Администрирование Windows XP

Обмен информацией между доменами

В мире компьютерных сетей Microsoft есть два типа логических сетей, частью которых может являться клиент: рабочая группа или домен. В лекции 5 говорилось о рабочих группах, которые идеально подходят для одноранговых соединений или небольших организаций. В этой лекции мы обсудим домены, которые обычно используются в крупных сетях.

Но обсуждение доменов не сводится только к размерам сетей. Домены, помимо прочего, несут на себе определенные функции (вроде единой системы защиты для всех устройств внутри домена). В этой лекции мы поговорим о доменах и о том, как система Windows XP Professional может быть частью домена. А в конце лекции мы рассмотрим инструмент, делающий домены еще более жизнестойкими и мощными, который называется Active Directory.

Домены Windows

Если вы работаете с Windows 2000, то, возможно, уже пользуетесь доменами. Однако если в вашей сети установлена более ранняя версия операционной системы (или вообще не Windows-версия), то будет неплохо разобраться сейчас с понятием доменов и для чего они нужны.

В этом разделе дается краткий обзор доменов и того, каким образом Windows XP Professional вписывается в их среду.

Что такое домен?

В предыдущей лекции основное внимание было сосредоточено на соединениях между рабочими группами. Как вы помните, рабочие группы - это отдельные компьютеры или сети, состоящие только из компьютеров, работающих на базе Windows XP Professional. Рабочие группы хорошо подходят для небольших сетей и прямых контактов. Однако в больших организациях обмен компьютерными данными осуществляется посредством доменов.

Доменом называется группа учетных записей и ресурсов сети, организованных под одним именем (например, NASA.gov). Эти устройства и учетные записи находятся в области действия системы защиты, которую обеспечивает домен. Это означает, что если глава НАСА пытается подключиться к домену NASA.gov, то от него потребуют (только один раз) ввести соответствующий пароль для получения доступа к ресурсам домена.

Домены облегчают жизнь пользователей, так как последним не обязательно знать многочисленные пароли различных устройств, как это было в рабочих группах. В домене управление паролями и разрешениями происходит централизованно. Когда глава НАСА желает получить доступ к домену через свой компьютер в офисе или через другую рабочую станцию, то его информация автоматически посылается одним из контроллеров домена на компьютер, которым он в данный момент пользуется.

Примечание. В Windows NT Microsoft использует первичные контроллеры доменов (PDC) и запасные контроллеры доменов (BDC). В среде Windows 2000 и .NET PDC и BDC заменяются контроллерами доменов (DC).

Microsoft рекомендует использовать домены как можно шире (разумеется, так они смогут продавать больше серверных продуктов). Но домены содержат качества, отсутствующие в рабочих группах. Большую часть работы домен выполняет посредством системы Active Directory. Мы будем обсуждать Active Directory и роль Windows XP Professional в службе каталога далее в лекции.

Как работает домен

Как говорилось выше, домены представляют собой группы сетевых ресурсов с централизованным управлением. В системе Windows NT использовались PDC и BDC. Было удобно пользоваться одним основным (первичным) устройством для контроля за работой сети и иметь запасные устройства на случай непредвиденных проблем. Компания Microsoft сделала систему еще более совершенной, включив в Windows 2000 контроллеры доменов. Теперь все функции дублируются на каждом контроллере домена (см. рис. 6.1), в то время как в системе Windows NT обязанности распределялись между PDC и BDC.

Примечание. Для простоты будем считать, что домен находится под контролем Windows 2000 Server. Однако его функциональность сохраняется и для Windows Server 2003.

Для нормальной работы домена содержимое Active Directory должно обновляться для всех контроллеров домена своевременно. В системе Windows 2000 для поддержания на всех контроллерах доменов наличия текущей (свежей) информации используется множественное копирование (репликация). Вместо использования линейной базы данных, копирующейся с одного контроллера домена на другой, подчиненный ему контроллер домена (как это делается в Windows NT), все контроллеры доменов системы Windows 2000 считаются устройствами одного ранга. Поэтому изменения на одном из контроллеров копируются на все контроллеры доменов.

По умолчанию репликация происходит каждые 5 минут в пределах одного сайта. Для выполнения бесперебойного копирования компонент Knowledge Consistency Checker (KCC) (Проверка согласованности знаний), работающий в контроллерах доменов, создает логическую замкнутую схему (кольцо), в которую входят все контроллеры домена данного сайта, и автоматически создает соединения для реализации этой схемы. Копирование продолжается по кругу, до тех пор пока не дойдет до исходного DC.

Как система Windows XP Professional вписывается в модель домена

При существующем обилии версий Windows на рынке программных продуктов неплохо было бы разобраться в том, как эти версии работают совместно в рамках домена. Каждая версия Windows имеет свое место в модели домена, и для полноценной работы они должны быть соответствующим образом организованы. На рис. 6.2 показано расположение различных версий Windows в домене.

Windows 2000 Server

Как мы уже говорили, центром Windows-домена является Windows 2000 Server (Advanced Server или Datacenter). Windows 2000 Server является устройством, на котором находится служба Active Directory. Так как система Windows XP Professional не имеет специальной версии для работы в качестве сервера, то лучше воспользоваться системой Windows 2000, чем пытаться заставить Windows XP Professional выполнять эту роль. К тому же, это будут устройства, работающие как контроллеры доменов.

Windows XP-клиенты

Как вы уже догадались, Windows XP Professional обслуживает клиентские компьютеры в Windows-домене. Windows XP Professional можно интегрировать с Windows 2000 и создавать интерфейс для конечных пользователей.

Хотя Windows 2000 больше подходит для работы на сервере, в некоторых случаях можно использовать и Windows XP Professional. Однако это будут особые случаи, в которых задействованы соединения устройств одного уровня (ранга), например при использовании Internet Connection Sharing (см. в гл. 5) или Internet Information Server (см. в гл. 7). Однако в рамках этого обсуждения Windows XP Professional будет выступать в роли клиентского компьютера.

Windows Server 2003

Следующей итерацией Windows-серверов является Windows Server 2003. Она будет использоваться вместо (или вместе) Windows 2000 Server и является новой средой, связывающей информацию, людей, службы и устройства в представлении компании Microsoft. Ее цель состоит в наиболее полной связи приложений посредством использования XML (Extensible Markup Language) веб-сервисов.

Примечание. Более подробную информацию о .NET можно найти на сайте http://www.Microsoft.com/net.

Связь между доменами

Теперь, когда вы знаете о том, как работают домены, и как отдельные операционные системы функционируют в рамках домена, давайте поговорим об установке связи с доменом. Также обсудим ряд инструментов и методик, которые помогут при решении проблем, связанных с настройкой связи с доменом.

Подключение к домену

В предыдущей лекции рассказывалось о том, как подключаться к сетям, работающим в операционной системе Windows XP Professional, в частности, о соединениях устройств одного ранга, то есть к образованию рабочих групп. Эти виды соединений хорошо подходят для небольших сетей. Однако в крупных организациях мы переходим от рабочих групп к доменам. Вы можете вручную сконфигурировать своего Windows XP Professional-клиента для его соединения с Windows-доменом.

Использование мастера сетевой идентификации

Проще всего настроить связь с доменом можно посредством одного из многочисленных мастеров, предоставляемых системой Windows XP Professional. В данном случае вы воспользуетесь программой Network Identification Wizard (Мастер сетевой идентификации). Эта мастер-программа предоставляет средства соединения Windows XP Professional-клиентов с Windows NT- или Windows 2000-доменами.

Примечание. Программа Network Identification Wizard также используется для установки связи Windows XP Professional-клиента с рабочей группой.

Для запуска мастера проделайте следующие шаги.

1. Щелкните правой кнопкой мыши на My Computer (Мой компютер) и выберите Properties (Свойства).
2. На вкладке Computer Name (Имя компьютера) щелкните на Network ID и затем на Next (Далее).
3. Выберите This Computer is part of a business network and I use it to connect to other computers at work (Компьютер входит в корпоративную сеть, и во время работы я использую его для соединения с другими компьютерами) и затем щелкните на Next.
4. Мастер даст указание собрать некоторую информацию, необходимую для завершения работы. Эта информация включает в себя следующее:
   • имя пользователя;
   • пароль;
   • домен учетной записи пользователя;
   • имя компьютера;
   • домен компьютера.

На рис. 6.3 показано окно мастера сетевой идентификации с полями для ввода имени пользователя, пароля и домена.

Подключение вручную

Вы можете подключиться к домену вручную, если не хотите использовать Network Identification Wizard или по другой причине. Проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните на Performance and Maintenance (Производительность и обслуживание).
2. Выберите System (Система).
3. В свойствах системы выберите вкладку Computer Name (Имя компьютера) (см. рис. 6.4).
   
   
   Рис. 6.4.  Соединение с доменом вручную

4. Щелкните на Change (Замена).
5. Если учетная запись компьютера уже создана и находится на контроллере домена, введите свое имя пользователя, пароль и имя домена. Щелкните на Next (Далее) и переходите к п. 7.
6. Если учетная запись компьютера еще не создана на контроллере домена, то проделайте следующее.
   • Введите имя пользователя, пароль и имя домена и щелкните на Next (Далее).
   • После подсказки введите имя пользователя и пароль учетной записи администратора и затем щелкните на ОК.
7. Щелкните на ОК трижды.
8. Появится подсказка перезагрузить компьютер. Нажмите Yes (Да).

После выполнения этих шагов будет неплохо подтвердить свое членство в домене. Это выполняется посредством перезагрузки компьютера с последующим нажатием CTRL-ALT-DEL. Появится диалоговое окно входа в систему. Справа от окошка регистрации находится стрелка. Щелкните на ней, чтобы просмотреть список доменов. В нем должен находиться домен, членом которого вы только что стали, наряду с другими доверенными доменами. Учетную запись домена можно протестировать с помощью установки связи с вашим или другим доменом.

Примечание. Доверенный домен - это такой домен, который поддерживает взаимную связь с другим доменом. Допустим, вы зарегистрировались на домене corporate.jeep.com. При наличии доверительных отношений (и необходимого разрешения) вы имеете возможность получать доступ к информации компании, производящей автомобильные рули - http://www.steeringwheelworld.com.

Если вы входите в домен, используя свои удостоверения личности на контроллере домена, то ваша учетная запись работает. Если вы получаете сообщение о том, что вход выполнен с использованием удостоверения личности, хранящегося в кэше, то контакт с контроллером домена невозможен во время процесса аутентификации.

Ответьте на эти вопросы в случае неудачи процесса подтверждения.

• Подключен ли сетевой адаптер и кабели?
• Настроен ли протокол транспортировки на разрешение доступа к контроллеру домена?
• Работает ли контроллер домена?

Затруднения, возникающие при установке связи с доменом

Система Windows XP Professional включает в себя ряд инструментов, полезных при решении проблем, возникающих при установке связи с доменом.

NLtest.exe

В Windows XP Professional имеется инструмент, с помощью которого вы можете проверить свое логическое соединение с контроллером домена. NLTEST.EXE является инструментом командной строки, который входит в комплект инструментов Windows Support Tools из диска Windows XP Professional. Этот инструмент можно использовать в NT- или 2000-сетях.

Примечание. Инструмент NLTEST.EXE находится в файле support.cab в папке tools\support на диске Windows XP Professional.

Воспользовавшись инструментом NLTEST.EXE, вы выясните, может ли контроллер домена аутентифицировать клиента. NLTEST.EXE позволяет определить, какой именно домен выполнял аутентификацию, и может сгенерировать список доверенных доменов.

Безопасный канал (secure channel) - это логическое соединение между Windows XP Professional-клиентом и контроллером домена. Безопасный канал используется для аутентификации учетных записей компьютеров, работающих в системах Windows XP Professional, Windows 2000, Windows .NET и Windows NT. Кроме того, безопасный канал используется, если удаленный пользователь подключается к сетевым ресурсам. Инструмент NLTEST.EXE можно использовать для тестирования безопасных каналов и их перенастройки в случае необходимости.

Допустим, имеется домен Windows 2000 (с названием Domain). Имя вашей учетной записи User1 на Windows XP Professional-компьютере с именем Client1. Синтаксически эта команда записывается так:

Nltest [/OPTIONS]

Для идентификации контроллеров домена из домена domain1.com введите следующее:

Nltest /dclist:domain1

Вы сможете определить, будет ли контроллер домена (который можно найти с помощью NLTEST.EXE, если вы не знаете его имени) идентифицировать пользователя. Для этого в окне команд введите следующее:

Nltest /whowill:domain1 User1

Вы можете проверить, имеет ли Client1 безопасное соединение с контроллером домена, введя команду:

Nltest / server:Client1 / sc_query:domain1

Для получения полного списка команд NLTEST.EXE введите в строку команд следующее:

Nltest /?

Невозможно подключиться к домену

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то можете получить следующее сообщение:

Unable to connect to the domain controller for this domain (Невозможно установить связь с контроллером для этого домена).

Either the user name or password entered is incorrect (Введенное имя пользователя или пароль неверны).

При подключении Windows XP Professional-клиента к Windows NT или 2000 домену имя учетной записи должно быть частью имени группы администраторов домена. Кроме того, у пользователя должно быть разрешение на добавление клиентов к домену.

Невозможно найти контроллер домена

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то вы можете получить следующее сообщение:

The specified domain does not exist or could not be contacted. (Указанный домен не существует или контакт с ним невозможен)

В таком случае выполните следующие действия.

1. Первым делом следует проверить правильность имен, введенных в поля Workgroup (Рабочая группа) и Domain (Домен) вкладки Computer Name (Имя компьютера) в диалоговом окне свойств.
2. Затем надо проверить протокол TCP/IP, который мог быть неправильно сконфигурирован. Для проверки конфигурации TCP/IP войдите в систему под административной учетной записью и проделайте следующее.
   • Воспользуйтесь программой PING для проверки контроллера домена, употребив его NetBIOS-имя или полное имя DNS- домена. Если это не поможет, то сделайте то же самое, но применив IP-адрес контроллера домена.

     Примечание. Если вы не знакомы с командой PING, то мы поговорим о ней более подробно в гл. 8.

   • Если ping-попытки не принесли результата, а домен использует DNS или WINS, то еще раз проверьте IP-адреса этих серверов. Попробуйте применить команду PING к контроллеру домена еще раз.
   • Если вам опять не повезло, и Windows XP Professional-клиент расположен в одной подсети с контроллером домена, то проверьте IP-адрес клиента, чтобы убедиться в его правильности.
   • Если Windows XP Professional-клиент находится в другой подсети, то убедитесь, что адрес шлюза по умолчанию правилен.
3. Если контроллер домена работает в соответствии с политикой протокола IPSec, установленного на сервере безопасности, то IP-пакеты не отсылаются клиентам, если в них также не задействован протокол IPSec. Самым лучшим будет обратиться к администратору домена и поговорить с ним о пересмотре IPSec-политики. (Более полную информацию о IPSec можно найти в лекции 9.)
4. Если домен использует маршрутизаторы, работающие в соответствии с протоколом RIP (Routing Information Protocol), то установите поддержку RIP.

Невозможно переименовать компьютер

У вас могут возникнуть проблемы, если вы попытаетесь дать компьютеру новое имя, похожее на имя контроллера домена. В этом случае вы получите следующее сообщение:

The new computer name may not be the same as the Workgroup (Domain) name. (Новое имя компьютера не должно быть таким, как имя рабочей группы [домена])

Даже если имя компьютера только похоже на имя контроллера домена, вы все равно можете получить такое сообщение. Например, если имя домена crazyearlsstereoshop.com, а имя клиента - crazyearlsstereomanager, то вы получите вышеназванное сообщение. Почему? Если NetBIOS работает на всех клиентах и серверах, то первые 15 знаков в имени Windows XP Professional-клиента (в данном случае crazyearlsstere) не могут быть такими же, как у контроллера домена, сервера, клиента и любого другого устройства.

Невозможно зарегистрироваться в домене

Если вы не можете зарегистрироваться в домене, то, возможно, увидите следующее сообщение:

The system cannot log you on due to the following error: There is a time difference between the Client and Server. Please try again or consult your system administrator.

(Система не может зарегистрировать вас по следующей причине:

существует разница во времени между клиентом и сервером. Пожалуйста, попробуйте еще раз или проконсультируйтесь у администратора системы.)

Эта ошибка возникает из-за того, что протокол безопасности Kerberos проверяет отметку времени на запросе об аутентификации клиента. Если разница во времени между клиентом и сервером составляет больше 5 минут, то аутентификация отменяется. Это можно исправить путем сравнения с коллегой, зарегистрированном на этом домене, и убедившись в том, что часы вашего компьютера показывают правильное время. Также хорошо бы проверить свою временную зону и убедиться, что она настроена соответствующим образом. Дело в том, что для полного совпадения Kerberos переводит все временные метки во время по Гринвичу.

Другие ошибки регистрации, которые мешают клиентам подключиться к домену, включают в себя следующее:

• некорректный ввод имени пользователя;
• некорректный ввод пароля;
• включена функция CAPS LOCK во время ввода имени пользователя и пароля;
• протоколы клиента и контроллера домена не совпадают.

В случае проблемы с протоколами контроллера домена и клиента обратите внимание на следующие детали, которые могут вызывать несовместимость:

• неверно заданный IP-адрес или маска подсети;
• применение протокола DHCP при отсутствии DHCP-сервера;
• некорректные адреса DNS- и WINS-серверов.

Получение доступа к ресурсам домена

После того как вы стали членом домена, вы можете пользоваться доступными вам ресурсами. Иначе для чего все это было нужно? Теперь же вы стали частью структуры безопасности домена и будете иметь доступ к данным и другим компьютерам этого домена.

Безопасность

Помимо решения организационных задач домены позволяют централизованно использовать функции обеспечения безопасности. Информация об учетных записях домена хранится в службе каталогов Active Directory (AD), которая размещена на Windows NT, 2000 или .NET сервере. После регистрации в домене Windows XP Professional-клиент получает информацию о настройках и разрешениях AD. Учетные записи доменов используются в больших сетях, где ведение учетных записей в индивидуальном компьютере становится непрактичным. Например, учетные записи доменов могут использовать блуждающие профили пользователей (roaming user profiles). Эти профили позволяют пользователям переходить с компьютера на компьютер со своими разрешениями, настройками и даже разметкой рабочего стола.

Примечание. В качестве меры обеспечения безопасности Windows XP Professional защищает с помощью пароля файлы, находящиеся в папке My Documents (Мои документы), от прочтения их теми, кто может работать на этом клиентском компьютере.

Network Neighborhood/My Network Places

Каждый, кто прошел через несколько обновлений системы Windows, наверное, заметил привычку Microsoft брать существующее приложение или инструмент и давать ему новый значок и новое имя. Так, Microsoft переделывает уже знакомое название Network Neighborhood (Сетевое окружение) в новое My Network Places (Сетевое окружение). My Network Places - это те места, куда вы заходите во время работы в сети.

Просмотр соединений

Для просмотра соединений своей сети просто откройте значок My Network Places (Сетевое окружение).

Примечание. My Network Places проще всего найти, щелкнув на кнопке Start (Пуск). Однако можно расположить этот значок у себя на рабочем столе. Это делается с помощью нажатия на Start (Пуск), щелчка правой кнопкой мыши на My Network Places и выбора Show on Desktop (Отображать на рабочем столе).

Посмотрите на рис. 6.5. На нем показаны компьютеры этой сети с соответствующими ресурсами. Эту картинку можно получить, выбрав View (Просмотр) в окне My Network Places и затем выбрав Computer (Компютер) в Arrange Icons by (Упорядочить значки). Вы видите, что тут показаны два компьютера - Coruscant и Endor. В окне показаны компьютеры и папки, которыми они могут обмениваться.

Просмотр сетевых ресурсов

Сети состоят не только из компьютеров и папок (хотя и без них не обойдешься). Помимо этих устройств существуют и другие ресурсы, которыми можно совместно пользоваться. Например, My Network Places (Сетевое окружение) позволяет использовать такие сетевые ресурсы, как принтеры (рис. 6.6).

В данном случае принтер Brother соединен с компьютером Coruscant. Однако компьютер не обязательно должен быть соединен с компьютером. Так же легко сетевой принтер можно соединить со своим собственным сервером печати.

Соглашение о назначении имен

Так как Windows предоставляет графический способ взаимодействия вашего компьютера с сетью, то легко забыть о том, что все компьютеры и сетевые взаимодействия контролируются посредством интерфейса командной строки. Графический интерфейс (GUI), конечно, сильно облегчает работу на компьютере, но иногда все же бывает полезно ввести простую команду и заставить Windows выполнить то, что вам надо.

При работе в сети Соглашение о назначении имен (Universal Naming Convention, UNC) является способом указать файл общего пользования без необходимости знать, на каком устройстве он храниться. UNC - это не уникальная особенность системы Windows. Им можно пользоваться в любых операционных системах: в Novell NetWare, Linux и др.

В операционных системах Windows UNC-формат имени выглядит следующим образом:

\\servername\sharename\filename

UNC расшифровывается так:

• Servername - имя компьютера, на котором хранится файл.
• Sharename - имя, идентифицирующее ресурс на сервере.
• Filename - имя файла.

Например, рассмотрим UNC:

\\ENDOR\webfiles\html\osborne.html

Этот UNC указывает сервер (ENDOR), на котором находится общедоступный файл (Osborne.html), хранящийся наряду с другими HTML файлами в папке, отведенной под веб-файлы. HTML-папка является общим ресурсом, поэтому имя, идентифицирующее ресурс на сервере, и данные о пути могут быть пропущены.

\\ENDOR\HTML

приведет вас к папке общего доступа, а

\\ENDOR\HTML\osborne.html

доставит прямо к нужному файлу.

Использование в Windows XP

Использовать ли UNC в Windows XP Professional - это вопрос личного предпочтения. Возможно, вам больше нравится щелкать на значках, чтобы добраться в нужное место. С другой стороны, вы можете обнаружить, что постоянно используете данный ресурс, поэтому проще вводить его UNC.

Windows XP Professional позволяет просматривать UNC различных сетевых ресурсов. Если вам нужен UNC конкретного объекта, то следует убедиться в том, что способность видеть UNC включена. Это можно выполнить, проделав следующее.

1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Appearance and Themes (Оформление и темы) и выберите Folder Options (Свойства папки).
2. Щелкните на вкладке View (Вид) (рис. 6.7).
   
   
   Рис. 6.7.  Детали UNC в Windows XP Professional

3. В области File and Folders (Файлы и папки) убедитесь в том, что включены флажки Display full path in the address bar (Отображать полный путь в строке адреса) или Display full address in the title bar (Отображать полный адрес в строке заголовка).

Независимо от того, включена ли опция для показа информации об UNC, можно использовать UNC для перехода в определенную сетевую папку. Например, на рис. 6.8 показан результат простого введения UNC нужного сетевого ресурса: Windows XP Professional переходит непосредственно в эту папку. UNC является полезным инструментом, потому что вам не надо щелкать на все значки, если вы знаете путь к нужной папке.

UNC можно использовать в ряде приложений для перехода к нужному сетевому ресурсу или файлу. Например, в веб-браузере можно просто ввести соответствующий UNC в адресную строку и перейти к этой папке или файлу.

Active Directory

Основой работоспособности Windows-домена является инструмент Active Directory. Active Directory (AD) - это база данных всего домена. В ней содержится информация о различных атрибутах объектов системы, включая пользователей, разрешения, настройки компьютеров, периферийных устройств и т. д.

Как и в любой базе данных, в AD содержатся информационные поля. Если сравнить AD с базой данных магазина, продающего запчасти для автомобилей, то отличие состоит в том, что в AD содержатся не названия деталей, а информация (имена и описания) об объектах домена.

Active Directory имеет логическую иерархическую структуру, что позволяет сортировать содержимое от самых больших элементов до самых маленьких. Кроме того, AD является расширяемой базой данных, то есть ее можно модифицировать, добавляя новые поля для размещения информации.

IntelliMirror

Интересно выяснить, какую именно выгоду получают пользователи системы Windows XP Professional, помимо надежности в сетевой работе, которую предоставляет AD. Почему они беспокоятся по поводу AD, доменов и всего прочего? Один из ответов заключается в IntelliMirror службы каталогов Active Directory.

IntelliMirror - это не отдельный продукт или приложение, а, скорее, набор свойств, предоставляемых Windows 2000-серверами. IntelliMirror - это демонстрация того, насколько AD полезна для Windows XP Professional-клиентов. Например, IntelliMirror предоставляет инструменты, которые облегчают управление, обеспечивая пользователям доступность их настроек, документов и приложений, независимо от компьютера, с которого они загружаются в рамках домена. IntelliMirror достигает этого тремя способами.

Приложения следуют за пользователем

При входе пользователя система определяет, что нужное пользователю приложение недоступно на текущем компьютере-клиенте, и начинает инсталляцию программных пакетов. Система знает, какие приложения инсталлировать, так как при регистрации пользователя проверяется заложенная в компьютер групповая политика инсталляции программ. Если политика требует приложение, которого нет, то оно загружается на клиентский компьютер.

Настройки следуют за пользователем

Блуждающий профиль в операционной системе Windows NT является инструментом, позволяющим индивидуальным настройкам компьютера переходить с компьютера на компьютер вслед за пользователем. В рамках AD эту функцию берет на себя групповая политика. Эта политика диктует, в каком виде рабочий стол, элементы меню и другие прикладные свойства должны предоставляться пользователю, независимо от места его регистрации. Пользователям это нравится, так как они всегда попадают в знакомое окружение. Администраторам это тоже нравится, так как они могут блокировать вход пользователей в отдельные части операционной системы.

Данные следуют за пользователем

Хорошо иметь под рукой настройки и приложения, перескакивая с компьютера на компьютер. Однако если у вас нет доступа к электронной таблице, над которой вы работали, или к документу Word, находящемуся на другом компьютере, то от правильной темы рабочего стола и значков мало прока. AD позволяет создавать на компакт-диске специальные папки, в которые копируется сетевая рабочая информация.

Во время работы над электронной таблицей платежной ведомости за четвертый квартал, например, в папке My Documents (Мои документы), ее можно скопировать в безопасное сетевое место расположения. Когда вы прерываете связь с сетью на одном компьютере и заходите в нее с другой машины, то система отслеживает специальную папку для гарантии наличия самых свежих файлов и предоставляет ваши документы.

Организационные единицы

Структура Active Directory имеет важное значение. Ранее в этом курсе мы говорили о таких объектах, как организационные единицы (Organizational Units, OU), домены, леса и деревья. Они представляют собой строительные блоки Active Directory. Прочитайте следующее, чтобы освежить память (рис. 6.9).

• OU - это группа, состоящая из людей, компьютеров, файлов, принтеров и других ресурсов, которая создается для решения организационных и управленческих задач.
• Домены - это коллекции OU.
• Деревья - это коллекции доменов.
• Леса - это коллекции деревьев.

В среде операционных систем Windows 2000 или Windows .NET организационные единицы (OU) являются основными элементами. Для сравнения - в системе NT основным элементом являлся домен. Так как организационные единицы обеспечивают раздробленную организацию ресурсов, то такая сетевая иерархия делает контроль за сетью и ее атрибутами более четким. Например, если вы хотите присвоить специальные атрибуты двум пользователям в удаленном офисе, то их можно определить как организационную единицу. В системе NT вам пришлось бы присваивать эти признаки всему домену.

Другой важной составляющей службы каталога является его схема, которая представляет собой внутреннюю структуру базы данных. Схема (являющаяся частью файла NTDS.dit) определяет взаимосвязи между классами и объектами. Например, используя в качестве примера магазин автомобильных запчастей, у вас может быть класс "Покрышки", имеющий атрибут "Количество спиц". Это указывает на то, что объект класса покрышек должен содержать информацию о количестве спиц в каждой покрышке. Классы могут происходить из других классов, образовывая иерархию классов. На рис. 6.10 показана иерархия классов и подклассов на примере базы данных из магазина автозапчастей.

Глобальный каталог

Глобальный каталог является отдельной базой данных объектов Active Directory. В нем содержатся все объекты основной базы данных и часть атрибутов этих объектов. Глобальный каталог позволяет пользователям быстро находить объекты в лесу. Он особенно полезен, если у вас много доменов и деревья доменов разбросаны по сети большого размера.

Примечание. Глобальный каталог можно представить себе в виде указателя ресурсов домена.

Глобальный каталог по умолчанию создается на первом контроллере домена в дереве. Позже при желании можно использовать оснастку MMC Active Directory Sites (Active Directory - сайты), чтобы вручную выбрать другие домены глобального каталога.

Во время развертывания сети, работающей под управлением Windows 2000 или .NET, убедитесь в правильности установки глобального каталога. Каждый Windows XP Professional-клиент должен иметь легкий доступ к глобальному каталогу для оптимального поиска.

Группы

В системе Windows NT было две группы пользователей: глобальная и локальная. Эти группы создавались для присваивания атрибутов безопасности и содержали только объекты пользователей. Active Directory добавляет третью группу - универсальную. Между группами существуют следующие различия.

• Локальные группы. Используются только в рамках своего локального домена. Они получают доступ к ресурсам домена, и администраторы могут видеть их только внутри домена.
• Глобальные группы. Получают доступ к доменам, с которыми установлены доверительные отношения. Вы всегда можете их видеть, находясь внутри определенного дерева. Вы можете вкладывать глобальные группы в другие глобальные группы.
• Универсальные группы. Их можно видеть во всех доменах данного леса. Они содержат в себе глобальные группы. Например, администратор может создать две отдельные глобальные группы, а затем объединить их в одну универсальную группу. Теперь администратору приходится иметь дело с одной универсальной группой, а не с двумя (или больше) глобальными группами.

По таблице 6.1 легко найти различия между локальными, глобальными и универсальными группами.

Инструменты администрирования

Несмотря на то что поддержка и управление службой Active Directory находится на Windows 2000 или .NET-серверах, ей можно управлять и с удаленного Windows XP Professional-клиента. Такое управление реализуется посредством средств администрирования Windows .NET - набора инструментов, который можно добавить к консоли MMC Windows XP Professional-клиента.

Примечание. Важно помнить, что Windows XP Professional-клиент, которым вы пользуетесь, должен быть частью Windows 2000 домена. "Удаленно" не означает, что управление доменом осуществляется из интернета.

Как мы упоминали ранее, MMC является полезным инструментом, так как позволяет создавать модифицированное под нужды клиента окружение для сетевой работы и управления компьютером. Это реализуется с помощью оснасток. Вы можете добавлять их столько, сколько нужно для работы.

Набор инструментов Windows .NET Server Administration Tools Pack (adminpak.msi) позволяет администратору удаленно управлять серверами Windows 2000 с Windows XP Professional-компьютера.

Для инсталляции Windows .NET Server Administration Tools Pack на локальном компьютере скачайте его с сайта http://www.microsoft.com/downloads/release.asp?ReleaseID=34032&area=search&ordinal=1.

Файл adminpak.msi включен в инсталляционный диск Windows 2000. Однако версия для Windows XP на установочном диске Windows XP Professional отсутствует, хотя adminpak.msi включен в установочный диск .NET.

Примечание. На момент написания данного курса существовала третья бета-версия Windows .NET Server Administration Tools Pack. Размер файла составляет 10,4 Mб, что следует иметь в виду при загрузке файла по медленному соединению.

Windows .NET Server Administration Tools Pack предоставляет набор часто используемых инструментов для удаленного администрирования серверов и служб. Инструменты администрирования поставляются как оснастки для MMC. Их можно использовать для любой операционной системы Windows .NET Server и Windows XP Professional.

Примечание. Набор инструментов для администрирования не работает в среде Windows XP Home Edition или с 64-разрядными версиями.

Файл adminpak.msi включает в себя следующие приложения:

• Active Directory Domains and Trusts (Active Directory - домены и доверие);
• Active Directory Sites and Services (Active Directory - сайты и службы);
• Active Directory Users and Computers (Active Directory - пользователи и компьютеры);
• Certification Authority (Центр сертификации);
• Cluster Administrator (Администратор кластера);
• Component Services (Службы компонентов);
• Computer Management (Управление компьютером);
• Connection Manager Administraion Kit (Пакет администрирования диспетчера подключений);
• Data Sources (ODBS) (Источники данных);
• DHCP;
• Distributed File System (Распределенная файловая система);
• DNS;
• Event Viewer (Просмотр событий);
• Local Security Policy (Локальная политика безопасности);
• .NET Framework Configuration (Конфигурация .NET Framework);
• .NET Wizards (Мастера .NET);
• Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки);
• Performance (Быстродействие);
• Remote Desktops (Удаленные рабочие столы);
• Remote Storage (Внешнее хранилище);
• Routing and Remote Access (Маршрутизация и удаленный доступ);
• Server Extensions Administrator (Администратор расширений сервера);
• Services (Службы);
• Tеlephony (Телефония);
• Terminal Server Licensing (Лицензирование сервера терминалов);
• Terminal Services Manager (Диспетчер служб терминалов);
• WINS.

На рис. 6.11 приведен пример приложения Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки). Мы рассмотрим специфические функции каждого инструмента Windows .NET Administration Tools в приложении.

Домены являются важной составляющей работы сети. Они представляют собой не только механизмы для работы в больших сетях, но также важны для функционирования службы Active Directory и для обеспечения границ безопасности. Помимо использования на клиентских машинах, система Windows XP Profеssional также применяется для управления ресурсами домена.