среда, 28 июля 2010 г.

Загрузка Windows 2000

http://sam-nod128.narod.ru/Books/compu/win2k_boot/win2k_boot.htm

 

Часть 1. Процесс загрузки

Загрузка Windows 2000 проходит в пять этапов: предварительная загрузка (preboot sequence), загрузка (boot sequence), загрузка ядра (kernel load) инициализация ядра (kernel initialization) и регистрация (logon). Изучив этот процесс, вы сможете эффективно устранять сбои.

 

Файлы, используемые в процессе загрузки

В таблице 1 перечислены файлы, необходимые для загрузки компьютеров на базе процессора Intel с Windows 2000, их местоположение и связанные с ними этапы загрузки. Слово Systemroot означает путь к папке с установленной Windows 2000, которая часто называется C:\Winnt (в зависимости от того в какой раздел и под каким именем вы установили папку с файлами Windows 2000).
Для просмотра перечисленных в таблице 1 файлов запустите Windows Explorer (Проводник) и выберите в меню Tools (Сервис) команду Folder Options (Свойства папки). На вкладке View (Вид) окна Folder Options поставьте переключатель в положение Show Hidden Files And Folders (Показывать скрытые файлы и папки) и сбросьте флажок Hide Protected Operating System Files (Recommended) [Скрывать защищенные файлы (рекомендуется)]. На экране появится окно, предупреждающее о том, что защищенные файлы ОС отображать не следует. Щелкните Yes (Да).

           image

Примечание. Строка systemroot (вводится как %systemroot%) означает папку в корневом каталоге, содержащую системные файлы Windows 2000

Предварительная загрузка

После включения компьютера с Windows 2000 инициализируется и находит загрузочный раздел жесткого диска.

Предварительная загрузка проходит в четыре этапа.

  1. Компьютер выполняет процедуру POST для определения объема физической памяти, проверки наличия аппаратных компонентов и т. д. Если на компьютере установлена базовая система ввода-вывода (BIOS) Plug and Play, то на этом этапе происходит просмотр и конфигурирование аппаратных устройств.
  2. BIOS компьютера обнаруживает загрузочное устройство, загружает и выполняет главную загрузочную запись (MBR).
  3. Главная загрузочная запись просматривает таблицу разделов в поисках активного раздела, загружает загрузочный сектор активного раздела в память и выполняет его.
  4. Компьютер загружает и инициализирует файл Ntldr — загрузчик ОС.

Примечание. Во время установки Windows 2000 изменяет загрузочный сектор, чтобы в процессе запуска системы загружался файл Ntldr.

Загрузка

После загрузки в память файла Ntldr процедура загрузки собирает информацию об аппаратном обеспечении и драйверах. При этом используются файлы Ntldr, Boot.ini, Bootsect.dos (необязательно), Ntdetect.com и Ntoskrnl.exe.
Загрузка проходит в четыре этапа: начальная загрузка, выбор ОС, обнаружение оборудования и выбор конфигурации,

Начальная загрузка
На этом этапе файл Ntldr переводит процессор из реального режима в 32-разрядный режим линейной памяти, необходимый для выполнения любых дополнительных функций. Затем запускаются соответствующие драйверы системы minifile. Они встроены в Ntldr, поэтому этот файл способен находить и загружать Windows 2000 данные из разделов, отформатированных как с помощью FAT, так и NTFS.

Выбор операционной системы
Во время загрузки Ntldr считывает файл Boot.ini. Если в этом файле за-Дан выбор одной из нескольких ОС, будет выведен запрос Please select The Operating System To Start (Выберите операционную систему для запуска) со списком ОС, внесенных в файл Boot.ini. Если вы не выберете ни один из вариантов до истечения времени ожидания, Ntldr загрузит ОС, заданную в файле Boot.ini в качестве системы по умолчанию. Setup делает таковой Windows 2000, установленную последней. Если в файл Boot.ini только одна запись, запрос Please select The Operating System To Start не появится, а соответствующая ОС загрузится автоматически.

Примечание. Если файл Boot.ini отсутствует, Ntldr пытается загрузить Windows 2000 из папки Winnt первого раздела первого диска, обычно C:\Winnt.

 

Поиск оборудования

В компьютерах с Процессором Intel поиск оборудования осуществляют файлы Ntdetect.com и Ntoskrnl.exe. Программа Ntdetect.com запускается, если на этапе выбора ОС выбрана система Windows 2000 (или по окончании времени ожидания).

Примечание. Если вы выбрали ОС, отличную от Windows 2000, например, Windows 98, Ntldr загружает и выполняет файл Bootsect.dos, в котором содержится копия загрузочного сектора, находившегося в системном разделе до установки Windows 2000. Передача управления файлу Bootsect.dos означает начало загрузки выбранной ОС.

Ntdetect.com формирует список установленных аппаратных компонентов и передает его в Ntldr для включения в реестр в ключе HKEY_LO-CAL_MACHINE\HARDWARE.
Ntdetect.com определяет:

  • тип шины/адаптера;
  • коммуникационные порты;
  • математический сопроцессор;
  • дисководы для гибких дисков;
  • клавиатуру;
  • мышь или другое указательное устройство;
  • параллельные порты;
  • адаптеры SCSI;
  • видеоадаптеры.

Выбор конфигурации
После окончания сбора информации об аппаратном обеспечении выводится сообщение Hardware Profile/Configuration Recovery Menu (Меню выбора конфигурации оборудования). Оно содержит список аппаратных конфигураций, имеющихся на компьютере. Первая конфигурация выделена. Чтобы выбрать другую, нажмите клавишу , или L, чтобы выбрать вариант Last Known Good Configuration (Последней удачной конфигурации).
Если на компьютере задана всего одна конфигурация, сообщение Hardware Profile/Configuration Recovery Menu не выводится, а загрузка Windows 2000 производится с конфигурацией по умолчанию.

Загрузка ядра

После выбора конфигурации загружается и инициализируется ядро Windows 2000 (Ntoskrnl.exe). Файл Ntoskrnl.exe также загружает и инициализирует драйверы устройств и загружает службы. Если вы после вывода сообщения Hardware Profile/Configuration Recovery Menu нажмете Enter или если Ntldr произведет выбор конфигурации автоматически, начинается загрузка ядра. Экран очистится, и в нижней его части появится ряд белых прямоугольников.
На этапе загрузки ядра Ntldr выполняет следующие действия.
    • Загружает файл Ntoskrnl.exe (но не инициализирует его).
    • Загружает файл слоя абстрагирования от оборудования (Hardware Abstraction Layer, HAL) Hal.dll.
    • Загружает ключ реестра HKEY_LOCAL_MACHINE\SYSTEM из каталога systemroot\System32\Config\System.
    • Выбирает управляющий набор (control set), который будет использоваться для инициализации компьютера. Управляющий набор содержит данные о конфигурации, необходимые для управления системой, например, список драйверов устройств и служб, которые необходимо загрузить и запустить.
    • Загружает драйверы устройств, у которых значение параметра Start равно 0x0. Обычно это драйверы низкого уровня, например, необходимые для работы жесткого диска. Параметр List из подраздела реестра HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ ServiceGroupOrder задает порядок их загрузки.

Инициализация ядра

По завершении загрузки ядро инициализируется, затем ему передается управление. В этот момент система отображает графический экран, в строке состояния которого можно увидеть ход загрузки. На этапе инициализации ядра выполняются четыре действия.

1. Создается раздел Hardware. В случае успешной инициализации ядро использует данные, собранные во время поиска оборудования, для создания раздела реестра HKEY_LOCAL_MACHINE\HARDWARE, который содержит информацию об оборудовании на системной плате и прерываниях, используемых аппаратными компонентами.
2. Создается управляющий набор Clone. Его создает ядро, копируя набор, ссылка на который записана в параметре Current подраздела реестра HKEY_LOCAL_MACHINE\SYSTEM\Select. Управляющий набор Clone никогда не меняется и должен быть точной копией данных, использованных для конфигурирования компьютера, не отражая изменения сделанные при запуске.
3. Загружаются и инициализируются драйверы устройств. Создав управляющий набор Clone, ядро инициализирует драйверы устройств низкого уровня, которые были загружены на этапе загрузки ядра. Затем ядро просматривает подраздел реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services в поисках драйверов устройств, у которых значение параметра Start равно 0x1. Как и на этапе загрузки ядра, значение параметра Group для драйвера определяет его место в очереди на загрузку. Сразу после загрузки драйверы устройств инициализируются.
Если при загрузке и инициализации драйвера произошла ошибка, дальнейший ход загрузки определяется параметром драйвера Error-Control. Возможные значения этого параметра и вытекающие из них действия см. в таблице 2.
В реестре значения ErrorControl содержатся в подразделе HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ <имя_службы_или_драйвера>\ЕrrorControl.
4. Запускаются службы. После загрузки и инициализации драйверов устройств Session Manager (Smss.exe) запускает подсистемы высокого уровня и службы Windows 2000. Session Manager выполняет команды из элемента BootExecute и разделов Memory Management, DOS Devices и Subsystems. Назначение этих команд см. в таблице 3.

image

image

Регистрация

Процесс регистрации начинается по завершении инициализации ядра. Подсистема Win32 запускает программу Winlogon.exe, которая в свою очередь запускает Local Security Authority (Lsass.exe) и открывает окно Logon (Вход в Windows), где вы можете зарегистрироваться, даже если продолжается инициализация драйверов сетевых устройств.
Затем Service Controller выполняет и последний раз просматривает подраздел HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services в поисках служб, у которых значение параметра Start равно 0x2, что означает автоматическую загрузку (например для служб Workstation и Server).
В загружаемых на этом этапе службах используются значения параметров DependOnGroup или DependOnService из подраздела реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services.
Загрузка Windows 2000 не считается успешной, до тех пор пока пользователь не зарегистрируется в системе. После успешной регистрации система создает копию управляющего набора Clone с именем LastKnownGood.

Часть 2. Управляющие наборы в реестре

Управляющий набор (control set) содержит конфигурационные данные, необходимые для управления системой, например, список драйверов устройств и служб, которые необходимо загрузить и запустить.

Управляющие наборы Windows 2000

При типичной установке Windows 2000 создаются следующие подразделы управляющих наборов: Clone, ControlSet00l, ControlSet002 и CurrentControlSet. Управляющие наборы хранятся как подразделы раздела реестра HKEY_LOCAL_MACHINE\SYSTEM. Реестр может содержать несколько других управляющих наборов в зависимости от того, как часто вы меняете системные параметры или испытываете с ними затруднения.
Подраздел CurrentControlSet — это указатель на один из разделов ControlSet00x. Управляющий набор Clone является клоном управляющего набора, использованного для инициализации компьютера (Default или LastKnownGood), и создается при инициализации ядра при каждом включении компьютера. После регистрации управляющий набор Clone недоступен.
Чтобы лучше изучить управляющие наборы, необходимо разобраться с подразделом реестра HKEY_LOCAL_MACHINE\SYSTEM\Select. Его параметры — Current, Default, Failed и LastKnownGood.

Current задает, какой управляющий набор является текущим (CurrentControlSet). Внося в реестр исправления с помощью панели управления или редактора реестра, вы изменяете информацию в CurrentControlSet.
Default задает управляющий набор, который будет использоваться при следующем запуске Windows 2000, если вы не выберете набор LastKnownGood. Параметры Default и Current обычно имеют одно и то же значение.
Failed задает управляющий набор, помеченный как сбойный при последней загрузке компьютера с использованием управляющего набора LastKnownGood.
LastKnownGood задает копию управляющего набора, использованного при последнем успешном запуске Windows 2000. После успешной регистрации с именем LastKnownGood копируется управляющий набор Clone.

Все параметры в HKEY_LOCAL_MACHINE\SYSTEM\Select имеют тип данных REG_DWORD, а их значения сопоставлены с определенным управляющим набором. Например, если значение параметра Current равно 0xl, CurrentControlSet указывает на ControlSet00l. Аналогично, если значение параметра LastKnownGood равно 0x2, он указывает на ControlSet002.

Последняя успешная загрузка

Если после изменения конфигурации Windows 2000, например, добавления нового драйвера, у вас начались проблемы с перезагрузкой, используйте последнюю успешную загрузку для восстановления работающей конфигурации. При загрузке Windows 2000 в этом варианте используется управляющий набор LastKnownGood, хранящийся в реестре.
В Windows 2000 две конфигурации для загрузки компьютера — Default и LastKnownGood. В верхней части рисунка 1 показано, что происходит, когда вы меняете конфигурацию системы. Любые изменения конфигурации (например, добавление или удаление драйверов) сохраняются в управляющем наборе Current.

Рисунок 1. Использование конфигурации Default и LastKnownGood

После перезагрузки компьютера на этапе инициализации ядра оно копирует информацию в управляющий набор Clone. При успешной регистрации в Windows 2000 информация из управляющего набора Clone копируется в управляющий набор LastKnownGood, как показано в нижней диаграмме на рисунке 1.
Если во время загрузки вы столкнулись с проблемами, связанными, как вам кажется, с измененной конфигурацией Windows 2000, выключите компьютер, не регистрируясь, и перезагрузите его. Когда вам будет предложено выбрать операционную систему в списке из файла Boot.ini, нажмите клавишу F8, чтобы открыть окно Windows 2000 Advanced Options Menu. Выберите команду Last Known Good Configuration. Если вы в окне Please Select The Operating System To Start выбрали Windows 2000, нажмите клавишу «пробел», чтобы открыть окно Hardware Profile/Configuration Recovery Menu, а затем — клавишу L, чтобы выбрать конфигурацию Last Known Good.
Если измененная конфигурация работает корректно, при следующей регистрации конфигурация Current копируется в конфигурацию Default. Если в новой конфигурации происходят сбои, перезагрузите компьютер и используйте для регистрации конфигурацию LastKnownGood (таблица 4)

image

В таблице 5 описаны ситуации, в которых можно использовать конфигурацию Last Known Good Configuration.

image

Использование управляющего набора LastKnownGood не поможет в следующих случаях:

Если проблема не связана с изменениями конфигурации Windows 2000. Сбои в работе компьютера могут вызывать также некорректно сконфигурированные профили пользователя или права доступа к файлам.
После регистрации, если она прошла успешно: система вносит в управляющий набор LastKnownGood измененную конфигурацию Windows 2000.
Если невозможность загрузки вызвана сбоями в оборудовании или отсутствующими или испорченными файлами.

Внимание! Запуск Windows 2000 с использованием управляющего набора LastKnownGood приводит к уничтожению всех изменений, сделанных с момента последней успешной загрузки Windows 2000.

