div.main {margin-left: 20pt; margin-right: 20pt}
Trusted Enterprise Manager 2.0 Управление корпоративной сетью Windows
NT
Благодаря Trusted Enterprise Manager делегирование административных прав и
задач теперь не будет сводиться к дилемме "все или ничего".
Джефф Данкельбергер и Стив Калман
Одна из наиболее серьезных задач, которые приходится решать администраторам
сети, - поиск способов упростить управление большими группами пользователей.
Появление сетей на базе ПК и распространение приложений и служб для настольных
систем еще больше усложняет ситуацию. А из-за того, что разработчики вынуждены
сокращать время выпуска продуктов, администраторы остаются без многих критически
важных инструментальных средств решения подобных задач. Излишне говорить о том,
что администраторы, столкнувшиеся с этими трудностями, испытывают острую
необходимость в хороших инструментальных средствах.
Одно из подобных средств - выпускаемый компанией Master Design&
Development инструментарий Trusted Enterprise Manager (TEM) для сетей Windows
NT. Его основное предназначение - помочь администратору сети управлять большими
группами пользователей за счет передачи ответственности за выполнение небольших,
повторяющихся, рутинных задач инженерам, находящимся ближе к целевым
пользователям. Бла-годаря Trusted Enterprise Ma-nager, управление пользователями
потребует меньше времени и даже укрепит защиту, при этом рабочая нагрузка будет
распределена между администраторами более равномерно.
TEM позволяет преодолеть, присущие оригинальному инструментарию Windows NT
Server ограничения, за счет распределения обязанностей по администрированию
пользователей в сети и предоставлению нового набора инструментальных средств
взамен предлагаемых Microsoft.
С помощью TEM администратор сети может определить один или несколько профилей
прав администрирования пользователей, получивших название Active Collections.
Эти права присваиваются сотрудникам, отвечающим за ежедневное управление
пользователями в сети Windows NT. К примеру, TEM позволяет администратору сети
предоставить определенным пользователям привилегии на переопределение паролей и
восстановление блокированных бюджетов, не передавая им при этом всех
административных прав. Кроме того, корпоративная справочная служба может
изменять права пользователей, отключать бюджеты и автоматизировать изменение
паролей. Внедряя этот вид администрирования в сети, администраторы получают
время для решения более сложных вопросов, не подвергая опасности защиту
сети.
УСТАНОВКА
TEM поставляется на шести дискетах. По имеющимся у нас данным, сейчас
компания готовит версию на компакт-диске, но к моменту написания статьи она еще
не была выпущена.
Установка несколько громоздка и предполагает, что пользователь хорошо знает
NT. Как сказано в файле README, "компания MD&D рекомендует устанавливать TEM
только после прочтения соответствующей документации. Замечание: документация,
поставляемая на дискетах, содержит тексты в формате Word 97, поэтому, чтобы
открыть файлы в редакторе Word 95, вам придется сначала установить конвертор
Word 97, который можно загрузить с узла, расположенного по адресу: www.microsoft.com/Word/Cnv_Word95.htm".
К сожалению, это замечание само написано в формате Word 97, так что тем из вас,
кто еще не установил новую версию, придется использовать модуль чтения Word 97,
чтобы его прочитать. Знакомство с этой документацией - шаг действительно
необходимый. Если вы пренебрежете чтением документации перед установкой, то
наверняка столкнетесь с некоторыми необъяснимыми трудностями.
Инструкция только по установке, администрированию и работе с клиентом
занимает более 200 страниц, и, поскольку никакой помощи во время установки не
предлагается, для успешного завершения инсталляции все это следует
прочитать.
Самая серьезная неприятность, которая ожидала нас в процессе установки, - это
несоответствие процедуры инсталляции ее описанию в документации. Если бы таких
разночтений не было или во время процесса установки можно было получить
подсказку, инсталляция прошла бы более гладко. К примеру, несколько раз
процедура инсталляции не могла правильно установить службы и выдавала сообщение
об ошибке.
При этом появляющееся текстовое сообщение уведомляло об ошибке, но не
сообщало об ее причине, не говоря уже о каких-либо указаниях относительно ее
устранения. После нажатия на кнопку OK в диалоговом окне с уведомлением процесс
установки просто прерывается; вам приходится самим ломать голову, как исправить
ошибку. Когда подобная ситуация возникла в процессе копирования файлов из-за
нарушения ограничений на совместный доступ к файлам, никаких комментариев опять
не последовало.
Сотрудники службы технической поддержки компании MD&D уже знали об этой
ошибке и сообщили, что она вызвана конфликтом из-за совместного использования
файлов с MS SQL Server, работающего на том же компьютере. Однако ошибка не
повторилась при следующей попытке установки несмотря на то, что мы не меняли
параметры настройки SQL, так что до сих пор не ясно, чем же был вызван этот
сбой.
Служба TEM требует наличия по крайней мере одного NT Domain и одного
пользовательского бюджета с Log On в качестве права доступа на Service. Задача
создать бюджет возлагается на администратора.
Установка представляет собой стандартный процесс InstallShield, поэтому TEM
имеет функцию деинсталляции, причем каждый раз, когда мы ее использовали, она
работала безупречно. Помните, однако, что служба TEM должна быть отключена во
время процедуры деинсталляции.
Установка завершается запуском очень подробного эксперта конфигурации,
позволяющего настроить и сконфигурировать выбранные компоненты.
Помните, что вы должны будете сами сделать необходимые для работы программы и
каталоги разделяемыми, в частности это касается каталога C:TEMCFG, в противном
случае программа не сможет работать. В документации говорится, что
администратору следует дать полномочия "бюджету службы TEM и небольшой группе
Enterprise Managers. Статус "Enterprise Manager" предоставляется тем, кто
отвечает за распространение администрированных функций. Члены группы Everyone
должны при этом иметь права доступа на чтение (Read) информации, размещаемой в
разделяемой области TEMCFG". Проблема в том, что, когда вы создаете разделяемую
область, NT автоматически предоставляет членам группы Everyone полные права
доступа (Full Control).
Если этот шаг выполнен, как рекомендовано (без изменения прав доступа членов
группы Everyone на Read), то все пользователи получат полные права доступа (Full
Control) к информации в разделяемой области, и в вашей защите образуется зияющая
брешь, поскольку каждый сможет войти туда, где TEM размещает данные о
пользователях. Чтобы избавиться от этого и не допустить других изъянов защиты,
убедитесь, что, назначая права доступа к разделяемой области, вы не предоставили
членам группы Everyone привилегии доступа на уровне Full Control. Кроме того, не
совершите другую распространенную ошибку, вообще запретив доступ к разделяемой
области членам группы Everyone (установив права доступа No Access), поскольку в
этом случае доступ не получат ни члены группы Administrators, ни различные
службы.
Заканчивая установку, эксперт конфигурации (Configuration Wizard) отображает
череду окон для конфигурации различных компонентов. Вы должны подтвердить выбор
каталогов по умолчанию для служб и конфигурационных файлов (C:TEMSVC и
C:TEMCFG, соответственно), так как из-за ограничений на длину имени для файлов
.INI, которые программа использует для своей конфигурации, они могут быть не
найдены, что не позволит правильно установить эти службы.
В конце работы эксперта установки программа предоставляет длинный список
предлагаемых изменений. Этот список настолько велик, что не умещается даже на
полный экран.
ВОЗМОЖНОСТИ
Любому производителю, создающему приложения для Windows NT, приходится решать
непростую задачу. Продукт должен работать с несколькими различными аппаратными
платформами, как это делает сама NT. Его код должен выполняться на контроллерах
доменов, автономных серверах и рабочих станциях с NT, а, кроме того, отвечать
модели защиты NT, т. е. при необходимости взаимодействовать с NT File System
компании Microsoft. Вдобавок ко всему, этот продукт должен удовлетворять
требованиям среды конечного пользователя, от самой простой до весьма сложной.
Trusted Enterprise Manager соответствует всем перечисленным параметрам.
