Системное администрирование

Размещено на http://www.allbest.ru/

1. Обзор семейства систем Windows Server 2003. Консоли управления

windows учетный запись операционный

Система Windows Server 2003 выпускается в 32-х и 64-х разрядном вариантах в 4-х различных редакциях:

· Windows Server 2003 Web Edition (используется для развертывания Web-узлов, поддерживает неограниченное число анонимных соединений, также поддерживает 10 входящих соединений SMB, не может выполнять других серверных ролей);

· Windows Server 2003 Standard Edition (идеален на небольших предприятиях, может быть сервером баз данных, почтовым сервером, на его базе можно создавать кластеры, поддерживает любые серверные роли);

· Windows Server 2003 Enterprise Edition (платформа для крупных предприятий, поддерживает до 8 процессов 32-х Гбайт оперативной памяти, кластеры из 8 узлов, поддерживает все серверные роли и обладает полным административным инструментарием);

· Windows Server 2003 Datacenter Edition (прилагается к ультра производительным серверам, 64 процессора и 512 Гбайт оперативной памяти, обладает практически не ограниченной масштабируемостью). В данном курсе рассматривается ОС Windows Server 2003 Enterprise Edition.

Данная операционная система может быть установлена с CD и не поддерживает установку с дискет. В целом, установка этой ОС не отличается от установок других продуктов Microsoft, за исключением того, что после завершения установки, можно настроить роли сервера с помощью специального мастера Управление данным сервером. С помощью этой утилиты можно настроить следующие роли:

1. файловый сервер (обеспечивает доступ к общим ресурсам и управляет дисковыми квотами);

2. сервер печати (обеспечивает централизованное управление печатающими устройствами и их драйверами);

3. почтовый сервер (устанавливает протоколы входящих и исходящих сообщений);

4. сервер терминалов (позволяет удаленным клиентам обращаться к дисковому пространству внутренней сети особым образом, имитируя ситуацию нахождения ресурсов внутренней сети на дисках удаленного клиента);

5. DNS-сервер (использоваться для разрешения имен в доменах AD);

6. DHCP-сервер (используется для динамического назначения IP-адресов клиентских компьютерам);

7. WINS-сервер (поддерживает базу данных имен компьютеров, разрешаемых по протоколу NetBIOS);

8. контроллер домена AD (предоставляет службу каталогов клиентам сети, создает новый контроллер домена);

9. сервер удаленного доступа или VPN (обеспечивает подключение удаленных клиентов к внутренней сети с помощью маршрутизации);

10. сервер приложений IIS (предоставляет службы для развертывания Web-сервера);

11. сервер потоков мультимедиа (позволяет серверу передавать потоки мультимедиа по запросу или в реальном времени).

Windows Server 2003 поддерживает два варианта службы каталогов: рабочую группу и домен. Домен наиболее предпочтителен, т.к. имеет общий для всех членов каталог ресурсов - Active Directory (AD). Компьютеры же в рабочей группе имеют собственные базы также. AD - не просто база данных, это совокупность средств безопасности, протоколов, общих ресурсов, сценариев, групповых политик, учетных данных пользователей и пр. Каждый контроллер домена хранит копию (реплику) AD. Изменение AD на одном из контроллеров домена влечет их дальнейшее реплицирование на все остальные контроллеры. AD не существует без домена, а домен не существует без AD.

Несколько доменов с общим корнем образуют дерево, а несколько доменов с разными корнями могут образовывать лес. Образовывают ли домены деревья и леса зависит от отношений доверия между ними и настроек репликации.

AD состоит из объектов. У каждого объекта есть атрибуты и свойства. Создавать и изменять объекты в AD можно с помощью консоли Active Directory - пользователи и компьютеры, а также с помощью утилит командной строки net…, ds… и других. Объектов в AD может быть десятки тысяч. Для удобства управления объектами со схожими свойствами внутри домена существуют особые контейнеры - организационные подразделения (OU). Также с OU можно связывать групповые политики.

У каждого объекта в AD, к которому требуется доступ, есть список управления доступом (ACL). ACL сравнивается с маркерами доступа, и при наличии совпадений пользователям или службам доступ разрешается или запрещается. С помощью ACL и OU можно назначать разрешения на доступ к объектам и настраивать полномочия различных пользователей.

Управлять OU удобно с помощью групповых политик - списков параметров, затрагивающих все возможные настройки системы. Используя объекты групповой политики (OGP) можно изменить уровень безопасности, установить программное обеспечение, настроить вид рабочего стола на любом множестве компьютеров, входящих в домен.

Windows Server 2003 имеет в своем составе консоли MMC - родительское приложение для одной или нескольких оснасток. Существует ряд преднастроенных консолей MMC (например, консоль DNS-сервера, консоль DHCP-сервера). Можно создавать свои консоли, добавляя те или иные оснастки в корень консоли. Каждая консоль состоит из дерева оснасток и рабочей области, в которой отображаются свойства оснастки.

Оснастки бывают двух типов: изолированные (создаются разработчиками административных систем, к таковым относятся все предустановленные оснастки) и оснастки расширения (предназначены для работы совместно с изолированными оснастками, некоторые оснастки могут быть как изолированными, так и оснастками расширения). Собственные консоли можно сохранять в авторском или пользовательском режиме. Консоли, сохраненные в авторском режиме, могут редактировать только их создатели. Существуют три типа пользовательского режима:

· полный доступ (функционал оснастки полностью доступен другим пользователям);

· ограниченный доступ, несколько окон (пользователи в праве просматривать все открытые в оснастке окна, но не в праве открывать новые);

· ограниченный доступ, одно окно (пользователи просматривают только верхнее открытое в консоли окно, и не в праве перемещаться по дереву оснасток).

Для создания собственной консоли необходимо выполнить команду mmc, добавить необходимые оснастки, и сохранить консоль в одном из режимов.

По умолчанию консоли сохраняются в папку Администрирование в профили пользователя, создавшего оснастку. Файлы консоли имеют расширение .msc.

Некоторые из оснасток имеют динамический фокус, т.е. с их помощью можно управлять настройками не только локального, но и удаленного компьютера. Фокус оснастки изменяется либо при старте консоли, либо в ее свойствах.

Для совместного использования ресурсов и удаленного управления сервером можно использовать программу Подключение к удаленному рабочему столу, входящую в стандартный комплект Windows Server 2003 и Windows XP, на все остальные клиенты данную программу можно установить с помощью групповой политики с установочного диска Windows Server 2003. Для работы с этой программой необходимо обладать административными полномочиями или быть членом группы Пользователи удаленного рабочего стола, также необходимо, чтобы на сервере, к которому производится удаленное подключение, оно было разрешено. Также не надо забывать, что данная программа поддерживает только два одновременных подключения к серверу. Если удаленно необходимо подключаться к контроллеру домена еще кому-то кроме администратора сети, необходимо дополнительно настраивать групповую политику.

В Windows Server 2003 и Widows XP есть средства помощи неопытным пользователям - удаленный помощник. Он работает по следующему принципу. Пользователь, нуждающийся в помощи, может послать запрос средствами Windows Messenger через Интернет более опытному пользователю, который примет сообщение и сможет подключиться к компьютеру запрашивающего для выполнения необходимых операций. Механизм запроса и предложения помощи через удаленный помощник подробно описан в Центре справки и поддержки Windows. Однако необходимо помнить, что в сетях могут использоваться брандмауэры и для корректной работы удаленного помощника необходимо, чтобы на брандмауэре порты 3389 и 1863 были открыты. Также удаленный помощник использует механизм UPnP для прохождения трафика через NAT-устройства. В ряде случаев в сетях, использующих Общие подключения к Интернету (ICS) UPnP не поддерживается, что может вызывать проблемы при работе с удаленным помощником.

2. Управление учетными записями пользователей

Объект пользователя в AD состоит из имени пользователя, пароля, идентификатор безопасности (SID), профиль пользователя. Создавать объекты пользователей можно в консоли Active Directory - пользователи и компьютеры или в командной строке с помощью команды dsedd user. При создании объекта пользователя через консоль необходимо заполнить ряд обязательных палей:

· Полное имя (на его основе генерируются обычное имя (cn), различающееся имя (dn), собственно имя и отображаемое имя (displayname);

· имя входа пользователя (представляет собой имя_пользователя@имя домена);

· имя входа пользователя (пред-Windows 2000), используется для входа в домен с клиентов под управлением ранних версий Windows;

· пароль (пароль должен отвечает требованиям сложности, установленным групповой политикой).

Также можно задать некоторые свойства пользователей: требовать смену пароля при следующем входе в систему, Запретить смену пароля пользователем, снять ограничение срока действия пароля или отключить учетную запись. В ряде случаев, настройки свойств объекта пользователя могут противоречить настройкам политики безопасности, действующей в системе. Настройки объекта пользователя приоритетнее настроек политики безопасности.

После создания объекта пользователя можно настроить его остальные свойства, среди которых путь к профилю пользователя, членство в группах, личные данные пользователя и прочее.

Также можно настроить список компьютеров, с которых пользователь может входить в сеть, время входа пользователя в систему, использование смарт-карт и срок действия самой учетной записи. Из консоли Active Directory - пользователи и компьютеры можно управлять несколькими объектами пользователей одновременно. Для этого их достаточно выделить в рабочей области оснастки. Перемещать несколько объектов пользователей, копировать и удалять их можно без ограничений. Но далеко не все свойства учетных записей доступны для совместного редактирования (одновременно можно изменять путь к профилю пользователя, сценарий входа в систему, домашнюю папку, должность, практически все свойства адреса, срок действия учетных записей и некоторые другие свойства). Все операции с объектами пользователей, доступные в графической консоли, можно осуществлять из командной строки. Для создания объектов пользователей можно использовать так называемые шаблоны - заранее созданные объекты пользователей, копируемые при необходимости создания конкретных объектов. При копировании шаблона копируются не все свойства, настроенные в шаблоне. Свойства копируются в следующем порядке: на вкладках Общие, телефоны, входящие звонки, среда, сеансы, удаленное управление, профиль служб терминалов, COM+ - свойства не копируются; на вкладке Адрес копируются все свойства кроме Улица; на вкладке Учетная запись копируются все свойства кроме Имя входа; на вкладке Организация копируются все свойства кроме Должность; свойства на вкладках Профиль и Член групп копируются полностью.

В случае если нужно создать очень много однотипных объектов в AD (в том числе и объектов пользователей) можно импортировать их из специально созданного текстового файла формата csv, текстовые записи в котором соответствуют свойствам создаваемых объектов. Для импорта объектов в AD из файла csv используется утилита csvde. Эта команда также может экспортировать объекты из AD в файлы csv. Также для управления объектами в AD можно использовать команды семейства ds: dsedd - добавляет объекты в каталог; dsget - отображает свойства объектов каталога; dsmod - изменяет свойства объекта; dsmove - перемещает объект в каталоге; dsrm - удаляет объект из каталога; dsquery - выбирает объекты из каталога по заданным признакам.

Разница команд dsquery и dsget в том, что с помощью dsget можно просмотреть свойства заданного объекта, а dsquery выбирает из каталога объекты с заданными свойствами. Все команды семейства ds поддерживают пакетный режим, т.е. результаты выполнения одной команды могут быть поданы на вход другой команде в качестве параметров (например, с помощью команды dsrm можно удалить объекты, которые были выбраны командой dsquery).

Каждый пользователь имеет свой профиль - набор файлов и папок, содержащих элементы рабочего стола. Профиль включает в себя ярлыки на рабочем столе и в панели инструментов; документы рабочего стола и домашней папки пользователя (если нет перенаправления папок, то это папка Мои документы); избранное в IE; сертификаты; настройки Microsoft Office; настройки папки Сетевое окружение; параметры рабочего стола. Профили пользователей могут быть локальными и перемещаемыми.

Локальные профили пользователей хранятся в папке %Systemdrive%\Documents and Settings\%Username%. При первом входе пользователя в систему в указанную папку копируется содержимое папки %Systemdrive%\Documents and Settings\Default User. Для каждого пользователя локальные профили уникальны. Дополнять локальные профили пользователей можно с помощью внесения изменений в профиль с именем «Все пользователи». Но для этого необходимо быть членом группы Администраторы. При использовании локального профиля, в случае если пользователь входит в систему с другого компьютера, настройки и свойства его профиля не перемещаются, а система создает новый локальный профиль.

Перемещаемые профили хранятся на сервере, и при входе пользователя в систему с разных компьютеров копируется на эти компьютеры с сервера, поэтому пользователь всегда использует привычные настройки. Для использования перемещаемых профилей необходимо скопировать файлы профиля на сервер (в любую доступную общую папку), а в свойствах учетной записи пользователя указать путь к этой папке (необходимо также позаботиться, чтобы пользователь имел необходимые права на чтение, изменение файлов из этой папки). Перемещаемые профили выгружаются обратно на сервер при выходе пользователя из системы, поэтому не влияют на общее свободное дисковое пространство того или иного компьютера. Но при этом скорость загрузки системы (время копирования файлов профиля с сервера) снижается только в первый раз, т.к. Windows Server 2003 загружает и выгружает профиль не полностью, а синхронизирует его (загружает и выгружает только изменения), в связи с этим затрагиваются дисковые квоты, установленные для данного пользователя на том компьютере, с которого он входит в сеть.

В случае если одному или нескольким пользователям необходимо настроить одинаковые параметры профиля, можно воспользоваться так называемым преднастроенным профилем. Для этого надо создать новую учетную запись и настроить необходимые свойства для нее. А потом просто скопировать профиль этой записи в профиль нужных пользователей. Это справедливо для локальных и перемещаемых профилей. В ряде случаев необходимо сделать так, чтобы пользователи не могли изменять свойства профиля. Существуют два варианта решения этой задачи:

1. использование групповых политик для настройки свойств системы (пользователи не смогут вносить никаких изменений, даже временных);

2. использование обязательного профиля (во время текущей сессии пользователи могут изменять настройки профиля, например, создать ярлык на рабочем столе, но при перезагрузке компьютера все произведенные изменения пользователем будут удалены).

Чтобы сделать профиль пользователя обязательным, необходимо в корневом каталоге профиля найти файл Ntuser.dat. и сменить расширение этого файла на .man.

При управлении объектами пользователей необходимо выполнять ряд требований безопасности, в частности, настраивать политику паролей, политику блокировки учетных записей и политику аудита. Политики применяются на уровне домена в целом и на уровне локального компьютера. Локальные политики приоритетнее доменных. Редактировать указанные выше политики на уровне домена можно в консоли Active Directory - пользователи и компьютеры. На локальном компьютере политики редактируются в консоли Управление компьютером. С помощью политики паролей можно настроить следующие свойства: Требовать неповторяемость паролей (сохраняется список ранее использованных паролей и пользователю не разрешается менять пароль на пароль из этого списка, максимально может храниться 24 старых пароля), Максимальный срок действия пароля (определяет временной интервал, по истечении которого пользователь должен сменить пароль, значение по умолчанию 42 дня), Минимальный срок действия пароля (задает временной промежуток, который должен пройти между сменами паролей), Минимальная длина пароля (по умолчанию 7 символов), Пароль должен отвечать требованиям сложности (при включении этого параметра пароль должен содержать не менее 6 символов, при чем символы должны быть четырех разных типов - заглавные и строчные буквы, цифры и специальные символы).

Блокировка учетной записи позволяет временно заблокировать учетную запись при некотором количестве неудачных входов в систему с реквизитами этой учетной записи. Одноименная политика безопасности содержит 3 параметра: Пороговое значение блокировки (количество неудачных попыток входов в систему, после которых учетная запись блокируется. Значение от 0 до 999, если значение равно 0, учетные записи никогда не блокируются); Блокировка учетной записи на (задает период времени, по истечении которого учетная запись будет разблокирована автоматически. Значения измеряются в минутах и берутся из диапазона от 0 до 99999. Если выбран 0, то учетную запись может разблокировать только администратор); сброс счетчика блокировки через (задает количество минут, которое должно пройти после последней неудачной попытки входа в систему, чтобы счетчик блокировки был сброшен до 0. Значения берутся из диапазона от 1 до 55555, причем значение должно быть меньше Порогового значения блокировки).

В сети необходимо отслеживать события, связанные с учетными записями, для этого необходимо сконфигурировать политики аудита. Политик аудита также содержат три параметра, связанных с учетными записями: Аудит событий входа в систему (регистрирует все события, связанные с аутентификацией на контроллере домена); Аудит управления учетными записями (включает запись событий, связанных с созданием, удалением и изменением групп, учетных записей пользователей и компьютеров и событий смены пароля); Аудит входа в систему (генерируется на локальных компьютерах для локальных учетных записей).

Вход в систему под учетной записью отличается от общего входа. При входе пользователя на рабочую станцию с реквизитами доменной учетной записи эта станция регистрирует событие входа, а контроллер домена - событие входа учетной записи. Когда пользователь подключается к общей папке на сетевом сервере, тот регистрирует событие схода, а контроллер домена - событие входа учетной записи. Просматривать данные аудита можно в журналах безопасности с помощью утилиты Просмотр событий. События входа в систему учетных записей необходимо проверять на всех контроллерах домена, а событие входа в систему необходимо проверять на всех компьютерах.

3. Управление учетными записями групп и компьютеров

В активном каталоге есть контейнеры, которые содержат учетные записи пользователей и компьютеров - группы. Существуют два типа групп:

1. группы безопасности (используются для назначения прав доступа к ресурсам);

2. группы распространения (используются для рассылки электронной почты).

Группы безопасности могут использоваться в качестве групп распространения, но не наоборот. По областям действия различают три вида групп:

1. локальные доменные;

2. глобальные;

3. универсальные.

Локальная доменная группа может объединять учетные записи пользователей и компьютеров из разных доменов, и используется для назначения прав доступа к ресурсам в том домене, в котором создана группа. Глобальная группа объединяет учетные записи пользователей и компьютеров домена, в котором создана группа, и используется для назначения прав на ресурсы, находящиеся в других доменах. Универсальная группа может содержать учетные записи из разных доменов и предоставлять права доступа к ресурсам разных доменов. Универсальные группы доступны, если домен работает в режиме Windows 2000 или в режиме Windows Server 2003. локальная доменная и глобальная группы существуют во всех режимах работы домена (смешанном, промежуточном и основном). Глобальные группы могут быть членами локальных групп и содержать в себе другие глобальные группы, локальные доменные и универсальные группы. Локальные доменные группы могут содержать в себе локальные доменные группы из того же домена. Универсальные группы могут содержать в себе другие универсальные группы, глобальные группы и локальные доменные. Также существуют локальные группы. Они используются для совместимости с доменной на базе Windows NT и не используются на контроллерах домена. Область действия группы также называется ее скопом. Локальные доменные и глобальные группы можно преобразовать в универсальные, если первоначально группы не входили в состав других групп с той же областью действия.

Также в Windows Server 2003 существует ряд специальных групп. Они не отображаются в Active Directory - пользователи и компьютеры, их нельзя удалить или изменить их состав, но для них можно задавать разрешение на доступ к ресурсам. В эти группы попадают пользователи и компьютеры в зависимости от способа входа в сеть. Примеры таких групп: Все, Сеть, Анонимный вход, Прошедшие проверку, Удаленный доступ и пр. Создавать группы и изменять их состав можно в консоли Active Directory - пользователи и компьютеры и с помощью утилит семейства DS командной строки.

Поскольку группы могут быть вложенными друг в друга, иногда бывает сложно сказать, к каким именно группам принадлежит тот или иной пользователь (информации на вкладке Член групп свойства пользователя недостаточно, т.к. специальные группы там не отображаются). Для решения этой проблемы необходимо использовать команду dsget. Изменять состав групп можно, добавляя или удаляя из них учетные записи групп, компьютеров и других пользователей.

Если необходимо создать множество групп (любых других объектов безопасности) одновременно, можно использовать команду dsadd в пакетном режиме или утилиту LDIFDE.exe. Утилита LDIFDE реализует процедуру обмена данными с активным каталогом по протоколу LDAP. Подробную справку о ключах данной команды можно найти в справочной системе Windows, а список ключей можно получить, выполнив команду ldifde /? ключ/? можно использовать для получения справки о параметрах любой команды командной строки.

Создавать учетные записи компьютеров можно также, как и учетные записи пользователей. Учетная запись компьютера также содержит имя, пароль и SID (идентификатор безопасности). Помимо прочего, для создания учетных записей компьютеров можно воспользоваться командой netdom. В любом случае необходимо быть членом группы Администраторы или Операторы учета на контроллере домена. Для того, чтобы компьютер стал членом домена, недостаточно просто создать для него учетную запись в AD, компьютер необходимо присоединить к домену. Для этого, щелкнув правой кнопкой по значку Мой компьютер, необходимо выбрать свойства системы и на вкладке Имя компьютера необходимо выбрать одноименный параметр и ввести полное DNS-имя домена. Если клиентскому компьютеру удастся связаться с DNS-серверу и найти работающий контроллер домена, то появится приглашение о присоединении с просьбой ввести имя пользователя и пароль, у которого есть привилегии пристыковывать компьютеры к домену. Если в домене учетная запись для присоединяемого компьютера была создана заранее, то она будет использоваться и в дальнейшем. Если же запись для нового компьютера не была создана, она будет создана автоматически в контейнере Computers. Нужно помнить, что к контейнеру Computers нельзя привязывать групповые политики, поэтому учетные записи компьютеров необходимо перемещать из этого компьютера в другие. Также для присоединения компьютера к домену можно использовать команду netdom join. Присоединять компьютер к домену могут члены любой группы, которым это прямо разрешено (соответствующее разрешение можно настроить при создании учетной записи компьютера). Перемещать объект компьютера внутри каталога без ограничений могут члены группы Администраторы, а члены группы Операторы учета могут перемещать объекты компьютеров везде, за исключением организационного подразделения Domain Controllers.

Учетная запись компьютера имеет некоторые свойства, которые не настраиваются при ее создании (например, информация об операционной системе). Эти свойства становятся доступными после присоединения компьютера к домену. Для поиска объектов в AD (в том числе учетных записей компьютеров) удобно использовать вкладку Поиск консоли Active Directory - пользователи и компьютеры. Причем в случае записи учетных записей компьютеров к найденным объектам можно подключиться прямо из консоли управлять некоторыми их свойствами (например, просматривать журналы безопасности и редактировать локальные учетные записи пользователей и групп). Неполадки с учетными записей компьютеров возникают крайне редко. Признаками таких неполадок являются: невозможность связаться с контроллером домена при старте системы из-за отсутствия учетной записи компьютера; сообщение об ошибках в журнале событий или возможное предположение системы об ошибке паролей. Устранить все эти неполадки можно, действуя в следующем порядке: если учетная запись компьютера есть в AD, то ее нужно переустановить; если записи нет - ее нужно создать; если проблемный компьютер является членом домена, его нужно сделать членом рабочей группы, а потом снова присоединить к домену. Применять правила можно в произвольном порядке, кроме последнего (присоединять компьютер к домену нужно всегда в последнюю очередь).

Удалять, отключать и переустанавливать учетные записи компьютеров можно с помощью команд семейства DS, netdom и в консоли Active Directory - пользователи и компьютеры (как и любые другие объекты). При отключении учетная запись остается членом групп (настроенные разрешения и политики сохраняют свое действие). При удалении учетной записи компьютера (или учетной записи пользователя) все настроенные разрешения перестают действовать, поэтому при создании учетной записи с таким же именем вновь придется восстанавливать ее членство в группах заново.

4. Файлы и папки. Управление данными

Традиционно создать общую папку на локальном компьютере можно, используя Проводник. Для создания общей папки на удаленном компьютере необходимо использовать оснастку Общие папки. В Windows Server 2003 существуют стандартные общие папки: корень каждого жесткого диска и системный каталог. Они не отображаются в обозревателе, но к ним всегда можно обратиться по UNC-пути, дополнив его значком $. Подключаться к таким папкам могут только администраторы.

К общим папкам, созданным с помощью консоли Общие папки, может подключаться любой пользователь в зависимости от настроенных разрешений. С помощью указанной консоли также можно управлять свойствами общих папок: количеством одновременных подключений, сетевым именем, доступностью файлов в автономном режиме, разрешением для общего ресурса, разрешениями NTFS и пр. Также можно опубликовать общий ресурс в AD (после этого папку можно будет искать в AD, как и любой объект).

Разрешений доступа к общим ресурсам три:

1. Чтение (пользователь может просматривать список папок, содержимое и атрибуты файлов, просматривать подпапки внутри родительской папки и запускать программы внутри папки);

2. Изменение (пользователь может создавать файлы, папки, редактировать их, изменять атрибуты файлов, удалять файлы и папки внутри родительской папки и выполнять все действия, установленные разрешением Чтение);

3. Полный доступ (в дополнение к правам разрешения Изменение пользователи могут изменять разрешение файлов и становиться их владельцами).

Для конкретного пользователя разрешения доступа к общему ресурсу определяются прямой суммой разрешений, назначенных его учетных записей, и всем группам, членом которых он является. Причем, явный запрет приоритетнее явного разрешения.

Система разрешений доступа к общему ресурсу недостаточно гибкая и надежная. Поэтому данные, к которым необходимо предоставить общий доступ, рекомендуется размещать на томах NTFS, т.к. эта файловая система предоставляет собственные инструменты для защиты файлов и папок. С помощью разрешений NTFS можно ужесточить доступ к общему ресурсу.

С помощью оснастки Общая папка можно управлять сеансами сетевых пользователей, подключившихся к общим ресурсам, и открытыми файлами.

Удаленных пользователей можно известить об отключении от общего ресурса, а потом отключить их. При этом нужно помнить, что если удаленные пользователи были подключены к общему ресурсу с использованием сервера терминалов, подключение будет тут же восстановлено. Поэтому для действительного отключения пользователя необходимо сначала изменить разрешения на данный общий ресурс (и разрешения общего доступа и NTFS-разрешений) и только потом разорвать сеанс пользователя.

Разрешения NTFS настраиваются на вкладке Безопасность свойств общего ресурса. Если общий ресурс расположен на томе NTFS, а вкладка Безопасность не отображается, то необходимо снять флажок напротив параметра Использовать простой общий доступ в консоли Свойства папки в Панели управления. На вкладке Безопасность формируется ACL для общего ресурса. После авторизации пользователя в системе для учетной записи последнего создается Маркер доступа. В дальнейшем Маркеры доступа сравниваются с ACL-объектов и пользователь получает те или иные права на доступ. Добавлять, удалять и изменять разрешения можно для любых участников безопасности (в т.ч. для компьютеров независимо от пользователей и в зависимости от входа пользователя в сеть). Для этого достаточно проставить галочки разрешения или запрета того или иного права на вкладке Безопасность.

Разрешения на вкладке Безопасность в первом окне упорядочены по шаблону, а во втором перечислены в списке. Шаблоны - это совокупность разрешений из списка.

В Windows Server 2003 поддерживается система наследования разрешений, которые означают, что разрешения, назначенные родительской папке, наследуются всеми ее дочерними объектами. Унаследованные разрешения отображаются в виде серых флажков. Разрешения, назначенные явно, помечаются черными флажками. При желании этот порядок можно изменить: унаследованные разрешения можно прямо заменить явными или полностью отменить наследование для папки, сняв соответствующий флажок. При этом унаследованные разрешения можно скопировать (они просто станут явными) или удалить (ACL дочерних объектов не будет содержать разрешений, назначенных родительской папке).

Восстановить наследование можно либо со стороны дочернего ресурса (сохранятся явно назначенные разрешения для дочернего ресурса и скопируются разрешения родительской папки), либо со стороны родительской папки (явные разрешения, назначенные дочерним ресурсом, будут удалены и скопируются разрешения родительской папки).

Для того, чтобы определить список разрешений для каждого конкретного участника безопасности можно воспользоваться вкладкой Действующие разрешения. Действующие разрешения определяются по следующим правилам: разрешения файлов приоритетнее разрешений папок; разрешения, позволяющие доступ, суммируются; разрешения, запрещающие доступ, приоритетнее позволяющих; явные разрешения приоритетнее унаследованных.

По умолчанию разрешения для файлов и папок могут изменять Администраторы и создатели объектов (члены группы Создатель-Владелец). Создатели объектов всегда получают доступа к ACL-объекта, поэтому если необходимо запретить создателю доступ к объекту, администратору необходимо перехватить владение и только потом ограничить доступ пользователя, создавшего объект. Также становиться владельцами объектов могут пользователи или группы, если им предоставлено разрешение NTFS Смена владельца (администраторы могут передавать право владения, привилегия Восстановление файлов и каталогов включает возможность перехвата владения объектом).

Общие ресурсы можно организовать не только в виде общих папок, но и с помощью технологий FTP и Web. Для управления этими объектами в Windows Server 2003 предусмотрена служба IIS 6.0. Эта служба не устанавливается по умолчанию. При установке IIS создается стандартный Web-узел и становится доступной консоль Диспетчер служб IIS. Данная служба представляет собой все необходимое для организации собственного Web или FTP-сервера. Для создания собственных Web и FTP-узлов необходимо использовать специальные мастера, доступные в консоли Диспетчер служб IIS, позволяющие настроить имена узлов, их размещение, порты, страницы по умолчанию и пр. также с помощью Диспетчера службы IIS можно создавать виртуальные каталоги. Также IIS 6.0 имеет систему защиты файлов, состоящую из проверки подлинности, использования NTFS-разрешений и использования IIS-разрешения. Средствами Web подлинность проверяется в следующих вариантах: анонимная проверка (пользователи не вводят реквизитов), обычная проверка (используются реквизиты учетной записи пользователя, передаваемые открытым текстом), краткая проверка (данные пользователя шифруются), расширенная краткая проверка (взаимодействует с AD, а в остальном - то, что краткая), встроенная проверка Windows (имя пользователя и пароль хэшируются перед передачей по сети), проверка по сертификату (использует SSL, возможна если на компьютере установлены и настроены Службы сертификации), проверка в системе .NET Passport (использует SSL на основе учетных записей .NET Passport и предоставляет множество средств защиты). При использовании FTP доступны анонимная и обычная проверки подлинности.

На ресурсы IIS можно назначать собственные разрешения, распространяющиеся на все пользователи и группы: Чтение, Запись, Доступ к тексту сценария, Обзор каталогов. Также можно настраивать разрешения на выполнение сценариев и приложений: Нет, Только сценарии, Сценарии и исполняемые файлы. На вкладке Дополнительные параметры безопасности свойств общего ресурса можно настроить параметры аудита ресурса. Параметры аудита также наследуются. Аудиту подлежат успешные и неудачные попытки доступа учетной записи пользователя или компьютера к ресурсу с использованием каждого из назначенных разрешений. Аудит необходимо включить через политику безопасности и только потом настроить его параметры через свойства общего объекта. Анализировать события в журналах аудита можно с помощью оснастки Просмотр событий. События доступа к объектам регистрируются в журнале Безопасность.

5. Архивация данных

Для быстрого восстановления системы после сбоя необходимо иметь резервные копии системных, настроечных и пользовательских файлов. В состав Windows Server 2003 входит программа Ntbackup, позволяющая вручную или автоматически выполнять архивацию данных. Также можно настроить расписание для задач архивации. Во-первых, необходимо выбрать файлы для архивации (отметить галочками в окне Проводника), потом выбрать носитель архива (файл на жестком диске, магнитная лента или диск Iomega Jaz). Нельзя создавать архивы на DVD и CD. Можно создать файл архива (.bkf) на жестком диске, а потом переписать его на CD. Также носитель архива должен быть непосредственно подключен к системе, поэтому нельзя использовать удаленные магнитные ленты и жесткие диски. Далее необходимо выбрать тип архива. Тип архива определяется взаимодействием с атрибутом Архивный, который есть у каждого файла. В зависимости от типа архива этот флаг либо сбрасывается, либо нет, но, как правило, записываются в архив только те файлы, у которых установлен атрибут архивирования.

Типы архивации: обычная (архивируются все выбранные объекты, атрибут Архивный не учитывается и сбрасывается, занимает много времени и много места на диске, обеспечивает самое быстрое восстановление системы, любая стратегия архивации должна начинаться с обычной архивации), добавочная (учитывается атрибут Архивный, в конце он сбрасывается, самая быстрая, архив наименьшего размера), разностная (учитывается атрибут Архивный, в конце он не сбрасывается, копируются все файлы, созданные или измененные с момента последней обычной или добавочной архивации), копирующая (атрибут Архивный не учитывается, архивируются все выбранные объекты, используется для перемещения данных между системами), ежедневная (атрибут Архивный не используется и не сбрасывается, копируются все папки и файлы в течение дня). При выборе стратегии архивации рекомендуется совмещать обычную архивацию с разностной или добавочной (в воскресенье - обычная архивация, в остальные дни недели - разностная и добавочная). Совмещая обычную и разностную архивацию при сбое нужно восстановить сначала последний обычный, а потом последний разностный архив. При совмещении обычной архивации с добавочной необходимо сначала восстановить последний обычный, а потом последовательно все добавочные архивы с момента обычной архивации. Первый вариант занимает больше времени и ресурсов на создание архивов, но позволяет быстрее восстановить систему, второй вариант - наоборот.

Для восстановления данных в программе Ntbackup достаточно выбрать файлы и папки из нужного архива и вариант размещения восстановления: Исходные (данные восстановятся в ту папку, из которой они были заархивированы); альтернативная (данные восстановятся в указанную пользователем папку, структура папок сохраняется); одна папка (данные восстанавливаются в указанную пользователем папку, структура не сохраняется).

Также можно задать параметры восстановления: Не заменять файл на компьютере; Заменять файл на компьютере, только если он старее; Всегда заменять файл на компьютере.

Также перед началом архивации программа Ntbackup может оценить размер файлов, которые надо заархивировать или восстановить, проверять данные после завершения архивации и пр.

Ошибки при архивации регистрируются в специальных журналах, которые можно просмотреть на одноименной вкладке окна программы Ntbackup. Система хранит 10 файлов журналов, соответствующих 10 последним заданиям архивации.

При архивировании можно исключать файлы из архива в зависимости от их типа, владельца или пути к файлу. По умолчанию открытые файлы не архивируются. Для выполнения задач архивации необходимо быть членом группы Администраторы, Операторы архива или иметь явное разрешение на архивацию и восстановление данных. При планировании задач архивации по расписанию необходимо помнить, что данные учетных записей, от имени которых выполняется архивация, могут меняться (например, может истечь срок действия пароля), что может вызывать проблемы и невыполнение архивирования. Все задачи архивации можно также выполнять с помощью утилиты программы Ntbackup.

В Windows Server 2003 есть еще одно средство восстановления данных - Теневые копии тома. Теневые копии включаются в оснастке Управление дисками. Для них можно настроить расписание, место хранения и максимальный размер дискового пространства, используемый под копией. Теневые копии позволяют получить доступ к предыдущим версиям файлов, которые сервер кэширует по заданному расписанию. Это позволяет восстановить случайно удаленный файл, восстановить случайно перезаписанный файл, сравнивать версии файлов во время работы. Если теневые копии включены, то открытые файлы будут архивироваться и при обычных задачах архивации. Восстанавливать предыдущие версии файлов можно на вкладке Предыдущие версии окна свойств папки или файла. Если файл удален, то необходимо выбирать окно свойств родительской папки и восстанавливать файл оттуда.

6. Управление принтерами

Существуют два типа принтеров: локальные (подключенные к какому-либо порту сервера печати) и сетевые (подключенные к сети, а не к физическому порту). Оба типа принтеров представлены в операционной системы как логические принтеры (содержит драйвера, параметры принтера, параметры печати и прочие свойства).

Можно по разному управлять сетевыми принтерами: установить логические принтеры на каждом сетевом узле и связать их напрямую с сетевым принтером, и централизованно - установить логический принтер на сервере печати с подключенным физическим принтером, а на сетевых узлах установить клиенты печати, подключенные к логическому принтеру сервера. Второй способ выгоднее, т.к. используется одна очередь печати, все контролируют состояние принтера, выполнять административные задачи проще.

В Windows Server 2003 для установки принтера можно использовать Мастер установки принтеров из окна Принтеры и факсы. При этом необходимо указать тип принтера, выбрать для него порт (или создать новый), установить драйвер принтера, а для сетевого принтера указать еще UNC-имя.

В случае если в сети есть клиенты под управлением различных операционных систем, то вполне возможно, что для каждой из них необходим собственный драйвер принтера. Для удобства клиентов драйверы принтера для различных ОС можно установить на сервере печати. При этом клиенты смогут получить их автоматически.

Для того, чтобы настроить логический принтер на клиенте, можно также использовать Мастер установки принтеров со включенной опцией Сетевой принтер подключенный к другому компьютеру. В случае если сетевой принтер опубликован в качестве общего ресурса в AD, то для подключения клиента достаточно найти этот принтер в каталоге, а потом запустить Мастер установки принтеров.

В случае если принтер является общим, можно настроить разрешения на его использование для учетных записей пользователей и групп (по аналогии с общими папками и файлами). Для этого в свойствах принтера необходимо выбрать вкладку Безопасность. ACL-принтера может содержать 3 разрешения:

· Печать (позволяет пользователям отправлять документы на принтер);

· Управление принтерами (позволяет пользователям изменять параметры и конфигурацию принтера, включая разрешения и права разрешения Управление документами);

· Управление документами (позволяет управлять заданиями для печати и очередью принтера и права разрешения Печать).

Есть специальные группы безопасности Операторы печати. Членам этой группы по умолчанию назначается разрешение управлениями принтерами.

При необходимости можно настроить расписание работы принтера. В случае если заданы часы работы принтера, пользователи с соответствующими разрешениями смогут направлять на принтер задания в любое время, но распечатываться они будут строго в соответствии с графиком.

В больших сетях целесообразно использовать несколько принтеров, объединенных в пул - один логический принтер, обслуживающий несколько физических. В этом случае задание из очереди печати логического принтера направляются на первое свободное физическое устройство. Пул принтеров настраивается на вкладке Порты свойств логического принтера. Желательно объединять в пулы принтеры одной марки и модели, т.к. драйвер, используемый пулом, должен подходить для всех физических устройств.

Иногда удобно использовать конфигурацию, обратную пулу - использовать несколько логических принтеров, подключенных к одному физическому. Это целесообразно делать если в сети мало принтеров, а пользователи печатают различные типы документов в большом количестве. Тогда для каждого из выбранных логических принтеров можно задать приоритет (число от 1 до 99). Чем выше приоритет принтера, тем раньше выполнятся задачи из его очереди.

В случае если сервер печати управляется Windows Server 2003, при добавлении на него нового логического принтера, последний автоматически публикуется в AD. Все логические принтеры опрашиваются каждые восемь часов. Если подключиться не удается к ним два раза подряд, объект принтеров удаляется из активного каталога.

В Windows Server 2003 реализован протокол IPP, с помощью которого можно осуществлять печать через Интернет и настраивать свойства принтера с помощью любого браузера. Для того, чтобы эти функции были включены, на сервере необходимо установить службы IIS. После установки для принтеров будет создан специальный виртуальный каталог, к которому можно обращаться с помощью браузера. Введя в поле Адрес следующее http://<имя_сервера_печати>/printers.

Если один из принтеров сломался можно перенаправить задания из его очереди на другой принтер. Для этого в свойствах логического принтера (связанного с неисправным физическим устройством) необходимо выбрать другой порт (обслуживаемый исправным устройством). Вообще, для мониторинга принтеров можно использовать оснастку Системный монитор и Журналы и оповещение производительности. Наиболее важные счетчики таковы: Печатаемых байт в секунду (низкие значения говорят о неравномерности нагрузки на принтеры), Ошибок заданий (большие показания свидетельствуют о неправильной конфигурации порта), Всего напечатано страниц (накопительный счетчик, полезен для контроля за состоянием картриджа). Также события очереди печати можно просматривать с помощью консоли Просмотр событий. По умолчанию регистрируются события, связанные с создание, удалением и изменением свойств принтера. Как и для общих папок и файлов для принтеров можно настроить аудит, с помощью которого в журналы будут записываться события успешных и неудачных попыток использования стандартных разрешений, используемых участниками безопасности. Для этого необходимо средствами групповой политики включить Аудит доступа к объектам, а в свойствах логического принтера выбрать тип регистрируемых событий.

Неполадки печати устраняются следующим образом: определить область сбоя (если клиент не может печатать из одного приложения, но может из других, значит неправильно работает приложение, а не принтер; если пользователь может печатать с помощью других принтеров, то неправильно установлен логический принтер; если пользователь вообще не может отправлять задания на печать, а другие пользователи не испытывают проблем, значит виноват компьютер пользователя); проверить доступность сервера печати; проверить исправность принтера; проверить IP-конфигурацию принтера и проверить запущены ли Службы сервера печати.

7. Обслуживание операционной системы

С точки зрения безопасности очень важно вовремя устанавливать обновления и исправления для операционной системы. Последние 10 лет корпорация Windows поддерживает глобальный источник обновлений систему серверов Windows Update, позволяющую через Интернет устанавливать критические обновления на компьютере пользователя. Последние усовершенствования этого - Службы обновления ПО (SUS), содержащие следующие компоненты:

· службы, запущенные на сервер IIS (синхронизирует внутренний сервер с Интернет серверами Windows Update);

· Web-узел управления SUS (интерфейс управления автоматическими обновлениями);

· служба Автоматическое обновление (загрузка и распространение обновлений в сети);

· параметры групповой политики.

Службы SUS не устанавливаются автоматически и не входят в комплект поставки Windows Server 2003, но их можно бесплатно загрузить по адресу http://go.microsoft.com/fwlink/?LinkID=6930. Для функционирования SUS необходимы службы IIS. После установки SUS может управлять только локальный администратор. Для вызова интерфейса управления SUS-сервером в поле Адрес браузера необходимо ввести http://<имя_сервера_SUS>/SUSAdmin . На Web-узле SUS можно настраивать параметры, синхронизировать и утверждать содержимое. Для корректной работы SUS-сервера необходимо указать его полноеDNS-имя, параметры proxy-сервера (если он используется в сети), место хранения файлов обновлений и источник синхронизации (SUS-сервер может синхронизироваться либо с Интернет серверами Windows Update непосредственно, либо с другими SUS-серверами во внутренней сети. Синхронизацию можно осуществлять вручную или по расписанию (если компьютер выключен в момент, когда должна произойти установка обновлений, она будет перенесена на следующий период. Если в такие периоды компьютер выключен постоянно, установка никогда не выполнится).

Для распространения обновлений на клиентские компьютеры одной успешной синхронизации не достаточно. По сети распространяются только те обновления, которые были явно одобрены администратором на Web-странице управления SUS. Начиная с Windows 2000 SP3, Клиент службы Автоматическое обновление входит в состав системы. Для более ранних версий Windows Клиент можно скачать с того же адреса, что и SUS-сервер.

В случае если на клиентском компьютере включено автоматическое обновление, можно настроить компьютер на синхронизацию компьютера с внутренним SUS-сервером компании. Автоматическое обновление поддерживает два режима загрузки: Автоматический и С уведомлением. В первом случае обновления загружаются независимо от пользователя, а во втором случае обновления не загружаются до тех пор, пока администратор компьютера не загрузит их лично. После загрузки обновлений их необходимо установить. Режимы установки совпадают по названию и смыслу с режимами загрузки с той лишь разницей, что после установки обновлений возможно потребуется перезагрузка компьютера. Если выбран режим установки с уведомлением, то пользователь сможет отложить перезагрузку. В автоматическом режиме перезагрузку компьютера сможет отложить только администратор, а обычному пользователю дается 5 минут до перезагрузки, чтобы успеть сохранить сделанную работу.

Также настраивать службу Автоматическое обновление можно с помощью групповой политики. Для этого в редакторе групповой политики необходимо раскрыть узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Update. Для базовой настройки можно применять шаблон, находящийся в файле по адресу %WinDir%\Inf\waua.inf .

По умолчанию клиенты службы Автоматическое обновление опрашивают назначенный SUS-сервер на предмет новых обновлений каждые 22 часа минус случайные смещения.

Для наблюдения за работой SUS служит страница Monitor Server на Web-узле управления SUS. Там содержатся журналы синхронизации, журналы информации об утвержденных пакетах обновлений и журналы взаимодействия клиента и сервера SUS. Системное событие SUS регистрируется в журнале Система из консоли Просмотр событий.