-
В этой главе мы рассмотрим стандартные задачи, которые администратор может выполнять в системе: конфигурирование учетных записей, настройка рабочей среды пользователя, аудит системных событий, планирование автоматического запуска задач и т. д.
-
По требованиям безопасности локальные учетные записи системы должны защищаться паролями, что уменьшает вероятность того, что посторонний пользователь получит доступ к компьютеру. Однако в этом случае пользователи системы сами рискуют потерять доступ к системе, если забудут свой пароль.
-
Как правило, большинство системных инструментов требует наличия у запускающего их пользователя административных привилегий. Таким образом, чтобы иметь возможность выполнения операций по управлению системой, администратор должен зарегистрироваться в системе под учетной записью, обладающей соответствующими правами.
-
Администратор может запускать утилиты и оснастки любым способом – из главного меню, с рабочего стола, из программы Windows Explorer. При этом механизм административных утилит не требует, чтобы утилита запускалась на контроллере домена.
-
При-помощи команды RunAs можно запускать из командной строки любые исполняемые файлы (имеющие расширение .exe, .com, .cmd, .bat, .msc), ярлыки (lnk), а также элементы панели управления (cpl). | Существуют приложения и элементы, с которыми команда RunAs не может быть использована.
-
…
-
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.
-
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.
-
Для создания учетных записей пользователей: | В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).
-
Для создания локальной группы: | В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).
-
Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
-
В предыдущих серверных версиях Windows для удаленного управления сервером администратор должен был использовать службы терминалов. Минусом подобного решения являлась необходимость развертывания службы терминалов даже в том случае, когда администратору требовалось только одно удаленное подключение с целью выполнения рутинных административных задач.
-
Для управления режимом удаленного доступа (не путайте его с удаленным доступом через коммутируемое подключение!) используется вкладка Remote (Удаленное использование) окна свойств системы System Properties (рис. 10.9).
-
Для инициализации сеанса удаленного доступа служит утилита Remote Desktop Connection (она запускается из подменю Start › All Programs › Accessories › Communications или же при помощи команды mstsc из командной строки). Введите имя или IP-адрес удаленного компьютера и нажмите кнопку Connect (рис.
-
Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера введите http://<имя_cepвepa>/TSWeb, где имя_сервера – DNS-имя веб-сервера (компьютера с установленными службами IIS) или его IP-адрес.
-
Средство Remote Assistance (Удаленный помощник) по сути реализовано так же, как и описанная в предыдущем разделе функция Remote Desktop. | Для использования Remote Assistance обе системы должны работать под управлением Windows ХР или Windows Server 2003.
-
В данном случае вы должны предварительно выполнить вход в систему мгновенных сообщений. Если программа Windows Messenger запущена и вход выполнен, то вы получите экран, аналогичный показанному на рис. 10.20.
-
Если вы решили воспользоваться электронной почтой, введите адрес вашего коллеги (см. рис. 10.20) и щелкните по ссылке Continue. В следующем окне программы-мастера можно ввести произвольный текст, сопровождающий запрос (например, описание вашей проблемы).
-
После того как пользователь, отправивший запрос к удаленному помощнику, подтвердил свой запрос, у помощника (в диалоговых окнах он называется Expert) открывается окно Remote Assistance, в котором он может видеть экран собеседника и вести с ним обмен сообщениями (рис. 10.22).
-
Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.
-
На изолированном компьютере с Windows Server 2003 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя.
-
Настройки, хранящиеся в профиле пользователя | Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 10.3). | Таблица 10.3. Настройки профиля пользователя. | Объект
-
Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папки All Users, LocalService и NetworkService находятся в папке Documents and Settings корневого каталога на загрузочном томе.
-
Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. | Платформы Windows NT поддерживают два типа программных групп. | Общие программные группы.
-
Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль.
-
Перемещаемый профиль по своей структуре идентичен локальному профилю, за исключением того, что в нем отсутствует папка Local Settings. Перемещаемый профиль определяется на уровне доменной учетной записи пользователя.
-
Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем под управлением систем Windows 2000/XP или Windows Server 2003; подобным образом сценарии могут выполняться при выходе из системы.
-
Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows Server 2003 и прикладные программы требуют определенной информации, называемой переменными среды (environment variables) системы и пользователя.
-
Сервер сценариев Windows (Windows Script Host, WSH) не зависит от языка сценария и устанавливается в системах Windows 98/ME, Windows 2000/XP и Windows Server 2003 как стандартное средство. Также его можно установить в системах Windows 95 и Windows NT 4.0.
-
Для запуска сервера сценариев из командной строки используйте утилиту Cscript.exe в соответствии со следующим синтаксисом: | cscript имя_сценария [параметры_сервера_сценариев] [параметры_сценария] | Где: | имя_сценария – это имя файла сценария с расширением, например, Chart.vbs;
-
Сценарий в среде Windows можно запустить тремя способами. | Дважды щелкните на файле сценария или на соответствующем значке в окне My Computer (Мой компьютер), в окне программы Windows Explorer или в окне результатов команды Search (Поиск).
-
С помощью страницы свойств модуля Wscript.exe можно установить глобальные параметры, касающиеся сразу всех сценариев, выполняемых на локальной машине. Однако также можно настроить индивидуальные параметры отдельно взятого сценария, позволяющие осуществлять жесткий контроль его выполнения.
-
Аудит – это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления.
-
Процедура активизации аудита одинакова для любых систем. На контроллерах домена нужно пользоваться оснасткой Domain Controller Security Policy. | Для активизации аудита на изолированном компьютере: | Запустите оснастку Local Security Settings.
-
Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок, проделайте следующие действия. | В окне программы Windows Explorer установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку.
-
Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять.
-
В дополнение к командам AT системы Windows XP и Windows Server 2003 располагают новым средством – планировщиком заданий (Task Scheduler).
-
Системы Windows Server 2003 содержат множество утилит командной строки: одни из них выполняют те же действия, что и различные административные оснастки, только позволяют работать в окне консоли или создавать командные файлы, автоматизирующие типовые операции;
-
На дистрибутивных Дисках систем Windows Server 2003 имеется пакет чрезвычайно полезных утилит, которые в значительной мере облегчают поиск неисправностей в сетях и доменах на базе Windows 2000 Server и Windows Server 2003.
-
Использующийся в доменах Active Directory протокол Kerberos включает в аутентификаторы специальные временные метки, чтобы исключить возможность их перехвата. Эта мера имеет одно важное последствие. Чтобы механизм аутентификации успешно работал, необходимо, чтобы системные часы всех компьютеров находились в синхронизированном состоянии.