Можно также одновременно менять некоторые свойства у нескольких учетных записей. Для этого надо выделить нужные учетные записи и выбрать их свойства.

Перейдем к понятию Групп. Группы — это контейнеры, которые содержат объекты пользователей и компьютеров. Если в разрешениях к доступу к файлам и папкам заданы группы, то эти права распространяются на всех членов этой группы. Чтобы создать группу, выберите контейнер, щелкните правой кнопкой мыши и выберите пункт Создать\Группа (New\Group). Затем вы сможете задать тип и область действия создаваемой группы.

Группы бывают двух типов: группы безопасности и группы распространения. Группы безопасности (security groups) используются для назначения доступа к сетевым ресурсам, в то время как группы распространения (distribution groups) применяются для объединения пользователей в списки рассылки электронной почты. Как Вы наверняка догадались, нам необходимо создавать группы именно первого типа.

Область действия группы определяет, каким образом ее составу назначаются разрешения в доступе. Здесь Вам следует выбрать одну из трех областей:

• Локальная доменная (Domain local) — используется для назначения группам разрешений на доступ к локальным ресурсам домена.

• Глобальная (Global) — эти группы часто применяются для объединения пользователей или компьютеров в одном домене и совместного исполнения одной и той же работы, какой-либо роли или функции.

• Универсальная (Universal) — из такой области применяют преимущественно для предоставления доступа к ресурсам во всех доверенных доменах.

В основном Вам необходимо будет использовать группы с областью действия Domain local.

• Сетевые ресурсы

Для создания сетевого ресурса на сервере необходимо:

6. Определится с расположением ресурса, и создать папку.

7. Отдать ресурс в общий доступ (рис. 7).

8. Дать разрешение на ресурс определенным группам и пользователям (рис. 8).

рис.7 рис.8

Ход работы. Часть вторая «Задание»:

В ходе работы необходимо изучить теоретические сведенья, связанные с администрированием пользователей, а также проделать практические задания и ответить на контрольные вопросы, описанные ниже.

1. Создать подразделение «enterprise»:

2. Создать следующие группы в данном подразделении:

§ workers,

§ teachers,

§ students.

3. Создать пользователей user_[номер варианта]_ N, где N =1, 2,.., 5.

Пользователей с N равным 1 и 2 добавить в группу workers.

Пользователей с N равным 3, 4 и 5 добавить в группу students.

4. Создать пользователя teacher_[номер варианта].

Имя учетной записи должна содержать Ваше ФИО.

Пользователя добавить в группу teachers.

5. Для всех пользователей user_[номер варианта]_ N задайте пароли «password». Для пользователя teacher_[номер варианта]

6. Создать директорию labs в корневом каталоге. В нем создать каталоги library и tests

7. Создать файлы book_[фамилия студента] и поместить их в library

8. Дать право на изменение файла только пользователю teacher_[номер варианта], а

на чтение пользователям группы workers.

9. Настроить права доступа к каталогу library и tests, таким образом, чтобы пользователи группы teachers могли изменять и создавать там файлы, а пользователи группы students имели доступ на чтение и при входе в домен автоматически подключались эти директории как диски «L» и «T» соответственно.

10. Проверьте всю проделанную работу, войдя под всеми созданными Вами пользователями из клиентской ОC в домен «MYDOMAINE».

Вывод. В результате проделанной лабораторной работы Вы должны были приобрести базовые навыки управления доступом к сетевым ресурсам, а также добавления новых пользователей (групп) в сеть.

Контрольные вопросы:

1. Что такое профиль пользователя?

2. Для чего нужны группы пользователей?

3. Почему при создании нового пользователя возникала ошибка при использовании пароля «password»?

4. Какие действия необходимо выполнить для создания нового пользователя?

5. Каким образом автоматизировать подключение сетевого диска?

Лабораторная работа №7-8

Настройка доступа к сети Интернет из локальной сети.

Цель работы: Рассмотреть различные варианты подключения к сети Интернет локальной сети, использую различные программные средства.

Дано: Имеется локальная сеть (Workstantion 1 – Workstantion 2) представленная на рисунке. На компьютере (шлюзе), через который планируется подключение локальной сети к Internet необходимо наличие двух сетевых адаптеров (подключений).

Задание: Необходимо обеспечить доступ к сети Интернет со всех рабочих станций.

Имеются три основных варианта подключения локальной сети к Интернет:

1. «прямое» IP-подключение,

2. подключение через NAT,

3. подключение через прокси-сервер.

Рассмотрим преимущества, недостатки и область применения каждого метода, а также некоторые возникающие нюансы. Выбор конкретного способа подключения зависит от потребностей пользователей, цели подключения и, в некоторой степени, финансовых возможностей.

Итак, компьютер Workstantion 1. У него есть доступ, как к Интернету, так и к локальной сети. Наша задача - дать компьютерам локальной сети доступ к Интернет через подключенный к нему компьютер. Далее этот компьютер мы будем называть шлюзом или маршрутизатором.

Рассмотрение способов мы начнем с наименее часто использующегося, наиболее дорогого, но также наиболее «правильного» и естественного способа, дающего наибольшие по сравнению с другими способами возможности.

«Прямое» IP-подключение к Internet. Для того, чтобы Ваша локальная сеть была полноценно подключена к Интернету, должны соблюдаться, как минимум, три условия:

1. Каждая машина в локальной сети должна иметь " реальный", интернетовский IP-адрес;

2. Эти адреса должны быть не любыми, а выделенными Вашим провайдером для Вашей локальной сети (скорее всего, это будет подсеть класса C);

3. На компьютере-шлюзе, подключенном к двум сетям - локальной сети и сети провайдера, должна быть организована IP-маршрутизация, т.е. передача пакетов из одной сети в другую.

В этом случае Ваша локальная сеть становится как бы частью Интернета. Собственно, это тот способ подключения, которым подключены к Интернету сами Интернет-провайдеры и хостинг-провайдеры.

В отличие от обычного подключения, рассчитанного на один компьютер, при таком подключении " под клиента" выделяется не один IP-адрес, а несколько, так называемая " IP-подсеть".

При таком способе подключения Вы можете организовать в своей сети сервисы, доступные из Интернета - ведь при данном подключении не только Интернет полностью доступен из Вашей сети, но и Ваша сеть - из Интернета, т.к. является его частью.

Однако такая " прозрачность" Вашей сети резко снижает ее защищенность - ведь любые сервисы в локальной сети, даже предназначенные для " внутреннего" использования, станут доступными извне через Интернет. Чтобы это не имело места, доступ в локальную сеть извне несколько ограничивают. Обычно это делается установкой на шлюзе программы-firewall. Это своеобразный фильтр пакетов, проходящих из одной сети в другую. Путем его настройки можно запретить вход-выход из локальной сети пакетов, соответствующих определенным критериям - типу IP-пакета, IP-адресу назначения, TCP/UDP-порту и т.п.

Firewall решает такие задачи, как:

· блокировку доступа извне к определенным TCP/IP-сервисам локальной сети.

· блокировку доступа к определенным компьютерам локальной сети. Таким образом, можно запретить доступ извне ко всем машинам, кроме определенных серверов, предназначенных для доступа из Интернет.

· защиту от троянских программ на сетевом уровне.

Несмотря на универсальность такого метода подключения локальной сети к Интернет, этот метод имеет недостатки. Благодаря им, его реально и используют только лишь те организации, которым надо сделать свои сервера доступными из Интернет - в основном, те же интернет-провайдеры и хостинг-провайдеры, а также информационные службы. Самый главный недостаток заключается в дороговизне выделения IP-адресов и уж тем более IP-подсетей, к тому же эту плату надо вносить периодически.

Поэтому на практике рассмотрим другие, описанные далее способы, не требующие больших затрат и, что самое главное, позволяющие подключить локальную сеть через обычное подключение с одним внешним IP-адресом.

Подключение через NAT (IP-маскарадинг)

Технология Network Address Translation (NAT) - " трансляция сетевых адресов" позволяет нескольким машинам локальной сети иметь доступ к Интернет через одно подключение и один реальный внешний IP-адрес.

Для того, чтобы компьютера локальной сети могли устанавливать соединения с серверами сети Интернет, нужно, чтобы:

· IP-пакеты, адресованные серверу в Интернет, смогли его достигнуть;

· ответные IP-пакеты, идущие от сервера Интернет на машину в локальной сети, также смогли ее достигнуть.

С первым условием проблем не возникает, а как быть со вторым? Ведь компьютера локальной сети не имеют своего " реального" интернетовского IP-адреса! Как же они могут получать IP-пакеты из Интернет?!

А работает это следующим образом - на компьютере-шлюзе стоит программа NAT-сервера. Компьютер-шлюз прописан на машинах локальной сети как " основной шлюз", и на него поступают все пакеты, идущие в Интернет (не адресованные самой локальной сети). Перед передачей этих IP-пакетов в Интернет NAT-сервер заменяет в них IP-адрес отправителя на свой, одновременно запоминая у себя, с какой машины локальной сети пришел этот IP-пакет. Когда приходит ответный пакет (на адрес шлюза, конечно), NAT определяет, на какую машину локальной сети его надо направить. Затем в полученном пакете меняется адрес получателя на адрес нужной машины, и пакет доставляется этой машине через локальную сеть.

Как видим, работа NAT-сервера прозрачна для машин локальной сети (как и работа обычного IP-маршрутизатора). Единственным принципиальным ограничением этого метода подключения локальной сети к Internet является невозможность установить _входящее_ TCP-соединение из Интернет на машину локальной сети. Однако для " клиентских" сетей этот недостаток превращается в достоинство, резко увеличивающее (по сравнению с первым методом подключения) их защищенность и безопасность. Администраторы некоторых провайдеров даже употребляют слова NAT и Firewall как синонимы.