Správa Windows NT podle Enteva

Jakkoli si s sebou všechny síťové operační systémy přinášejí řadu programů pro správu sítě, vždy se najdou sk...


Jakkoli si s sebou všechny síťové operační systémy přinášejí řadu programů pro
správu sítě, vždy se najdou skuliny, do
kterých se mohou vměstnat výrobci nejrůznějších pomocných produktů. Ty se
zpravidla snaží správu sítě ještě usnadnit
prostřednictvím intuitivnějšího rozhraní, volbou přehlednějších hierarchií
síťových objektů apod. Touto cestou se vydala i společnost Entevo při vývoji
svého systému DirectManage.
Uvedený systém je vlastně sadou softwarových produktů, jejímž cílem je dovolit
správcům sítě komplexnější pohled na spravovanou síť. Systém čte informace
uchovávané v bezpečnostní
databázi Windows NT a poté vytváří hierarchickou strukturu dostupných síťových
zdrojů, tedy
adresářů, souborů, tiskáren apod. A samozřejmě umožňuje editovat příslušná
přístupová práva, přičemž zavádí i některá práva nová.
DirectScript
DirectManage tvoří dvě části: DirectScript 2.0 a DirectAdmin. DirectScript 2.0
je sbírkou 8 objektů COM (Component Object Model), z nichž každý je schopen
plnit svou specifickou úlohu. Tou může být např. správa uživatelů nebo
zabezpečení souborového systému. Zmíněné objekty umožňují zobrazování a editaci
Domén, Pracovních skupin, Uživatelů, Počítačů, Adresářů nebo jednotlivých
položek Registru.
Objekty, které jsou součástí
DirectScriptu, navíc rozšiřují koncept práv použitý ve Windows NT za účelem
snadné delegace některých administrátorských práv na subadministrátory. Je
totiž pochopitelně daleko vhodnější hierarchicky uspořádat práva jednotlivých
správců, než ponechat vše na bedrech jediného člověka, nebo přidělit všechna
administrátorská práva mezi více osob bez přesně vymezeného (a pokud možno
zabezpečeného) pole působnosti. Tak se v DirectScriptu objevuje řada práv
umožňujících nastavit vztah k objektům typu Doména, Skupina, Uživatel a Počítač.
Jejich přidělování je přitom analogické klasické správě práv ve Windows NT, kde
si každý zabezpečený objekt (adresář, soubor, položka registru, tiskárna) nese
s sebou svůj seznam přístupových práv (ACL Access Control List) složený z
jednotlivých položek (ACE Access Control Entries). Např. seznam přístupových
práv souboru v sobě obsahuje informaci o tom, že uživatel Karel má povolení jej
číst (R), ale nesmí do něj psát (W).
Definovány jsou položky dvojího typu pro povolení nějakého práva a pro jeho
zákaz. Určitá skupina tak může mít např. práva RW k nějakému souboru, ale
uživatel Jan, který je jejím členem, má právo W zrušeno.
Podobně lze prostřednictvím DirectScriptu přidělovat uživatelům nebo skupinám
práva (R Read čtení, W Write zápis, D Delete smazání, P Permission delegování
oprávnění, F Full plná práva) k objektům Doména, Skupina, Uživatel a Počítač.
Přitom právo R
je standardně přiděleno každému uživateli. Prostřednictvím takto zavedených
práv lze tedy snadno delegovat oprávně-ní administrátora na podadministrátory
například přidělením práva D k určité domé-ně, se příslušné-mu uživateli
dovoluje mazat uživatele a skupiny v této doméně.
Jako existují ve Windows NT speciální práva, např. Backup pro zálohování, ale
nikoli pro libovolné nakládání s daty uživatelů, zavádí systém DirectScript
práva pro správu účtů, správu hesel apod.
Co je uvnitř
Pokud jsme výše popisovali způsob nasazení samotného DirectScriptu, zmiňme se
zde alespoň krátce o jednotlivých objektech COM, ze kterých se tento systém
skládá. Podstatné je, že tyto objekty jsou kompatibilní s ADSI (Active
Directory Services Interface) Microsoftu, což zajišťuje jejich dobrou
využitelnost i v budoucnu.
Zatímco názvy většiny objektů napovídají celkem výstižně jejich zaměření
(IADsDomain, IADsUser, IADsGroup a podobně), za zmínku stojí dvojice objektů s
názvy IFile a IRegistryKey, která umožňuje modifikovat obsahy adresářů a
položky Registrů na libovolném počítači v celém podniku. Prostřednictvím
rozhraní IObjectSecurity lze naopak
zjistit oprávnění k libovolnému chráněnému objektu v celé síti, objekt
IADsNTPolicy, podporovaný na objektu Počítač, zase dovoluje správu nastavení
auditu, uživatelských práv a trustových domén.
DirectAdmin
Objekty, obsažené v DirectScriptu, lze použít k napsání vlastních skriptů,
standard COM ostatně umožňuje jejich široké využití ať už prostřednictvím z
VBScriptu, Visual Basicu nebo Visual C++. Součástí systému DirectManage je však
také interaktivní aplikace DirectAdmin, která je vystavěná právě nad
DirectScriptem a prostřednictvím rozhraní, podobného klasickému Průzkumníkovi,
umožňuje správci využívat výše zmíněné možnosti.
lze tak procházet podnikovou sítí a editovat vlastnosti jednotlivých síťových
objektů i přímo předávat jednotlivá práva určeným podadministrátorům.
DirectAdmin je zpravidla nainstalován na hlavním doménovém serveru, jeho
klientský program pak na každém NT-serveru určeném k monitorování. Tento
klientský program čte nastavení místních Registrů a bezpečnostní databáze a
posílá je serverovému programu, který vytváří hierarchický přehled určený
správci.
Závěr
Systém DirectManage rozšiřuje správu Windows NT o řadu nových možností včetně
snadné delegace administrátorských práv na pomocné správce.
Ke své činnosti využívá rozhraní API Active Directory Services Microsoftu,
které dovoluje přidat nástroje třetích stran pro přístup k adresářovým službám
včetně těch založených na Active Directory Microsoftu.
Jeho nasazení komentuje např. Joe Brand, síťový analytik společnosti Nabisco,
která testuje systém DirectManage na síti s 350 servery Windows NT: "Bez
DirectScriptu to (informace o přístupových právech k souborům a adresářům)
musíte zjišťovat po jednotlivých serverech, počínaje od kořenového adresáře,
abyste viděli, kdo má jaké oprávnění. Cena systému činí 19 dolarů za jeden
spravovaný uživatelský účet.
8 1610 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.