29.4.15

Сколько компьютеров могут входить в подсеть с маской 255.255.255.254

Маска подсети 255.255.255.254 (31 бит) не является допустимой, так как с такой маской в сети возможно 2 адреса. 1-й адрес – адрес самой подсети, а 2-й адрес Broadcast. Оба эти адреса зарезервированы и не могут использоваться для присвоения их самим узлам сети. Таким образом, при такой маске подсети для самих узлов подсети не хватит IP-адресов.

http://zyxel.ru/kb/1327

28.4.15

Методы взлома SMB

L0phtCrack -  Принцип её действия очень прост. Похищенная база данных сначала импортируется в программу. Далее выбирается нужная учетная запись и запускается процесс дешифровки, который может занять много времени.

pwdump — это название группы программ для ОС Windows, нацеленных на извлечение хэшей паролей LM или NTLM от учётных записей пользователей из администратора учётных данных в системе защиты (SAM) локальной машины. Чтобы программа сработала, она должна быть запущена с правами администратора, так что pwdump не безусловно обходит систему защиты

https://ru.wikipedia.org/wiki/Server_Message_Block


disk2vhd - утилита конвертации физическго диска в виртуальный

Disk2vhd (disk2vhd.exe) — еще одна замечательная утилита, написанная Марком Русиновичем и Брайсом Когсуэллом. Вы можете загрузить ее по адресу https://technet.microsoft.com/en-us/library/ee656415.aspx Disk2vhd преобразует действующую физическую машину в виртуальный жесткий диск Virtual Hard Disk (VHD) в дисковом формате Microsoft Virtual Machine (VM). Переведя систему в формат .vhd, вы даете возможность инженерам поддержки корпорации Microsoft быстро загрузить образ либо в Hyper-V, либо в Microsoft Virtual PC и воссоздать возникшую проблему. А когда проблема воспроизведена, наши специалисты по отладке могут проанализировать ее и обычно отыскивают корневую причину в течение нескольких часов. Разумеется, существуют и другие вполне очевидные возможности использования данной утилиты. Ее можно применять для консолидации серверов или в других сценариях, где возникает потребность в преобразовании физической системы в виртуальную машину.

Подробнее тут http://www.osp.ru/win2000/2010/03/13002789/

Блоги о windows 2012

27.4.15

Создание правила рарешающего запуск программ только с определенного места

Создаем bat файл С:\CustomApp\app1.bat с содержимым:

rem testing app
pause
_________________________________________________________________________________

dsa.msc> создаем отдельную OU для клиентских компьютеров Client Computers

Перемещаем в ou Client Computers клиентский компьютер.

gpmc.msc> Group Policy Objects> new GPO имя политики Software Control

Нажимаем правой кнопкой по Software Control и выбираем edit
Разворачиваем ветвь в редактор GPO Computer Configuration\Policies \Windows Settings\Security Settings\Application Control Policies\AppLocker

Разворачиваем ветвь AppLocker и кликаем правой кнопкой по Executable Rules выбираем пункт Create Default Rules тоже самое повторяем для Windows Installer Rules, Script Rules и Packaged app Rules.  




Правой кнопкой нажимаем по Script rules, и кликаем по Create New Rule

 В окне  Before You Begin жмем Next.
  
На странице Permissions , кликаем Allow и нажимаем далее Next.

На странице Conditions кликаем по Path и нажимаем далее Next 

На странице Path, в поле Path, указываем  %OSDRIVE%\CustomApp\app1.bat, (приложение app1.bat которое можно будет запустить с  C:\CustomApp) и нажимаем Next.


На странице Exception , кликаем Next.

На странице Name and Description пишем имя правила Custom Application Rule и жмем Create.


Переходим в раздел AppLocker и нажимаем по Configure rule enforcement (справа)
В окне AppLocker Properties ставим чекбоксы Configured и значение Enforce rules у паремтров Executable rules, Windows Installer Rules, Script Rules и Packaged app Rules


Проверяем работу правила
  • Запускаем на клиенте gpupdate /force 
  • Перезагружаем компьютер
  • Заходим на компьютер под пользователем (не под админом)
  • Запускаем файл С:\customapp\app1.bat (файл запускается)
  • Копируем файл в папку Documents и пробуем запустить, если все нормально отработало, то мы получаем уведомление:
    “This program is blocked by Group Policy. For more information, contact your system administrator.” 

