Занятие 1. Организация подсистем ввода-вывода

Занятие 1. Организация подсистем ввода-вывода

План занятия:

· Устройства ввода-вывода

· Строение устройства ввода-вывода

· Назначение ввода-вывода

 

Устройства ввода-вывода

Внешние устройства, выполняющие операции ввода-вывода, можно разделить на три группы:

• устройства, работающие с пользователем. Используются для связи пользователя с компьютером. Сюда относятся принтеры, дисплеи, клавиатура, манипуляторы (мышь, трекбол, джойстики) и т.п.;
• устройства, работающие с компьютером. Используются для связи с электронным оборудованием. К ним можно отнести дисковые устройства и устройства с магнитными лентами, датчики, контроллеры, преобразователи;
• коммуникации. Используются для связи с удаленными устройствами. К ним относятся модемы и адаптеры цифровых линий.

По другому признаку устройства ввода-вывода можно разделить на блочные и символьные. Блочными являются устройства, хранящие информацию в виде блоков фиксированного размера, причем у каждого блока есть адрес и каждый блок может быть прочитан независимо от остальных блоков. Символьные устройства принимают или передают поток символов без какой-либо блочной структуры (принтеры, сетевые карты, мыши и т.д.).

Однако некоторые из устройств не попадают ни в одну из этих категорий, например, часы, мониторы и др. Модель блочных и символьных устройств является настолько общей, что может использоваться в качестве основы для достижения независимости от устройств некоторого программного обеспечения операционных систем, имеющего дело с вводом-выводом. Например, файловая система имеет дело с абстрактными блочными устройствами, а зависимую от устройств часть оставляет программному обеспечению низкого уровня.

Следует также отметить существенные различия между устройствами ввода-вывода, принадлежащими к разным классам, и в рамках каждого класса. Эти различия касаются следующих характеристик:

• скорость передачи данных (различия на несколько порядков);
• применение. Каждое действие, поддерживаемое устройством, оказывает влияние на программное обеспечение и стратегии операционной системы (например, диск, используемый для хранения файлов или для страниц виртуальной памяти, требует различного программного обеспечения);
• сложность управления. Для принтера требуется относительно простой интерфейс управления, для диска – намного сложнее. Влияния этих отличий на ОС сглаживается усложнением контроллеров ввода-вывода;
• единицы передачи данных. Данные могут передаваться блоками или потоками байтов или символов;
• представления данных. Различные устройства используют разные схемы кодирования данных, включая разную кодировку символов и контроль четности;
• условия ошибки. Природа ошибок, способ сообщения о них, их последствия и возможные ответы резко отличаются при переходе от одного устройства к другому.

Такое разнообразие внешних устройств приводит, по сути, к невозможности разработки единого и согласованного подхода к проблеме ввода-вывода как с точки зрения операционной системы, так и с точки зрения пользовательских процессов.

Строение устройства ввода-вывода

 

Устройства ввода-вывода, как правило, состоят из электромеханической и электронной части. Обычно их выполняют в форме отдельных модулей – собственно устройство и контроллер (адаптер). В ПК контроллер принимает форму платы, вставляемой в слот расширения. Плата имеет разъем, к которому подключается кабель, ведущий к самому устройству. Многие контроллеры способны управлять двумя, четырьмя и даже более идентичными устройствами. Интерфейс между контроллером и устройством является официальным стандартом (ANSI, IEEE или ISO) или фактическим стандартом, и различные компании могут выпускать отдельно котроллеры и устройства, удовлетворяющие данному интерфейсу. Так, многие компании производят диски, соответствующие интерфейсу IDE или SCSI, а наборы схем системной логики материнских плат реализуют IDE и SCSI-контроллеры.

Интерфейс между контроллером и устройством часто является интерфейсом очень низкого уровня, т.е. очень специфичным, зависящим от типа внешнего устройства. Например, видеоконтроллер считывает из памяти байты, содержащие символы, которые следует отобразить, и формирует сигналы управления лучом электронной трубки, сигналы строчной и кадровой развертки и т.п.

