Домен и рабочая группа

2.1.24 Рабочие группы и домены

Рабочая группа — это логическая группировка компьютеров, объединенных общим именем для облегченикомпьютер я навигации в пределах сети.

Принципиально важно, что каждый в рабочей группе равноправен (т. е. сеть получается одноранговой) и поддерживает собственную локальную базу данных учетных записей пользователей (Security Accounts Manager, SAM).

Отсюда вытекает основная проблема, которая не позволяет использовать рабочие группы в крупных корпоративных сетях.

Действительно, вход в защищенную систему является обязательным, а непосредственный и сетевой входы принципиально различаются (непосредственный контролируется локальным компьютером, а сетевой — удаленным), то, например, пользователю, вошедшему на компьютер Comp1 под локальной учетной записью User1, будет отказано в доступе к принтеру, установленному на компьютере Comp2, поскольку в его локальной базе нет пользователя с именем Userl (рис 1).

Рис. 1 Рабочие группы и домены

Таким образом, для обеспечения «прозрачного» взаимодействия в рабочей группе нужно создавать одинаковые учетные записи с одинаковыми паролями на всех компьютерах, где работают пользователи и расположены ресурсы.

В ОС Windows для рабочих групп предусмотрен специальный режим: «Использовать простой общий доступ к файлам», позволяющий обойти указанную проблему (данный режим включен по умолчанию).
В этом случае подключение к любому сетевому компьютеру осуществляется от имени его локальной гостевой учетной записи, которая включается с помощью Мастера настройки сети (по умолчанию она отключена) и для которой настраивается нужный уровень доступа.

Для ОС Windows версии Home Edition этот способ сетевого взаимодействия является основным и отключить его нельзя (поэтому компьютеры с данной ОС невозможно сделать участниками домена).
Понятно, что управлять учетными записями и ресурсами в рабочей группе можно только при небольшом количестве компьютеров и пользователей.

В крупных сетях следует применять домены.

Домен — это логическая группировка компьютеров, объединенных общей базой данных пользователей и компьютеров, политикой безопасности и управления.
Домены создаются на основе сетевых ОС Windows, а база данных, поддерживается контроллерами домена.
Важным в доменах является то, что все компьютеры здесь не сами осуществляют проверку пользователей при входе, а передоверяют эту процедуру контроллерам.

Такая организация доступа позволяет легко осуществить однократную проверку пользователя при входе в сеть, а затем уже без проверки предоставлять ему доступ к ресурсам всех компьютеров домена.

Основные угрозы при работе в сети

Угроз, поджидающих пользователей при подключении компьютера к сети, довольно много:

«взлом» компьютера обычно производится с целью захвата контроля над операционной системой и получения доступа к данным;
повреждение системы чаще всего организуется, чтобы нарушить работоспособность (вызвать отказ в обслуживании — «Denial of Service») каких-либо сервисов или компьютера (чаще сервера) целиком, а иногда — даже всей сетевой инфраструктуры организации;

Основные меры безопасности при работе в сети

Их можно сформулировать в виде следующего набора правил:

отключайте компьютер, когда вы им не пользуетесь. Как любят говорить эксперты по компьютерной безопасности, «самым защищенным является выключенный компьютер, хранящийся в банковском сейфе»;
своевременно обновляйте операционную систему. В любой ОС периодически обнаруживаются так называемые «уязвимости», снижающие защищенность вашего компьютера. Наличие уязвимостей нужно внимательно отслеживать (в том числе читая «компьютерную» прессу или информацию в Интернете), чтобы вовремя предпринимать меры для их устранения.
кража данных из-за неправильно установленных прав доступа, при передаче данных или «взломе» системы позволяет получить доступ к защищаемой, часто — конфиденциальной информации со всеми вытекающими отсюда неприятными для владельца этих данных последствиями;
уничтожение данных имеет целью нарушить или даже парализовать работу систем, компьютеров, серверов или всей организации.
используйте ограниченный набор хорошо проверенных приложений, не устанавливайте сами и не разрешайте другим устанавливать на ваш компьютер программы, взятые из не¬проверенных источников (особенно из Интернета). Если приложение больше не нужно, удалите его;
без необходимости не предоставляйте ресурсы своего компьютера в общий доступ. Если же это все-таки потребовалось, обязательно настройте минимально необходимый уровень доступа к ресурсу только для зарегистрированных учетных записей;
установите (или включите) на компьютере персональный межсетевой экран (брандмауэр). Если речь идет о корпоративных сетях, установите брандмауэры как на маршрутизаторах, соединяющих вашу локальную сеть с Интернетом, так и на всех компьютерах сети;
даже если вы единственный владелец компьютера, для обычной работы применяйте пользовательскую учетную запись: в этом случае повреждение системы, например, при заражении вирусом, будет неизмеримо меньше, чем если бы вы работали с правами администратора. Для всех учетных записей, особенно административных, установите и запомните сложные пароли.

Сложным считается пароль, содержащий случайную комбинацию букв, цифр и специальных символов, например jxglrg$N. Разумеется, пароль не должен совпадать с именем вашей учетной записи. В операционных системах Windows сложный пароль можно сгенерировать автоматически, используя команду NET USER с ключом /RANDOM, например:
NET USER Имя_Пользователя /RANDOM

при работе с электронной почтой никогда сразу не открывайте вложения, особенно полученные от неизвестных отправителей. Сохраните вложение на диск, проверьте его антивирусной программой и только затем от-кройте. Если есть такая возможность, включите в вашей почтовой программе защиту от потенциально опасного содержимого и отключите поддержку HTML;
при работе с веб-сайтами соблюдайте меры разумной предосторожности: старайтесь избегать регистрации, не передавайте никому персональные сведения о себе и внимательно работайте с Интернет-магазинами и другими службами, где применяются онлайновые способы оплаты с помощью кредитных карт или систем типа WebMoney, Яндекс-Деньги и т. д.
Для организации работы в сетях Microsoft применяются две модели: рабочие группы, используемые при небольшом числе компьютеров, и домены, позволяющие легко объединять большое число пользователей, рабочих станций и серверов.
Все сетевые ОС и хранящиеся на компьютерах данные должны быть надежно защищены, причем желательно, чтобы применяемая система безопасности была многоуровневой.

Читать еще: Синхронизация времени между контроллерами домена

Разница между доменом и рабочей группой

В структуре компьютерных сетей могут присутствовать домены и рабочие группы. Что они собой представляют?

Что представляет собой домен?

Под доменом принято понимать достаточно большую группу компьютеров, объединенных в одну ЛВС или посредством нескольких связанных ЛВС, а также имеющих доступ к широкому спектру различных ресурсов и сетевых интерфейсов (позволяющих организовывать обмен файлами, потоками, массивами, реализовывать совместный доступ к ним).

Основные особенности доменов следующие:

в структуре доменов предусмотрены выделенные серверы, выполняющие основные вычислительные функции и предназначенные для управления ресурсами сети;
управление настройками доступа компьютеров в те или иные участки сети, входящие в домен, может осуществляться централизованно — с помощью серверов;
пользователь, имеющий логин, который привязан к домену (или права доступа), может подключаться к сети с любого ПК, взаимодействующего с соответствующим доменом.

В составе домена может быть огромное количество компьютеров — обычное дело, если их тысячи. При этом отдельные их группы могут относиться к разным ЛВС, и, несмотря на это, домен будет функциональным.

Серверы, которые являются ведущими узлами доменов, как правило, существенно более производительны, чем средний ПК, подключаемый к домену. На них может быть проинсталлирована любая из тех операционных систем, которые оптимальны для решения конкретных задач, поставленных владельцем домена, — и она может существенно отличаться от той, что установлена на ПК, не являющихся серверами.

При использовании стандартов VPN и аналогичных им к доменам, формируемым локально, могут подключаться пользователи фактически из любых других сетей, которые физически имеют доступ к соответствующим ресурсам. По этому принципу работает интернет — когда большое количество ПК, размещенных в разных странах мира, может, подключившись к конкретному домену, получать различные ресурсы от него.

Что представляет собой рабочая группа?

Под рабочей группой принято понимать относительно небольшую по масштабам компьютерную сеть, создаваемую главным образом в целях обеспечения совместного доступа входящих в нее ПК к различным файлам (однако при этом сохраняется принципиальная возможность и для обмена соответствующими файлами).

Для рабочих групп характерны следующие признаки:

все ПК, включенные в рабочую группу, объединены в рамках чаще всего одноранговой сети (в ней нет выделенных серверов, а также, как правило, отсутствует возможность с помощью одного ПК управлять ключевыми ресурсами других компьютеров или сети в целом);
доступ в соответствующую сеть возможен обычно только при условии, что операционная система ПК будет загружена с определенного логина (учетной записи пользователя), для которого данный доступ открыт и настроен.

Размер рабочей группы обычно не превышает нескольких десятков ПК. Важно, чтобы все они были объединены в рамках общей ЛВС или же подсети — дабы соответствующая инфраструктура была в достаточной мере устойчивой.

Сравнение

Главное отличие домена от рабочей группы заключается в том, каким образом в сетевой инфраструктуре первого и второго типа реализуется управление ресурсами. Так, для домашних сетей, где не предполагается особенно интенсивного обмена данными, характерно использование рабочих групп. В корпоративных (для которых подобные задачи свойственны) задействуются, как правило, домены. Взаимодействие компьютеров в масштабных сетях — таких как интернет — осуществляется практически всегда с использованием доменов.

Рабочую группу, как правило, сформировать намного проще, чем домен. Интерфейсы современных операционных систем позволяют решить данную задачу даже неопытному пользователю. Все, что нужно сделать, — соединить ПК физически с помощью кабеля или коммутатора (как вариант — в беспроводном режиме, через Wi-Fi), а также осуществить настройки сетевой инфраструктуры с помощью встроенных программных средств операционной системы.

Создание домена — обычно более сложная процедура. Она предполагает, прежде всего, наличие серверов с достаточной производительностью, их детальную настройку, возможно — инсталляцию подходящей сетевой операционной системы. Нужно будет также реализовать в инфраструктуре домена функцию проверки подлинности прав тех пользователей, которые подключаются к сети.

Безопасность компьютеров, входящих в рабочую группу, как правило, реализуется посредством установки на каждом из них антивирусного ПО и иных вспомогательных программ. В случае с доменом безопасность ПК может быть реализована также посредством инсталляции внутрисетевых интерфейсов, позволяющих осуществлять мониторинг различных угроз и не допускать их распространения по сети.

Домены обычно существенно проще масштабировать, обеспечивая подключение к ним все большего количества новых пользователей (в том числе находящихся за пределами локальной сети, в которой расположен основной сервер домена, как вариант — через интернет). Все, что нужно, — сообщить новым пользователям сведения, необходимые для авторизации в домене, или настроить его сервера так, чтобы они распознавали и подключали те или иные группы пользователей автоматически.

В свою очередь, добавление нового пользователя в рабочую группу — как правило, более трудоемкая процедура. Может потребоваться настраивать каждый из подключающихся компьютеров отдельно, определять права доступа для соответствующих ПК, убеждаться в эффективности антивирусного и иного вспомогательного ПО, которое установлено на них.

Определив, в чем разница между доменом и рабочей группой, зафиксируем выводы в небольшой таблице.

Рабочие группы и домены;

Мы уже неоднократно упоминали рабочие группы и домены. Давайте разберем, чем принципиально отличаются эти две модели сетевого взаимодействия в сетях Microsoft.

Рабочая группа– это логическая группировка компьютеров, объединенных общим именем для облегчения навигации в пределах сети. Принципиально важно, что каждый компьютер в рабочей группе равноправен (т. е. сеть получается одноранговой) и поддерживает собственную локальную базу данных учетных записей пользователей (Security Accounts Manager, SAM).

Читать еще: Проверить a запись домена

Отсюда вытекает основная проблема, которая не позволяет использовать рабочие группы в крупных корпоративных сетях. Действительно, если вспомнить, что вход в защищенную систему является обязательным, а непосредственный и сетевой входы принципиально различаются (непосредственный контролируется локальным компьютером, а сетевой – удаленным), то, например, пользователю, во-шедшему на компьютер Comp1 под локальной учетной записью User1, будет отказано в доступе к принтеру, установленному на компьютере Comp2, поскольку в его локальной базе нет пользователя с именем User1 (рис. 9.1). Таким образом, для обеспечения «прозрачного» взаимодействия в рабочей группе нужно создавать одинаковые учетные записи с одинаковыми паролями на всех компьютерах, где работают пользователи и расположены ресурсы.

В ОС Windows XP Professional для рабочих групп предусмотрен специальный режим: «Использовать простой общий доступ к файлам», позволяющий обойти указанную проблему (данный режим включен по умолчанию). В этом случае подключение к любому сетевому компьютеру осуществляется от имени его локальной гостевой учетной записи, которая включается с помощью Мастера настройки сети (по умолчанию она отключена) и для которой настраивается нужный уровень доступа.

Для ОС Windows XP Home Edition этот способ се-тевого взаимодействия является основным и отключить его нельзя (поэтому компьютеры с данной ОС невозможно сделать участниками домена).

Понятно, что управлять учетными записями и ресурсами в рабочей группе можно только при небольшом количестве компьютеров и пользователей. В крупных сетях следует применять домены.

Домен— это логическая группировка компьютеров, объединенных общей базой данных пользователей и компьютеров, политикой безопасности и управления.

Домены создаются на основе сетевых ОС Windows, а база данных, как мы уже говорили, поддерживается контроллерами домена. Важным в доменах является то, что все компьютеры здесь не сами осуществляют проверку пользователей при входе, а передоверяют эту процедуру контроллерам (рис. 9.2). Такая организация доступа позволяет легко осуществить однократную проверку пользователя при входе в сеть, а затем уже без проверки предоставлять ему доступ к ресурсам всех компьютеров домена.

Домен и рабочая группа

2.1.24 Рабочие группы и домены

Рис. 1 Рабочие группы и домены

В крупных сетях следует применять домены.

Основные угрозы при работе в сети

Угроз, поджидающих пользователей при подключении компьютера к сети, довольно много:

«взлом» компьютера обычно производится с целью захвата контроля над операционной системой и получения доступа к данным;
повреждение системы чаще всего организуется, чтобы нарушить работоспособность (вызвать отказ в обслуживании — «Denial of Service») каких-либо сервисов или компьютера (чаще сервера) целиком, а иногда — даже всей сетевой инфраструктуры организации;

Основные меры безопасности при работе в сети

Их можно сформулировать в виде следующего набора правил:

отключайте компьютер, когда вы им не пользуетесь. Как любят говорить эксперты по компьютерной безопасности, «самым защищенным является выключенный компьютер, хранящийся в банковском сейфе»;
своевременно обновляйте операционную систему. В любой ОС периодически обнаруживаются так называемые «уязвимости», снижающие защищенность вашего компьютера. Наличие уязвимостей нужно внимательно отслеживать (в том числе читая «компьютерную» прессу или информацию в Интернете), чтобы вовремя предпринимать меры для их устранения.
кража данных из-за неправильно установленных прав доступа, при передаче данных или «взломе» системы позволяет получить доступ к защищаемой, часто — конфиденциальной информации со всеми вытекающими отсюда неприятными для владельца этих данных последствиями;
уничтожение данных имеет целью нарушить или даже парализовать работу систем, компьютеров, серверов или всей организации.
используйте ограниченный набор хорошо проверенных приложений, не устанавливайте сами и не разрешайте другим устанавливать на ваш компьютер программы, взятые из не¬проверенных источников (особенно из Интернета). Если приложение больше не нужно, удалите его;
без необходимости не предоставляйте ресурсы своего компьютера в общий доступ. Если же это все-таки потребовалось, обязательно настройте минимально необходимый уровень доступа к ресурсу только для зарегистрированных учетных записей;
установите (или включите) на компьютере персональный межсетевой экран (брандмауэр). Если речь идет о корпоративных сетях, установите брандмауэры как на маршрутизаторах, соединяющих вашу локальную сеть с Интернетом, так и на всех компьютерах сети;
даже если вы единственный владелец компьютера, для обычной работы применяйте пользовательскую учетную запись: в этом случае повреждение системы, например, при заражении вирусом, будет неизмеримо меньше, чем если бы вы работали с правами администратора. Для всех учетных записей, особенно административных, установите и запомните сложные пароли.

Читать еще: Настройка outlook для домена

при работе с электронной почтой никогда сразу не открывайте вложения, особенно полученные от неизвестных отправителей. Сохраните вложение на диск, проверьте его антивирусной программой и только затем от-кройте. Если есть такая возможность, включите в вашей почтовой программе защиту от потенциально опасного содержимого и отключите поддержку HTML;
при работе с веб-сайтами соблюдайте меры разумной предосторожности: старайтесь избегать регистрации, не передавайте никому персональные сведения о себе и внимательно работайте с Интернет-магазинами и другими службами, где применяются онлайновые способы оплаты с помощью кредитных карт или систем типа WebMoney, Яндекс-Деньги и т. д.
Для организации работы в сетях Microsoft применяются две модели: рабочие группы, используемые при небольшом числе компьютеров, и домены, позволяющие легко объединять большое число пользователей, рабочих станций и серверов.
Все сетевые ОС и хранящиеся на компьютерах данные должны быть надежно защищены, причем желательно, чтобы применяемая система безопасности была многоуровневой.

Блог о компьютерах, сетях, касперском, программном обеспечении

домены и рабочие группы — что это такое

Операционная система Windows Server 2003 и классическая Windows NT используют дватермина, которые не связаны один с другим, но часто вызывают затруднения у
администраторов: «домены» и «рабочие группы». Вот как определяются эти термины.

Домен является элементом системы безопасности. Члены домена проходят
аутентификацию с помощью специальных серверов, которые называются контроллерами домена.
Рабочая группа является элементом системы распределения ресурсов. Члены рабочей группы находят друг друга с помощью специальных серверов, которые называются браузерами.

Все, кто, как и я, пережили «холодную войну», поймут, где лежит источник этой путаницы. Помните Хрущева или Брежнева? Каждый из них имел неограниченную власть в СССР, так как каждый из них занимал два поста — Председателя Верховного Совета и Генерального секретаря Коммунистической партии. Точно так основной контроллер доцена (Primary Domain Controller — PDC) делает домены и рабочие группы подобными друг другу, потому что на PDC хранятся одновременно база данных системы безопасности и база данных браузера.

Использование рабочих групп

Если устанавливается сервер, который не должен взаимодействовать с другими серверами, его можно сделать изолированным сервером — членом рабочей группы. Клиенты в той же рабочей группе в той же подсети IP используют один и тот же браузер, чтобы найти сервер. Пользователи будут проходить аутентификацию с помощью локальной базы данных SAM на сервере при каждом подключении по сети.
Даже при наличии домена иногда имеет смысл устанавливать изолированные серверы. Например, такой сервер может быть установлен в пределах демилитаризованной зоны, компьютеры в которой не должны передавать информацию о регистрации обратно через брандмауэр.

Присоединение к домену

Если надежности базы данных аутентификации на сервере недостаточно, сервер необходимо ввести в состав домена. При этом сервер становится членом домена. Члены домена Active Directory выполняют аутентификацию пользователей с помощью протокола Kerberos. Это позволяет добиться высокого уровня безопасности и получить быстрый механизм аутентификации. Кроме этого, такой механизм аутентификации содержит информацию об авторизации, которая необходима для создания локального контекста безопасности пользователя.
Члены классического домена Windows NT осуществляют аутентификацию пользователей с помощью протокола NT LanMan Challenge-Response. При этом от сервера требуется наличие прямой линии связи с резервным контроллером домена.
В операционной системе Windows NT для добавления компьютера в домен требовалось предоставить аутентификационные данные администратора. В операционной системе Windows Server 2003 (и Windows 2000) любой аутентифицированный пользователь в состоянии добавить компьютер в домен. Возможность добавления компьютеров в домен определяется групповой политикой для организационной единицы контроллеров домена (Domain Controllers Organization Unit) в Active Directory. Изменив эту групповую политику, можно ограничить круг пользователей, которым разрешено добавлять компьютеры в домен.

Домен и рабочая группа

Домен и рабочая группа

2.1.24 Рабочие группы и домены

Основные угрозы при работе в сети

Основные меры безопасности при работе в сети

Разница между доменом и рабочей группой

Что представляет собой домен?

Что представляет собой рабочая группа?

Сравнение

Рабочие группы и домены;

Домен и рабочая группа

2.1.24 Рабочие группы и домены

Основные угрозы при работе в сети

Основные меры безопасности при работе в сети

Блог о компьютерах, сетях, касперском, программном обеспечении

домены и рабочие группы — что это такое

Использование рабочих групп

Присоединение к домену

Похожие посты: