym kontrolerem domeny. Jest on odpowiedzialny za uwierzytelnianie użytkowników logujących się do sieci i komunikację z innymi domenami. Przechowuje informacje o współdzielonych zasobach, użytkownikach i komputerach pracujących w sieci. Administrator domeny ma możliwość określenia dostępu poszczególnych użytkowników do danych, urządzeń sieciowych, a nawet aplikacji. W sieciach często sieci_komputerowe.indb 186 2010-04-08 12:57:41 11.1. Domena Active Directory stosowane są dodatkowe (zapasowe) kontrolery domeny, które mają na celu poprawienie wydajności sieci i zapewnienie bezpieczeństwa na wypadek awarii. Podstawowym mechanizmem wykorzystywanym przez usługę Active Directory do identyfikacji obiektów jest DNS (ang. Domain Name System). Służy on do nadawania nazw urządzeniom zaadresowanym przez numeryczny adres IP. Domeny DNS budowane są w sposób hierarchiczny; taki sam mechanizm zastosowany został w domenach Active Directory. DNS jest zasadniczą częścią usługi Active Directory. Należy jednak odróżniać domenę DNS, czyli urządzenia przypisane do sieci identyfikowanej za pomocą zarejestrowanej nazwy domeny, od domeny Active Directory, czyli logicznej grupy użytkowników, komputerów i innych obiektów sieci podlegającej prawom ustalanym przez administratora. W domenie Active Directory występują jednostki organizacyjne pozwalające na logiczny podział zasobów sieciowych, na przykład odpowiadający strukturze firmy. Taki podział pozwala na lepsze zarządzanie zasobami sieciowymi. Prawa dostępu i ustawienia przypisywane są jednostkom organizacyjnym i dziedziczone przez przypisane do nich obiekty — użytkowników i komputery. 11.1.1. Podłączenie do domeny WSKAZÓWKA Aby możliwe było korzystanie z sieci opartej na usłudze Active Directory, wymagane jest używanie systemu operacyjnego w wersji przeznaczonej dla zastosowań biznesowych. Wersje systemu dla użytkowników domowych nie zawierają mechanizmu pracy w domenie. Aby podłączyć się do domeny Active Directory, należy mieć konto użytkownika domeny, które przydziela administrator. Użytkownik musi mieć również prawo przyłączenia komputera do domeny, a więc musi należeć do grupy Administratorzy. W celu podłączenia się do domeny należy w Panelu sterowania wybrać narzędzie System, w oknie Właściwości systemu wybrać zakładkę Nazwa komputera, a następnie kliknąć przycisk Zmień. W oknie Zmiany nazwy komputera/domeny (rysunek 11.1) należy wprowadzić nazwę domeny, do której użytkownik chce się podłączyć, podać hasło użytkownika uprawnionego do podłączenia do domeny, a następnie zrestartować komputer. W systemie Windows Vista zmianę przynależności do domeny można przeprowadzić w oknie Zaawansowane ustawienia systemu dostępnym w oknie właściwości systemu. 187 sieci_komputerowe.indb 187 2010-04-08 12:57:41 Rozdział 11 t Praca w sieci z serwerem Rysunek 11.1. Podłączenie do domeny Active Directory 11.1.2. Uwierzytelnianie użytkownika Po ponownym uruchomieniu komputera zmianie ulega ekran logowania. Logowanie do domeny wyklucza użycie ekranu powitalnego systemu Windows. Wyświetlane jest okno dialogowe, w którym należy wpisać nazwę i hasło użytkownika oraz wybrać sposób logowania — do domeny lub do komputera lokalnego (rysunek 11.2). Logowanie do domeny powoduje przypisanie praw, które zostały ustalone dla użytkownika przez administratora sieci. Jeśli użytkownik, który zalogował się do komputera lokalnego, zechce uzyskać dostęp do zasobów sieciowych, będzie musiał każdorazowo przeprowadzić autoryzację. Rysunek 11.2. Okno logowania do domeny Active Directory WSKAZÓWKA Podstawową korzyścią z wdrożenia domen jest centralne zarządzanie prawami. Użytkownik zalogowany do domeny może swobodnie korzystać z zasobów sieciowych, a administrator — łatwo zarządzać obiektami sieci. Dużą zaletą zarządzania siecią opartą na domenach Windows jest centralne administrowanie i możliwość zdalnego konfigurowania systemów klienckich. Aby możliwe było zalogowanie się do domeny, jej administrator musi utworzyć domenowe konto użytkownika. W usłudze Active Directory wyróżnia