Каждый контроллер взаимодействует с драйвером системного программного модуля, предназначенным для управления данным устройством. Для работы с драйвером, контроллер имеет несколько регистров, кроме того, он может иметь буфер данных, из которого операционная система может читать данные, а также записывать данные в него. Каждому управляющему регистру назначается номер порта ввода-вывода. Используя регистры контроллера, ОС может узнать состояние устройства (например, готово ли оно к работе), а также выдавать команды управления устройством (принять или передать данные, включиться, выключиться и т.п.).

Назначение ввода-вывода

Обмен данными между пользователями, приложениями и периферийными устройствами компьютера выполняет специальная подсистема ОС – подсистема ввода-вывода. Собственно, для выполнения этой задачи и были разработаны первые системные программы, послужившие прототипами операционных систем.

Основными компонентами подсистемы ввода-вывода являются драйверы, управляющие внешними устройствами, и файловая система. В работе подсистемы ввода-вывода активно участвует диспетчер прерываний. Более того, основная нагрузка диспетчера прерываний обусловлена именно подсистемой ввода-вывода, поэтому диспетчер прерываний иногда считают частью подсистемы ввода-вывода.

Файловая система – это основное хранилище информации в любом компьютере. Она активно использует остальные части подсистемы ввода-вывода. Кроме того, модель файла лежит в основе большинства механизмов доступа к периферийным устройствам.

На подсистему ввода-вывода возлагаются следующие функции:

• организация параллельной работы устройств ввода-вывода и процессора;
• согласование скоростей обмена и кэширование данных;
• разделение устройств и данных между процессами (выполняющимися программами);
• обеспечение удобного логического интерфейса между устройствами и остальной частью системы;
• поддержка широкого спектра драйверов с возможностью простого включения в систему нового драйвера;
• динамическая загрузка и выгрузка драйверов без дополнительных действий с операционной системой;
• поддержка нескольких различных файловых систем;
• поддержка синхронных и асинхронных операций ввода-вывода.

Эволюция ввода-вывода может быть представлена следующими этапами:

1) Процессор непосредственно управляет периферийным устройством.

2) Устройство управляется контроллером. Процессор использует программируемый ввод-вывод без прерываний (переход к абстракции интерфейса ввода-вывода).

3) Использование контроллера прерываний. Ввод-вывод, управляемый прерываниями.

4) Использование модуля (канала) прямого доступа к памяти. Перемещение данных в память (из нее) без применения процессора.

5) Использование отдельного специализированного процессора ввода-вывода, управляемого центральным процессором.

6) Использование отдельного компьютера для управления устройствами ввода-вывода при минимальном вмешательстве центрального процессора.

 

Занятие 6. Система имен DNS

План занятия:

· Общая характеристика DNS

· Пространство имен DNS

· Распределение ответственности

· Получение IP-адреса

· Кэширование IP-адресов

· Типы DNS ресурсов

 

Общая характеристика DNS

Доменная система имен (Domain Name System, DNS) - это распределенная база данных, которую приложения используют для организации отображения символьных имен хостов (доменных имен) на IP-адреса. С помощью DNS всегда можно найти IP-адрес, соответствующий заданному доменному имени. Распределенность DNS заключается в том, что нет ни одного хоста в Интернете, который имел бы всю информацию об этом распределении. Каждая группа хостов (например, та, что связывает все компьютеры колледжа) поддерживает свою собственную базу данных имен, открытую для запросов внешних клиентов и других серверов. Поддержка базы данных имен осуществляется с помощью приложения, которое называют DNS-сервером или сервером имен (name server).

Доступ к DNS осуществляют с помощью распознавателя (resolver) - клиент, обращается к DNS-серверу для преобразования доменных имен в IP-адреса (этот процесс называют разрешением доменных имен - domain name resolution). Распознаватель реализован, как библиотека, компонуемая с приложениями. Он использует конфигурационный файл, в котором указаны IP-адреса локальных серверов имен. Если применение требует разрешения доменного имени, код распознавателя отсылает запрос на локальный сервер имен, получает оттуда информацию о соответствующем IP-адресе и возвращает его в применение. Отметим, что и распознаватель, и сервер имен обычно работают в режиме пользователя.

Пространство имен DNS

Пространство имен DNS является иерархическим. Каждый узел сопровождает символьная отметка. Корнем дерева является узел с обозначением нулевой длины. Домен это имя любого узла дерева - это список меток, начиная с этого узла (слева направо) и до корня, разделенных символом «точка». Доменные имена должны быть уникальными.

