Рабочие группы и домены. Домены и рабочие группы — что это такое Отличия домена от рабочей группы
Мы уже неоднократно упоминали рабочие группы и домены. Давайте разберем, чем принципиально отличаются эти две модели сетевого взаимодействия в сетях Microsoft.
Рабочая группа – это логическая группировка компьютеров, объединенных общим именем для облегчения навигации в пределах сети. Принципиально важно, что каждый компьютер в рабочей группе равноправен (т. е. сеть получается одноранговой) и поддерживает собственную локальную базу данных учетных записей пользователей (Security Accounts Manager, SAM).
Отсюда вытекает основная проблема, которая не позволяет использовать рабочие группы в крупных корпоративных сетях. Действительно, если вспомнить, что вход в защищенную систему является обязательным, а непосредственный и сетевой входы принципиально различаются (непосредственный контролируется локальным компьютером, а сетевой – удаленным), то, например, пользователю, во-шедшему на компьютер Comp1 под локальной учетной записью User1, будет отказано в доступе к принтеру, установленному на компьютере Comp2, поскольку в его локальной базе нет пользователя с именем User1 (рис. 9.1). Таким образом, для обеспечения «прозрачного» взаимодействия в рабочей группе нужно создавать одинаковые учетные записи с одинаковыми паролями на всех компьютерах, где работают пользователи и расположены ресурсы.
В ОС Windows XP Professional для рабочих групп предусмотрен специальный режим: «Использовать простой общий доступ к файлам», позволяющий обойти указанную проблему (данный режим включен по умолчанию). В этом случае подключение к любому сетевому компьютеру осуществляется от имени его локальной гостевой учетной записи, которая включается с помощью Мастера настройки сети (по умолчанию она отключена) и для которой настраивается нужный уровень доступа.
Для ОС Windows XP Home Edition этот способ се-тевого взаимодействия является основным и отключить его нельзя (поэтому компьютеры с данной ОС невозможно сделать участниками домена).
Понятно, что управлять учетными записями и ресурсами в рабочей группе можно только при небольшом количестве компьютеров и пользователей. В крупных сетях следует применять домены.
Домен - это логическая группировка компьютеров, объединенных общей базой данных пользователей и компьютеров, политикой безопасности и управления.
Домены создаются на основе сетевых ОС Windows, а база данных, как мы уже говорили, поддерживается контроллерами домена. Важным в доменах является то, что все компьютеры здесь не сами осуществляют проверку пользователей при входе, а передоверяют эту процедуру контроллерам (рис. 9.2). Такая организация доступа позволяет легко осуществить однократную проверку пользователя при входе в сеть, а затем уже без проверки предоставлять ему доступ к ресурсам всех компьютеров домена.
Рабочая группа - это логическая группировка компьютеров, объединенных общим именем для облегченикомпьютер я навигации в пределах сети.
Принципиально важно, что каждый в рабочей группе равноправен (т. е. сеть получается одноранговой) и поддерживает собственную локальную базу данных учетных записей пользователей (Security Accounts Manager, SAM).
Отсюда вытекает основная проблема, которая не позволяет использовать рабочие группы в крупных корпоративных сетях.
Действительно, вход в защищенную систему является обязательным, а непосредственный и сетевой входы принципиально различаются (непосредственный контролируется локальным компьютером, а сетевой - удаленным), то, например, пользователю, вошедшему на компьютер Comp1 под локальной учетной записью User1, будет отказано в доступе к принтеру, установленному на компьютере Comp2, поскольку в его локальной базе нет пользователя с именем Userl (рис 1).
Рис. 1 Рабочие группы и домены
Таким образом, для обеспечения «прозрачного» взаимодействия в рабочей группе нужно создавать одинаковые учетные записи с одинаковыми паролями на всех компьютерах, где работают пользователи и расположены ресурсы.
В ОС Windows для рабочих групп предусмотрен специальный режим: «Использовать простой общий доступ к файлам», позволяющий обойти указанную проблему (данный режим включен по умолчанию).
В этом случае подключение к любому сетевому компьютеру осуществляется от имени его локальной гостевой учетной записи, которая включается с помощью Мастера настройки сети (по умолчанию она отключена) и для которой настраивается нужный уровень доступа.
Для ОС Windows версии Home Edition этот способ сетевого взаимодействия является основным и отключить его нельзя (поэтому компьютеры с данной ОС невозможно сделать участниками домена).
Понятно, что управлять учетными записями и ресурсами в рабочей группе можно только при небольшом количестве компьютеров и пользователей.
В крупных сетях следует применять домены.
Домен
- это логическая группировка компьютеров, объединенных общей базой данных пользователей и компьютеров, политикой безопасности и управления.
Домены создаются на основе сетевых ОС Windows, а база данных, поддерживается контроллерами домена.
Важным в доменах является то, что все компьютеры здесь не сами осуществляют проверку пользователей при входе, а передоверяют эту процедуру контроллерам.
Такая организация доступа позволяет легко осуществить однократную проверку пользователя при входе в сеть, а затем уже без проверки предоставлять ему доступ к ресурсам всех компьютеров домена.
Рис. 2 Домены
Основные угрозы при работе в сети
Угроз, поджидающих пользователей при подключении компьютера к сети, довольно много:
- «взлом» компьютера обычно производится с целью захвата контроля над операционной системой и получения доступа к данным;
- повреждение системы чаще всего организуется, чтобы нарушить работоспособность (вызвать отказ в обслуживании - «Denial of Service») каких-либо сервисов или компьютера (чаще сервера) целиком, а иногда - даже всей сетевой инфраструктуры организации;
Основные меры безопасности при работе в сети
Их можно сформулировать в виде следующего набора правил:
- отключайте компьютер, когда вы им не пользуетесь. Как любят говорить эксперты по компьютерной безопасности, «самым защищенным является выключенный компьютер, хранящийся в банковском сейфе»;
- своевременно обновляйте операционную систему. В любой ОС периодически обнаруживаются так называемые «уязвимости», снижающие защищенность вашего компьютера. Наличие уязвимостей нужно внимательно отслеживать (в том числе читая «компьютерную» прессу или информацию в Интернете), чтобы вовремя предпринимать меры для их устранения.
- кража данных из-за неправильно установленных прав доступа, при передаче данных или «взломе» системы позволяет получить доступ к защищаемой, часто - конфиденциальной информации со всеми вытекающими отсюда неприятными для владельца этих данных последствиями;
- уничтожение данных имеет целью нарушить или даже парализовать работу систем, компьютеров, серверов или всей организации.
- используйте ограниченный набор хорошо проверенных приложений, не устанавливайте сами и не разрешайте другим устанавливать на ваш компьютер программы, взятые из не¬проверенных источников (особенно из Интернета). Если приложение больше не нужно, удалите его;
- без необходимости не предоставляйте ресурсы своего компьютера в общий доступ. Если же это все-таки потребовалось, обязательно настройте минимально необходимый уровень доступа к ресурсу только для зарегистрированных учетных записей;
- установите (или включите) на компьютере персональный межсетевой экран (брандмауэр). Если речь идет о корпоративных сетях, установите брандмауэры как на маршрутизаторах, соединяющих вашу локальную сеть с Интернетом, так и на всех компьютерах сети;
- даже если вы единственный владелец компьютера, для обычной работы применяйте пользовательскую учетную запись: в этом случае повреждение системы, например, при заражении вирусом, будет неизмеримо меньше, чем если бы вы работали с правами администратора. Для всех учетных записей, особенно административных, установите и запомните сложные пароли.
Сложным считается пароль, содержащий случайную комбинацию букв, цифр и специальных символов, например jxglrg$N. Разумеется, пароль не должен совпадать с именем вашей учетной записи. В операционных системах Windows сложный пароль можно сгенерировать автоматически, используя команду NET USER с ключом /RANDOM, например:
NET USER Имя_Пользователя /RANDOM
- при работе с электронной почтой никогда сразу не открывайте вложения, особенно полученные от неизвестных отправителей. Сохраните вложение на диск, проверьте его антивирусной программой и только затем от-кройте. Если есть такая возможность, включите в вашей почтовой программе защиту от потенциально опасного содержимого и отключите поддержку HTML;
- при работе с веб-сайтами соблюдайте меры разумной предосторожности: старайтесь избегать регистрации, не передавайте никому персональные сведения о себе и внимательно работайте с Интернет-магазинами и другими службами, где применяются онлайновые способы оплаты с помощью кредитных карт или систем типа WebMoney, Яндекс-Деньги и т. д.
- Для организации работы в сетях Microsoft применяются две модели: рабочие группы, используемые при небольшом числе компьютеров, и домены, позволяющие легко объединять большое число пользователей, рабочих станций и серверов.
- Все сетевые ОС и хранящиеся на компьютерах данные должны быть надежно защищены, причем желательно, чтобы применяемая система безопасности была многоуровневой.
Все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой.
На каждом компьютере находится несколько учетных записей пользователя. Чтобы войти в систему любого компьютера, принадлежащего к рабочей группе, необходимо иметь на этом компьютере учетную запись.
В составе рабочей группы обычно насчитывается не больше двадцати компьютеров.
Рабочая группа не защищена паролем.
Все компьютеры должны находиться в одной локальной сети или подсети.
В домашней группе:
Компьютеры в домашней сети должны принадлежать рабочей группе, но они также могут состоять в домашней группе. С помощью домашней группы предоставлять доступ к рисункам, музыке, видео, документам и принтерам другим пользователям намного проще.
Домашняя группа защищена паролем, но он вводится только один раз при добавлении компьютера в домашнюю группу.
В домене:
Один или несколько компьютеров являются серверами. Администраторы сети используют серверы для контроля безопасности и разрешений для всех компьютеров домена. Это позволяет легко изменять настройки, так как изменения автоматически производятся для всех компьютеров. Пользователи домена должны указывать пароль или другие учетные данные при каждом доступе к домену.
Если пользователь имеет учетную запись в домене, он может войти в систему на любом компьютере. Для этого не требуется иметь учетную запись на самом компьютере.
Права изменения параметров компьютера могут быть ограничены, так как администраторы сети хотят быть уверены в единообразии настроек компьютеров.
В домене могут быть тысячи компьютеров.
Компьютеры могут принадлежать к различным локальным сетям.
В структуре компьютерных сетей могут присутствовать домены и рабочие группы. Что они собой представляют?
Что представляет собой домен?
Под доменом принято понимать достаточно большую группу компьютеров, объединенных в одну ЛВС или посредством нескольких связанных ЛВС, а также имеющих доступ к широкому спектру различных ресурсов и сетевых интерфейсов (позволяющих организовывать обмен файлами, потоками, массивами, реализовывать совместный доступ к ним).
Основные особенности доменов следующие:
- в структуре доменов предусмотрены выделенные серверы, выполняющие основные вычислительные функции и предназначенные для управления ресурсами сети;
- управление настройками доступа компьютеров в те или иные участки сети, входящие в домен, может осуществляться централизованно - с помощью серверов;
- пользователь, имеющий логин, который привязан к домену (или права доступа), может подключаться к сети с любого ПК, взаимодействующего с соответствующим доменом.
В составе домена может быть огромное количество компьютеров - обычное дело, если их тысячи. При этом отдельные их группы могут относиться к разным ЛВС, и, несмотря на это, домен будет функциональным.
Серверы, которые являются ведущими узлами доменов, как правило, существенно более производительны, чем средний ПК, подключаемый к домену. На них может быть проинсталлирована любая из тех операционных систем, которые оптимальны для решения конкретных задач, поставленных владельцем домена, - и она может существенно отличаться от той, что установлена на ПК, не являющихся серверами.
При использовании стандартов VPN и аналогичных им к доменам, формируемым локально, могут подключаться пользователи фактически из любых других сетей, которые физически имеют доступ к соответствующим ресурсам. По этому принципу работает интернет - когда большое количество ПК, размещенных в разных странах мира, может, подключившись к конкретному домену, получать различные ресурсы от него.
Что представляет собой рабочая группа?
Под рабочей группой принято понимать относительно небольшую по масштабам компьютерную сеть, создаваемую главным образом в целях обеспечения совместного доступа входящих в нее ПК к различным файлам (однако при этом сохраняется принципиальная возможность и для обмена соответствующими файлами).
Для рабочих групп характерны следующие признаки:
- все ПК, включенные в рабочую группу, объединены в рамках чаще всего одноранговой сети (в ней нет выделенных серверов, а также, как правило, отсутствует возможность с помощью одного ПК управлять ключевыми ресурсами других компьютеров или сети в целом);
- доступ в соответствующую сеть возможен обычно только при условии, что операционная система ПК будет загружена с определенного логина (учетной записи пользователя), для которого данный доступ открыт и настроен.
Размер рабочей группы обычно не превышает нескольких десятков ПК. Важно, чтобы все они были объединены в рамках общей ЛВС или же подсети - дабы соответствующая инфраструктура была в достаточной мере устойчивой.
Сравнение
Главное отличие домена от рабочей группы заключается в том, каким образом в сетевой инфраструктуре первого и второго типа реализуется управление ресурсами. Так, для домашних сетей, где не предполагается особенно интенсивного обмена данными, характерно использование рабочих групп. В корпоративных (для которых подобные задачи свойственны) задействуются, как правило, домены. Взаимодействие компьютеров в масштабных сетях - таких как интернет - осуществляется практически всегда с использованием доменов.
Рабочую группу, как правило, сформировать намного проще, чем домен. Интерфейсы современных операционных систем позволяют решить данную задачу даже неопытному пользователю. Все, что нужно сделать, - соединить ПК физически с помощью кабеля или коммутатора (как вариант - в беспроводном режиме, через Wi-Fi), а также осуществить настройки сетевой инфраструктуры с помощью встроенных программных средств операционной системы.
Создание домена - обычно более сложная процедура. Она предполагает, прежде всего, наличие серверов с достаточной производительностью, их детальную настройку, возможно - инсталляцию подходящей сетевой операционной системы. Нужно будет также реализовать в инфраструктуре домена функцию проверки подлинности прав тех пользователей, которые подключаются к сети.
Безопасность компьютеров, входящих в рабочую группу, как правило, реализуется посредством установки на каждом из них антивирусного ПО и иных вспомогательных программ. В случае с доменом безопасность ПК может быть реализована также посредством инсталляции внутрисетевых интерфейсов, позволяющих осуществлять мониторинг различных угроз и не допускать их распространения по сети.
Домены обычно существенно проще масштабировать, обеспечивая подключение к ним все большего количества новых пользователей (в том числе находящихся за пределами локальной сети, в которой расположен основной сервер домена, как вариант - через интернет). Все, что нужно, - сообщить новым пользователям сведения, необходимые для авторизации в домене, или настроить его сервера так, чтобы они распознавали и подключали те или иные группы пользователей автоматически.
В свою очередь, добавление нового пользователя в рабочую группу - как правило, более трудоемкая процедура. Может потребоваться настраивать каждый из подключающихся компьютеров отдельно, определять права доступа для соответствующих ПК, убеждаться в эффективности антивирусного и иного вспомогательного ПО, которое установлено на них.
Определив, в чем разница между доменом и рабочей группой, зафиксируем выводы в небольшой таблице.
Таблица
Домен | Рабочая группа |
Что общего между ними? | |
Домены и рабочие группы предназначены для обеспечения связи между разными ПК в целях обмена данными, а также реализации совместного доступа к ним | |
В чем разница между ними? | |
Является масштабной компьютерной сетью (или группой из взаимодействующих ЛВС), управляемой централизованно с помощью серверов | Является, как правило, относительно небольшой по количеству подключенных ПК одноранговой ЛВС без серверов |
Позволяет осуществить менее трудоемкое, более оперативное масштабирование инфраструктуры (благодаря чему становится возможным формировать сети в мировом масштабе) | Предполагает более медленное масштабирование - по причине того, что подключение каждого нового ПК к сети, как правило, требует его детальной настройки |
Позволяет реализовать внутрисетевые решения, направленные на повышение безопасности обмена данными между ПК внутри домена | Предполагает инсталляцию на каждом ПК рабочей группы программ, необходимых для обеспечения безопасного обмена данными |
Пользователь, имеющий нужные идентификационные данные или доступ, может зайти в домен с любого ПК | Пользователь может подключиться к рабочей группе, как правило, только с определенного ПК под конкретной учетной записью |
На небольших предприятиях, где количество компьютеров — до 20 штук компьютеры обычно соединяют в сеть
для совместного доступа к файлам, папкам, принтерам и интернету
при помощи рабочих групп
. Домашние пользователи тоже сталкиваются с ситуацией, когда нужно обмениваться файлами со вторым-третьим компьютером (ноутбуком), совместно играть в игры, распечатывать на общем принтере. В данной статье изложена пошаговая инструкция того, как ввести новый компьютер под управлением Windows 7 и Windows Vista в состав такой рабочей группы либо создать такую группу «с нуля».
Откройте значок «Система» в Панели управления (Пуск — Панель управления — Система и безопасность — Система)
Нажмите кнопку «Изменить»
Имя компьютера должно быть уникальным в составе сети, коротким, написано английскими буквами . Название рабочей группы должно быть одинаковым на всех компьютерах данной рабочей группы, коротким и тоже английскими буквами .
Можно добавить какое-либо описание к имени компьютера (необязательно) и нажать кнопку «Закрыть»
Для того, чтобы изменения вступили в силу необходимо перезагрузить компьютер
Прописать IP- адреса
В случае, если параметры IP в Вашей сети не назначаются автоматически, их нужно прописать в ручную (уточните необходимость в данном пункте у администратора Вашей рабочей группы! ). Для этого необходимо сделать следующие шаги:
Откройте значок «Просмотр сетевых компьютеров и устройств» в Панели управления (Пуск — Панель управления — Сеть и Интернет — Просмотр сетевых компьютеров и устройств)
На сетевом адаптере, при помощи которого Вы подключены к сети нажимаем правой кнопкой мыши и выбираем «Свойства»
Выбираем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и нажимаем кнопку «Свойства»
Прописываем IP-адрес (1). В нём первые три значения одинаковые у всех участников рабочей группы. Последняя цифра (2) — уникальная у каждого компьютера. Маска подсети, Основной шлюз (4) Предпочитаемый DNS-сервер (4) — одинаковые на всех компьютерах.
Общие значения для всей рабочей группы уточните у администратора, либо посмотрите на компьютере, который уже находится в составе данной группы. Основной шлюз и Предпочитаемый DNS-сервер необходимы для совместного доступа в Интернет. Если такого нет — тогда эти поля не заполняются.