main1.htm

Microsoft Management Console

В распоряжении администратора Windows NT предыдущих версий есть
ряд инструментов для управляющих функций: создания учетных запи-
сей пользователей и групп и управления ими, управления сетевыми ре-
сурсами компьютера и контроля за их использованием, управления
дисковой подсистемой, мониторинга системы и т. п. Сами по себе ин-
струменты достаточно удобны и охватывают всю необходимую функ-
циональность. однако каждый из них представляет собой отдельное
приложение со своим механизмом работы. Кроме того, приходится за-
поминать не только, какое приложение за что ответственно (напри-
мер, надо знать, что User Manager for Domains позволяет не только мани-
пулировать учетными записями, но и устанавливать доменную полити-
ку, распределять отдельные привилегии пользователей, управлять по-
литикой аудита в системе), но и то, в каком месте его следует искать.
Часть административных приложений вынесена в Панель управле-
ния, часть — сгруппирована в меню Administrative tools.

Особенно тяжело начинающим администраторам. Они не только теря-
ются, не обнаружив в предполагаемом месте нужную функцию, но и,
порой, просто не знают, какой параметр является обязательным, а ка-
кой — можно опустить. Лишь в версии 4 появилась программа-мастер
администрирования, которая позволяет собрать многие инструменты
воедино и предоставляет пошаговый способ администрирования, ис-
ключающий пропуск необходимых параметров.

Существенный недостаток предыдущих версий — ограниченная воз-
можность удаленного администрирования системы. Администратор
привязан либо к рабочей станции на базе Windows NT, либо (с выхо-
дом дополнительного пакета) — на базе Windows 95. Об администри-
ровании корпоративной сети с любой другой платформы или через
Интернет не может быть и речи. Правда, появившиеся дополнительно
средства администрирования по протоколу HTTP частично решают эту
проблему, но остается открытым вопрос безопасности.

Есть и еще одна проблема. Представьте себе большую корпоративную
сеть, где имеется головное подразделение и несколько филиалов, тес-
но связанных между собой. Администраторы головного подразделения
не хотели бы предоставлять администраторам филиалов всю полноту
власти и весь набор инструментов. Понятно, что сделать это в принци-
пе возможно, но какими средствами? Приходится детализировать пол-
номочия администраторов, проводить обучение, объяснять, что они в
праве делать, а что нет, осуществлять постоянный мониторинг их дея-
тельности.

Все эти недостатки сформировали представление об идеальном инст-
рументарии управления. Перечислим его характеристики.

1. Все задачи по управлению системой должны выполняться в единой
среде, где используются однотипные приемы и единый интерфейс
с пользователем. Среда должна позволять исполнять несколько за-
дач одновременно.

2. Набор задач администрирования должен быть настраиваемым и рас-
ширяться или сокращаться по желанию администратора.

3. Доступ к инструментарию должен выполняться как на локальной
машине, так и удаленно, с самых разнообразных клиентов.

4. Должна существовать простая возможность передавать инструмен-
ты от одного администратора другому с минимальными затратами.

5. Необходим API, позволяющий сторонним фирмам создавать анало-
гичный инструментарий для своих приложений.

В результате детального анализа перечисленных требований появился
новый универсальный продукт — консоль управления ММС (Microsoft
Management Console). Первые бета-версии этой консоли предназначе-
ны были для работы в Windows NT 4.0, но лишь в версии 5 операцион-
ной системы все возможности консоли раскрыты полностью.

Что такое ММС

Консоль управления Microsoft Management Console является общей рас-
ширяемой рабочей средой для управляющих приложений. Сама по себе
консоль управления не обеспечивает никаких управляющих функций,
а лишь является средой для слепков (snap-ins). Слепки — это управляю-
щие компоненты, интегрированные в одном месте — ММС. Один сле-

пок обеспечивает единицу управления в системе, а набор слепков —
управляющий инструмент. Слепки позволяют администраторам расши-
рять и настраивать консоль для решения своих специфических задач.

ММС представляет собой обычное многооконное MDI-приложение
широко использующее технологии Интернета. ММС не подменяет со-
бой такие существующие приложения, как HP Open View или IBM Tivoli
Management Environment. Наоборот, она позволяет расширить их воз-
можности за счет взаимодействия или интегрировать их в консоль в
виде слспкон. Например, управляющее приложение может сгенериро-
вать сообщение о каком-либо событии в системе и послать сообщение
в соответствующий слепок. Администратор обнаружит это сообщение
в окне ММС и предпримет соответствующие действия,

Слепки могут не только самостоятельно исполнять управляклцие фун-
кции, но и за счет развитых программных интерфейсов выступать в
качестве элементов интеграции различных приложений. Консоль ста-
новится при этом средой, где исполняются приложения.

Д7я ММС не имеет значения, как именно слепки взаимодействуют
с приложениями

Одновременно в системе можно применять и ММС, и управляющие
программы сторонних фирм. Последние используются либо отдельно.
либо в ММС для них создаются ярлыки,

Когда в консоль загружен один или несколько слепков, то внешне она
становится похожа на многооконную версию Windows NT Explorer. Но
прежде, чем рассмотреть интерфейс с пользователем, остановимся на
том, как же ММС работает.

Архитектура ММС

Модель консоли управления можно представить, как на рисунке.

Информация из файла MSC используется диспетчером апепков для
загрузки необходимых слепков и формирования пользовательского
интерфейса

Основу консоли управления составляет диспетчер слепков. Он позво-
ляет администратору добавлять, исключать или модифицировать слеп-
ки: а также указывать, будет ли данный слепок работать автономно, или
необходимы дополнительные расширения.

Свои настройки диспетчер слепков хранит в файлах с расширением .MSC.
Администратор имеет возможность, загрузив несколько слепков, вы-
полнить их модификацию и, тем самым, создать нужный инструмент
управления. Новый инструмент сохраняется в файле и может быть ис-
пользован в дальнейшем. Зачастую, при работе с офисными прило-
жениями сохраненный файл называют документом. По аналогии ин-
струменты, сохраняемые в виде файлов с расширением .MSC, также
называют документами.

Изображенные на рисунке «Монитор маршрутизации» и «Журнал со-
бытий» являются подгруженными слепками, с которыми взаимодей-
ствует пользователь.

После загрузки документа инициализируются один или несколько
слепков (так, как это изображено на следующем рисунке).

Формирование пользовательского интерфейса при загрузке слепков:

1 — ММС открывает сохраненный документ;

2 — ММС вызывает слепок (слепки):

3 — ММС и слепок формируют пользовательский интерфейс.

Слепки объединяются в пространство имен — упорядоченный набор
узлов, отображаемых в окне обзорного просмотра в виде древовидной
структуры, внешне похожей на дерево файлов и каталогов. Эта струк-
тура отражает все, чем может управлять загруженный инструмент: ком-
пьютеры, пользователи и группы, объекты, задания и т. п.

Окно обзорного просмотра при загруженном слепке Internet
Information Sender

Подобно тому, как в Explorer можно открыть несколько окон и про-
сматривать в каждом из них свой каталог на диске, так и в консоли
управления можно открывать дочерние окна для каждого из узлов в
дереве пространства имен. Если модифицировать или изменить данные
в одном из окон, то это изменение отобразится и во всех дочерних
окнах, где виден соответствующий элемент дерева.

Слепки

Счепки (Snap-Ins)' представляют собой минимальные единицы управ-
ления, набор нескольких слепков — инструмент консоли управления.
Технически слепок — это OLE Inproc сервер, исполняемый в контексте
ММС. Слепок может вызывать другие поддерживаемые в системе эле-
менты управления и динамические библиотеки.

Администратор может загрузить несколько слепков и смонтировать из
них необходимый для работы инструмент. Затем этот инструмент либо

Слово -слепок» не является дословным переводом «snap-in». Вообще-то, такой
перевод и невозможен, так как «snap-in» образовано из слова «snap» («сни-
мок») и окончания «in», имеющего здесь тот же смысл, что и в слове Add-In в
других приложениях, а именно «нечто, добавляемое к основной программе».
Получаемый таким образом дословный перевод — «добавляемый снимок» —
в данном контексте лишен всякого смысла. С другой стороны, этот термин
обозначает как бы срез или слепок определенной функции приложения или
системы. Загрузив его, Вы получаете возможность не просто увидеть состоя-
ние системы, но и «повернуть рычажки» таким образом, чтобы управлять па-
раметрами. Вы как бы берете некую форму, являющуюся слепком, и вставляе-
те в нее универсальный инструмент управления, который подобно расплав-
ленному воску, моментально принимает предложенную форму и начинает
соответствовать задаче, которую Вы определили, снимая слепок.

сохраняют в файле, либо пересылают по электронной почте другому
администратору. Тому не придется даже задумываться, все ли необхо-
димые для работы этого инструмента компоненты есть на его компью-
тере. В случае ОТСУТСТВИЯ того или иного компонента, ММС обратится
к службе каталогов Active Directory для поиска недостающего.

Такая гибкость в создании и распространении инструментов позво-
ляет легко распределять конкретные административные обязанности
между различными специалистами. Комбинацией наборов слепков в
инструментах составляются специализированные программы управления.
например, печатью, схемой Active Directory, аудитом, интрасетью и т. д.

Слепки могут работать в двух режимах: самостоятельном и расшире-
ния. Эти режимы прозрачны для пользователя, и о них знает только
диспетчер слепков. Самостоятельные слепки обладают всей функци-
ональностью. необходимой для выполнения какой-либо задачи. При
работе они не могут использовать никакие другие дополнительные
слепки. Саечки-расширения обеспечивают функциональность только
при вызове их родительским слепком. Каждый такой слепок объявляет
себя подчиненным узла определенного типа и всякий раз, когда такой
узел встречается, консоль автоматически подгр\-жает необходимые рас-
ширения.

Многие слепки могут быть и самостоятельными, и расширяющими.
Например, слепок ведения системного журнала будет подгружаться
консолью всякий раз. когда она будет встречать в пространстве имен
объект управления компьютером. При этом слепок будет отображать
системный журнал выбранного компьютера. Но, с другой стороны, тот
же самый слепок можно загрузить в консоль и вручную указать имя
компьютера.

Функциональные возможности слепков хорошо структурированы и
используют строго определенные механизмы расширения консоли
управления. Перечислим эти механизмы.

• Перечисление имен — принимает участие в перечислении эле-
ментов внутри контейнера. Способ перечисления может изменяться
в зависимости от информации, передаваемой при открытии слепка.

• Расширение контекстного меню — добавляет элементы в кон-
текстное меню узла или объекта. Для одного и того же узла различ-
ные слепки выполняют свое собственное расширение этой функции.

• Расширение меню New — добавляет элементы в меню New узла
или объекта. Для одного и того же узла различные слепки выполня-
ют свое собственное расширение этой функции.

• Расширение меню Tasks — добавляет элементы в меню Tasks узла
или объекта. Для одного и того же узла различные слепки выполня-
ют свое собственное расширение этой функции.

• Расширения панели инструментов и кнопок на ней — добав-
ляют целую панель инструментов или кнопку, если панель уже су-

щестнует. Для одного и 'гого же узла различные слепки выполняют
спое собственное расширение этой функции.

• Расширение страницы свойств — добавляет новый лист свойств
на страницу свойств. Для одного и того же узла различные слепки
выполняют свое собственное расширение этой функции. Листы
свойств имеют фиксированный размер.

• Расширение меню View — добавляет элементы и меню View для
первичного слепка.

• Организация последовательностей в программах-мастерах —

добавляет одну или несколько страниц в программу-мастер. Для
одного и того же узла различные слепки выполняют свое собствен-
ное расширение этой функции.

• Расширение справочной системы — базируется на справочной
системе HTML.

Работа с ММС

Для доступа к консоли управления ММС можно использовать либо ко-
манды меню Administrative tools, либо загрузить консоль непосред-
ственно, а затем подгружать в нес требуемые слепки. В первом случае в
консоли будет сразу отображен загруженный инструмент, например.
управление Active Directory, управление DNS, управление системными
сервисами и т. п. Во втором — на экране появится только пустое до-
чернее окно ММС. Однако как в первом, так и во втором варианте Вы
можете подгрузить дополнительные слепки.

Добавление самостоятельного слепка в консоль ММС

Для загрузки слепка в меню Console выберите команду Add/Remove
snap-in. Появится диалоговое окно со списком уже загруженных само-
стоятельных слепков. Для добавления нового слепка щелкните кнопку
Add и выберите из списка нужный элемент.

После добавления слепка появится окно с панелью команд, окном об-
зора и окном результатов. На панели команд находятся кнопки и меню.
в окне обзора показано дерево пространства имен, а в окне результа-
тов — вид. соответствующий выбранному типу объекта в дереве про-
странства имен.

Окно Microsoft Management Console

На рисунке показано, что в качестве слепка был загружен стандартный
объект Active Movie Control. Знакомое представление этого объекта Вы
видите в окне результатов.

Подгружая новый слепок, можно выяснить, какие слепки-расширения
пригодны для изменения функциональности. Щелкнув вкладку Exten-
sions, Вы можете просмотреть, какому из слепков доступны расшире-
ния. а также указать, какие именно.

Просмотр слепков-расширений

Средства управления компьютером

Итак, мы рассмотрели устройство и назначение консоли управления
ММС. Обратимся теперь к ее практическому использованию в системе.
Слепки консоли управления уже разработаны или еще разрабатывают-
ся. как для управления отдельными сервисами и приложениями, так и
для замещения тех приложений, которые Вы привыкли искать в окне
панели управления Control Panel. Изначально панель управления была
удобным инструментом, где сведены воедино управляющие утилиты
Windows.

По мере развития этой операционной системы, и в особенности с по-
явлением Windows NT, стало ясно. что далеко нс все средства управле-
ния надо выносить в Control Panel и, тем самым, делать доступными для
любого, даже неподготовленного пользователя. В результате, в Windows
NT 4.0 часть приложений панели управления достаточно сложна для
пользователей по сравнению с такими, например, как установка даты
и времени, национальных параметров и т. п. Часть утилит, носящих
такой же «управляющий^ характер, вообще вынесена за пределы пане-
ли. Все это вызывало некоторую растерянность и неуверенность начи-
нающих пользователей. Поэтому в версии Windows NT 5.0 решено оста-
вить в панели управления только самые простые для использования УТИ-
ЛИТЫ. а остальные реализовать в виде слепков консоли управления.

Окно Microsoft Management Console, слепок Computer Management

Инструментом ММС, объединяющим в себе максимальное количество
управляющих функций стал слепок Computer management. Он позво-

ляст управлять системными сервисами, серверными ресурсами (совме-
стно используемыми сетевыми ресурсами, подключенными к серверу
пользователями и открытыми на нем файлами), устройствами систе-
мы, просматривать события, занесенные в журналы, вести мониторинг
событий. По сути, этот инструмент состоит из нескольких слепков,
каждый из которых доступен отдельно.

Мы будем рассматривать элементы управления в том порядке, в кото-
ром они представлены в дереве консоли управления.

Управление системными сервисами

Читатели, работающие с предыдущими версиями Windows NT, помнят
в панели управления приложение Services. С его помощью можно про-
смотреть все установленные сервисы в системе, узнать их статус, а так-
же определить учетную запись, от имени которой они запускаются, и
порядок запуска. Данное приложение, по сути, инструмент админист-
ратора. и вынос его в Control Panel нс вполне обоснован.

В Windows NT 5.0 это приложение реализовано в виде слепка ММС и
предоставляет ряд дополнительных возможностей.

Если выбрать в дереве System Tools ветвь Services, в правом окне ММС
появляется список сервисов в системе, мало чем отличающийся от того,
который можно получить с помощью Control Panel.

Окно Microsoft Management Console, слепок Computer Manrigeinent,
wineh Services

KC/III выбрить и списке один из ссрвисов. 'го появится диалоговое окно
свойств сервиса с вкладками.

Диалоговое окно Service Properties, вк^чидка General

Первая вкладка — General, где приведены общие параметры сервиса,
хорошо знакомые по предыдущим версиям, а именно:

• имя сервиса;

• отображаемое имя сервиса Display name (его Вы можете изменять):

• описание Description сервиса, служащее для краткого пояснения
при назначении нестандартных сервисов;

• путь к файлу — источнику сервиса (иногда один файл может быть
источником многих сервисов);

• группа текущего состояния Current Status, содержащая четыре
кнопки: Start (запуск), Stop (останов), Pause (приостановка) и Re-
sume (возобновление), — а также строку начальных параметров
сервиса:

• группа Startup, где Вы можете указать, как сервис будет запускаться:

— вручную;

— автоматически;

— при загрузке операционной системы.
Следующая вкладка этого диалогового окна — Log On.

Диалоговое окно Service Properties, вкладка Log On

И среди элементов этой вкладки нет ничего принципиально нового, по
сравнению с предыдущей версией.

• На этой вкладке Вам следует указать учетную запись, от имени кото-
рой сервис будет исполняться. При этом можно запускать его либо
от имени системы (System account), либо от имени любой иной
учетной записи, обладающей привилегией (Log On As a service) —

в этом случае надо указать пароль учетной записи.

• Вы также можете выбрать аппаратный профиль, разрешающий или
запрещающий исполнение того или иного сервиса. По умолчанию
сервисам разрешено исполнение всех профилей. Если это Вам не
подходит, то запретите исполнение отдельных профилей. Например,
Ваш портативный компьютер имеет станцию расширения, в кото-
рой установлены SCSI-адаптер, жесткий диск и сетевая плата. Когда
Вы путешествуете, то станция расширения остается на рабочем ме-
сте, и Вы продолжаете использовать только встроенный жесткий
диск (не-SCSI), а вместо сетевых возможностей — удаленный доступ.
В таком случае в режиме работы со станцией расширения Вам сле-
дует разрешить работу сетевых сервисов и запретить работу сер-
виса удаленного доступа. При автономной работе все должно быть
наоборот — сетевые сервисы запрещены, а удаленный доступ раз-
решен.

Третья вкладка — Recovery — предоставляет возможности работы с
сервисами, отсутствовавшие в прежней версии.

Диалоговое окно Service Properties, вкладка Recovery

В этом диалоговом окне Вы можете указать системе, как поступить в
том случае, если сервис по какой-либо причине не запустился или его
исполнение прервалось.

Можно использовать до трех попыток восстановления работы сервиса.
Для каждой из попыток можно указать требуемое деиствие:

• перезапустить сервис (Restart the Service).

• запустить исполняемый 4'>айл {Run a File).

• перезагрузить компьютер (Reboot the Computer).

В поле Run the following file указывается полный путь к исполняемо-
му файлу в случае попытки восстановления сервиса. Например, это
может быть командный файл. копирующий обновленную версию фай-
ла — источника сервиса или файл, приостанавливающий другие сер-
висы. работа которых связана с восстанавливаемым. В командную стро-
ку запускаемого файла можно добавить счетчик неудачных запусков
{Append 'Fail Count to end of command line). Счетчик имеет вид:

/ f ci ^ 1 = 3':1 ^ a 11 С о u r'i t °'o

Таким образом, запускаемая программа может получить информацию
о том, сколько раз данный сервис перезапускался.

Управление дисковыми ресурсами

Следующие три ветви — Shares. Sessions, Open Files — позволяют
оценить использование дисковых ресурсов компьютера. Если сравнить

Диалоговое окно Service Properties, вкладка Log On

И среди элементов этой вкладки нет ничего принципиально нового, по
сравнению с предыдущей версией.

в этом случае надо указать пароль учетной записи.

• Вы также можете выбрать аппаратный профиль, разрешающий или
запрещающий исполнение того или иного сервиса. По умолчанию
сервисам разрешено исполнение всех профилей. Если это Вам не
подходит, то запретите исполнение отдельных профилей. Например,
Ваш портативный компьютер имеет станцию расширения, в кото-
рой установлены SCSI-адаптер, жесткий диск и сетевая плата. Когда
Вы путешествуете, то станция расширения остается на рабочем ме-
сте, и Вы продолжаете использовать только встроенный жесткий
диск (нс-SCSI), а вместо сетевых возможностей — удаленный доступ.
В таком случае в режиме работы со станцией расширения Вам сле-
дует разрешить работу сетевых сервисов и запретить работу сер-
виса удаленного доступа. При автономной работе все должно быть
наоборот — сетевые сервисы запрещены, а удаленный доступ раз-
решен.

Третья вкладка — Recovery — предоставляет возможности работы с
сервисами, отсутствовавшие в прежней версии.

представляемую этим слепком информацию с программами предыду-
щей версии, то можно сразу выделить два новшества. Первое — Server
Manager, второе — приложение панели управления Server.

Как и раньше, можно получить информацию о ресурсах, предостав-
ляемых компьютером для совместного использования в сети; созда-
вать новые ресурсы; просматривать активные сеансы работы с ком-
пьютером и. при необходимости, терминировать их; а также полу-
чать информацию обо всех файлах, открытых подключенными поль-
зователями.

Дилюговое окно Microsoft Management Console, аченок Computer

Management, ветвь Shares

Просмотр журнала событий

Для просмотра журнала событий традиционно использовалось прило-
жение Event Viewer. Оно позволяло просматривать три журнала: при-
ложений (Application Log), безопасности (Security Log) и системный
(System Log).

В Windows NT 5.0 это приложение выполнено в виде слепка ММС и не
обладает никакой новой функциональностью.

Дилчоговое окно Microsoft Management Console, слепок Computer
Properties, ветвь Event viewer

Просмотр устройств системы и их ресурсов

Все устройства операционной системы сгруппированы в ветви Device
Tree и. в свою очередь, образуют дерево устройств.

Диалоговое окно Microsoft Management Console, слепок Computer
Properties, ветвь Device Tree

Если щелкнуть правой кнопкой мыши любое из устройств, перечислен-
ных в дереве, и в контекстном меню выбрать команду Properties, то
появится диалоговое окно свойств. Для каждого из устройств в диало-
говом окне будет различное число вкладок, поэтому мы рассмотрим
только самые характерные.

Диалоговое окно Device Properties. вк.чадка General

На вкладке General приведены общие сведения об устройстве: его тип,
производитель, версия, а также состояние (работает, не работает, ра-
ботает неправильно). Там же Вы можете указать, в каких аппаратных
конфигурациях разрешать работу этого устройства. Вспомните пример,
рассмотренный при описании диалогового окна свойств сервисов.
Дополнительно к запрещению работы некоторых сервисов, при рабо-
те со станцией расширения необходимо разрешить работу SCSI-адап-
тера, SCSI-диска, модема и запретить работу PCMCIA-сетевой карточки.
При работе в автономном режиме все параметры следует изменить на
противоположные.

На вкладке Driver приводятся сведения об используемом драйвере ус-
тройства: имя файла, версия, производитель.

На вкладке Resources перечислены ресурсы системы, выделенные для
работы этого устройства: прерывание, адрес, диапазон памяти.

Если в диалоговом окне ММС со слепком Computer Management выб-
рать ветвь Device Manager Resources, то Вам будет представлен спи-
сок ресурсов системы. В первой бета-версии список ресурсов ограни-
чен только списком используемых прерываний (IRQ).

Диалоговое окно Microsoft Management Console, слепок Computer
Properties, ветвь Resources

Управление системами хранения

Hc.'in выбрать v, диалоговом окне ММС со слепком Computer Manage-
ment ветвь Storage, то в правой части окна появится изображение.
показанное на следующем рисунке. В отличие от рассмотренных выше
приложений, это нс слепок ММС. а HTML-страница. Ссылки этой стра-
ницы указывают на программу резервного копирования и на програм-
му Chkdsk. Таким образом, этот инструмент ни что иное, как еще один
способ показать начинающему администратору системы альтернатив-
ные способы доступа к этим программам.

Диалоговое окно Microsoft Management Console, слепок Computer

Properties, ветвь Storage

Системный монитор

Системный монитор, имеющий в предыдущих версиях Windows NT вид
отде.чьиого приложения Performance Monitor, теперь выполнен в виде
слепка консоли управления ММС. Его общая функциональность не из-
менилась, однако исполнение в виде слепка позволяет использовать его
совместно с другими административными инструментами-слепками в
рамках одного окна ММС.

Собственно говоря, этот инструмент состоит из двух слепков: System
Monitor Graph, служащего для отображения на экране диаграммы, и
System Monitor Log Service, предназначенного для занесения данных
мониторинга в журнал. Последний слепок — страница HTML и будет
заменен на полноценный слепок во второй бета-версии.

Если щелкнуть поле диаграммы правой кнопкой мыши и в контекст-
ном меню выбрать команду Properties, то появится диалоговое окно
свойств диаграммы. Оно содержит следующие вкладки: General, Source.
Data. Graph, Colors. Fonts.

Диалоговое окно Add Counter

Можно указать любой иной компьютер: выбрать в списке Performance
object объект, а к списке Performance counters — счетчики.

Управление питанием компьютера

Одна из новых функций Windows NT 5.0 — управление питанием ком-
пьютера. позволяющее значительно сократить расход энергии. Особен-
но полезной эта функция может оказаться для владельцев портативных
компьютеров, так как позволит продлить срок работы от батарей.

В отличие от рассмотренных выше управляющих программ, програм-
ма настроек функций управления питанием вынесена в панель управ-
ления. Она позволяет установить несколько разных режимов управле-
ния, объединенных в виде схем и оптимизированных для использова-
ния в различных режимах работы. Установлены следующие схемы:

• Home/Office Desk — домашний или офисный настольный компь-
ютер;

• Portable/Laptop — портативный или переносной компьютер;

• Presentation — режим презентации:

• Always on — всегда включен;

• Minimal Power management — минимальное управление питанием;

• Мах Battery — максимальный срок работы от батарей.

По умолчанию в режиме минимального управления питанием жесткий
диск никогда не выключается. В режиме «всегда включен» жесткий диск
выключается через 1 час. Во всех остальных случаях жесткий диск вык-
лючается через 50 минут. Эти значения Вы можете изменить, выбрав
из списка Turn off bard disks нужный интервал времени.

Диалоговое окно Power Management Properties, вкладка Power
Schemes

Кроме того, поддерживается режим «замораживания» или гибернации
компьютера. В этом режиме компьютер переходит в состояние, кото-
рое по аналогии с миром живой природы можно назвать анабиозом.
Практически, такое состояние эквивалентно выключенному компьюте-
ру. но стоит Вам дотронуться до клавиши или мыши, как в течение 5-
10 секунд компьютер «оживет •>. Сравните это время со временем, необ-
ходимым для загрузки компьютера «с нуля».

Диалоговое окно Power Management Properties, вкладки Hibernate

При переходе в режим гибернации происходит сброс содержимого
оперативной памяти на жесткий диск, а при выходе из режима — вос-
становление.

Управление групповой политикой

В Windows NT 4.0 входит редактор системной политики System Policy
Editor. Этот инструмент позволяет администраторам создавать и моди-
фицировать профили пользователей и компьютеров и сохранять их в
реестре. ИСПОЛЬЗУЯ редактор системной политики, можно запретить
пользователям те или иные действия в системе или, наоборот, разре-
шить делать только то, что определил администратор. Кроме того, мож-
но принудительно управлять конфигурацией компьютеров с Windows
NT Workstation и Windows NT Server.

В Windows NT 5.0 редактор системной политики System Policy Editor
заменен редактором групповой политики Group Policy Editor. По срав-
нению со своим предшественником, этот инструмент предоставляет
улучшенные возможности конфигурирования параметров пользовате-
лей ч компьютеров, а также их групп. Группы определяются на уровне
узла. домена или организационной единицы. Group Policy Editor явля-
ется слепком и консоли управления Microsoft Management Console.

Диалоговое окно Microsoft Management Console, редактор
групповой политики

Групповая политика определяет набор установок, которые применяют-
ся всякий раз при инициализации компьютеров или пользователей. С
помощью редактора групповой политики можно выполнять следующие
функции:

• управлять параметрами, хранящимися в реестре в ветвях HKEY_LO-
CAL MACHINE и HKEY CURRENT USER. и определяющих работу
системных сервисов, настройки рабочего стола и приложений:

• определять сценарии, которые будут исполняться при загрузке ком-
пьютера или выходе из системы;

• определять сценарии, которые будут исполняться при регистрации
пользователей в системе:

• назначать файлы, которые будут переноситься на компьютер пользо-
вателя (например, подготовленный документ Microsoft Word будет
располагаться на рабочем столе пользователя);

• назначать и публиковать приложения (публикация приложений —
одна из частей поддержки уже упоминавшейся технологии Intelli-
Mirror).

К сожалению, в первой бета-версии Windows NT 5.0 редактор группо-
вой политики обладает лишь зачаточной функциональностью и реаль-
но не позволяет выполнять модификации системных параметров и
настроек пользователей. Поэтому в книге не приводится описание ра-
боты с ним.

Планирование задач

Для планирования времени исполнения тех или иных задач в предыду-
щей версии Windows NT применяется команда AT. Программа, вызыва-
емая этой командой, не имеет графического интерфейса с пользовате-
лем и начинающим пользователям трудно работать с ней. Им можно
рекомендовать аналог, поставляемый в составе Windows NT Resource
Kit. — программу Winat. В то же время, в Windows 95 существует плани-
ровщик событий, обладающий простым интерфейсом и богатыми воз-
можностями. Аналогичная программа реализована и в Windows NT 5.0.

Внимание! Перед запуском этой программы необходимо убедиться,
что в системе запущен сервис Task Scheduler.

Окно планировщика задач Scheduled Tasks

Вместе с тем, команда AT сохранена в системе для обеспечения совме-
стимости и для использования в командных файлах.

Программа Task Scheduler

Окно программы Task Scheduler представляет собой папку, где распо-
ложены все задачи, исполнение которых включено в расписание, а так-
же программа-мастер добавления запланированных задач. Для каждой
такой задачи указывается имя исполняемого файла, каталог, где проис-
ходит запуск программы, а также имя учетной записи (с верным для нее
паролем), от имени которой задача будет исполняться в системе.

Задание может быть запланированным, но не разрешенным к испол-
нению. Чтобы оно было выполнено в заданное время, следует в диало-
говом окне свойств задания отметить флажок Enabled... .

Диалоговое окно свойств запланированных задании, вкладка Task
Любое задание можно запланировать на исполнение:

• ежедневно в определенное время (с указанием интервала дней);

• еженедельно (с указанием периодичности, точного дня недели и
времени дня);

• помесячно (с указанием точного дня в месяце, времени дня и выбо-
ром любого месяца в году);

• однократно в определенное время;

• в момент входа пользователя в систему;

• в момент загрузки системы.

Выполнение одного и того же задания может быть запланировано с
разной периодичностью.

т

a$k Schedute ¦settnot¦ Security]

1 Run at user logon

a«" ¦

d
e*te ¦

Schedule Task: Sj«tfm:

(

At Logon •»•

—J ."з-c'.-e

WeeHy A.
Monthly """
Once
At S^ stemjtaitugi
When idle 1r

17 Show rnJMple schedules.

OK

'] Caned

I ...

Диалоговое окно свойств запланированного задания, вкладка Schedule

Можно также распорядиться судьбой задания после того, как оно будет
запущено: исключить его из расписания заданий, или указать время, по
истечении которого запущенная задача будет остановлена.

11, наконец, запланированное задание является объектом системы. Как
и для любого иного объекта для него можно установить права доступа.
Но умолчанию полный доступ имеют администраторы системы, а так-
же сама система (учетная запись SYSTEM). Всем остальным пользова-
телям домена предоставлен доступ только на чтение.

Task ¦ Schedule ¦ Settings

Secmity 1

Name....,.,.

^ ^

Add... ¦

^lFYODOR\Users

Banove ¦

.У SYSTEM

эefмssuns:

Alow

Deny

Ful control

17

Г

Modify

17

Г

Read I execute

17

Г

Read

17

Г

Write

17

Г

Advanced... ¦

Г ¦r*»< peim»ions Пот peeni

OK ¦ Canc«l

1 -. 1

Диалоговое окно свойств запланированного задания, вкладка Security

Новое задание добавляется с помощью программы-мастера. Как и дру-
гие программы этого класса, она последовательно опрашивает пользо-
вателя обо всех описанных выше параметрах планируемой задачи.

Окно программы-мастера добавления новых цитируемых задании

Команда AT

Команда AT используется для планирования запуска задач в определен-
ное время. Синтаксис команды следующий:

AT [Vvcomputerna-ne] [ [id] [/DELETE] ¦ /DELETE [/YES]]

AT [\\co:iiputernaTie] time [/INTERACTIVE] [ /EVERY: date[,...] ¦ /

NEXT;date[ ..]] "command".

• \\co[Tiputername — имя удаленного компьютера (если этот параметр
проп\1цсн. то выполняется планирование для локального компьютера):

• id — идентификатор планируемой задачи;

• /delete — отменяет запланированное задание (если идентификатор
пропущен, то отменяются все запланированные задания):

• /yes — используется при отмене запланированных заданий, когда
нс требуется подтверждения:

• time — время исполнения задания:

• /inter active — позволяет заданию взаимодействовать с тем пользо-
вателем, который будет работать за компьютером в момент запуска
задания: в противном случае задание будет исполняться невидимо
для пользователя и о нем можно будет догадаться, только просмот-
рев список исполняемых процессов в Task Manager, причем пользо-
ватель нс имеет привилегий для прерывания процесса:

• /every ; date[. . . . ] — указывается день недели или месяца исполне-
ния (если дата пропущена, то подразумевается текущий день):

• ,,'nex' :ddte[. . . ] — указывается следующий день запуска задания,
(например, следующий вторник): если дата пропущена, то подразу-
мевается текущий день:

• coTinard — исполняемая команда, запуск которой планируется.

Внимание! Перед запуском этой команды необходимо убедиться, что
сервис Task Scheduler запущен в системе.

Исполнение сценариев

Исполнение сценария — функция, необходимая в любой операцион-
ной системе. С помощью такого сценария можно инициализировать
специфические настройки пользователя при его входе в систему (сце-
нарии входа в сеть), копировать файлы, изменять системные перемен-
ные и т. п. ii Windows NT 4.0 существует возможность исполнения толь-
ко обычных командных файлов, чьи возможности не позволяют про-
изводить сколько-нибудь сложные операции средствами самого языка.
Э'го вынуждает прибегать к дополнительным программам, а значит —
к иным языкам программирования. Можно, правда, дополнительно ус-
тановить продукты третьих фирм. поддерживающие какой-либо язык
сценариев. Но. обычно, такие продукты требуют дополнительной
оперативной памяти, и ИСПОЛЬЗУЮТ языки сценариев, никак не свя-
занные с ОС'..

Развитие Интериста и нитрасетей привело к бурному развитию новых
языков сценариев, используемых на Web-страницах — VisualBasic Script
(VBScript) и JayaScript (Jscript). Хостом для их исполнения служат как
Web-серверы, так и Wcb-браузеры. В Windows NT 4.0 такими хостами
являются Internet Information Server и Internet Explorer. B Windows NT 5.0
добавился новый хост — Universal Scripting Host (универсальный хост
сценариев). В отличие от двух упомянутых выше, он предназначен
только для интерпретации сценариев, и поэтому занимает в оператив-
ной памяти совсем немного места. Универсальный хост сценариев
имеет две реализации — для работы в командной строке (CSCRIPT) и
для работы в графическом режиме (W^SCRIPT). По умолчанию испол-
нение сценариев связано с Windows-версией.

WSCRIPT

Собственно, для исполнения сценария не требуется запускать програм-
му wscript.exe. Достаточно просто выполнить (из командной строки, в
диалоговом окне Run, двойным щелчком в Explorer и т. п. образом)
файл. имеющий расширение VBS или JS. WSCRIPT.EXE целесообразно
загрузить, если Вы хотите определить некоторые дополнительные па-
раметры исполнения, общие для всех сценариев, запускаемых по
умолчанию.

Окно Windows Scripting Host

В этом диалоговом окне можно указать:

• интервал времени. по истечении которого выполнение сценария
будет- остановлено:

• необходимость отображения логотипа версии хоста при каждом
запуске сценария.

Если же эти свойства требуется изменить только для некоторых из
исполняемых сценариев, то надо создать WSH-файл, по своему назна-
чению похожий на PIF-файл. Чтобы создать WSH-файл для определен-
ного сценария, щелкните его название правой кнопкой мыши, выбери-
те в контекстном меню команду Properties, а в появившемся диалого-
вом окне — вкладку Script. Укажите необходимые параметры и закрой-
те диалоговое окно. В том же каталоге, где располагается файл сцена-
рия, будет создан файл с таким же названием, но с расширением .WSH.
В дальнейшем, для исполнения сценария запускайте не его файл, а
файл его свойств — WSH.

CSCRIPT

Интерфейс версии хоста сценариев для командной строки следующий:

CScnpt имя_сценария.расширение [параметры..,] [аргументы...],
где:

• //Т : nn — максимальное время, в течение которого сценарий может
исполняться;

• //logo — необходимость отображения логотипа (по умолчанию ото-
бражается):

• //nologo — запрет отображения логотипа;

• //S — сохранение параметров командной строки для текущего
пользователя.

Обратите внимание, что параметры хоста сценариев начинаются с «//•>, а
аргументы файла сценария (если есть) — с «/•>. Например:

Cscnpt //nologo myscript. vbs /s /у,

Примеры сценариев

В качестве примера рассмотрим несколько простых сценариев, напи-
санных на языке VBScript. Для тех, кто знаком с Visual Basic не составит
труда в них разобраться.

Сценарий 1: Hello

Этот сценарий представляет собой достаточно банальную задачу, пред-
лагаемую. как правило, первой при изучении любого языка програм-
мирования. Программа запрашивает имя пользователя, а затем здоро-
вается с ним.

dim S
S="'

'Зпроси^ь имя пользовагеля. Если не введено, повторить
Wnile s="1'

s= InoutBox("Введите вале имя1')
if s="" then MsgBox "Вы не ввели имя1'
Wend

'Вывести приветствие
MsgBox "Добрый день, " & s., "Приветствие"

Сразу после запуска сценария па экране появится приглашение внести
имя:

Теперь немного усложним программу и предложим ей узнать сведения
о пользователе самостоятельно.

Сценарий 2: системные параметры

В предлагаемой программе происходит считывание некоторых систем-
ных переменных и вывод их на экран. Чтение переменных осуществ-
ляется с помощью встроенного объекта Wscript. Shell. Функция ChkSet-
ting используется для выбора нужной системной переменной из обще-
го списка. Данный сценарий предусматривает считывание всего пяти
переменных: имени пользователя (под которым он зарегистрирован в
системе), типа процессора, имени компьютера, имени сервера, на ко-
тором выполнялась регистрация пользователя, а также пути к профи-
лю пользователя.

CRLF - Chr(13) & Cnr(10)
DIIT s

Dim WSHShell

Set WSHSheII = WScnpt. CreateObJ ect( "WScnpt. Shell")
s-ChkSetting("USERNAME")

s=s & CRLF & "В Вашем компьютере используется процессор " &__
О «Set ti па (" PROCESSOR^ DENTIFIER'1)

s=s & CRLF & "Имя компьютера '1 & ChkSettTng("COMPUTERNAME'1)
s^s & CRLF & "Вы зарегистрированы на сервере " &_
ChkSettingC'LOGONSERVER")

s=s & CRLF & "Ваш пользовательский профиль хранится в каталке
" &_ ChkSetting("USERPROFILE")

MsgBox "Добрый день. "& s.. "Приветствие"

Function ChkSett шд( SetNan'.e)

For Each sfrEnv I" WshS^el 1. Envi ron'nent (" PROCESS")
If instr(s: rEnv. SetNamc) ~'0 Then

ChkSetting=Mid(strEnv.len(SetName)+2)
Exit Function
Ena It
Next
ChkSetting=""
End Function

В результа'1'е выполнения этого сценария на экране появится такое
сообщение:

Данную программу несложно модифицировать для вывода на экран
всех переменных среды: достаточно убрать проверку на соответствие
определенному имени переменной.

Дополнительные примеры

Конечно же, приведенные примеры не могут отразить всех возможно-
стей. предоставляемых полноценным языком сценариев. Вам доступны
не только встроенные функции языка, но и ActiveX-компоненты, а так-
же служба каталогов и ее объекты. Примеры таких программ приведе-
ны на сервере Web Microsoft по адресу:

http : //www. microsoft, com/managernent/wsh. htm

Заключение

Средства управления Windows NT 5.0 претерпели значительные изме-
нения по сравнению с предыдущими версиями ОС. Они не только уп-
ростили администрирование, но и позволили сделать процесс управ-
ления единым, доступным как с локальной, так и с любой удаленной
машины.

Ключевую роль в этом преображении играет консоль управления Mic-
rosoft Management Console — действительно гибкая и универсальная
среда для административных программ. Восприимчивость к расшире-
ниям и модификациям, достигаемая за счет использования слепков,
делает ее весьма удобной для использования на предприятиях. Тот факт,
что программные интерфейсы консоли открыты независимым разра-
ботчикам, дает надежду на появление в ближайшем будущем слепков
для управления мощными СУБД, почтовыми системами, финансовыми
системами, системами управления производством и т. п. Microsoft так-
же планирует использовать ММС в своих новых серверных продуктах.
Так. например, Internet Information Server 4.0 и SQL Server 7.0 имеют
административные консоли, выполненные в виде слепков для ММС.

Исполнение сценариев, написанных на встроенных в систему языках,
позволяет значительно улучшить возможности управления системой.
Теперь, даже если у Вас нет под рукой нужного инструмента или про-
граммы выполнения какой-либо функции, Вы можете заменить их про-
граммой-сценарием.

ГЛАВА 7

Интерфейс
с пользователем

Обычно под этим термином — интерфейс с пользователем —подра-
зумевают часть системы, ответственную за взаимодействие с пользова-
телем. Если программа выполняется в командной строке, то говорят об
интерфейсе командной строки, если программа является графическим
приложением для Windows — о графическом интерфейсе. Разумеется.
такая сложная операционная система, как Windows NT, имеет и интер-
фейс командной строки, и графический.

Более обобщенно, под интерфейсом следует понимать всю совокуп-
ность факторов, определяющих способ и сложность взаимодействия
пользователя с системой. Поэтому на страницах этой книги мы рас-
смотрим такие аспекты, как концепция рабочего стола и его представ-
ление, поддержка национальных языков и пр.

Рабочий стол Active Desktop

Метафора «рабочий стол» нашла широкое применение в Windows и
других операционных системах. Если в первых версиях Windows на
этот стол можно было только «постелить скатерть» в виде текстуры или
рисунка, то Windows 95 и Windows NT 4.0 позволяют размещать на нем
файлы, папки и ярлыки для них, что существенно облегчает прямой до-
ступ к нужной информации.

И все же нельзя не сказать, что кроме удобств пользователи ощущают
и явные недостатки.

• Несколько одновременно открытых окон скрывают от глаз пользо-
вателя поверхность рабочего стола. И тогда, для доступа, скажем, к
папке My Computer, приходится поочередно минимизировать при-
ложения до тех пор, пока не появится нужная папка.

• При большом количестве нужных приложений множество соответ-
ствующих значков на рабочем столе приводит к излишней «захлам-
ленности», а вынос в меню — к снижению скорости доступа.

• Для чтения поступающей информации используются различные
приложения. Например, российские новости можно просмотреть в
Internet Explorer, а биржевые — с помощью специальной програм-
мы Point and Cast.

• Отсутствует возможность «накопления» новостей с последующим
просмотром их в автономном режиме.

• Рабочий стол не может использоваться для чего-либо, кроме как для
отображения значков приложений и папок.

В Windows NT 5.0 осуществлена интеграция Internet Explorer 4.0 и
операционной системы, один из результатов которой — появление
активного рабочего стола Active Desktop. Название «активный» в дан-
ном случае оправдано: поверхность из «статиста» превратилась в актив-
ное «действующее лицо». Она может: менять свой внешний вид, как по
воле пользователя, так и повинуясь иным командам; становиться стра-
ницей Web, где пользователь в удобной форме хранит свои повседнев-
ные задачи; наконец, быть средством отображения информации, при-
ходящей из внешнего мира (прогноз погоды, курсы акций, результаты
спортивных матчей). Все это появляется у Вас на экране сразу же. как
только становится доступным в Иитернете.

Active Desktop обладает следующими ключевыми свойствами:

• полной настраиваемостью:

• встроенными компонентами;

• поддержкой блуждающих профилей.

Давайте рассмотрим эти свойства подробнее.

Полная настраиваемость

Когда слышишь, что рабочий стол является страницей Web, то сразу
приходишь к мысли, что на нем. как на любой странице Web. можно
разместить все. что угодно: не только статический текст HTML с вкрап-
лениями графики, но и ActivcX-компоненты, которые могут исполнять
какие-либо дополнительные функции. Имеются в виду и скрипты, пе-
риодически выполняющие запросы к базам данных в Вашей интрасе-
ти; и поисковые системы, ведущие регулярный поиск нужной инфор-
мации. — короче, все, что Вы только можете себе представить.

Ниже приведен текст простой страницы Web, используемой в качестве
рабочего стола. Предположим, что Вы по роду своей работы постоян-
но пользуетесь услугами авиакомпании города Нижнеконеченска. Рас-
писание полетов меняется часто, нередки задержки рейсов, да и дозво-
ниться до представительства авиакомпании сложно. Положите ссылку
на необходимый Вам Web-сервер авиакомпании на поверхность стола,
и вся информация об изменениях в расписании будет моментально на
нем отображаться.

<HTML"-

<HEAD>

<Т1Т1.Е>Мой рабочий стол</Т1ТЕЕ>

</HEAD>

<BODY TEXT="#FFFFFF1' LINK="«80FFOO'1 VLINK=-#80FF80"

ALINK-"#FF80CO" BGCOLOR="#0080FF" BACKGROUNO="FILE:///С¦/WINNT/WEB/

WALLPAPER/BACK.JPG">

Нижнеконеченские авиалинии

Расписание полетов, осень 1997

</Р>

<Р>

<Р ALIG^^ng^txBxFONT SIZE-+1 ><и>3ападное направление</и>

<А HREF=" nttp://www.nkalг.ru/Schedule?Moscow">Mocквa</A>

<А HREF=" http ://www. nkair. гu/Schedule';)Spb'l>Caнкт-Пeтepбypг</A>

<,7P>

<и>Восточнре направление</и>

</BXBR>

<A HREF=" http : /'/www. nkai r. ru/Sc'iedule^VVostokX Владивосток

<.,/AXBR>

<A HREF=" h^tp • //www. nkai r, rii/Schedule^Tokio" > Токио </А>

<:P>

'./BODY-'

</HTML:'

a8surt¦ g <з ВД Vj ftj • ssMino»o...¦ езрачдц... 1 аумюмо..!
n/>iLiiep офор.\т'ния рабочего стола

Web-o вещание

Всем хорошо известны такие термины, как радиовещание или телевс-
щанис. Теперь придется освоить еще один — Web-o впцанчс (Wei) cas-
ting). Смысл его в возможности подписаться на информационные ка-
налы \Х'сЬ и выводить поставляемую ими информацию непосредствен-
но на рабочий стол. Для каждого из каналов используется отдельный
кадр на столе.

Особенность данной подписки в том. что информацию, переданную в
ночное время. Вы сможете просматривать днем. Если же Вы мобиль-
ный пользователь, и подключаетесь к сети лишь время от времени, то
информация может быть передана на Ваш компьютер в моменты его
подключения в фоновом режиме без Вашего участия. Вам останется
только просмотреть се в удобное время.

Для описания доступных каналов используются файлы с расширением
CDF. Форма'1' файла простой. На рисунке приведен образец файла для
узла «Московский обозреватель».

Заголовок с указанием
кодировки

<?XML VERSION="1.0" ENCODING="UTF-8"?> ••

<CHANNEL HREF="http://www.cityline.ru/obs/"> *

<ABSTRACT>"Moscow Observer" is the first Moscow's web site, dedicated to
city's cultural life and entertainment. Daily updated listings of all Moscow's
cultural and recreational events, huge amounts of cinema and music news,
reviews on CD's, videos and books, interviews, art projects, special pages.
Dedicated to city's most known artists and much more. "Moscow Observer",
founded a half year ago, is already the most popular infotainment site for
Moscow s citizens.</ABSTRACT> ' ,
</CHANNEL>

URL источника
информации канала

Панель с названиями доступных каналов можно вынести на поверх-
ность рабочего стола, а каналы, на которые Вы подписались, — опти-
мальным образом разместить там же. На рисунке на следующей стра-
нице показано расположение панели каналов, а также один из каналов.

Стартовая площадка Quick Launch

Те, кто работал с Microsoft Office, конечно же, по достоинству оценили
Microsoft Office Bar — панели, с помощью которых можно одним
щелчком мыши запустить нужное приложение. Основное достоинство
этих панелей — они легко доступны, не занимают много места на эк-
ране и всегда видны.

Аналогичная панель Quick Launch появилась в Windows NT 5.0. Чтобы
запустить приложение с этой «стартовой площадки» достаточно один
раз щелкнуть соответствующий значок. Если Вы используете некоторые

Для добавления новой панели щелкните панель задач правой кнопкой
мыши и выберите в появившемся меню команду Toolbars/New Toolbar.

После этого Вам будет предложено выбрать любую папку из имеющих-
ся на диске. Содержимое этой папки и станет содержимым панели
инструментов. Поэтому целесообразно предварительно создать папку,
внести туда нужные ярлыки или файлы, а потом уже добавлять новую
панель.

Папки и настройка их внешнего вида

В Windows NT 4.0 внешний вид папок не поддается изменениям. Все,
что может пользователь, — отображать файлы и каталоги большими
или маленькими значками, в виде списка или списка с подробностями.
Файлы или каталоги выделяются щелчком мыши, а запуск приложения
достигается двойным щелчком. Любопытно, но столь простая операция,
как двойной щелчок оказалась непосильной для многих пользователей.
Они умудрялись сдвинуть мышь между первым и вторым щелчками так,
что щелчки воспринимались раздельно.

Использование Internet Explorer для доступа как к ресурсам Интернета,
так и к локальным, позволяет действовать одними и теми же приема-
ми. Так, файл можно запустить однократным щелчком мыши, а выде-
лить, просто подведя к нему указатель. Понятно, что сотням тысяч
пользователей этот метод, в свою очередь, покажется непривычным и
неудобным. Что ж, тем, кто пожелает оставить все как есть, предостав-
лена такая возможность.

Интерфейс папок стал полностью настраиваемым. В первую очередь,
можно указать тип просмотра: в стиле Web-страницы, классический
или настраиваемый пользователем. На рисунках приведены образцы
папки в виде Web-страницы, и классической папки.

Пршюр поверхности Active Desktop

приложения чаще остальных, то их можно вынести на Quick Launch

для быстрого запуска. С этой целью просто выделите имя нужного
файла в Explorer и перетащите его на панель быстрого запуска. На ней
незамедлительно появится соответствующий значок.

По умолчанию панель Quick Launch располагается вблизи кнопки
Start на панели инструментов. Если же, на Ваш взгляд, это неудобно, ее
можно перетащить в любое место на экране. Принципиально возмож-
ны две позиции: фиксированная у края и плавающая.

Панели инструментов

Помимо панели задач, появившейся как стандартный элемент интер-
фейса еще в Windows NT 4.0, теперь Вы можете добавлять произволь-
ное число дополнительных панелей. Эти панели могут соперничать за
место на экране с панелью задач, или располагаться произвольно.

Добавление новой панели инструментов

Но, допустим, что оба этих вида Вас чем-то не устраивают, и хотелось
бы использовать некоторую их комбинацию. И это возможно. Для на-
стройки вида представления папок войдите в любой из папок в меню
View Options Появится диалоговое окно Options со вкладкой General,
изображенное на рисунке. Для показа папок в виде Web-страниц по-
ставьте переключатель в положение Web style, для классического пред-
ставления — в Classic style, а для настраиваемого по Вашему желанию —
в Custom, based on settings you choose. Щелкнув далее кнопку Set-
tings, Вы сможете указать ряд параметров внешнего представления и
поведения папок.

Но этим возможности изменять внешний вид папок не исчерпывают-
ся. Так как каждая из папок может быть представлена в виде Web-стра-
ницы. Вы сумеете отредактировать эту страницу и даже назначить ин-

динидуальныс папки для любого диска. Можно не только добиться вида
элементов папки на фоне любого изображения, но и полностью пере-
определить внешний вид. Для этого надо:

• щелкнуть поверхность папки (там. где показаны ее элементы) пра-
вой кнопкой мыши.

• в контекстном меню выбрать команду Customize this Folder-,

• в появившемся окне программы-мастера выбрать параметр Create
or Edit HTML Document.

• в открывшемся редакторе отредактировать HTML-текст папки и зак-
рыть блокнот, сохранив файл под тем же именем;

• в программе-мастере щелкнуть Finish.

Ниже показан модифицированный HTML-код и внешний вид соответ-
ствующей ему папки.

<html>

'.head>

event="SelectionChanged">

var items = FileList.Focusedltem;

var- fidr = FileList.Folder:

var size = fidr.GetDetailsOf(items. 1):

var L_Modified_Text = "Изменен: ";

var L_Size_Text = "Размер: ":

var L_Attnb = "Атрибуты; ":

SPAN1.innerHTML = fldr.GetDetailsOf(items,0);

SPAN2,innerHTML = fidr.GetDetailsOf(items. 2):

SPANS.innerHTML = L_Modified_Text + fidr.GetDetailsOf(items, 3):

SPANS. innerHTML = L_Attnb + fid r, GetDetailsOf (items. 4);

if (size == "") // folder might be selected
SPAN4,innerHTML = "&nbsp":

else

SPAN4,innerHTML = L_Size_Text + size:

</script>

</head>

<body topmargin=0 leftmargin=0 rightmargin=0 bottommargin=0

scroll=no>

<tr> <td align=left valign=top height=20% bgcolor=white

style="background: url(%TEMPLATEDIR%\wvlogo.gif) fixed no-repeat

white top right; margin: 8px">

<font style="font: 24pt/24pt anal bold: font-weight: bold:

color: ff6189CO">

<'-webbot bot="HTMLMarkup" startspan

alt="&lt:B><I&gt:Web View Folder Title&lt:/I>< /

B&gt: " ->

Диск С:

<i-webbot bot="HTMLMarkup" endspan -> </td> </tr>
<tr> <td align=left valign=top bgcolor=black style^'background:

url(%TEMPLATEDIR%\wvback1.gif) fixed repeat-y black top left:

margin: 8px">
<font style="font: 8pt/12pt verdana: font-weight: bold: color:

whiter

Select an icon to view its description.

&nbsp

&nbsp
</span^ 
<span id^'SPA^M^

&nbsp
<:/span>

<span id^SPANS"^
&nbsp

</td> </tr->

</table>

<'-webbot bot="HTMLMarkup" startspan u-src="file:///

C:\PROGRA"'1\MICROS~2\Data\FoldData.glf" ->

classid="clsid:1820FEDO-473E-11DO-A96C-OOC04FD705A2"

style="position: absolute: left: 30%: top: 0; width: 70%:

neight: 100%">

</object>

<!-webbot bot="HTMLMarkup" endspan ->

</body>

</html>

Модификация внешнего вида папки

Если Вы используете в папках панель инструментов, то сразу после
установки системы обратите внимание на ненормально большой раз-
мер, а, порой, и неестественный цвет изображений инструментов. Если
это зрелище не доставляет Вам эстетического наслаждения, внешний
вид значков можно изменить на традиционный. Правда, делается это
несколько неожиданным образом. Запустите Internet Explorer, открой-
те меню View-Options и в диалоговом окне Options выберите вкладку
Advanced. Появится древовидный список параметров. Найдите ветвь
Toolbar и отметьте флажок Small icons.

Поддержка русского языка

Поддержка языка не ограничивается только возможностью вводить
тексты и читать их по-русски. В Windows NT 5.0 в это понятие входит
поддержка:

• принятых в России стандартов (формат чисел, даты, времени, деся-
тичных разделителей и т. д.):

• ввода и чтения текстов в стандартных кодировках;

• длинных имен файлов и каталогов на русском языке;

• работы с русским языком в командной строке и приложениях для
MS-DOS;

• работы с русскими названиями объектов службы каталогов Active
Directory;

• русских имен компьютеров, доменов, зон и т. п.;

• обмена почтовыми сообщениями с адресатами в Интернете;

• чтения и публикации сообщений в телеконференциях в Интернете:

• русскоязычного интерфейса;

• корректного индексированного поиска.

Рассмотрим эти функции подробно.

Поддержка стандартов

Бесспорно, поддержка российских стандартов форматов даты, време-
ни, разделителей и т. п. облегчает использование операционной систе-
мы. Представьте себе, как непривычно выглядит дата «4 декабря», запи-
санная в формате <-12.04.97-> — ведь с нашей точки зрения это 12 апреля!

Именно поэтому на панели управления существует раздел Regional
Settings. Основной параметр, однозначно определяющий стандарты

представления чисел — Locale (регион ). Его можно установить как для
всей системы в целом, так и для каждого конкретного пользователя.

Если регион установлен для системы, то ему соответствуют экранные
шрифты, таблицы перекодировок, форматы даты и времени и раздели-
телей, порядок сортировки.

Если пользователь устанавливает для себя регион отличный от систем-
ного. то это оказывает влияние только на форматы представления чи-
сел и порядок сортировки.

! становка поддерживаемых региональных параметров

Форматы чисел, даты и времени можно изменить и независимо от выб-
ранного региона.

Обеспечение ввода и чтения текстов
в стандартных кодировках

К данной функции относится поддержка:

• экранных и TrueType-шрифтов, поддерживающих кириллицу;

• принятых в России раскладок клавиатуры;

• настраиваемых комбинаций переключения между раскладками;

• системных конверторов из одной кодировки в другую.

Многие из этих возможностей, уже обеспеченных в Windows NT 4.0,
дополнительно улучшены в новой версии.

Кириллические шрифты

В систему, как и раньше, встроен стандартный набор шрифтов, поддер-
живающих кириллицу. Все TrueType-шрифты являются UNICODE-шриф-
тами. Использование TrueType-шрифтов, разработанных для Windows 5.1
невозможно, так как символы кириллицы в них не имеют необходимо-
го смещения. К сожалению, это может вызывать небольшие проблемы
при работе с текстами, подготовленными в Windows З.х с использова-
нием нестандартных шрифтов. Дополнительные TrueType шрифты вхо-
дят либо в офисные продукты Microsoft, либо поставляются независи-
мыми разработчиками.

Экранные шрифты являются битовыми и не претерпели практически
никаких изменений по сравнению со шрифтами Windows З.х. Это мо-
жет причинять некоторые неудобства при работе как с текстами на ев-
ропейских языках, так и с текстами, требующими использования спе-
циальных символов, например <-1/2'> или «3/4». Подобные символы
встречаются и в элементах графического интерфейса. Так, трехдюймо-
вый дисковод обозначается 3 1/2. Если для подписей под папками ис-
пользуется не TrueType-шрифт, то отобразить простую дробь невозмож-
но, так как на ее месте в кириллическом шрифте находится сербская
буква <-S». Корпорация Microsoft нашла оригинальный выход из этой си-
туации: когда в системе установлен регион по умолчанию default sys-
tem locale Russia, под соответствующим значком пишется 3-5 Floppy.

Установка новых шрифтов весьма проста. Все что нужно сделать —
выделить в Explorer файл нужного шрифта и перетащить его в каталог
"owindir%\Fonts.

Раскладки клавиатуры

Прошли времена, когда пользователи, сталкиваясь с раскладкой клави-
атуры, используемой в MS-DOS или Windows, недоуменно пожимали
плечами и устремлялись на поиски драйвера более привычной. Сегод-
ня, пожалуй, об этом помнят только ветераны. Windows NT стандартно
поддерживает две разных раскладки: разработанную Microsoft, и разра-
ботанную IBM.

Замечание. В первой бета-версии Windows NT 5.0 поддерживается
только раскладка Microsoft.

Ксли Вас все-таки не устраивает ни одна из имеющихся раскладок кла-
виатуры, то в Windows NT 5.0 стало удобней подключать новые расклад-
ки. Средств редактирования раскладок в системе нс существует.

Добав.пение распадки клавиатуры независимого разработчика

Переключение между раскладками

Для переключения между раскладками можно выбрать разные комби-
нации клавиш. Обязательное условие: все эти комбинации должны на-
чинаться со следующих сочетаний:

• Ctrl+Shift;

• Alt+Shift;

• Ctrl;

• Alt:

вслед за которыми может следовать символ (1 ... О и ~.).

Выбор раскладок и комбинаций клавиш переключения

'Гак как в системе может быть одновременно установлено более одной
раскладки, можно назначить комбинацию клавиш для переключения в
каждую из них. Например, при работе с англо-немецко-русским тек-
стом можно использовать комбинацию Alt+1 для русской, Alt+2 для
английской, и Alt+3 для немецкой раскладки.

Эти комбинации выполняют переключение только в приложениях для
Windows (16- и 32- разрядных) и к командной строке. Для переключе-
ния раскладок в приложениях для MS-DOS используется комбинация
Правый Ctri+Shift (русская) — Левый Ctrl+Shift (латинская).

В Windows NT 5.0 способ запуска MS-DOS-приложений отличается от
ранних версий, в которых перед запуском приложения приходится
убеждаться в том. что активная раскладка — русская. В противном слу-
чае приложение запускается, но переключаться между раскладками в
нем нельзя. Особенно неудобно это при запуске приложения из коман-
дной строки. Набрав имя программы (по-английски), Вы вынуждены
сначала переключаться на русский, а уже потом — нажимать Enter. Те-
перь это ограничение снято, и больше нет необходимости в продуктах
русской поддержки от третьих фирм.

Системные конверторы

Системные конверторы необходимы для преобразования файлов, запи-
санных в какой-либо кодировке, в кодировку Windows 1251 и наобо-
рот. Например, чтобы прочесть в WordPad текст, набранный в MS-DOS,
Вам понадобится выполнить преобразование СР866 -> СР1251. Такое же
преобразование необходимо и при копировании текста из окна коман-
дной строки в приложение для Windows. Понятно, что эти преобразо-
вания прозрачны для пользователя, и все же для них требуются соот-
ветствующие конвертеры.

Как только Вы выбираете в качестве региона системы Россию, нужный
набор конвертеров устанавливается автоматически. Тем не менее, в ряде
случаев Вам могут понадобиться и иные типы преобразований. Для
этого достаточно установить дополнительные конвертеры, поставляе-
мые в составе системы.

Использование русских имен файлов

Длинные русские имена файлов поддерживаются уже довольно давно.
Не существует каких-либо специальных ограничений, связанных с рус-
ским языком. С такими файлами можно работать как в Explorer, так и в
командной строке.

Длинные русские имена преобразуются в эквивалентные короткие по
'гем же самым законам, что и английские (см. главу 4). Вот результат
исполнения команды dir/x для каталога, изображенного на предыду-
щем рисунке.

Dir

'ест

'or у

of

С:\.Му

document

s\NT5 book

10.

09.

97

10:

05

<DIR>

10.

09

97

10;

05

<DIR>

30.

09.

97

11

28

<DIR>

nt5b1wt

13,

11.

97

19:

48

30 720

СПИСОК~1,ООС

Список литературы.doc

04

11,

97

10:

23

93 696

ИНДЕКСА, DOC

Индексный указатель.doc

03

11

97

09:

39

<DIR>

6MANA'1

6Managenient

03

11

97

09:

39

<DIR>

4FILE-1

4FileSystems

04.

11.

97

12

28

<DIR>

1ACTI~1

1Active Directory

04.

11

97

12

:29

<DIR>

РАБОЧИЧ

Рабочие материалы

04

11

97

12

:30

<DIR>

2СИСТ'1

2Система безопасности

04

11

97

12

:31

<DIR>

ПРИЛОЖЧ

Приложения

03

. 11

.97

09

:39

<DIR>

0INTFri

0Introduction

04

. 11

.97

12

:34

<DIR>

3ПЛАН~1

3 Планирование

и установка

04

. 11

97

12

:34

<DIR>

5ОБЕС'1

50беспечение

бесперебойной

и надежной работы

25

. 11

97

19

;45

<DIR>

8RAS

8Ras

04

12

97

15

:52

<DIR>

7ИНТЕ~1

7Интерфейс

с пользователем

16

File(s)

124 416 bytes

Active Directory и русские имена объектов

Допускаю, что кому-то сама идея называть объекты службы каталогов
(и не только объекты, но и классы объектов, а также их атрибуты) по-
русски покажется кощунственной. А, собственно, почему? Чем русский
язык хуже английского? Почему, скажем, сотрудница бухгалтерии дол-
жна входить в организационную единицу «Accounting» и регистриро-
ваться под именем «JuliaTs», вместо более понятных всем «Бухгалтерия»
и «ЮлияЦ»? Мы просто привыкли, что это всегда было недопустимо.
Х\"же всего то, что администраторы корпоративных систем в большин-
стве своем продолжают культивировать эту идеологию, руководствуясь,
в основном, соображением «Ах, как бы чего нс вышло!».

В Windows NT 5.0 служба каталогов Active Directory позволяет исполь-
зовать в именах объектов, классов и атрибутов любые символы, поэто-
му им можно совершенно свободно давать русские имена. Например,
на рисунке изображена организационная единица «Тестовая лаборато-
рия», в которой несколько пользователей и групп. И все они также на-
званы по-русски.

Использование русских имен объектов Active Director}'

Поддержка русских имен компьютеров и доменов

В главе 3 уже рассматривался вопрос о возможности использования
строк UNICODE в DNS. Там же дан однозначный совет — требуется
строго придерживаться стандартов RFC 952 и RFC1123, где допускают-
ся только определенные буквы, цифры и символы.

И все же, если Вы не планируете ни сейчас, ни в дальнейшем включать
в сеть компьютеры, работающие под управлением UNIX, Netware или
иных, отличных от Windows NT или Windows 9x систем, то можете
смело использовать русские имена компьютеров, доменов, зон и т. п.

Внимание! В первой бета-версии русские имена компьютеров ис-
пользовать нельзя, так как ряд утилит TCP/IP могут не поддерживать
работу с ними.

Интернет и русский язык

В Windows NT 5.0 встроены программа Outlook Express, позволяющая
обмениваться почтой и принимать участие в телеконференциях в Ин-
тернете, а также Internet Explorer, для просмотра содержимого Web.
Хорошо известно, что в Интернете традиционно широко используется
кодировка КОИ8р. И если сейчас появилось большое количество сер-
веров Web, на которых информация представлена в нескольких кодиров-
ках, то в почте и телеконференциях повсеместно используется КОИ8р.

Как Outlook Express, так и Internet Explorer позволяют правильно ото-
бражать информацию в иных кодировках, а также вводить текст писем
и сообщений, причем совершенно прозрачно для пользователя: он не
должен устанавливать какие-либо дополнительные шрифты и расклад-
ки клавиатуры.

При просмотре Web-страниц Вам могут встретиться серверы, на кото-
рых русскоязычная информация будет представлена в одной из следу-
ющих кодировок:

• MS-DOS (используется в DOS, OS/2);

• КОИ8р (используется в UNIX);

• IS08859-5 (используется SUN);

• 1251 (используется Windows);

• MAC (используется Macintosh);

• UTF8 (универсальный формат).

Если страница подготовлена правильно, то в ее заголовке будет инфор-
мация об используемой кодовой странице, например:

charset=windows-1251">,

Internet Explorer сразу выполнит необходимое преобразование и ото-
бразит страницу по-русски. Если же этот заголовок отсутствует, стра-
ница почти наверняка отобразится неправильным шрифтом и будет нс-
читаема. В таком случае выберите в меню команду View/Fonts и в под-
меню укажите нужную кодировку (поддерживаются все перечисленные
выше, за исключением Macintosh).

Для выбора кодировки можно также щелкнуть страницу правой кноп-
кой мыши и в контекстном меню выбрать команду Language. Появит-
ся подменю, в котором будут перечислены кодировки.

Внимание! В первой бета-версии Windows NT 5.0 используется ус-
таревшая бета-версия Internet Explorer 4.0. В ней отсутствует поддерж-
ка КОИ8р и IS08859-5.

Выбор правильной кодировки в Internet Explorer

Outlook Express, разбирая сообщения, проверяет их заголовки и выпол-
няет преобразования в соответствии с указанным типом кодировки.
Однако иногда встречаются сообщения, или выполненные в неизвест-
ной кодировке (деликатно называемой User defined, хотя обычно это
отсутствие информации о кодировке в заголовке сообщения), или вы-
полненные в одной кодировке, но отмеченные другой. Текст и этом
случае отображается неправильно.

Для его прочтения также, как в Internet Explorer, выбирают в меню View
команду Language, а в появившемся подменю — предполагаемую ко-

дировку сообщения. Вполне возможно, что подобные сообщения будут
встречаться неоднократно. Чтобы постоянно не выполнять описанные
выше действия, можно воспользоваться возможностями Outlook Express
по «обучению».

Когда Вы в первый раз указываете, как именно преобразовать нечита-
емый текст, программа предлагает запомнить эту комбинацию с тем,
чтобы, встретив ее повторно, выполнить нужное преобразование. Если
Вы считаете, что это имеет смысл, то соглашаетесь. Если же в последу-
ющем Вы обнаружите, что это было единственное сообщение с таким
типом кодировки, такое преобразование можно исключить, и програм-
ма «забудет» о нем. Для этого:

• выберите в меню Tools команду Options;

• в диалоговом окне Options выберите вкладку Read;

• щелкните International Settings — появится одноименное окно
(изображено на рисунке), содержащее список дополнительных пе-
рекодировок;

• выделив нужную перекодировку, щелкните Remove.

Поддержка пользователей
с ослабленным зрением

Часто компьютер становится единственным средством общения с вне-
шним миром для людей с ослабленным слухом, зрением, речью. Как им
помочь, упростив общение с машиной? Помню, лет шесть назад я ви-
дел компьютер, предназначенный для слепых. Он имел специальную
клавиатуру, позволяющую вводить символы азбуки Брайля, а также про-
износил вслух все, что отображалось на экране.

Разумно предположить, что такие функции могут появиться и в соста-
ве операционной системы. В Windows NT 5.0 есть две программы, ко-
торые могут быть весьма полезны для людей с ослабленным зрением.

Microsoft Magnifier — «увеличительное стекло»

Первая программа — Microsoft Magnifier— позволяет превратить верх-
нюю часть экрана в большую «лупу» с регулируемым увеличением. Вы
перемещаете курсор мыши в нужную точку — туда же перемещается
«лупа». Вы изменяете точку ввода с клавиатуры — новое активное мес-
то на экране оказывается в фокусе «лупы». Программа имеет свое окно
настроек, где можно, в частности, указать степень увеличения.

Настройка Microsoft Magnifier

Может возникнуть вопрос: а как же человек с плохим зрением выпол-
нит эти настройки, если деталей этого диалогового окна он не разли-
чает? Ответ прост: «лупа» работает и для этого диалогового окна.

Говорящий экран

Другая программа — Microsoft Screen Reader — полезна хотя бы неко-
торым из тех, кому и увеличительное стекло мало помогает. Она по-
зволяет озвучивать изображение на экране и зачитывает названия кно-
пок, элементы меню и т. д. С точки зрения обычного здорового челове-
ка, она производит впечатление чересчур разговорчивого собеседни-
ка: говорит беспрестанно и на английском языке. Попытки «подсунуть»
программе русскоязычный интерфейс окончились неудачей. На каждое
русское слово она реагирует, как на нечитаемое.

Программа настройки позволяет выбрать мужской или женский голос
чтения, а также элементы интерфсиса и действия, подлежащие диктовке.

Заключение

Рассмотренные в этой главе новые свойства интерфейса с пользовате-
лем Windows NT 5.0 свидетельствуют о повышении удобства работы с
системой, увеличении функциональной нагрузки элементов интерфей-
са и о том, что сделан еще один шаг на пути к интеграции и унифика-
ции элементов системы.

Новые возможности позволяют настраивать интерфейс индивидуаль-
но для каждого пользователя, что делает его более гибким. Настраива-
смость интерфейса может быть прекрасным средством административ-
ного контроля за рабочими станциями. Создав интерфейс, нацеленный
на конкретного пользователя и исполнение определенных задач в си-
стеме, и одновременно запретив его модификацию рядовым пользова-
телям, администраторы могут повысить производительность труда и
обеспечить простоту поддержки и управления.

ГЛАВА 8

Маршрутизация
и удаленный доступ

Начиная с самой первой версии, в операционную систему Windows NT
входили средства уделенного доступа (Remote Access Services), вклю-
чавшие в себя как клиентскую, так и серверную части. Этот сервис
поддерживал несколько протоколов (NetBEUI, TCP/IP и IPX), подклю-
чение до 255 пользователей одновременно, защиту передаваемых дан-
ных, интеграцию с системой безопасности Windows NT, подключение
по коммутируемым каналам, выделенным линиям и сетям Х.25.

В Windows NT 4.0 возможности удаленного доступа были значительно
расширены. Встроенная поддержка протокола РРТР позволила созда-
вать виртуальные корпоративные сети с использованием Интернета, а
функция Multilink в ряде случаев избавляла от использования дорогос-
тоящих выделенных каналов путем замены их несколькими коммути-
руемыми, работающими параллельно. В этой же версии получили до-
полнительное развитие средства защиты.

Средства маршрутизации Windows NT' считались одними из наиболее
слабых и сложных в реализации. По версию 5.5 1 включительно возмож-
на была только статическая маршрутизация, либо использование сер-
вера Windows NT в качестве простого маршрутизатора TCP/IP. Долгое
время для многих пользователей оставалось загадкой: как организо-
вать маршрутизацию между подсетями, связанными коммутируемым
каналом.

Сторонние фирмы предлагали ряд решений, обеспечивающих более
полные возможности маршрутизации. Но их продукты, как правило,
дороги, а зачастую требуют дополнительного аппаратного обеспечения.

В одном из комплектов обновления к Windows NT 3.51 появились улуч-
шенные средства маршрутизации MPR (Multi Protocol Routing). Они
позволяли организовать маршрутизацию с использованием протокола
RIPyl.

Позднее было выпущено обновление для Windows NT 4.0, названное
RRAS (Routing and Remote Access Service), сочетающее новые возмож-
ности удаленного доступа и новые средства обеспечения маршрутиза-
ции по IPX и IP. Эти средства прошли длительное бета-тестирование, а
затем были модифицированы для доступности на сервере Web Microsoft.

В Windows NT 5.0 включена улучшенная версия RRAS, речь о которой и
пойдет в этой главе.

Возможности маршрутизации

Сервис маршрутизации в составе Windows NT 5.0 обеспечивает следу-
ющие функции:

• многопротокольную маршрутизацию для IP (Internet Protocol) и IPX
(Internet Packet Exchange);

• маршрутизацию с дозвоном по требованию (demand-dial) для объе-
диненных офисов подразделений;

• стандартные промышленные протоколы маршрутизации: OSPF (Open
Shortest Path First) фирмы Bay Networks, RIP (Routing Information
Protocol) версий 1 и 2, IPX RIP, IPX SAP (Service Advertising Protocol);

• такие среды как: 10/100 Мб Ethernet, Token Ring, ATM (Asynchronous
Transfer Mode), FDDI (Fiber Distributed Data Interface), ISDN (Itegrated
Services Digital Network), Frame Relay, X.25 и модемы;

• виртуальные персональные сети с использованием РРТР (Point-to-
point Tunelling Protocol);

• графический интерфейс пользователя для удаленного контроля и
конфигурации;

• управление на базе SNMP (Simple Network Management Protocol);

• управление из командной строки для обеспечения применения сце-
нариев и удаленного управления с использованием Telnet;

• фильтрацию пакетов для повышения защиты и производительности;

• интерфейс прикладных программ (API) для протоколов маршрути-
зации, администрирования и пользовательского интерфейса для
предоставления сторонним фирмам средств для расширения воз-
можностей системы.

Прежде чем перейти к описанию возможностей маршрутизатора, рас-
смотрим коротко используемые в нем протоколы маршрутизации.

Протоколы маршрутизации IP

В Windows NT 5.0 включена поддержка таких протоколов маршрутиза-
ции IP, как RIP (Routing Information Protocol) for IP и OSPF (Open Shor-
test Path First) фирмы Bay Networks. Однако это не единственные про-
токолы, которые можно использовать. Благодаря расширяемости плат-

формы, сторонние производители могут добавлять дополнительные
стандартные протоколы, такие как BGP (Border Gateway Protocol). Так-
же API RRAS может использоваться для разработки иных протоколов
маршрутизации.

Routing Information Protocol

Протокол RIP был разработан для обмена информацией внутри авто-
номных систем — сетей относительно ограниченного размера. Марш-
рутизатор RIP поддерживает таблицу маршрутизации и периодически
оповещает другие маршрутизаторы RIP в сети о том, какие сети ему
доступны, а также о невозможности доступа к сетям. В RIP версии 1 для
рассылки оповещений используются широковещательные (broadcast)
пакеты, а в версии 2 — multicast-пакеты.

Каждая строка в таблице маршрутизации RIP содержит адрес назначе-
ния. следующий шаг на пути к назначению и метрику. Метрика указы-
вает число шагов до точки назначения или «стоимость» маршрута. В
таблице маршрутизации может быть и иная информация, такая как
временные характеристики маршрутизатора. В качестве примера далее
показаны таблицы маршрутизации для ситуации, изображенной на
рисунке.

Связи между четырьмя сетями

Изначально в каждой таблице маршрутизации содержатся строки о
связях, примыкающих к конкретному серверу. В дальнейшем маршру-
тизатор периодически получает от других маршрутизаторов информа-
цию о том, какие маршруты доступны через них.

В таблице 8-1 показана таблица маршрутизации для маршрутизатора Б.

Таблица 8-1

От Б до

Интерфейс

Метрика

Б

Локальный

0

А

1

1

В

^

1

Г

4

1

В таблице для маршрутизатора А изначально были пути от А до Б и от
А до Г, так как они подключены непосредственно к этому маршрутиза-
тору. Маршрутизатор Б периодически посылает свою таблицу маршру-
тизатору А, после чего его таблица маршрутизации принимает вид.
изображенный в таблице 8-2.

Таблица 8-2

От А до

Интерфейс

Метрика

А

Локальный

0

Б

1

1

V,

1

~>

Г

3

1

В таблице маршрутизатора Б имеется маршрут до 13, которого нет в
таблице маршрутизатора А. Так как А знает маршрут до Б, то в его таб-
лицу добавляется маршрут до В, но с метрикой, равной 2.

В таблице Б также имеется маршрут до Г, но в таблице А маршрут до Г
тоже есть. причем с метрикой 1. Ксли бы А использовал маршрут до Г.
взятый из таблицы Б. то метрика такого маршрута была бы 2. Поэтому
в таблице А остается маршрут с минимальным значением метрики.

RIP поддерживает только наилучший маршрут к точке назначения пу-
тем рассылки широковещательных сообщений с 30-секуидными интер-
валами или тригтсрными обновлениями. Последние происходят всякий
раз при изменении топологии сети, и сообщения для таблиц маршру-
тизации содержат эти изменения.

Главное преимущество RIP — простота его установки и использования,
а главный недостаток —то, что с ростом размера сети периодические
оповещения, рассылаемые каждым маршрутизатором, существенно по-
вышают трафик. RIP широко используется в сетях, содержащих поряд-
ка 50 компьютеров, но в больших сетях необходимы другие протоколы.

Как уже упоминалось, Windows NT 5.0 поддерживает RIP версий 1 и 2.
Особенности текущей реализации RIP следующие:

• выбор версии RIP для каждого интерфейса;

• расщепление горизонта (split horizon) — метод, предотвращающий
появление замкнутых маршрутов;

• фильтры маршрутов, позволяющие указывать сети, для которых тре-
буется выполнять или принимать оповещения;

• настраиваемые таймеры оповещений и времени жизни маршрута:

• триггерные обновления:

• поддержка строки аутентификации или сообщества для логическо-
го разделения сетей RIP в одном сегменте.

Протокол маршрутизации
Open Shortest Path First (OSPF)

Протокол OSPF был разработан в ответ на неспособность RIP обслужи-
вать большие гетерогенные сети. Важнейшее преимущество OSPF — его
эффективность: он вычисляет лучшие маршруты и требует меньше «сиг-
нальных» сообщений; а главный недостаток — сложность конфигура-
ции и увеличенное время обслуживания. Маршрутизаторы OSPF требу-
ют поддержки как базы состояния связей, так и таблицы маршрутиза-
ции, в то время как для RIP нужна только таблица маршрутизации.

Протокол OSPF основан на алгоритме SPF (Shortest Path First), вычис-
ляющем кратчайший путь между исходным и другими узлами в сети.

Вместо того, чтобы обмениваться расстояниями до точек назначения,
как в R1P, в маршрутизаторах OSPF поддерживается «карта» сети, обнов-
ляемая всякий раз при изменении ее топологии. Эта карта называется
базой состояния связен (link state database) и используется для вычис-
ления сетевых маршрутов, которые после каждого изменения тополо-
гии обязательно должны быть рассчитаны заново. В результате этих вы-
числений определяется следующий шаг на пути к точке назначения, то
есть следующий маршрутизатор, на который должны быть переданы
данные, а также связь, используемая для достижения этого маршрути-
затора. Изменения сети передаются вдоль всей сети с тем, чтобы все-
гда имелась точная копия базы данных.

Так как в маршрутизаторах OSPF поддерживается вид на всю сеть с
точки зрения каждого маршрутизатора, то отсутствует ряд проблем
(таких как замкнутые пути), характерных для RIP.

Например, в сети, изображенной на рисунке, замкнутый путь возник-
нет при использовании RIP в том случае, если связь между узлами Б и В
разорвется. Маршрутизатор Б оповестит, что связь с В порвана. Так как
у маршрутизатора А есть маршрут к В с метрикой 2, он ответит марш-
рутизатору Б и пошлет свою связь к В. Маршрутизатор Б обновит таб-
лицу и включит в нее связь с метрикой 3. Далее маршрутизаторы будут
обмениваться оповещениями и обновлениями таблиц до тех пор, пока
нс достигнут числа 16. Это называется счетом до бесконечности (count
to infinity').

При использовании в той же самой сети OSPF замкнутый путь не воз-
никнет, так как если Б сообщает о том, что связь с В не существует,
маршрутизатор А обнаруживает в своей таблице маршрутизации, что
единственный путь к В проходит через Б. Поэтому он удаляет маршрут
к В и не посылает его Б.

По мере роста базы состояния связей значительно увеличиваются тре-
бования к памяти и времени вычисления маршрутов. Для разрешения
этой проблемы в OSPF сеть разбивается на множество областей, свя-
занных друг с другом магистральной областью (backbone area). Каж-
дый маршрутизатор внутри области отслеживает состояние связей
только внутри этой области и оповещает только те маршрутизаторы,
которые принадлежат к этой области. Маршрутизаторы, стоящие на

границе области, хранят базу состояния связей для области, к которой
они принадлежат и рассылают оповещения в сеть.

Итак, можно выделить следующие преимущества OSPF перед RIP:

• более быстрое отслеживание изменений сетевой топологии;

• меньший трафик в стабильных сетях при передаче информации о
маршрутизации;

• большая надежность инфраструктуры маршрутизации за счет изо-
лированности каждой области;

• не подверженность циклическим связям.

Входящий в Windows NT 5.0 маршрутизатор OSPF фирмы Bay Networks,
обладает следующими возможностями:

• фильтрами маршрутов для управления взаимодействием с другими
протоколами маршрутизации;

• динамической реконфигурацией всех параметров;

• возможностью сосуществования с RIP;

• динамическим добавлением и удалением интерфейсов.

Протоколы маршрутизации IPX

Если перед RRAS был установлен протокол NWLink, то маршрутизация
по IPX для каждого интерфейса будет установлена автоматически.

Routing Information Protocol for IPX

RIP for IPX — простой широковещательный протокол, используемый
для обмена маршрутами IPX по сети. Он объявляет маршруты вдоль
каждого сегмента в сети. За счет периодичности конфигурации марш-
рутизаторы имеют текущую информацию о ней.

В RRAS поддерживаются фильтры сетевых маршрутов, позволяющие
разделять рассылаемые и принимаемые маршруты, а также конфигури-
ровать таймеры оповещения.

Service Advertising Protocol (SAP)

Протокол SAP позволяет узлам, предоставляющим услуги (например,
серверам файлов или печати) сообщать свои адреса и вид услуг.

Маршрутизаторы IPX периодически рассылают по сети сообщения для
поддержания синхронизации между сетями. По умолчанию это проис-
ходит каждые 60 секунд. Также маршрутизаторы рассылают оповещения
всякий раз при обнаружении изменений в межсетевой конфигурации.

Возможности удаленного доступа

Сервер удаленного доступа Windows NT (RAS) позволяет одновремен-
но подключаться 256 удаленным клиентам. К Windows NT Workstation
может подключиться только один удаленный клиент. RAS поддержива-
ет протоколы:

• IP для доступа к сетям TCP/IP;

• IPX для доступа к серверам и принтерам NetWare;

• NetBIOS поверх IPX, TCP/IP или NetBEUI;

• РРР:

• РРТР.

Также поддерживаются приложения, использующие Windows Sockets
поверх TCP/IP или IPX, named pipes, RPC (Remote Procedure Call) и LAN-
Manager API.

Для подключения к RAS-серверу могут использоваться как обычные
телефонные линии, 'гак и выделенные линии с использованием моде-
ма или пула модемов. Более быстрая связь обеспечивается сетями ISDN
или Х.25.

Сервер удаленного доступа предоставляет развитые средства защиты.
Аутентификация может производиться как системой безопасности Win-
dows NT, так и с применением протокола RADIUS.

Сервер удаленного доступа Windows NT может быть использован для
построения виртуальных корпоративных сетей с защищенными тунне-
лями, проходящими через общедоступные сети такие, как Интсрнет.

Клиентская часть также обладает широким спектром возможностей.
Новое подключение создается с помощью программы-мастера. Под-
ключение возможно как к серверам на базе Windows NT, так и к иным.
Поддержка протоколов SLIP и РРР позволяет подключаться к Интерне-
ту через поставщиков услуг без дополнительного программного обес-
печения.

Адресная книга может хранить альтернативные телефонные номера для
каждого из соединений и перебирать их в автоматическом режиме. При
подключении к удаленному ресурсу доступен встроенный автодозвон.

Рассмотрим эти и другие возможности подробней,

Point-to-Point Tunelling Protocol (PPTP)

Сетевая технология PPTP появилась в Windows NT с 4 версии. Она дает
возможность организовывать виртуальные корпоративные сети (ВКС)
путем безопасного соединения локальных сетей через Интсрнет.

PPTP позволяет перенести всю аппаратную часть (модемы или платы
ISDN) с сервера удаленного доступа Windows NT на фронтальные п/ю-
!^eccopы PEP (Front-End Processors'). PPTP предоставляет клиентам дос-
туп к корпоративной сети из любой точки земного шара путем подклю-
чения к Иитсрнсту либо через ISP. либо непосредственно. В любом
случае, такое подключение совершенно безопасно и использует меха-
низмы шифрования. Поддерживаются три протокола: IP, IPX и NetBEUI.

PP'l'P рассматривает существующую корпоративную сеть как PSTN, ISDN
или Х.25 сеть. Виртуальная глобальная сеть поддерживается общедос-
тупными каналами, например, Интсрнетом. Прямая выгода здесь оче-
видна — вместо дорогостоящих междугородних или международных
каналов используется стандартный и более дешевый. На рисунке пока-
зана связь двух локальных сетей через Интернет.

Для защиты канала PPTP использует алгоритмы шифрования PAP (Pass-
word Authentication Protocol) и CHAP (Challenge Handshake Authentica-
tion Protocol). Также может применяться аутентификация RADIUS.

Помимо защиты, PP'l'P позволяет использовать Иитернст в качестве ос-
новной магистрали для сетей NetBEUI или IPX за счет инкапсуляции и
шифрования РРР пакетов. Таким образом, виртуальная корпоративная
сеть не обязательно должна работать по TCP/IP.

Туннели РРТР существуют в двух видах: принудительном (или обяза-
тельном) или произвольном (не обязательном). Категория принудитель-
ных туннелей делится на два класса: статические и динамические.
Статические туннели можно, в свою очередь, разделить на автомати-
ческие и базируемые на сферах.

Принудительные и произвольные туннели

Эти два вида туннелей различаются по способу создания и месту рас-
положения конечной точки с клиентской стороны. Как следует из на-
звания, произвольные туннели создаются пользователями, и конечная
точка туннеля располагается на компьютере пользователя.

При произвольном туннелировании можно открыть защищенный ка-
нал через Интернет и одновременно использовать обычный протокол
TCP/IP для доступа к ресурсам Интернета. Например, Николай (см. ри-
сунок) может подключиться через туннель к интрасети своей компа-
нии и при этом получать новости телеконференций с сервера NNTP.

Принудительные туннели создаются без участия, а, порой, — более
того — без уведомления пользователя. Конечная точка туннеля со сто-
роны клиента располагается на сервере удаленного доступа. Весь тра-
фик с клиентских станций переправляется в туннель сервером RAS.

При этом клиент может получить доступ к ресурсам за пределами кор-
поративной интрасети, но лишь под контролем администраторов сети.
Таким образом, принудительные туннели позволяют осуществлять кон-
троль за доступом.

Однако эффективная полоса пропускания принудительных туннелей
уже, чем произвольных. Это связано с тем, что по одному туннелю од-
новременно может быть установлено несколько каналов связи.

Произвольные туннели

Принудительное туннелирование

Если сравнить два приведенных выше рисунка, то Вы увидите, что при
произвольном туннелировании каждый пользователь имеет свой соб-
ственный отдельный канал, а при принудительном — оба клиента ис-
пользуют один и тот же канал.

Статические и динамические
принудительные туннели

Для конфигурирования статических туннелей требуется либо специа-
лизированное оборудование (автоматические туннели), либо ручная
настройка (туннели, основанные на областях). При автоматическом
туннелировании для передачи графика используется существующая
инфраструктура Интернета, но могут потребоваться выделенные линии
и оборудование для сетевого доступа, что повышает расходы. Допустим,
пользователю необходимо каким-то образом подключиться к постав-
шику УСЛУГ Интернета. При туннелировании, основанном на сферах,
сервер удаленного доступа определяет направление передачи данных
пользователя в зависимости от части его имени (называемого сферой).
Например, конечная точка туннеля для пользователей из сферы entcr-
pri.ru будет отличаться от конечной точки для пользователей из с4''еры
corporat.ru.

Достоинство туинелирования по сферам — простота реализации, а
недостаток — сложность псренастройки. Да и не всегда требуется, что-
бы у всех пользователей из одной сферы была единая конечная точка.

Динамические туннели обеспечивают наивысшую гибкость из всех
схем туннелирования за счет того. что туннель выбирается отдельно
для каждого пользователя в момент его подключения к серверу удален-
ного доступа. Пользователи, принадлежащие к одной сфере, могут на-
правляться в различные туннели в зависимости от их имени, принад-
лежности к тому или иному отделу, положению сервера RAS и т. п. Ди-
намическое туннелирование практически не требует настройки и мо-
жет управляться с центрального узла. Обратная сторона медали — не-
обходимость получать данные для конфигурирования сеанса «на лету».
Наиболее распространенный способ для этого — использование про-
токола RADII'S.

Протокол Remote Authentication Dial In User Service
(RADIUS)

Протокол RADIUS в настоящее время — один из наиболее популярных
методов аутентификации и авторизации удаленных пользователей. Это
облегченный, основанный на UDP протокол обладает следующими
ключевыми функциями.

• Модель клиент-сервер. Сервер доступа к сети выступает как кли-
ент RADIUS. Он отвечает за передачу пользовательской информации
назначенным серверам RADIUS с последующей обработкой ответа.

Серверы RADIUS принимают запросы на подключения от пользова-
телей и возвращают клиенту необходимую для обслуживания пользо-
вателя информацию о конфигурации. Сервер RADIUS может высту-
пать в качестве прокси-клиента для других серверов RADIUS или
иных серверов аутентификации.

• Сетевая безопасность. Транзакции между клиентом и сервером
RADIUS av'1'снтифицируются с использованием общего секрета, ко-
торый никогда не передастся но сети. Дополнительно шифруются все
пароли пользователей, передаваемые от клиента к серверу RADIUS.

• Гибкие механизмы аутентификации. Сервер RADIUS может
поддерживать различные методы аутентификации пользователей,
среди которых РРР РАР или CHAP. вход UNIX и пр.

• Расширяемость протокола. Новые атрибуты добавляются без из-
менения существующих реализации протокола.

Так как протокол RADIUS может передавать данные об авторизации, то
он вполне подходит для передачи информации при установке динами-
ческих туннелей. Для этого надо определить:

• атрибуты для передачи данных, необходимых при создании нового
или использовании существующего туннеля;

• стратегию использования.

К информации, необходимой для установления нового туннельного
соединения, относятся:

• протокол туннелирования (РРТР. L2TP);

• адрес нужного сервера туннеля:

• транспортная среда туннеля (некоторые протоколы туннелирова-
ния — например, L2TP — -могут работать в различных средах таких.
как Х.25. АТМ, IP):

• адрес клиента туннеля (сервера доступа в сеть);

• уникальный идентификатор туннельного подключения.

В динамических принудительных туннелях три возможности аутенти-
фикации и авторизации пользователей:

• однократная на конце туннеля, подключенного к серверу удаленно-
го доступа;

• однократная на конце туннеля, подключенного к серверу удаленно-
го доступа, с последующей передачей ответа RADIUS на удаленный
конец туннеля:

• на обоих концах туннеля.

Первая возможность подразумевает, что оператор сервера туннеля до-
верял оператору сервера доступа к сети. Вторая модель соответствует
модели доверия, но плохо масштабируется из-за аутентификации от-
ветных сообщений. Третья модель наиболее надежна и хорошо масш-
табируема, так как позволяет выполнять аутентификацию на обоих

концах туннеля. Если при этом поддерживается RADIUS-прокси, то
можно на обоих концах использовать одно имя пользователя и пароль.
Последовательность событий при инициализации туннельного соеди-
нения может выглядеть так, как на рисунке.

Выполнение аутентификации

Удаленный пользователь дозванивается до сервера удаленного доступа
и вводит пароль (1). Сервер RAS использует RADIUS для проверки па-
роля и получения (через локальный прокси-сервер) атрибутов, содер-
жащих адрес определенного сервера РРТР, к которому надо подключить
пользователя (2-5). Сервер RAS открывает туннельное подключение к
указанному серверу. РРТР-сервер повторно аутентифицирует пользова-
теля (6), проверяя пароль на том же самом сервере RADIUS, который
использовался во время начального обмена (7, 8). Если между операто-
ром серверов RAS и RADIUS прокси- и оператором серверов РРТР и
RADIUS существовали деловые отношения, то возможно использование
одинаковых имен и паролей на обоих концах.

Повышение пропускной способности канала

Используя в качестве линии связи между двумя локальными сетями
обычные телефонные каналы, Вы, тем самым обрекаете себя на доста-
точно невысокую скорость обмена. Сегодня это 9 600—19 200 Кбит/с.
Понятно, что для нормального взаимодействия двух локальных сетей
этого совершенно недостаточно.

В Windows NT 5.0 встроена возможность Multilink, позволяющая соеди-
нить два компьютера по нескольким телефонным каналам параллель-
но. Суммарная пропускная способность такого канала увеличивается
пропорционально числу задействованных телефонных линий.

Использование сетей Х.25

Windows NT RAS поддерживает подключение к сетям Х.25. Доступ мо-
жет осуществляться двумя способами: через Асинхронные ассемблеры-
дизассемблеры пакетов PAD (Asyncronous Packet Assembler/Disassebler)
и непосредственно с помощью специальных плат (smart cards). Первый
метод доступен только для клиентов (Windows или Windows NT), а вто-
рой — как для клиентов, так и для серверов.

Внимание! Текущая версия сервера удаленного доступа поддержива-
ет работу только с PAD, настроенными на передачу 8 бит данных, 1
стоп-бит и отсутствие бита четности. Обратитесь к документации на ис-
пользуемый PAD для его конфигурирования соответствующим образом.

На рисунке показано подключение клиента к сети корпорации через
сеть Х.25 с использованием PAD. Когда PAD получает пакет из сети Х.25,
он преобразует его в пакет коммуникационной линии, а пакеты, посту-
пающие из нее — в пакеты Х.25. Это делает возможным взаимодействие
между клиентом и удаленной сетью.

Помимо подключения через PAD можно связать две сети и непосред-
ственно по сети Х.25. Для этого в компьютерах — серверах удаленного
доступа — необходимо установить специальные платы, выполняющие
роль PAD. С точки зрения сервера эти платы выглядят как набор пор-
тов связи (или. в некоторых случаях, как обычная сетевая плата). На
рисунке показан пример непосредственного подключения клиента к
сети через Х.25.

Установка и настройка компонентов RRAS

В этом разделе даны практические рекомендации по установке и кон-
фигурированию ссрвисов для работы клиентской и серверной частей
удаленного доступа, а также средств маршрутизации.

Установка клиентской части удаленного доступа

Для установки клиентской части удаленного доступа в системе нужны
модем (или иное устройство связи) и соответствующий сетевой сервис.
Для его установки зайдите в панель управления Control Panel, вызовите
программу Networks и выберите в появившемся окне вкладку Services.
После этого щелкните Add и в списке доступных сетевых сервисов вы-
берите Dial Up Client.

После перезагрузки можно приступать к конфигурированию соедине-
ний с помощью программы-мастера, расположенной в папке My Com-
puter. Программа позволяет последовательно определить ряд парамет-
ров для подключения. Если Вы желаете определить параметры дозвона

самостоятельно, то отметьте флажок I know all about phone book
entries and would rather edit the properties directly в первом шаге
программы-мастера.

В любом случае. Вам придется задать ряд параметров. Поговорим о них
особо.

Определение типа сервера удаленного доступа

В первую очередь, необходимо указать тип сервера, до которого будет
осуществляться дозвон. В программе-мастере для этого достаточно
отметить следующие флажки.

• / am calling the Internet («Я звоню в Интернет»). Если этот флажок

не отмечен, то предполагается, что тип сервера удаленного доступа —

Windows NT.

• Send ту plain text password if that's the only way to connect

(«Посылать пароль в виде обычного текста, если это единственный
способ подключиться»). Этот флажок используется при дозвоне не
на сервер NT. иначе говоря, в том случае, когда сервер «не понима-
ет» протокол аутентификации Windows NT.

• The non-Windows NT server I am calling expects me to type login
information after connecting, or to know TCP/IP address before
dialing («Сервер, до которого я дозваниваюсь, требует ввода инфор-
мации для входа после дозвона или знания адреса TCP/IP перед доз-
воном»). Этот флажок следует отметить в том случае, если, напри-
мер, Ваш поставщик услуг Интернета сообщил, что для подключе-
ния к его серверу необходимо выполнить некоторый сценарий, и, в
частности, сообщить имя и пароль входа или адрес TCP/IP, который
будет использоваться клиентской частью. Опыт показывает, что
многие поставщики услуг Интернета постепенно отказываются от
этих старых протоколов и переходят на современные, не требую-
щие исполнения сценариев.

используется шифруемая аутентификация Microsoft. При этом доступ-
но также шифрование передаваемой информации. Протокол шифро-
вания — RC4, стойкость — 40 бит. Если и в Вашей системе, и на сервере
установлен более устойчивый протокол шифрования, то дополнитель-
но отмечается флажок Require strong data encryption.

Выбор устройства связи

Следующий шаг — выбор устройства связи, которое будет использо-
ваться при соединении. Почему мы говорим именно об устройстве
связи, а не о модеме? Модем — это лишь частность. Помимо него в
качестве устройства связи может использоваться специализированная
плата подключения к сети Х.25 или иная, а также виртуальные порты
РРТР, через которые можно организовывать туннели. Список доступных
устройств приводится как в программе-мастере, так и в диалоговом
окне Edit Phonebook Entry.

В этом окне надо выбрать вкладку Basic. Помимо перечисленных выше
устройств, в списке появляется строка Multiplelines. Выбрав ее, Вы раз-
решите подключение к серверу по нескольким каналам одновременно,
что расширит полосу пропускания.

Редактирование адресной книги

Последний шаг при создании соединения — описание параметров доз-
вона: номера телефона (или нескольких номеров) и параметров модема.

Лучше определить несколько альтернативных номеров. Тогда если один
из них занят, система автоматически начнет дозвон по следующему в
списке номеру. Можно задать такую настройку, что номер, по которо-
му было выполнено удачное соединение, становится в начало списка.

Если отметить флажок Use Telephony dialing properties, то при доз-
воне будут использоваться системные параметры телефонии: код горо-

да и страны, использование префиксов, тип набора (тоновый или им-
пульсный) и т. п.

Возобновление связи

Увы, достаточно часто связь обрывается во время работы. Предполо-
жим, Вы сделали запрос к базе данных, ожидаете ответа, и вдруг преда-
тельский сигнал сообщает, что линия «приказала долго жить». Вот тут
как раз и понадобится такая полезная функция, как автоматическое
возобновление связи.

Конфигурация параметров автоматического возобновления связи

Вы можете указать такие параметры, как число попыток возобновле-
ния (по умолчанию 0), время между попытками (по умолчанию 15 с) и
время бездействия, по истечении которого Вы будете отключены от
сервера. Но помните, что и на сервере есть аналогичный временной
параметр, и то, что Вы задали на клиентской машине время большее,
чем на сервере, совершенно не гарантирует, что Вы не будете отклю-
чены раньше.

Внимание! Эта функция работает только в том случае, если запущен
сервис Remote Access Redial.

Информация об удаленном доступе

При настройке общих параметров связи для пользователя можно оп-
ределить ряд параметров, влияющих на внешнее проявление деятель-
ности клиента удаленного доступа.

• Если в диалоговом окне User Preferences на вкладке Appearance
отмечен флажок Preview phone numbers before dialing, то для

пользователя доступны номера набираемых телефонов. Для обеспе-
чения конфиденциальности лучше нс отмечать флажок.

• Флажок Show location setting before dialing важен для мобильных
пользователей. Если Вы оказались в незнакомом городе или стране,
он поможет Вам разобраться с местными телефонными кодами.

• Флажок Start dial-up detworking monitor before dialing запуска-
ет монитор состояния модема перед началом дозвона. В зависимо-
сти от настроек, монитор изображается в отдельном окне или на
панели задач.

• Флажок Show connection progress while dialing отображает про-
цесс подсоединения и аутентификации на экране.

• Флажок Close on dial задает, что диалоговое окно Dial-up Networ-
king будет закрываться в случае удачного соединения.

• Если отметить флажок Use wizard to create new phonebook ent-
ries. то для создания новых записей в телефонной книге будет ис-
пользоваться программа-мастер. Это полезно для неопытных пользо-
вателей, слабо разбирающихся в вопросах защиты сети.

• Если отмечен флажок Always prompt before auto-dialing, то у

пользователя будет запрашиваться подтверждение всякий раз при
возобновлении (или установлении по требованию) связи. В систе-
мах, играющих роль маршрутизатора между двумя локальными се-
тями, этот флажок не должен быть отмечен.

Определение параметров программы дозвона

Обратная связь

При подключении к серверу клиента, сконфигурированного для обрат-
ной связи, сервер перезванивает клиенту по номеру, который либо
предварительно задан на сервере, либо сообщается пользователем при
подключении. Такой механизм позволяет повысить защищенность Ва-
шей системы и исключить случайные звонки.

Необходимость обратной связи указывается при предоставлении при-
вилегии удаленного доступа. Для этого в диалоговом окне User Prefe-

rences надо открыть вкладку Callback и выбрать один из следующих
вариантов:

• Yes, call me back at the number below («Да, перезвонить по номе-
ру, указанному ниже»);

• Maybe, ask me during dial when the server offers («Да, спросить
во время дозвона»);

• No, skip call back («Нет, не использовать»).

Замечание. Пока пользователь не идентифицирован и с ним не ус-
тановлена обратная связь (если задан соответствующий параметр), ни-
какие данные ни от клиента, ни от сервера не передаются.

Определение параметров обратной связи

Установка сервера удаленного доступа

Для установки сервера удаленного доступа необходим соответствую-
щий сервис. Выберите на панели управления в разделе Network, затем
в появившемся диалоговом окне — вкладку Services и добавьте Dial-
up Server.

Параметры сервера можно определить в диалоговом окне Dial-Up Ser-
ver Properties. Две вкладки в этом окне: Security и TCP/IP, — соответ-
ствуют параметрам безопасности и протокола TCP/IP.

Параметры безопасности

Если Вы планируете предоставлять доступ к серверу клиентам, работа-
ющим не в Windows NT или даже не в Windows, то в окне Dial-Up
Properties на вкладке Security поставьте переключатель в положение
Allow any authentication including clear text. Помните, что пароль
при этом передается в открытом виде.

Если все предполагаемые клиенты работают в Windows NT, (например,
к случае связи двух серверов удаленного доступа, находящихся в раз-
ных филиалах), то поставьте переключатель в положение Require
Microsoft encrypted authentication. Если при этом дополнительно
отметить флажок Require data encryption, то будет выполняться шиф-
рование данных с использованием 40-битного RC4. Для пользователей
США и Канады доступен флажок Require strong data encryption, вы-
бор которого подразумевает использование 128-разрядного RC4.

Чтобы расширить полосу пропускания путем одновременного ис-
пользования нескольких каналов связи, надо отметить флажок Ena-
ble Multilink

Удаленных клиентов можно аутентифицировать при помощи средств
Windows NT или сервера RADIUS. В последнем случае необходимо за-
дать список доступных серверов RADIUS и некоторые их параметры.

Так, например, надо указать секрет, который будет использоваться на
двух сторонах туннеля.

Определение параметров TCP/IP

Конфигурируя параметры TCP/IP, Вы определяете:

• имеют ли удаленные пользователи право доступа ко всей сети, либо
должны «остановиться в дверях» сервера удаленного доступа;

• как именно назначаются адреса IP удаленным клиентам; предостав-
ляются следующие возможности:

— адреса назначаются автоматически сервером DHCP;

— адреса выбираются из статического пула, при этом необходимо
указать диапазон допустимых адресов и маску;

— удаленные клиенты запрашивают использование своего предоп-
ределенного адреса.

Настройка параметров РРТР

Если Вы планируете создавать виртуальные корпоративные сети (ВКС)
с использованием туннелирования, то необходимо установить Point-to-
point Tunelling Protocol. Так же, как и для любого другого протокола,
надо войти в панель управления, выбрать раздел Networks, а затем в
появившемся диалоговом окне — вкладку Protocols и добавить необ-
ходимый протокол в список.

Для редактирования доступны следующие параметры протокола:

• число ВКС — по умолчанию сразу после установки протокола дос-
тупно 5;

• число виртуальных портов, используемых исключительно для исхо-
дящих звонков;

• число виртуальных портов, используемых исключительно для вхо-
дящих звонков:

• число виртуальных портов, используемых исключительно для мар-
шрутизации.

Параметры РРТР

Установка маршрутизатора

В небольших сетях вместо протоколов маршрутизации можно приме-
нять статическую маршрутизацию. Чтобы компьютер, в котором уста-
новлено несколько сетевых плат, подключенных каждая к своему сег-
менту сети, выступал в качестве маршрутизатора по протоколу IP, не-
обходимо в настройках TCP/IP разрешить пересылку пакетов.

Для этого на панели управления выберите раздел Networks, затем в по-
явившемся окне — вкладку Protocols, затем — протокол TCP/IP и в ди-
алоговом окне его свойств — вкладку Routing, на которой отметьте
флажок. Enable IP Forwarding. После перезагрузки компьютера будет
сформирована статическая таблица маршрутизации.

Если же в сети Вашей организации эффективнее использовать прото-
колы маршрутизации, то установите новый сервис. Перед установкой
посмотрите, какие еще сервисы или протоколы Вам могут понадобить-
ся. Поможет Вам-таблица 8-3.

Таблица 8-3

Если требуется

Установите этот сервис или протокол

Маршрутизация по IP
Маршрутизация по IPX
Управление по SNMP
Соединение частных
виртуальных сетей

Протокол TCP/IP
NWLink IPX/SPX Compatible Transport
Сервис SNMP
Point to Point Tunelling Protocol

Для установки сервиса маршрутизации войдите в панель управления,
выберите раздел Networks, затем в появившемся окне — вкладку Ser-
vices и добавьте Router.

Маршрутизатор может использоваться для пересылки пакетов только в
локальной сети, только в глобальной сети и в комбинации локальной
и глобальной.

Если отметить в диалоговом окне Router Properties флажок Enable
LAN Routing, то будет разрешена маршрутизация между интерфейса-
ми, подключенными к сегментам локальной сети.

Если отметить флажок Enable WAN Routing, то будет разрешена мар-
шрутизация между интерфейсами, подключенными к глобальной сети
(например, между двумя виртуальными портами РРТР).

Свойства маршрутизатора
После перезагрузки сервера маршрутизатор готов к настройке.

Управление маршрутизацией
и удаленным доступом

Для управления используется утилита Routing and RAS Admin, внешне
похожая на Windows NT Explorer. В левом окне в виде древовидной
структуры показаны сетевые компоненты и протоколы маршрутизации.
в правом — выбранные интерфейсы для каждого протокола.

Окно Routing and RAS Admin...

Для конфигурирования компонентов их надо выделить правой кноп-
кой мыши.

Административные задачи

С помощью утилиты Routing and RAS Admin можно выполнять следую-
щие административные задачи:

• добавление интерфейса дозвона по требованию;

• предоставление клиентам RAS привилегий удаленного доступа:

• добавление протокола маршрутизации;

• добавление и удаление интерфейсов для выбранного протокола;

• администрирование серверов удаленного доступа;

• добавление и удаление статических маршрутов;

• добавление и удаление фильтров пакетов;

• добавление РРТР-фильтров:

• просмотр таблиц маршрутизации.

Настройка общих параметров маршрутизации по IP

Если в Вашей сети используется протокол TCP/IP, то в первую очередь
надо указать общие параметры маршрутизатора. Для этого в левой ча-
сти окна Routing and RAS Admin выделите IP Routing/Summary и,

щелкнув правой кнопкой нужный интерфейс в правой части окна, в
контекстном меню выберите Configure IP Parameters. Появится диа-
логовое окно IP Configuration с двумя вкладками.

Па вкладке General флажок Enable packet-filtering позволяет задать
фильтрацию как входных, так и выходных пакетов. Определение филь-
тров описано ниже.

В группе Event logging можно выбрать один из возможных вариантов
регистрации событий:

• Disable event logging — запрещается регистрация;

• Log errors only — регистрируются только ошибки;

• Log errors and warnings — регистрируются ошибки и предуп-
реждения:

• Log the maximum amount of information — регистрируется мак-
симально доступный объем информации.

Результаты регистрации можно просмотреть с помощью слепка консо-
ли управления Event Viewer.

На вкладке Preference Level показаны приоритеты, используемые мар-
шрутизатором. Протокол маршрутизации, имеющий меньший номер
приоритета имеет преимущество перед протоколом с большим номером.

Конфигурирование фильтров

Фильтры можно выставлять для каждого интерфейса. Для этого в левой
части окна Routing andRASAdmin выделите IP Routing/Summary и,

щелкнув правой кнопкой нужный интерфейс в правой части окна, в

контекстном меню выберите Configure Interface. Появится диалого-
вое окно свойств выбранного интерфейса с двумя кнопками — Input
filters и Output filters. Щелкнув одну из них. Вы попадете в диалого-
вое окно, где будут перечислены все фильтры, применяемые для этого
интерфейса. Щелкните кнопку Add — появится диалоговое окно Add/
Edit IP Filter

В этом диалоговом окне Вы можете указать адрес исходной сети, адрес
сети назначения, а также протокол. К указанным фильтрам можно при-
менить одно из двух правил: либо будет осуществляться прием-переда-
чи во все сети, за исключением тех. которые фильтруются; либо пере-
дача-прием будут вестись только в сети, указанные в фильтре.

Просмотр и модификация таблицы
статических маршрутов

Для просмотра и редактирования таблицы статических маршрутов мож-
но воспользоваться командой route. Однако, коль в нашем распоряжс-

иии имеется такой мощный инструмент, как Routing and RAS Admin,
остановимся на его возможностях.

Для просмотра таблицы маршрутизации в левой части окна Routing
and RAS Admin выделите IP Routing/Static Routers. Щелкните эту
строчку правой кнопкой мыши и в меню выберите команду View IP
routing table. Появится окно с таблицей маршрутизации.

Таблица маршрутизации

Для добавления нового маршрута в таблицу в левой части окна Routing
and RAS Admin выделите IP Routing/Static Routers. Щелкните эту
строчку правой кнопкой мыши и в меню выберите команду Add Static
Route. В диалоговом окне Static Route укажите адрес назначения, се-
тевую маску, шлюз. метрику и интерфейс.

Добавление статического .маршрута

Просмотр информации об интерфейсе

О каждом интерфейсе маршрутизатора можно получить исчерпываю-
щую информацию. Среди прочего. Вы можете просмотреть:

• таблицу маршрутизации:

• таблицу трансляции адресов:

• порты I'UP;

• подключения к портам TCP:

• общую информацию о TCP/IP;

• используемые адреса IP.

Для этого в левой части окна Routing and RAS Admin выделите IP
Routing/Summary и, щелкнув правой кнопкой нужный интерфейс в
правой части, выберите в контекстном меню необходимый пункт ко-
манды View.

Добавление протокола маршрутизации RIP для IP

Как уже упоминалось, добавление новых протоколов маршрутизации
входит в число административных задач, решаемых с помощью утили-
ты Routing and RAS Admin. Поскольку эта операция выполняется в це-
лом однотипно для различных протоколов, рассмотрим в качестве
примера добавление протокола RIP для IP.

Для добавления нового протокола в левой части окна Routing and RAS
Admin выделите IP Routing/Summary и, щелкнув эту строку правой
кнопкой мыши, выберите в контекстном меню команду Add routing
protocol. Появится диалоговое окно, где будут перечислены протоколы,
доступные для добавления. Выберите RIP for Internet Protocol.

Вслед за этим на экране появится диалоговое окно RIP for Internet
Protocol Configuration, где конфигурируются параметры протокола.
Вы можете:

• установить минимальный интервал между триггерными обновлени-
ями (по умолчанию 5 с);

• определить степень подробности при регистрации в журнале.

Учтите, что чем подробнее регистрируемая информация, тем сильнее
это сказывается на производительности маршрутизатора. Па вкладке
General предлагаются следующие варианты:

• Disable event-logging — запрет регистрации;

• Log errors only — регистрировать только ошибки;

• Log errors and warnings — регистрировать только ошибки и пре-
дупреждения;

• Log the maximum amount a/information — регистрировать мак-
симально возможный объем информации;

На вкладке Security можно выбрать маршрутизаторы, оповещения ко-
торых будут учитываться или игнорироваться. Возможен один из трех
вариантов:

• от всех;

• только от включенных в список:

• от всех, за исключением включенных и список.

В этом же диалоговом окне можно составить список таких исключи-
тельных маршрутизаторов.

Добавление интерфейса дозвона по требованию

Сеть с подключением по требованию может быть настроена как толь-
ко на исходящие соединения, 'гак и на комбинацию исходящих и вхо-
дящих соединений. Использование только исходящих соединений це-
лесообразно, например, в том случае, если центральный узел периоди-
чески осуществляет подключения к периферийным станциям. Если же
у предприятия несколько филиалов, для обмена пакетами между ними
удобнее комбинация исходящих и входящих соединений.

В утилиту Routing and RAS Admin входит программа-мастер, помогаю-
щая устанавливать соединения по требованию пошагово и без ошибок.
Для вызова программы-мастера выберите LAN and Demand Diallnter-
faces, щелкните правой кнопкой мыши и укажите Add Interface. Ниже
подробно расписаны шаги. которые необходимо выполнить для опре-
деления соединения, устанавливаемого по требованию.

Предположим, что осуществляется дозвон из Петербурга в Москву.
При этом каждый маршрутизатор должен иметь интерфейс, соответ-
ствующий звонящему маршрутизатору. После поступления звонка имя
пользователя на удаленном маршрутизаторе сравнивается с именем на
локальном.

Итак, попробуем сконфигурировать подключение по требованию.

1. На маршрутизаторе в Петербурге создайте интерфейс для Москвы с
названием «Moscow»:

— в окне утилиты Routing and RAS Admin щелкните правой кноп-
кой мыши LAN and Demand Dial Interfaces и выберите Add
Interface,

— в окне Demand-Dial Wizard программы-мастера в поле Entry

Name введите «Moscow».

2. Укажите протоколы и параметры безопасности, а именно, следует ли:

— пересылать через этот интерфейс пакеты IP;

— пересылать через этот интерфейс пакеты IPX;

— добавить учетную запись пользователя с тем, чтобы удаленный
маршрутизатор мог дозвониться (если да, можно дополнительно
указать на необходимость аутентификации удаленного маршру-
тизатора при дозвоне):

— разрешить передачу пароля в виде плоского текста;

— вводить дополнительную информацию после соединения с уда-
ленным маршрутизатором Windows NT, а также знать свой IP-
адрес до соединения.

Шаг 2: используемые протоколы и параметры безопасности

3. На маршрутизаторе в Москве добавьте интерфейс для Петербурга с
названием «Petersburg»:

— в окне утилиты Routing and RAS Admin щелкните правой кнопкой
мыши LAN and. Demand Dial Interfaces и выберите Add Interface;

— в окне Demand-Dial Wizard программы-мастера в поле Entry

Name введите «Petersburg».

4. На маршрутизаторе в Петербурге определите полномочия дозвона
на маршрутизатор в Москве:

— щелкните правой кнопкой мыши интерфейс Moscow и укажите
Set Credentials:

— и диалоговом окне Interface Credentials введите в поле User

Name название «Petersburg»;

— введите в поле Password пароль.

[Лаг 4: определение полномочий дозвона

5. На маршрутизаторе в Москве создайте пользователя Petersburg с со-
ответствующим паролем (используйте для этого слепок консоли
управления Directory Management).

Теперь все подготовлено для связи по требованию Петербург—Москва.
Если же необходима и встречная связь, следует добавить нового пользо-
вателя на маршрутизаторе в Петербурге, а на маршрутизаторе в Моск-
ве — полномочия дозвона.

Управление серверами удаленного доступа

Для управления серверами удаленного доступа в домене также исполь-
зуется программа Routing and RAS Admin. С ее помощью можно подклю-
читься к нескольким серверам RAS и включить их в древовидную струк-
туру в левой части окна. Каждому из серверов в этой структуре будет
соответствовать ветвь Active Connections and Ports.

Выбрав этл' ветвь. Вы увидите в правой части окна все активные и неак-
тивные порты. На рисунке показан пример, когда на сервере шесть пор-
тов (пять виртуальных РРТР и один модсмный) и все они не активны.

Если выбрать любой из этих портов и щелкнуть его правой кнопкой
мыши, то появится контекстное меню. С помощью команд этого меню
можно:

• узнать текущее состояние порта (Status);

• принудительно отключить пользователя (Disconnect);

• послать пользователю, подключенному к данному порту, сообщение
(Send message);

• послать сообщение всем пользователям (Send to all).

Конфигурирование маршрутизируемых
сетей

Здесь наиболее интересны типовые ситуации и сценарии использова-
ния RRAS для маршрутизации в различных условиях. Мы рассмотрим
подробно следующие вопросы:

• маршрутизируемая сеть в небольшом офисе:

• маршрутизируемая сеть в офисе среднего размера;

• корпоративная сеть;

• сеть подразделения;

• домашняя сеть.

Маршрутизируемая сеть в небольшом офисе

Сеть небольшого офиса обладает следующими характеристиками:

• несколькими сегментами ЛВС (например, отдельные сегменты на
каждом этаже или в каждом крыле здания);

• только одним сетевым протоколом (IP или IPX) в каждом сегменте;

• закрытостью, то есть отсутствием соединения с другими сетями.

Типовая конфигурация изображена на рисунке.

DHCP сервер/DNS

Типовая конфигурация сети .малого офиса

В каждом маршрутизаторе по две сетевые платы, каждая плата подклю-
чена к своему сегменту сети. Так как сеть небольшая, то выбираем сеть
класса С, что позволит использовать до 254 компьютеров в каждом
сегменте. Для приведенного на рисунке примера можно назначить ад-
реса. приведенные в таблице 8-4.

"аблица 8-4

егмент

Сеть

IP

Маска

еть А
сть Б
сть В

200.1
200.1
200.1

.1.0
.2.0
.5.0

255.255.255.0
255.255.255.0

255.255.255.0

Как показано в таблице адресов, сетевым картам маршрутизатора 1
можно присвоить адреса: 200.1.1.1 (подключенной к сети А) и 200.1.2.1
(подключенной к сети Б). Соответственно, сетевые карты маршрутиза-
тора 2 будут иметь адреса: 200.1.2.2 (подключенная к сети 2) и 200.1.3.1
(подключенная к сети 15). Всем остальным компьютерам в каждой из
подсетей также назначаются адреса либо вручную, либо с помощью
DHCP. В том случае, если для автоматического назначения адресов ис-
пользуется DHCP-сервер, оба маршрутизатора должны иметь сконфи-
гурированного агента передачи DHCP/BOOTP. Это позволит клиентам
сетей А и В получать адреса, назначаемые расположенным в сети Б
1)1 ЮР-сервсром.

Для настройки RRAS с помощью утилиты Routing arid RAS Aclrnin добав-
ляют статические маршруты для каждого из маршрутизаторов. Так, для
маршрутизатора 1 для сетевого интерфейса, подключенного к сети Б,
добавляют маршрут, показанный в таблице 8-5.

Таблица 8-5

Назначение

Маска

Шлюз

Метрика

Интерфейс

200.1.3.0

255.255.255.0

200.1.2.2

?

[1] Название-
сетевой платы

/]дя маршрутизатора 2 для сетевого интерфейса, подключенного к сети,
добавляют маршрут, показанный в таблице 8-6.

Таблица 8-6

Назначение Маска

Шлюз

Метрика

Интерфейс

200.1.1.0 255.255.255.0

200.1.2.1

^

[1J Название
сетевой платы

Устанавливают агент передачи DHCP (DHCP Relay Agent) на обоих мар-
шрутизаторах и конфигурируют их для его использования.

Убедитесь в работоспособности DHCP-сервсра, а также сервера WINS
или DNS (в зависимости от того. что Вы используете).

Маршрутизируемая сеть в офисе среднего размера

Сеть офиса среднего размера обладает следующими характеристиками:

• несколькими сегментами ЛВС (например, отдельные сегменты на
каждом этаже или в каждом крыле здания);

• только одним сетевым протоколом (IP или IPX) в каждом сегменте:

• подключением удаленных пользователей по коммутируемым каналам.

Отдельные сегменты в такой сети могут быть как 10 Мб Ethernet, так и
Token Ring, но связаны они между собой скоростной магистралью, вы-
полненной на базе 100 Мб Ethernet, FDDI и т. п. (см. таблицу 8-6).

Таблица 8-6

Маршрутизатор

Подключение

Среда

1

К сети А

Одна 10 Мб Ethernet

или Token Ring плата

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

i

К сети Б

Одна 10 Мб Ethernet

или Token Ring плата

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

5

К сети В

Одна 10 Мб Ethernet

или Token Ring плата

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

4

Удаленного клиента по

Модем и (или) линии ISDN

коммутируемому каналу

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

Назначаемые адреса зависят от типа протокола. Для протокола IP ис-
пользуются пять сетей класса С. В каждом сегменте и на магистрали
может быть до 254 компьютеров. Сервер удаленного доступа назнача-
ет адреса клиентам из выделенного диапазона для простоты их иден-
тификации в случае поиска неисправностей (см. таблицу 8-7).

Таблица 8-7

Сегмент

Сеть IP

Маска

Магистраль
Сеть А
Сеть Б
Сеть В
Сеть Г

200.1.1.0
200.1.2.0
200.1.5.0
200.1.4.0
200.1.5.0

255.255.255.0
255.255.255.0
255.255.255.0

255.255.255.0
255.255.255.0

Всем остальным компьютерам в каждой из подсетей также назначают-
ся адреса либо вручную, либо с помощью DHCP в соответствии с диа-
пазонами, определенными в таблице 8-7.

В качестве протокола маршрутизации рекомендуется RIP версии 2. Этот
протокол необходимо сконфигурировать на всех четырех маршрути-
заторах. Если для автоматического назначения адресов используется
DHCP-сервер, маршрутизаторы 1, 2 и 3 должны иметь сконфигуриро-
ванного агента передачи DHCP/BOOTP. Это позволит клиентам сетей

А, Б и В получать адреса, назначаемые DHCP-сервером, расположенным
на магистрали.

Настройку RRAS выполняют следующим образом:

• на маршрутизаторах 1, 2 и 3 устанавливают только маршрутизацию
для локальных сетей, на маршрутизаторе 4 дополнительно — сер-
вер удаленного доступа:

• на каждом маршрутизаторе с помощью утилиты Routing and RAS
Admin:

— добавляют протокол маршрутизации RIP:

— добавляют интерфейсы для RIP;

— выбирают интерфейс, подключенный к магистрали, и устанавли-
вают' RIP версии 2;

• на маршрутизаторе 4 устанавливают модемы или иные необходимые
устройства:

• на всех маршрутизаторах устанавливают агенты передачи DHCP
(DHCP Relay Agent) и конфигурируют их для его использования.

Убедитесь в работоспособности DHCP-сервсра, а также сервера WINS
или DNS (в зависимости от того, что Вы используете).

Корпоративная сеть

Типовая корпоративная сеть обладает следующими характеристиками:

• несколькими сегментами ЛВС (например, отдельные сегменты на
каждом этаже или в каждом крыле здания);

• только одним сетевым протоколом (IP или IPX) и каждом сегменте;

• подключением удаленных пользователей по коммугируемым каналам;

• подключением к внешним сетям;

• подключением по требованию к сетям подразделений.

Отдельные сегменты в корпоративной сети могут быть как 10 Мб Ether-
net. так и Token Ring, но связаны они между собой скоростной магист-
ралью, выполненной на базе 100 Мб Ethernet, FDDI и т. п. На магистра-
ли, как правило, располагаются и мощные серверы предприятия. Под-
ключение к внешним сетям (Интсрнету) осуществляется по выделен-
ным линиям или Frame Relay. Подключение к сетям филиалов выпол-
няется по коммутируемым каналам (ISDN или аналоговые модемы) или
по специализированным каналам (выделенные линии или Frame Relay).
Далее предполагается, что подключение выполняется по коммутируе-
мым каналам с дозвоном по требованию, что гораздо более выгодно
по стоимости по сравнению со специализированными каналами (см.
таблицу 8-8).

Таблица 8-8

Маршрутизатор

Подключение

Среда

1

К сети А

Одна 10 Мб Ethernet

или Token Ring плата

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

2

К сети Б

Одна 10 Мб Ethernet

или Token Ring плата

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

5

К сети В

Одна 10 Мб Ethernet

или Token Ring плата

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

4

Удаленного клиента по

Модем и (или) линии ISDN

коммутируемому каналу

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

5

К внешней сети

Одна выделенная линия

(56 К/Т1) или плата Frame

Relay

К магистрали

Одна плата 100 Мб Ethernet

или FDDI

Таблица 8-8 (продолжение)

Маршрутизатор

Подключение

Среда

6

К сети 4^илиала
К магистрали

Один или несколько моде-
мов и (или) линий ISDN
Одна плата 100 Мб Ethernet
или FDDI

При выборе адресного пространства IP следует принимать во внима-
ние тот факт, что сеть подключена к внешней сети через маршрутиза-
тор 5, и схема адресации должна быть однородна с используемой во
внешней сети. Предположим, что используется одна или несколько
сетей класса В, разбитых на подсети. В каждом сегменте до 254 адре-
сов, а если нужно больше 254 адресов, то следует сконфигурировать
новый сегмент, а не увеличивать диапазон адресов. Учитывая возмож-
ность роста сети в будущем, в сетях филиалов также используются ди-
апазоны в 254 адреса, несмотря на то, что в настоящий момент в фи-
лиалах может быть существенно меньше компьютеров.

Типовая карта адресов приведена в таблице 8-9.
Таблица 89

Сегмент

Сеть IP

Маска

Магистраль

155.55.1.0

255.255.255.0

Сеть А

155.55.2.0

255.255.255.0

Сеть Б

155.55.3.0

255.255.255.0

Сеть В

155.55.4.0

255.255.255.0

Сеть Г

155.55.5.0

255.255.255.0

Сеть Д

155.55.128.0

255.255.255.0

Сеть Е

Внешняя сеть

—

Всем остальным компьютерам в каждой из подсетей также назначают-
ся адреса либо вручную, либо с помощью DHCP в соответствии с диа-
пазонами, определенными в таблице 8-9.

В качестве протокола маршрутизации в корпоративных сетях обычно
используется OSPF, как более эффективный. Этот протокол следует
сконфигурировать на всех шести маршрутизаторах, а на маршрутиза-
торах 5 и 6 — дополнительно протокол RIPv2 или статическую марш-
рутизацию на внешнюю сеть.

Если для автоматического назначения адресов используется DHCP-cep-
вер, маршрутизаторы 1, 2, 3 и б должны иметь сконфигурированного
агента передачи DHCP/BOOTP. Это позволит клиентам сетей А, Б, В и Д
получать адреса, назначаемые расположенным на магистрали DHCP-
сервером.

Если внешняя сеть не является безопасной (например, Интернет), то на
маршрутизаторе 5 необходимо дополнительно установить Microsoft
Proxy Server или брандмауэры сторонних фирм для ограничения дос-
тупа в корпоративную сеть извне.

Настройку RRAS выполняют следующим образом:

• на каждом маршрутизаторе с помощью утилиты Routing and RAS
Admin добавляют протокол маршрутизации OSPF и разрешают его
использование для каждого интерфейса;

• на маршрутизаторах 5 и 6 конфигурируют статическую маршрути-
зацию или rIPv2 для интерфейсов, подключенных к внешней сети;

• на маршрутизаторе 4 устанавливают модемы или иные необходимые
устройства связи;

• на всех маршрутизаторах устанавливают агенты передачи DHCP
(DHCP Relay Agent) и конфигурируют маршрутизаторы для их ис-
пользования;

• проверяют работоспособность DHCP-сервера, а также WINS или DNS
сервера (в зависимости от того, что Вы используете);

• конфигурируют Microsoft Proxy Server для обеспечения доступа к
ресурсам Интернета.

Сеть подразделения (филиала)

Мы рассмотрели вопросы конфигурирования корпоративной сети,
включающей несколько филиалов. Рассмотрим вопросы организации
сети филиала подробнее.

Сеть филиала обладает следующими характеристиками:

• одним сегментом локальной сети;

• сетевыми протоколами IP и IPX;

• подключением к корпоративной сети через специализированный
канал или канал с дозвоном по требованию.

Как уже упоминалось, для сети филиала можно выделить 254 адреса с
тем, чтобы обеспечить рост сети в будущем. Так как сеть небольшая, то
незачем устанавливать протоколы маршрутизации — целесообразнее
сконфигурировать статические маршруты на маршрутизаторе RRAS.
Всем остальным компьютерам в сети адреса назначаются либо вручную,
либо с помощью DHCP. Если для автоматического назначения адресов
используется DHCP-сервер, маршрутизатор должен иметь сконфигури-
рованного агента передачи DHCP/BOOTP с тем, чтобы клиенты полу-
чали адреса с сервера корпоративной сети. Так как при обращении к
локальным ресурсам филиала не выполняется соединение с корпора-
тивной сетью по требованию, то необходимо установить сервер WINS
или DNS, которые будут использоваться для разрешения локальных
имен.

Домашняя сеть

Рассмотрим теперь небольшую домашнюю сеть, подключенную к Ин-
тернету. Характерные черты такой сети:

• один сегмент;

• протокол IP;

• подключение к поставщику услуг Интернета (ISP) по коммутируемо-
му или выделенному каналу с дозвоном по необходимости.

На рисунке показан пример такой домашней сети.

На маршрутизаторе необходимо сконфигурировать сетевой адаптер и
установить модем или иное устройство для подключения к ISP. ISP, как
правило, назначает подсети класса С для домашних сетей. В рассмат-
риваемом примере диапазон адресов — 14, номер сети — 198.1.1.16, а
маска — 255.255.255.240. Протоколы маршрутизации в столь малой сети
не нужны, достаточно указать статические маршруты на маршрутиза-
торе. Домашние компьютеры необходимо сконфигурировать для ис-
пользования DNS ISP, почтовых серверов, серверов новостей и т. д. Кро-
ме того, следует установить фильтры для внешнего интерфейса, чтобы
исключить просмотр содержимого Вашего компьютера из Интернета.

Заключение

Средства удаленного доступа всегда были одной из сильных сторон
Windows NT. Поддержка различных сетевых протоколов и протоколов
связи, возможность работы с большим количеством клиентов одновре-
менно, шифрование аутентификации и передаваемых по каналу дан-
ных, организация виртуальных туннелей через общедоступные сети, —
все эти привлекательные моменты позволяли широко использовать
службы удаленного доступа Windows NT в небольших сетях.

Развитые средства маршрутизации с использованием современных
протоколов маршрутизации, авторизация RADIUS, а также ряд других
нововведений, позволяют успешно применять Windows NT в качестве
сервера удаленного доступа в сетях средних и крупных организаций.

ПРИЛОЖЕНИЕ А

Атрибуты и классы
схемы Active Directory

Атрибуты

Account-Expires

Assign-Primary-Token-Privilege

Account-Logon-Audit

Assistant-Name

Account-Management-Audit

Assoc-NT-Account

Activation-Schedule

Attribute-ID

Activation-Style

Attribute-Security-GUID

Additional-Information

Attribute-Syntax

Address

Audit-Privilege

Address-Entry-Display-Table

Auditing-Policy

Address-Entry-Display-Table-MSDOS

Auth-Orig

Address-Syntax

Auth-Orig-BL

Address-Type

Authentication-Options

ADMD

AutoReply

Admin-Context-Menu

AutoRcply-Message

Admin-Count

AutoReply-Subject

Admin-Description

Auxiliary-Class

Admin-Display-Name

Backup-Privilege

Admin-Property-Pages

Bad-Password-Time

Alias-Count

Bad-Pwd-Count

Allow-Auto-Connections

Batch-Access

Alt-Recipient

Birth-Location

Alt-Recipient-BL

Builtin-Account-Operators-Group

Alternate-Security-Identities

Builtin-Administrators-Group

App-Flags

Builtin-Backup-Group

Application-Name

Builtin-Creation-Time

Applies-To

Builtin-Guest-Group

Asset-Number

Builtin-Modified-Count

Builtin-Print-Operators-Group

Cost

Builtin-Replicator-Group

Country-Code

Builtin-Server-Operators-Group

Country-Name

Builtin-Users-Group

Create-Pagefile-Privilege

Business-Category'

Create-Permanent-Privilege

Business-Roles

Create-Token-Privilege

Bytes-Per-Minute

Creation-Time

CA-Certificate

Creation-Wizard

CA-Exchange-Certificate

Curr-Machine-Id

CA-Exchange-Certificate-Chain

Current-Location

CA-Signature-Certificate

Current-Value

CA-Signature-Certificate-Chain

DBCS-Pwd

Change-Notify-Privilege

Debug-Privilege

Change-Pwd-Logon-Required

Default-Class-Store

Code-Package

Default-File-Extension

Code-Page

Default-Group

COM-App-Id

Default-Hiding-Value

COM-Auto-Convert-Class-Id

Default-Inter-Site-Schedule

COM-ClassID

Default-Intra-Site-Schedule

COM-InterfaceID

Default-Local-Policy-Object

COM-Other-Prog-Id

Default-Priority

COM-Package-Id

Default-Security-Descriptor

COM-ProgID

Deliv-Cont-Length

COM-PS-CLSID

Deliv-EITs

COM-Treat-As-Class-Id

Deliv-Ext-Cont-Types

COM-Typelib-Id

Deliver-And-Redirect

Com-Uniquc-Cat-Id

Delivery-Mechanism

COM-LInique-CLSID

Department

COM-Unique-IID

Description

COM-Unique-LIBID

Desktop-Profile

COM-Unique-Package-Id

Destination-Indicator

Comment

Detailed-Tracking-Audit

Common-Name

Diagnostic-reg-key

Company

Directory-Service-Access-Audit

Computer-Name

Display-Name

Consistency-DLL

Display-Name-Override

Consistency-GUID

Display-Name-Printable

Contact-Name

Display-Specification

Container-Administrators

Division

Container-Info

DL-Mem-Reject-Perms

Content-Indexing-Allowed

DL-Mem-Reject-Perms-BL

Context-Menu

DL-Mem-Submit-Perms

Control-Access-Rights

DL-Mem-Submit-Perms-BL

DL-Mcmbcr-Rule

Domain-Cross-Ref

DMD-Location

Domain-Friendly-Name

Dns-Allow-Dynamic

Domain-Name

Dn.s-Allow-XFR

Domain-Object-Reference

Dns-Notify-Secondaries

Domain-Policy-Object

Dns-Root

Domain-Policy-Reference

Dns-RR-Set-Type-1

Domain-Replica

Dns-RR-Set-Type-10

Domain-Replicas

Dns-RR-Set-Type-11

Domain-Wide-Policy

Dns-RR-Set-Type-12

Driver-Name

Dns-RR-Set-Type-13

Driver-Version

Dns-RR-Set-Type-14

Dynamic-LDAP-Server

Dns-RR-Set-Type-15

E-mail-Addresses

Dns-RR-Set-Type-16

EFSPolicy

Dns-RR-Set-Type-17

Employee-ID

Dns-RR-Set-Type-18

Enabled-Connection

Dns-RR-Set-Type-19

Enabled-Protocols

Dns-RR-Set-Type-2

Encrypt-Key-Cert

Dns-RR-Set-Typc-20

Execution-Context

Dns-RR-Set-Type-21

Expiration-Time

Dns-RR-Set-Type-22

Extended-Chars-Allowed

Dns-RR-Set-Type-23

Extension-Attribute-1

Dns-RR-Set-Type-24

Extension-Attribute-10

Dns-RR-Set-Type-25

Extension-Attribute-2

Dns-RR-Set-Type-26

Extension-Attribute-3

Dns-RR-Set-Type-27

Extension-Attribute-4

Dns-RR-Set-Type-28

Extension-Attribute-5

Dns-RR-Set-Type-29

Extension-Attribute-6

Dns-RR-Set-Type-3

Extension-Attribute-7

Dns-RR-Set-Type-30

Extension-Attribute-8

Dns-RR-Set-Type-31

Extension-Attribute-9

Dns-RR-Set-Type-32

Extension-Data

Dns-RR-Set-Type-33

Extension-Name

Dns-RR-Set-Type-4

Extension-Name-Inherited

Dns-RR-Set-Type-5

Facsimile-Telephone-Number

Dns-RR-Set-Type-6

Flags

Dns-RR-Set-Type-65281

Flat-Name

Dns-RR-Set-Type-65282

Folder-Pathname

Dns-RR-Set-Type-7

Force-Logoff

Dns-RR-Set-Type-8

Foreign-DSAs

Dns-RR-Set-Type-9

Foreign-Identifier

Dns-Secure-Secondaries

From-Server

Domain-Component

From-Site

FSMO-Role-Owner

Interactive-Access

Garbage-Coll-Period

International-ISDN-Number

Gencrated-Connection

Invocation-Id

(iivcn-Name

Ipsec-Policy-Rcference

Global-Friendly-Name

Is-Deleted

Governs-ID

Is-Member-Of-DL

droup-Attributes

Is-Single-Valued

Group-Count

KCC-Status

Group-Membership-SAM

Key-Exchange-Key-Cert

Group-Priority

Kc\'\vords

Groups-to-Ignore

Language

Ha.s-Full-Replica-NC.s

Last-Backup-Restoration-Time

Has-Master-NCs

Last-Content-Indexed

Hclp-Datal6

Last-Logoff

Help-Data32

Last-Logon

Help-File-Namc

Last-Set-Time

Heuristics

Last-Update-Sequence

Hide-DL-Mcmbership

LDAP-Display-Name

Hide-From-Address-Book

Link-ID

Home-Directory

Link-Track-Sccret

Home-Drive

Lm-Pwd-History

Home-MDB

Load-Driver-Privilege

Home-MDB-BL

Local-Bridge-Head

Home-MTA

Local-Bridge-Head-Address

Home-Postal-Address

Local-Policy-Flags

Icon-Path

Local-Policy-Reference

IMO-Builtin-Account-Ops-Group

Local-Scope

IMO-Builtin-Admin-Group

Locale-ID

IMO-Builtin-Backup-Group

Locality-Name

IMO-Builtin-Guest-Group

Localized-Name

IMO-Builtin-Print-Ops-Group

Location

IMO-Builtin-Replicator-Group

Lock-Memory-Privilege

IMO-Builtin-Server-Ops-Group

Lock-Out-Observation-Window

IMO-Builtin-Users-Group

Lockout-Disconnect

Implemented-Categories

Lockout-Duration

Imported-From

Lockout-Threshold

Inbound-Sites

Log-Rollover-Interval

Increase-Base-Priority-Privilege

Logo

Increase-Quota-Privilege

Logon-Audit

Initial-Auth-Incoming

Logon-Count

Initial-Auth-Outgoing

Logon-Hours

Initials

Logon-Workstation

Instance-Type

LSA-Creation-Time

LSA-Modified-Count

Monitoring-Cached-Via-Mail

Machine-Account-Privilege

Monitoring-Cached-Via-RPC

Machine-Architecture

Monitoring-Mail-Update-Interval

Machine-DNS-Name

Monitoring-Mail-Update-Units

Machine-DNS-Name-Form

Monitoring-RPC-Update-Interval

Machine-Password-Change-Interval

Monitoring-RPC-Update-Units

Machine-Role

Must-Contain

Machine-Wide-Policy

N-Address

Mail-nickname

Name-Prefix

Maintain-AutoReply-History

Name-Suffix

Manager

NC-Name

MAPI-Display-Type

NETBIOS-Name

MAPI-ID

Netboot-GUID

MAPI-Recipient

Netboot-Initialization

Marshalled-Interface

Netboot-Machine-File-Path

Max-Active-Queries

Netboot-NIC

Max-Page-Size

Network-Access

Max-Pwd-Age

Network-Address

Max-Query-Duration

Newsgroup

Max-Renew-Age

Next-Level-Store

Max-Sizc-All-Rcsult-Scts

Next-Rid

Max-Storage

NNTP-Character-Set

Max-Temp-Table-Size

NNTP-Content-Format

Max-Ticket-Age

Non-Security-Member

May-Contain

Non-Security-Member-BL

MDB-Over-Quota-Limit

Notification-List

MDB-Storage-Quota

NT-Group-Members

MDB-Use-Defaults

NT-Machine-Name

Member

NT-Mixed-Domain

MIME-Types

Nt-Pwd-History

Min-Pwd-Age

NT-Security-Descriptor

Min-Pwd-Length

Obj-Dist-Name

Min-Ticket-Age

Object-Access-Audit

Moderated

Object-Class

Moderator

Object-Class-Category

Modified-Count

Object-Count

Modified-Count-At-Last-Prom

Object-Guid

Moniker

Object-Sid

Moniker-Display-Name

OEM-Information

Monitored-Configurations

OlD-Type

Monitored-Services

OM-Object-Class

Monitoring-Availability-Style

OM-Syntax

Monitoring-Availability-Window

OMT-Guid

OMT-Indx-Guid

Prefix-Map

OOF-Reply-To-Originator

Primary-Ciroup-ID

Operating-System

Print-Attributes

Operating-System-Hotfix

Print-Bin-Names

Opcrating-System-Service-Pack

Print-Collate

Operating-System- Version

Print-Color

Operator-Count

Print-Duplex-Supported

Options

Print-End-Time

Organization-Name

Print-Form-Name

Organizational-! Init-Name

Print-Keep-Printed-Jobs

Original-Display-Table

Print-Language

Original-Display-Table-MSDOS

Print-MAC-Address

Other-ADS-Paths

Print-Max-Copics

Other-Login-Workstations

Print-Max-Resolution-Supported

Other-Name

Print-Max-X-Extcnt

Outbound-Sites

Print-Max-Y-Extent

Owner

Print-Media-Ready

Owner-BL

Print-Mcdia-Supported

Package-Flags

Print-Memory

Package-Name

Print-Min-X-Extent

Package-Type

Print-Min-Y-Extent

Parent-Cert-Server

Print-Network-Address

Per-Msg-Dialog-Display-Table

Print-Notify

Per-Recip-Dialog-Display-Table

Print-Number-Up

PF-Comacts

Print-Orientations-Supported

Physical-Delivery-Office-Name

Print-Owner

Physical-Location-Object

Print-Rate

Physical-Location-Object-BL

Print-Rate-Dnit

Picture

Print-Separator-File

PKT

Print-Share-Name

PKT-Guid

Print-Spooling

Policy-Change-Audit

Print-Stapling-Supported

Policy-Name

Print-Start-Time

Policy-Options

Print-Status

POP-Character-Set

Printer-Name

POP-Content-Format

Prior-Set-Time

Port-Name

Prior-Value

Poss-Superiors

Priority

Post-Office-Box

Private-Key

Postal-Address

Privilige-Usc-Audit

Postal-Code

Profile-Path

Preferred-Delivcry-Method

Profile-Single-Process-Privilege

Preferred-Oil

Property-Pages

Proxied-Object-Namc

Rcplication-Scrvicc-Command

Proxy-Access

Replication-Stagger

Proxy-Addresses

Replication-Staging-Path

Proxy-Gencration-Enabled

Replication-Status

Proxy-Lifetime

Replication-LJpdate-Timeout

Public-Delegates

Report-To-Originator

Public-Delegates-BL

Report-To-Owncr

Public-Key-Policy

Reports

Pwd-History-Length

Reps-From

Pwd-Last-Set

Rcps-To

Pwd-Propertics

Reps-To-Ext

Quality-Of-Scrvice

Required-Categories

Query-Policy-BL

Restore-Privilcge

Query-Policy-Object

Reverse-Membership

Range-Lower

Revision

Range-Upper

Rid

RDN

RID-Allocation-Pool

RDN-Att-ID

RID-Availablc-Pool

Registered-Address

RID-Manager-Reference

Rcmote-Bridge-Head

RID-Next-RID

Remotc-Bridge-Head-Addrcss

RID-Previous-Allocation-Pool

Remote-Servcr-Narne

RID-Used-Pool

Remote-Shutdown-Privilege

Rights-Guid

Remote-Site

rpc-Ns-Annotation

Remote-Source

rpc-Ns-Bindings

Remote-Source-Type

rpc-Ns-Codeset

Rcpl-Property-Meta-Data

rpc-Ns-Group

Repl-UpToDate-Vector

rpc-Ns-Interface-ID

Repl-Uuid-Table

rpc-Ns-Objcct-ID

Replica-Set-GUID

rpc-Ns-Priority

Replica-Set-Server

rpc-Ns-Profile-Entry

Replica-Source

rpc-Ns-Transfer-Syntax

Replication-Boot-State

Run-As

Replication-DB-Path

SAM-Account-Name

Replication-Directory-Filter

SAM-Account-Type

Replication-DS-Poll

SAM-Compatibilityl

Replication-Extensions

SAM-Compatibility2

Replication-File-Filter

Schedule

Replication-Level-Limit

Schema-Flags

Replication-Mail-Msg-Size

Schema-Flags-Ex

Replication-Root-Path

Schema-ID-GUID

Replication-Root-Security

Schema-Update

Replication-Sensitivity

Schema-Updatc-Now

Schema-Version

System-Flags

Script-Path

System-May-Contain

Search-Flags

System-Must-Contain

Search-Guide

System-Only

Security-Identifier

System-Poss-Superiors

Security-Principal-ID

System-Profile-Privilege

Security-Privilege

Systemtime-Privilege

Security-Protocol

Take-Ownership-Privilege

Sce-Also

Target-Address

Scci-Notification

Tcb-Privilege

Serial-Number

Telephone-Assistant

Server-Name

Telephone-Fax

Server-Role

Telephone-Home

Server-State

Telephone-Home2

Service-Access

Telephone-Mobile

Scrvice-Admin-CLSID

Telephone-Number

Scrvice-Binding-Information

Telephone-Office 1

Service-Class-ID

Telephone-0ffice2

Service-Class-Info

Telephone-Pager

Service-Class-Namc

Teletcx-Terminal-Identifier

Scrvice-Instance-Version

Telex-Number

Setup-Command

Temp-Table-Pcrcentage

Shell-Context-Menu

Text-Country

Shell-Property-Pages

Time-Refresh

Shutdown-Privilege

Time-Vol-Change

SID-History

Title

Signature-Key-Cert

Tombstone-Lifetime

Site-GUID

Tracking-Log-Path-Name

Site-Object

Trust-Attributes

Site-Object-BL

Trust-Auth-Incoming

Site-Server

Trust-Auth-Outgoing

State-Or-Province-Name

Trust-Direction

Street-Address

Trust-Parent

Sub-Class-Of

Trust-Partner

Sub-Refs

Trust-Posix-Offset

Sub-Site

Trust-Type

Submission-Cont-Length

UAS-Compat

Superior-DNS-Root

Unauth Crig

Supplemental-Credentials

Unauth-Orig-BL

Surname

UNC-Name

System-Audit

Unicode-Pwd

System-Auxiliary-Class

Unsolicited-Input-Privilege

System-Environment-Privilege

Use-Server-Values

LJsenct-Site-Name

LJser-Account-Control

User-Cert

LIser-Comment

User-Count

User-Full-Name

User-Parameters

User-Password

User-Workstations

USN-Changed

USN-Created

LISN-DSA-Last-Obj-Removed

USN-Last-Obj-Rem

Valid-Connection

Vendor

Version-Number

Vcrsion-Number-Hi

Version-Number-Lo

Vol-Table-GLJID

Vol-Table-Idx-GUID

Volume-Count

When-Changed

When-Created

Winsock-Addresses

W^WW-Home-Page

X 121 -Address

X500-Access-Control-List

X500-RDN

X509-Cert

Классы

Address-Template
Application-Process
Application-Registration
Attribute-Schema
Builtin-Domain
Category-Registration
Cert-Service-Admin-Point
Class-Registration
Class-Schema
Class-Store
Com-Connection-Point

COM-Interface

Computer

Configuration

Connection

Connection-Point

Contact

Container

Control-Access-Right

Country

Cross-Ref

Device

Dfs-Configuration

Display-Specifier

Display-Template

Distribution-List

DMD

Dns-Node

Dns-Zone

Domain

Domain-Country

Domain-DNS

Domain-Hierarchy

Domain-Locality

Domain-Organization

Domain-Organizational-Unit

Domain-Policy

Domain-Proxy

File-Link-Tracking

File-Link-Tracking-Entry

Foreign-Security-Principal

FT-Dfs

Group

Group-Of-Names

Inter-Site-Connection

Ipsec-policy

Leaf

Licensing-Settings

Link-Track-Object-Move-Table

Link-Track-OMT-Entry

Link-Track-Vol-Entry

Link-Track-Volume-Table

Local-Policy

LocalGroup

Locality

rpc-Profile

Mail-Recipient

rpc-Profile-Element

Mailbox

rpc-Server

Manageable-Object

rpc-Server-Element

MSFT-DSA

Sam-Domain

MSFT-FRS

Sam-Domain-Base

NTDS-Connection

Sam-Server

NTDS-Service

Secret

NTDS-Scttings

Security-Object

NTFRS-Replica-Set

Security-Principal

NTFRS-Settings

Server

Organisation

Server-Connection

Organizational-Person

Service-Administration-Point

Organizational-Unit

Service-Class

Package-Registration

Service-Instance

Person

Site

Physical-Location

Site-Connection-Settings

Print-Queue

Site-Settings

Public-Folder

Sites-Container

Query-Policy

Storage

Remote-Address

Subnet

Remotc-Mail-Recipient

Subnet-Container

Replication-Connector

Top

RID-Manager

Trusted-Domain

rpc-Entry

Type-Library

rpc-Group

User

Volume

ПРИЛОЖЕНИЕ Б

Атрибуты объекта
класса Class-Schema

Каждый класс в схеме представлен объектом, определяющим этот класс.
Эти объекты являются экземплярами класса Class Schema и могут иметь
следующие атрибуты:

Свойство

Синтаксис

Обяза-
тельный

Много-
значный

Описание

Common-

Unicode

Да

Нет

Описательное относительно

Name

отличительное имя

Governs-Id

OID

Да

Нет

OID (Object ID) уникальным

образом идентифицирую-

щий объект данного класса

Ldap-Display-

Unicode

Нет

Нет

Имя, под которым клиенты

Name

LDAP идентифицируют

этот класс

Schema-ID-

Строка

Да

Нет

GUID для уникальной

Guid

октетов

идентификации класса

MAPI-Display-

Integer

Нет

Нет

Целое число, используемое

Type

клиентами MAPI для иден-

тификации этого класса

RDN-ATT-ID

OID

Нет

Нет

RDN тип экземпляров

данного класса, например,

OU=, CN=

Sub-Class-Of

OID

Да

Нет

Класс, наследником кото-

рого является этот объект

System-Must-

OID

Нет

Да

Обязательные атрибуты для

Contain

экземпляров этого класса

Must-Contain

OID

Нет

Да

Обязательные атрибуты для

экземпляров этого класса

System-May-

OID

Нет

Да

Возможные атрибуты для

Contain

экземпляров этого класса

May-Contain

OID

Нет

Да

Возможные атрибуты для

экземпляров этого класса

(продолжение)

Свойство

Синтаксис

Обяза-
тельный

Много-
значный

Описание

System-Poss-

OID

Нет

Да

Набор классов, которые

Superiors

могут быть родительскими

для данного класса в

иерархии каталога

Poss-Superiors

OID

Нет

Да

Набор классов, которые

могут быть родительскими

для данного класса в

иерархии каталога

System-

OID

Нет

Да

Дополнительный набор

Auxiliary-

классов, от которых этот

Class

класс может наследовать

атрибуты

Auxiliary-Class

OID

Нет

Да

Дополнительный набор

классов, от которых этот

класс может наследовать

атрибуты

Default-

Строка

Нет

Нет

Дескриптор защиты для

Security-

октетов

назначения новым экземп-

Descriptor

лярам этого класса, если не

указан иной

Object-Class-

Integer

Да

Нет

88 Class =0,

Category

Structural Class =1,

Abstract =2, Auxiliary=3

System-Only

BOOL

Нет

Нет

Если истина, то только

система может создавать

и изменять экземпляры

этого класса

Object-Class

Object

Да

Да

Класс, экземпляром кото-

рого является этот объект

NT-Security

NT-Security- Да

Нет

Дескриптор защиты

Descriptor

Descriptor

объекта Class Schema

Instance-Type

Integer

Да

Нет

Тип экземпляра (внутрен-

ний узел, заголовок NC

и т. д.) объекта

ПРИЛОЖЕНИЕ В

Атрибуты объекта
класса Attribute Schema

Каждый атрибут в схеме представлен объектом, определяющим этот
класс. Эти объекты являются экземплярами класса Attribute Schema и
могут иметь следующие атрибуты:

Свойство

Синтаксис

Обяза-
тельный

Много-
значный

Описание

Common-

I'nicode

Да

Нет

Описательное относительно

Name

отличительное имя

Attribute-Id

010

Да

Нет

01D (Object ID) уникальным

образом идентифицирую-

щий объект данного класса

Ldap-Display-

Unicode

Нет

Нет

Имя, под которым клиенты

Name

LDAP идентифицируют

этот класс

Schema-ID-

Строка

Да

Нет

GUID для уникальной

Guid

октетов

идентификации атрибута

MAPI-Di.splay-

Integer

Нет

Нет

Целое число, используемое

Tvpe

клиентами MAPI для иден-

тификации этого атрибута

Attribnte-

GUID

Да

Нет

GUID, используемый систе-

Security-Cil'ID

мой безопасности для

идентификации набора

свойств этого свойства

Attribute-

01D

Да

Нет

01D синтаксиса этого

Syntax

атрибута

OiM-Syntax

Integer

Да

Нет

Другое представление

синтаксиса атрибута

Is-Single-

BOOL

Да

Нет

Указывает, имеет ли этот

Valued

атрибут одно или

несколько значений

(продолжение)

Свойство

Синтаксис

Обяза-
тельный

Много-
значный

Описание

Extended-

BOOL

Да

Нет

Указывает, допустимо ли

Chars-Allowed

использование расширен-

ных символов в значении

атрибута

Range-Lower

Integer'

Нет

Нет

Минимально допустимое

значение атрибута

Range-L'pper

Integer'

Нет

Нет

Максимально допустимое

значение атрибута

Search-Flags

Integer

Нет

Нет

Тип индекса, используемый

для атрибута:

0 - не индексирован,

1 - индексирован

System-Only

BOOL

Да

Нет

Если истина, то только

система может изменять

этот атрибут. Однако

пользователь может доба-

вить этот атрибут при

добавлении нового объекта

класса attribute shema

Object-Class

OID

Да

Да

Класс, экземпляром кото-

рого является этот объект

NT-Security

NT-Security- Да

Нет

Дескриптор защиты

Descriptor

Descriptor

объекта Attribute Schema

Instance-Type

Integer

Да

Нет

Тип экземпляра (внутрен-

ний узел, заголовок NC

и т.д.) объекта

' Для атрибутов, имеющих численные значения указывает минимальное и
максимальное значения. Для строковых атрибутов определяет число сим-
волов в строке.

Словарь терминов

авторизация ~ authorization — проверка регистрационной информации
о пользователе. Если пользователь регистрируется на Windows NT Work-
station, авторизация выполняется на этой рабочей станции. Если
пользователь регистрируется в домене, авторизация выполняется на
контроллере домена. См. также доверительные отношения.

авторизация Kerberos ~ Kerberos authorization — авторизация с исполь-
зованием протокола Kerberos. Для проверки доступа используются би-
леты. Авторизация разделяется на несколько этапов: начальная авто-
ризация, получение сеансового билета, имперсонация.
В трехъярусных клиент-серверных системах существует дополнитель-
ный этап делегирования авторизации. В Windows NT 5.0 авторизация
выполняется в соответствии с протоколом Kerberos v5, что обеспечи-
вает совместимость с системами на базе UNIX.

асимметричное шифрование ~ asymmetric encryption — процесс шиф-
рования, когда на передающей стороне используется открытый ключ
адресата, а на приемной — личный ключ. Противоположно симмет-
ричному шифрованию.

аудит ~ audit — проверка элементов управления системой.

аудит каталогов ~ directories audit— отслеживание использования од-
ного или нескольких каталогов.

аудит печати ~ print audit — функция, позволяющая отслеживать доступ
к определенным принтерам.

аудит приложений ~ applications audit— регистрация событий, связан-
ных с процессами ввода, обработки и вывода внутри приложений.

аудит Реестра ~ Registry audit — отслеживание событий, связанных с
попытками открыть ключ Реестра или извлечь из него информацию.

аудит страницы Книги обмена ~ Clipbook audit — функция, позво-
ляющая отслеживать и сопоставлять работу отдельных пользователей
с содержимым страницы Книги обмена.

аудит удаленного доступа ~ remote access audit — функция, позволяю-
щая отслеживать деятельность серверов удаленного доступа.

аудит файлов ~ file audit — отслеживание использования одного или
нескольких файлов.

аутентификация ~ authentication — си. авторизация.

база данных SAM ~ SAM database — база данных информации безопасно-
сти, содержащая имена учетных записей пользователей и пароли, а
также положения политики безопасности в Windows NT 4.0. В Windows
NT Workstation 4.0 управление базой SAM выполняется в User Manager,
а в Windows NT Server 4.0 — в User Manager for Domains.

блокировка учетной записи ~ account lockout — функция, позволяющая
блокировать определенную учетную запись на заданный промежуток
времени при превышении определенного числа неудачных попыток
регистрации в системе.

ветвь ~ branch — часть дерева службы каталогов, исходящая из узла дерева
и содержащая все дочерние объекты узлового контейнера.

виртуальная память ~ virtual memory — создаваемое с помощью стра-
ничных файлов Windows NT пространство на жестком диске, которое
в Windows NT используется в качестве фактической памяти. Преиму-
щество страничной памяти — возможность выполнения большего чис-
ла приложений, чем допускается фактическим объемом физической
памяти. Недостатки — уменьшение дискового пространства, занимае-
мого файлом подкачки, и снижение производительности.

владелец ~ owner — владелец объекта (по умолчанию, это создавший объект
пользователь) имеет над ним полный контроль и может изменять пра-
ва доступа к нему.

Владельцем ресурса является лицо, использующее ресурс в данный
момент.

возможный старший класс ~ possible parent class — класс объекта в
каталоге, который в иерархии каталога может выступать в качестве
родительского по отношению к рассматриваемому.

время жизни билета ~ ticket lifetime — время, в течение которого сеан-
совый билет считается действительным и может использоваться для
доступа к серверу. Определяется доменной политикой и обычно равно
8 часам. По истечении времени жизни билета поставщик функций
безопасности Kerberos возвращает соответствующую ошибку, чем по-
зволяет клиенту и серверу обновить билет.

вспомогательный класс auxiliary class — класс объекта в каталоге,
который может передавать по наследству рассматриваемому все обя-
зательные и возможные атрибуты (за исключением атрибута возмож-
ного старшего класса).

встроенные группы ~ built-in groups— группы, входящие в Windows NT
Workstation и Windows NT Server по умолчанию. Обладают полезным
набором привилегий и прав.

вход контроля доступа (АСЕ) ~ access control entry — элемент в списке
контроля доступа (ACL). Содержит идентификатор безопасности
пользователя (SID) и набор прав доступа. Процесс с совпадающим иден-
тификатором имеет права либо разрешающие, либо запрещающие,
либо разрешающие права с аудитом. См. также список контроля до-
ступа (ACL).

глобальный каталог ~ Global Catalog — катало!, где содержатся копии
всех объектов Active Directory, но с сокращенным числом атрибутов.
Хранятся атрибуты, наиболее часто используемые при поиске (напри-
мер, имя пользователя, имя входа в систему и т. д.) и достаточные для
обнаружения полной реплики объекта. Глобальный каталог позволяет
быстро находить нужные объекты без информации, в каком домене
находится объект, а также без использования смежного расширенного
пространства имен на предприятии.

группа ~ group — объект службы каталогов Active Directory, включающий
в себя учетные записи, называемые членами группы. Правами и приви-
легиями, предоставленными группе, обладают и ее члены, что удобно
для предоставления общих свойств целому ряду учетных записей
пользователей. Могут находиться как в домене, так и в организацион-
ных единицах домена. Могут быть вложенными.

делегирование аутентификации ~ authentication delegation — про-
цесс в трехъярусных клиент-серверных системах, при котором проме-
жуточный сервер при необходимости доступа к серверу третьего яру-
са запрашивает сеансовый билет на доступ от имени клиента, породив-
шего этот запрос.

делегирование полномочий ~ privileges delegation — возможность пре-
доставления отдельных административных полномочий различным
пользователям или группам в домене. Используется для распределения
административных обязанностей и позволяет ограничить всевластие
администраторов. Дает возможность наделять администраторов фили-
алов частичными полномочиями, не противоречащими полномочиям
центральной службы информационных технологий.

дерево ~ tree — иерархическая структура, состоящая из объектов. Объекты,
располагающиеся на концах дерева, называются листьями. В листьях не
содержится других объектов. Узловые точки дерева (места, из которых
выходят ветви) являются контейнерами. Внешний вид дерева показы-
вает взаимосвязи между объектами.

дерево доменов ~ domain tree — состоит из нескольких доменов, исполь-
зующих одну и ту же схему и конфигурацию, и образующих единое
пространство имен. Домены в дереве связаны между собой доверитель-
ными отношениями. Служба каталогов Active Directory состоит из од-
ного или нескольких доменных деревьев.

дескриптор безопасности ~ security descriptor — атрибуты безопасно-
сти для объекта, такие как идентификатор владельца (SID), идентифи-
катор группы, список контроля доступа (ACL) и системный список
контроля доступа.

дефрагментация диска ~ disk defragmentation — процесс объединения
небольших фрагментов файлов, записанных в разных местах диска в
результате фрагментации.

динамически подключаемая библиотека ~ dynamic load library (DLL) —

процедура интерфейса прикладного программирования (API), доступ
к которой из приложений осуществляется вызовом обычных процедур.
Код DLL не входит в исполняемый образ приложения. В процессе вы-
полнения операционная система автоматически изменяет исполняе-
мый образ так, чтобы он указывал на DLL.

доверительные отношения ~ trust relationships — разновидность связи
между доменами, предусматривающая авторизацию, когда пользова-
тель имеет учетную запись только в одном домене, но может обращать-
ся ко всей сети. Доверяющий домен предоставляет право аутентифика-
ции доверяемому домену. Доверительные отношения бывают транзи-
тивными и нетранзитивными.

доверяемый домен ~ trusted domain — домен, пользователи которого
могут осуществлять доступ к ресурсам других, доверяющих доменов.

доверяющий домен ~ trustee domain — домен, предоставляющий доступ
к своим ресурсам пользователям других, доверяемых доменов.

домашний каталог ~ home directory — каталог на диске, доступный для
пользователя и содержащий его файлы и программы. Может быть на-
значен либо одному, либо нескольким пользователям одновременно.

домен ~ domain — организационная единица безопасности в сети. Active
Directory состоит из одного или нескольких доменов. Рабочая станция
является доменом. Может охватывать несколько физических точек. В
каждом домене своя политика безопасности и свои отношения с дру-
гими доменами. Объединенные общей схемой, конфигурацией и гло-
бальным каталогом, образуют дерево доменов. Несколько доменных
деревьев могут быть объединены в лес.

драйвер сетевого устройства ~ network driver — программное обес-
печение. координирующее взаимодействие между платой сетевого адап-
тера и оборудованием компьютера и другим программным обеспече-
нием, а также управляющее физической работой сетевого адаптера.

драйвер устройства ~ device driver — программа, позволяющая опреде-
ленному устройству взаимодействовать с Windows NT. Хотя устройство
физически может быть установлено в компьютер, Windows NT не рас-
познает его до тех пор, пока не будет установлен необходимый драйвер.

дублирование диска ~ disk duplexing — установление зеркальной копии
диска, подключенного к другому контроллеру. См. также зеркализация
диска.

журнал ~ log — файл, содержащий информацию о событиях защиты, на-
пример, о попытках регистрации или использования ресурсов и т. п.
Создается функцией аудита Windows NT.

журнал безопасности ~ security log — файл, содержащий ошибки, пре-
дупреждения и информацию, порожденные системой безопасности
при включенном аудите защиты Windows NT.

журнал приложений ~ application log — файл, содержащий ошибки,
предупреждения и информацию, порожденные прикладными програм-
мами при включенном аудите защиты Windows NT.

журнал системы ~ system log — файл, содержащий ошибки, предупреж-
дения и информацию, порожденные системой при включенном ауди-
те защиты Windows NT.

загрузочный раздел ~ boot partition — раздел диска, отформатированный
в рамках файловых систем NTFS, FAT или FAT32 и содержащий файлы
операционной системы Windows NT и файлы поддержки. Может совпа-
дать с системным. В первой бета-версии Windows NT 5.0 раздел FAT32
не может быть загрузочным.

загрузчик ~ boot loader — определяет информацию, необходимую для за-
пуска системы: например, расположение файлов операционной систе-
мы. Windows NT автоматически исправляет конфигурацию и проверя-
ет информацию при каждой загрузке системы.

зеркализация диска ~ disk mirroring — создание идентичной копии раз-
дела диска на другом диске.

илтерсонация ~ impersonation — иначе, олицетворение. Возможность
исполнения кем-либо в системе действий от имени другого лица. На-
пример, клиент, подключившийся к серверу, имперсонируется этим
сервером. Последующий доступ к ресурсам осуществляется сервером от
имени клиента.

имя ~ name — используется для идентификации объектов в Active Directory.
Существует два различных вида: отличительное имя DN (distinguished
name) и относительно отличительное имя RON (relatively distinguished
name).

интерактивная регистрация ~ interactive logon — при этом типе ре-
гистрации пользователь должен ввести информацию с клавиатуры в
диалоговое окно на экране. Windows NT предоставит или отвергнет
доступ в зависимости от введенной информации. Противоположна
удаленной регистрации.

интерактивная регистрация с использованием канала удаленного
доступа ~ dial-up interactive logon — пользователь может зарегис-
трироваться в домене, даже когда компьютер не подключен к локаль-
ной сети. Для этого используется возможность подключения к удален-
ному домену в процессе аутентификации средствами удаленного дос-
тупа (например, по модему). Контроллер удаленного домена Windows
NT предоставит или отвергнет доступ в зависимости от информации.
введе! той пользователем.

интерфейс прикладного программирования ~ application program-
ming interface (API) — набор функций, используемых прикладными
программами для запросов и исполнения низкоуровневых сервисов.
выполняемых операционной системой.

интерфейс NetBIOS ~ NetBIOS interface — интер4'>ейс программирования,
позволяющий посылать и принимать запросы ввода-вывода удаленно-
го компьютера. Скрывает техническую часть сети от программ.

инструмент ММС ~ ММС tool — объединение нескольких слепков в одной
консоли ММС. Позволяет выполнять все функции, обеспеченные со-
ставляющими его слепками. Может быть сохранен (в файле .MSC) и
загружен в дальнейшем. Также называется документом консоли.

Интернет ~ Internet — глобальная сеть компьютеров, взаимодействующих
друг с другом посредством набора общих протоколов таких, как HTTP
и TCP/IP.

интрасеть ~ intranet — любая сеть TCP/IP, не связанная с Интернетом, но
использующая коммуникационные стандарты и средства Интернета для
предоставления информации пользователям частной сети.

источник бесперебойного питания ~ uninterruptable power supply
(UPS) — источник питания со встроенными батареями, подключенный

к компьютеру и предоставляющий дополнительные гарантии при сбо-
ях напряжения питания.

каталог ~ directory — составленный в определенном порядке перечень
каких-либо однородных предметов. Отличительная особенность — си-
стематизация хранимой информации, возможность быстрого поиска
нужной, а также добавления и расширения. Служба каталогов операци-
онной системы хранит информацию об объектах системы и позволя-
ет манипулировать ими.

квотирование дискового пространства ~ disk quoting — ограничение
дискового пространства, выделенного пользователю. Выполняется от-
носительно каждого пользователя и каждого дискового тома.

кластер серверов ~ cluster server — объединение серверов. С точки зре-
ния пользователя выглядит как единое устройство. Используется как для
обеспечения непрерывной доступности данных, так и для повышения
производительности.

клиент ~ client — компьютер, осуществляющий доступ к предоставленным
в совместное использование ресурсам другого компьютера (называе-
мого сервером).

клиентский сертификат ~ client certificate — сертификат для аутенти-
фикации клиента. Например, когда браузер Web в качестве клиента
пытается осуществить защищенный доступ к серверу Web, он должен
послать клиентский сертификат для подтверждения своей подлинности.

ключ ~ key — 1. Одно из поддеревьев в Реестре. Каждый ключ может содер-
жать значимые величины и подключи. В Реестре ключ аналогичен
каталогу, а значимая величина — файлу.
2. Цифровая комбинация, используемая для шифрования и дешифра-
ции данных. Существуют открытые и личные ключи.

Книга обмена ~ Clipbook — место для информации, которую надо сохра-
нить (постоянно) или предоставить в совместное использование. От-
личается от буфера обмена, служащего для временного хранения ин-
формации. Текущее содержимое буфера обмена можно поместить в
Книгу обмена с помощью ClipBook Viewer. После этого информацию
можно предоставить в совместное использование. См. также страни-
ца Книги обмена.

командный файл ~ batch file — неформатированный текстовый файл, содер-
жащий одну или несколько команд Windows NT. Имеет расширение .CMD
или .ВАТ. При запуске команды в нем выполняются последовательно.

консоль управления ~ Microsoft Management Console (MMC) — програм-
ма-контейнер для загрузки слепков. Позволяет путем комбинации слеп-
ков создавать специализированные инструменты MMC для решения

определенных административных задач в системе. Может использо-
ваться для управления как локальным, так и удаленным компьютером.

контейнер ~ container — объект, который может содержать в себе другие
объекты. Например, папка — контейнер для документов, а шкаф — кон-
тейнер для папок. Контейнер каталога служит контейнером для объек-
тов каталога.

контроллер домена ~ domain controller — в Windows NT 5.0: сервер Win-
dows NT, на котором исполняется сервис DSA (Directory Service Agent).
В предыдущих версиях Windows NT — сервер, на котором хранится
база учетных записей SAM, и который выполняет авторизацию доступа.

кэширование диска ~ disk caching — метод, используемый для повыше-
ния производительности файловой системы. Вместо постоянных обра-
щений к диску для выполнения операций чтения и записи, файлы хра-
нят в кэше оперативной памяти. Все операции чтения-записи выпол-
няются со скоростью обращения к памяти, что значительно быстрее,
чем обращение к диску.

лес ~ forest — набор несмежных деревьев, которые не образуют единое
пространство имен. В то же время деревья используют одну и ту же
схему, конфигурацию и глобальный каталог. Деревья в лесу связаны
между собой доверительными отношениями Kerberos. В отличие от
деревьев, у леса нет определенного имени. Он существует в виде попе-
речных ссылок и доверительных отношений, известных деревьям, его
образующим. Деревья в лесу образуют иерархию доверительных отно-
шений. Для обращения к лесу используется имя дерева в корне доверя-
ющего дерева.

личный ключ ~ Private key — ключ, используемый для шифрования дан-
ных. Личный ключ секретен, и в зависимости от вида шифрования
известен либо только одному человеку, либо нескольким, передающим
друг другу секретную информацию.

логический диск ~ logical drive — подраздел расширенного раздела жест-
кого диска.

максимальный срок жизни пароля ~ maximum password age — период
времени, в течение которого можно использовать пароль, прежде чем
система потребует его изменить.

мандаты ~ credentials — набор параметров, однозначно характеризующих
права и привилегии объекта в системе.

метрика metrics — количество маршрутизаторов на пути к сети или хо-
сту'. Если связь непосредственная, то метрика равна 1. Если путь прохо-
дит через один маршрутизатор, метрика равна 2 и т. д.

минимальный срок жизни пароля ~ minimum password age — период
времени, в течение которого используется установленный пароль,
прежде чем его можно будет изменить.

начальная авторизация ~ initial authorization — первый этап автори-
зации Kerberos. На этом этапе поставщик функций безопасности Кег-
beros получает начальный билет TGT, основанный на зашифрованном
представлении пароля клиента. Этот билет в дальнейшем использу-
ется для получения всех остальных билетов. TGT хранится в кэше би-
летов на рабочей станции, связанной с контекстом регистрации
пользователя.

неактивная учетная запись пользователя ~ disabled account — учет-
ная запись пользователя, которому запрещено регистрироваться. По-
является в списке учетных записей и может быть активизирована в
любое время.

нетранзитивные доверительные отношения ~ non-transitive trust
relationships — доверительные отношения, при которых доверие ус-
танавливается только между двумя доменами. Если один из них дове-
ряет третьему, то второй не будет доверять третьему домену. Нетранзи-
тивные доверительные отношения устанавливаются либо с доменами
старого типа, либо, когда целесообразно одностороннее доверие.

нулевое администрирование ~ Zero Administration — инициатива Micro-
soft, направленная на снижение совокупной стоимости владения ком-
пьютером и предполагающая резкое сокращение затрат, связанных
с управлением системой. Включает в себя средства централизованного
управления, средства автоматической установки приложений, техноло-
гию IntelliMirror.

обратная связь ~ callback — механизм, используемый сервером удаленно-
го доступа. Если после установления первичного соединения удален-
ного пользователя с сервером связь прерывается, то сервер перезвани-
вает клиенту либо по предварительно заданному номеру телефона,
либо по номеру, сообщенному удаленным клиентом. Используется как
для повышения защищенности сети, так и для минимизации расходов
удаленного клиента.

общее имя ~ Common name — обязательный атрибут любого объекта
Active Directory. Служит для идентификации объекта.

объект ~ object — отдельный набор атрибутов, соответствующих чему-либо
конкретному, например, пользователю, компьютеру или приложению.
В атрибутах содержатся данные о субъекте, представленном данным
объектом. К примеру, атрибуты пользователя могут включать в себя его
имя, фамилию, домашний адрес, адрес электронной почты, семейное
положение и т. п.

организационная единица ~ Organizational Unit — контейнерный объект
внутри домена. Может содержать в себе другие объекты (как контей-
неры., 'гак и листья), объединенные в древовидную структуру. Использу-
ется для отслеживания организационной структуры предприятия.

отказоустойчивость ~ reliability — способность компьютера и опера-
ционной системы адекватно реагировать на нештатные события (на-
пример, падение напряжения или отказ техники), а именно, продол-
жать функционировать без потери данных или закрыться с последую-
щим перезапуском и восстановлением всех процессов, имевших место
до момента аварии,

открытый ключ ~ public key — ключ. используемый для шифрования
данных и не являющийся секретом. Данные, зашифрованные открытым
ключом пользователя, могут быть расшифрованы только с использова-
нием его личного ключа (private key).

отличительное имя ~ distinguished name — содержит имя домена, в ко-
тором находится объект, а также полный путь к этому объекту в иерар-
хии контейнера.

пакет 'packet — набор слепков, собранных воедино для доставки постав-
щику программного обеспечения.

пароль ~ password — уникальная строка символов, которую необходимо
ввести для авторизации доступа при регистрации. Средство защиты
для ограничения входа в систему и доступа к компьютерным системам
и ресурсам.

первичный раздел ~ primary partition — часть физического диска, кото-
рая может быть помечена для использования операционной системой.
На каждом физическом диске может быть до четырех первичных раз-
делов (или до трех, при наличии расширенного раздела). Первичный
раздел не может быть разбит на подразделы.

переменная окружения ~ environment setting — строка, в которой содер-
жится информация об окружении системы, например, о диске, пути или
имени файла, ассоциированном с символьным именем, используемым
системой Windows NT. Для определения применяется параметр System
в Control Panel или команда set.

поставщик функций безопасности ПФБ ~ security provider — часть
программного обеспечения, осуществляющая функции безопасности.

Взаимодействие с ПФБ выполняется через стандартные интерфейсы
(например. CryptoAPI), что позволяет сделать систему независимой от
типа ПФБ.

право доступа ~ access right — разрешение процессу определенным об-
разом воздействовать на определенный объект. Различные типы объ-
ектов поддерживают различные права доступа, хранящиеся в списках
контроля доступа (ACL).

предоставление файлов в совместное использование ~ file sharing —

способность Windows NT Workstation и Windows NT Server использо-
вать свою локальную файловую систему (целиком или частично) со-
вместно с другим компьютерами.

привилегия ~ privilege — позволяет пользователю выполнять определенные
действия в системе. Предоставляется относительно системы в целом, в
отличие от прав доступа, применимых к определенным объектам.

приложение для MS-DOS ~ MS-DOS application — приложение, разрабо-
танное для MS-DOS и потому не способное использовать все преиму-
щества Windows NT.

приложение не для Windows NT ~ non-Windows NT application — при-
ложение, разработанное для Windows З.х, MS-DOS, OS/2 или POSIX, но
не специально для Windows NT, что не позволяет реализовать в нем все
преимущества последней.

проверка доступа ~ access verification — проверка информации об учет-
ной записи пользователя. Производится с целью определить возмож-
ность предоставления субъекту права на выполнение запрашиваемой
операции.

программа-мастер ~ wizard — специальная программа, предназначенная
для облегчения каких-либо рутинных операций. Использует пошаговый
подход к выполнению последовательных действий. Не позволяет про-
пустить ввод или определение каких-либо важных параметров.

пространство имен ~ namespace — упорядоченный список всех узлов,
доступных для данного инструмента, отформатированный в виде де-
рева. Его изображение аналогично изображению структуры файлов и
каталогов на жестком диске.

протокол 'protocol — набор правил и соглашений между двумя компью-
терами для передачи сообщений по сети. Сетевое программное обес-
печение обычно использует несколько уровней протоколов, располо-
женных один над другим.

рабочая поверхность ~ desktop — фоновая поверхность экрана, на кото-
рой располагаются окна, значки и диалоговые окна: например, значки

My Computer, Network Neighborhood, Recycle bin. Может быть полнос-
тью перенастроена, так как представляет собой страницу Web.

рабочая станция ~ workstation — компьютер, на котором исполняется
Windows NT Workstation (в отличие от сервера), где исполняется Win-
dows NT Server.

рабочий стол ~ desktop — ам. рабочая поверхность.

распорядитель локальной безопасности ~ local security authority
(LSA) — создает маркер безопасного доступа для каждого пользовате-
ля. обращающегося к системе.

распределенная файловая система ~ distributed filesy stem — сетевое
расширение, позволяющее представлять совместно используемые ре-
сурсы сети в виде единого дерева с общим корнем. Доступ к ресурсам
выполняется без уточнения того, какому конкретному серверу в сети
эти ресурсы принадлежат. Обладает возможностью балансировки на-
грузки и предоставления альтернативных ресурсов в случае сбоев.

расширение ~ extension — точка и символы (до трех) на конце имени фай-
ла. Обычно указывает на тип файла. См. также слепок-расширение.

режим пользователя ~ user mode — непривилегированный режим рабо-
ты процессора, в котором исполняются прикладные программы и под-
системы Windows NT. Поток, исполняемый в этом режиме, не имеет
непосредственного доступа к аппаратным ресурсам компьютера.

режим расширения ~ extension mode — режим работы слепка ММС, при
котором расширяется функциональная возможность другого слепка.

резким ядра ~ kernel mode — привилегированный режим работы процес-
сора, в котором исполняется код операционной системы Windows NT.
Поток, исполняемый в этом режиме, имеет непосредственный доступ
к аппаратным ресурсам компьютера.

редактор Реестра ~ Registry Editor — приложение, входящее в систему
Windows NT и позволяющее просматривать и редактировать записи в
Реестре.

редиректор ~ redirector — сетевая программа, принимающая запросы вво-
да-вывода для удаленных файлов, именованных каналов или почтовых
слотов и передающая их сетевым сервисом на другом компьютере. В
Windows NT выполнены как драйверы файловой системы.

Реестр "Registry — архив баз данных Windows NT для хранения информа-
ции о конфигурации компьютера, включая аппаратные средства, уста-
новленное программное обеспечение, настройки окружения и др.

ресурс ~ resource — любая часть компьютерной системы или сети (напри-
мер, диск, принтер, память), которая может быть предоставлена про-
грамме или процессу во время работы.

родительский домен ~ parent domain — домен, вышестоящий в дереве
доменов по отношению к рассматриваемому.

родительский класс parent class — класс объекта в каталоге, выступаю-
щий старшим по отношению к рассматриваемому. Классы, образован-
ные от родительского, наследуют все его обязательные и вспомогатель-
ные атрибуты. С.и. также возможный старший класс.

самостоятельный слепок~ stand-alone snap-in — слепок консоли ММС,
обеспечивающий ПОЛНУЮ функциональность, будучи загруженным без
дополнительных слепков расширения.

свободное пространство ~ free space — неиспользуемая и неотформа-
тированная часть жесткого диска, которая может быть разбита на раз-
делы или подразделы. Внутри расширенного раздела доступно для со-
здания логических дисков, а вне его — для создания раздела. Максималь-
ное число разделов — четыре.

сеансовый билет ~ session ticket — билет, выдаваемый клиенту центром
распределения ключей (Key Distribution Center) для доступа к серверу в
течение одного сеанса работы. Хранится в кэше билетов и может быть
использован неоднократно в течении времени жизни билета.

сервер ~ server — в Windows NT Workstation компьютер, предоставляющий
свои ресурсы для совместного использования в сети. См. также кли-
ент. В Windows NT Server компьютер, содержащий копию базы данных
защиты домена и идентифицирующий регистрацию по сети. См. так-
же контроллер домена.

сервер сертификатов ~ certificate server — программный компонент,
ответственный за выдачу сертификатов. В Windows NT 5.0 включен
Microsoft Certificate Server.

серверный сертификат ~ server certificate — сертификат, используемый
для аутентификации сервера. Например, сервер Web может послать
свой серверный сертификат браузеру с тем, чтобы последний удосто-
верился в подлинности сервера.

сервис ~ service — процесс, выполняющий определенные функции систе-
мы и часто предоставляющий интерфейс прикладного программиро-
вания (API) для вызова других процессов. Ссрвисы Windows NT поддер-
живают RPC, что подразумевает возможность вызова процедур API с
удаленных компьютеров.

сервис планирования ~ scheduling service — поддерживает использова-
ние команды AT и планировщика заданий, который позволяет назна-
чать исполнение программ и команд на указанное время и дату.

сетевой интерфейс ~ network interface — сетевая плата, устройство уда-
ленного доступа, виртуальный канал РРТР и др., — то есть устройство,
через которое компьютер подключен к сети. В одном компьютере мо-
жет быть, порой, несколько сетевых интерфейсов, с каждым из кото-
рых связаны различные протоколы.

сетевой каталог network directory — см. совместно используемый ресурс.

симметричное шифрование ~ symmetric encryption — процесс шифро-
вания, в котором и на передающей, и на приемной стороне использу-
ется один и тот же личный ключ.

синтаксис атрибута ~ attribute syntax — тип данных, которые могут
храниться в определенном атрибуте, например, Integer или String. Все
доступные синтаксисы предопределены и не могут быть изменены.
Добавление новых синтаксисов невозможно.

системный раздел ~ system partition — том, содержащий файлы, завися-
щие от типа техники и необходимые для загрузки Windows NT.

скрипт ~ script — см. сценарий.

слепок," Snap-in — программный компонент, минимальная единица расши-
рения консоли ММС. Один слепок соответствует единице возможнос-
тей управления. Технически являются In-proc серверами OLE.

слепок-расширение ~ extension snap-in— слепок, функционирующий
только, будучи вызванным из другого слепка. Может добавлять и рас-
ширять узлы в пространстве имен, добавлять меню, панели инструмен-
тов, страницы свойств и т. д.

служба каталогов Active Directory ~ directory services Active Directory —

сервис, интегрированный с Windows NT Server и обеспечивающий
иерархический вид сети, наращиваемость и расширяемость, а также
функции распределенной безопасности. Содержит информацию обо
всех объектах системы и их свойствах, а также о взаимосвязях между
объектами.

событие ~ event — любое значительное происшествие в системе или в
приложении, о котором необходимо оповестить пользователя или за-
нести запись в журнал.

совместно используемый ресурс ~ shared resource — ресурс (каталог,
принтер, страница Книги обмена и т. п.), доступный пользователям
сети.

список контроля доступа ~ access control list (ACL) — часть дескрип-
тора защиты, перечисляющая защитные функции, примененные к
объекту. Владелец объекта, обладающий контролем над ним, может
изменять список контроля доступа к объекту для предоставления или
запрещения доступа другим лицам. Список контроля доступа состоит
из входов контроля доступа (АСЕ).

страница Книги обмена ~ Clipbook page — единица информации, раз-
мещенная в локальной Книге обмена. Страница постоянно сохраняет-
ся. Информация со страницы Книги может быть скопирована в буфер
обмена, а затем в документы; а также предоставлена для совместного
использования в сети.

субъект subject — комбинация маркера контроля доступа пользователя и
программы, действующей от имени этого пользователя. В Windows NT
применяется для отслеживания и управления правами программ, вы-
полняемых различными пользователями.

сфера влияния службы каталогов ~ directory services scope — может
включать в себя объекты (пользователи, файлы, принтеры и др.), сер-
веры в сети, домены и даже глобальные сети. Возможности Active Direc-
tory практически безграничны и она полезна как на отдельном компь-
ютере, так и в большой сети или в нескольких сетях.

схема ~ schema — набор экземпляров классов объектов, хранящихся в ка-
талоге. Приложения могут динамически изменять схему, добавляя в нее
новые атрибуты и классы. Модификация схемы сопровождается созда-
нием или модификацией объектов, хранящихся в каталоге. Все внесен-
ные изменения незамедлительно становятся доступны для других при-
ложений. Доступ к любому объекту схемы (впрочем, как и к любому
объекту в Active Directory,) защищен списками контроля доступа, что
гарантирует внесение изменений только правомочными лицами.

сценарий ~ script — последовательность команд, написанных на каком-либо
языке сценариев. Для исполнения используется некоторый хост или
процессор. Сценарии применяют для определения среды пользователя
при его регистрации, выполнения функций на серверах Web по запро-
су клиентов, автоматизации административных задач и т. п.

сценарий регистрации ~ logon script — обычно командный файл, авто-
матически исполняющийся при каждой регистрации пользователя в
системе. Может применяться для настройки окружения пользователя или
рабочей среды. Назначается одному или нескольким пользователям.

таблица маршрутизации ~ routing table — таблица, в которой перечис-
лены пути к подсетям, сетевые интерфейсы, через которые эти пути
проходят, а также их метрики.

тиражирование службы каталога ~ directory replication — процесс
копирования модификаций, внесенных в каталог на одном контрол-
лере домена, на остальные контроллеры в домене.

том ~ volume — раздел или несколько разделов диска, отформатированных
для использования файловой системой.

транзитивные доверительные отношения ~ transitive trustrelation-
ships — двусторонние доверительные отношения между доменами,
установленные таким образом, что если один из них доверяет третье-
му домену, то второй также доверяет ему. Устанавливаются автомати-
чески при включении нового домена в дерево доменов.

транспорт TCP/IP ~ TCP/IP transport — см. TCP/IP

удаленная регистрация ~ remote logon — процесс, при котором пользо-
ватель устанавливает связь с удаленного компьютера, а проверка дос-
тупа осуществляется на компьютере, не имеющем маркера доступа для
данного пользователя. (Маркеры доступа создаются при интерактивной
регистрации).

удаленный доступ ~ remote access — доступ к компьютеру или сети с
использованием каналов связи. В качестве каналов могут выступать
обычные телефонные линии, выделенные линии, сети Х.25 или ISDN.
Используется для подключения мобильных пользователей или связи
двух локальных сетей между собой. При использовании протокола РРТР
можно создавать в общедоступных сетях туннели и связывать через них
сегменты сети предприятия.

узел ~ Node — применительно к консоли управления, любой управляемый
объект, задание или вид: например, компьютеры, пользователи, стра-
ницы Web.

узел ~ Site — место в сети, где расположены серверы с Active Directory. В этом
качестве может выступать одна или несколько подсетей TCP/IP, что
позволяет конфигурировать доступ к каталогу и тиражирование с уче-
том физической сети. При входе пользователя в сеть сервер с Active
Directory не приходится долго искать, так как он находится в том же
самом узле, и рабочей станции известно, как по TCP/IP добраться до
сервера.

уникальность пароля ~ password uniqueness — число паролей, которые
необходимо сменить, прежде чем сможет быть использован первона-
чальный.

уполномоченный сертификации ~ sertification authority — организа-
ция, ответственная за выдачу сертификатов, которой Вы доверяете,
например Verisign. В этой роли также может выступать программный
компонент системы такой, как Microsoft Certificate Server.

учетная запись пользователя ~ user account — содержит всю инфор-
мацию о пользователе Windows NT. Включает в себя необходимые для
регистрации имя пользователя и пароль; группы, в которые входит дан-
ная учетная запись; права и привилегии пользователя при работе в
системе и доступе к ресурсам.

файловая система с шифрованием ~ encrypting file system — расши-
рение файловой системы NTFS, позволяющее прозрачно для пользова-
теля шифровать и расшифровывать данные, хранимые на диске. При
этом используется закрытый ключ пользователя. Текущая реализация не
позволяет совместно использовать зашифрованные файлы.

файловая система FAT ~ File Allocation Table — получила свое наимено-
вание в соответствии с методом организации данных — таблицы рас-
пределения файлов. Первоначально была ориентирована на небольшие
диски и простые структуры каталога. Через несколько лет после созда-
ния усовершенствована для обеспечения работы с большими дисками
и мощными персональными компьютерами.

файловая система FAT 32 — модифицированная версия FAT, позволяющая
создавать разделы объемом более 2 Гб. Дает возможность использовать
кластеры меньшего размера, что приводит к более эффективной эксплу-
атации дискового пространства. Впервые появилась в Windows 95 OSR2.

файловая система NTFS — улучшенная файловая система Windows NT,
разработанная для использования специально с этой ОС. Поддержива-
ет средства восстановления файловой системы и использование чрез-
вычайно больших носителей данных, а также различные функции под-
системы POSIX. Также поддерживает объектно-ориентированные при-
ложения. обрабатывая все файлы как объекты с определяемыми пользо-
вателем и системой атрибутами.

фрагментация ~ disk fragmentation — процесс разделения файла на не-
большие отрезки, разбросанные по всему пространству дискового раз-
дела. Возникает во время работы с дисками, имеющими небольшое сво-
бодное пространство. Снижает производительность работы с диском.

цифровая подпись ~ digital signature — цифровая последовательность,
связанная с документом, и используемая для подтверждения истинно-
сти передаваемой информации. Создается с использованием личного
ключа отправителя. Для проверки подлинности применяется откры-
тый ключ отправителя.

чередование дисков ~ disk striping — запись данных полосками по всему тому,
созданному из участков свободного пространства от 2 до 32 дисков.

членство в группе ~ group membership — принадлежность к группе. Пра-
ва и привилегии, предоставленные группе, распространяются на ее
членов. В большинстве случаев, действия, которые может совершить
пользователь Windows NT, определяются принадлежностью к той или
иной группе.

шифрование данных ~ data encryption — изменение формата данных, так
чтобы их нельзя было прочитать.

язык сценариев ~ script language — язык. на котором пишется сценарии:

либо обычный набор команд системы, собранных в командный файл;

либо некоторый стандартный язык программирования. В Windows NT
5.0 стандартно поддерживаются два языка сценариев: VB Script nJscript.

АСЕ — си. вход контроля доступа (АСЕ).

ACL — см. список контроля доступа (ACL).

Active Directory — см. служба каталогов Active Directory.

ActiveX — термин, используемый для обозначения технологий Microsoft,
использующих OLE, в первую очередь, для создания серверов Web. Кро-
ме того, управляющие элементы ActiveX широко применяются и в при-
ложениях для ПК.

API — см. интерфейс прикладного программирования (API).

СА (Certification Authority) — си. уполномоченный сертификации.
Certificate server — си. сервер серти4^икатов.

CRL (Certificate Revocation List) — документ, публикуемый и обслуживае-
мый уполномоченным сертификации и содержащий список сертифи-
катов, им аннулированных.

CryptoAPI (Microsoft Cryptographic API) — интерфейс прикладного про-
граммирования, обеспечивающий сервисы аутентификации, шифрова-
ния и кодирования в приложениях Win 32.

DFS (Distributed File System) — си. распределенная файловая система.

DLL (Dynamic Link Library) — см. динамически подключаемая библиотека
(DLL).

DNS (Domain Name System} — система имен домена. База данных, обеспе-
чивающая соответствие имен компьютеров и соответствующих IP-ад-
ресов.

EPS (Encrypted File System) — си. файловая система с шифрованием.

FAT — сл1. файловая система FAT.
FAT32 — сл1. файловая система FAT32.

FTP (File Transfer Protocol) — протокол передачи данных. Позволяет пе-
ремещать файлы с одного компьютера в Интернете или в интрасети
на другой. Серверы, предназначенные для предоставления файлов для
загрузки на другие компьютеры, называются серверами FTP.

HTML (Hypertext Markup Language) — язык разметки, используемый при
создании страниц Web.

HTTP (Hypertext Transfer Protocol) — протокол связи, используемый для
передачи информации в сетях TCP/IP таких, кэ.к.Интернет или в инт-
расети.

LDAP (Lightweight Directory Access Protocol) — протокол доступа к служ-
бе каталогов.

MDI (Multiple Document Interface) — интерфейс программы, поддержива-
ющий отображение нескольких документов в одном контейнерном
окне.

ММС — см. консоль управления ММС.

.MSCfile — файл, в котором сохранен инструмент ММС. Любой инструмент,
созданный администратором из нескольких спепков, может быть со-
хранен в файле с этим расширением и открыт для использования в
любое время и на любом компьютере.

NTFS (New Technology File System) — см. файловая система NTFS.

ODBC (Open Database Connectivity) — стандарт подключения к базам дан-
ных, позволяющий приложениям обращаться к ним без учета специ-
фики той или иной СУБД.

OSPF (Open Shortest Path First) — протокол, основанный на алгоритме SPF
(Shortest Path First), вычисляющем кратчайший путь между исходным
и другими узлами в сети. Вместо обмена расстояниями до точек назна-
чения, как в RIP {Routing Information Protocol), в маршрутизаторах OSPF
поддерживается карта сети. обновляемая всякий раз при изменении ее
топологии. Эта карта называется базой состояния связей (link state data-
base) и используется для вычисления сетевых маршрутов, которые
обязательно должны перерасчитываться после каждого изменения
топологии.

RIP (Routing Information Protocol} — был разработан для обмена инфор-
мацией внутри автономных систем — сетей относительно ограничен-
ного размера. Маршрутизатор RIP поддерживает таблицу маршрутиза-
ции и периодически рассылает другим находящимся в сети маршрути-
заторам RIP оповещения о том, какие сети ему доступны. Также рассы-
лаются оповещения о невозможности доступа к сетям. В RIP версии 1
для рассылки оповещений используются широковещательные (broad-
cast) пакеты, в то время, как в версии 2 — multicast пакеты.

SSL (Secure Sockets Layer} — стандартный протокол для защищенного вза-
имодействия в сети с использованием технологии открытых ключей.

TCP/IP (Transmission Control Protocol/Internet Protocol} — стандартный
сетевой протокол, используемый в Интернете и интрасетях.

WWW (World Wide Web} — сервер, на котором хранятся мультимедиа-доку-
менты, связанные между собой гипертекстовыми ссылками. Просмотр
документов осуществляется с помощью специальных программ, пере-
ход от одного документа к другому — щелчком ссылки.

Х.509 — стандартный формат сертификата, используемый в Microsoft Certi-
ficate Server.

Предметный указатель

64-разрядная память XXIII

Active Desktop см. рабочий стол,

Active Desktop
Active Directory см. сл\'жба

каталогов, Active Directory'
AT см. команда, AT

Cairo см. проект Cairo
Certificate Server с-и. сервер,

сертификатов

CHKDSK см. программа. CHKDSK
CHKNTFS си. команда, CHKNTFS
CSCRIPT 251 см. программа,

CSCRIPT

DFS см. файловая система, DFS
DirectX 5.0 см. спецификация,

DirectX 5.0
DNS см. сервис, DNS

EFS см. файловая система, EPS; см.

также драйвер EFS
EFS FSRTL см. файловая система,

EFS, библиотека EFS FSRTL
EFSRECVR см. утилита EFSRECVR

FORMAT см. команда, FORMAT
FTDISK см. драйвер, FTDISK

120 см. ввод-вывод, технология 120
US см. сервер, US; см. также

Интернет, US
IntelliMirror см. кэширование,

технология IntelliMirror

Kerberos см. протокол, Kerberos; см.
также доверительные отношения

LDAP см. протокол, маршрутизации,
LDAP

Microsoft Cluster Server см. сервер,

Microsoft Cluster Server
Microsoft Index Server см. сервер,

Microsoft Index Server
Microsoft Magnifier см. программа,

Microsoft Magnifier
Microsoft Screen Reader CM.

программа, Microsoft Screen

Reader
MMC (Microsoft Management

Console) XXIV, 223
— работа 230
Multilink (функция) 290

OSPF см. протокол,
маршрутизации, OSPF

Partition Knowledge Table си.

таблица, Partition Knowledge Table
Plug and Play au. технология, Plug

and Play
PPTP см. протокол, РРТР

RAID au. технология, RAID
RAS см. удаленный доступ, RAS
RIP си. протокол, RIP
RRAS си. удаленный доступ, RRAS

SAP си. протокол,SAP

TAPI си. средство телефонии TAPI
Task Scheduler еж планировщик

Task Scheduler

TGT си. билет, начальный TGT
TrueType см. шрифт, TrueType

UNICODE си. шрифт, UNICODE
L'PS си. источник бесперебойного

питания UPS
USB си. спецификация, USB

Web-o вещание см. Интернет,

Web-o вещание
Windows NT Backup см. программа,

Windows NT Backup
W^innt см. программа, Winnt
WINS см. сервис, WINS
WSCRIPT см. программа, WSCRIPT

Zero Administration см. нулевое
администрирование

автоматическое обновление
системы 218

агент восстановления см.

восстановление, агент
атрибут 54

— модификация 35
аутентификация 290

— NTLM 45

оаза состояния связей 281
безопасность

— анализ политики 86

— конфигурирование 82

— политика 79,82, 101, 111

— — локальная 71

— система XVIII

— системная 80
билет

— время действия 47

— начальный TGT (ticket grant
ticket) 47

— сеансовый 47

владение 176

возобновление связи 297
восстановление

— агента 158

— файла 1б0, 165

гибернация XXIV
группы глобальные 121

делегирование

— административных
полномочий 39, 56, 72

— аутентификации 44, 49
дескриптор защиты 57
дешифрация см. шифрование,
дешифрация

ДИСК

— дефрагментация XXI

— диагностика 181

— дублирование 183

— зеркализация 183

— исправление ошибок 187

— чередование дисков 184
диспетчер

— распределенных
блокировок 202

— слепков 226

доверительные отношения 55. 68

— однонаправленные 55

— транзитивные 44. 55

— явные 56
домен 6. 1"

— дерево 5-6. 18. 39. 105

— добавление и удаление 20

— политика ''5

— режим работы 68. 108
доступ

— запрет 1^0

— к каталогам 1~4

— к файлам I'71

— маркер 45

— защищенный 49

— право l^O

— — назначение 57

— — наследование 58

— список контроля 45, 57, 121. 150
драйвер

— EPS 161

— FTDISK 188

журнал резервного
копирования 192

замена секторов 187

идентификатор

— безопасности 10, 108

— объектов 35
имперсонация 55
имя 5

— общее 11

— относительно отличительное 5

— файла 132

— — длинное 137

— — русское 269

инструмент управления 226
интер-DFS связи 148
интерконнект 210
Интернет

— US (Internet Information
Server) XXVI

— Wcb-o вещание 258
интерфейс с пользователем 255
источник бесперебойного питания

ITS (uninterruptible power

supply) 198

каталог 1

— Active Directory 53

— глобальный 9, 99

— поиск 27
квотирование дискового

пространства XXI, 167
кластер 180, 199

— архитектура 201

— доступность 199

— модель 203

— — без общих компонентов 202

— — виртуальный сервер 206

— — высокой доступности 203

— — гибридная 207

— — горячий резерв 205

—— с общими дисками 201

— — частичная 205

— наращиваемость 200

— приложения 202
ключ 41

— восстановление 158

— открытый 50

— шифрования

— — ключей 158

— — файла 158
кодировка 264
команда

— AT 249

— CHKNTFS 143

— FORMAT 140
компрессия файлов 138
контейнер 4
контекст имени б
контрольная точка 137
криптография 158

кэширование

— конфигурации 220

— технология IntelliMirror 218,220

лес 7, 18

магистральная область 282
маршрутизатор

— установка 302
маршрутизация XX. 278
миграция

— RDC (Backup Domain
Controller) 107

— PDC (Primary Domain
Controller) 103

— безопасность 110

— в ресурсных доменах 119

— мастер-домена 118

— нескольких доменов 112

— с предыдущей версии 102
модель данных 8
монитор обработки
транзакций 203

наследование

— и момент создания 58

— модели 58

— прав доступа 58

носитель 195

нулевое администрирование 217

обратная связь 298
объект 4, 26

— добавление 22

— групп 54

— контейнерный 57
организационная единица 10, 53,

118
отложенная передача 137

панель инструментов 259

папка 260

— внешний вид 261
пароль 77

— блокировка 77

— длина 76

— сложность 77

— срок действия 7б

— уникальность 77
переходы NTFS 153
печати поддержка XXI
планирование

— задач 246

— структуры узлов 97
планировщик Task Scheduler XXV,

247

подписка XXVII
поле

— восстановления данных 158

— дешифрации данных 158
пост-переходный переход 148
право на доступ см. доступ, право
привилегии пользователя 87
программа

— CHKDSK 180

— CSCRIPT 251

— Microsoft Magnifier 274

— Microsoft Screen Reader 274

— Windows NT Backup 188

— Winnt 32,123, 125

— WSCRIPT 250

— мастер 222
проект Cairo XVI
просмотр

— журнала событий 237

— устройств системы 238
пространство имен 4, 15, 39, 227
протокол

— Kerberos 39, 44, 47-48

— — взаимодействие 49

— PPTP (Point-to-Point Tunelling
Protocol) 285

— — настройка 301

— RADIUS (Remote Authentication
Dial In User Service) 288

— RIP (Routing Information
Protocol) 279

— SAP (Service Advertising
Protocol) 284

— SSL (Secure Sockets Layer) 39

— маршрутизации

— — IPX (Internet Packet
exchange) 284

— — IP (Internet Protocol) 278

— — LDAP (Lightweight Directory
Access Protocol) 3

— — OSPF (Open Shortest Path

First) 281

профиль блуждающий 220
процессор фронтальный 285

рабочий стол XXVIII, 255

— Active Desktop XXVII, 255

— настраиваемость 256
раскладка клавиатуры 2б5-2б6
регион 2б5
редактор

— конфигурации

безопасности 78-79

— списков контроля доступа 57
резервное копирование XXI, 188,
195

— планирование 196

— типы 191

сервер

— US Internet Information
Server XXVI

— Microsoft Cluster Server 208

—— администрирование 212

— — установка 211

— Microsoft Index Server XXIX

— администрирование 52

— сертификатов 39, 43, 50-52

— удаленного доступа

— — безопасность 299
сервис

— WINS (Windows Internet Name
Service) 14

— DNS (Domain Name Server) XX,
13,92,271

— — динамический 14, 95

— — планирование 94
сертификат 42, 52
сетевая поддержка XIX

сетевой компьютер 217

система

— безопасности см. безопасность,

система

— блокировка 219

— именований 12

системный

— конвертор 268

— монитор 241
слепок XXIV, 224, 228

— расширение 229

— самостоятельный 229
служба каталогов

— Active Directory XVII, 2, 11, 39,
270

— — архитектура 9

— — безопасность 53

— — классы 11

— — тиражирование 1б, 39

— NTDS (NT Directory Services) 1

— управление 22
смарт-карта XXIII
совокупная стоимость

владения 217
спецификация

— DirectX 5.0 XXIII

— USB XXIII

средство телефонии TAPI XXVIII

стартовая площадка 259

субъект 45

сфера влияния 4

схема 8, 29

— атрибуты 34

— использование 11

— класс

—— добавление нового 31

—— модификация 31
сценарий XXV, 250

— исполнение 250

таблица

— Partition Knowledge Table 148

— главная файловая 135

— маршрутизации 306
технология

— Plug and Play XXIII

— RAID (Redundant Array of
Incxpensive Disks) 182

— — уровни 182

— — ввода-вывода 120 XXIII
тиражирование с одним

мастером 103
том

— DFS (Distributed File System)

— — хост 146

— альтернативный 148

— динамический дисковый 186
гонкий клиент 221
гранзакция 136
гуннсль

— РРТР 286

— динамический 288

— принудительный 286

— произвольный 286

— статический 288

удаленный доступ 284

— RAS (Remote Access Services) 277

— RRAS (Routing and Remote Access

Service) 292
узел 8. 17

уполномоченный сертификации 50
управление

— групповой политикой 245

— дисковыми ресурсами 236

— питанием компьютера 243

— правами 83

— системами хранения 240

— системными сервисами 233
установка операционной
системы 121

— на рабочую станцию 122

— на сервер 126
утилита EFSRECVR 166
учетная запись 58

— встроенная 59

— модификация 60

— пользователя 59

— — администрирование 1 5 1

— — безопасность 150

— — корень 145

— EFS (Encrypting File System) XXI,
131,156

— — архитектура 1б1

— — библиотека EFS FSRTL (EFS file
system runtime library) 161

— FAT (File Allocation Table) 131.
132

— FAT32 XXI. 131, 134

— NTFS (NT File System) 131, 135

— — обновление раздела 142

— — преобразование в формат
NTES 142

— NTFS 5.0 XXI, 142

— восстановление 137

— распределенная 143

— с точной записью 133

— с шифрованием 156

цифровые подписи 42

шаблон конфигурации

безопасности 79
шифрование 40

— асимметричное 41

— дешифрация 165

— — файла 160

— каталога 165

— симметричное 40

— файла 159, 162, 164
шрифт 266

— TrueType 2б5

— UNICODE 137, 271

ярлык 166

файловая система 131
— DFS (Distributed File System) 131,
144

Федор Зубанов в 1984 году с красным дипломом окончил МИРЭА по
специальности, далекой от персональных компьютеров, — инженср-оп-
тик-исследователь. Работал в НИИ, учился в аспирантуре, но был врас-
плох застигну"!' ветрами перемен. Перестроился: резко порвав с пре-
жней специальностью, связал дальнейшую судьбу с персональными
компьютерами и компанией Microsoft.

Около года в СП «Диалог» занимался поддержкой программных про-
дуктов. а затем с группой энтузиастов перешел в фирму РПИ, представ-
лявшую тогда интересы Microsoft в СССР. Здесь начал вплотную рабо-
тать с системой Windows и приложениями для нее, проявляя особен-
ный интерес к проблемам поддержки русского языка, что привело в
итоге к системе многоязычной поддержки для Windows R-Win, напи-
санной совместно с приятелем. Приложил руку и к локализации Win-
dows 3.1, Excel 4.0 и Works для Windows 2.0. В качестве специалиста по
продуктам для Windows его пригласили в представительство Microsoft
в России. С появлением Windows NT сердце Федора бесповоротно было
отдано этой операционной системе, о чем он и поведал в двух своих
предыдущих книгах, написанных в свободное от основной работы
время.

В настоящее время Федор Зубанов является консультантом службы Micro-
soft Consulting Servicies Восточной Европы.

E-mail: FyodorZ@aomicrosoft.msksu

Сайт создан в системе uCoz

т	a$k Schedute ¦settnot¦ Security]
	1 Run at user logon		a«" ¦	d e*te ¦

	Schedule Task: Sj«tfm:			(
	At Logon •»•		—J ."з-c'.-e
	WeeHy A. Monthly """ Once At S^ stemjtaitugi When idle 1r
17 Show rnJMple schedules.
		OK	'] Caned	I ...


Task ¦ Schedule ¦ Settings		Secmity 1
	Name....,.,.	^ ^	Add... ¦
	^lFYODOR\Users		Banove ¦
	.У SYSTEM
	эefмssuns:	Alow	Deny
	Ful control	17	Г
	Modify	17	Г
	Read I execute	17	Г
	Read	17	Г
	Write	17	Г
Advanced... ¦
*Г ¦r»< peim»ions Пот peeni**
		OK ¦ Canc«l	1 -. 1

Dir	'ест	'or у	of	С:\.Му	document	s\NT5 book
10.	09.	97	10:	05	<DIR>
10.	09	97	10;	05	<DIR>
30.	09.	97	11	28	<DIR>	nt5b1wt
13,	11.	97	19:	48	30 720	СПИСОК~1,ООС	Список литературы.doc
04	11,	97	10:	23	93 696	ИНДЕКСА, DOC	Индексный указатель.doc
03	11	97	09:	39	<DIR>	6MANA'1	6Managenient
03	11	97	09:	39	<DIR>	4FILE-1	4FileSystems
04.	11.	97	12	28	<DIR>	1ACTI~1	1Active Directory
04.	11	97	12	:29	<DIR>	РАБОЧИЧ	Рабочие материалы
04	11	97	12	:30	<DIR>	2СИСТ'1	2Система безопасности
04	11	97	12	:31	<DIR>	ПРИЛОЖЧ	Приложения
03	. 11	.97	09	:39	<DIR>	0INTFri	0Introduction
04	. 11	.97	12	:34	<DIR>	3ПЛАН~1	3 Планирование
и установка
04	. 11	97	12	:34	<DIR>	5ОБЕС'1	50беспечение
бесперебойной					и надежной работы
25	. 11	97	19	;45	<DIR>	8RAS	8Ras
04	12	97	15	:52	<DIR>	7ИНТЕ~1	7Интерфейс
с пользователем
		16	File(s)		124 416 bytes

*Таблица 8-1*
От Б до	Интерфейс	Метрика
Б	Локальный	0
А	1	1
В	^	1
Г	4	1

*Таблица 8-2*
От А до	Интерфейс	Метрика
А	Локальный	0
Б	1	1
V,	1	~>
Г	3	1

"аблица 8-4
егмент	Сеть	IP	Маска
еть А сть Б сть В	200.1 200.1 200.1	.1.0 .2.0 .5.0	255.255.255.0 255.255.255.0
			255.255.255.0

Таблица 8-5
Назначение	Маска	Шлюз	Метрика	Интерфейс
200.1.3.0	255.255.255.0	200.1.2.2	?	[1] Название- сетевой платы

Таблица 8-6
Назначение Маска	Шлюз	Метрика	Интерфейс
200.1.1.0 255.255.255.0	200.1.2.1	^	[1J Название сетевой платы

Маршрутизатор	Подключение	Среда
1	К сети А	Одна 10 Мб Ethernet
		или Token Ring плата
	К магистрали	Одна плата 100 Мб Ethernet
		или FDDI
i	К сети Б	Одна 10 Мб Ethernet
		или Token Ring плата
	К магистрали	Одна плата 100 Мб Ethernet
		или FDDI
5	К сети В	Одна 10 Мб Ethernet
		или Token Ring плата
	К магистрали	Одна плата 100 Мб Ethernet
		или FDDI
4	Удаленного клиента по	Модем и (или) линии ISDN
	коммутируемому каналу
	К магистрали	Одна плата 100 Мб Ethernet
		или FDDI

Таблица 8-7
Сегмент	Сеть IP	Маска
Магистраль Сеть А Сеть Б Сеть В Сеть Г	200.1.1.0 200.1.2.0 200.1.5.0 200.1.4.0 200.1.5.0	255.255.255.0 255.255.255.0 255.255.255.0
		255.255.255.0 255.255.255.0

Магистраль	155.55.1.0	255.255.255.0
Сеть А	155.55.2.0	255.255.255.0
Сеть Б	155.55.3.0	255.255.255.0
Сеть В	155.55.4.0	255.255.255.0
Сеть Г	155.55.5.0	255.255.255.0
Сеть Д	155.55.128.0	255.255.255.0
Сеть Е	Внешняя сеть	—

Account-Expires	Assign-Primary-Token-Privilege
Account-Logon-Audit	Assistant-Name
Account-Management-Audit	Assoc-NT-Account
Activation-Schedule	Attribute-ID
Activation-Style	Attribute-Security-GUID
Additional-Information	Attribute-Syntax
Address	Audit-Privilege
Address-Entry-Display-Table	Auditing-Policy
Address-Entry-Display-Table-MSDOS	Auth-Orig
Address-Syntax	Auth-Orig-BL
Address-Type	Authentication-Options
ADMD	AutoReply
Admin-Context-Menu	AutoRcply-Message
Admin-Count	AutoReply-Subject
Admin-Description	Auxiliary-Class
Admin-Display-Name	Backup-Privilege
Admin-Property-Pages	Bad-Password-Time
Alias-Count	Bad-Pwd-Count
Allow-Auto-Connections	Batch-Access
Alt-Recipient	Birth-Location
Alt-Recipient-BL	Builtin-Account-Operators-Group
Alternate-Security-Identities	Builtin-Administrators-Group
App-Flags	Builtin-Backup-Group
Application-Name	Builtin-Creation-Time
Applies-To	Builtin-Guest-Group
Asset-Number	Builtin-Modified-Count

Builtin-Print-Operators-Group	Cost
Builtin-Replicator-Group	Country-Code
Builtin-Server-Operators-Group	Country-Name
Builtin-Users-Group	Create-Pagefile-Privilege
Business-Category'	Create-Permanent-Privilege
Business-Roles	Create-Token-Privilege
Bytes-Per-Minute	Creation-Time
CA-Certificate	Creation-Wizard
CA-Exchange-Certificate	Curr-Machine-Id
CA-Exchange-Certificate-Chain	Current-Location
CA-Signature-Certificate	Current-Value
CA-Signature-Certificate-Chain	DBCS-Pwd
Change-Notify-Privilege	Debug-Privilege
Change-Pwd-Logon-Required	Default-Class-Store
Code-Package	Default-File-Extension
Code-Page	Default-Group
COM-App-Id	Default-Hiding-Value
COM-Auto-Convert-Class-Id	Default-Inter-Site-Schedule
COM-ClassID	Default-Intra-Site-Schedule
COM-InterfaceID	Default-Local-Policy-Object
COM-Other-Prog-Id	Default-Priority
COM-Package-Id	Default-Security-Descriptor
COM-ProgID	Deliv-Cont-Length
COM-PS-CLSID	Deliv-EITs
COM-Treat-As-Class-Id	Deliv-Ext-Cont-Types
COM-Typelib-Id	Deliver-And-Redirect
Com-Uniquc-Cat-Id	Delivery-Mechanism
COM-LInique-CLSID	Department
COM-Unique-IID	Description
COM-Unique-LIBID	Desktop-Profile
COM-Unique-Package-Id	Destination-Indicator
Comment	Detailed-Tracking-Audit
Common-Name	Diagnostic-reg-key
Company	Directory-Service-Access-Audit
Computer-Name	Display-Name
Consistency-DLL	Display-Name-Override
Consistency-GUID	Display-Name-Printable
Contact-Name	Display-Specification
Container-Administrators	Division
Container-Info	DL-Mem-Reject-Perms
Content-Indexing-Allowed	DL-Mem-Reject-Perms-BL
Context-Menu	DL-Mem-Submit-Perms
Control-Access-Rights	DL-Mem-Submit-Perms-BL

DL-Mcmbcr-Rule	Domain-Cross-Ref
DMD-Location	Domain-Friendly-Name
Dns-Allow-Dynamic	Domain-Name
Dn.s-Allow-XFR	Domain-Object-Reference
Dns-Notify-Secondaries	Domain-Policy-Object
Dns-Root	Domain-Policy-Reference
Dns-RR-Set-Type-1	Domain-Replica
Dns-RR-Set-Type-10	Domain-Replicas
Dns-RR-Set-Type-11	Domain-Wide-Policy
Dns-RR-Set-Type-12	Driver-Name
Dns-RR-Set-Type-13	Driver-Version
Dns-RR-Set-Type-14	Dynamic-LDAP-Server
Dns-RR-Set-Type-15	E-mail-Addresses
Dns-RR-Set-Type-16	EFSPolicy
Dns-RR-Set-Type-17	Employee-ID
Dns-RR-Set-Type-18	Enabled-Connection
Dns-RR-Set-Type-19	Enabled-Protocols
Dns-RR-Set-Type-2	Encrypt-Key-Cert
Dns-RR-Set-Typc-20	Execution-Context
Dns-RR-Set-Type-21	Expiration-Time
Dns-RR-Set-Type-22	Extended-Chars-Allowed
Dns-RR-Set-Type-23	Extension-Attribute-1
Dns-RR-Set-Type-24	Extension-Attribute-10
Dns-RR-Set-Type-25	Extension-Attribute-2
Dns-RR-Set-Type-26	Extension-Attribute-3
Dns-RR-Set-Type-27	Extension-Attribute-4
Dns-RR-Set-Type-28	Extension-Attribute-5
Dns-RR-Set-Type-29	Extension-Attribute-6
Dns-RR-Set-Type-3	Extension-Attribute-7
Dns-RR-Set-Type-30	Extension-Attribute-8
Dns-RR-Set-Type-31	Extension-Attribute-9
Dns-RR-Set-Type-32	Extension-Data
Dns-RR-Set-Type-33	Extension-Name
Dns-RR-Set-Type-4	Extension-Name-Inherited
Dns-RR-Set-Type-5	Facsimile-Telephone-Number
Dns-RR-Set-Type-6	Flags
Dns-RR-Set-Type-65281	Flat-Name
Dns-RR-Set-Type-65282	Folder-Pathname
Dns-RR-Set-Type-7	Force-Logoff
Dns-RR-Set-Type-8	Foreign-DSAs
Dns-RR-Set-Type-9	Foreign-Identifier
Dns-Secure-Secondaries	From-Server
Domain-Component	From-Site

FSMO-Role-Owner	Interactive-Access
Garbage-Coll-Period	International-ISDN-Number
Gencrated-Connection	Invocation-Id
(iivcn-Name	Ipsec-Policy-Rcference
Global-Friendly-Name	Is-Deleted
Governs-ID	Is-Member-Of-DL
droup-Attributes	Is-Single-Valued
Group-Count	KCC-Status
Group-Membership-SAM	Key-Exchange-Key-Cert
Group-Priority	Kc\'\vords
Groups-to-Ignore	Language
Ha.s-Full-Replica-NC.s	Last-Backup-Restoration-Time
Has-Master-NCs	Last-Content-Indexed
Hclp-Datal6	Last-Logoff
Help-Data32	Last-Logon
Help-File-Namc	Last-Set-Time
Heuristics	Last-Update-Sequence
Hide-DL-Mcmbership	LDAP-Display-Name
Hide-From-Address-Book	Link-ID
Home-Directory	Link-Track-Sccret
Home-Drive	Lm-Pwd-History
Home-MDB	Load-Driver-Privilege
Home-MDB-BL	Local-Bridge-Head
Home-MTA	Local-Bridge-Head-Address
Home-Postal-Address	Local-Policy-Flags
Icon-Path	Local-Policy-Reference
IMO-Builtin-Account-Ops-Group	Local-Scope
IMO-Builtin-Admin-Group	Locale-ID
IMO-Builtin-Backup-Group	Locality-Name
IMO-Builtin-Guest-Group	Localized-Name
IMO-Builtin-Print-Ops-Group	Location
IMO-Builtin-Replicator-Group	Lock-Memory-Privilege
IMO-Builtin-Server-Ops-Group	Lock-Out-Observation-Window
IMO-Builtin-Users-Group	Lockout-Disconnect
Implemented-Categories	Lockout-Duration
Imported-From	Lockout-Threshold
Inbound-Sites	Log-Rollover-Interval
Increase-Base-Priority-Privilege	Logo
Increase-Quota-Privilege	Logon-Audit
Initial-Auth-Incoming	Logon-Count
Initial-Auth-Outgoing	Logon-Hours
Initials	Logon-Workstation
Instance-Type	LSA-Creation-Time

LSA-Modified-Count	Monitoring-Cached-Via-Mail
Machine-Account-Privilege	Monitoring-Cached-Via-RPC
Machine-Architecture	Monitoring-Mail-Update-Interval
Machine-DNS-Name	Monitoring-Mail-Update-Units
Machine-DNS-Name-Form	Monitoring-RPC-Update-Interval
Machine-Password-Change-Interval	Monitoring-RPC-Update-Units
Machine-Role	Must-Contain
Machine-Wide-Policy	N-Address
Mail-nickname	Name-Prefix
Maintain-AutoReply-History	Name-Suffix
Manager	NC-Name
MAPI-Display-Type	NETBIOS-Name
MAPI-ID	Netboot-GUID
MAPI-Recipient	Netboot-Initialization
Marshalled-Interface	Netboot-Machine-File-Path
Max-Active-Queries	Netboot-NIC
Max-Page-Size	Network-Access
Max-Pwd-Age	Network-Address
Max-Query-Duration	Newsgroup
Max-Renew-Age	Next-Level-Store
Max-Sizc-All-Rcsult-Scts	Next-Rid
Max-Storage	NNTP-Character-Set
Max-Temp-Table-Size	NNTP-Content-Format
Max-Ticket-Age	Non-Security-Member
May-Contain	Non-Security-Member-BL
MDB-Over-Quota-Limit	Notification-List
MDB-Storage-Quota	NT-Group-Members
MDB-Use-Defaults	NT-Machine-Name
Member	NT-Mixed-Domain
MIME-Types	Nt-Pwd-History
Min-Pwd-Age	NT-Security-Descriptor
Min-Pwd-Length	Obj-Dist-Name
Min-Ticket-Age	Object-Access-Audit
Moderated	Object-Class
Moderator	Object-Class-Category
Modified-Count	Object-Count
Modified-Count-At-Last-Prom	Object-Guid
Moniker	Object-Sid
Moniker-Display-Name	OEM-Information
Monitored-Configurations	OlD-Type
Monitored-Services	OM-Object-Class
Monitoring-Availability-Style	OM-Syntax
Monitoring-Availability-Window	OMT-Guid

OMT-Indx-Guid	Prefix-Map
OOF-Reply-To-Originator	Primary-Ciroup-ID
Operating-System	Print-Attributes
Operating-System-Hotfix	Print-Bin-Names
Opcrating-System-Service-Pack	Print-Collate
Operating-System- Version	Print-Color
Operator-Count	Print-Duplex-Supported
Options	Print-End-Time
Organization-Name	Print-Form-Name
Organizational-! Init-Name	Print-Keep-Printed-Jobs
Original-Display-Table	Print-Language
Original-Display-Table-MSDOS	Print-MAC-Address
Other-ADS-Paths	Print-Max-Copics
Other-Login-Workstations	Print-Max-Resolution-Supported
Other-Name	Print-Max-X-Extcnt
Outbound-Sites	Print-Max-Y-Extent
Owner	Print-Media-Ready
Owner-BL	Print-Mcdia-Supported
Package-Flags	Print-Memory
Package-Name	Print-Min-X-Extent
Package-Type	Print-Min-Y-Extent
Parent-Cert-Server	Print-Network-Address
Per-Msg-Dialog-Display-Table	Print-Notify
Per-Recip-Dialog-Display-Table	Print-Number-Up
PF-Comacts	Print-Orientations-Supported
Physical-Delivery-Office-Name	Print-Owner
Physical-Location-Object	Print-Rate
Physical-Location-Object-BL	Print-Rate-Dnit
Picture	Print-Separator-File
PKT	Print-Share-Name
PKT-Guid	Print-Spooling
Policy-Change-Audit	Print-Stapling-Supported
Policy-Name	Print-Start-Time
Policy-Options	Print-Status
POP-Character-Set	Printer-Name
POP-Content-Format	Prior-Set-Time
Port-Name	Prior-Value
Poss-Superiors	Priority
Post-Office-Box	Private-Key
Postal-Address	Privilige-Usc-Audit
Postal-Code	Profile-Path
Preferred-Delivcry-Method	Profile-Single-Process-Privilege
Preferred-Oil	Property-Pages

Proxied-Object-Namc	Rcplication-Scrvicc-Command
Proxy-Access	Replication-Stagger
Proxy-Addresses	Replication-Staging-Path
Proxy-Gencration-Enabled	Replication-Status
Proxy-Lifetime	Replication-LJpdate-Timeout
Public-Delegates	Report-To-Originator
Public-Delegates-BL	Report-To-Owncr
Public-Key-Policy	Reports
Pwd-History-Length	Reps-From
Pwd-Last-Set	Rcps-To
Pwd-Propertics	Reps-To-Ext
Quality-Of-Scrvice	Required-Categories
Query-Policy-BL	Restore-Privilcge
Query-Policy-Object	Reverse-Membership
Range-Lower	Revision
Range-Upper	Rid
RDN	RID-Allocation-Pool
RDN-Att-ID	RID-Availablc-Pool
Registered-Address	RID-Manager-Reference
Rcmote-Bridge-Head	RID-Next-RID
Remotc-Bridge-Head-Addrcss	RID-Previous-Allocation-Pool
Remote-Servcr-Narne	RID-Used-Pool
Remote-Shutdown-Privilege	Rights-Guid
Remote-Site	rpc-Ns-Annotation
Remote-Source	rpc-Ns-Bindings
Remote-Source-Type	rpc-Ns-Codeset
Rcpl-Property-Meta-Data	rpc-Ns-Group
Repl-UpToDate-Vector	rpc-Ns-Interface-ID
Repl-Uuid-Table	rpc-Ns-Objcct-ID
Replica-Set-GUID	rpc-Ns-Priority
Replica-Set-Server	rpc-Ns-Profile-Entry
Replica-Source	rpc-Ns-Transfer-Syntax
Replication-Boot-State	Run-As
Replication-DB-Path	SAM-Account-Name
Replication-Directory-Filter	SAM-Account-Type
Replication-DS-Poll	SAM-Compatibilityl
Replication-Extensions	SAM-Compatibility2
Replication-File-Filter	Schedule
Replication-Level-Limit	Schema-Flags
Replication-Mail-Msg-Size	Schema-Flags-Ex
Replication-Root-Path	Schema-ID-GUID
Replication-Root-Security	Schema-Update
Replication-Sensitivity	Schema-Updatc-Now

Schema-Version	System-Flags
Script-Path	System-May-Contain
Search-Flags	System-Must-Contain
Search-Guide	System-Only
Security-Identifier	System-Poss-Superiors
Security-Principal-ID	System-Profile-Privilege
Security-Privilege	Systemtime-Privilege
Security-Protocol	Take-Ownership-Privilege
Sce-Also	Target-Address
Scci-Notification	Tcb-Privilege
Serial-Number	Telephone-Assistant
Server-Name	Telephone-Fax
Server-Role	Telephone-Home
Server-State	Telephone-Home2
Service-Access	Telephone-Mobile
Scrvice-Admin-CLSID	Telephone-Number
Scrvice-Binding-Information	Telephone-Office 1
Service-Class-ID	Telephone-0ffice2
Service-Class-Info	Telephone-Pager
Service-Class-Namc	Teletcx-Terminal-Identifier
Scrvice-Instance-Version	Telex-Number
Setup-Command	Temp-Table-Pcrcentage
Shell-Context-Menu	Text-Country
Shell-Property-Pages	Time-Refresh
Shutdown-Privilege	Time-Vol-Change
SID-History	Title
Signature-Key-Cert	Tombstone-Lifetime
Site-GUID	Tracking-Log-Path-Name
Site-Object	Trust-Attributes
Site-Object-BL	Trust-Auth-Incoming
Site-Server	Trust-Auth-Outgoing
State-Or-Province-Name	Trust-Direction
Street-Address	Trust-Parent
Sub-Class-Of	Trust-Partner
Sub-Refs	Trust-Posix-Offset
Sub-Site	Trust-Type
Submission-Cont-Length	UAS-Compat
Superior-DNS-Root	Unauth Crig
Supplemental-Credentials	Unauth-Orig-BL
Surname	UNC-Name
System-Audit	Unicode-Pwd
System-Auxiliary-Class	Unsolicited-Input-Privilege
System-Environment-Privilege	Use-Server-Values

Locality	rpc-Profile
Mail-Recipient	rpc-Profile-Element
Mailbox	rpc-Server
Manageable-Object	rpc-Server-Element
MSFT-DSA	Sam-Domain
MSFT-FRS	Sam-Domain-Base
NTDS-Connection	Sam-Server
NTDS-Service	Secret
NTDS-Scttings	Security-Object
NTFRS-Replica-Set	Security-Principal
NTFRS-Settings	Server
Organisation	Server-Connection
Organizational-Person	Service-Administration-Point
Organizational-Unit	Service-Class
Package-Registration	Service-Instance
Person	Site
Physical-Location	Site-Connection-Settings
Print-Queue	Site-Settings
Public-Folder	Sites-Container
Query-Policy	Storage
Remote-Address	Subnet
Remotc-Mail-Recipient	Subnet-Container
Replication-Connector	Top
RID-Manager	Trusted-Domain
rpc-Entry	Type-Library
rpc-Group	User
	Volume

Свойство	Синтаксис	Обяза- тельный	Много- значный	Описание
Common-	Unicode	Да	Нет	Описательное относительно
Name				отличительное имя
Governs-Id	OID	Да	Нет	OID (Object ID) уникальным
				образом идентифицирую-
				щий объект данного класса
Ldap-Display-	Unicode	Нет	Нет	Имя, под которым клиенты
Name				LDAP идентифицируют
				этот класс
Schema-ID-	Строка	Да	Нет	GUID для уникальной
Guid	октетов			идентификации класса
MAPI-Display-	Integer	Нет	Нет	Целое число, используемое
Type				клиентами MAPI для иден-
				тификации этого класса
RDN-ATT-ID	OID	Нет	Нет	RDN тип экземпляров
				данного класса, например,
				OU=, CN=
Sub-Class-Of	OID	Да	Нет	Класс, наследником кото-
				рого является этот объект
System-Must-	OID	Нет	Да	Обязательные атрибуты для
Contain				экземпляров этого класса
Must-Contain	OID	Нет	Да	Обязательные атрибуты для
				экземпляров этого класса
System-May-	OID	Нет	Да	Возможные атрибуты для
Contain				экземпляров этого класса
May-Contain	OID	Нет	Да	Возможные атрибуты для
				экземпляров этого класса