Самоучитель системного администратора. 5-е издание

ГЛ А В А
4 
Информационные системы 
предприятия 
Эта глава посвящена построению информационной системы предприятия. Задача 
весьма не простая, поскольку нужно учитывать множество факторов: местополо-
жение офисов, количество сотрудников, бизнес-процесс и т. п. 
SOHO-сети 
Домашние сети и сети небольших предприятий называют 
SOHO-сетями
(Small 
Office Home Office). В таких сетях к функционированию сети не предъявляются 
особых требований: установили маршрутизатор Wi-Fi, настроили немногочислен-
ные клиенты, возможно, «расшарили» ресурсы (папки, принтеры) — и сеть готова 
к употреблению. Самое главное, что у всех пользователей сети есть доступ к Ин-
тернету, они могут открывать общие документы и печатать на общем принтере. Все 
пользователи хорошо знают друг друга, поэтому нет смысла в каком-либо разделе-
нии прав доступа к ресурсам. 
Создать такие системы очень просто. Как уже было отмечено ранее, можно исполь-
зовать беспроводной маршрутизатор, а можно выполнить прокладку кабельной
сети. Из оборудования понадобится только коммутатор (если сеть кабельная)
и устройство, которое будет предоставлять доступ к Интернету (ADSL-модем, ап-
паратный маршрутизатор или же компьютер, являющийся программным шлюзом). 
Для создания такой сети не нужна особая квалификация и какие бы то ни было 
специальные знания — достаточно знания основ работы сети и минимальных
навыков работы с сетевым оборудованием. 
Как уже отмечалось, для доступа к Интернету лучше приобрести отдельный мар-
шрутизатор. Дело в том, что если настроить в качестве шлюза стационарный ком-
пьютер, он должен будет работать постоянно, иначе другие пользователи сети не 
смогут получить доступ к Интернету. О разнице в потребляемой электроэнергии 
между стационарным компьютером (с блоком питания на 400–450 Вт) и маленькой 
«коробочкой», полагаем, говорить не стоит. Кроме всего прочего, аппаратный 
маршрутизатор не только является шлюзом, но и предоставляет услуги DHCP-
сервера. Другими словами, вам нужно лишь установить и включить эту «коробоч-

140 
Глава 4 
ку», выполнив минимальную настройку (вроде задания пароля доступа к Wi-Fi). На 
настройку стационарного компьютера вы потратите гораздо больше времени. 
У настройки SOHO-сетей есть несколько особенностей. Первая связана с группой 
Все
в Windows. Наверняка все знают о наличии такой группы. Однако нужно
понимать, что слово «все» означает здесь не в прямом смысле «все» (т. е. кто угод-
но), а «все учетные записи, зарегистрированные на этом компьютере». В системе 
должны быть созданы пользователи, соответствующие текущим пользователям 
каждой
рабочей станции сети (с идентичными именами и паролями). Другими сло-
вами, если на одном компьютере есть пользователь 
Андрей
с паролем 
123
, а на вто-
ром — пользователь 
Маша
с паролем 
321
, то на первом компьютере нужно создать 
пользователя 
Маша
(пароль 
321
), а на втором — пользователя 
Андрей
(пароль 
123
).
И если на рабочей станции Windows нет учетной записи с именем и паролем поль-
зователя, пытающегося подключиться к ней с другой станции (а обычно операция 
производится от имени того, кто работает на компьютере), то в подключении будет 
отказано. 
При этом, если пароль одного из пользователей изменится, его нужно будет поме-
нять на всех рабочих станциях сети. Согласитесь, не очень удобно, но, увы, пока
в сети не будет службы каталогов (Active Directory), работать с этой сетью придет-
ся именно так. Можно, конечно, пренебречь требованиями безопасности и создать 
на всех компьютерах одну и ту же учетную запись пользователя с пустым паро-
лем... На практике так часто и поступают. 
Есть и другой способ решения этой проблемы — включить учетную запись 
Гость
, 
которая по умолчанию заблокирована. Это самый простой способ, но он не позво-
ляет выборочно контролировать или как-либо ограничивать доступ к ресурсам, по-
скольку все подключения к компьютеру будут осуществляться от имени одной 
учетной записи. При этом предоставленный в общее пользование ресурс станет 
доступен любому пользователю. 
Вторая особенность SOHO-сетей — искусственное ограничение на количество 
подключений. Максимальное количество подключений по такой сети — всего 10.
А это означает, что если к какому-либо сетевому ресурсу, — например, к общей 
папке — попытаются одновременно подключиться 11 пользователей, то соедине-
ние 11-го будет сброшено. 
Имеются в SOHO-сетях ограничения и по количеству одновременно открытых по 
сети файлов. К сожалению, это условие становится критичным при использовании 
популярной бухгалтерской программы «1С:Предприятие» — даже при работе в ней 
трех-четырех пользователей уже возникают проблемы. 
Самый простой способ обойти эти ограничения (и на количество файлов, и на ко-
личество подключений) — установить на один из компьютеров операционную сис-
тему Linux и разместить на нем все общие ресурсы, настроив пакет Samba. 
Какие операционные системы использовать в SOHO-сетях? Учитывая, что пользо-
ватели, как правило, чаще всего более знакомы с Windows, нет смысла предлагать 
им нечто иное. Windows — оптимальный вариант для таких сетей. Не стоит при- 
обретать и топовые выпуски Windows: для SOHO-сети вполне достаточно Win- 

