УСТАНОВКА
2.1.1 WINDOWS SERVER 2003, ENTERPRISE EDITION
Требования к аппаратным ресурсам.
Для компьютеров на основе процессоров семейства x86: один или более процессоров с рекомендуемой скоростью 550 мегагерц, минимально поддерживаемая скорость 133 мегагерц. Максимально поддерживаемое количество процессоров - восемь, совместимых с Intel Pentium/Celeron или AMD K6/Athlon/Duron. Рекомендуемое количество оперативной памяти 256 мегабайт, минимально поддерживаемое 128 мегабайт, максимально поддерживаемое 32 гигабайт].
Для компьютеров на основе процессоров x64 и Itanium: Минимальная частота процессора 733 мегагерц, поддерживается до восьми процессоров. Минимальное количество оперативной памяти один гигабайт, максимальное количество 1024 гигабайт, таблица 2.1.
Необходимое дисковое пространство для x86 составляет от 1,5 гигабайт, для Itanium и x64 версий - два гигабайта. Монитор VGA, рекомендуется SVGA с разрешением 600x800 точек, клавиатура, мышь.
Файловую систему FAT следует выбирать, если объем используемого раздела жесткого диска не превышает двух гигабайт или когда необходимо обеспечить двойную загрузку компьютера с использованием таких операционных систем, как Windows 95 или Windows 98.
Для семейства Windows Server 2003 файловая система NTFS является предпочтительной, это связано с тем, что NTFS позволяет в полной мере воспользоваться преимуществами, предоставляемыми системой безопасности Windows 2000/XP/Windows Server 2003.
Выбор способа установки Windows Server 2003 можно классифицировать следующим образом:
По отношению к существующей операционной системе - установка новой копии или обновление существующей операционной системы.
По режиму установки - ручная установка в интерактивном режиме, полуавтоматическая установка, полностью автоматическая установка.
По типу используемого носителя дистрибутивных файлов - установка с использованием только дистрибутивного компакт-диска, установка с локального жесткого диска, установка через сеть.
Прямое обновление операционных систем до Windows Server 2003, Enterprise Edition поддерживается с Windows 2000 Server, Windows 2000 Advanced Server, Windows NT4 Server с сервисным пакетом обновления 6а.
Для автоматизации установки систем на множество компьютеров имеются следующие возможности:
Группа утилит, называемая “Средства корпоративного развертывания Windows” предназначена для автоматизированной установки и для развертывания операционных систем на большом количестве компьютеров.
Специализированное программное обеспечение по управлению системами (пример - Microsoft Systems Management Server, SMS) позволяет запускать процедуру инсталляции с сервера и проводить весь процесс централизованно, даже не подходя к компьютерам.
Службы удаленной установки (Remote Installation Services, RIS). RIS позволяет выполнять множественные инсталляции Windows XP Professional, Windows Server 2003 с дискеты или сетевой карты. Компьютеры, поддерживающие технологию РХЕ (Pre-Boot execution Environment), загружают образы через сеть.
УСТАНОВКА RED HAT ENTERPRISE LINUX 4
Для компьютеров на основе процессоров семейства x86: один или более процессоров с рекомендуемой скоростью 400 мегагерц, минимально поддерживаемая скорость 300 мегагерц. Максимально поддерживаемое количество процессоров 32, совместимых с Intel Pentium/Celeron или AMD K6/Athlon/Duron. Рекомендуемое количество оперативной памяти 512 мегабайт, минимально поддерживаемое 256 мегабайт, максимально поддерживаемое 64 гигабайт. В данном случае указано максимально поддерживаемое количество логических процессоров.
Для компьютеров на основе процессоров Itanium: Минимальная частота процессора не декларировано, поддерживается до 512 процессоров. Минимальное количество оперативной памяти - один гигабайт, максимальное количество 1024 терабайт.
Для компьютеров на основе процессоров семейства x64 и IBM Power: Минимальная частота процессора не декларирована, поддерживается до 64 процессоров. Минимальное количество оперативной памяти - один гигабайт, максимальное количество 1024 гигабайт.
Необходимое дисковое пространство для Advanced Server составляет от 800 мегабайт, онако с учетом своп файла, сервисов и графической среды, рекомендуется не менее 10 гигабайт. Монитор VGA, рекомендуется SVGA с разрешением 600x800 точек, клавиатура, мышь.
Выбор файловой системы для раздела, на который будет выполняться установка Red Hat Enterprise Linux 4 сводятся к выбору между ext2, ext3 и vfat, так как установка на другие файловые системы Linux, такие как ReiserFS не поддерживается.(или Ext2fs) - ее характеризует довольно высокая надежность и самое высокое быстродействие. Есть поддержка длинных имен файлов - до 255 символов. Но так как Linux используется все чаще и чаще на высокопроизводительных серверах, то она уже не удовлетворяет обычным требованиям - большие разделы жесткого диска, быстрое восстановление после сбоев, высокопроизводительные операции ввода/вывода, потребность в хранении тысяч и тысяч файлов, представляющих терабайты данных. Все это уже превышает возможности данной файловой системы.(или Ext3fs) разработана в недрах компании Red Hat доктором Stephen Tweedie. Чтобы не изобретать колесо, в данном случае поступили просто, прикрутив к стандартной ext2fs журнал заменив драйвер ядра, отвечающий за файловую систему. Преимущество данной файловой системы состоит в том, что она, в отличие от остальных, поддерживает режим журналирования данных (полное или частичное). Данная файловая система устанавливается по умолчанию и настоятельно рекомендована.- это файловая система Linux, которая совместима с файловой системой Microsoft FAT-32 с поддержкой длинных имен. Может использоваться для систем с двойной загрузкой, форматирования дискет и других переносных носителей информации.
Существует несколько методов инсталляции Red Hat Enterprise Linux - используя загрузочный компакт-диск, используя загрузочную дискету, используя жесткий диск, установка по сети.
Инсталляция по сети. Установочные средства Red Hat Enterprise Linux должны быть доступны для сетевой установки через протоколы HTTP, FTP или NFS или инсталляции через локальное хранилище. Сетевая установка может запускаться с загрузочного CD-ROM, загрузочного флеш-диска, или с помощью сетевой карты. Установка с жесткого диска работает только с файловых систем ext2, ext3 и FAT.
Для установки системы на множество компьютеров разработчики Red Hat изобрели метод, названный Kickstart2). При использовании этого метода создается единственный файл, содержащий ответы на все вопросы, которые задаются при обычной установке Red Hat Linux. Файлы инсталляции могут храниться на одном сервере и читаться отдельными компьютерами в процессе инсталляции.
Установка Red Hat Enterprise Linux 4 путем обновления предыдущей версии. Прямое обновление поддерживается с Red Hat Enterprise Linux версий 2.1 и 3 для систем, работающих на процессорах семейства x86 и с версии 3 для систем на AMD64, EM64T и Itanium.
Двойная загрузка Linux и Windows 2003 заключается в том, чтобы добавить Linux в качестве одного из вариантов загрузки в меню загрузчика Windows.
Резюмируя сказанное, можно отметить, что современный Linux требует современных аппаратных ресурсов, даже больше чем Windows, это касается и оперативной памяти, и дискового пространства. Обе ОС поддерживают все процессоры фирм Intel и AMD. Процессоры IBM Power поддерживаются только Red Hat Linux, очевидно это политика компании IBM, активно продвигающей ОС Linux.
Системы поддерживают различные варианты установки, обновления предидущих версий и автоматизированную установку. За счет этого небольшая группа администраторов сможет справиться с установкой ОС на большом количестве компьютеров в масштабах корпорации за сравнительно короткий промежуток времени.
ФАЙЛОВЫЕ СИСТЕМЫ
АРХИТЕКТУРА EXT3
К основным понятиям файловых систем в мире Linux относятся: блок загрузки (boot block), суперблок (superblock), индексный (информационный) узел (inode), блок данных (data block), блок каталога (directory block), косвенный блок (indirection block).
Блок загрузки содержит программу для первоначального запуска Linux. На жестком диске по физическому адресу 0-0-1 располагается главная загрузочная запись (master boot record, MBR), включающая внесистемный загрузчик, таблицу описания разделов диска и сигнатуру MBR.
Все пространство раздела диска разбивается на блоки фиксированного размера, кратные размеру сектора - 1024, 2048 и 4096 байт. Размер блока указывается при создании файловой системы на разделе диска. Меньший размер блока позволяет экономить место на жестком диске, но также ограничивает максимальный размер файловой системы. Все блоки имеют порядковые номера. С целью уменьшения фрагментации и количества перемещений головок жесткого диска при чтении больших массивов данных блоки объединяются в группы. Блоки Linux -это видимо аналог кластеров Windows.
Файловая система ext3 имеет следующую структуру, показанную на рисунке 6 в приложении, которая включает суперблок, описатель группы карта блоков, карта информационных узлов, таблица информационных узлов, блоки данных.
В суперблоке содержится общая информация о файловой системе, такая как общее число блоков и inode-ов в файловой системе, число свободных блоков и inode-ов в файловой системе, размер блока файловой системы, количество блоков и inode-ов в группе, размер inode, идентификатор файловой системыя. номер первого блока данных.
Для повышения устойчивости создается несколько копий суперблока, но при монтировании используется только одна.
Каждая группа имеет свой дескриптор группы. Карты блоков и информационных узлов - это массивы битов, которые указывают на блоки или информационные узлы соответственно. Таблица информационных узлов содержит информацию о выделенных для данной группы блоков в информационных узлах.
Блоки данных - это блоки, содержащие реальные данные.
Базовым понятием файловой системы является информационный узел, information node, или inode. В информационном узле, изображенном на рисунке 7 в приложении, хранится вся информация о файле, кроме его имени. Эта информация представляет собой последовательность 32-х битных номеров блоков, содержащих данные файла. Первые 12 номеров - это прямые ссылки на информационные блоки (direct blocks number). 13-й номер является косвенной ссылкой (indirect blocks number). В нём находится адрес блока, в котором хранятся адреса информационных блоков. 14-й номер - двойная косвенная ссылка (double blocks number), 15-й номер - тройная косвенная ссылка (triple blocks number).
Это специальная структура, которая содержит информацию об атрибутах и физическом расположении файла. Атрибутами файла являются его тип, права доступа к нему, идентификатор владельца, размер, время создания. Размеры файлов приведены в таблице 2.5.
Максимальная длина имени файла составляет 254 символа. Имя может содержать практически любые символы, кроме: / \? > < | " *. Linux чувствительна к регистру символов, поэтому file.txt, FILE.TXT и File.txt - совершенно разные имена файлов.
Таблица 2.5.
Максимальные размеры файлов
Размер блока файловой системы Размер файла Размер файловой системы
килобайт 16 гигабайт (234) 2 терабайта (241)
килобайта 256 гигабайт (238) 8 терабайт (243)
килобайта 2 терабайта (241) 16 терабайт (244)
килобайт 2 терабайта (241) 32 терабайта (245)
Существует три режима журналирования файловой системы:
Режим data=writeback В этом режиме файловая система ext3 не выполняет какого либо журналирования данных.
Режим data=ordered. В этом режиме файловая система ext3 формально журналирует только метаданные, но логически метаданные и блоки данных группируются в единый модуль, называемый транзакцией.
Режим data=journal обеспечивает полное журналирование и метаданных, и самих данных.
Файловая система EXT3 не поддерживает прозрачного сжатия данных, как, впрочем, и шифрования.
Дисковые квоты могут быть сконфигурированы как для отдельных пользователей так и для групп [19]. Такая гибкость дает возможность предоставить каждому пользователю небольшую квоту для ведения своего файла, позволяя выделить проекту, над которым работает группа большее дисковое пространство. Дополнительно есть возможность устанавливать квоты не только на количество расходуемых дисковых блоков, но и на количество информационных узлов inode, это позволяет контролировать количество создаваемых файлов.
Права доступа к файлам.Списки контроля доступа поддерживаются только в последней версии, вместо этого права доступа к файлу или к каталогу описываются тремя восьмеричными цифрами, левая из этой тройки - права владельца, средняя - права группы, правая - права всех остальных. Каждая из этих восьмеричных цифр представляет собой битовую маску из трех битов. Эти биты отвечают за права на чтение, запись и исполнение файла или каталога. Если установлена единица - доступ разрешен, если ноль - запрещен. Таким образом, права доступа к файлу, описанные цифрой 644, означают, что владелец может писать и читать файл, группа и остальные пользователи - только читать. Для обозначения разрешений применяют коды прав доступа, трехбитовый набор записывается в виде символов rwx, r - чтение, w - запись, x - выполнение.
Посмотрим, что означает чтение, запись и выполнение файла с точки зрения функциональных возможностей.Чтение: возможность просмотра содержимого файла, возможность чтения каталога.Запись: возможность добавить или изменить файл, возможность удалять или перемещать файлы в каталоге.Выполнение: возможность запуска программы, возможность поиска в каталоге в комбинации с правом чтения, приложение, рисунок 8.Все создаваемые файлы и каталоги не наследуют разрешения от родительского каталога, а получают разрешения, зависящие от маски, заданной утилитой umask, если конечно они не указываются при создании файла.При создании символьной ссылки ей устанавливаются полные права для всех пользователей, и при обращении к файлу через ссылку эти права не ограничиваются правами на сам файл. Поэтому каждый раз при создании ссылки нужно задавать разрешения.
Для совместно используемых несколькими пользователями каталогов трудно с помощью трех прав задать специфические права доступа. Для того чтобы удалять из каталога файлы могли только те, кто их создал, существует stycky-бит. Например, права доступа вида drwxrwxrwxt содержат букву “t”, это значит что stycky-бит установлен. Использование битов доступа SUID позволяет пользователям запускать программы с использованием прав владельца, а установка бита SGID -с использованем прав группы владельцев. Для таких файлов вместо бита выполнения “x” устанавливается бит “s”.Списки контроля доступа ACL появились в версии Red Hat Enterprise Linux 4, при установке соответствующего пакета и монтирования, они работают только в файловой системе ext3 и доступны через NFS и Samba.Используется два типа списков контроля доступа: ACL доступа и ACL по умолчанию. ACL доступа это список разрешений для конкретного файла или каталога. ACL по умолчанию может быть ассоциирован только с каталогом, и применяется для файлов в каталоге, если каталог не имеет установленных ACL доступа. Списки контроля доступа могут быть сконфигурированы для группы, пользователя, через маску эффективных прав, и для пользователей, которые не состоят в группах для файла.Выглядит это все весьма удручающе: приложение, рисунок 9.Обратной совместимости с предыдущими версиями Linux не поддерживается, при доступе к каталогам они просто игнорируют назначенные ACL.Сетевой доступ обеспечивают слжбы NFS и Samba.Сетевая файловая система NFS (Network File System) позволяет монтировать файловые системы на удаленных компьютерах. При этом создается ощущение, что эти файловые системы являются локальными, если не считать, конечно, скорости соединения. После монтирования вы сможете непосредственно обращаться к файлам этой файловой системы.
Второй вариант предоставления файлов и принтеров в общий доступ - это использование сервера Samba. Операционные системы Windows, OS/2 и Linux могут обмениваться файлами через сервер Samba по протоколу SMB (Server Message Block). Данный сервер позиционируется как альтернативный файловый сервер в сетях Microsoft.В апреле 2003 г. Независимая компания VeriTest, проводящая тесты на профессиональном уровне, произвела замеры производительности файловых серверов под управлением операционных систем Windows Server 2003 и Red Hat Linux Advanced Server 2.1. Для тестирования использовалась рограмма NetBench 7.02.Схема тестовой установки показана на рисунке 10 в приложении. Конфигурации тестируемых систем показаны в таблице.
Конфигурации операционных систем
ОС Windows Server 2003 Enterprise Edition Red Hat Linux Advanced Server 2.1
Служба SMB (CIFS) File and Printer Sharing for Microsoft Networks SAMBA version 2.2.7
Файловая система NTFS EXT3
Измеренная пропускная способность в Мегабит/секунду, в зависимости от количества клиентов Windows XP Professional с Service Pack 1, приведена в приложении на рисунке 11.Монтирование дисков и томов, ссылки.Linux имеет единую иерархическую структуру каталогов. Все начинается с корневого каталога, обозначенного как “/”, а затем разветвляется в подкаталоги.Перед тем, как читать или записать файл в раздел Linux, этот раздел нужно смонтировать. Для этого нужно указать раздел диска, каталог куда монтировать, и формат файловой системы. Есть каталоги, которые называются стандартными. Иногда их еще называют системными. В них находятся файлы, необходимые для управления и сопровождения системы, а также стандартные программы. Описание стандартных каталогов сведено в таблицу 2 в приложении 1.Ссылки позволяют хранить один и тот же файл, но под разными именами. Linux поддерживает два типа ссылок: жесткие и символические.Каждый файл в файловой системе Linux имеет свой индекс. Индекс - это уникальный номер файла. Жесткие ссылки привязываются к индексу файла. Жесткие ссылки можно организовывать только в рамках одной файловой системы.Резюмируя вышесказанное, можно отметить, что обе системы имеют относительно большие максимальные размеры файлов и файловой системы, при этом показатели NTFS гораздо выше. Запас по размеру несомненно важен, так как объемы информации растут очень быстро.Несмотря на то, что для файловой системы ext3 не существует задокументированного лимита на длину пути к файлу, существуют ограничения со стороны программ. Была протестирована возможность работы с файлами с длинными путями. В качестве операционной системы использовалась операционная система SUSE Linux 9.2, файловая система ext3, графическая оболочка KDE 3.3.0. Было действительно возможно, переходя из каталога в каталог, создать довольно длинные пути к файлам. При этом Linux использует относительные пути, и все работает корректно. Однако при длине пути уже более 1000 символов открыть файл по абсолютному пути (например через ссылку на рабочем столе) невозможно ни пакетом OpenOffice, ни Adobe Acrobat, выдаваемая ошибка показана на рисунке 12 в приложении 1. Если создать линк на каталог с большим путем, то выдается ошибка об отсутствии прав доступа. Длина пути до 1000 символов в ОС Linux, как мне кажется, вполне достаточна для работы, а вот ограничение до 255 символов в библиотеке Windows Win32API действительно недостаточно, и мне приходилось сталкиваться с этим на практике.
Что касается безопасности, то набор разрешений Windows позволяет решать задачи практически любой сложности, а традиционный набор Linux из чтения, записи и выполнения уже устарел и требует доработки. Так например, на практике был случай когда требовалось создать файловый ресурс для общего пользования с неизменной структурой каталогов, средствами Windows это осуществимо, средствами Linux - нет.
Современные системы уже не обходятся без списков контроля доступа, здесь их реализация в Windows сделана просто идеально, в то же время ОС Linux все еще пользуется стандартный набор владелец-группа-все, списки контроля доступа добавляются опционально, как видно, реализованы неудобно.
Журналирование является неотемлемой части системы высокой надежности, только такие системы могут выжить на современном рынке, поэтому обе файловые системы имеют реализацию журнала, однако стоит отметить что в ОС Linux есть возможность выбора режима работы журнала, а в ОС Windows только один режим.
Тесты производительности файловых серверов являются не только показателем самой файловой системы, но сетевых протоколов. Здесь системы Windows показывают двухкратное превосходство над Linux. А от скорости работы файловой системы зависит производительность всех остальных сервисов.
УЧЕТНЫЕ ЗАПИСИ И ГРУППЫ
УЧЕТНЫЕ ЗАПИСИ WINDOWS SERVER 2003
При создании учетной записи ей присваивается идентификатор безопасности SID (security identifier) - это уникальный номер, отождествляющий учетную запись пользователя, группы либо компьютера. Обычно SID выглядит так: S-1-5-21-1659004503-193565697-854245398-1002. Active Directory позволяет создать 10 миллионов объектов.
Свойства учетной записи можно использовать при поиске пользователей по каталогу, а также в других приложениях в качестве атрибутов объектов. Вкладки свойств содержат:
Имя, инициалы, фамилию, отображаемое имя, описание, размещение офиса, номер телефона, адреса электронной почты и веб-страниц, домашний адрес пользователя, абонентский ящик на почте, город, штат или область, ZIP-код или индекс, страна или регион, имя входа, разрешенное время входа, компьютеры, на которых разрешено выполнять вход, параметры паролей учетной записи, срок действия учетной записи, путь к профилю, путь к сценарию входа, домашняя папка, телефонные номера пользователя, должность, отдел, компания, начальник, параметры служб терминалов, раздел COM+, список сертификатов X.509, список групп, которым принадлежит пользователь, разрешения объекта пользователя.
Имеются четыре категории групп, существующих по умолчанию:
Группы из папки Встроенные используются для предоставленя стандартных разрешений пользователям, выполняющим в домене административные функции. К этим группам относятся Операторы учета, Администраторы, Операторы архива, Гости, Построители доверия входящих лесов, Операторы настройки сети, Пользователи журнала производительности, Пользователи системного монитора, Доступ пред-Windows 2000, Операторы печати, Пользователи удаленного рабочего стола, Репликатор, Операторы сервера, Пользователи лицензий служб терминалов, Пользователи, Группа авторизации доступа Windows.
Группы из папки Пользователи используются для назначения разрешений по умолчанию пользователям, выполняющим в домене определенные административные функции. Перечислим их: Издатели сертификатов, Администраторы DNS, Группа сервиса поддержки, Серверы RAS и IAS, Клиенты telnet, DNSUpdateProxy, Администраторы домена, Компьютеры домена, Контроллеры домена, Гости домена, Пользователи домена, Владельцы-создатели групповой политики, Администраторы предприятия, Администраторы схемы.
Группы специальных сущностей существуют на всех компьютерах. Членство в этих группах контролируется операционной системой. Администраторы могут устанавливать разрешения на доступ к ресурсам для этих групп, но не могут просматривать или изменять их состав. Понятие области действия к ним неприменимо. Членство в группах специальных сущностей определяется тем, как компьютер используется, а не тем, кто с ним работает. К этим группам относятся: Анонимный вход, Прошедшие проверку, Удаленный доступ, Контроллеры домена предприятия, Все, Интерактивные, Сеть, Служба, Пользователи сервера терминалов.
Встроенные локальные группы имеются на всех автономных серверах, серверах-членах домена и рабочих станциях. Эти группы созданы для предоставления пользователям прав на выполнение системных задач в рамках одного компьютера. К этим группам относятся: Администраторы, Операторы архива, Гости, Группа сервиса поддержки, Операторы настройки сети, Пользователи системного монитора, Пользователи журналов производительности, Опытные пользователи, Операторы печати, Пользователи удаленного рабочего стола, Пользователи сервера терминалов, Пользователи.
Управление рабочей средой пользователя. Рабочая среда пользователя состоит из настроек рабочего стола, настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений. Для управления средой пользователя используются профили пользователей, сценарии входа в систему и групповые политики.
Профиль пользователя - это совокупность папок и данных, содержащих информацию о текущем окружении рабочего стола пользователя, настройках приложений, а так же личные данные. Профили бывают локальные, перемещаемые, обязательные и временные.
Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, который запускается при каждой регистрации пользователя в системе или выходе из нее.
Сервер сценариев Windows (Windows Scripting Host, WSH). Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript.
Групповыми политиками называются совокупности параметров конфигурации пользователей и компьютеров, регламентирующие их взаимодействие с программами, сетевыми ресурсами и операционными системами в рамках организации. Групповые политики можно устанавливать в отношении компьютеров, сайтов, доменов и подразделений.
УЧЕТНЫЕ ЗАПИСИ RED HAT LINUX
При установке системы, в файле /etc/passwd создаются стандартные пользователи:, bin, daemon, adm, lp, sync, shutdown, halt, mail, news, uucp, operator, games, gopher, ftp, nobody, rpm, vcsa, ntp, canna, nscd, rpc, postfix, named, amanda, postgres, sshd, rpcuser, nobody, pvm, apache, xfs, desktop, gdm, mysql, webalizer, mailman, mailnull, smmsp, squid, ldap, netdump, pcap, ident, privoxy, radvd, fax, wnn.
При установке системы, в файле /etc/group создаются стандартные групы:, bin, daemon, sys, adm, tty, disk, mem, kmem, wheel, mail, news, uucp, man, games, gopher, dip, ftp, lock, nobody, users, rpm, utmp, floppy, vcsa, ntp, canna, nscd, rpc, postdrop, postfix, named, postgres, sshd, rpcuser, nfsnobody, pvm, apache, xfs, desktop, gdm, mysql, webalizer, mailman, mailnull, smmsp, squid, ldap, netdump, pcap, ident, privoxy, radvd, fax, slocate, wnn.Hat Linux использует схему первичных пользовательских групп (UPG), которая делает управение группами проще. Группа UPG создается каждый раз при добавлении пользователя в систему, и имеет такое же имя, как и пользователь для которого она была создана, и пользователь является единственным членом группы.
Схема UPG делает надежной установку разрешений по умолчанию для вновь создаваемого файла или каталога, которая позволяет пользователю и его группе делать модификации в файле или каталоге.
Теневые пароли. В многопользовательской среде очень важно использовать теневые пароли. Это усиливает безопасность файлов аутентификации системы путем перенса зашифрованных хешей паролей из всеобще читаемого файла /etc/passwd в /etc/shadow, который может прочесть только пользователь root. Теневые пароли позволяют хранить информации о возрасте паролей и использовать файл политики безопасности.
В Red Hat Linux имена учетных записей пользователей существуют главным образом для удобства пользователей. Внутренне система использует номерные идентификаторы. Для пользователей идентификаторы назвыаются UID, для групп GID. Идентификаторы UID и GID задаются из диапазона 0...65534. Желательно идентификаторы назначать не произвольным образом, а системно. Идентификаторы должны быть глобально уникальны в одной организации если необходимо использовать общие ресурсы в сети. Иначе контроль доступа будет функционировать неверно, особенно если файлы аутентификации на сервере и на рабочей станции различны в UID и GID, которые они содержат, неправильное применение разрешений может привести к проблемам безопасности.
Управление рабочей средой пользователя.
Пользователи Linux предпочитают пользоваться графическим интерфейсом пользователя (GUI). Для этого Red Hat Linux включает графическую систему X Window, которая использует клиент-серверную архитектуру. Для полноценной работы на X клиенте должны функционировать два класса приложений: графическая среда рабочего стола и оконный менеджер.
Наиболее используемыми средами рабочего стола являются GNOME и KDE, они создают общее графическое окружение пользователя, внешний вид рабочего стола и обеспечивают единый способ взаимодействия между приложениями.
Резюмируя сказанное, можно сделать выводы, что ОС Linux не ориентирована на крупные компании, так как идентификаторы пользователей на могут быть больше 65 тысяч, в то время как в Windows таких иденитификаторов может быть 10 миллионов, и служба Active Directory позволяет избежать таких ошибок, как назначение в Linux двум пользователям одного UID.
Приведенные свойства учетной записи пользователя показывают на большое количество параметров Windows, что позволяет гибко управлять параметрами пользователей. В Linux набор свойств гораздо скромнее и, мне кажется, недостаточен для современных требований бизнеса.
Для удобства администрирования обе ОС имеют встроенные наборы пользователей и групп с предопределенными полномочиями, это экономит массу времени при предоставлении прав. Отдельно стоит отметить наличие в ОС Windows групп специальных сущностей, значительно повышающих гибкость управления.
Для управление рабочей средой пользователя Windows использует мощное средство - групповые политики, в то же время в Linux управление рабочей средой возможно с помощью скриптов и управления домашними каталогами.
ЯДРО
АРХИТЕКТУРА СИСТЕМЫWINDOWS
В большинстве многопользовательских операционных систем приложения отделены от собственно операционной системы: код ее ядра выполняется в привилегированном режиме процессора (режиме ядра), который обеспечивает доступ к систеным данным и оборудованию. Код приложений выполняется в непривилегированном режиме процессора (пользовательском режиме) с неполным набором интерфейсов, ограниченным доступом к системным данным и без прямого доступа к оборудованию.Server 2003, как и большинство Unix систем, является монолитной операционной системой, большая часть ее кода и драйверов используют одно и то же пространство защищенной памяти режима ядра. Windows не является операционной системой на основе микроядра в классическом понимании этого термина. Компоненты операционной системы полностью защищены от сбойных приложений, поскольку такие программы не имеют прямого доступа к коду и данным привилегированной части операционной системы. Упрощенная архитектура показана на рисунке 13 в приложении.
Существует четыре типа пользовательских процесса:
Процессы поддержки системы, не являющиеся сервисами Windows:
Процессы сервисов - носители Windows-ервисов, такие как Spooler, SQL server, Exchange server.
Пользовательские приложения - бывают шести типов: для 32-разрядной Windows, для 64-разрядной Windows, для 16-разрядной Windows, для 16-разрядной MS-DOS, 32-разрядной POSIX и 32-разрядной OS/2.
Подсистемы окружения - реализованы как часть поддержки среды операционной системы, предоставляемой пользователям и программистам.
В Windows пользовательские приложения не могут вызывать родные сервисы операционной системы напрямую, вместо этого они работают с одной или несколькими DLL- подсистемами. Их назначение заключается в трансляции документированных функций в соответствующие внутренние вызовы системных сервисов.включает следующие компоненты режима ядра:
Исполнительная система Windows, содержащая базовые сервисы операционной системы, которые обеспечивают управление памятью, процессами и потоками, защитой, ввод-вывод и взаимодействие между процессами.
Ядро, содержащие низкоуровневые функции операционной системы, которые поддерживают планирование потоков, диспетчеризацию прерываний и исключений, синхронизацию нескольких процессоров;
Драйверы устройств, в состав которых входят драйверы аппаратных устройств, транслирующие пользовательские вызовы функций ввода-вывода в запросы, сетерые драйверы и драйверы файловых систем;
Уровень абстрагирования от оборудования, изолирующие ядро, драйверы, и исполнительную систему Windows от специфики оборудования на данной аппаратной платформе
Подсистема поддержки окон и графики, реализующая функции GUIрассчитана на разные аппаратные платформы, включая как Intel x86, Intel Itanim IA-64, AMD x86-64 и Intel x64 (EM64T).
Переносимость достигается двумя способами:имеет многоуровневую структуру. Специфичные для архитектуры процессора или платформы низкоуровневые части системы вынесены в отдельные модули. Благодаря этому высокоуровневая часть системы не зависит от аппаратных платформ. Ключевые компоненты, обеспечивающие переносимость - ядро и уровень абстрагирования от оборудования HAL.
Подавляющее большинство компонентов Windows написано на C, и лишь часть из них на C++. Язык ассемблера применялся только для частей программы, требующих исключительного быстродействия.
Симметричная многопроцессорная обработка
Одна из ключевых целей разработки Windows была поддержка многопроцессорных компьютерных систем. Windows поддерживает симметричную многопроцессорную обработку SMP, в этой модели нет главного процессора, операционная система, как и пользовательские потоки, может выполняться на любом процессоре и все процессоры используют одну и ту же память. При асимметричной многопроцессорной обработке ASMP система выбирает один из процессоров для кода ядра операционной системы, а другие процессоры выполняют только пользовательский код. Windows Server 2003 поддерживает два новых типа многопроцессорных систем: логические процессоры (hyperthreading) и нетипичная архитектура памяти NUMA.в NUMA- системе по-прежнему работает как SMP - система, в которой все процессоры имеют доступ ко всей памяти, просто доступ к памяти, локальной для узла, осуществляется быстрее, чем к памяти в других узлах.
АРХИТЕКТУРА LINUX
Самое большое достоинство Linux - открытый процесс разработки. Поскольку исходный код ядра свободно доступен всем, любой может вносить изменения, которые станут доступными опять-таки всем.
Скотт Максвелл писал5): “Если вы отыскали ошибку, лучше исправить ее самостоятельно, нежели просить кого-либо сделать это. Если вы размышляете о повышении производительности либо о добавлении новых возможностей, проще сделать это самостоятельно. Когда обнаруживается дыра в системе безопасности, «залатывайте» ее самостоятельно и не ждите, пока этим займется поставщик ОС.”
Ядро Linux написано на языке С и ассемблере. Был найден обычный компромисс между этими двумя языками: код на С более переносим и прост в поддержке, тогда как код на ассемблере обеспечивает большую скорость выполнения. В общем случае ассемблер в ядре используется только в тех местах, где наиболее критичным показателем является скорость, либо там, где требуется реализация кода, специфичного для конкретной платформы.
В основном ядро Linux - монолитное, однако оно не является чистым монолитным ядром. Монолитный проект ядра достаточно модульный внутри, поэтому внесение изменений и дополнений не вызывает особых трудностей.
Упрощенная архитектура Linux-подобной ОС, со всеми низкоуровневыми деталями, какие только могут понадобиться для платформенно-независимой ОС. Стоит подчеркнуть две характерные особенности ядра:
Ядро отделяет прикладные приложения от аппаратных средств.
Часть ядра учитывает специфику архитектуры и аппаратуры, другая же часть ядра является переносимой.
Архитектуру ядра представлена на рисунке 14 в приложении.
Ядро достигает переносимости, частично за счет применения по отношению к себе тех же самых трюков, что и по отношению к пользовательским приложениям. Это означает, что подобно тому как ядро отделяет пользовательские приложения от аппаратных средств, определенная часть ядра обеспечивает отделение оставшейся части ядра от той же аппаратуры. Благодаря такому разделению, и приложения, и часть ядра, становятся переносимыми.
Независимая от архитектуры часть кода в общем случае определяет интерфейс для низкоуровневой, зависящей от архитектуры части.
Таким образом, перенос ядра на новую платформу сводится к идентификации возможностей, наподобие рассмотренных выше, и реализации их, как того требует новая платформа.
Переносимость пользовательских приложений получает дальнейшую поддержку посредством слоя между приложениями и ядром - стандартной библиотекой С (libc). Приложения никогда не взаимодействуют с ядром напрямую, а только через libc.
Способ взаимодействия с ядром через libc является независимым от архитектуры, причем libc предохраняет пользовательский код от излишней детализации. По причине существования вышеупомянутого механизма, все пользовательские приложения, и даже большая часть библиотеки С, взаимодействуют с ядром способом, не зависящим от архитектуры.
Операционная система, состоящая из ядра Linux, почти полностью изолировании от всех прикладных программ. Ядро функционирует в зацищенном режиме процессора, и<