При установке NT Server, компании создают глобальные группы в соответствии с
организационным делением, как это рекомендует Microsoft. Это упрощает
развертывание TEM, так как служба использует имеющуюся структуру глобальных
групп. После установки администратору следует назначить Trusted Managers для
существующих глобальных групп. Таким образом, прежде чем применять TEM, вам
следует создать логическую работоспособную структуру групп. TEM масштабируется
до сети любого размера, от одного офиса до крупной международной корпорации, но
в соответствии с уже созданной инфраструктурой. Служба TEM взаимодействует
только с Domain Controller, поэтому вне зависимости от того, до какого размера
разрастается сеть, реализация TEM остается неизменной, покуда организация
придерживается рекомендованной Microsoft модели доменов. У компаний, которые не
реализовали эту модель, могут возникнуть сложности, и для успешного
развертывания TEM, возможно, понадобится переосмысление всей структуры сети.
TEM использует логику и инфраструктуру существующей сети NT и добавляет
только несколько новых элементов. Термины "Enterprise Manager" и "Trusted
Manager" - единственные новые понятия, вводимые TEM. Статус "Enterprise Manager"
присваивается бюджетам пользователей, отвечающих за развертывание NT. Обычно
список Enterprise Managers полностью совпадает со списком членов глобальной
группы NT Domain Admins, но это не обязательно. Пользовательские бюджеты,
получившие статус "Enterprise Managers", должны иметь полные права
администрирования на NT User Domains, за которые они отвечают.
Статус "Trusted Managers" получают пользователи с ограниченными
административными правами на управление группой пользователей. Для эффективного
распределения административных обязанностей в пределах предприятия с помощью TEM
между сотрудниками, имеющими статусы "Enterprise Managers" и "Trusted Managers"
должна быть определенная степень доверия. Администраторы со статусом "Enterprise
Managers" присваивают Security Access Levels (группы административных прав)
пользователям со статусом "Trusted Managers". Например, статус "Trusted
Managers" могут получить администраторы локальной сети, помощники
администраторов, сотрудники отдела кадров или ответственный за управление
группой пользователей.
Глобальные группы NT являются одним из основных элементов применяемой в TEM
модели управления пользовательскими бюджетами. TEM использует глобальные группы
NT как способ подразделения пользовательских бюджетов в домене на классы.
Поскольку большинство узлов NT уже делает это из функциональных и
организационных соображений, модель управления TEM соответствует глобальным
группам.
Модель управления TEM и поддержка локальных групп NT в виде Trusted Managers
согласуется также с принятой в NT моделью защиты и привилегиями доступа к файлам
и каталогам. На уровне файлов и каталогов пользователи и группы могут получить
права доступа к любому ресурсу. Точно так же пользователям, локальным и
глобальным группам (через локальные) могут предоставляться административные
привилегии на подведомственную глобальную группу.
TEM использует унифицированный доступ Windows NT, т. е. выполняющий
административные задачи пользователь не должен будет повторно входить в систему
с другим типом бюджета.
Для целей аудита TEM заносит информацию в NT Event Viewer. Его можно
сконфигурировать так, чтобы зарегистрировались все или только наиболее важные
административные транзакции, инициированные Trusted Managers. Это дает
возможность администраторам со статусом "Enterprise Managers" контролировать
административную деятельность и получать предупреждения NT при наступлении
определенных событий.
TEM имеет два основных инструмента. Enterprise Managers используют TEM
Administrator для назначения административных прав
глобальной группы бюджетам со статусом "Trusted Managers", а те в свою очередь
используют TEM Client для управления подведомственными им
пользователями. Поскольку Trusted Managers могут обладать различными уровнями
административных привилегий, возможности, недоступные для конкретного Trusted
Manager, отключаются в TEM Client, таким образом ни один из пользователей не в
состоянии изменить что-либо, что он не имеет права менять.
Служба TEM поддерживает кэш данных TEM, в том числе права, переданные
пользователям, имеющим статус "Trusted Managers". Это значительно ускоряет
внесение ими изменений. Когда пользователь с таким статусом вносит с помощью TEM
Client изменения при активизированном кэше (как правило, кэш не блокируется,
чтобы ускорить процесс), обновления в реальном времени не производятся.
Изменения из Client вносятся по следующей схеме.
TEM Client передает запрос на изменения в TEM Service.
TEM Service подтверждает получение запроса и планирует его к выполнению.
TEM Client может внести другие изменения, если требуется.
TEM Service выполняет изменения.
TEM Service регистрирует событие в Event Viewer на том же компьютере, где
работает служба TEM.
Перечисленная выше последовательность событий гарантирует, что TEM Client
будет доступен сразу, как только изменения будут переданы в TEM Service.
Применение кэша службы TEM требует, чтобы компьютер, где работает служба TEM,
имел оперативную память несколько большей емкости, чем минимально необходимая,
но это небольшая плата за существенное увеличение скорости внесения изменений с
помощью TEM по сравнению с User Manager for Domains. Служба TEM Sync
автоматически синхронизирует файлы TEM с NT Service Access Module (SAM) через
регулярные интервалы времени, но Enterprise Manager также имеет возможность в
любой момент обновить кэш службы в целях гарантированного выполнения и передачи
последних изменений в базу данных SAM.
TEM имеет много встроенных функций генерации отчетов, причем некоторые из них
доступны прямо из меню программы. К примеру, вы можете сгенерировать отчет,
показывающий, какими пользователями какой Trusted Manager управляет и какими
группами конкретный Trusted Manager имеет право управлять. Такие отчеты весьма
полезны при выявлении нарушений прав доступа или проблем с привилегиями,
поскольку они позволяют делать это без помощи программного обеспечения генерации
отчетов независимых производителей. Вы также можете экспортировать базу данных
TEM из программы, но, к сожалению, пока только в Access 97. Однако даже это
обеспечивает дополнительные возможности генерации отчетов с помощью
инструментария Access.
Все коммуникации в архитектуре TEM защищены с помощью алгоритмов шифрования
на базе личных и открытых ключей. При передаче потока данных алгоритм шифрования
MD&D с несколькими ключами защищает данные до их отправки по сети.
Шифрование позволяет защититься от хакеров, пытающихся перехватить сетевые
пакеты, и самозванцев, выдающих себя за пользователей со статусами "Enterprise
Managers" или "Trusted Managers". Эти нестандартные алгоритмы разрешены для
экспорта в другие страны, так как они не попадают под экспортные ограничения,
введенные правительством США. Кроме того, MD&D не лицензирует свои схемы
шифрования потребителям или производителям, тем самым поддерживая защиту своего
алгоритма. Архитектура шифрования MD&D, однако, опирается на стандартные
алгоритмы шифрования с открытыми и личными ключами, благодаря чему она позволяет
лицензировать и использовать стандарты шифрования RSA или PGP (Pretty Good
Privacy).
TEM имеет также встроенный механизм восстановления после аварий. TEM Service
автоматически создает ежедневные резервные копии файлов TEM System. По умолчанию
этот файл хранится в разделяемом каталоге TEMCFG, но вы можете изменить его
местонахождение с помощью эксперта конфигурации. MD&D рекомендует направлять
резервные копии файлов TEM System на Backup Domain Controller (BDC) в основном
User Domain - на случай отказа Primary Domain Controller (PDC). Кроме того,
выбранный для хранения резервных копий системных файлов TEM резервный контроллер
должен быть тем же компьютером, что берет на себя выполнение функций PDC в
случае сбоя на последнем. Кроме того, компания рекомендует установить вторую
копию TEM Service с таким же именем на этом же BDC. Данная служба на BDC должна
быть переведена в ручной режим, чтобы ее можно было быстро запустить в случае
выхода из строя PDC.
Если основная TEM Service отключается, резервная продолжит ее работу. После
запуска резервная копия готова получить запрос, как если бы PDC (и основная TEM
Service) по-прежнему находилась в рабочем состоянии. Trusted Enterprise Manager
еще более увеличивает отказоустойчивость, позволяя клиентам выбирать из списка
новую TEM Service на другой машине, если первая служба TEM отключилась. Чтобы
упростить и ускорить изменения этого параметра в большой среде, MD&D
рекомендует устанавливать TEM Client на сетевом диске. Как только первый PDC
заработает опять, эти службы ресинхронизируются посредством тиражирования файлов
с помощью службы Directory Replicator, имеющейся в NT, и работа может
продолжаться в обычном режиме.
ОГРАНИЧЕНИЯ
В любой среде клиент-сервер вопрос, с какого рода накладными расходами
сопряжена поддержка приложения, вполне естественен. Администрирование
пользователей осуществляется с помощью двух компонентов: TEM Client и TEM
Service (разделяемая область TEMCFG на Domain Controller).
Перед началом анализа трафика TEM Client следует понять, насколько часто
используется TEM Client. Он запускается только сотрудниками со статусом "Trusted
Managers" для выполнения ежедневных задач по администрированию пользователей. За
исключением обращений в справочную службу, TEM Client обычно запускается на
удаленных узлах для управления подмножеством пользователей примерно раз в неделю
в расчете на каждого пользователя. К примеру, по оценкам MD&D, в домене,
содержащем 100 пользователей, TEM Client для обслуживания пользовательских
бюджетов будет запускаться 5-10 раз в день.
Программа TEM Client взаимодействует с TEM Service на Domain Controller. В
свою очередь, TEM Service выступает в качестве посредника для запросов от
Trusted Managers из программы TEM Client. В то же время MD&D рекомендует
устанавливать TEM Service на PDC, относящемся к Master User Domain.
Компьютер TEM Host (на котором выполняется служба TEM) обрабатывает все
запросы TEM Client и возвращает ему результат. Каждый раз TEM Client посылает
один запрос объемом 2 Кбайт на подтверждение полномочий, затем ждет ответа от
TEM Service. К примеру, чтобы изменить пароль Kent, запрос вместе с
соответствующими данными посылается в TEM Service. Данный процесс обычно
приводит к генерации данных объемом 2 Кбайт. Ответ от службы - это еще 2 Кбайт
информации. Если опция протоколирования включена, то к каждой транзакции следует
добавить еще 2 Кбайт, итого - 6 Кбайт на каждую транзакцию. Умножим это число на
те самые примерно 10 запросов в день, и для каждого Trusted Manager получим 60
Кбайт. Воздействие такого трафика можно несколько смягчить, если запускать
службу TEM на нескольких Domain Controllers, чтобы распределить обслуживание
этих клиентских запросов между несколькими машинами, а не использовать один PDC
для всей сети.
Enterprise Managers в TEM - это обычно члены группы Domain Admins, но
MD&D требует, чтобы Trusted Managers не являлись членами этой глобальной
группы во всех доменах вашей компании. Утверждение Trusted Managers в этом
качестве может негативно повлиять на защиту TEM, поскольку тем самым
пользователи со статусом "Trusted Managers" могут получить административные
права, не переданные им TEM. Если пользователи NT, которые получили статус
"Trusted Managers", выполняют администрирование бюджетов NT только через службу
TEM, они не смогут обойти контроль за защитой. Точно так же, если служба TEM
отключена, реализованная в NT защита не позволит Trusted Managers управлять
пользователями и группами.
УПРОЩАЯ АДМИНИСТРИРОВАНИЕ
Наиболее важные особенности Trusted Enterprise Manager - это простота
архитектуры и использование существующих элементов и организационной структуры
Windows NT. Кроме того, использование TEM глобальных групп в качестве основных
средств распределения административных обязанностей по управлению пользователями
в дальнейшем позволит любой организации без проблем модернизировать свою систему
до NT 5.0. Поскольку Microsoft рассматривает глобальные группы в качестве
средства организации пользователей в соответствии с выполняемыми ими
бизнес-функциями, модернизация в сетях, где используется Trusted Enterprise
Manager, вряд ли составит проблему. Администраторы, не применяющие TEM,
вынуждены будут довольствоваться менее функциональными инструментальными
средствами и в результате работать с менее эффективной сетью.
Trusted Enterprise Manager - это один из тех инструментов, которые необходимо
иметь в своем арсенале. Как и любой программный продукт, он имеет свои
недостатки, но в целом прекрасно справляется с решением сложных задач и может
оказаться тем самым средством, которое освободит вас от низкоуровневой рутинной
административной работы. Руководители Master Design&Development своевременно
поняли, что Windows NT не содержит эффективных средств управления
пользователями. В результате компания создала быстрое и удобное в работе
решение, которое предоставляет администраторам так необходимые им, прежде
недоступные функции.
Джефф Данкельбергер - Microsoft Certified Systems Engineer и Microsoft
Certified Trainer. Его компания, Intelligent Information Systems, предлагает
консультации по вопросам корпоративных сетей и проводит обучение. С ним можно
связаться по адресу: i-squared@msn.com.
Стив Калман работает в компании Esquire Micro Consultants. С ним можно связаться
по адресу: steve.techauthor.com.
ИТОГ ИСПЫТАНИЙ
Trusted Enterprise Manager 2.0 Master
Design & Development (MD&D) 111 Deerwood Rd., Ste. 200 San
Ramon, CA 94583, 1-510-946-2111, http://www.mddinc.com/.
Цена. Лицензия на 10 пользователей предоставляется бесплатно, но без
технической поддержки; лицензия на 25 пользователей стоит 375 долларов; на 1000
пользователей - 8000 долларов. Крупным организациям предлагаются корпоративные
лицензии. Требования. Служба Trusted Enterprise Manager (TEM) и
инструментальные средства Admin работают только с NT Server или NT Workstation
(3.51 или 4.0). TEM Client работает на компьютерах с Windows NT или Windows 95.
TEM позволяет администраторам сетей на базе Windows NT передавать ограниченные
административные права определенным пользователям сети (Trusted Managers). В
свою очередь, Trusted Managers могут выполнять рутинные административные задачи,
освобождая корпоративных администраторов для других задач
управления. Установка. Это стандартная процедура InstallShield,
используемая большинством программ Windows. Установка заканчивается запуском
эксперта конфигурации. Во время инсталляции никаких подсказок не
предоставляется, но предлагается ряд документов с ее описанием. Процесс
установки предполагает, что пользователь хорошо знаком с основами
NT. Документация. Подробно объясняет каждое из многочисленных полей
эксперта и освещает вопросы настройки и работы. Документация копируется на
компьютер в процессе установки. Гарантия. Не
предоставляется. Удобство использования. Программа предполагает довольно
глубокие знания основ NT. Интерфейс в целом удобен в работе, но, как и другие
инструментальные средства администрирования сети, требует определенных навыков.
Экраны чересчур загромождены. В целом, однако, функциональность и утилиты
программы с лихвой компенсируют незначительные
недостатки. Надежность/совместимость. Хотя приходится несколько
нарастить объем оперативной памяти на тех машинах, где работают службы,
программа стабильна и позволяет значительно увеличить масштабируемость любой
сети NT. Для упрощения работы компонентных коммуникаций программа использует
несколько коммуникационных API. Чтобы составить отчет и изменить бюджеты
пользователей, TEM применяет удаленный вызов процедур, предлагаемый Microsoft, и
вызовы Win32 API. Во всех коммуникациях TEM Client использует последнюю версию
Winsock компании Microsoft. Через этот стандартный интерфейс TEM может
поддерживать клиентов, работающих или с протоколом TCP/IP, или с протоколом
IPX/SPX II. Область применения. Сети NT широко используются в
различных компаниях, где необходимо управлять все большим числом пользователей,
работающих на машинах с NT. Кроме того, все чаще сети NT объединяют несколько
тысяч пользователей, и одних инструментальных средств Microsoft недостаточно для
эффективного управления столь большими сетями. Trusted Enterprise Manager решает
многие задачи управления пользователями, позволяя поэтапно передавать
административные полномочия в сети в соответствии с распределением обязанностей
между сотрудниками организации - данный процесс хорошо отвечает отношениям между
служащими, установившимся во многих современных компаниях. Тестовая
среда. Один сервер Windows NT Server 4.0, два >настольных компьютера и
один ноутбук - все с операционной системой Windows NT Workstation 4.0. NT Server
был настроен как Primary Domain Controller (PDC) в домене, а остальные системы
являлись членами домена. Компьютеры с процессорами Pentium были оснащены
оперативной памятью емкостью 32 Мбайт и жесткими дисками объемом 1 Гбайт. Сеть
Ethernet 10BaseT с сетевыми адаптерами Standard Microsystems.
|