Доменное имя,которое завершается точкой, называют полным доменным именем (Fully Qualified Domain Name, FQDN). Если точка в конце имени отсутствует, считают, что это имя может быть дополнено (к нему может быть добавлен суффикс соответствующего домена). Такие имена могут использоваться в рамках домена. Среди доменов верхнего уровня (суффикс для которых не содержит точек, кроме конечной) выделяют всем известные com, edu, org и т.д., а также домены для стран (ua для Украины). Есть специальный домен агра, используемый для обратного превращения IP-адресов в DNS-имена.

Поддомен (англ. subdomain) — подчинённый домен (например, wikipedia.org — поддомен домена org, а ru.wikipedia.org — домена wikipedia.org). Теоретически такое деление может достигать глубины 127 уровней, а каждая метка может содержать до 63 символов, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения. Например, если у вас есть домен вида mydomain.ru, вы можете создать для него различные поддомены вида mysite1.mydomain.ru, mysite2.mydomain.ru и т. д.

 

Распределение ответственности

Распределение ответственности за зоны DNS-дерева - важнейшая характеристика доменных имен. Нет ни одной организации или компании, которая бы руководила отображением для всех отметок дерева. Есть специальная организация (Network Information Center, NIC), управляющая доменом верхнего уровня и делегирующая ответственность другим организациям других зон. Зоной называют часть DNS-дерева, которая администрируется отдельно. Примером зоны есть домен второго уровня (например, kharkov.ua). Многие организации разделяют свои зоны на меньшие согласно доменов следующего уровня (например, kpi.kharkov.ua, kture.kharkov.ua), аналогичным образом делегируя ответственность за них. В этом случае зоной верхнего уровня считают часть домена, которая не включает выделенные в ней зоны.

После делегирования ответственности за зону, для нее необходимо установить несколько серверов имен (как минимум два - основной и резервный). При размещении в сети нового хоста, информация о нем должна заносится в базу данных основного сервера соответствующей зоны. После этого информацию автоматически синхронизируют между основным и резервным серверами.

Получение IP-адреса

Если сервер имен не имеет необходимой информации, он ее ищет на других серверах. Процесс получения такой информации называют итеративным запросом (iterative query).

Рассмотрим итеративный запрос получения IP-адреса для имени www.kpi.kha- rkov.ua. Сначала локальный сервер связывается с корневым сервером имен (root name server), ответственным за домен верхнего уровня (.). По состоянию па 2004 в Интернете было 13 таких серверов, каждый из них должен был быть известен всем другим серверам имен. Корневой сервер имен хранит информацию о серверах первого уровня. Получив запрос на отображение имени, он определяет, что это имя относится не к его зоне ответственности, а к домену.uа, и возвращает локальному серверу информацию об адресах и именах всех серверов соответствующей зоны. Далее локальный сервер обращается к одному из этих серверов с аналогичным запросом. Тот сервер содержит информацию о том, что для зоны kharkov.ua есть свой сервер имен, в результате локальный сервер получает адрес этого сервера. Процесс повторяют до тех пор, пока требование не поступит на сервер, ответственный за домен kpi.kharkov.ua, что может вернуть корректную IP-адрес.

Кэширование IP-адресов

Кэширования IP-адресов позволяет значительно уменьшить нагрузку на сеть. Когда сервер имен получает информацию об отображении (например, IP-адрес, соответствующий доменному имени), он сохраняет эту информацию локально (в специальном кэше). Следующий аналогичный запрос получит в ответ данные из кэша без обращения к другим серверам. Информацию хранят в кэше ограниченное время. Отметим, что, когда для сервера не задана зона, за которую он отвечает, кэширование является его единственной задачей. Где распространен сервер кэширования (caching-only server).

Типы DNS ресурсов

Элемент информации в базе данных DNS называют ресурсной записью (Resource Record, RR). Каждая такая запись имеет класс и тип. Для записи отображения IP-адресов классом всегда является IN.

Рассмотрим некоторые типы DNS-ресурсов. Важнейшим из них является A-запись, связывает полное доменное имя с IP-адресом. Именно на основе таких записей сервера имен возвращают информацию об отражении. В конфигурационном файле сервера имен bind для домена kpi.kharkov.ua A-запись для www.kpi.kharkov.ua задают так: www IN А 144.91.1.21. Еще одним типом записи является CNAME-запись, задает алиас доменного имени. Одному и тому же IP-адресу (A-записи) может соответствовать несколько таких алиасов.

Занятие 7. Особенности DNS

План занятия:

· Элементы DNS

· Рекурсия

· Обратный DNS запрос

· Записи DNS

Элементы DNS

Ресурсная запись — единица хранения и передачи информации в DNS. Каждая ресурсная запись имеет имя (то есть, привязана к определенному доменному имени, узлу в дереве имен), тип и поле данных, формат и содержание которого зависит от типа.

Зона — часть дерева доменных имен (включая ресурсные записи), размещаемая как единое целое на некотором сервере доменных имен (DNS-сервере), а чаще — одновременно на нескольких серверах. Целью выделения части дерева в отдельную зону является передача ответственности за соответствующий домен другому лицу или организации. Это называется делегированием. Как связная часть дерева, зона внутри тоже представляет собой дерево. Если рассматривать пространство имен DNS как структуру из зон, а не отдельных узлов/имен, тоже получается дерево; оправданно говорить о родительских и дочерних зонах, о старших и подчиненных. На практике, большинство зон 0-го и 1-го уровня ('.', ru, com, …) состоят из единственного узла, которому непосредственно подчиняются дочерние зоны. В больших корпоративных доменах (2-го и более уровней) иногда встречается образование дополнительных подчиненных уровней без выделения их в дочерние зоны.

Делегирование — операция передачи ответственности за часть дерева доменных имен другому лицу или организации. За счет делегирования в DNS обеспечивается распределенность администрирования и хранения. Технически делегирование выражается в выделении этой части дерева в отдельную зону, и размещении этой зоны на DNS-сервере, управляемом этим лицом или организацией. При этом в родительскую зону включаются «склеивающие»ресурсные записи (NS и А), содержащие указатели на DNS-сервера дочерней зоны, а вся остальная информация, относящаяся к дочерней зоне, хранится уже на DNS-серверах дочерней зоны.

DNS-сервер — специализированное ПО для обслуживания DNS, а также компьютер, на котором это ПО выполняется. DNS-сервер может быть ответственным за некоторые зоны и/или может перенаправлять запросы вышестоящим серверам.

DNS-клиент — специализированная библиотека (или программа) для работы с DNS. В ряде случаев DNS-сервер выступает в роли DNS-клиента.

Авторитетность (англ. authoritative) — признак размещения зоны на DNS-сервере. Ответы DNS-сервера могут быть двух типов: авторитетные (когда сервер заявляет, что сам отвечает за зону) и неавторитетные (англ. Non-authoritative), когда сервер обрабатывает запрос, и возвращает ответ других серверов. В некоторых случаях вместо передачи запроса дальше DNS-сервер может вернуть уже известное ему (по запросам ранее) значение (режим кэширования).

DNS-запрос (англ. DNS query) — запрос от клиента (или сервера) серверу. Запрос может быть рекурсивным или нерекурсивным.

Система DNS содержит иерархию DNS-серверов, соответствующую иерархии зон. Каждая зона поддерживается как минимум одним авторитетным сервером DNS (от англ. authoritative — авторитетный), на котором расположена информация о домене.

Рекурсия

Термином Рекурсия в DNS обозначают алгоритм поведения DNS-сервера, при котором сервер выполняет от имени клиента полный поиск нужной информации во всей системе DNS, при необходимости обращаясь к другим DNS-серверам.

DNS-запрос может быть рекурсивным — требующим полного поиска и нерекурсивным (или итеративным) — не требующим полного поиска.

Аналогично, DNS-сервер может быть рекурсивным (умеющим выполнять полный поиск) и нерекурсивным (не умеющим выполнять полный поиск). Некоторые программы DNS-серверов, например, BIND, можно сконфигурировать так, чтобы запросы одних клиентов выполнялись рекурсивно, а запросы других — нерекурсивно.

При ответе на нерекурсивный запрос, а также при неумении или запрете выполнять рекурсивные запросы, DNS-сервер либо возвращает данные о зоне, за которую он ответствен, либо возвращает ошибку. Настройки нерекурсивного сервера, когда при ответе выдаются адреса серверов, которые обладают большим объёмом информации о запрошенной зоне, чем отвечающий сервер (чаще всего — адреса корневых серверов), являются некорректными и такой сервер может быть использован для организации DDoS-атак.

В случае рекурсивного запроса DNS-сервер опрашивает серверы (в порядке убывания уровня зон в имени), пока не найдёт ответ или не обнаружит, что домен не существует. (На практике поиск начинается с наиболее близких к искомому DNS-серверов, если информация о них есть в кэше и не устарела, сервер может не запрашивать другие DNS-серверы.)

Рассмотрим на примере работу всей системы.

Предположим, мы набрали в браузере адрес ru.wikipedia.org. Браузер спрашивает у сервера DNS: «какой IP-адрес у ru.wikipedia.org»? Однако, сервер DNS может ничего не знать не только о запрошенном имени, но даже обо всём домене wikipedia.org. В этом случае сервер обращается к корневому серверу — например, 198.41.0.4. Этот сервер сообщает — «У меня нет информации о данном адресе, но я знаю, что 204.74.112.1 является ответственным за зону org.» Тогда сервер DNS направляет свой запрос к 204.74.112.1, но тот отвечает «У меня нет информации о данном сервере, но я знаю, что 207.142.131.234 является ответственным за зону wikipedia.org.» Наконец, тот, же запрос отправляется к третьему DNS-серверу и получает ответ — IP-адрес, который и передаётся клиенту — браузеру.

В данном случае при разрешении имени, то есть в процессе поиска IP по имени:

• браузер отправил известному ему DNS-серверу рекурсивный запрос — в ответ на такой тип запроса сервер обязан вернуть «готовый результат», то есть IP-адрес, либо пустой ответ и код ошибки NXDOMAIN;
• DNS-сервер, получивший запрос от браузера, последовательно отправлял нерекурсивные запросы, на которые получал от других DNS-серверов ответы, пока не получил ответ от сервера, ответственного за запрошенную зону;
• остальные упоминавшиеся DNS-серверы обрабатывали запросы нерекурсивно (и, скорее всего, не стали бы обрабатывать запросы рекурсивно, даже если бы такое требование стояло в запросе).

Иногда допускается, чтобы запрошенный сервер передавал рекурсивный запрос «вышестоящему» DNS-серверу и дожидался готового ответа.

При рекурсивной обработке запросов все ответы проходят через DNS-сервер, и он получает возможность кэшировать их. Повторный запрос на те же имена обычно не идет дальше кэша сервера, обращения к другим серверам не происходит вообще. Допустимое время хранения ответов в кэше приходит вместе с ответами (поле TTL ресурсной записи).

Рекурсивные запросы требуют больше ресурсов от сервера (и создают больше трафика), так что обычно принимаются от «известных» владельцу сервера узлов (например, провайдер предоставляет возможность делать рекурсивные запросы только своим клиентам, в корпоративной сети рекурсивные запросы принимаются только из локального сегмента). Нерекурсивные запросы обычно принимаются ото всех узлов сети (и содержательный ответ даётся только на запросы о зоне, которая размещена на узле, на DNS-запрос о других зонах обычно возвращаются адреса других серверов).

Обратный DNS запрос

DNS используется в первую очередь для преобразования символьных имён в IP-адреса, но он также может выполнять обратный процесс. Для этого используются уже имеющиеся средства DNS. Дело в том, что с записью DNS могут быть сопоставлены различные данные, в том числе и какое-либо символьное имя. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соответствующее символьное имя. Обратный порядок записи частей IP-адреса объясняется тем, что в IP-адресах старшие биты расположены в начале, а в символьных DNS-именах старшие (находящиеся ближе к корню) части расположены в конце.

Записи DNS

Записи DNS, или Ресурсные записи (англ. Resource Records, RR) — единицы хранения и передачи информации в DNS. Каждая ресурсная запись состоит из следующих полей:

• имя (NAME) — доменное имя, к которому привязана или которому «принадлежит» данная ресурсная запись,
• TTL (Time To Live) — допустимое время хранения данной ресурсной записи в кэше неответственного DNS-сервера,
• тип (TYPE) ресурсной записи — определяет формат и назначение данной ресурсной записи,
• класс (CLASS) ресурсной записи; теоретически считается, что DNS может использоваться не только с TCP/IP, но и с другими типами сетей, код в поле классопределяет тип сети,
• длина поля данных (RDLEN),
• поле данных (RDATA), формат и содержание которого зависит от типа записи.
• Наиболее важные типы DNS-записей:
• Запись A (address record) или запись адреса связывает имя хоста с адресом протокола IPv4. Например, запрос A-записи на имя referrals.icann.org вернёт его IPv4-адрес — 192.0.34.164.
• Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6. Например, запрос AAAA-записи на имя K.ROOT-SERVERS.NET вернёт его IPv6-адрес — 2001:7fd::1.
• Запись CNAME (canonical name record) или каноническая запись имени (псевдоним) используется для перенаправления на другое имя.
• Запись MX (mail exchange) или почтовый обменник указывает сервер(ы) обмена почтой для данного домена.
• Запись NS (name server) указывает на DNS-сервер для данного домена.
• Запись PTR (pointer) или запись указателя связывает IP-адрес хоста с его каноническим именем. Запрос в домене in-addr.arpa на IP-адрес хоста в reverse форме вернёт имя (FQDN) данного хоста (см. Обратный DNS-запрос). Например, (на момент написания) для IP-адреса 192.0.34.164 запрос записи PTR 164.34.0.192.in-addr.arpa вернёт его каноническое имя referrals.icann.org. В целях уменьшения объёма нежелательной корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR-записи для хоста, с которого происходит отправка. В этом случае PTR-запись для IP-адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP-сессии.
• Запись SOA (Start of Authority) или начальная запись зоны указывает, на каком сервере хранится эталонная информация о данном домене, содержит контактную информацию лица, ответственного за данную зону, тайминги (параметры времени) кеширования зонной информации и взаимодействия DNS-серверов.
• SRV-запись (server selection) указывает на серверы для сервисов, используется, в частности, для Jabber и Active Directory.

Занятие 22. Создание групп

План занятия:

• Области действия групп
• Типы групп
• Создание групп
• Конфигурирование групп

Структура групп AD DS не является новой в AD DS, но она предоставляет эффективный механизм для управления безопасностью при большом количестве пользователей. Без групп, позволяющих логически организовать пользователей, права доступа к о всем объектам в сети понадобилось бы устанавливать вручную для каждого пользователя. То есть при необходимости обеспечить доступ к принтеру для целого отдела пришлось бы вручную добавлять каждого сотрудника этого отдела в список разрешений этого принтера. Подобные вещи сильно усложнили бы администрирование аспектов безопасности. Таким образом, концепция групп разработана для упрощения администрирования: если необходимо обеспечить крупному отделу доступ к одному и тому же принтеру, разрешение достаточно выдать только представляющей этот отдел группе. Это значительно упрощает управление безопасностью и заодно облегчает перенос пользователей при их увольнении или переводе в другой отдел.

Области действия групп

Группы в AD DS работают почти так же, как и в старых структурах (в частности, в Windows NT), но с некоторыми изменениями в структуре. Группы делятся на две категории по типу и по области действия. В AD DS существуют два типа групп: группы доступа и группы рассылки. Группы доступа используются для предоставления членам группы прав доступа к объектам. А группы рассылки служат для отправки почтовых сообщений членам группы. По области действия группы делятся следующим образом:

• Локальные группы компьютера. Локальные группы компьютера, или просто локальные группы, теоретически могут содержать членов из любого доверяемого местоположения. В группы этого типа могут включаться пользователи и группы из локального домена, а также из других доверяемых доменов и лесов. Важно помнить, что локальные группы позволяют обращаться к ресурсам только того компьютера, где они находятся, а это существенно снижает возможности их использования.
• Локальные группы домена. Локальные группы домена во многом подобны локальным группам Windows NT и используются для администрирования ресурсов, содержащихся только в их собственном домене. Они могут содержать пользователей и группы из любых других доверяемых доменов. Чаще всего эти типы групп используются для предоставления доступа к ресурсам группам из других доменов.
• Глобальные группы. Глобальные группы противоположны локальным группам домена. Они могут содержать только пользователей домена, в котором существуют сами, но служат для предоставления доступа к ресурсам других доверяемых доменов. Эти типы групп наиболее удобны для назначения членства учетным записям пользователей, которые выполняют одинаковые функции, например, из глобальной группы сбыта.
• Универсальные группы. Универсальные группы могут содержать пользователей и группы из любых доменов леса и могут предоставлять доступ к любому ресурсу леса. Но наряду с дополнительными возможностями есть и неприятные моменты. Во-первых, универсальные группы доступны только в доменах в режиме Native. Во-вторых, все члены каждой универсальной группы хранятся в глобальном каталоге, что приводит к увеличению объема репликации. Хотя следует отметить, что в Windows Server 2012 система репликации данных о членстве в универсальных группах была существенно упрощена и оптимизирована с помощью инкрементной репликации данных о членстве.

Типы групп

Группа доступа (security group) - наиболее знакомый администраторам тип групп. Они применяются для массового назначения прав доступа к ресурсам и тем самым упрощения администрирования больших групп пользователей. Группы доступа могут создаваться для каждого отдела в организации. Например, администратор может создать для пользователей из отдела маркетинга группу доступа под названием Marketing (Маркетинг), а затем предоставить этой группе права доступа к каким-то конкретным каталогам в среде.

Концепция групп рассылки (distribution group) впервые появилась еще в Windows 2000 Server вместе с реализацией Active Directory. Под группой рассылки подразумевается такая группа, члены которой могут получать отправляемые группе почтовые сообщения по протоколу SMTP (Simple Mail Transfer Protocol - простой протокол электронной почты). В Windows Server 2012 этой возможностью может пользоваться любое приложение, которое способно применять AD DS для поиска в адресной книге (т.е. LDАР-поиска). Группы рассылки часто пугают с почтовыми группами, которые применяются в средах с Exchange 2000/2003/2007/2010/2013. Кроме того, в большинстве случаев группы рассылки не применяются в средах без Exchange Server, поскольку их функциональные возможности ограничиваются только инфраструктурами, которые способны их поддерживать.

В AD DS имеется также концепция почтовых групп (mail-enabled group). Эти группы представляют собой, по сути, те же группы доступа, но могут указываться в адресах электронной почты и использоваться для отправки SМТР-сообщений всем входящим в них членам. Такие группы в основном применяются вместе с Exchange Server, но могут использоваться и вместе со сторонними почтовыми системами, интегрированными с AD DS. В большинстве организаций значительную часть потребностей могут удовлетворять группы доступа с включенной почтовой функцией: они позволяют работать как с безопасностью, так и электронной почтой.

Создание групп

Для создания группы, необходимо:

1) Перейти в server manager

2) В меню tools выбрать Active Directory Users and Computers

3) В зависимости от назначения групп и условий, выбирается где именно будут созданы группы. (Оптимальным решением, является создание собственной организационной единицы, для выполнения дальнейших действий).

4) При нажатии правой кнопкой мыши в пустом пространстве, откроется меню, в котором можно выбрать New, и в появившемся списке выбрать Group.

Конфигурирование групп

После создания группы, можно настроить кто будет входить в данную группу, или в какие группы будет добавлена сама группа. За эти действия отвечают вкладки Members и Member Of. Вкладка Members, позволяет создавать списки пользователей данной группы. Добавляются пользователи при помощи кнопки Add. Вкладка Member Of, позволяет определить в какие группы будет включена данная группа. Это необходимо для более тонких элементов администрирования и назначения прав.

Упражнение

1) Создать 10 пользователей, для сотрудников различных должностей.

2) Создавать группы, позволяющие распределить пользователей.

3) Организовать 2 специализированные группы, для администрирования созданных групп.

4) Для каждой группы создать сетевые ресурсы.

 

Занятие 27. Аудит

План занятия:

• Введение в аудит
• Глобальные политики аудита

Введение в аудит

В Windows Server 2012 система аудита была существенно переработана, увеличено на 53 количество параметров. Стали отслеживаться все попытки создания, изменения, перемещения и восстановление объектов. В журнал записывается предыдущее и текущее значения измененного атрибута и учетная запись пользователя выполнившего операцию. Правда если при создании объектов для атрибутов использовались параметры по умолчанию, их значения в журнал не заносятся. Аудит внедряется при помощи: глобальной политики аудита (Global Audit Policy, GAP), списка управления доступом (SACL, System access control list) и схемы. Управлять аудитом стало возможным на уровне категорий. Например, политики аудита Active Directory разделены на 4 категории в каждой из которых настраиваются специфические параметры:

• Directory Service Access — доступ к службе каталогов;
• Directory Service Changes — изменения службы каталогов;
• Directory Service Replication — репликация службы каталогов;
• Detailed Directory Service Replication — подробная репликация службы каталогов.

Для просмотра записей в журнале безопасности предложена консоль Просмотр событий (Event Viewer) в Windows Server 2012 умеющая фильтровать события по дате при помощи настраиваемого представления: по уровню (критическое, предупреждение, ошибка и т.д.), источнику, коду, пользователю или компьютеру и ключевым словам.

Упражнение

1. Перейти в меню Tools
2. Открыть программу Event Viewer
3. Просмотреть встроенные журналы и события
4. Очистить журналы
5. Глобальные политики аудита

Для задания глобальных политик аудита, необходимо перейти в Group Policy Manager, Computer Configuration, перейти в Windows Settings, затем Security Settings, оттуда перейти в Local Policy и там Audit Policy. Пример стандартных политик аудита:

Account Logon Events	запись событий по получению контроллером домена запросов на вход в систему. Например, попытка входа для гостей.
Account managment	запись всех событий по корректировке базы учетных записей пользователей и групп. Например, создание или удаление пользователя или группы.
Directory service access	Доступ к объектам Active Directory. Например, доступ к OU
Logon Events	запись событий по входу пользователей. Например, вошел пользователь.
Object Access	запись событий по доступу к каталогам, файлам и принтерам для которых заданы события аудита. Для каждого объекта они задаются отдельно и дополнительно.
Privilege Use	запись всех событий, которые соответствуют использованию своих прав пользователями (из списка прав в User Rights). Например, право изменять системное время
Process Tracking	отслеживание работы процессов, для которых запущено отслеживание.
System Events	запись событий запуска и завершения работы системы и всевозможные действия по нарушению безопасности системы

Упражнение

1. Установить политики Account Logon Events и System Events
2. Перезайти под любым другим пользователем в системе
3. Проверить журнал Security
4. Перезайти под администратором и проверить журнал

 

 

Занятие 1. Организация подсистем ввода-вывода

План занятия:

· Устройства ввода-вывода

· Строение устройства ввода-вывода

· Назначение ввода-вывода

 

Устройства ввода-вывода

Внешние устройства, выполняющие операции ввода-вывода, можно разделить на три группы:

• устройства, работающие с пользователем. Используются для связи пользователя с компьютером. Сюда относятся принтеры, дисплеи, клавиатура, манипуляторы (мышь, трекбол, джойстики) и т.п.;
• устройства, работающие с компьютером. Используются для связи с электронным оборудованием. К ним можно отнести дисковые устройства и устройства с магнитными лентами, датчики, контроллеры, преобразователи;
• коммуникации. Используются для связи с удаленными устройствами. К ним относятся модемы и адаптеры цифровых линий.

По другому признаку устройства ввода-вывода можно разделить на блочные и символьные. Блочными являются устройства, хранящие информацию в виде блоков фиксированного размера, причем у каждого блока есть адрес и каждый блок может быть прочитан независимо от остальных блоков. Символьные устройства принимают или передают поток символов без какой-либо блочной структуры (принтеры, сетевые карты, мыши и т.д.).

Однако некоторые из устройств не попадают ни в одну из этих категорий, например, часы, мониторы и др. Модель блочных и символьных устройств является настолько общей, что может использоваться в качестве основы для достижения независимости от устройств некоторого программного обеспечения операционных систем, имеющего дело с вводом-выводом. Например, файловая система имеет дело с абстрактными блочными устройствами, а зависимую от устройств часть оставляет программному обеспечению низкого уровня.

Следует также отметить существенные различия между устройствами ввода-вывода, принадлежащими к разным классам, и в рамках каждого класса. Эти различия касаются следующих характеристик: