Глава 23. Администрирование доменов..................................................................803

Оснастка Домены и отношения доверия Active Directory (Active Directory

Domains and Trusts).................................................................................................................. 803

Изменение режима работы домена................................................................................ 804

Управление доверительными отношениями................................................................. 805

Оснастка Пользователи и компьютеры Active Directory (Active Directory Users

and Computers)......................................................................................................................... 808

Создание подразделения (организационной единицы) ............................................... 810

Создание учетной записи пользователя ........................................................................ 810

Перемещение учетной записи пользователя................................................................ 811

Создание группы ............................................................................................................. 812

Добавление пользователя в группу............................................................................... 815

Публикация общей папки .............................................................................................. 816

Публикация общего ресурса в виде объекта каталога ................................................. 816

Публикация принтеров................................................................................................... 817

Принтеры, подключенные к системам Windows 2000 ................................................. 817

Принтеры, работающие в других системах................................................................... 818

Работа с объектами типа "компьютер".......................................................................... 819

Удаленное управление компьютерами......................................................................... 819

Переименование, перемещение и удаление объектов ................................................. 820

Вложенные фуппы.................................................................................................................. 820

Делегирование прав администрирования.........................................................'..................... 821

Делегирование прав администрирования...................................................................... 822

Проверка правильности выполнения передачи прав администрирования.................. 824

Аудит объектов Active Directory ............................................................................................. 825

ЧАСТЬ VI. ЗАЩИТА СИСТЕМЫ И ДАННЫХ.................................................827

Глава 24. Средства безопасности Windows 2000...................................................829

Общие понятия и терминология............................................................................................ 829

Характеристики безопасности........................................................................................ 829

Шифрование с открытым ключом ................................................................................ 830

Цифровые (электронные) подписи.............................................................................. 831

Распределенная аутентификация ................................................................................. 832

Соглашение о секретном ключе, достигаемое с помощью открытого ключа ............. 832

Шифрование больших объемов данных ...................................................................... 832

Обеспечение истинности открытых ключей................................................................. 832

Что такое сертификат................................................................................................... 833

Центр сертификации.................................................................................................... 833

Доверие и проверка...................................................................................................... 833

Применение алгоритмов шифрования с открытым ключом в Windows 2000.................... 834

Компоненты Windows 2000, обеспечивающие шифрование ....................................... 834

Политики безопасности.................................................................................................. 836

Протокол аутентификации Kerberos...................................................................................... 837

Основы протокола Kerberos............................................................................................ 837

Взаимодействие с удаленными владениями................................................................. 839

Требования к рабочему окружению............................................................................. 840

Флаги, используемые в запросах.................................................................................. 841

Протоколы обмена сообщениями................................................................................ 841

База данных Kerberos ................................................................................................... 844

Аутентификация Kerbcros в доменах Windows 2000..................................................... 844

Модель распределенной безопасности Windows 2000.................................................. 845

Интегрированная аутентификация Kerberos................................................................ 846

Протокол Kerberos и авторизация Windows 2000......................................................... 847

Применение Kerberos в сетях Windows 2000................................................................ 848

Совместная работа средств обеспечения безопасности сети....................................... 849

Взаимодействие Windows 2000 КОС и UNIX.............................................................. 849

Шифрующая файловая система EFS..................................................................................... 851

Архитектура EFS................................................................ 853

Технологии шифрования EFS........................................................................................ 854

Принципы шифрования............................................................................................... 855

Операция шифрования ................................................................................................856

Операция дешифрования............................................................................................. 856

Процесс восстановления файла после утраты секретной части ключа....................... 856

Место EFS в Windows 2000............................................................................................. 857

Работа с EFS....................................................................................................................858

Управление сертификатами пользователей.................................................................. 858

Утилита cipher.............................................................................................................. 858

Шифрование файлов и каталогов................................................................................ 859

Дешифрование файлов и каталогов............................................................................. 861

Копирование, перемещение, переименование и уничтожение зашифрованных

файлов и папок ............................................................................................................ 861

Архивация зашифрованных файлов............................................................................. 861

Восстановление зашифрованных файлов на другом компьютере ............................... 861

Восстановление данных, зашифрованных с помощью неизвестного личного ключа. 863 Безопасность IP....................................................................................................................... 865

Достоинства безопасности IP......................................................................................... 866

Базовые механизмы и концепции.................................................................................. 869

Алгоритмы шифрования .............................................................................................. 869

Ключи........................................................................................................................... 870

Протоколы безопасности ............................................................................................. 870

Архитектура безопасности IP......................................................................................... 872

Разработка плана безопасности ..................................................................................... 876

Администрирование безопасности [Р ........................................................................... 878

Поиск неисправностей ................................................................................................... 879

Взаимодействие безопасности IP с различными программными продуктами.......... 880

Сертификаты............................................................................................................................ 880

Использование сертификатов для обеспечения безопасности.................................... 881

Аутентификация........................................................................................................... 881

Конфиденциальность................................................................................................... 881

Центры сертификации.................................................................................................... 882

Использование сертификатов в Интернете .................................................................. 883

Хранилища сертификатов............................................................................................... 884

Запрос сертификата...................................................................................................... 886

Просмотр сертификатов...............................................................................................887

Импорт и экспорт сертификатов ................................................................................. 889

Обновление сертификатов ........................................................................................... 890

Установка центра сертификации ................................................................................... 891

Запуск оснастки Центр сертификации (Certification Authority)................................... 892

Глава 25. Групповые политики ..............................................................................893

Что такое групповые политики? ............................................................................................ 893

Объекты фупповой политики (GPO).................................................................................... 894

Оснастка Групповая политика (Group Policy)............................................................... 894

Схема именования GPO и его структура...................................................................... 895

Узел Конфигурация компьютера (Computer Configuration)........................................... 896

Узел Конфигурация пользователя (User Configuration).................................................. 896

Расширения оснастки Групповая политика................................................................... 896

Административные шаблоны (Administrative Templates)................................................ 897

Параметры безопасности (Security Settings) ................................................................. 899

Установка программ (Software Installation)................................................................... 901

Сценарии (Scripts)......................................................................................................... 902

Перенаправление папки (Folder Redirection).................................................................. 903

Расширения оснастки Групповая политика на стороне клиента.................................. 904

Хранение GPO................................................................................................................. 905

Объекты GPO и Active Directory.................................................................................. 905

Локальные GPO ........................................................................................................... 905

Подкаталоги шаблона групповых политик .................................................................. 905

Порядок применения групповых политик.................................................................... 906

Применение групповых политик на клиентской стороне ........................................... 908

Настройка групповых политик на автономном компьютере............................................... 909

Блокирование локальных учетных записей .................................................................. 910

Настройка безопасности для раздела реестра............................................................... 911

Настройка безопасности для всего диска С:................................................................. 912

Настройка групповых политик компьютера в домене ......................................................... 913

Создание объектов политики безопасности в Active Directory ................................... 913

Работа с групповыми политиками домена................................................................... 914

Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию........................................................................................................................ 918

Настройка политики выбора контроллера домена ...................................................... 919

Использование групп безопасности .............................................................................. 920

Ограничение влияния настроек групповой политики ................................................. 920

Делегирование управления объектами групповой политики....................................... 921

Инструменты настройки безопасности ................................................................................. 922

Оснастка Шаблоны безопасности (Security Templates).................................................. 923

Загрузка оснастки Шаблоны безопасности.................................................................... 926

Просмотр и редактирование шаблона безопасности ................................................... 927

Утилита командной строки secedit................................................................................ 929

Оснастка Анализ и настройка безопасности (Security Configuration and Analysis).......... 931

Создание личной базы данных и анализ компьютера ................................................. 932

Просмотр результатов анализа..................................................................................... 933

Установка новой политики безопасности системы с помощью шаблона................... 933

Анализ нарушений политики безопасности системы.................................................. 935

Теперь новейшая операционная система Microsoft Windows 2000 может "разговаривать" и по-русски: начались официальные поставки локализован­ной версии. На самом деле появление русской Windows 2000 представляет собой двойное событие, поскольку впервые локализована не только версия, предназначенная для настольных систем — Windows 2000 Professional, но и серверная версия системы — Windows 2000 Server.

У некоторой части отечественных специалистов по информационным тех­нологиям отношение к локализованным версиям программных продуктов, мягко говоря, "не положительное". Не вдаваясь в дискуссию и не пытаясь никого переубедить (о вкусах не спорят!), попробуем объяснить, почему нам кажется, что не только локализованная версия Windows 2000 Professional, но и русский Windows 2000 Server получит достаточно большое распространение.

Во-первых, локализованные версии Windows 2000 ничем не хуже ориги­нальных в плане надежности, функциональных возможностей или поддерж­ки (в том числе и через Интернет; в этом легко убедиться, выбрав команду Windows Update в главном меню системы). Об этом говорит опыт работы с русскими версиями, а в основе лежат принятые для поддержки националь­ных языков архитектурные решения.

Во-вторых, осваивать новую систему все-таки проще на родном языке. Как ни удивительно, в первую очередь это справедливо именно для Windows 2000 Server! Большое количество новых возможностей и концепций приво­дят к "информационному взрыву" в голове пользователя, и, чтобы в них со­риентироваться, нужно читать и перечитать множество страниц справочной системы. Конечно же, для большинства наших пользователей, даже неплохо владеющих английским языком, удобнее, если интерфейс и справка систе­мы сделаны по-русски. К тому же, справочная система в новой Windows весьма информативна и "дружественна", и знакомство с ней позволит Вам избежать многих проблем на этапе освоения системы (об этом свидетельст­вует многомесячный анализ различных телеконференций — как отечествен­ных, так и англоязычных).

24_____________________________________________Предисловие

Не менее полезной окажется эта книга, если Вы все-таки решили работать с английской версией Windows 2000 Server. Все элементы пользовательского интерфейса имеют английские эквиваленты, взятые из окончательной версии системы. Английские термины даются при их первом упоминании в каждой главе. Кроме того, для поиска нужных понятий можно обратиться к Глосса­рию и Предметному указателю.

В основе этого издания лежит материал вышедшей в начале года книги, сделанной на основе американских версий — "Windows 2000: Server и Pro­fessional". Весь текст был переработан, полностью заменены иллюстрации (экраны), учтены замечания, исправлены некоторые неточности и внесены дополнения (около сотни страниц). Работа над текстом завершалась по окончательной версии Windows 2000 RUS (сборка 2195).

Эта книга ориентирована на пользователя, уже знакомого с основами работы в среде Windows 9.X/NT 4.0. Для новичка в мире Windows NT книга может служить подробным и полным руководством по решению типовых задач, возникающих при установке и эксплуатации систем и сетей Windows 2000. Профессионалам, уже работавшим с Windows NT, эта книга поможет быстро сориентироваться в изменениях, касающихся конфигурирования и администрирования тради­ционных служб, а также познакомиться с новыми возможностями этих служб и последними техническими решениями Windows 2000.

Чтение книги можно начать с Глоссария, в котором объясняются основные термины, используемые в среде Windows 2000: можно пропустить знакомые понятия и быстро составить общее представление о новых средствах и их значении для всей концепции построения систем Windows 2000.

Авторский коллектив благодарит издательство "БХВ—Санкт-Петербург" и всю редакционную группу: благодаря им наша рукопись приобрела форму и увидела свет.

Выражаем признательность российскому представительству Microsoft— за техническую поддержку и предоставление предварительных и окончатель­ных версий Windows 2000, и лично Дмитрию Вишнякову (системному ин­женеру представительства) — за советы и ценные замечания, сделанные при чтении рукописи.

Над книгой работали (некоторые главы написаны совместно):

• 
  Александр Андреев (главы 5, 12, 24)
  
• 
  Егор Беззубое (главы 6, 8, 10, 23—25)
  
• 
  Марк Емельянов (главы 9, 15—20, 24)
  
• 
  Ольга Кокорева (главы 1—4, 6, 7, 13, 14)
  
• 
  Алексей Чекмарев (введение, главы 11, 21, 22, глоссарий)
  

Для начала кратко ознакомимся с назначением и особенностями всех систем Windows 2000 (в бета-версиях называемых Windows NT 5.0), а также с целя­ми, поставленными при их создании. Особое внимание уделим новым воз­можностям, отсутствующим в предыдущей версии (Windows NT 4.0). Требо­вания к аппаратным средствам перечислены в главе 1.

В семейство Windows 2000 входят четыре продукта: П Windows 2000 Professional

О Windows 2000 Server

П Windows 2000 Advanced Server

D Windows 2000 Datacenter Server

Все продукты линии Windows 2000 имеют логотип "На основе технологии NT" (Built on NT Technology), поскольку они являются "наследниками" опе­рационных систем Windows NT (З.хх и 4.0).

В этой книге описывается Windows 2000 Server, однако практически весь материал распространяется и на Windows 2000 Advanced Server (не описыва­ются лишь некоторые службы, см. ниже возможности Advanced Server).

Напомним, что локализованы только два продукта: Windows 2000 Professional и Windows 2000 Server.

Чтобы читатель имел общее представление о продуктах семейства Windows 2000, далее кратко описываются назначение, особенности и возможности каждого из перечисленных выше продуктов, при этом основное внимание уделяется Windows 2000 Server, который рассматривается более подробно.

26 _______________________________________________ Введение

Windows 2000 Professional

Система Windows 2000 Professional предназначена для настольных и мобиль­ных компьютеров в организации любого масштаба и должна заменить Windows 95/98 в качестве стандартной платформы для деловых приложений. В процессе проектирования Windows 2000 Professional преследовались сле­дующие цели:

П Упростить работу с системой (для этого используется привычный, но существенно модернизированный интерфейс Windows, в который интег­рированы новые возможности)

О Сохранить традиционные достоинства систем Windows NT (надежность, производительность и безопасность)

П Перенести в систему лучшие качества Windows 98 (в том числе обес­печить поддержку большого количества устройств и технологию Plug and Play)

О Создать легко конфигурируемую настольную систему, позволившую сни­зить общую стоимость владения (Total Cost of Ownership, TCO) (для этого обеспечивается возможность централизованного управления системой и приложениями, а также удаленная инсталляция системы)

Основные характеристики и область применения серверных продуктов се­мейства Windows 2000:

Windows 2000 Базовый сервер для деловых Active Directory

Server приложений имеет универсаль- _Инстру_Менты администриро-

ные средства, необходимые для _ван|/|я windows

файловых служб, серверов пе- Безопасность Kerberos и PKI

чати и приложений, коммуника- Службы терминалов

ционных и веб-серверов в мае- (Windows Terminal Services)

штабах подразделения _ , ^^.,,
^г Службы компонентов СОМ+

Улучшенные Интернет- и веб-службы

До 4 Гбайт физической памяти

SMP до 4 процессоров

27


Введение