Резюме

Управляющий набор содержит конфигурационные данные, используемые для управления системой, например, список драйверов устройств и служб, которые необходимо загрузить и запустить. Управляющие наборы хранятся как подразделы раздела реестра HKEY_LOCAL_MACHINE\SYSТЕМ. При типичной установке Windows 2000 содержит следующие управляющие наборы: Clone, ControlSet00l, ControlSet002 и CurrentControlSet. Реестр может содержать несколько других управляющих наборов в зависимости от того, как часто вы меняете системные параметры или испытываете с ними затруднения.
Если вы внесли некорректные изменения в конфигурацию, при перезагрузке компьютера могут возникнуть сбои. Если это произошло, Windows 2000 предлагает выбрать процесс последней успешной загрузки, чтобы для перезагрузки компьютера не пришлось переустанавливать Windows 2000. Вы можете загрузить компьютер с использованием управляющего набора LastKnownGood, в котором записана конфигурация последней успешной перезагрузки и регистрации на компьютере. После перезагрузки компьютера с использованием управляющего набора LastKnownGood компьютер можно переконфигурировать. Для перезагрузки Windows 2000 с помощью конфигурации последней успешной загрузки используется управляющий набор LastKnownGood, хранящийся в реестре.

Часть 3. Дополнительные варианты загрузки

Вы узнаете о дополнительных вариантах загрузки Windows 2000, в том числе Safe Mode (Безопасный режим), Enable Boot Logging (Включить протоколирование загрузки), Enable VGA Mode (Включить режим VGA), Last Known Good Configuration (Загрузка последней удачной конфигурации), Directory Services Restore Mode [Восстановление службы каталогов (только на контроллере домена Windows 2000)] и Debugging Mode (Режим отладки).

Безопасный режим

Если компьютер не загружается, попробуйте загрузить его с использованием варианта загрузки Safe Mode. Нажав клавишу F8 на этапе выбора операционной системы, вы откроете окно с дополнительными вариантами загрузки Windows 2000. В безопасном режиме Windows 2000 загружается и использует только основные файлы и драйверы, включая мышь, монитор VGA, клавиатуру, жесткий диск, службы системы по умолчанию и сетевые соединения. Фон экрана остается черным, а в его углах появляется надпись «Safe Mode» (рисунок 2). Если компьютер не загружается и в безопасном режиме, попытайтесь воспользоваться Windows 2000 Automatic System Recovery (Операции аварийного восстановления).
Существует два подвида безопасного режима. Вариант Safe Mode With Networking (Безопасный режим с загрузкой сетевых драйверов) аналогичен Safe Mode, за исключением того, что в него включены драйверы и службы, необходимые для работы в сети.
Второй подвид безопасного режима — это режим Safe Mode With Command Prompt (Безопасный режим с поддержкой командной строки), аналогичный Safe Mode за исключением того, что после перезагрузки компьютера на экране отображается командная строка.

Рисунок 2. Запуск Windows 2000 в безопасном режиме

Другие варианты загрузки

Другие варианты загрузки также связаны с обходом обычного процесса загрузки, чтобы определить причину проблем с ней.
Enable Boot Logging (Включить протоколирование загрузки) - задает создание протокола загрузки и инициализации драйверов и устройств. Журнал ntbtlog.txt находится в папке %systemroot%. При использовании любого из трех видов безопасного режима журнал создается автоматически.
Enable VGA Mode (Включить режим VGA) - запуск Windows 2000 в режиме VGA.
Last Known Good Configuration (Загрузка последней удачной конфигурации) - запуск Windows 2000 с использованием информации из реестра, сохраненной после последнего завершения работы.
Directory Services Restore Mode [Восстановление службы каталогов (только на контроллере домена Windows 2000)] - вариант загрузки с восстановлением службы каталогов Active Directory на контроллерах доменов. Этот вариант применим только к Windows 2000 Server, но не к Windows 2000 Professional.
Debugging Mode (Режим отладки) - загрузка в режиме отладки, позволяющая администратору отследить ошибки в программах. Этот вариант также применим только к Windows 2000 Server, но не к Windows 2000 Professional.
• Boot Normally (Обычная загрузка) - задает закрытие окна с дополнительными вариантами загрузки и продолжает обычную загрузку.

Использованный дополнительный режим загрузки записывается в переменную окружения SAFEBOOT_OPTION.

Примечание. При использовании дополнительных вариантов загрузки Windows 2000 журнал ведется во всех режимах, кроме Last Known Good Configuration. Файл журнала (Ntbtlog.txt) находится в папке %systemroot%. Кроме того, во всех режимах, кроме Last Known Good Configuration, no умолчанию загружается драйвер VGA.

Резюме

В Windows 2000 существуют следующие дополнительные варианты загрузки: Safe Mode (Безопасный режим), Safe Mode With Networking (Безопасный режим с загрузкой сетевых драйверов) и Safe Mode With Command Prompt (Безопасный режим с поддержкой командной строки); Enable Boot Logging (Включить протоколирование загрузки), Enable VGA Mode (Включить режим VGA), Last Known Good Configuration (Загрузка последней удачной конфигурации), Directory Services Restore Mode [Восстановление службы каталогов (только на контроллере домена Windows 2000)] и Debugging Mode (Режим отладки). Эти режимы позволяют загрузить компьютер, если при обычной загрузке возникли проблемы. Варианты Directory Services Restore Mode и Debugging Mode в Windows 2000 Professional не работают. Команда Boot Normally служит для возобновления обычной загрузки.

Часть 4. Файл Boot.ini

Когда вы устанавливаете Windows 2000 на компьютер с процессором Intel, программа установки Windows 2000 сохраняет файл Boot.ini в корне активного раздела. Файл Ntldr использует информацию из файла Boot.ini для отображения меню запроса Please Select The Operating System To Start (Выберите операционную систему для запуска), из которого вы выбираете ОС для загрузки. Вы узнаете, как редактировать файл Boot.ini, включая изменение путей ARC и использование дополнительных переключателей.

Компоненты файла Boot.ini

Файл Boot.ini состоит из двух разделов: [boot loader] и [operating systems], которые содержат информацию, используемую файлом Ntldr для формирования меню Select The Operating System To Start (Выберите операционную систему для запуска). Типичный файл Boot.ini может выглядеть так:

[boot loader]

default=multi(0)disk(0)rdisk(1)partition(2)\WINNT

[operating systems]

multi(0)disk(0)rdisk(1)partition(2)\WINNT="Microsoft Windows 2000 Professional"/fastdetect

multi(0)disk(0)rdisk(1)partition(1)\WINNT="Windows NT Workstation Version 4.0"

multi(0)disk(0)rdisk(1)partition(1)\WINNT="Windows NT Server Workstation 4.00 [VGA mode]"  /basevideo/sos

C:\="Previous Operating System on C:"

Раздел [operating systems] файла Boot.ini, создаваемый во время установки Windows 2000 Professional по умолчанию, содержит единственную запись для Windows 2000. Если на компьютере задана альтернативная загрузка Windows 2000 и Windows 95 или 98, раздел [operating systems] содержит также запись для запуска компьютера с использованием другой операционной системы, например, C:\="Previous Operating System on С". Если вы установили на компьютер Windows 2000 и сохранили установку Windows NT 4 на другом разделе того же компьютера, раздел [operating systems] содержит запись для запуска системы с использованием этой версии Windows NT, например, C:\="Windows NT Workstation Version 4.0".

Пути ARC

В процессе установки Windows 2000 создается файл Boot.ini, содержащий пути ARC (Advanced RISC Computing), указывающие на загрузочный раздел компьютера (RISC - архитектура микропроцессора с небольшим количеством простых инструкций). Пример пути ARC:

    multl(0)disk(0)rdisk(1)partition(2)

В таблице 6 описаны правила задания имен путей ARC.

image

Нумерация значений multi, scsi, disk и rdisk начинается с 0, а разделов - с 1. Сначала значения присваиваются нерасширенным разделам, затем - логическим дискам в расширенных разделах (рисунок 3).
При использовании правила scsi для последовательных дисков на одном контроллере изменяется параметр disk(y), тогда как для правила multi изменяется параметр rdisk(z).

Указанная на рисунке ОС расположена по следующему пути ARC: multi(0)disk(0)rdisk(1)partition(2)

Рисунок 3. Пути ARC

 

Переключатели файла Boot.ini

К записям раздела [operating systems] файла Boot.ini можно добавлять переключатели, задающие выполнение дополнительных функций. Некоторые из них описаны в таблице 7.

image

 

Редактирование файла Boot.ini

Значения параметров timeout и default файла Boot.ini задаются с помощью значка System Properties (Система) панели управления, но и их, и другие параметры файла Boot.ini можно редактировать вручную. В частности, вы вправе добавить дополнительные команды в меню Please Select The Operating System To Start (Выберите операционную систему для запуска) или использовать переключатели для определения причин сбоев при загрузке.
Во время установки Windows 2000 файлу Boot.ini присваиваются атрибуты Read-Only (только для чтения) и System (системный). Перед редактированием файла Boot.ini в текстовом редакторе его нужно сделать видимым и отменить атрибут Read-Only. Воспользуйтесь для этого окнами My Computer (Мой компьютер), Windows Explorer (Проводник) или командной строкой. В первых двух случаях выполните следующие действия.

1. Дважды щелкните значок диска, содержащего файл Boot.ini.
2. В меню Tools (Сервис) выберите команду Folder Options (Свойства папки).
3. В окне Folder Options перейдите на вкладку View (Вид).
4. В группе Hidden Files And Folders (Скрытые файлы и папки) поставьте переключатель в положение Show Hidden Files And Folders (Показывать скрытые файлы и папки) и щелкните ОК.
5. В окне My Computer или Windows Explorer в меню View (Вид) выберите команду Refresh (Обновить).
6. Щелкните правой кнопкой мыши значок файла Boot.ini и выберите в контекстном меню команду Properties (Свойства).
7. На вкладке General (Общие) сбросьте флажок Read-Only в группе Attributes (Атрибуты) и щелкните ОК.

Для изменения атрибутов файла с помощью командной строки перейдите в папку, содержащую файл Boot.ini, и введите команду:

attrib -s -r -h boot.ini

Изменив атрибуты файла Boot.ini, вы сможете открывать и модифицировать его с помощью текстового редактора.

Резюме

При установке Windows 2000 на компьютере с процессором Intel программа установки создает в активном разделе файл Boot.ini. Файл Ntldr использует информацию из файла Boot.ini для отображения меню запроса Please Select The Operating System To Start, в котором выбирается загружаемая операционная система. Вы можете редактировать файл Boot.ini, в том числе пути ARC, и задавать в нем дополнительные переключатели.

Часть 5. Использование Recovery Console

Recovery Console (Консоль восстановления) Windows 2000 - это набор команд для запуска из командной строки, с помощью которого можно восстанавливать систему и устранять сбои, в том числе:
• запускать и останавливать службы;
• считывать и записывать данные на локальные диски (включая диски, отформатированные для файловой системы NTFS);
• форматировать жесткие диски.

Установка и запуск Recovery Console

Для установки Recovery Console (Консоль восстановления) вставьте в CD-ROM-дисковод компакт-диск Microsoft Windows 2000 Professional и закройте окно Microsoft Windows 2000, если оно откроется. Откройте окно Run (Выполнить) или Command Prompt (Командная строка), перейдите в папку i386 на компакт-диске Windows 2000 и введите команду winnt32 с переключателем /cmdcons. После установки Recovery Console к ней можно обращаться из меню Please Select The Operating System To Start (Выберите операционную систему для запуска) или с помощью установочных дискет или компакт-диска Windows 2000 Professional. В последних двух случаях загрузите компьютер и выберите вариант Recovery Console в списке восстановительных функций.
После запуска Recovery Console нужно определить, какой вариант Windows 2000 вы хотите загрузить (если задана альтернативная или многовариантная загрузка), а затем зарегистрироваться в системе в качестве администратора.

Работа с Recovery Console

Вы можете также запустить Recovery Console с компакт-диска Windows 2000. В набор Recovery Console входит несколько команд администрирования, которые можно использовать для восстановления установки Windows 2000. Для запуска Recovery Console с компакт-диска Windows 2000 Professional сделайте следующее.

1. Вставьте компакт-диск Windows 2000 Professional и перезагрузите компьютер. Если компьютер или рабочая станция, неисправности в работе которой вы хотите устранить, не оборудованы CD-ROM-дисководом с возможностью загрузки, вставьте загрузочную дискету Windows 2000 в дисковод для гибких дисков, а затем по мере необходимости вставляйте дополнительные загрузочные дискеты Windows 2000.
2. Когда на экране появится первое сообщение Setup Notification (Установка Windows 2000 Professional), прочтите его и нажмите Enter. Откроется окно Welcome To Setup (Вас приветствует программа установки.). Обратите внимание, что помимо начальной установки Windows 2000 вы можете использовать программу установки для восстановления или исправления существующей установки Windows 2000.
3. Нажмите клавишу R для исправления установки Windows 2000. Исправить установку Windows 2000 можно, используя Recovery Console (Консоль восстановления) или процесс аварийного восстановления.
4. Нажмите клавишу С для запуска Recovery Console.
Если на компьютере установлено несколько ОС Windows 2000, вам будет предложено выбрать из них ту, которую нужно исправить.
5. Введите 1 и нажмите клавишу Enter.
Вам будет предложено ввести пароль администратора.
6. Введите пароль администратора и нажмите клавишу Enter. На экране появится командная строка.
7. Введите команду Help, чтобы просмотреть список доступных команд.
8. Завершив процесс восстановления, введите команду Exit. Компьютер будет перезагружен.

Команды Recovery Console

В таблице 8 перечислены некоторые из команд Recovery Console.

image

 

Резюме

Windows 2000 Recovery Console (Консоль восстановления) - это набор средств командной строки для восстановления системы и устранения сбоев, включая запуск и остановку служб, чтение и запись данных на локальный диск и форматирование жестких дисков.
Установка Recovery Console осуществляется из командной строки. Перейдите в папку i386 на компакт-диске Windows 2000 и запустите команду winnt32 с переключателем /cmdcons. Доступ к Recovery Console можно получить из меню Startup или с помощью установочных дисков Windows 2000 и компакт-диска Windows 2000.

понедельник, 26 июля 2010 г.

Active Directory на платформе Windows Server 2003 ===

http://www.fcenter.ru/online.shtml?articles/software/os/13024

Автор: Алексей Доля
28.04.2005 12:15:00

Вступление
Внедрение и интеграция
Администрирование
Репликация
Доверие между лесами
Управление групповыми политиками
Политика ограничения на использование программ
Заключение

Вступление

clip_image002Данная статья посвящена службе каталогов Active Directory, тем новым возможностям и механизмам, что она обрела с появлением Windows Server 2003, а также использованию всех этих улучшений на практике.
Весь представленный материал разбит на шесть тем. Мы поговорим о внедрении Active Directory и интеграции с уже существующими каталогами, администрировании службы, репликации, доверии между лесами, управлении групповыми политиками и ограничении на использование программ.
clip_image002[1]
clip_image002[2]Внедрение и интеграция

В данной главе мы рассмотрим новые возможности Active Directory с нескольких точек зрения: внедрения этой службы, ее интеграции с другими каталогами, перехода с предыдущей версии (либо обновление с Windows NT 4.0, либо просто установка Active Directory с нуля). Прежде всего, необходимо отметить, что новые возможности Active Directory на базе Windows 2003 по большей части не совместимы с Active Directory на базе Windows 2000. Например, возможности переименовать домен или восстановить ранее деактивированный объект в схеме могут быть использованы только тогда, когда каталог находится на максимально возможном функциональном уровне: уровень домена - Windows Server 2003 и уровень леса - Windows Server 2003. Чтобы получить доступ к этим и другим возможностям, следует перевести лес на максимально функциональный уровень. Рассмотрим, что собой представляют эти самые функциональные уровни.
clip_image002[3]
clip_image002[4]

clip_image002[5]

Функциональные уровни

Функциональные уровни домена

Функциональные уровни леса

Windows Server 2003

Windows Server 2003

Windows 2000 Native

Windows 2000 (по умолчанию)

Windows 2000 Mixed (по умолчанию)

 

clip_image002[6]Администратор вручную повышает функциональный уровень
clip_image002[7]
clip_image002[8]Замечу, что такая классификация была специально введена для обеспечения совместимости на уровне обратно-несовместимых возможностей. Даже если установить Active Directory с нуля, не выполняя никаких обновлений и не заботясь об интеграции, то есть просто установить новый сервер, а на него - первый контроллер в лесе, то получится система, которая изначально попадает на самый низкий уровень. Другими словами, уровень домена - Windows 2000 Mixed (смешанный) и уровень леса - Windows 2000. Таким образом, в этом режиме установленная система полностью соответствует всем тем возможностям, которые есть в Windows 2000 Active Directory. Чтобы перейти на более высокий уровень, необходимо выполнение определенных условий, например, домен может быть переведен на уровень Windows Server 2003 только после того, как все контроллеры этого домена будут переведены на эту операционную систему. Если говорить о переходе с Windows 2000, то, естественно, процесс перехода заключается в поэтапном обновлении существующих контроллеров. Невозможно все контроллеры разом перевести с Windows 2000 на Windows 2003, это можно делать только по очереди. Пока процесс перевода контроллеров не завершен, функциональный уровень домена остается на уровне Windows 2000 Mixed. Как только будут переведены все контролеры, можно перейти на следующий уровень. Администратор переключает функциональный уровень с помощью специальной консоли Active Directory Domains Trusts. Администратор не в состоянии понизить уровень, он может только перевести его на более высокую ступень, на котором система останется. После того, как администратор перевел домен на новый функциональный уровень, в Active Directory появляются определенные новые возможности.
clip_image002[9]
clip_image002[10]Рассмотрим эти возможности для простоты изложения в режиме чистый лес - Windows 2003 и все домены - Windows 2003. Другими словами, максимально возможные уровни и, соответственно, максимальный спектр новых возможностей. Первое, на чем стоит остановиться - это функция, которая называется Application Partitions (по-русски - Разделы Приложений).
clip_image002[11]
clip_image002[12]

clip_image002[13]clip_image003
clip_image002[14]Разделы для приложений
clip_image002[15]

clip_image002[16]Дело в том, что Active Directory изначально разрабатывалась, как служба каталога не просто для обеспечения, например, сетевого обслуживания клиентов или для хранения учетных записей этих клиентов, но и как хранилище для сетевых приложений. Поэтому в Active Directory очень много информации, которая поступает от приложений. Таким образом, на Windows 2000, сколько бы приложений мы не установили в режиме фильтрации с Active Directory, вся информация о них попадет в единый каталог и, соответственно, реплицируется между всеми контроллерами равноправно.
clip_image002[17]
clip_image002[18]Windows 2003 позволяет дифференцировать и отделить информацию, которая принадлежит сетевым приложениям от остального каталога путем создания разделов для приложений. Например, информация, которую хранит сервер DNS, может быть распределена не на все контроллеры, которые есть в домене, а только на те, которые были явно указаны. Фактически, это и означает создание разделов. Сначала можно создать раздел "каталоги", как бы отделяя его от общей структуры, а потом указать, что этот раздел в качестве реплики должен храниться на поименных контроллерах. Это же касается любого другого приложения. За счет такого механизма администратор, управляющий системой, может наиболее оптимально отделить и хранить информацию о каталоге и о приложениях. Например, если заведомо известно, что какое-то приложение будет использовать каталог только на данном конкретном контроллере (не будет обращаться к другим контроллерам), то можно таким способом свести хранилище каталога только к этому контроллеру за счет создания уникального раздела для этого приложения.
clip_image002[19]
clip_image002[20]Следующей возможностью является поддержка класса объектов InetOrgPerson (RFC 2798). Она появилась только в Windows 2003, а Windows 2000 этот класс объектов не поддерживает. InetOrgPerson нужен для интеграции с другими LDAP-каталогами (Novell, Netscape). Active Directory умеет работать с этим классом, создавать объекты этого класса, возможна также прозрачная и плавная миграция объектов типа InetOrgPerson из других каталогов Active Directory. Соответственно, становится возможным перенос приложений, написанных для других LDAP-каталогов. Если приложения используют данный класс, то их можно безболезненно, прозрачно портировать на Active Directory, сохраняя всю функциональность.
clip_image002[21]
clip_image002[22]Далее, появилась возможность переименования доменов. В данном случае, следует четко понимать, что под переименованием домена имеется в виду не просто смена названия домена (назывался раньше домен "abcd", а теперь называется "xyz"). На самом деле, структура каталога является деревом, в нем много доменов, а сами домены объединены в иерархию. Переименование домена, это, на самом деле, реструктуризация леса. Можно переименовать домен таким образом, что он окажется в другом дереве.
clip_image002[23]
clip_image002[24]

clip_image002[25]clip_image004
clip_image002[26]Переименование домена. Утилита rendom.exe
clip_image002[27]

clip_image002[28]Рассмотрим домен Contoso, подчиненный домену Sales в дереве WorldWideImporters.com. Его можно переименовать и назвать Contoso.Fabrikam.com. Это не просто переименование, это перенесение домена из одного дерева в другое, то есть достаточно нетривиальная процедура. Логично предположить, что переименование домена может привести к созданию нового дерева. Можно переименовать домен Contoso, который был подчинен домену Sales, и назвать его Contoso.com. Тогда домен станет родоначальником другого дерева в этом же лесе. Именно поэтому процесс переименования домена можно считать весьма сложной и нетривиальной процедурой.
clip_image002[29]
clip_image002[30]В Windows 2000 такой возможности, как переименовать домен в приведенном выше контексте, не было в принципе. Если домен создан, то на всю жизнь он останется со своим именем. Единственный способ изменить ситуацию - это удалить домен, а потом создать его заново с новым именем.
clip_image002[31]
clip_image002[32]Вместе с Windows 2003 поставляется утилита, которая называется Rendom, буквально от слов Rename Domain. Утилита Rendom.exe - это утилита командной строки, которая может использоваться для переименования домена. Правда, этот процесс состоит из шести этапов. Подробную информацию о нем можно отыскать в службе справки Windows 2003, специальных технических документах для Microsoft .NET, на сайте MSDN. Там подробно описано, как моделировать, проектировать и проводить процесс переименования домена, с использованием утилиты rendom. В любом случае, это сложный, многоэтапный процесс, требующий тщательной подготовки: слишком много связок и указателей, имен и прочих взаимозависимостей, которые формируются при создании доменов. Просто взять и одним махом все это перенести - невозможно.
clip_image002[33]
clip_image002[34]В плане внедрения Active Directory появился режим установки контроллера домена со съемного носителя. Что имеется в виду? Очень часто встречается ситуация, когда предприятие внедряет Active Directory в удаленных офисах: связь с удаленным офисом слабая, плохие линии связи между головными офисами и филиалами. Тем не менее нужно в филиале установить новый контроллер доменов. Когда создается новый контроллер в уже существующем домене, утилита DCPromo связывается с существующими, работающими контроллерами и перекачивает себе всю базу данных и реплики, которые можно собрать с контроллера её домена. Если эта база занимает несколько десятков или сотен килобайт, то есть пустая (она по-умолчанию занимает несколько сот килобайт), то проблем нет. Но если говорить о работающей системе, в которой база может занимать десятки или сотни мегабайт, то её перекачка может оказаться просто невыполнимой задачей. Поэтому в этой ситуации можно решить проблему очень простым способом. С помощью Windows NT Back-up сделать архив в режиме "system state", то есть выбрать в консоли Windows NT Back-up опцию Back-up->SystemState. После этого весь созданный Back-up записать на носитель, например, на CD или DVD, взять этот диск и приехать с ним в удаленный офис, там восстановить всю информацию из архива с помощью той же самой Windows NT Back-up. Только нужно сделать восстановление не по умолчанию, а в другой каталог, чтобы сами файлы были просто выложены на диск. Естественно, не нужно заменять ту системную информацию, которая есть на существующем компьютере. Далее следует запустить утилиту DCPromo с ключом "/adv" и указать путь к тому хранилищу, где находится распакованный файл. После этого процесс инсталляции нового контроллера будет создавать свою реплику на основании информации со съемного носителя. При этом все равно потребуется связь с головным офисом, потому что помимо перекачки реплики, требуется еще установление определенных отношений с существующим доменом. Поэтому связь должна быть, но требования к ней существенно снижены: подойдет даже очень слабая линия. В приведенном сценарии 95% информации, которые нужно было перекачивать на новый контроллер, были перенесены на системный носитель, а линию связи между головным офисом и филиалом не пришлось перегружать.
clip_image002[35]
clip_image002[36]Важно отметить, что у заказчиков по-прежнему очень часто используется Windows NT 4.0. Windows 2003 позволяет перейти с существующих каталогов (с NT 4 или с Windows 2000) быстрее, более безболезненно и эффективно. Этой цели служит утилита Active Directory Migration Tool (ADMT) . ADMT поможет с миграцией с Windows NT на Windows 2003, а также с Windows 2000 на Windows 2003 в том случае, если потребуется какая-то реструктуризация доменов, перенесение учетных записей и т.д.
clip_image002[37]
clip_image002[38]

clip_image002[39]clip_image005
clip_image002[40]Мастера Active Directory Migration Tool (ADMT) v.2
clip_image002[41]

clip_image002[42]Active Directory Migration Tool представляет собой набор программ-мастеров. Каждый мастер выполняет определенную задачу (см. картинку выше). Важно, что большинство программ-мастеров имеет режим, который называется "Test migration settings and migrate later" - моделирование процесса без реального выполнения операций. Другими словами, процесс миграции эмулируется, и администратор может посмотреть, каков будет результат и как все будет происходить. Реальные действия в этом режиме не выполняются. В случае, когда результаты работы тестового режима удовлетворительны, можно попросить Active Directory Migration Tool выполнить полноценную миграцию.
clip_image002[43]
clip_image002[44]

Администрирование

clip_image002[45]Данная глава посвящена инструментальному администрированию. В принципе, нельзя сказать, что здесь появилось много новых очень полезных возможностей. Однако кое-что все-таки есть. Например, поддержка Drag&Drop: до выхода Windows 2003 поддержки Drag&Drop не было. Теперь можно кликнуть на объект "пользователь" и перетащить его мышкой в новый контейнер. Это очень удобно. Жаль, что такого механизма в предыдущих версиях не было.
clip_image002[46]
clip_image002[47]Появилась дополнительная консоль для хранения запросов к каталогу. Известно, что Active Directory - это LDAP-каталог. Значит, к LDAP-каталогам можно делать запросы на стандартном языке запросов. Если эти запросы делать и не запоминать, то это является дополнительной нагрузкой на администратора: каждый раз ему нужно запрос писать заново или копировать его из какого-то документа. Для упрощения данного процесса предлагается раздел, который называется Saved Queries. В нем собственно и сохраняются те запросы, которые администратор или пользователь ввели в консоли.
clip_image002[48]
clip_image002[49]

clip_image002[50]clip_image006
clip_image002[51]Консоль сохраненных запросов к каталогу
clip_image002[52]

clip_image002[53]Теперь, когда этот запрос потребуется вновь, достаточно просто выбрать его из списка. Более того, в правой части консоли отображаются результаты запроса: слева можно выбрать интересующий запрос и щелкнуть на нем, а справа уже появится результат отработки.
clip_image002[54]
clip_image002[55]Windows Server 2003 содержит очень много программ командной строки. Это кажется странным и даже, может быть, противоречащим. Казалось бы, Microsoft все эти годы продвигает графический интерфейс, удобство управления с помощью графического интерфейса, но в то же время, оказывается, выпускает новые утилиты командной строки. Вот только для Active Directory их целых шесть штук.
clip_image002[56]
clip_image002[57]

clip_image002[58]clip_image007
clip_image002[59]Утилиты командной строки
clip_image002[60]

clip_image002[61]В этом нет, на самом деле, никакого противоречия. Дело в том, что очень много операций, которые приходится выполнять администратору, удобнее делать в виде командных файлов. Например, когда речь идет о модификации у одинаковых или похожих объектов какого-то атрибута, это часто удобнее сделать в командной строке, написав соответствующий скрипт. Если необходимо изменить какой-то параметр, например, телефоны пользователей, которые прописаны в учетной записи (у всех в подразделении может поменяться телефон), можно зайти в каждую учетную запись и изменить телефон. Если это делать через графический интерфейс, то придется произвести как минимум сто операций по изменению объекта "Учетная запись". Можно же взять одну простую команду, которая называется DSMod (модификация объекта), сформировать строчку для записи новой информации, после чего написать скрипт с условиями поиска и выполнить всё в виде одной команды. Для таких операций (а в повседневной работе администратора их множество) следует использовать утилиты командной строки и скрипты.
clip_image002[62]

