Рабочая группа - это логическая группировка компьютеров, объединенных общим именем для облегченикомпьютер я навигации в пределах сети.

Принципиально важно, что каждый в рабочей группе равноправен (т. е. сеть получается одноранговой) и поддерживает собственную локальную базу данных учетных записей пользователей (Security Accounts Manager, SAM).

Отсюда вытекает основная проблема, которая не позволяет использовать рабочие группы в крупных корпоративных сетях.

Действительно, вход в защищенную систему является обязательным, а непосредственный и сетевой входы принципиально различаются (непосредственный контролируется локальным компьютером, а сетевой - удаленным), то, например, пользователю, вошедшему на компьютер Comp1 под локальной учетной записью User1, будет отказано в доступе к принтеру, установленному на компьютере Comp2, поскольку в его локальной базе нет пользователя с именем Userl (рис 1).

Рис. 1 Рабочие группы и домены

Таким образом, для обеспечения «прозрачного» взаимодействия в рабочей группе нужно создавать одинаковые учетные записи с одинаковыми паролями на всех компьютерах, где работают пользователи и расположены ресурсы.

В ОС Windows для рабочих групп предусмотрен специальный режим: «Использовать простой общий доступ к файлам», позволяющий обойти указанную проблему (данный режим включен по умолчанию).
В этом случае подключение к любому сетевому компьютеру осуществляется от имени его локальной гостевой учетной записи, которая включается с помощью Мастера настройки сети (по умолчанию она отключена) и для которой настраивается нужный уровень доступа.

Для ОС Windows версии Home Edition этот способ сетевого взаимодействия является основным и отключить его нельзя (поэтому компьютеры с данной ОС невозможно сделать участниками домена).
Понятно, что управлять учетными записями и ресурсами в рабочей группе можно только при небольшом количестве компьютеров и пользователей.

В крупных сетях следует применять домены.

Домен - это логическая группировка компьютеров, объединенных общей базой данных пользователей и компьютеров, политикой безопасности и управления.
Домены создаются на основе сетевых ОС Windows, а база данных, поддерживается контроллерами домена.
Важным в доменах является то, что все компьютеры здесь не сами осуществляют проверку пользователей при входе, а передоверяют эту процедуру контроллерам.

Такая организация доступа позволяет легко осуществить однократную проверку пользователя при входе в сеть, а затем уже без проверки предоставлять ему доступ к ресурсам всех компьютеров домена.

Рис. 2 Домены

Основные угрозы при работе в сети

Угроз, поджидающих пользователей при подключении компьютера к сети, довольно много:

• «взлом» компьютера обычно производится с целью захвата контроля над операционной системой и получения доступа к данным;
• повреждение системы чаще всего организуется, чтобы нарушить работоспособность (вызвать отказ в обслуживании - «Denial of Service») каких-либо сервисов или компьютера (чаще сервера) целиком, а иногда - даже всей сетевой инфраструктуры организации;

Основные меры безопасности при работе в сети

Их можно сформулировать в виде следующего набора правил:

• отключайте компьютер, когда вы им не пользуетесь. Как любят говорить эксперты по компьютерной безопасности, «самым защищенным является выключенный компьютер, хранящийся в банковском сейфе»;
• своевременно обновляйте операционную систему. В любой ОС периодически обнаруживаются так называемые «уязвимости», снижающие защищенность вашего компьютера. Наличие уязвимостей нужно внимательно отслеживать (в том числе читая «компьютерную» прессу или информацию в Интернете), чтобы вовремя предпринимать меры для их устранения.
• кража данных из-за неправильно установленных прав доступа, при передаче данных или «взломе» системы позволяет получить доступ к защищаемой, часто - конфиденциальной информации со всеми вытекающими отсюда неприятными для владельца этих данных последствиями;
• уничтожение данных имеет целью нарушить или даже парализовать работу систем, компьютеров, серверов или всей организации.
• используйте ограниченный набор хорошо проверенных приложений, не устанавливайте сами и не разрешайте другим устанавливать на ваш компьютер программы, взятые из не¬проверенных источников (особенно из Интернета). Если приложение больше не нужно, удалите его;
• без необходимости не предоставляйте ресурсы своего компьютера в общий доступ. Если же это все-таки потребовалось, обязательно настройте минимально необходимый уровень доступа к ресурсу только для зарегистрированных учетных записей;
• установите (или включите) на компьютере персональный межсетевой экран (брандмауэр). Если речь идет о корпоративных сетях, установите брандмауэры как на маршрутизаторах, соединяющих вашу локальную сеть с Интернетом, так и на всех компьютерах сети;
• даже если вы единственный владелец компьютера, для обычной работы применяйте пользовательскую учетную запись: в этом случае повреждение системы, например, при заражении вирусом, будет неизмеримо меньше, чем если бы вы работали с правами администратора. Для всех учетных записей, особенно административных, установите и запомните сложные пароли.

Сложным считается пароль, содержащий случайную комбинацию букв, цифр и специальных символов, например jxglrg$N. Разумеется, пароль не должен совпадать с именем вашей учетной записи. В операционных системах Windows сложный пароль можно сгенерировать автоматически, используя команду NET USER с ключом /RANDOM, например:
NET USER Имя_Пользователя /RANDOM

• при работе с электронной почтой никогда сразу не открывайте вложения, особенно полученные от неизвестных отправителей. Сохраните вложение на диск, проверьте его антивирусной программой и только затем от-кройте. Если есть такая возможность, включите в вашей почтовой программе защиту от потенциально опасного содержимого и отключите поддержку HTML;
• при работе с веб-сайтами соблюдайте меры разумной предосторожности: старайтесь избегать регистрации, не передавайте никому персональные сведения о себе и внимательно работайте с Интернет-магазинами и другими службами, где применяются онлайновые способы оплаты с помощью кредитных карт или систем типа WebMoney, Яндекс-Деньги и т. д.
• Для организации работы в сетях Microsoft применяются две модели: рабочие группы, используемые при небольшом числе компьютеров, и домены, позволяющие легко объединять большое число пользователей, рабочих станций и серверов.
• Все сетевые ОС и хранящиеся на компьютерах данные должны быть надежно защищены, причем желательно, чтобы применяемая система безопасности была многоуровневой.

Windows ХР Professional поддерживает два сетевых окружения, в ко­торых пользователи могут совместно использовать общие ресурсы незави­симо от размера сети: рабочие группы и домены.

Рабочая группа (workgroup) Windows ХР Professional - логическое объединение сетевых компьютеров, которые совместно используют такие общие ресурсы, как файлы и принтеры. Рабочую группу также называют одноранговой сетью (peer-to-peer network), потому что все компьютеры в ней могут использовать общие ресурсы на равных условиях, т. е. без выде­ленного сервера.

Каждый компьютер в рабочей группе обслуживает базу данных по­литики безопасности локального компьютера (local security database). Эта база данных представляет собой перечень учетных записей пользова­теля и информацию о правах доступа к ресурсам на компьютере, где она постоянно находится. Поэтому использование базы данных политики безопасности локального компьютера децентрализует администрирование учетных записей пользователей и политики доступа к ресурсам в рабочей группе.

Поскольку рабочие группы децентрализуют администрирование и политику доступа к ресурсам, истинны следующие утверждения:

Ø пользователь должен иметь свою учетную запись на каждом компьюте­ре, к которому он хочет получить доступ;

Ø любое изменение учетных записей пользователя, например замена его пароля или создание новой учетной записи, необходимо выполнить на каждом компьютере рабочей группы. Если вы забудете зарегистрировать новую учетную запись на одном из компьютеров вашей рабочей группы, то новый пользователь не сможет получить доступ к этому компьютеру и его ресурсам.

Рабочая группа имеет следующие преимущества:

Ø она не требует включения в сеть контроллера домена для хранения цен­трализованной информации о политиках безопасности;

Ø она проста в проектировании и эксплуатации. В отличие от домена, не требует крупномасштабного планирования и администрирования;

Ø это удобная сетевая среда для небольшого числа компьютеров, располо­женных не слишком далеко друг от друга. Однако организация рабочей группы нецелесообразна в сетях, содержащих более 10 компьютеров.

Домен (domain) - это логическое объединение компьютеров в сети, которые совместно используют центральную базу данных каталога. База данных каталога (directory database) содержит учетные записи пользова­телей и информацию о политиках безопасности для домена. Эту базу дан­ных называют каталогом, и она представляет собой часть базы данных службы Active Directory - службы каталогов Windows 200х Server.

В домене каталог размешен на компьютерах - контроллерах домена. Контроллер домена (domain controller) - это сервер, который координирует все параметры безопасности при взаимодействии пользователя и домена и централизует администрирование и управление политиками безопасности.

Контроллером домена может быть только компьютер на платформе Microsoft Windows 200х Server. Если все компьютеры в сети работают на платформе Windows ХР Professional, то единственным доступным видом сети будет рабочая группа.

Каждый контроллер домена хранит и обслуживает копию каталога. В домене вы создаете единственную учетную запись пользователя, кото­рую Windows 200х записывает в каталог. Когда пользователь входит в сис­тему на компьютере домена, контроллер домена аутентифицирует пользо­вателя, проверяя в каталоге его учетную запись, пароль и ограничения на вход в систему. Если в домене есть несколько контроллеров домена, то они периодически обмениваются данными своих копий каталога.

Домен не имеет отношения к местоположению в сети или опреде­ленному типу сетевой конфигурации. Компьютеры в домене могут распо­лагаться рядом в небольшой локальной сети (LAN) или находиться в раз­личных уголках мира. Они могут связываться друг с другом по любому физическому соединению, включая телефонные линии, линии ISDN, опто­волоконные линии, линии Ethernet, кольцевые сети с маркерным доступом (token ring), подключение с ретрансляцией кадров (frame relay), спутнико­вую связь и выделенные линии.

Достоинства домена очевидны:

Ø централизованное администрирование, потому что вся информация о пользователях хранится в одном месте;

Ø однократная регистрация пользователя для получения доступа ко всем сетевым ресурсам (файлам, принтерам и программам) при наличии тре­буемых прав доступа. Другими словами, вы можете зарегистрироваться на одном компьютере сети и использовать ресурсы другого компьютера при условии, что вы имеете соответствующие разрешения на доступ;

Ø масштабируемость, что позволяет создавать очень большие сети.

А - потоки в пространстве пользователя

B - потоки в пространстве ядра

В случае А ядро о потоках ничего не знает. Каждому процессу необходима таблица потоков, аналогичная таблице процессов.

Преимущества случая А:

Такую многопоточность можно реализовать на ядре не поддерживающим многопоточность

Более быстрое переключение, создание и завершение потоков

Процесс может иметь собственный алгоритм планирования.

Недостатки случая А:

Отсутствие прерывания по таймеру внутри одного процесса

При использовании блокирующего (процесс переводится в режим ожидания, например: чтение с клавиатуры, а данные не поступают) системного запроса все остальные потоки блокируются.

Сложность реализации

Мультиплексирование потоков пользователя в потоках ядра

2.2.5 Особенности реализации Windows

Используется четыре понятия:

Задание - набор процессов с общими квотами и лимитами

• Волокно - облегченный поток, управляемый полностью в пространстве пользователя

Потоки работают в режиме пользователя, но при системных вызовах переключаются в режим ядра. Из-за переключения в режим ядра и обратно, очень замедляется работа системы. Поэтому было введено понятие волокна. У каждого потока может быть несколько волокон.

Лекция 2. Ос рабочих станций и серверов. Рабочие группы и домены. Active Directory. Основные серверы и службы в сети предприятия.

Рабочие группы и домены.

Домен (domain) - это логическое объединение компьютеров в сети, которые совместно используют центральную базу данных каталога. База данных каталога (directory database,) содержит учетные записи пользователя и информацию о политиках безопасности для домена. Эту базу данных называют каталогом, и она представляет собой часть базы данных службы Active Directory - службы каталогов Windows.

В домене каталог размещен на компьютерах - контроллерах домена. Контроллер домена (domain controller) - это сервер, который координирует все параметры безопасности при взаимодействии пользователя и домена и централизует администрирование и управление политиками безопасности.

Вы можете назначить контроллером домена только компьютер на одной из платформ Microsoft серии Windows Server 2000/2003/2008. Если все компьютеры в сети работают на платформе Windows XP/Vista/7/8, то единственным доступным видом сети будет рабочая группа. В дальнейшем в конспекте лекций для краткости все серверные версии будем называть Windows Server, а операционные системы рабочих станций Windows XP/Vista/7/8 - Windows для рабочих станций.

Домен не имеет отношения к местоположению в сети или определенному типу сетевой конфигурации. Компьютеры в домене могут располагаться рядом в небольшой локальной сети (LAN) или находиться в различных уголках мира. Они могут связываться друг с другом по любому физическому соединению, включая телефонные линии, линии ISDN, оптоволоконные линии, линии Ethernet, кольцевые сети с маркерным доступом (token ring), подключение с ретрансляцией кадров (frame relay), спутниковую связь и выделенные линии.

Достоинства домена очевидны:

Централизованное администрирование, потому что вся информация о пользователях хранится в одном месте;

Однократная регистрация пользователя для получения доступа ко всем сетевым ресурсам (файлам, принтерам и программам) при наличии требуемых прав доступа. Другими словами, вы можете зарегистрироваться на одном компьютере сети и использовать ресурсы другого компьютера при условии, что вы имеете соответствующие разрешения на доступ;

Масштабируемость, что позволяет создавать очень большие сети.

Типы компьютеров, которые включает типичный домен Windows, перечислены далее .

Контроллеры домена на платформе Windows Server. Каждый контроллер домена хранит и обслуживает копию каталога. В домене вы создаете единственную учетную запись пользователя, которую Windows записывает в каталог. Когда пользователь входит в систему на компьютере домена, контроллер домена аутентифицирует пользователя, проверяя в каталоге его учетную запись, пароль и ограничения на вход в систему. В домене может быть несколько контроллеров домена и они периодически обмениваются данными своих копий каталога.

Сервер, не имеющий статуса контроллера в конкретном домене. Рядовой сервер не ведет каталог и не способен аутентифицировать пользователей. Рядовые серверы обеспечивают совместный доступ к сетевым ресурсам, например к общим папкам или принтерам.

Клиентские компьютеры на платформе Windows XP/Vista/7/8 или любой другой операционной системе Microsoft, не используемой как сервер. Клиентские компьютеры - это настольные системы пользователей, которые предоставляют пользователям доступ к ресурсам домена.

Рабочая группа (workgroup) Windows - логическое объединение сетевых компьютеров, которые совместно используют такие общие ресурсы, как файлы и принтеры.

Рабочую группу также называют одноранговой сетью (peer-to-peer network), потому что все компьютеры в ней могут использовать общие ресурсы на равных условиях, т. е. без выделенного сервера.

Каждый компьютер в рабочей группе обслуживает только свою базу данных политики безопасности локального компьютера (local security database). Эта база данных представляет собой перечень учетных записей пользователя и информации о правах доступа к ресурсам на компьютере, где она постоянно находится. Поэтому использование базы данных политики безопасности локального компьютера децентрализует администрирование учетных записей пользователей и политики доступа к ресурсам в рабочей группе.

Примечание: В рабочую группу наряду с компьютерами с клиентской ОС, могут входить компьютеры на таких платформах Microsoft, как Windows Server, если, конечно, он не настроен как контроллер домена. В рабочей группе компьютер на платформе Windows Server называют изолированным сервером (stand-alone server).

Поскольку рабочие группы децентрализуют администрирование и политику доступа к ресурсам, истинны следующие утверждения: пользователь должен иметь свою учетную запись на каждом компьютере, к которому он хочет получить доступ; любое изменение учетных записей пользователя, например замена его пароля или создание новой учетной записи, необходимо выполнить на каждом компьютере рабочей группы.

Если вы забудете зарегистрировать новую учетную запись на одном из компьютеров вашей рабочей группы, то новый пользователь не сможет получить доступ к этому компьютеру и его ресурсам.

Рабочая группа имеет следующие преимущества:

Она не требует включения в сеть контроллера домена для хранения централизованной информации о политиках безопасности;

Она проста в проектировании и эксплуатации. В отличие от домена, не требует крупномасштабного планирования и администрирования;

Это удобная сетевая среда для небольшого числа компьютеров, расположенных не слишком далеко друг от друга.

Лекция 3 Создание и управление учетными записями пользователей и компьютеров(в домене)

Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. (разница между идентификацией и авторизацией?)

Это имя пользователя и пароль (или другое аналогичное средство аутентификации - например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации - например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

• отчество;

  псевдоним (ник);

  национальность;

  расовую принадлежность;

  вероисповедание

  группу крови;

  резус-фактор;

• дату рождения;

  адрес электронной почты;

  домашний адрес;

  рабочий адрес;

  нетмейловый адрес;

  номер домашнего телефона;

  номер рабочего телефона;

  номер мобильного телефона;

  номер ICQ;

  идентификатор Skype, ник в IRC;

  другие контактные данные систем обмена мгновенными сообщениями;

  адрес домашней страницы и/или блога в Интернете или интранете;

  сведения о хобби;

  сведения о круге интересов;

  сведения о семье;

  сведения о перенесённых болезнях;

  сведения о политических предпочтениях;

  и многое другое

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

На каком-либо ПК вашей сети, например, ноутбуке MARIA, выполните команду Панель управления-Сеть и Интернет и нажмите на кнопку Присоединиться ( рис. 28.8).

На первом шаге присоединения к домашней группе укажите ресурсы сети, общий доступ к которым будет предоставляться компьютерам, входящим в сеть домашней группы ( рис. 28.9).

Рис. 28.9.

Далее нужно создать восьмизначный пароль для подключения вашего ПК к домашней группе ( регистр важен). В диалоге Вы присоединились к домашней группе нажмите на кнопку Готово ( рис. 28.10).

Разница между доменом, рабочей группой и домашней группой

Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами. Компьютеры под управлением Windows в сети обязательно должны быть частью рабочей группы или домена. Компьютеры под управлением Windows в домашней сети также могут быть частью домашней группы, но это не обязательно.

• В рабочей группе . На каждом компьютере находится несколько учетных записей пользователя. Чтобы войти в систему любого компьютера, принадлежащего к рабочей группе, необходимо иметь на этом компьютере учетную запись. В составе рабочей группы обычно насчитывается не больше двадцати компьютеров. Рабочая группа не защищена паролем. Все компьютеры должны находиться в одной локальной сети (подсети).
• В домашней группе . Компьютеры в домашней сети должны принадлежать рабочей группе, но они также (одновременно) могут состоять и в домашней группе. Домашняя группа защищена паролем.
• В домене . Один или несколько компьютеров являются серверами. Администраторы сети используют серверы для контроля безопасности и разрешений для всех компьютеров домена. Пользователи домена должны указывать пароль или другие учетные данные при каждом доступе к домену. Если пользователь имеет учетную запись в домене, он может войти в систему на любом компьютере. В домене могут быть тысячи компьютеров. Компьютеры могут принадлежать к различным локальным сетям.

В чем разница между доменом и рабочей группой?

2 ответов

реальный ответ на этот вопрос:

Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное различие между ними заключается в том, как управляются компьютеры и другие ресурсы в сетях.

компьютеры под управлением Windows в сети должны быть частью рабочей группы или домена. Компьютеры под управлением Windows в домашних сетях также могут входить в состав домашней группы, но это не обязательно.

компьютеры дома сети обычно являются частью рабочей группы и, возможно, домашней группы, а компьютеры в рабочих сетях обычно являются частью домена.

в рабочей группе:

все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой компьютер.

каждый компьютер имеет набор учетных записей пользователей. Для входа на любой компьютер в рабочей группе необходимо иметь учетную запись на этом компьютере.

есть обычно не более двадцати компьютеров.

рабочая группа не защищена паролем.

все компьютеры должны быть в одной локальной сети или подсети.

в домене:

один или несколько компьютеров являются серверами. Сетевые администраторы используют серверы для управления безопасностью и разрешениями для всех компьютеров на домен. Это упрощает внесение изменений, поскольку изменения автоматически на всех компьютерах. Пользователи домена должны предоставить пароль или другие учетные данные при каждом доступе к домену.

Если у вас есть учетная запись пользователя в домене, вы можете войти в любой компьютер в домене без учетной записи на этом компьютере.

вы, вероятно, можете сделать только ограниченные изменения в настройках компьютера поскольку сетевые администраторы часто хотят обеспечить согласованность среди компьютеры.

в домене могут быть тысячи компьютеров.

компьютеры могут находиться в разных локальных сетях.

Если ваш компьютер находится в большой сети на рабочем месте или в школе, он, вероятно, принадлежит к домен . Если ваш компьютер находится в домашней сети, он принадлежит группы и может также принадлежать к домашняя группа . При настройке сети Windows автоматически создает рабочую группу и присваивает ей имя WORKGROUP.