się dwa rodzaje kont. 188 sieci_komputerowe.indb 188 2010-04-08 12:57:41 11.1. Domena Active Directory Konta użytkowników pozwalają na logowanie się indywidualnych użytkowników do zasobów sieciowych. Konta grup tworzone są w celu zarządzania wieloma użytkownikami jednocześnie. Uprawnienia nadawane użytkownikom są jednym z kluczowych elementów zabezpieczeń systemu. Na zabezpieczenia zasobów sieciowych składają się dwa elementy — uwierzytelnianie użytkowników oraz kontrola dostępu. Uwierzytelnianie obejmuje dwie fazy: logowanie do komputera i uwierzytelnianie sieciowe. Gdy użytkownik loguje się na komputerze, sprawdzana jest jego tożsamość oraz nadawane są uprawnienia do usługi Active Directory. Uwierzytelnianie sieciowe sprawdza uprawnienia użytkownika przy każdym odwołaniu do zasobów sieciowych. 11.1.3. Przeglądanie zasobów sieciowych Dostęp do zasobów sieciowych możliwy jest tylko wtedy, gdy użytkownik ma do nich prawa dostępu nadane przez właściciela zasobu lub administratora. Aby przeglądać zasoby sieciowe, należy otworzyć folder Moje miejsca sieciowe (lub Sieć), a następnie wybrać komputer udostępniający poszukiwane zasoby. Sposób ten może okazać się niezbyt wydajny w przypadku dużej liczby komputerów podłączonych do sieci. W takiej sytuacji można skorzystać z mechanizmu przeszukiwania usługi Active Directory. W tym celu należy kliknąć łącze Wyszukaj w usłudze Active Directory w folderze Moje miejsca sieciowe. Wyświetlone zostanie okno pozwalające na wyszukanie w domenie różnego rodzaju obiektów — komputerów czy użytkowników zasobów udostępnionych (rysunek 11.3). Wyszukiwanie może być przeprowadzone według różnych kluczy: nazwy komputera, nazwy użytkownika, przynależności do wybranego działu itp. Rysunek 11.3. Wyszukiwanie w domenie Podobnie jak w przypadku zasobów udostępnionych w sieciach równoprawnych, istnieje możliwość mapowania dysków, co pozwala na stałe korzystanie ze zdalnych zasobów. 189 sieci_komputerowe.indb 189 2010-04-08 12:57:41 Rozdział 11 t Praca w sieci z serwerem 11.1.4. Konta użytkowników i komputerów w domenie W przypadku komputera podłączonego do domeny autoryzacja użytkowników przeprowadzana jest na kontrolerze domeny — serwerze, który gromadzi informacje o zabezpieczeniach sieci. Takie rozwiązanie pozwala na podłączenie użytkownika do sieci niezależnie od komputera. Centralne zarządzanie kontami pozwala także na łatwiejsze przypisywanie praw dostępu — wszystko odbywa się na centralnym serwerze sieci. Konta użytkowników i komputerów w domenie odpowiadają fizycznym osobom i urządzeniom. Mogą być łączone w grupy, co pozwala na stosowanie zabezpieczeń dla wielu kont jednocześnie. Na komputerze będącym kontrolerem domeny konta użytkowników i komputerów reprezentowane są przez obiekty, którym mogą być przypisywane ograniczenia lub uprawnienia dostępu do zasobów sieci. Dla każdego komputera podłączanego do domeny zostaje stworzone konto, które pozwala na uwierzytelnianie i sprawdzanie jego praw dostępu do sieci i zasobów domeny. DEFINICJA W systemach Windows część parametrów systemu określana jest przez zasady grupy (ang. group policy). Dzielą się one na parametry konfiguracyjne komputera oraz parametry konfiguracyjne użytkownika. Zasady dotyczące komputera wprowadzane są w czasie jego uruchomienia, zasady dotyczące użytkowników wczytywane są w trakcie logowania. WSKAZÓWKA Ustawienia zasad grupy są przetwarzane w następującej kolejności: qq lokalne zasady grupy; qq z asady grupy dla lokacji — dotyczą obiektów połączonych z daną lokacją (przetwarzanie odbywa się synchronicznie i w kolejności określonej przez administratora); qq zasady grupy dla domeny; qq z asady grupy dla jednostki organizacyjnej — najpierw przetwarzane są obiekty połączone z jednostką organizacyjną znajdującą się najwyżej w hierarchii usługi Active Directory, następnie obiekty połączone z jej podrzędną jednostką organizacyjną, a na końcu obiekty połączone z jednostką organizacyjną, do której należy dany użytkownik lub komputer. 190 sieci_komputerowe.indb 190 2010-04-08 12:57:41