Репликация

clip_image002[63]Вопросы репликации очень актуальны при внедрении Active Directory, проектировании и планировании инфраструктуры.
clip_image002[64]
clip_image002[65]В Windows 2000 есть определенные ограничения по количеству сайтов, в которых можно было бы автоматически сгенерировать топологию. Существует служба, которая называется Inter-Site Topology Generator (ISTG) . Когда создаются два или три, а лучше пять или даже десять сайтов, служба ISTG автоматически генерирует топологию репликаций между сайтами, сама выбирает узловые серверы, сама определяет, как будет выполняться сценарий этой репликации. Всё хорошо, но если сайтов порядка двухсот, то служба ISTG не справляется с объемом информации и зацикливается. Поэтому для Windows 2000 есть совершенно четкая рекомендация - количество сайтов не должно быть более двухсот, если необходимо, чтобы топология репликации между сайтами генерировалась автоматически. Если же сайтов больше - автоматическую генерацию надо отключить и настраивать все это вручную.
clip_image002[66]
clip_image002[67]Проблема, казалось бы, не очевидна, но с ней люди реально сталкиваются, когда доходит до внедрения Active Directory на многосайтные системы. Windows Server 2003 снимает этот вопрос. В этой системе реализован абсолютно новый Inter-Site Topology Generator, который работает принципиально по-другому и генерирует топологию, используя новый алгоритм. Количество сайтов, которое может теперь автоматически генерироваться (топология которых может генерироваться автоматически с помощью службы ISTG), только на тестах было несколько тысяч. Неизвестно, кому может потребоваться столько сайтов, но, тем не менее, можно забыть о каком-либо ограничении только за счет модификации механизма ISTG.
clip_image002[68]
clip_image002[69]Дополнительно можно отключить компрессию трафика между сайтами, если, конечно, это имеет смысл. Включение компрессии повышает нагрузку на процессоры узловых серверов. Если сеть позволяет, то, возможно, имеет смысл отключить компрессию с тем, чтобы передавать больше данных по сети, но тогда менее загружены будут контроллеры. Можно сделать наоборот: если необходимо сэкономить на сетевом трафике, имеет смысл включить компрессию.
clip_image002[70]
clip_image002[71]Есть еще одно ограничение в том, как Active Directory в Windows 2000 реплицирует группы. Речь идет о группе безопасности. Когда дело касается назначения прав для доступа к каким-то объектам, обычно правильная практика администрирования подразумевает, что права назначаются группам. Пользователи либо включаются в группу, либо исключаются. Группа - это точно такой же объект в Active Directory, как и все остальные объекты. Объект же имеет атрибуты. Особенность группы заключается в том, что список членов группы - это не несколько атрибутов, это один атрибут с большим количеством значений, так называемый "Multi Value Attribute" (на самом деле, это один атрибут, у которого много значений). Механизм репликации Active Directory детализирован до уровня атрибута. Если объект модифицируется, то система будет реплицировать эти изменения ровно для тех атрибутов, которые изменились, а не для всего объекта целиком. Теперь вернемся к группе, у которой есть атрибут, состоящий, например, из ста значений. Если в группу входит сто человек, значит у этого атрибута сто значений. А если 5 тысяч? Ограничение заключается в следующем: если членство в группе составляет 5 тысяч объектов, то репликация такого объекта становилась невозможна. Как только появится 5001 член группы, сразу же разрушается процесс репликации этой группы на Windows 2000. Есть даже документированный способ атаки, когда администратор, обиженный на кого-то, может разрушить процесс репликации в системе, просто написав скрипт, который циклическим образом поместит в какую-то группу 5 тыс. членов. После чего возникают проблемы с репликацией каталога. Windows Server 2003 Active Directory вводит дополнительный механизм, который называется "Репликация присоединенных значений" ("Linked Value Replication").
clip_image002[72]clip_image002[73]В этом случае механизм предназначен исключительно для репликации атрибутов, у которых есть много значений. То есть теперь, при использовании этого механизма членство в группе реплицируется на уровне отдельных членов. Если включить нового человека в группу, то репликация будет вестись не всего списка, как атрибут, а только значения за счет механизма Linked Value Replication.
clip_image002[74]
clip_image002[75]Еще одна проблема, связанная с репликацией, имела отношение к глобальному каталогу. Трудность заключалась в том, как ведет себя глобальный каталог, когда администратор модифицирует, так называемый, Partial Attribute Set (PAS) - список атрибутов, которые должны быть помещены в глобальный каталог.
clip_image002[76]
clip_image002[77]Возможно, имеет смысл пояснить. У каждого атрибута есть статусное значение: помещать в глобальный каталог или нет. Глобальный каталог - это дополнительный каталог, который содержит информацию обо всех объектах, которые есть в каталоге, но не полностью, а ровно списки тех атрибутов, которые помечены, как экспортируемые в глобальный каталог. Таким образом, например, о каждом пользователе в глобальный каталог помещается его имя, его электронный адрес, возможно, еще какой-нибудь дополнительный параметр. Буквально несколько параметров, для того, чтобы можно было быстро найти этого пользователя в каталоге.
clip_image002[78]
clip_image002[79]Проблема возникает, когда администратор модифицирует схему и для какого-то еще одного атрибута изменяет статус, переключая его в этот режим. Был атрибут, который в глобальный каталог не попадал, администратор пошел и изменил схему, включил этот атрибут в PAS, после этого, помимо репликации всей схемы, на Windows 2000 произойдет полная ресинхронизация всех серверов, которые хранят глобальный каталог. Это вызовет весьма существенную загрузку сетевым трафиком и некоторый, даже внутренний простой службы каталогов.
clip_image002[80]
clip_image002[81]Windows Server 2003 снимает эту проблему. Репликация и синхронизация глобального каталога будет проводиться исключительно в объеме добавленного атрибута. То есть когда проводится операция добавления атрибута к PAS, происходит просто сбор информации у тех объектов, у которых этот атрибут есть. А затем он [атрибут] добавляется к глобальному каталогу. Полной синхронизации не происходит.
clip_image002[82]
clip_image002[83]Еще одна дополнительная функция, касающаяся глобального каталога - это механизм кэширования универсальных групп. Напомню, группы в Active Directory бывают трех типов: локальные, глобальные и универсальные. Локальные и глобальные хранятся вместе с репликой на контроллере, универсальные группы хранятся в глобальном каталоге. Когда сотрудник удаленного офиса хочет войти в сеть, система провести регистрацию пользователя в сети и создать его контекст безопасности. Для этого ей необходимо узнать, в какие группы входит пользователь. Узнать о локальных и глобальных группах Windows 2000 может на своем ближайшем контроллере, но по устройству сети, глобальный каталог находится в головном офисе. Проверить членство пользователя в универсальных группах можно только, сделав запрос к глобальному каталогу. Поэтому на момент регистрации необходимо послать запрос в головной офис. Если связь оборвана и глобальный каталог не доступен, то пользователю будет отказано в регистрации (по умолчанию в этой ситуации). Если в реестре поставить значение "игнорировать ошибки, связанные с членством в универсальных группах", в системе безопасности образуется дыра.
clip_image002[84]
clip_image002[85]Windows Server 2003 предлагает механизм кэширования универсальных групп. Теперь требуется подключение к глобальному каталогу только при самой первой регистрации пользователя. Эти группы попадают на контроллер и там сохраняются. Каждая последующая регистрация пользователя не потребует обращения, потому что членство в универсальных группах уже известно. При этом кэширование информации определенным образом обновляется: через условленные промежутки времени информация глобального каталога запрашивается для обновления информации о членстве пользователей в универсальных группах.
clip_image002[86]clip_image002[87]

Доверие между лесами

clip_image002[88]Доверие между лесами позволяет интегрировать совершенно независимые организации. Active Directory представляет собой структуру, в которой может быть дерево доменов с корневым доменом, а может быть лес, состоящий из нескольких деревьев. Характеристикой леса является то, что для всех доменов, входящих в него, для всех тех деревьев, есть три одинаковые сущности - это единая схема, единые контейнеры конфигурации и общий глобальный каталог для леса. Естественно, пространство имен у них разное, хотя можно дать имя лесу целиком. Если это не сделано, то у каждого дерева будет своя иерархия имен. Можно сделать так, что все деревья в лесе будут выстроены в одну систему имен.
clip_image002[89]
clip_image002[90]

clip_image002[91]clip_image008
clip_image002[92]Доверие между лесами
clip_image002[93]

clip_image002[94]Когда речь идет об интеграции и взаимодействии между двумя разными лесами, обычно имеются две разные системы, построенные независимо друг от друга. Тем не менее, необходимо, чтобы пользователи одного леса (определенные только в одном лесе) могли обращаться к объектам, определенным в другом лесе. Для этого нужно установить доверительные отношения.
clip_image002[95]
clip_image002[96]Windows 2000 позволяет сделать прямые и транзитивные отношения между конкретными доменами из разных лесов, но работать это будет только для данных доменов. Windows Server 2003 предлагает новый тип доверия, который называется "Отношение доменов между лесами". Эти отношения являются транзитивными для доменов, которые входят в каждый из лесов. То есть, когда два леса соединяются доверительными отношениями, пользователи из любого домена одного леса абсолютно прозрачно могут видеть объекты другого леса и обращаться к ним из любых доменов.
clip_image002[97]
clip_image002[98]Можно сделать цепочку, например, из трех лесов A, B, C. A доверяет В, а В доверяет С. Из этого не следует, что между лесом А и С тоже установились доверительные отношения. Это как в Windows NT 4: не транзитивные отношения в том смысле, что они не транзитивны между лесами. Но между доменами, которые связывают два леса, отношения являются транзитивными.
clip_image002[99]

Управление групповыми политиками

clip_image002[100]Групповые политики - это основной инструмент, который используется для управления практически всеми подсистемами и компонентами в рамках Windows. Будь то рабочая станция и ее настройки, будь то сервер и его сетевые службы, Active Directory, параметры безопасности - все это настраивается через групповые политики.
clip_image002[101]
clip_image002[102]Механизм групповых политик позволяет назначать политики контейнерам, то есть организационным подразделениям, сайтам и доменам. Групповую политику нельзя назначить конкретному пользователю. При этом, поскольку структура контейнеров в Active Directory иерархична, можно на разных уровнях назначать разные групповые политики. Следовательно, работают механизмы наследования. У администратора есть определенные функции по блокировке наследования или, наоборот, по принудительному применению политики наследования. Администратор имеет возможность фильтровать применение групповых политик через права доступа. В любом случае, большое количество задач решается с помощью не меньшего количества инструментов. Для каждой задачи есть определенный инструмент. Таким образом, чтобы управлять групповыми политиками в Windows 2000, требуется знать порядка шести инструментов и использовать их для различных задач.
clip_image002[103]
clip_image002[104]Windows Server 2003 позволяет существенно упростить жизнь администратору за счет появления специального инструмента, который называется Group Policy Management Console. Это интегрированная или консолидированная консоль, которая включает в себя интерфейс для выполнения абсолютно всех задач, связанных с групповыми политиками. Больше не нужно ломать голову, где делается данная операция - все в Group Policy Management Console, при этом консоль группирует информацию очень логично, интуитивно понятно.
clip_image002[105]
clip_image002[106]Помимо того, что Group Policy Management Console является консолидированным графическим инструментарием, она еще и добавляет ряд новых функций к управлению групповыми политиками. Например, функции архивирования и восстановления групповых политик, функции копирования групповых политик между доменами одного леса и импорт/экспорт групповых политик.
clip_image002[107]
clip_image002[108]Group Policy Management Console, как составная часть Windows Server 2003, отсутствует. Ее нужно скачивать с web-сервера Microsoft (http://www.microsoft.com/downloads). Установить консоль можно либо на Windows Server 2003, либо на Windows XP при наличии Service Pack 1 и .NET Framework. Таким образом, с помощью Group Policy Management Console можно управлять групповыми политиками, даже не находясь непосредственно на контроллере домена. Можно установить консоль прямо на рабочую станцию Windows XP и с этой рабочей станции централизованно управлять всеми групповыми политиками леса. Кроме того, в составе Group Policy Management Console есть два мастера, которые позволяют анализировать и моделировать процесс применения групповых политик. Первый называется "Мастер результатов применения групповых политик" и он показывает, какие политики применялись к данному конкретному компьютеру, какие значения изменились и с каких политик эти значения были получены. Если что-то не применилось, мастер показывает, почему это не применилось.
clip_image002[109]
clip_image002[110]Понятно, что данный механизм требует подключения к тому компьютеру, который подвергается анализу. То есть в режиме удаленного подключения администратор, конечно, может подключиться к любой рабочей станции и попросить проанализировать, как применялись групповые политики к этой машине. Можно поступить другим образом: прежде чем разворачивать и внедрять систему групповых политик, можно смоделировать, а что будет происходить с пользователем, или с компьютером, когда к нему применится групповая политика.
clip_image002[111]
clip_image002[112]Процесс такого моделирования выполняется с помощью консоли, которая расположена в Group Policy Management Console и называется Process Modeling. Моделирование не требует подключения к исследуемому компьютеру. Оно работает только с информацией, которая хранится в Active Directory. Достаточно просто иметь доступ к контроллеру Windows Server 2003 Active Directory. Можно, например, представить, что случится, если пользователь войдет в какую-то группу безопасности, можно условно поместить пользователя в какой-то контейнер и посмотреть, что произойдет.
clip_image002[113]
clip_image002[114]Есть еще некоторые новые возможности Group Policy Management Console - это архивирование и восстановление групповых политик. Сами объекты можно сохранить в виде файла в определенном каталоге. Потом их можно восстановить обратно в случае какой-то проблемы или при экспериментах с доменом, Active Directory или групповыми политиками. Важно, что восстановить групповую политику можно только в том же домене, в котором она была заархивирована. Восстанавливается только объект групповой политики сам по себе: то, что было к нему дополнительно привязано, нельзя поместить в архив, соответственно, восстановить тоже.
clip_image002[115]
clip_image002[116]Перейдем теперь к Windows Management Instrumentations (WMI). Это технология, которая сейчас является основной в управлении системами. WMI используется практически везде: любая служба так или иначе задействует WMI.
clip_image002[117]clip_image002[118]С помощью WMI можно получать информацию обо всех объектах, которые существуют в системе, будь то аппаратные устройства или какие-то программные компоненты. Абсолютно любая информация может быть получена путем запроса к базе данных WMI. Поскольку такой механизм существует, Microsoft разработала дополнительную функциональность к применению групповых политик. Появилась возможность фильтровать применение групповых политик на основании обращения к базе WMI. То есть можно буквально в групповой политике назначить фильтр. Например, если ответ на запрос, который посылается к WMI, будет положительным, то групповая политика применяется, а если будет отрицательным, то групповая политика не применяется.
clip_image002[119]
clip_image002[120]Политика ограничения на использование программ

clip_image002[121]Это централизованная политика, которая может реализовываться на уровне всего предприятия. С её помощью администратор имеет возможность ограничить список программ, которые могут запускать пользователи на своих рабочих станциях. Администратор может, наоборот, указать список программ, которые пользователи на своих машинах ни при каких условиях запускать не могут.
clip_image002[122]clip_image002[123]Для реализации этого механизма используется принцип: базовый уровень, плюс исключение. Соответственно, базовые уровни могут быть двух типов для разных сценариев. Первый базовый уровень называется "Disallowed": все программы по-умолчанию запрещены, кроме тех, которые разрешены в исключениях, в дополнительных правилах. Второй называется Unrestricted: разрешены все программы, но в списке дополнительных правил указаны исключения, то есть черный список программ, которые нельзя запускать.
clip_image002[124]clip_image002[125]Правила могут быть четырех типов (ранжированы по приоритету): Certificate (максимальный приоритет), Hash, Path и Zone. Приоритет актуален, когда есть несколько политик, определяющих одно и то же приложение разными правилами. Например, одна политика разрешает запускать все программы, которые расположены в каталоге "ABCD", а другая политика запрещает запускать программы, имеющие такой-то хэш. Если окажется, что эта программа, которую запрещено запускать, находится в разрешенном каталоге ABCD, то сильнее окажется правило запрета, потому что правило по хэшу "побеждает" правило по пути. Именно для этого используется приоритет.

clip_image002[126]clip_image002[127]Заключение

clip_image002[128]Можно резюмировать, что с появлением Windows Server 2003 добавилось не так уж и много полезных возможностей для работы с Active Directory. Тем не менее, некоторые из них очень полезны и могут сэкономить время и нервы системному администратору. Это, прежде всего, Group Policy Management Console и утилиты командной строки. Остальные изменения зачастую устраняют недоработки предыдущих версий системы (обновленные механизмы и алгоритмы), однако все равно необходимо знать, где именно возможности Active Directory расширены и как или пользоваться...