Администрирование в сетях с операционными системами типа Windows

Для работы в локальной сети на сервер обычно устанавливают ОС Windows NT Server, а на рабочие узлы сети – версию Windows NT – WorkStation. Как правило, большинство системных инструментов требует наличия у запускающего их пользователя административных привилегий. Чтобы иметь возможность выполнения операций по управлению системой, администратор должен зарегистрироваться в системе под учётной записью, обладающей соответствующими правами. Однако правила безопасности требуют от администратора постоянно не пользоваться в системе подобными учётными записями.

Команда RunAs позволяет администратору выполнять всю работу по управлению системой, зарегистрировавшись в ней с использованием учётной записи рядового пользователя с весьма ограниченными правами. С её помощью администратор запускает любые утилиты от имени “уполномоченного” пользователя. При этом можно задействовать учётную запись администратора, или учётную запись пользователя, обладающего необходимыми правами. Команду RunAs можно использовать для установки и проверки пользовательских разрешений на доступ к файлам или объектам Active Directory. Для задания пользователю разрешений необходимо запустить соответствующую утилиту с административными привилегиями. Одновременно можно запустить требуемое приложение в контексте полномочий рассматриваемого пользователя и проверить результирующие разрешения. Таким образом, задача будет решена и проверена без необходимости повторной регистрации в системе под разными учётными записями.

Создание учётных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003. Назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации в сети, разрешить или запретить им выполнение в сети определённого действия, например архивацию данных или завершение работы компьютера. В системах Windows XP и Windows Server 2003 имеется стандартный механизм Remote Desktop for Administration, или просто Remote Desktop, позволяющий удалённо подключаться и выполнять необходимые операции по управлению сервером. Этот механизм использует службы терминалов и поддерживает два одновременных удалённых подключения (в Windows XP – одно). Администратор может с любого рабочего места администрировать все серверы, находящиеся под управлением Windows Server 2003, подключаясь к ним удалённо. Отделение механизма удалённого администрирования от служб терминалов позволило свести к минимуму нагрузку на сервер в ситуации управления сервером с другого компьютера.

В системах Windows XP и Windows Server 2003 имеется функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получать помощь в сложных ситуациях. Для её использования обе системы должны работать под управлением Windows ХР или Windows Server 2003. При включении Remote Assistance по умолчанию разрешено и удалённое управление компьютером. При этом для управления компьютером всегда требуется дополнительное, явное разрешение со стороны “хозяина” этого компьютера во время сеанса работы удалённого помощника. Если на компьютере под управлением Windows XP или Windows Server 2003 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удалённый доступ к любой системе Windows XP или Windows Server 2003, находящейся в той же локальной сети, из веб-браузера Internet Explorer, работающего в любой ОС. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удалённой системы Windows Server 2003 на базе какого-нибудь мощного процессора, работать на ней в полноэкранном режиме. Все сессии удалённого доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам. Для управления средой пользователя предназначены средства систем Windows 2000/XP и Windows Server 2003.

Профили пользователей. В профиле пользователя хранятся все, определённые им, настройки рабочей среды системы, например, настройки экрана и соединения с сетью. Они автоматически сохраняются в папке.

Сценарий входа в систему (сценарий регистрации) представляет командный файл с расширением “bat” или “cmd”, исполняемый файл с расширением “ехе” или сценарий “VBScript”, запускающийся при каждой регистрации пользователя в системе или выходе из неё. Он может содержать команды ОС, предназначенные, например, для создания соединения с сетью или для запуска приложения. С его помощью можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии ненужно встраивать в документ HTML. Сервер сценариев позволяет применять в ОС Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым ОС Windows, был язык команд MS-DOS (командный файл). Этот быстрый и компактный язык по сравнению с языками VBScript и JScript, обладает ограниченными возможностями. Архитектура сценариев ActiveX позволяет использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS. Для конфигурирования, поиска, выделения памяти определённым программам и управления приложениями ОС Windows Server 2003 и прикладные программы требуют определённой информации, называемой переменными среды (environment variables) системы и пользователя. Эти переменные похожи на устанавливаемые в ОС MS-DOS, например PATH и TEMP.

Системные переменные среды определяются в Windows Server 2003 независимо от того, кто зарегистрировался на компьютере. Если зарегистрировался член группы Administrators, то он может добавить новые переменные или изменить их значения. Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. После изменения переменных среды их новые величины сохранятся в реестре. Полный путь в командной строке команды path создаётся присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определённым в окне Environment Variables.

Аудит – процесс фиксирования событий, происходящих в ОС и имеющих отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий ОС. Полученную в результате информацию (журнал Security) можно просмотреть с помощью Event Viewer (Просмотр событий). В процессе настройки аудита указывают, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать любые попытки выполнения определённого действия. В журнале событий отражаются все попытки выполнения, в том числе неразрешённых действий. Для настройки аудита необходимо иметь права администратора.

С помощью планировщика заданий (Task Scheduler) можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать сложное расписание для выполнения заданий, включающее продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п. Задание сохраняется как файл с расширением “job”, который можно перемещать с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удалённо, кроме того, задания можно пересылать по электронной почте. При перемещении файла “*.job” в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows. При создании задания указывают имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.