управление компьютерными системами, в том числе : операционными, графическими, базами данных. А так же создание, настройка и обеспечение работоспособности локальных сетей.

( ЛВС, локальная сеть, сленг. локалка ; англ. Local Area Network, LAN) компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий ( дом, офис, фирму, институт ). Сетевая операционная система операционная система со встроенными возможностями для работы в компьютерных сетях. К таким возможностям можно отнести : поддержку сетевого оборудования поддержку сетевых протоколов поддержку протоколов маршрутизации поддержку фильтрации сетевого трафика поддержку доступа к удалённым ресурсам, таким как принтеры, диски и т. п. по сети поддержку сетевых протоколов авторизации наличие в системе сетевых служб, позволяющих удалённым пользователям использовать ресурсы компьютера Примеры сетевых операционных систем : - Novell NetWare - Microsoft Windows (95, NT и более поздние ) - Различные UNIX системы, такие как Solaris, FreeBSD - Различные GNU/Linux системы

Главными задачами являются разделение ресурсов сети ( например, дисковые пространства ) и администрирование сети. С помощью сетевых функций системный администратор определяет разделяемые ресурсы, задаёт пароли, определяет права доступа для каждого пользователя или группы пользователей. Существуют специальные сетевые ОС, которым приданы функции обычных систем ( Пр.: Windows NT) и обычные ОС ( Пр.: Windows XP), которым приданы сетевые функции. Сегодня практически все современные ОС имеют встроенные сетевые функции

После выполнения идентификации и аутентификации необходимо установить полномочия ( совокупность прав ) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением ( логическим управлением ) доступа.

Обычно полномочия субъекта представляются : списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, время процессора, приоритет и т. д. Обычно выделяют следующие методы разграничения доступа : - разграничение доступа по спискам ; - использование матрицы установления полномочий ; - по уровням секретности и категориям ; - парольное разграничение доступа.

При разграничении доступа по спискам задаются соответствия : - каждому пользователю – список ресурсов и прав доступа к ним или - каждому ресурсу – список пользователей и их прав доступа к данному ресурсу. Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД.

Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др. Фрагмент матрицы установления полномочий c – создание, d – удаление, r – чтение, w – запись, e – выполнение.

Разграничения доступа по уровням секретности и категориям состоят в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категорий. При разграничении по уровню секретности выделяют несколько уровней, например : общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень ( гриф ) секретности не выше, чем он имеет. При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю. Соответственно, все ресурсы АС декомпозируют по уровню важности, причем определенному уровню соответствует некоторый ранг персонала ( типа : руководитель, администратор, пользователь ).

Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях. На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.

Чтобы появилась сеть, нужно обеспечить два основных условия. Компьютеры необходимо связать между собой физически. Если использовать кабели, подключаемые к сетевым картам, получится проводная локальная сеть (Ethernet, LAN). Если компьютеры осуществляют связь радиоволнами через специальные встроенные или внешние приемопередатчики, образуется беспроводная сеть (Wi-Fi).

Возможны два варианта устройства сети. В офисе, где в сеть входит много компьютеров, каждый из них подключается к общему устройству – коммутатору. Чтобы связать только два компьютера, например свой домашний компьютер с ноутбуком, достаточно соединить кабелем их сетевые карты. Впрочем, построить сеть из нескольких компьютеров можно и дома – было бы желание, компьютеры и коммутатор !

Соединение компьютеров в сеть Проводное подключение

Кабель – « витая пара » – снабжается с обоих концов вилками RJ 45. Для соединения компьютера с коммутатором нужен так называемый « прямой » кабель. Для непосредственного соединения двух компьютеров используют « перекрестный » кабель ( он же « кроссировочный », или crossover). Разница между этими кабелями только в разводке контактов вилок. Кабель любой длины вам продадут в каждой компьютерной фирме, и там же на его концы напрессуют вилки. Обязательно скажите, « прямой » или « перекрестный » кабель вам нужен.

Беспроводная сеть отлично подходит мобильным пользователям. Именно поэтому в большинство современных ноутбуков встроены адаптеры Wi-Fi. Для включения и выключения этого устройства обычно служит кнопочка или переключатель на корпусе ноутбука. Когда сеть вам не нужна, адаптер лучше отключать для экономии энергии. Если вы хотите подключиться к беспроводной сети, прежде всего включите адаптер. Безпроводное подключение

Как и в случае проводных сетей, возможны два варианта организации сетей Wi-Fi. Советую обратить внимание на второй из них – он проще в настройке и дает больше возможностей. Этот вариант мы и рассмотрим подробно. Компьютеры, в которых установлены беспроводные адаптеры, связываются друг с другом напрямую : каждый с каждым. Такая сеть называется AD-Hoc, и в нее может входить до восьми машин одновременно. В сети типа Infrastructure все компьютеры связываются через отдельное устройство – точку доступа. Очень удобны, особенно для домашнего применения, комбинированные устройства : они объединяют в себе и точку доступа, и модем ADSL. Через модем любой компьютер сети может выходить в Интернет. Приобретя такое устройство, вы убиваете сразу двух зайцев.

Администрирование пользователей состоит в создании учетной информации пользователей ( определяющей имя пользователя, принадлежность пользователя к различным группам пользователей, пароль пользователя ), а также в определении прав доступа пользователя к ресурсам сети - компьютерам, каталогам, файлам, принтерам и т. п.

Создание учетной информации пользователей осуществляется в сети Windows NT утилитой User Manager для локального компьютера и User Manager for Domains для всех компьютеров домена. Права доступа к ресурсам задаются в сети Windows NT различными средствами, в зависимости от типа ресурса. Возможность использования компьютеров Windows NT Workstation в качестве рабочих станций - с помощью User Manager for Domains, доступ к локальным каталогам и файлам ( только для файловой системы NTFS, поддерживающей права доступа ) - с помощью средств Windows NT Explorer, к удаленным разделяемым каталогам - с помощью Server Manager, доступ к принтерам - из панели Printers.

Типы пользователей и групп пользователей В сети Windows NT могут быть определены следующие типы пользователей и групп пользователей : - локальный интерактивный пользователь компьютера ( пользователь, который заведен в локальной учетной базе данных компьютера, и который работает с ресурсами компьютера интерактивно ); - локальный сетевой пользователь компьютера ( пользователь, который заведен в локальной учетной базе данных компьютера, и который работает с ресурсами компьютера через сеть ); - пользователь домена ( пользователь, который заведен в глобальной учетной базе данных домена на PDC); - локальная группа компьютера ( может создаваться на всех компьютерах домена, кроме PDC и BDC, в которых она вырождается в локальную группу домена ); - локальная группа домена - состоит из пользователей домена ( заводится только на PDC); - глобальная группа домена - состоит из пользователей домена ( может входить в локальную группу домена ).

Типы объектов - Каталоги и файлы. Процедуры задания правил доступа различаются для локальных и разделяемых (share) каталогов и файлов. Операции : read, full control, change, add,...; - Принтеры ; - Операционная система. По отношению к этому типу объектов определяются права по выполнению различных сервисов и утилит : вход, архивирование файлов, изменение конфигурации панелей Program Manager,...

Типы операций доступа Операции доступа - это действия объектов над субъектами. Операции могут быть либо разрешены, либо запрещены, либо вообще не иметь смысла для данной пары объекта и субъекта. Все множество операций разделяется на подмножества, имеющие особые названия : разрешения (permissions) - это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам типа файл, каталог или принтер ; права ( user rights) - определяются для объектов типа группа на выполнение некоторых системных операций : создание резервных копий, выключение компьютера (shutdown) и т. п. Права назначаются с помощью User Manager for Domains; возможности пользователей (user abilities) - определяются для отдельных пользователей на выполнение действий, связанных с формированием их операционной среды, например, изменение состава программных групп, показываемых на экране дисплея, включение новых иконок в Desktop, возможность использования команды Run и т. п.

Аудит - это функция Windows NT, позволяющая отслеживать деятельность пользователей, а также все системные события в сети. С помощью аудита администратор получает информацию - о выполненном действии, - о пользователе, который выполнил это действие, - о дате и времени выполнения действия. Администратор использует политику аудита (Audit Policy) для выбора типов событий, которые нужно отслеживать. Когда событие происходит, в журнал безопасности того компьютера, на котором оно произошло, добавляется новая запись. Журнал безопасности является тем средством, с помощью которого администратор отслеживает наступление тех типов событий, которые он задал. Политика аудита контроллера домена определяет количество и тип фиксируемых событий, происходящих на всех контроллерах домена. На компьютерах Windows NT Workstation или Windows NT Server, входящих в домен, политика аудита определяет количество и тип фиксируемых событий, происходящих только на данном компьютере.

Администратор может установить политику аудита для домена для того, чтобы : - отслеживать успешные и неуспешные события, такие как логические входы пользователей, чтение файлов, изменения в разрешениях пользователей и групп, выполнение сетевых соединений и т. п.; - исключить или минимизировать риск неавторизованного использования ресурсов ; - анализировать временные тенденции, используя архив журнала безопасности. Аудит является частью системы безопасности. Когда все средства безопасности отказывают, записи в журнале оказываются единственным источником информации, на основании которой администратор может сделать выводы о том, что произошло или готовится произойти в системе. Установление политики аудита является привилегированным действием : пользователь должен либо быть членом группы Administrators на том компьютере, для которого устанавливается политика, либо иметь права Manage auditing and security log.

Политика аудита устанавливается отдельно для каждого компьютера. Например, для аудита логического входа пользователей в домен необходимо установить политику аудита на PDC ( эта же политика определена и для всех BDC домена ). Для наблюдения за доступом к файлам на сервере домена - member server- необходимо установить политику аудита на этом сервере. События записываются в журнал определенного компьютера, но могут просматриваться из любого компьютера сети пользователем, который имеет права администратора на тот компьютер, где произошло событие.