Информационные системы предприятия 
141 
dows 10 Home, стоимость ее существенно ниже профессиональных выпусков, — 
разница в цене домашнего (Home) и профессионального (Windows 10 Pro) выпуска 
приближается к 6 тыс. рублей. Умножьте это на количество компьютеров в сети
и подсчитайте общую сумму выигрыша. Различие между выпусками касается,
в основном, вопросов безопасности при работе в составе домена и не существенно 
в данном случае. Нет смысла переплачивать за функционал, которым вы не будете 
пользоваться. 
Одноранговые сети 
Рассмотренные в предыдущем разделе SOHO-сети являются частным случаем
одноранговой сети. 
В одноранговой сети отсутствуют какие-либо централизованно 
реализуемые правила, и каждый компьютер в ней управляется автономно. Управ-
лением ресурсами компьютера в такой сети занимается локальный администратор. 
Чтобы объединить компьютеры в одноранговую сеть, достаточно всего лишь соз-
дать структуру сети: провести кабели или обзавестись беспроводным маршрутиза-
тором. Далее администратор должен определить, какие ресурсы локальной системы 
будут предоставляться в общее пользование, с какими правами и т. д. 
Одноранговую сеть имеет смысл организовывать, если количество компьютеров не 
превышает двух десятков. В противном случае администрирование такой сети ста-
новится слишком сложным. При росте числа компьютеров целесообразно органи-
зовывать сети на основе централизованного управления. 
Сеть с централизованным управлением 
В сетях среднего и большого размера (от 20 компьютеров) принято использовать 
систему централизованного управления. При этом параметры учетных записей 
хранятся централизованно в службе каталогов, что дает возможность не дублиро-
вать все учетные записи на каждом компьютере. 
В случае с Windows службой каталогов является Active Directory, в Linux — LDAP
1
. 
Справедливости ради нужно отметить, что Linux может работать в составе домена 
Active Directory и даже быть контроллером домена Active Directory. 
При использовании Active Directory каждый компьютер может управляться не 
только локальным администратором, но и администратором домена. 
Управление локальными ресурсами 
Чтобы централизованно управлять компьютером, его нужно включить в домен. 
Включить в домен можно как компьютер под управлением Windows, так и Linux. 
1
LDAP — (от англ. Lightweight Directory Access Protocol, облегченный протокол доступа к катало-
гам) — относительно простой протокол, использующий TCP/IP и позволяющий производить опера-
ции аутентификации, поиска и сравнения, а также операции добавления, изменения или удаления 
записей. 