После добавления этого правила пользователям буде разрешено запускать приложения которые находятся в папках C:\Windows и C:\Program Files и в папке  C:\CustomApp

Настройка политик блокирования приложений (AppLocker)

dsa.msc> создаем отдельную OU для клиентских компьютеров Client Computers

Перемещаем в ou Client Computers клиентский компьютер.

gpmc.msc> Group Policy Objects> new GPO имя политики Software Control

Нажимаем правой кнопкой по Software Control и выбираем edit
Разворачиваем ветвь Computer Configuration\Policies \Windows Settings\Security Settings\Application Control Policies\AppLocker

Разворачиваем ветвь AppLocker и кликаем правой кнопкой по Executable Rules выбираем пункт Create Default Rules тоже самое повторяем для Windows Installer Rules, Script Rules и Packaged app Rules.
 


Кликаем на Configure rule enforcement в свойствах AppLocker Properties настраиваем Executable rules, Windows Installer Rules, Script Rules, и Packaged app Rules выставляем значение Audit only.

В редакторе групповой политики идем в ветвь Computer Configuration\Policies \Windows Settings\Security Settings\System Services
Находим службу Application Identity определяем параметры запуска в автоматический режим


Закрываем редактор. В консоли group policy managmet  правой кнопкой нажимаем по Client Computers и выбираем в меню Link an Existing GPO
 В окне выбора объекта групповой политики выбираем Software Control.

Идем на клиентский компьютер выполняем gpupdate /force и перезагружаем компьютер.
После перезагрузки пишем app.bat с следующим текстом:

rem testing app
pause

Кладем файл в каталог С:\temp и выполняем файл С:\temp\app.bat
Запускаем журнал событий eventvwr.msc разворачиваем журнал Application and Services Logs>Microsoft>Windows>AppLocker кликаем по MSI and Scripts 


 Наблюдаем событие 8005 %OSDRIVE%\CUSTOMAPP\APP.BAT was allowed to run
 (app.bat разрешен для запуска.)

Учетные записи в Windows

После установки операционной системы вы начинаете работу с правами учетной записи Администратор (Administrator— для интернациональных версий ОС). Пользователь Администратор обладает максимальными правами в данной операционной системе; используя права Администратора можно создавать, модифицировать, удалять другие учетные записи, выполнять любые операции по настройке системы и т. п.

Обратите внимание, что после использования мастера установки Windows XP в режиме отображения страницы приветствий во время входа в систему название учетной записи администратора не показано на экране. Однако эта учетная запись может быть применена для работы с системой, причем обычно администраторы забывают о необходимости установки для нее пароля, что позволяет легко локально зайти в систему с правами администратора, предъявив "пустой" пароль.

Целесообразно назначить этой учетной записи длинный и сложный пароль, состоящий из цифр и символов только английского алфавита. Это упростит возможные операции по восстановлению операционной системы. Кроме того, в целях безопасности рекомендуется переименовать учетные записи администраторов и запретить для анонимных пользователей просмотр базы идентификаторов безопасности.
Для управления учетными записями используются специальные оснастки: управления компьютером в локальном случае и оснастка управления AD Пользователи и компьютеры при создании доменных пользователей.

При создании новых пользователей домена рекомендуется устанавливать для них требование смены пароля при первом входе в сеть.
Управлять учетной записью можно из командной строки. Так, добавить пользователя можно командой net user <имя> <пароль> /add, а удалить — net user <имя> /DELETE.
Опытные пользователи могут использовать сценарии Visual Basic для автоматизации типовых операций с учетными записями.

В домене Windows учетные записи создаются и для компьютеров с операционными системами Windows NT/200x/XP/Vista. Эти учетные записи можно использовать для контроля доступа к сетевым ресурсам.

Если в организации используются дополнительные параметры учетной записи (название отдела, адрес и т. п.), то более удобно при создании нового пользователя перенести в его учетную запись максимум настроек, которые имеют аналогичные пользователи. Для этих целей служит операция копирования учетной записи. При копировании программа создает новую учетную запись, в настройки которой перенесены те параметры, которые не являются личными характеристиками. Например, новая учетная запись будет уже включена в те группы, в которые входила исходная учетная запись, но такой параметр, как номер телефона (который также может являться одной из характеристик пользователя), скопирован не будет.

