При создании учетной записи пользователя в домене Windows NT или объекта пользователя в Active Directory операционной системы Windows 2000 существует возможность одновременного создания индивидуального каталога для данного пользователя с помощью диалогового окна. По умолчанию пользователям предоставляется полный контроль над их домашними каталогами, а всем остальным доступ полностью запрещен.

Контроль конфигурации рабочей станции. В организации, состоящей из опытных пользователей, каждого пользователя можно предоставить самому себе в вопросах конфигурации рабочего стола Windows. Знающие пользователи могут создавать свои пиктограммы на рабочем столе, управлять собственными ярлыками меню кнопки Start (Пуск), самостоятельно вьщелять для обозначения дисков определенные буквы. Однако далеко не всякая организация может похвастаться большим количеством опытных пользователей, и поэтому намного удобнее предоставить администратору сети возможность сформировать стабильную и жизнеспособную конфигурацию рабочих станций.

Отображение дисков. Многие неопытные пользователи не имеют четкого представления о сущности сети и о том, как диск сервера может обозначаться определенной буквой на локальной машине. Пользователь может иметь диск, обозначенный буквой F, который соответствует диску определенного сервера, и полагать, что системы остальных пользователей сконфигурированы таким же образом. Если распределение букв для обозначения дисков на рабочих станциях не является постоянным, могут возникать недоразумения, когда, например, один пользователь говорит другому, что файл находится на диске F, а фактически эта буква соответствует совсем другому диску совместного использования. Для того чтобы избежать подобных сложностей, администраторам следует создать стратегию стабильного отображения дисков для пользователей, совместно применяющих одни и те же ресурсы. В качестве примера можно привести тот факт, что, в большинстве случаев, пользователи имеют в качестве своего "домашнего сервера" сервер отдела или рабочей группы, поэтому очень хорошей идеей будет обозначение диска этого сервера одной и той же буквой на всех рабочих станциях. Если в сети есть серверы приложений, предоставляющие свои ресурсы всем пользователям сети (например, сервер базы данных компании), тогда каждая система сети должна обозначать диск этого сервера одной и той же буквой. Реализация даже таких минимальных мер позволит значительно уменьшить число надоедливых звонков озадаченных пользователей в службу технической поддержки сети. Для реализации стабильного набора букв, соответствующих дискам пользователей, можно применять скрипты входа в сеть. Они содержат команды net use, отображающие диски определенных серверов при каждом подключении пользователя к сети. Правильное структурирование этих команд позволит создать единый скрипт входа в сеть для многочисленных пользователей. Например, для выделения буквы диска, обозначающей домашний каталог каждого пользователя, можно использовать следующую команду: NET USE X: /home

Чтобы обозначить командный файл в качестве файла скрипта входа в сеть, необходимо указать его имя в диалоговом окне User Environment Proffle утилиты User Manager for Domains операционной системы Windows NT 4.0. В системе же Windows 2000 и Windows XP, имя этого файла следует указать на вкладке Proffle (Профиль) диалогового окна Properties (Свойства) объекта данного пользователя в консоли Users and Computers, входящей в Active Directory.

2.2 Контроль реестра рабочей станции

Системный реестр является центральным хранилищем данных о конфигурации в операционных системах Windows 95/98, Windows NT/2000 и Windows XP, и осуществление контроля над ним есть одна из наиболее важных частей работы системного администратора. Возможность получения доступа к реестру рабочей станции, как удаленно, так и в автоматизированном режиме, позволит контролировать практически любой аспект функциональности системы, а также защищать сам реестр от повреждения из-за неавторизованных изменений.

Использование системных политик. Все 32-битные операционные системы Windows включают возможность проведения системной политики (system policy), варианты которой позволяют осуществлять значительный объем контроля над конфигурацией рабочей станции. Определив набор правил системной политики и внедрив его, можно контролировать, к каким именно компонентам операционной системы будет разрешен доступ пользователей, какие приложения эти пользователи смогут запускать, а также какой вид будет иметь их рабочий стол. Правила системной политики представляют собой не более чем набор установок системного реестра, которые упакованы в файл системной политики и хранятся на диске сервера. Когда пользователь подключается к сети, рабочая станция загружает файл системной политики с сервера и применяет зафиксированные там установки к своему системному реестру. Так как рабочая станция загружает файл системной политики автоматически во время процесса входа пользователя в сеть, сами пользователи никак не могут этого избежать. Это делает системную политику прекрасным средством ограничения доступа пользователей к интерфейсу Windows.

Применение различных правил системной политики представляет собой альтернативу прямому изменению ключей системного реестра и тем самым уменьшает возможность неправильного функционирования системы вследствие орфографических и других ошибок. Вместо того, чтобы вручную просматривать содержимое дерева реестра в поисках непонятных ключей и имен элементов, а затем вводить закодированные значения, можно просто создать файл системной политики с помощью утилиты с графическим интерфейсом под названием System Policy Editor (SPE, Редактор системной политики). SPE демонстрирует установки реестра в виде различных правил политики, представляющих собой обычные фразы на английском языке со стандартными элементами диалоговых окон Windows, которые расположены в виде иерархической древовидной структуры Шаблоны системной политики.

Редактор системной политики представляет собой просто инструмент для создания файлов системной политики, он совершенно не контролирует конкретные варианты политики, которые создает. Сами правила системной политики берут начало из шаблонов системной политики, которые представляют собой файлы формата ASCII, содержащие ключи реестра, возможные значения, пояснительный текст. Все это формирует правила политики, отображаемые в редакторе системной политики. Все операционные системы Windows включают кроме SPE" еще и множество файлов шаблонов системной политики. Выбрав в меню Options (Параметры) команду Policy Template (Шаблон), можно загрузить шаблоны, которые SPE будет использовать для создания файлов политики. Существует возможность загружать множественные шаблоны в SPE, и политики, содержащиеся в них, будут сочетаться с интерфейсом программы. При запуске SPE загружает те шаблоны, которые были применены при последнем завершении его работы при условии, что соответствующие файлы по-прежнему находятся на тех же местах. Если в SPE используется множество шаблонов системной политики, вероятна ситуация, когда политики, определяемые двумя различными шаблонами, конфигурируют одну и ту же установку системного реестра. Если происходит удвоение подобного типа, вариант политики, расположенный ближе к основанию иерархии диалогового окна Properties (Свойства) объекта, имеет преимущество.

3. Управление пользователями в Microsoft Windows NT/2000/XP

3.1 Состав бюджета пользователя

Учетная запись пользователя. Имеет уникальный идентификатор безопасности (SID), присваиваемый при создании; если удалить учетную запись, а потом создать новую с тем же именем, все допуски будут потеряны.

Username (вводится при logon'е), Password, Full name, Logon hours, Logon on workstations, Expiration date, Home directory, Logon script, Profile (environment), Account Type Окружение пользователя (Environment). Доступные ресурсы + конфигурация пиктограмм desktop'а + фоновые рисунки + параметры автоматических соединений по сети + startup - программы; управляется профилем, входным сценарием (скриптом), личным каталогом. Содержание профиля (profile). Сохраняются при выходе настройки, которые мог сделать сам пользователь:(Program/Desktop manager): собственные группы программ и shortcut'ы (File manager / Explorer): сетевые соединения - 10 - (DOS session) шрифты, цвета, параметры видеобуфера, положение окон (Print manager) связь с принтерами сети и все настройки (Control Panel) набор цветов, screensaver, настройки мыши и клавиатуры, sound, international, cursor (Accessories) настройки прикладных программ: Calc, Calendar, Cardfile, Clock, Notepad, PBrush, Terminal настраиваемые на пользователя прикладные программы закладки в системе справки.

Типы профилей. На NT Workstation автоматически создаются локальные профили (в Registry: HKLM\Software\Microsoft\Windows\Current Version\Profile List) На NT Server - персональные (.USR) или обязательные (.MAN) профили, привязанные к учетным записям. Личный каталог (home directory) \Users\Default (\Users\имя_пользователя). Входные сценарии (script). \WinNT или \WinNT\ SYSTEM32\ REPL\IMPORT \ SCRIPTS.BAT,CMD,EXE - файл.

3.2 Управление профилями пользователей

В профилях пользователей содержатся параметры рабочего стола, настройки меню и другие элементы пользовательской среды. Иногда проблемы с профилем могут воспрепятствовать входу пользователя в систему. Например, у пользователя могут возникнуть проблемы со входом в систему, для которой не поддерживаются параметры разрешения экрана, сохраненные в профиле. Фактически, пользователь не увидит ничего, кроме пустого экрана. Можно перезагрузить машину и войти в режиме VGA, чтобы установить необходимые параметры вручную. Однако, проблемы, связанные с профилями, не всегда просты и могут потребовать обновления данных профиля.

Управление профилями пользователей в Windows 2000 можно осуществлять различными способами:

· Указывать пути к профилям в оснастке Active Directory - пользователи и компьютеры (Active Directory Users and Computers);

· Использовать компонент Система (System) панели управления для изменения, копирования или удаления локального профиля;

· При помощи групповых политик контролировать пользовательскую среду, а также возможность ее изменения пользователями.

Локальные, перемещаемые и обязательные профили. В операционной системе Windows 2000 у каждого пользователя есть свой профиль. В профиле содержатся параметры загрузки пользовательской среды, доступные программы и приложения, настройки рабочего стола и т.д. Профиль есть на каждом компьютере, на котором работает пользователь. Поскольку профиль хранится на локальном жестком диске, у пользователей, работающих на нескольких компьютерах, будут профили нак каждом из них. С другого компьютера сети локально сохраненный профиль недоступен (он так и называется: локальный профиль). Как Вы понимаете, в этом есть свои недостатки. Например, у пользователя, входящего на различные компьютеры сети, профили могут отличаться друг от друга. В результате, пользователь может запутаться в доступных ему сетевых ресурсах. Чтобы решить проблему многочисленных профилей и упростить ситуацию, можно создать особый профиль, который будет доступен различным компьютерам сети. Такой профиль называется перемещаемым. Перемещаемый профиль доступен пользователю на любом компьютере, входящем в домен. Такой профиль может храниться только на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. При входе пользователя в систему происходит загрузка профиля с сервера, что в свою очередь создает локальную копию на компьютере пользователя. При выходе пользователя из системы, произведенные в течение сеанса изменения сохраняются как в локальной, так и серверной копии профиля.

Как администратор, Вы можете контролировать профили пользователей или позволить им это делать самостоятельно. К примеру, можно контролировать профили, чтобы обеспечить единую конфигурацию сети для всех пользователей. Это снизит количество проблем, связанных с пользовательской средой.

Профили, контролируемые администраторами, называются обязательными профилями. Пользователи, имеющие обязательный профиль, могут вносить лишь временные изменения в свою среду. Иными словами, все модификации пользовательской среды сохраняются лишь на протяжении сеанса, а при следующем входе в систему вновь загружается обязательный профиль. Смысл использования обязательных профилей заключается в том, что если пользователям не позволено модифицировать среду, они не сумеют внести изменения, которые могут привести к проблемам в работе. Основным недостатком такого подхода является то, что пользователи могут войти в систему только в случае, когда им доступен обязательный профиль. Если по какой-либо причине нет доступа к серверу, хранящему обязательные профили, а кэшированный профиль тоже недоступен, пользователь не сможет войти в систему. Если сервер недоступен, но есть возможность загрузить локальный кэшированный профиль, пользователь сможет войти в Windows 2000 с кэшированным профилем после соответствующего предупреждения операционной системы.

Создание локальных профилей. В Windows 2000 профили пользователей располагаются в каталоге по умолчанию, либо в расположении, указанном в поле Путь к профилю (Profile Path)диалогового окнаСвойства (Properties) пользователя. Расположение каталога по умолчанию зависит от конфигурации локального компьютера следующим образом:

· Обновление более ранней ОС до Windows 2000. Профиль пользователя располагается в файле %SystemRoot%\Profiles\ %UserName%\ NTUSER.DAT, где %SystemRoot% является корневым каталогом операционной системы (например, C:\WINNT), а %UserName% - это имя учетной записи пользователя (например, wrstanek);

· "Чистая" установка Windows 2000 (нет предыдущей ОС). Профиль пользователя располагается в файле %SystemDrive%\Documents and Settings\%UserName%.%UserDomain%\NTUSER.DAT (например, F:\Documents and Settings\WRSTANEK.WEBATWORK\NTUSER.DAT). Если пользователь осуществляет вход в систему контроллера домена, профиль может находиться в каталоге %SystemDrive%\Documents and Settings\ %UserName%. (например, F:\Documents and Settings\WRSTANEK.ZETA\).

Если расположение по умолчанию не менять, у пользователя будет локальный профиль.

Создание перемещаемых профилей. Перемещаемые профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если Вы хотите назначить пользователю перемещаемый профиль, нужно сконфигурировать серверное расположение каталога профиля. Этого можно достичь следующими действиями:

1. Создайте общий каталог на сервере и убедитесь, что у группы Все (Everyone) есть доступ к нему;

2. Откройте оснастку групповой политики Active Directory - пользователи и компьютеры (Active Directory Users and Computers) и в Свойствах (Properties) пользователя перейдите на вкладку Профиль (Profile). В поле Путь к профилю (Profile Path) введите путь к общему каталогу. Путь должен иметь вид \\server name\profile folder name\user name. Например, \\ZETA\USER_ PROFILES\GEORGEJ, где ZETA - имя сервера, USER_PROFILES - название общего каталога, а GEORGEJ является именем учетной записи;

3. Впоследствии профиль будет храниться в файле NTUSER.DAT в указанном каталоге (например, \\ZETA\USER_PROFILES\GEORGEJ\NTUSER.DAT) Примечание. Как правило, нет необходимости в создании папки для пользователя. Она будет создана автоматически при входе пользователя в систему;

4. Можно создать профиль для пользователя или скопировать существующий профиль в указанный каталог, однако этот шаг не является обязательным. Если Вы не создадите профиль для пользователя заранее, при следующем входе в систему он получит локальный профиль по умолчанию. Все изменения, произведенные пользователем в профиле, сохранятся по завершении сеанса. Таким образом, при следующем входе в систему у пользователя будет уже персональный профиль.

Создание обязательных профилей. Обязательные профили хранятся на сервере под управлением операционной системы Windows 2000 Server или Windows 2003 Server. Если вы хотите назначить пользователю обязательный профиль, выполните следующие действия:

1. Следуйте пунктам 1-3 раздела Создание перемещаемых профилей;

2. Создайте обязательный профиль, переименовав файла NTUSER.DAT в %USERNAME%\NTUSER.MAN. Теперь при следующем входе в систему у пользователя будет обязательный профиль. Примечание. В файле NTUSER.DAT содержатся пользовательские настройки профиля. Изменяя расширение файла на NTUSER.MAN, Вы указываете Windows 2000 создать обязательный профиль.

Использование компонента панели управления Система (System) для управления локальными профилями. Для управления локальными профилями Вам нужно войти в систему на компьютере пользователя. Затем запустите компонент Система (System) панели управления и перейдите на вкладку Профили пользователей (User Profiles). Как показано на Рисунке 9-9 ниже, вкладка Профили пользователей отображает в виде таблицы различную информацию о профилях локальной системы. Эта информация поможет Вам в управлении профилями. Значения полей таблицы раскрываются ниже:

· Имя. Имя локального профиля, которое обычно включает в себя имя домена или компьютера. Например, имя WEBATWORK\WRSTANEK означает, что этот профиль из домена WEBATWORK, а имя учетной записи - WRSTANEK;

· Размер. Размер профиля. Обычно, чем больше размер профиля, тем больше личных изменений пользователь внес в свою среду;

· Тип. Тип профиля: локальный или перемещаемый.

· Изменен. Дата последнего изменения профиля.

Создание профиля вручную. В некоторых случаях Вам может понадобиться создать профиль вручную. Для этого нужно войти в систему с учетными данными пользователя, настроить среду, и выйти из системы. Несложно догадаться, что создание профилей таким способом отнимает немало времени. Лучше задействовать базовый профиль для создания новых пользовательских профилей. Иными словами, Вы создаете базовую учетную запись, настраиваете пользовательскую среду, а затем используете полученный профиль, как основу для создания других учетных записей.

Копирование существующего профиля в новую учетную запись. Если у Вас есть базовый профиль или иная учетная запись, которую Вы хотите взять за основу, можно скопировать существующий профиль в новую учетную запись. Для этого можно задействовать компонент панели управления Система (System), проделав следующие операции:

1. Запустите компонент Система и перейдите на вкладку Профили пользователей (User Profiles);

2. Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который Вы желаете скопировать;

3. Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To). Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To), как показано на Рисунке 9-10. Например, создавая профиль для нашего пользователя GEORGEJ, Вы бы ввели такой путь: \\ZETA\USER_PROFILES\GEORGEJ.\\ZETA;

4. Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use), а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object), чтобы выдать новой учетной записи необходимые разрешения;

5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Копировать и тем самым дать операционной системе команду на копирование профиля в указанное расположение.

Копирование или восстановление профиля. При обслуживании рабочих групп, где каждый компьютер управляется отдельно, Вам часто придется копировать локальный профиль пользователя с одного компьютера на другой. Копирование профиля позволяет пользователям работать с привычными настройками на различных компьютерах. Безусловно, в домене Windows 2000 Вы можете использовать перемещаемый профиль в виде единого профиля, который доступен в пределах всего домена. Впрочем, иногда Вам может понадобиться скопировать существующий локальный профиль поверх перемещаемого профиля пользователя (в случаях, когда последний поврежден) или может возникнуть необходимость в копировании существующего локального профиля в перемещаемый профиль другого домена.

Вы можете скопировать существующий профиль в новое расположение следующим образом:

1. Войдите в систему на компьютере пользователя, из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles);

2. Из списка Профили, хранящиеся на этом компьютере (Profiles Stored On This Computer) выберите существующий профиль, который вы желаете скопировать;

3. Скопируйте профиль в новую учетную запись, нажав кнопку Копировать (Copy To). Затем введите путь к папке профиля нового пользователя в поле Копировать профиль на (Copy Profile To). Например, создавая профиль для пользователя JANEW, Вы бы ввели такой путь: \\GAMMA\USERPROFILES\JANEW;

4. Теперь нужно выдать пользователю разрешения на доступ к профилю. Нажмите кнопку Изменить (Change) в области Разрешить использование (Permitted To Use), а затем используйте диалоговое окно Выбор: Пользователь или Группа (Select User Or Object), чтобы выдать новой учетной записи необходимые разрешения;

5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Копировать и дать Windows 2000 команду на копирование профиля в указанное расположение.

Удаление локального профиля и назначение нового. Профили задействуются при входе пользователя в систему. Windows 2000 использует локальные профили для всех пользователей, не имеющих перемещаемых профилей. Вообще, локальный профиль также используется еще и в случае, когда дата его последнего изменения новее, чем у перемещаемого профиля. Поэтому в некоторых случаях может возникнуть необходимость в удалении локального профиля пользователя. Например, если локальный профиль поврежден, Вы можете удалить его и назначить новый. Учтите, что персональные настройки пользователя будут утеряны при удалении локального профиля, который более нигде в домене не сохранен.

Выполните следующие шаги для удаления профиля пользователя:

1. Войдите в систему на компьютере пользователя;

2. Из панели управления запустите компонент Система (System) и перейдите на вкладку Профили пользователей (User Profiles);

3. Выберите профиль, подлежащий удалению, и нажмите кнопку Удалить (Delete). Затем нажмите Да (Yes) в диалоговом окне, запрашивающем подтверждение на удаление профиля.

Переименование учетных записей пользователей и групп. Выполните следующие действия, чтобы переименовать учетную запись:

1. Откройте оснастку Active Directory - пользователи и компьютеры или Локальные пользователи и группы, в зависимости от того, какой тип учетной записи Вам нужно переименовать;

2. Вызовите контекстное меню правым щелком мыши на имени учетной записи и выберите команду Переименовать (Rename). Затем введите новое имя учетной записи.

Изменение прочей информации. Когда Вы изменяете имя учетной записи с JANEW на JANEM, свойства пользователя и имена файлов, связанных с этой учетной записью, остаются прежними. Это означает, что Вам следует обновить данные учетной записи. Возможно, Вам понадобится обновить следующую информацию:

· Выводимое имя. Измените Выводимое имя (Display Name) учетной записи в оснастке Active Directory - пользователи и компьютеры;

· Путь к профилю пользователя. Поменяйте Путь к профилю (Profile Path) в оснастке Active Directory - пользователи и компьютеры, а затем переименуйте соответствующую папку на диске;

· Сценарий входа в систему. Если Вы применяете индивидуальные сценарии входа в систему для каждого пользователя, измените Сценарий входа (Logon Script Name) в оснастке Active Directory - пользователи и компьютеры, и затем переименуйте файл сценария;

· Домашняя папка. Измените путь к домашней папке в оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers), и затем переименуйте соответствующую папку на диске.

Удаление учетных записей пользователей и групп. Удаление учетной записи ведет к ее полному уничтожению. Если вы удалите учетную запись, а затем создадите новую с точно таким же именем, у последней уже не будет разрешений удаленной учетной записи. Это происходит потому, что идентификаторы безопасности новой и старой учетных записей не совпадают друг с другом. Операционная система Windows 2000 не позволяет производить удаление встроенных учетных записей, поскольку это может привести к негативным последствиям в домене. Удаление прочих учетных записей можно осуществить, выделив учетную запись и нажав клавишу Delete на клавиатуре или выбрав команду Удалить (Delete) из контекстного меню. Затем останется лишь последовательно нажать кнопки OK и Да (Yes) в диалоговом окне подтверждения удаления учетной записи.

Задание и смена паролей. Администратору часто приходится задавать или менять пароли пользователей. Как правило, это приходится делать в случаях, когда пользователь не может вспомнить пароль или срок действия пароля истек. Выполните следующие действия, чтобы задать или сменить пароль:

1. Откройте оснастку Active Directory - пользователи и компьютеры (Active Directory Users And Computers) или Локальные пользователи и группы (Local Users And Groups), в зависимости от типа учетной записи для которой Вы меняете или задаете пароль;

2. Правым щелчком мыши на имени учетной записи вызовите контекстное меню и выберите команду Смена пароля (Reset Password) или Задать пароль (Set Password), в зависимости от поставленной задачи;

3. Введите новый пароль и подтвердите его. Пароль должен соответствовать требованиям сложности, определяемых политикой домена или локального компьютера;

4. Двойным щелчком на имени учетной записи откройте ее свойства и снимите флажок Отключить учетную запись (Account Is Disabled) или Заблокировать учетную запись (Account Is Locked Out), если это применимо к Вашей ситуации или необходимо для выполнения поставленной задачи.В оснастке Active Directory - пользователи и компьютеры эти флажки находятся на вкладке Учетная запись (Account).

3.3 Типы прав пользователей

Права и допуски. Право (Right) - относится к системе в целом и разрешает пользователю выполнять в системе определенные действия (logon, set server time, backup/restore, etc.); Права предоставляются на уровне домена. Допуск (Permission) - относится к объекту (каталогу, файлу или принтеру); является правилом, определяющим, кто из пользователей имеет доступ к объекту и каким образом.

3.4 Встроенные группы пользователей и их права.

Группы, создающиеся автоматически при инсталляции (если не указано другое, то локальные): Administrators, Users, Backup Operators, Guests - Windows NT WS и Server Domain Admins (глобальная), Domain Users (глобальная), Account Operators, Print Operators, Server Operators, Replicators - Windows NT Server Power Users - NT WS или Server - не котроллер.

Права пользователей (в скобках - группы, которые обладают данным правом по умолчанию): Access this computer from network (Admin, Users) Backup files and directories (выше чем No Access) (Admin, ServOp, BackOp) Change system time (Admin, ServOp) Force shutdown from a remote system (Admin, ServOp) Log on locally (Admin, ServOp, AccOp, PrnOp, BackOp) Manage auditing and security log (Admin) Restore files and directories (Admin, ServOp, BackOp) Shut down the system (Admin, ServOp, AccOp, PrnOp, BackOp) Take ownership of files and other objects (Admin)

Следующие дополнительные права есть только у группы Administrators: Load and unload device drivers, Log on as a service, Bypass traverse checking, Add workstations to domain, Create a page file, Debug programs, Profile single process, Profile system performance.

Глобальная настройка прав пользователей. Вы можете настроить индивидуальные права пользователей для сайта, домена или подразделения, выполнив следующие шаги:

1. Откройте диалоговое окно Свойства (Properties) для права пользователя/ Примечание. Все политики могут быть либо определены, либо не определены. Это означает, что они либо настроены для использования, либо нет. Политика, которая не определена в данном контейнере, может быть унаследована от другого контейнера.

2. Выберите "Определить следующие параметры политики в шаблоне (Define These Policy Settings)", чтобы определить политику.

3. Чтобы применить право пользователю или группе, нажмите кнопку Добавить пользователя или группу (Add). Откроется диалоговое окно Выбор: Пользователи или группы (Select Users Or Groups), показанное на рисунке 8-7. В этом окне используются следующие поля:

· Искать в. Чтобы получить доступ к учетным записям из других доменов, раскройте список Искать в. Вы увидите список, в котором перечислены: текущий домен, доверенные домены и другие доступные Вам ресурсы. Примечание. Только домены, с которыми установлены доверительные отношения, доступны в списке Искать в (Look In). Перечисление всех доменов из дерева доменов или леса возможно вследствие наличия транзитивных доверительных отношений в Windows 2000. Доверительные отношения не устанавливаются явно. Вернее, доверительные отношения устанавливаются автоматически, основываясь на структуре леса и наборе разрешений в нем.

· Имя. В этой графе перечислены доступные учетные записи выбранного домена или ресурса.

· Добавить. Для добавления пользователей в список выбора используйте Добавить (Add).

· Проверить имена. Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, если вводите имена вручную и хотите убедиться, что они доступны.

4. После того, как Вы выбрали учетные записи для добавления в группу, нажмите кнопку ОК. В диалоговом окне Название группы (Group Name) будут отображены выбранные учетные записи. Еще раз нажмите кнопку ОК.

5. В обновленном диалоговом окне Свойства (Properties) отобразятся выбранные Вами пользователи. Если Вы ошиблись, выделите имя и удалите его, нажав кнопку Удалить (Remove)

6. Если Вы закончили назначение прав пользователям и группам, нажмите кнопку ОК.

Локальная настройка прав пользователей. Чтобы назначить права пользователей на локальном компьютере, выполните следующие шаги:

1. Откройте диалоговое окно Свойства (Properties) для конфигурирования прав.

2. Действующая политика для компьютера показана, но Вы не можете изменить её. Однако Вы можете изменить параметры локальной политики, используя специальные поля. Помните, что политики сайта, домена и подразделения имеют превосходство над локальными политиками.

3. Графа Назначен (Assigned To) показывает текущих пользователей и группы, которым было назначено право.

Установите или снимите соответствующие флажки под графой Параметры локальной политики (Local Policy Setting), чтобы присвоить или отменить право пользователя. Вы можете назначить данное право дополнительным пользователям и группам, нажав кнопку Добавить (Add). Откроется диалоговое окно Выбор: Пользователи или группы (Выбор: Пользователи или группы). Теперь можно добавить пользователей и группы.

3.5 Назначение разрешений на доступ к файлам и каталогам

Из дисковых файловых систем, поддерживаемых Windows NT, только NTFS предоставляет полный набор средств обеспечения безопасности. Доступ к дискам с файловой системой FAT может быть ограничен только на уровне папок общего доступа (share-level security). Папки общего доступа (shared folders) автоматически предоставляют доступ к своим подпапкам и файлам, то есть не дают возможности тонкой настройки допусков. Второй их недостаток - проверка допуска к таким папкам производится только при доступе по сети, а пользователь, подключившийся локально (с клавиатуры сервера), независимо от того, имеет полный допуск ко всем таким папкам, Папку общего доступа можно скрыть (ее имя не будет видно при просмотре списка папок), добавив к ее имени символ доллара `$'.

Допуски к папкам общего доступа:

· No Access (None) - нет доступа;

· Read - пользователь может видеть имена файлов и подпапок, переходить в подпапки, открывать файлы в режиме "только чтение" и запускать программмы. Пользователь не может изменять содержимое файлов и удалять их;

· Change - пользователь может выполнять действия, разрешенные допуском Read, и, кроме того, создавать, изменять и удалять файлы и подпапки;

· Full Control (All) - пользователь может выполнять действия, разрешенные допуском Change, и, кроме того, управлять допусками NTFS к этой папке, ее файлам и подпапкам, а также приобретать права владельца папки;

· NT Server автоматически создает несколько административных папок общего доступа:

· ADMIN$ - папка, в которой находятся файлы операционной системы (скорее всего, C:\WinNT);

· [буква диска]$ - корневые папки всех разделов всех жестких дисков сервера.

Файловая система NTFS хранит для каждого своего объекта (папки или файла) набор дополнительных атрибутов, в том числе, атрибутов, управляющих доступом к данному объекту - допусков NTFS (NTFS permissions). Если для объекта заданы допуски для нескольких групп, то пользователь, принадлежащий к этим группам обладает некоторым допуском, если такой допуск есть у любой из этих групп. Допуски NTFS, установленные для папок общего доступа не могут повысить уровень доступа, а только понизить или оставить прежним.

Файловые допуски NTFS:

· No Access (None) - нет доступа к файлу;

· Read (RX) - можно просматривать имя файла, открывать его в режиме "только чтение". Если этот файл - программа, то ее можно выполнять;

· Change (RWXD) - пользователь может выполнять действия, разрешенные допуском Read, и, кроме того, создавать, изменять и удалять файлы и подпапки;

· Full Control (All) - пользователь может выполнять действия, разрешенные допуском Change, и, кроме того, управлять допусками NTFS к этой папке, ее файлам и подпапкам, а также приобретать права владельца папки;

· Special Access - можно задать любую комбинацию элементарных допусков (Read, Write, eXecute, Delete, change Permissions, take Ownership).

Допуски к папкам NTFS (в первых скобках - эффект для самой папки, во вторых скобках - эффект для файлов, содержащихся в ней):

· No Access (None) (None) - нет доступа к папке и ее содержимому;

· List (RX) () - можно просматривать список файлов и подпапок, а также переходить в подпапки;

· Read (RX) (RX) - можно выполнять действия, разрешенные допуском List, и, кроме того, открывать файлы в режиме "только чтение", а также запус кать программы;

· Add (WX) () - можно создавать новые файлы и подпапки, но нельзя открывать файлы - даже только что созданные;

· Add & Read (RWX) (RX) - можно выполнять все действия, разрешенные допусками Read и Add;

· Change (RWXD) (RWXD) - можно выполнять все действия, разрешенные допуском Add & Read и, кроме того, изменять содержимое файлов, а также удалять файлы и подпапки;

· Full Control (All) All) - можно выполнять действия, разрешенные допуском Change, и, кроме того, управлять допусками NTFS к этой папке, ее файлам и подпапкам, а также приобретать права владельца папки;

· Special Directory Access - можно задать любую комбинацию элементарных допусков (Read, Write, eXecute, Delete, change Permissions, take Ownership);

· Допуск eXecute для папки означает возможность перехода в нее;

· Special File Access - можно задать любую комбинацию элементарных допусков (Read, Write, eXecute, Delete, change Permissions, take Ownership).

Допуски к папкам NTFS имеют преимущество над файловыми допусками NTFS: если для пользователя установлен допуск к папке NTFS `Full Control', а к некоторому файлу в этой папке - `Read', то в результате пользователь может производить любые операции с этим файлом.

Заключение

В связи со стремительным развитием производства и устройством общества постоянным усовершенствованиям должно подвергаться и администрирование компьютерными сетями.

Сегодня вычислительные сети продолжают развиваться, причем достаточно быстро. Разрыв между локальными и глобальными сетями постоянно сокращается во многом из-за появления высокоскоростных территориальных каналов связи, не уступающих по качеству кабельным системам локальных сетей. В глобальных сетях появляются службы доступа к ресурсам, такие же удобные и прозрачные, как и службы локальных сетей. Подобные примеры в большом количестве демонстрирует самая популярная глобальная сеть - Internet.

Изменяются и локальные сети. Вместо соединяющего компьютеры пассивного кабеля в них в большом количестве появилось разнообразное коммуникационное оборудование - коммутаторы, маршрутизаторы, шлюзы, а так же оборудование для построения сетей с применением беспроводных технологий. Коммутаторы, маршрутизаторы, шлюзы - это специальные устройства, предназначенные для передачи информации из одной сети в другую. Они принимают пакеты из одной сети и передают их в другую, при этом сети не объединяются в одну единую сеть, а остаются вполне независимыми. Маршрутизаторы оснащены системой управления, позволяющей фильтровать проходящие через него данные. Настроив соответствующим образом пакетный фильтр можно ограничивать или совсем запрещать доступ в другую сеть для определенных пользователей. Беспроводные технологии -- подкласс информационных технологий, служат для передачи информации на расстояние между двумя и более точками, не требуя связи их проводами. Для передачи информации может использоваться инфракрасное излучение, радиоволны, оптическое или лазерное излучение. Существуют различные подходы к классификации беспроводных технологий.

По дальности действия:

· Беспроводные персональные сети (WPAN -- Wireless Personal Area Networks). Примеры технологий -- Bluetooth;

· Беспроводные локальные сети (WLAN -- Wireless Local Area Networks). Примеры технологий -- Wi-Fi;

· Беспроводные сети масштаба города (WMAN -- Wireless Metropolitan Area Networks). Примеры технологий -- WiMAX;

· Беспроводные глобальные сети (WWAN -- Wireless Wide Area Network). Примеры технологий -- CSD, GPRS, EDGE, EV-DO, HSPA.

По топологии:

· "Точка-точка";

· "Точка-многоточка".

По области применения:

· Корпоративные (ведомственные) беспроводные сети -- создаваемые компаниями для собственных нужд;

· Операторские беспроводные сети -- создаваемые операторами связи для возмездного оказания услуг.

Кратким, но ёмким способом классификации может служить одновременное отображение двух наиболее существенных характеристик беспроводных технологий на двух осях: максимальная скорость передачи информации и максимальное расстояние. В настоящее время существует множество беспроводных технологий, наиболее часто известных пользователям по их маркетинговым названиям, таким как Wi-Fi, WiMAX, Bluetooth. Каждая технология обладает определёнными характеристиками, которые определяют её область применения.

Благодаря такому оборудованию появилась возможность построения больших корпоративных сетей, насчитывающих тысячи компьютеров и имеющих сложную структуру.

Рассмотрев в своей выпускной квалификационной работе довольно актуальную на сегодняшний день тему технологии администрирования и контроля в компьютерных сетях становится очевидно, что управление сетью, как правило, целесообразно осуществлять с одного рабочего места. Потребность в контроле за сетью с одной управляющей станции способствовала появлению различных архитектур платформ и программ удаленного администрирования. Программы удалённого администрирования -- программы, или функции операционных систем, позволяющие получить удаленный доступ к компьютеру через Интернет или ЛВС и производить управление и администрирование удаленного компьютера в реальном времени. Программы удаленного администрирования предоставляют почти полный контроль над удаленным компьютером: они дают возможность удаленно управлять рабочим столом компьютера, возможность копирования или удаления файлов, запуска приложений и т.д. Существует множество реализаций программ удалённого администрирования. Все реализации отличаются по интерфейсу и используемым протоколам. Интерфейс может быть визуальный или консольный. Одними из самых популярных и распространённых программ являются, например, компонент Windows Remote Desktop Services с клиентом Remote Desktop Connection, Radmin, DameWare, PuTTy, VNC, UltraVNC, Apple Remote Desktop, Hamachi, TeamViewer, Remote Office Manager и др. Собственно для цели передачи команд администрирования и вывода экрана используются протоколы удалённого администрирования: RDP, VNC, X11, Telnet, Rlogin, RFB, ARD, ICA, ALP и собственные. Для шифрования трафика в программах удалённого администрирования используются протоколы SSH, SSL, TLS и др.

Мои предложения: на мой взгляд, необходимо постоянное усовершенствование сервисных программ по администрированию и контролю в компьютерных сетях.

Глоссарий

№ п/п	Понятие	Содержание понятия
1	Беспроводные технологии	подкласс информационных технологий, служат для передачи информации на расстояние между двумя и более точками, не требуя связи их проводами.
2	Дисперсия сигнала	явление увеличения длительности сигнала
3	Затухание сигнала	относительное уменьшение амплитуды или мощности сигнала при передаче по линии связи вследствие поглощения и превращения в тепло части его энергии
4	Искажение сигнала	явление изменения формы сигнала в процессе передачи по линии связи
5	Кабель	сложное изделие, состоящее, в общем случае, из совокупности проводников, слоев экрана, изоляции и защитного слоя
6	Канал связи	физическая среда и аппаратура передачи данных, осуществляющих передачу информации от одного узла коммутации к другому либо между узлом коммутации и абонентской системой
7	Помеха	непредсказуемое изменение сигнала, поступающего на вход приемника
8	Пропускная способность канала связи	максимально возможная скорость передачи данных по каналу
9	Сеть ЭВМ	сеть обмена и распределенной обработки информации, образуемая множеством абонентских систем, взаимодействующих между собой осредством телекоммуникационной сети
10	Физическая среда передачи данных	пространство или материал, обеспечивающие распространение информационных сигналов
11	Bluetooth	технология передачи данных по радиоканалам на короткие расстояния, позволяющая осуществлять связь беспроводных телефонов, компьютеров и различной периферии даже в тех случаях, когда нарушается требование прямой видимости
12	CSD	технология передачи данных для мобильных телефонов GSM. Передача данных на скорости 9,6 кбит/с
13	EDGE	цифровая технология беспроводной передачи данных для мобильной связи, которая функционирует как надстройка над 2G и 2.5G (GPRS)-сетями. Передача данных на скорости 474 кбит/c.
14	EV-DO	технология передачи данных, используемая в сетях сотовой связи стандарта CDMA. Скорость передачи данных в EV-DO, в зависимости от поколений (релизов) стандарта, достигает (загрузка/отдача): Rel.0 -- (CDMA2000 1x EV-DO rel.0) - 2,4 / 0,153 Мбит/с; Rev.A -- (CDMA2000 1x EV-DO rev.A)- 3,1 / 1,8 Мбит/с Rev.B -- (CDMA2000 1x EV-DO rev.B)- 73,5 / 27 Мбит/с Rev.C -- 280? / 75? Мбит/с Rev.D -- 500? / 120? Мбит/с
15	GPRS	надстройка над технологией мобильной связи GSM, осуществляющая пакетную передачу данных. Передача данных на скорости 171,2 кбит/c.
16	HSPA	технология беспроводной широкополосной радиосвязи, использующая пакетную передачу данных и являющаяся надстройкой к мобильным сетям WCDMA/UMTS. Максимальная теоретическая скорость передачи данных по стандарту составляет 14,4 Мбит/сек (скорость передачи данных от базовой станции на всех локальных абонентов) и до 5,8 Мбит/сек от абонента.
17	IEEE	международная некоммерческая ассоциация специалистов в области техники, мировой лидер в области разработки стандартов по радиоэлектронике и электротехнике.
18	Wi-Fi	торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11
19	WiMAX	телекоммуникационная технология, разработанная с целью предоставления универсальной беспроводной связи на больших расстояниях для широкого спектра устройств.

администрирование домен windows компьютерный

Список использованных источников

1. Актерский, Ю.Е. Сети ЭВМ и телекоммуникации [Текст]: учебное пособие / Ю.Е. Актерский. - СПб.: ПВИРЭ КВ, 2005. - 223 с. - ISBN: 5-8459-0664-4

2. Арчибальд, Р.Д. Управление высокотехнологичными программами и проектами / [Текст]. - М.: ДМК Пресс, 2010. - 464 с. - ISBN 978-5-9706-0045-0.

3. Балафанов, Е.К. Новые информационные технологии. 30 уроков информатики [Текст] / Е.К. Балафанов, Б.Б. Бурибаев, А.Б. Даулеткулов. - Алма-Ата.: Патриот, 2004. - 220 с.

4. Брезгунова, И.В. Аппаратные и программные средства персонального компьютера. Операционная система Microsoft Windows XP / [Текст]. - М: РИВШ, 2011. - 164 с.

5. Брябрин В.М. Программное обеспечение персональных ЭВМ. - М.: Наука, 1990. 22 с.

6. Велихов, А.В. Основы информатики и компьютерной техники: Учебное пособие [Текст]/А.В. Велихов: Букпресс, 2006. - 544 с

7. Велихов А.В., Строчников К.С., Леонтьев Б.К. Компьютерные сети: Учебное пособие по администрированию локальных и объединенных сетей / [Текст]. - М: Познавательная книга-Пресс, 2004 - 320 с.

8. Воройский, Ф.С. Информатика. Новый систематизированный толковый словарь-справочник (Введение в современные информационные и телекоммуникационные технологии в терминах и фактах) [Текст]/ Ф.С. Воройский -- 3-е изд., перераб. и доп. -- М.: ФИЗМАТЛИТ, 2003. -- 760 с

9. Гиляревский, Р.С. Информационный менеджмент. Управление информацией, знаниями, технологией / [Текст]. - М.: Профессия, 2009. - 304 с. - ISBN 978-5-93913-191-9.

10. Граничин, О.Н. Информационные технологии в управлении / [Текст]. - М.: Бином, 2011. - 336 с. - ISBN 978-5-94774-986-1.

11. Гук М. Аппаратные средства локальных сетей. Энциклопедия - СПб.: Питер, 2000. -576с.

12. Додд, А.З. Мир телекоммуникаций. Обзор технологий и отрасли [Текст] / А.З. Додд. - М.:Олимп-Бизнес, 2005. - 400 с. - ISBN 5779100101

13. Дэн Холме, Нельсон Рест, Даниэль Рест. Настройка Active Directory. Windows Server 2008. Учебный курс Microsoft / [Текст]. - М: Русская редакция, 2011 - 960 с.

14. Журин А. Самоучитель работы на компьютере. MS Windows XP. Office XP [Текст] / А. Журин. - М.: Корона - Принт, 2009. - 370 с

15. Заика, А. Компьютерные сети [Текст] / А. Заика, М.: Олма-Пресс, 2006. - 448 с. - ISBN: 5-9556-0008-6

16. Закер Крэйг. Планирование и поддержка сетевой инфраструктуры Microsoft Windows Server 2003 / [Текст]. - М: Русская редакция, 2005 - 544 с.

17. Кангин, В.В. Аппаратные и программные средства систем управления / [Текст]. - М.: Бином. Лаборатория знаний, 2010. - 424 с. - ISBN 978-5-94774-908-3.

18. Кульгин. М.В. Компьютерные сети. Практика построения / [Текст]. - СПб: Питер, 2003 - 462 с.

19. Логинов, В.Н. Информационные технологии управления / [Текст]. - М.: КноРус, 2011. - 240 с. - ISBN 978-5-406-01291-8.

20. Мардер, Н.С. Современные телекоммуникации [Текст] / Н.С. Мардер. - М.: ИРИАС, 2006. - 384 с. - ISBN: 978-5-469-01136-1

21. Мелехин, В.Ф. Вычислительные машины, системы и сети [Текст] / В.Ф. Мелехин, Е.Г. Павловский. - М.: Академия, 2007. - 557 с. - ISBN: 6-3356-4788-1

22. Мур, М. Телекоммуникации [Текст] / М. Мур, Т. Притски, К. Риггс, П. Сауфвик. - СПб: БХВ-Петербург, 2005. - 624 с. - ISBN: 3-67107-215-3

23. Одом, У. Компьютерные сети [Текст] / У. Одом. - М.: Вильямс, 2006.- 432 с. - ISBN: 5-8459-0437-4

24. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы [Текст] / В.Г. Олифер, Н.А. Олифер. - СПб: Питер, 2007. - 960 с. - ISBN: 5-94157-491-6

25. Палмер, М. Проектирование и внедрение компьютерных сетей [Текст] / М. Палмер, Р.Б. Синклер. - СПб.: БХВ-Петербург, 2006. - 740 с. - ISBN: 5-0300-1408-0

26. Пескова, С.А. Сети и телекоммуникации [Текст] / С.А. Пескова. - М., Изд-во Академия, 2007. - 352 с. - ISBN: 5-06-004432-7

27. Петраков А.М., Клейменов С.А., Мельников В.П. Администрирование в информационных системах / [Текст]. - М: ИЦ Академия, 2008 - 272 с.

28. Сапков, В.В. Информационные технологии и компьютеризация делопроизводства / [Текст]. - М.: Академия, 2010. - 288 с. - ISBN 978-5-7695-7646-1.

29. Семенов, А.Б. Системы интерактивного управления СКС / [Текст]. - М.: Эко-Трендз, 2011. - 226 с. - ISBN 978-5-88405-095-2.

30. Трофимов, В. Информационные системы и технологии в экономике и управлении / [Текст]. - М.: Юрайт, 2012. - 528 с. - ISBN 978-5-9916-1839-7.

31. Уилсон. Эд Мониторинг и анализ сетей. Методы выявления неисправностей / [Текст]. - М: Лори, 2002 - 350 с.

32. Уолрэнд. Дж. Телекоммуникационные и компьютерные сети. Вводный курс. - М.: Постмаркет, 2001. - 480 с.

33. Уолтер Гленн при участии Майкла Т. Симпсона. Проектирование инфраструктуры Active Directory и сети на основе Microsoft Windows Server 2003 / [Текст]. - М: Русская Редакция, 2006 - 364 с.

34. Хомоненко А.Д. Основы современных компьютерных технологий: Учебник / Под ред. проф., - СПб.: КОРОНА принт, 2005. - 223 с.

35. Элсенпитер Р., Велт Т. Дж. Windows XP Professional. Администрирование сетей / [Текст]. - М: Эком, 2006 - 560 с.

36. Яшин, В.Н. Информатика. Аппаратные средства персонального компьютера / [Текст]. - М: Инфра-М, 2010. - 256 с.

Размещено на Allbest.ru