142 
Глава 4 
Обычно систему добавляют в домен с локальной консоли. Эта операция включена
в меню свойств компьютера на вкладке сетевой идентификации. Она должна вы-
полняться с правами локального администратора. Кроме того, необходимо знать 
идентификационные данные (имя пользователя и пароль) учетной записи, которая 
имеет право добавлять компьютеры в домен. 
П
РИМЕЧАНИЕ
Операцию можно выполнить из командной строки с помощью утилиты netdom командой: 
netdom join 
ComputerName
/
Domain
DomainName
/
UserD
DomainUserUPN
/
PasswordD
* /
User0
ComputerAdminUser
/
Password0
* /
Reboot
Эта команда позволяет осуществить операцию подключения и 
удаленно
. Однако пер-
воначальная установка Windows имеет политику безопасности, разрешающую 
только
локальное выполнение такой операции. 
Возможность добавлять рабочие станции в домен 
Начиная с ОС Windows 2000, право добавлять рабочие станции в домен предостав-
лено обычным пользователям домена. Но с ограничением — не более десяти стан-
ций. В некоторых случаях желательно разрешить пользователю превысить этот
лимит. 
Обычные рекомендации для изменения такого лимита сводятся к тому, чтобы отре-
дактировать права доступа к объекту 
Организационное Подразделение
(Organi-
zation Unit, OU) — предоставить конкретному пользователю право создания объек-
тов типа «компьютер» и модификации его атрибутов. Операция легко выполняется 
настройкой соответствующих свойств безопасности для OU в оснастке управления 
AD (
Active Directory | Cлужба каталогов
). Но это не единственная возможность
и далеко не лучшая. 
Если необходимо изменить лимит, установленный для 
всех
пользователей, то сле-
дует модифицировать атрибуты объекта службы каталогов. Количество рабочих 
станций, которое пользователь может добавить в домен, определяется атрибутом 
ms-DS-MachineAccountQuota
объекта 
домен
. Для его изменения достаточно вос-
пользоваться программой 
Редактирование ADSI
и установить желаемое значение 
(рис. 4.1). Установка значения этого параметра в 0 предоставляет пользователям 
право добавлять в домен 
неограниченное
количество компьютеров. 
Чтобы добраться до атрибута 
ms-DS-MachineAccountQuota
, нужно выполнить 
следующие действия: 
1.
Запустите оснастку 
Редактирование ADSI
(
Adsiedit.msc
). 
2.
Выберите команду 
Действие | Подключиться к
. В открывшемся окне выберите 
службу каталогов, к которой хотите подключиться. 
3.
Щелкните правой кнопкой мыши на узле, который начинается символами 
DC=
, 
и выберите команду 
Свойства
. 
4.
В открывшемся окне на вкладке 
Редактор атрибутов
выберите атрибут 
ms-DS-
MachineAccountQuota
и нажмите кнопку 
Изменить
. 
5.
Введите новое значение, нажмите кнопку 
OK
, а затем — 
Применить
. 

Информационные системы предприятия 
143 
Рис. 4.1. 
Изменение квоты на добавление компьютеров в домен (Windows Server 2016) 
Рис. 4.2. 
Создание объекта 
компьютер
с делегированием его подключения к домену 

144 
Глава 4 
Более целесообразно не пускать создание новых систем в домене «на самотек». 
Администратору следует создать объекты типа 
компьютер
в службе каталогов и 
предоставить право подключения этих компьютеров в домен соответствующим 
пользователям, для чего надо в момент их создания выбрать опцию 
Изменить
и 
определить пользователя, которому будет предоставлено такое право (рис. 4.2). 
Удаление устаревших записей о компьютерах и пользователях 
Со временем старые компьютеры заменяют новыми. То же самое происходит и
с учетными записями пользователей: появляются новые работники, старые — ухо-
дят. Часто бывает так, что старые учетные записи сотрудников не блокируются
после их увольнения. 
«Вычислить» старые учетные записи довольно просто — в службе каталогов хра-
нится информация о последнем входе в домен соответствующей учетной записи. 
Администратору нужно просто найти и удалить устаревшие записи. Найти неак-
тивные учетные записи можно с помощью команды 
dsquery
: 
dsquery user -inactive 5 
Эта команда выводит список пользователей (
user
), которые не работали (
inactive
) 
в течение последних 5 недель. Если вы давно не чистили службы каталогов, то вы-
вод будет весьма длинным. 
Изменения настроек системы при подключении ее к домену 
При добавлении станции в состав домена производится ряд изменений настроек 
Windows: 
во-первых, назначаются новые ресурсы для совместного использования. Так, 
предоставляются для совместного использования корневые каталоги локальных 
дисков (под именами 
C$
, 
D$
и т. д.), каталог установки системы (
ADMIN$
), созда-
ются совместные ресурсы: 
IPC$
(служит для установки соединений по имено-
ванному каналу — named pipes), 
PRINT$
(для управления принтерами) и 
FAX$
(при наличии факса с совместным доступом). Эти ресурсы носят название 
адми-
нистративных
, поскольку они предназначены для управления системами. 
Эти ресурсы 
невидимы
при просмотре сети (как и все другие ресурсы совмест-
ного использования, имя которых заканчивается знаком 
$
). Если вы попытаетесь 
удалить их, то после перезагрузки системы они вновь восстановятся. Отключить 
эти ресурсы можно только настройкой реестра системы; 
во-вторых, в локальную группу безопасности 
Администраторы 
добавляется 
группа администраторов домена, а в группу локальных пользователей — группа 
пользователей домена. Именно потому, что администратор предприятия состоит 
в группе локальных администраторов, он и получает право управления этим 
компьютером. А пользователи домена могут работать в системе, поскольку они 
состоят в группе пользователей домена, входящей в группу пользователей этого 
компьютера. 

Информационные системы предприятия 
145 
П
РИМЕЧАНИЕ
При входе пользователей домена на рабочую станцию система использует данные 
учетных записей (имя, пароль, установленные ограничения и т. п.), хранимые на кон-
троллерах домена. Обычно политикой безопасности разрешено кэширование не-
скольких паролей пользователя, что позволяет последнему войти в систему даже при 
отсутствии связи с контроллером домена, используя параметры последнего входа. 
Если работу начинает локальный пользователь, то данные берутся из локальной базы 
учетных записей. 
Локальный администратор против доменного 
У некоторых пользователей централизованное управление вызывает негативную 
реакцию. Опытные пользователи вполне могут наложить ограничения на реализа-
цию тех или иных функций управления. Рассмотрим некоторые такие возмож- 
ности. 
П
РИМЕЧАНИЕ
Опытный пользователь, работающий на локальном компьютере, всегда может полу-
чить пароль локального администратора, необходимый для выполнения описываемых 
операций, использовав, например, способы
восстановления пароля администратора. 
Исключение компьютера из домена 
Один из самых эффективных способов блокирования централизованного управле-
ния — это исключение локальной системы из домена. Достаточно отключить ком-
пьютер от сети и в свойствах системы изменить ее сетевую идентификацию — вме-
сто домена указать 
одноименную
рабочую группу. Мастер идентификации выдаст 
сообщение о невозможности удаления учетной записи компьютера в домене, но 
успешно завершит все локальные операции. 
После чего необходимо создать локального пользователя, имя которого и пароль 
совпадают
с данными пользователя домена. В результате пользователь сохранит 
практически всю функциональность работы в сети, но исключит любое централи-
зованное управление. 
Технически противостоять такому решению весьма сложно. Ограничения, которые 
может накладывать администратор домена для исключения этого варианта, должны 
основываться на анализе членства 
учетной записи компьютера
в домене. Практи-
чески единственный способ — это включение политики ipsec и настройка ее на 
разрешение сессий 
только
с членами домена. Однако такой вариант неприменим
в случае наличия в сети рабочих станций с операционными системами предыдущих 
версий, которые также не являются членами домена. 
Отключение
совместного использования административных ресурсов 
Локальный пользователь может отключить создание административных ресурсов, 
если добавит параметр: 
AutoShareWks : DWORD = 0 
в ветвь реестра: 
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 