Дополнительные параметры учетной записи

Каждая учетная запись имеет существенное количество дополнительных параметров, значения которых могут быть использованы в работе организации. Это дает администратору возможность объединять пользователей в группы, учитывая содержимое того или иного поля. Например, можно создать группу, объединяющую пользователей, находящихся в определенном офисе, и присвоить ей почтовый адрес.
Поля учетной записи могут заполняться с помощью окна свойств, вызываемого из оснастки управления службой каталогов (или управления компьютером— при правке локальных пользователей). Эти свойства можно запрашивать и устанавливать с помощью достаточно простых сценариев Visual Basic, однако более удобно выполнять соответствующие операции поиска и изменения данных на основе протокола LDAP, при этом администратору доступны практически любые критерии поиска необходимых записей.

Права учетной записи

В операционных системах класса Windows 9х любой пользователь системы мог выполнить любые действия. В системах на основе Windows NT при выполнении операций, которые могут повлиять на стабильность работы, осуществляется проверка наличия прав пользователя на выполнение этих действий.
Перечень контролируемых ситуаций крайне объемен. Например, проверяется наличие у пользователя разрешения на локальный вход в систему и на завершение работы компьютера, на установку нового оборудования и на удаление учетной записи, право на доступ к компьютеру по сети или право на отладку программ и т. д. Причем основная масса прав после установки системы даже не задействована: администратор может использовать имеющиеся параметры при последующей точной настройке системы.
Если файловая система на компьютере преобразована в NTFS, то дополнительно появляется возможность контролировать доступ к отдельным файлам и папкам, определяя соответствующие права доступа.
Права пользователей назначаются через оснастку Локальная безопасность, расположенную в группе административных задач. В случае работы в составе домена администраторы регулируют права пользователей с помощью соответствующих групповых политик. Использование этих инструментов достаточно очевидно, и мы не будем подробно описывать такие операции.

Восстановление параметров безопасности по умолчанию

В случае смены администраторов новому специалисту обычно не известны, например, те изменения прав доступа, которые выполнил прежний сотрудник. В некоторых случаях некорректное назначение прав может повлиять на стабильность работы системы.
В Windows существуют специальные средства, которые позволяют вернуть параметры безопасности к тем значениям, которые определены для вновь устанавливаемой операционной системы. С этой целью используется оснастка Анализ и настройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы начать работу с ней, следует открыть консоль управления (команда mmc) и выполнить операцию добавления оснастки. В окне Добавить изолированную оснастку следует отметить строку Анализ и настройка безопасности и закрыть все последующие окна, нажимая на кнопки подтверждения операции.
В операционной системе хранятся шаблоны безопасности, разработанные поставщиком, для нескольких типовых конфигураций компьютера. Это шаблон настроек безопасности, соответствующий установке системы, шаблоны безопасности для компьютеров (отдельно для рабочих станций, серверов и контроллеров домена), соответствующие различным уровням защищенности совместимого с программным обеспечением, разработанным до Windows 2000, и т. д.
Программа позволяет сравнить значения, определенные в этих шаблонах, с фактическими параметрами настройки системы. Полученные результаты сохраняются в виде базы данных, которая может быть проанализирована поль- зователем: все отличия настроек специально выделены в отчете программы.
Если администратор сочтет необходимым, то он может с помощью данной оснастки применить один из шаблонов безопасности — применение шаблона фактически означает установку соответствующих параметров системы (разрешений, прав) в те значения, которые определены в данном шаблоне.
Для анализа или применения настроек необходимо выполнить следующие действия:

1. Создать пустую базу данных.
2. Загрузить в нее желаемый шаблон.
3. Провести анализ и/или настройку системы.

Для применения шаблона следует выполнить команду Настроить компьютер. В завершение желательно проанализировать результаты операции.

Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим совместимости с Windows NT 4.0. В этом режиме учетным записям пользователей даются дополнительные права на доступ к ресурсам системы. В результате появляется возможность запуска программ, не в полной мере совместимых с последними версиями операционной системы. Например, очень часто старые программы не запускаются именно потому, что они пытаются осуществить запись в реестр системы. Эта операция в новых ОС разрешена только администраторам, но после применения данного шаблона необходимые разрешения будут предоставлены.

Автоматически создаваемые учетные записи

При установке операционной системы автоматически создается несколько учетных записей пользователей. Ранее мы упоминали учетную запись Администратор. Эта учетная запись особая. Ранее ее нельзя было даже удалить или исключить из группы администраторов. Сделано это было из соображений безопасности, чтобы пользователь случайно не удалил всех администраторов и система не стала неуправляемой.
Другая автоматически создаваемая учетная запись— это Гость (Guest). Она не имеет пароля и предназначена для обеспечения возможности работы с данным компьютером пользователя, у которого в системе нет учетной записи. К примеру, вы приезжаете со своим ноутбуком в другую организацию и хотите распечатать документ. Если в той организации принтер предоставлен в совместное использование и действует учетная запись Гость, то вы можете подключиться к принтеру и выполнить печать, в противном случае вам должны сообщить имя входа и пароль, которые можно использовать для подключения к серверу печати.
В рабочих станциях Windows NT 4.0 эта учетная запись по умолчанию была доступна. В серверных операционных системах и в версиях рабочих станций Windows 2000/XP/Vista учетная запись Гость по соображениям безопасности заблокирована. Однако если ваша сеть полностью автономна и объединяет немного компьютеров, то для облегчения использования сетевых ресурсов вы можете ее разблокировать.
Так делает, например, мастер конфигурирования домашней сети: если вы определили, что компьютер используется в рамках домашней сети, то мастер разрешает использование учетной записи Гость. В этом случае, если вы разрешите совместное использование ресурсов компьютера, то к ним будет возможно подключение любых пользователей, независимо от того, существуют ли для них учетные записи на вашем компьютере или нет,
Учетная запись HelpAssisstant применяется в случаях обращения к удаленному помощнику. Удаленный пользователь подключается к компьютеру с правами, предоставленными данной учетной записи.

Учетная запись SUPPORT_номер используется службами технической поддержки Microsoft. Обычно рекомендуют просто удалить эту учетную запись,
Если на компьютере устанавливается информационный сервер Интернета (Internet Information Server, IIS), то создаются две учетных записи. Это IUSR_ имя_компьютера и IWАМ_имя_компьютера. Учетная запись IUSR_имя_ компьютера применяется при предоставлении Web-ресурсов анонимному пользователю. Иными словами, если информационный сервер Интернета не использует аутентификацию пользователя (предоставляет ресурсы анонимно), то в системе такой пользователь регистрируется под именем IUSR_имя_компьютера. Вы можете, например, запретить анонимный доступ к каким-либо ресурсам информационного сервера, если исключите чтение таких файлов данным пользователем. Пароль пользователя lUSR_имя_компьютера создается автоматически и синхронизируется между операционной системой и информационным сервером.
Пароли учетных записей IUSR_имя_компьютера и IWAM_имя_компью-
тера легко можно узнать при помощи сценария, имеющегося на компьютере. Найдите файл Adsutil.vbs (обычно он расположен в папке административных сценариев 1IS, например, InetPubVAdminScripts), замените в текстовом редакторе строку сценария

IsSecureProperty = True
на
IsSecureProperty = False

и выполните:
cscript.exe adsutil.vbs get w3svc/anonymoususerpass
для отображения пароля IUSR-пользователя или
cscript.exe adsutil.vbs get w3svc/wamuserpass
для показа пароля IWAM-пользователя.

Учетная запись IWАМ_имя_компьютера используется для запуска процессов информационного сервера (например, для обработки сценариев на страницах с активным содержанием). Если вы случайно удалите какую-либо из этих записей и вновь создадите одноименную, то, скорее всего, столкнетесь с неработоспособностью информационного сервера. Конечно, можно обратиться к справочной базе разработчика, правильно настроить службы компонентов на использование новой учетной записи, синхронизовать с помощью специальных сценариев пароли учетных записей и т. п. Но гораздо эффективнее в этой ситуации будет просто удалить службу информационного сервера и вновь добавить этот компонент, предоставив программе установки выполнить все эти операции.
Кроме перечисленных учетных записей новые бюджеты часто создаются прикладными программами в процессе их установки. Обычно создаваемые таким образом учетные записи имеют необходимое описание в своих свойствах.

Учетная запись Система

При необходимости можно настроить службы для старта от имени любого пользователя. Однако в этом случае вам необходимо установить соответствующей учетной записи постоянный пароль и предоставить ей достаточно большие права по отношению к локальному компьютеру. Из такого сочетания требований очевидно вытекает настоятельная рекомендация: не использовать учетные записи пользователей для запуска служб по соображениям безопасности.

Учетная запись Система (Local System) предназначена для запуска служб компьютера. Она обладает полными правами по отношению к локальному компьютеру и фактически является частью операционной системы. Ее права существенно выше, чем права любой учетной записи пользователя. Для учетной записи Система выполняется обход проверок безопасности, поэтому для нее не существует пароля, который можно было бы дешифровать или взломать. Учетная запись Система не может быть использована для доступа к сетевым ресурсам.
Использования учетной записи Система для запуска служб компьютера без особых на то причин следует избегать, поскольку данное решение понижает уровень безопасности. Например, если пользователю удастся подменить запускаемый файл службы на пакетный файл и затем прервать выполнение этого пакетного файла нажатием комбинации клавиш +, то он получит возможность запуска в этом командном окне задач с приоритетом Системы. Поэтому в последних версиях Windows (XP/Server 2003) для использования при запуске служб введены еще две учетных записи. Это Local Service и Network Service. Так же, как и учетная запись Система, эти учетные записи являются частью самой операционной системы и не имеют паролей. При этом они обладают гораздо меньшими правами, чем учетная запись Система. Если Local Service используется также только при запуске локальных программ, то Network Service может осуществлять доступ к сетевым ресурсам. При этом данная учетная запись аутентифицируется в удаленной системе как учетная запись соответствующего компьютера.



Встроенные группы
При установке операционной системы на компьютере автоматически создается несколько групп. Для большинства случаев персонального использования этих групп достаточно для безопасной работы и управления системой.

  • Администраторы (Administrators).
    Члены этой группы имеют все права на управление компьютером. После установки в системе присутствуют только пользователи-члены этой группы (в Windows XP в ходе установки можно создать несколько администраторов системы, в предыдущих версиях создается только одна запись).
  • Пользователи (Users).
    Это основная группа, в которую надо включать обычных пользователей системы. Членам этой группы запрещено выполнять операции, которые могут повлиять на стабильность и безопасность работы компьютера.
  • Опытные пользователи (Power Users).
    Эти пользователи могут не только выполнять приложения, но и изменять некоторые параметры системы. Например, создавать учетные записи пользователей, редактировать и удалять учетные записи (но только те, которые были ими созданы), предоставлять в совместный доступ ресурсы компьютера (и управлять созданными ими ресурсами). Но опытные пользователи не смогут добавить себя в число администраторов системы, не получат доступ к данным других пользователей (при наличии соответствующих ограничений в свойствах NTFS, у опытных пользователей отсутствует право становиться владельцем объекта), кроме того, они не смогут выполнять операции резервного копирования, управлять принтерами, журналами безопасности и протоколами аудита системы.
  • Операторы резервного копирования (Backup Operators).
    В эту группу следует включить ту учетную запись, от имени которой будет осуществляться резервное копирование данных компьютера. Основное отличие этой группы в том, что ее члены могут "обходить" запреты доступа к файлам и папкам при операции резервного копирования данных. Независимо от установленных прав доступа в резервную копию данных будут включены все отмеченные в операции файлы, даже если у оператора резервного копирования нет права чтения такого файла.


Учетная запись с правами оператора резервного копирования является достаточно серьезной брешью в системе безопасности организации. Как правило, особое внимание "безопасников" уделяется пользователям, имеющим административные права. Да, они могут стать владельцами любой информации, доступ к которой для них явно запрещен. Но при этом такие действия протоколируются и контролируются службой безопасности предприятия. Пользователь, на которого возложена рутинная вроде бы обязанность резервного копирования, легко может выполнить резервную копию всех данных и восстановить секретную информацию из этой копии на другой компьютер, после чего говорить о наличии установленных прав доступа к файлам и папкам уже бессмысленно. Но есть и более простые способы копирования информации, право доступа к которой запрещено на уровне файловой системы. В составе Resource Kit имеется утилита для массового копирования файлов— robocopy.exe. Эта программа может выполнять копирование данных в режиме использования права резервного копирования (естественно, что она должна быть запущена пользователем, состоящим в группе операторов резервного копирования). В результате в новую папку будут скопированы все файлы, причем пользователю даже не нужно становиться владельцем файлов — все запреты будут уже сняты.

  • Гости (Guests).
    Эта группа объединяет пользователей, для которых действуют специаль- ные права для доступа "чужих" пользователей. По умолчанию в нее вклю- чена только одна заблокированная учетная запись Гость.
  • HeplSevicesGroup.
    Группа предоставляет типовой набор прав, необходимый специалистам службы техподдержки. Не следует включать в нее других членов, кроме учетной записи, созданной по умолчанию.
  • Remote Desktop Users.
    Эта группа появилась в операционных системах Windows XP. Ее члены могут осуществлять удаленное подключение к рабочему столу компьютеpa. Иными словами, если вы хотите иметь возможность удаленно подклю-читься к своему компьютеру, то необходимо включить в эту группу соот-ветствующую учетную запись. По умолчанию членами этой группы явля-ются администраторы локального компьютера.
  • DHCP Administrators.
    Группа создается только при установке DHCP. Пользователи группы имеют право на конфигурирование службы DHCP (например, с помощью графической оснастки управления или командой netsh). Используется при делегировании управления DHCP-службой.
  • DHCP Users, WINS Users.
    Группы создаются только при установке соответствующих служб. Пользователи групп имеют право только на просмотр параметров настройки служб DHCP (или WINS). Применяются при делегировании прав техническому персоналу (например, для сбора информации о состоянии сервисов).
  • Network Configuration Operators.
    Пользователи группы имеют право изменения TCP/IP-параметров. По умолчанию группа не содержит членов.
  • Print Operators.
    Члены группы могут управлять принтерами и очередью печати.


В системе присутствуют и другие группы, на описании которых мы не будем особо останавливаться (Account Operators, Pre-Windows 2000 Compatible Access, Server Operators и т. д.).

Специальные группы

В операционной системе существуют так называемые специальные группы, членством в которых пользователь компьютера управлять не может. Они не отображаются в списке групп в оснастках управления группами, но доступны в окнах назначения прав доступа.
Это группы Все (Everyone), Интерактивные пользователи (Local Users), Сетевые пользователи (Network Users), Пакетные файлы (Batch), Прошедшие проверку (Authenticated) и т.д. Предназначение групп ясно уже по их названию. Так, в группу Интерактивные пользователи автоматически включаются все пользователи, осуществившие вход в систему с консоли (клавиатуры). Сетевые пользователи — это те пользователи, которые используют ресурсы данного компьютера через сетевое подключение и т. п.
Данные группы предназначены для более точного распределения прав пользователей. Например, если вы хотите, чтобы с каким-либо документом была возможна только локальная работа, то можно просто запретить доступ к нему сетевых пользователей.
Заострим внимание читателей на группе Все, поскольку именно с ней связано наибольшее количество ошибок в предоставлении прав доступа. Эта группа включает не любых пользователей, а только тех, кто имеет учетную запись на данном компьютере. Иными словами, если вы предоставили ресурс в общий доступ с правами чтения для группы Все, то использовать его могут только те, кто "прописан" на данном компьютере. Если вы предпочитаете, чтобы ресурс мог использовать действительно "кто угодно", то для этого нужно разрешить использование учетной записи Гость.

http://www.xnets.ru/plugins/content/content.php?content.200.4

Сколько байт в ip адресе

Каждый узел в сети TCP/IP может быть однозначно идентифицирован IP-уровнем по адресу, который имеет формат <идентификатор сети, номер узла>. Строго говоря, адрес на части не делится и читается как единое целое. Для точного определения узла всегда используется полный адрес. Между полями нет разделения. На практике по записи IP-адреса трудно определить границы полей.
Ниже показан общий формат IP-адреса:
<Номер сети, Номер узла> в формате xxx. xxx. xxx. xxx
В десятичной записи адреса могут варьироваться от 0. 0. 0. 0 до 255. 255. 255. 255. За исключением первого, любой байт может определять номер сети и узла. Первый байт всегда показывает номер сети.
Каждый байт (октет) имеет длину 8 бит. Он может определять сеть, подсеть или узел сети.
Для представления IP-адреса используются 32 бита, разделенные на 4 байта. Номер сети может распространяться с первого байта на второй и третий. То же самое происходит с частью адреса, определяющей узел сети ххх. Он представляет собой десятичное число от 0 до 255 (именно по этой причине используются три х).
IP-адреса делятся на пять классов: A, B, C, D и E. Документ RFC 791, определяющий эту классификацию, ничего не говорит о подсетях. Классы позволяют организовывать различное количество сетей и узлов в них. A, B и C используются для представления адресов сетей и узлов сети. Класс D – это специальный тип адреса, используемый для групповой рассылки (например, OSPF при рассылке маршрутной информации и IP при групповой рассылке используют этот тип адреса). Класс Е зарезервирован в экспериментальных целях.
Определение класса
Для присвоения адресов сетям и узлам используются адреса классов A, B и C. Класс D не используется, а адреса Е никогда не присваиваются. На рисунке видно, как на самом деле определяются классы. Как сетевой узел определяет адрес, которому принадлежит класс? Поскольку длина идентификатора сети меняется (в зависимости от класса), был придуман простой метод, позволяющий программному обеспечению определить класс адреса, а значит и длину номера сети.

Программное обеспечение IP определит класс сетевого идентификатора, используя простой метод: чтение первых битов (или бита) первого поля (первого байта) каждого пакета. На рисунке показан адрес, представленный в двоичном коде. Если первый бит первого байта равен 0 – это адрес класса А.
Если первый бит равен 1, тогда протокол читает следующий бит. Если следующий равен 0 – это адрес класса B. Если первый и второй биты равны 1, а третий бит равен 0 – это адрес класса C. Если первый, второй и третий биты равны 1, адрес принадлежит классу D и зарезервирован для адресов групповой рассылки. Адреса класса Е предназначены для использования в экспериментальных целях.
Поле «Опции» необязательно и обычно используется при настройке сети. В поле могут быть указаны точный маршрут прохождения дейтаграммы в распределенной сети, данные о безопасности, различные временные отметки и т. д. Поле не имеет фиксированной длины, поэтому для выравнивания заголовка дейтаграммы по 32-битной границе предусмотрено следующее поле — поле «Выравнивание». Выравнивание осуществляется нулями.
http://studopedia.net/6_47959_format-IP-adresa.html

Для чего нужны OU и Группы и чем они отличаются ?

Как и каталоги в файловой системе, OU нужны для организации множества объектов в иерархию, что дает возможность ими управлять. На самом деле нам ведь нужны конечные объекты, так же как нужны файлы в файловой системе. Все остальное просто помогает нам справляться с большим их количеством, распределять их, классифицировать, а также управлять, причем желательно сразу массами объектов.
OU, например, помогают отделить компьютеры от пользователей, от принтеров и от Групп. Т.е. OU используются для группировки объектов, а также для задания прав и политик по отдельным OU. Также можно делегировать права администрирования по специфическим OU. Group Policy, например, чаще всего назначаются по OU.
Группы же используются для предоставления доступа к ресурсам, к тем же OU или файлам и папкам.
Важно не путать OU и группы, хотя и те и другие могут объединять пользователей, компьютеры и другие сетевые сущности.
OU – это концентрация определенных типов ресурсов – пользователей и компьютеров, а в реальной жизни – людей и средств производства. OU нельзя давать права на другие объекты, но ими самими можно владеть. Аналогия OU с прользователями в реальной жизни - Города с их жителями. При помощи OU можно делегировать управление набором принтеров, т.к. нельзя создать группу принтеров, но можно – OU принтеров.
Если определенным администраторам нужно дать управление набором серверов, то можно создать Группу админов, OU из этих серверов, и, затем, делегировать группе админов управление этим OU.
Групповые Политики также применяются к OU, но не к группам. Исключение – политики учетных записей (account policy), т.е. настройка паролей и блокировка аккаунтов. Политики учетных записей применяются только на уровне всего домена, когда уже безразлично, идет ли речь о Группах или OU (хотя в Windows 2008 это уже не абсолютная истина).
Groups – это хозяева, им даются права на Домены, OU, а также на диски, папки и файлы.
Можно сказать, что Группы – это колониальные страны (типа Англии), а OU или Домены – это их колонии.
Теперь только о группах.
Сначала о традиционно ориентированных, существовавших в эпоху Windows NT.
Local Groups - привязаны к местным ресурсам своего Домена (как женщины к дому).
Global Groups – включают пользователей из своего Домена, а к ресурсам (папке, принтеру), как правило, непосредственно не привязываются (что чаще характерно для мужского населения, обычно менее привязанного к дому).
Local Groups – могут включать в себя Users или Global Groups из своего или из других Доменов, наподобие того, как женщины могут включать в свой круг мужчин из своей или других стран и предоставлять им какие-либо ресурсы.
Global Groups – могут входить в Local Groups своего или других Доменов, наподобие того как мужчины входят в круг женщин своей или других стран и пользуются определенными типами их ресурсов.
Т.е., Локальные Группы как бы притягивают к себе Глобальные Группы, в том числе и из других Доменов, хотя сами за пределы своих Доменов не выходят. А Глобальные Группы, наоборот, стремятся выйты за рамки своих Доменов и воспользоваться их ресурсами (хотя и своими не пренебрегают).
Существует принцип AGDLP: Account-Global Group-Domain Local Group-Permissions. Это значит, что рекомендуется аккаунты пользователей включать в Глобальные Группы, их в свою очередь в Локальные Группы, а последние, присоединять непосредственно к ресурсам. Такое построение обеспечивает, в итоге, наиболее простое управление ресурсами и задание на них прав, кроме того, легко обнаружить, кому какие права даны в соответствии с принадлежностью к группе. Нередко, правда, бывает, что права на ресурсы даются случайно и необдуманно, сразу пользователям, без включения их в какие-либо группы, что порождает хаос, который затем очень трудно исправить. Попробуйте просканировать все папки и файлы на предмет обнаружения того, какой пользователь к ним привязан и с какими правами. Фактически – это невозможно. Лучше все делать заранее. Однако, правильный подход требует предварительного продумывания и первоначальной затраты усилий. Все же это лучше, чем потом заниматься тушением пожаров.
С 2000 года (и Windows 2000) началось повальное разложение, появились группы нетрадиционной ориентации. Global Groups теперь могут включать в себя Global Groups, а Local Groups могут включать в себя Local Groups. Конкретные аналогии можете придумать сами.
Кроме того, появились совершенно новые образования – Universal Groups. Их часто называют Универсальными Группами, но точно также их можно назвать Вселенскими Группами, т.к. Universe – это Вселенная. Они - своего рода космополиты-международники. Здесь разложение достигло апогея – эти могут включать в себя кого угодно и откуда угодно, а сами входят куда угодно и в кого угодно. Исключения - Universal Groups не могут входить в Global Groups и не могут включать в себя Local Groups.
Но и теперь, как и раньше, Global Groups выходят за пределы Домена, а Local Groups могут включать в себя группы из других доменов. Local Groups привязаны к ресурсу (женщины к дому), а Global Groups, как и армии, состоящие из мужчин, выходят на захват чужих ресурсов и территорий (других Доменов с их пользователями, компьютерами и принтерами).
В 2000 году появились также Локальные Группы Домена. Вероятно их удобно использовать в случае изменения конкретного локального ресурса. Если расшаренная папочка переместилась на другой сервер, например, то не нужно создавать другую локальную группу и перемещать туда все группы и пользователей. Достаточно привязать Локальную Группу Домена к новому ресурсу.
Принцип AGDLP претерпел изменения и теперь существует принцип AGUDLP: Account-Global Group-Universal Group-Domain Local Group-Permissions. Не всегда обязательно применять его в полной мере, все зависит от конкретных обстоятельств. Но всегда нужно стараться включать пользователей в группы.
А теперь по порядку.
Типы Групп AD.
1. Локальные Группы Машины – находятся в SAM (Security Account Manager), могут включать Глобальные Группы, Локальные Группы своего Домена, Универсальные Группы.
2. Локальные Группы Домена – создаются только на DC. Являются подмножеством возможностей Глобальных Групп. Они могут содержать Глобальные Группы из любого другого домена, но их можно включать только в Локальные Группы своего Домена. Они могут также содержать другие Локальные Группы своего Домена.
3. Глобальные Группы Домена – могут помещаться в другие Глобальные Группы своего Домена.
Они выходят за пределы своего домена в поисках ресурсов. Их направление - вовне. Глобальные Группы включают в себя пользователей и Глобальные Группы своего домена и предназначены для включения в локальные ресурсные группы как своего, так и других доменов.
4. Универсальные Группы – сочетают достоинства как локальных групп (могут содержать другие группы), так и глобальных групп (могут помещзться в другие группы). Они, как ферзь, сочетают достоинства ладьи и туры. Универсальные Группы сильно влияют на размер и скорость GC – и в этом их недостаток. GC знает не только названия Универсальных Групп, но и всех их членов.
Размер групп ограничен 5.000 членов, если функциональный уровень домена ниже чем Windows 2003. В Windows 2003 эта проблема решена. Она связано с ограничением количества изменений в одной транзакции при репликации (5.000) и с тем, что при единственном изменении членства в группе, передается весь список. Хотя ограничение количества изменений в одной транзакции и не снято, однако теперь возможна инкрементальная передача изменений в членстве.
Domain Users группой не являются, несмотря на сходство, и размер этой “не группы” ничем не ограничен.
Итак, обобщим.
То, что управляется – кидаем в OU. Тех, кто управляют – забрасываем в Группу. Затем Группе назначаем полномочия на OU.
И еще. Отдельный User может находиться только в одном OU, но в то же время принадлежать нескольким Группам. Мы можем жить только в одном Городе, но быть членами нескольких сообществ (комсомол, шахматный кружок и хор девочек-пенсионерок) одновременно. Т.е. OU – это место жительства пользователя, а Группа – его свойство или атрибут и таких атрибутов может быть несколько