146 
Глава 4 
Следует учитывать, что отключение этих ресурсов может нарушить работу имею-
щейся в домене системы управления. 
Для восстановления опции этот параметр необходимо будет удалить. 
Исключение администратора домена
из группы локальных администраторов 
Поскольку локальный администратор имеет полные права над своей системой, то 
он может ограничить администратора предприятия, исключив его из группы ло-
кальных администраторов. Начиная с Windows 2000, появилась возможность регу-
лировать членство в группах с помощью групповых политик. Хотя практика кон-
троля состава групп локальных администраторов вызывает крайнее недовольство
у рядовых пользователей, администратор предприятия может самостоятельно 
определить список членов этой группы. 
Блокировать такой вариант можно, только приняв меры по недопущению примене-
ния групповой политики для конкретной системы, блокировав порты на транспорт-
ном уровне, но работа полученной системы будет существенно затруднена. 
Блокировка администратора домена на уровне файловой системы 
С помощью ограничений доступа к файлам локального компьютера можно запре-
тить, например, конкретным администраторам домена локальный вход в систему. 
Для этого следует установить для учетной записи такого администратора запрет 
доступа к файлам 
nddagnt.exe
, 
userinit.exe
, 
win.com
, 
wowexec.exe
. Выполнять операцию 
следует внимательно, чтобы случайно не запретить доступ, например, самому себе. 
П
РИМЕЧАНИЕ
Эта рекомендация может быть использована также при поступлении на работу нового 
администратора. Поскольку в системе нет штатных средств ограничения локального 
входа администратора, то это, по сути, единственный способ защиты наиболее ответ-
ственных ее участков от непрофессиональных действий нового, непроверенного ра-
ботника. 
Конечно, такое ограничение нельзя рассматривать всерьез, поскольку, например, 
групповой политикой (если не заблокировать и ее) администратор домена может 
восстановить права доступа к значениям по умолчанию. 
Блокирование групповой политики 
Поскольку основное управление осуществляется через применение групповых
политик, то целью локального администратора может явиться изменение ограни- 
чений, налагаемых групповой политикой, или полная ее блокировка. 
П
РИМЕЧАНИЕ
Можно заблокировать применение 
всех
политик, сохранив членство компьютера в до-
мене. Например, поскольку групповые политики копируются в виде файлов с контрол-
леров домена (из папок 
SYSVOL
), то можно создать такую настройку ipsec, которая 
будет блокировать SMB-трафик с контроллеров домена («закрыть» порты 137, 139, 445). 

Информационные системы предприятия 
147 
Способы, к которым может прибегнуть локальный администратор для ограничения 
возможностей своего доменного коллеги, можно перечислять еще долго. Эта про-
блема имеет только одно принципиальное решение — организационные выводы, 
когда подобные действия локального администратора навлекут на него «воспита-
тельные меры» со стороны руководителей подразделений. 
Проблема аудитора 
Наличие у администратора (как локального, так и администратора домена) полных 
прав над управляемой им системой создает серьезные проблемы безопасности. 
Ведь он может выполнить в системе любые операции, а потом попытаться это 
скрыть. Такие возможности создают в системе безопасности огромные потенци-
альные дыры. Именно поэтому в некоторых системах вводится понятие 
аудито-
ра
— пользователя, у которого нет прав администратора, но который может прото-
колировать любые его действия. Причем даже администратор не имеет прав изме-
нить протоколы аудитора. Другими словами, администратор не может скрыть от 
аудитора свои действия. 
В Windows-системах такого пользователя, к сожалению, нет. Единственным вари-
антом может быть сбор данных протоколов работы компьютеров в реальном вре-
мени на отдельную изолированную рабочую станцию. В этом случае можно будет 
сравнить протоколы, находящиеся на этой станции, с возможно измененными про-
токолами домена. Для решения поставленной задачи есть много программ, с кото-
рыми вы можете ознакомиться в Интернете. 
Методы управления локальной системой 
После добавления рабочей станции в домен администратор домена получает над 
ней фактически неограниченную власть. Существует три основных способа управ-
ления локальной системой: 
первый подразумевает использование оснастки 
Управление компьютером
(рис. 4.3), с помощью которой можно подключиться к любой системе и управ-
лять ею. Конечно, для подключения к системе нужны соответствующие права. 
Подключившись к системе, администратор может останавливать и запускать 
службы, просматривать протоколы работы системы, создавать удаленных ло-
кальных пользователей, менять их членство в группах и т. п. 
На практике этот метод управления используется редко, поскольку он подходит 
лишь для индивидуальных настроек, и если нужно применить одну и ту же на-
стройку к нескольким компьютерам, прибегать к такому методу неудобно; 
второй метод настройки заключается в использовании 
сценария
входа в систему. 
Тогда при регистрации в домене на компьютере запускается выполнение такого 
сценария. Поскольку в последних версиях Windows возможности управления из 
командной строки существенно расширены, то с помощью подобных сценариев 
можно выполнять практически любые действия: подключать сетевые диски в за-
висимости от членства пользователя в группе безопасности или в OU, переопре-
делять принтеры, осуществлять копирование файлов и т. п. 

148 

Download 19,93 Mb.

Do'stlaringiz bilan baham: