Читайте также: |
|
Мета роботи
Практично закріпити знання по основах адміністрування мереж
2 Теоретичні відомості
Адміністрування користувачів полягає в створенні облікової інформації користувачів (що визначає ім'я користувача, приналежність користувача до різних груп користувачів, пароль користувача), а також у визначенні прав доступу користувача до ресурсів мережі - комп'ютерів, каталогів, файлів, принтерів і т.п.
Типи користувачів і груп користувачів:
· локальний інтерактивний користувач комп'ютера (користувач, який заведений в локальній обліковій базі даних комп'ютера, і який працює з ресурсами комп'ютера інтерактивно);
· локальний мережевий користувач комп'ютера (користувач, який заведений в локальній обліковій базі даних комп'ютера, і який працює з ресурсами комп'ютера через мережу);
· користувач домена (користувач, який заведений в глобальній обліковій базі даних домена на PDC);
· локальна група комп'ютера (може створюватися на всіх комп'ютерах домена, окрім PDC (головний контроллер домена) і BDC (резервний контроллер домена), в яких вона вироджується в локальну групу домена);
· локальна група домена - складається з користувачів домена (заводиться лише на PDC);
· глобальна група домена - складається з користувачів домена (може входити до локальної групи домена).
Типи об'єктів:
· Каталоги і файли. Процедури завдання правил доступу розрізняються для локальних каталогів і файлів, що розділяються (share). Операції: read, full control, change, add...;
· Принтери;
· Операційна система. По відношенню до цього типа об'єктів визначаються права по виконанню різних сервісів і утиліт: вхід, архівація файлів, зміна конфігурації
Типи операцій доступу
Операції доступу - це дії об'єктів над суб'єктами. Операції можуть бути або дозволені, або заборонені, або взагалі не мати сенсу для даної пари об'єкту і суб'єкта.
Вся множина операцій розділяється на підмножини, що мають особливі назви:
· дозволи (permissions) - це сукупність операцій, які можуть бути визначені для суб'єктів всіх типів по відношенню до об'єктів типу файл, каталог або принтер;
· права (user rights) - визначаються для об'єктів типу група на виконання деяких системних операцій: створення резервних копій, виключення комп'ютера (shutdown) і тому подібне;
· можливості користувачів (user abilities) - визначаються для окремих користувачів на виконання дій, пов'язаних з формуванням їх операційного середовища, наприклад, зміна складу програмних груп, що показуються на екрані дисплея, включення нових ікон в Desktop, можливість використання команди Run і тому подібне.
Права і дозволи надані групі автоматично надаються її членам, дозволяючи адміністраторові розглядати велику кількість користувачів як одиницю облікової інформації. Можливості користувачів визначаються профілем користувача.
Можливості користувача є частиною так званого профілю користувача (User Profile), якого можна змінювати за допомогою утиліти User Profile Editor. Профіль поряд з описаними можливостями включає і установки середовища користувача на його робочому комп'ютері, такі як кольори, шрифти, набір програмних груп і їх склад.
Для захисту файлу або каталога необхідно встановити для нього дозволи (permissions). Кожен встановлений дозвіл визначає тип доступу, який користувач або група користувачів мають по відношенню до даного каталога або файлу. Наприклад, коли Ви встановлюєте дозвіл Read для файлу MY IDEAS.DOC для групи COWORKERS, користувачі з цієї групи можуть переглядати дані цього файлу і його атрибути, але не можуть змінювати файл або видаляти його.
· Користувачі не можуть користуватися каталогом або файлом, якщо вони не мають дозволу на це, або ж вони не відносяться до групи, яка має відповідний дозвіл.
· Дозволи мають накопичувальний ефект за винятком дозволу No Access, який відміняє всі останні наявні дозволи. Наприклад, якщо група CO-WORKERS має дозвіл Change для якогось файлу, а група Finance має для цього файлу лише дозвіл Read, і Петров є членом обох груп, то в Петрова буде дозвіл Change. Проте, якщо дозвіл для групи Finance зміниться на No Access, то Петров не зможе використовувати цей файл, не дивлячись на те, що він член групи, яка має доступ до файла.
· Коли Ви створюєте в каталозі файли і підкаталоги, то вони успадковують дозволи, які має каталог.
· Користувач, який створює файл або каталог, є власником (owner) цього файлу або каталога. Власник завжди має повний доступ до файлу або каталога, оскільки може змінювати дозволи для нього. Користувачі - члени групи Administrators - можуть завжди стати власниками будь-якого файлу або каталога.
Найзручнішим шляхом управління захистом файлів і каталогів є установка дозволів для груп користувачів, а не для окремих користувачів. Зазвичай користувачеві потрібний доступ по багатьом файлам. Якщо користувач є членом якої-небудь групи, яка має доступ до цих файлів, то адміністраторові простіше позбавити користувача цих прав, видаливши його із складу групи, а не змінювати дозволи для кожного файлу. Відмітимо, що установка дозволу для індивідуального користувача не відміняє дозволів, даних користувачеві як членові деякої групи.
Мережевий доступ до системи Windows XP заснований на аналогічних системах Windows NT і Windows 2000, тому користувачі систем Windows 95, 98, і Me будуть спантеличені новими особливостями. Ці особливості виражені у введенні деяких обмежень для підвищення рівня безпеки. Зокрема, в свіжовстановленій системі мережевий доступ до xp-комп'ютера заборонений і його треба встановлювати. У Windows 95/98/me Ви можете обмежити доступ до загального диска або теки на парольному рівні і лише той, хто його знає, зможе дістати доступ до загального ресурсу. Якщо ж Ви встановили Windows XP Pro вдома, то Вам доведеться вивчити деякі тонкощі налаштування мережі за участю xp-комп'ютера. Windows XP Pro пропонує на заміну парольній системі доступу дві альтернативи:
· Простий загальний доступ Simple File Sharing, який дозволений за замовчуванням для учасників робочих груп (звичайна структура для невеликих мереж). При використанні цього методу немає жодних обмежень в доступі різним користувачам і кожен “расшаренний” ресурс доступний будь-якому учасникові цієї мережі. Простий загальний доступ це єдиний метод надання доступу до ресурсу в Windows XP Home Edition. «Простий загальний доступ» включений за замовчуванням і не вимагає тонкого налаштування. Потрібно лише включити саму можливість мережевого доступу до ХР-комп'ютера.
· Після заборони використання Простого загального доступу Ви зможете використовувати Cписок управління доступом Access Control List, ACL для кожного загального диска або теки і при цьому дістанете можливість побудувати список управління доступом для кожного користувача.
3 Підготовка до роботи
3.1 Ознайомитись з інструкцією
3.2 Опрацювати теоретичний матеріал за темою роботи
3.3 Усно дати відповіді на контрольні запитання вхідного контролю
3.4 Продумати методику виконання роботи
3.5 Підготувати бланк звіту
4 Питання вхідного контролю
4.1 В чому полягає суть адміністрування операційної системи?
4.2 Які Ви знаєте типи користувачів, груп користувачів, об’єктів та операцій
доступу?
4.3 Які Ви знаєте методи мережевого доступу в ОС Windows XP Pro?
5 Основне обладнання
5.1 Персональний комп'ютер
5.2 ОС Linux
Завдання
6.1 Надати мережевий доступ до вибраної теки
6.2 Створити обліковий запис користувача
6.3 Дозволити віддалений вхід в систему без паролю
Порядок виконання роботи
6.1 Дозвіл мережевого доступу гостям
Тут треба відзначити, що в SР2 було введено принципову зміну – за замовчуванням мережевий доступ в систему відключений. Ця зміна була викликана декількома епідеміями вірусів, які в умовах нічим не обмеженого переміщення по комп'ютерах в локальних мережах завдали істотного збитку. Тому дозвіл мережевого доступу Гостям вважається дуже небезпечним заходом, можна навіть сказати, що безпека при цьому просто нульова. Проте, це знімає також безліч проблем, які виникають при строгіше обмеженому доступі.
Ще одне важливе зауваження – про серйозну плутанину у визначенні поняття «Гість». Річ у тому, що Гості бувають різні. Якщо В аш гість прийшов до В ас в гості і сів за Ваш комп'ютер пограти, то він називається локальним гостем. Зрозуміло, що не варто давати грати за своїм комп'ютером різним людям під Вашим обліковим записом, він швидше за все має необмежені або широкі права. А кожному такому гостю заводити обліковий запис для визначення його прав не з руки. Тому доцільно надати їм можливість локального входу з правами облікового запису Гість. За замовчуванням цей обліковий запис відключений і треба його включити, за шляхом Пуск – (Налаштування) Панель управління – Облікові записи користувачів. Тут кликнути на обліковому записі Гість і включити його.
Рисунок 7.1 Увімкнення облікового запису Гість
Зауважте, що ця операція включення облікового запису Гість вирішує забезпечує локальний доступ і не стосується доступу мережевих гостей. Мережеві гості, тобто користувачі сусідніх по локальній мережі комп'ютерів, як і раніше не дістануть доступу.
Щоб надати доступ мережевим гостям (його інколи називають анонімним входом), треба виконати наступне: Створити загальний ресурс. Для цього на теці, яка стане загальною, правою кнопкою викликаємо меню і вибираємо пункт Загальний доступ і безпека.
Рисунок 7.2 Надання загального доступу до каталога
Переставляємо галочку в полі «Просто включити загальний доступ до файлів» і натискаємо ОК. Після цього у вікні властивостей теки з'явиться новий розділ – «Мережевий загальний доступ і безпека». У нім треба поставити галочку в полі Відкрити загальний доступ до цієї теки. У полі «Ім'я загального ресурсу» вводимо ім'я під яким цю теку буде видно в мережі або (краще) залишаємо його як є, щоб не плутатися. Натискуємо «Застосувати» і потім натискуємо на лінк «Перегляд параметрів брандмауера Windows» для переходу до його налаштування. Далі у вікні налаштування Брандмауера переходимо на вкладку «Виключення» і ставимо галочку в полі Загальний доступ до файлів і принтерів, натискуємо ОК.
Рисунок 7.3 Ввімкнення загального доступу до файлів
Тепер заходимо з іншого комп'ютера на тільки що настроєннний xp-комп'ютер і перевіряємо доступність загальної теки. Якщо тека і її вміст доступні для перегляду мережевим гостем, то можна рахувати завдання виконано. Також можна вважати виконаною перевірку працездатності мережі і відсутність несправностей. Можете розсилати запрошення тим, хто бажає покористуватися Вашим загальним ресурсом.
Ще раз підкреслимо, що при такому вільному дозволі мережевого доступу рівень безпеки вашого xp-комп'ютера дуже низький. Тому рекомендується його підняти і налаштувати доступ точніше, з роздачею різних прав доступу окремим користувачам. Для цього для кожного користувача в мережі необхідно завести його специфічний обліковий запис.
7.2 Робота з обліковими записами
У нашому випадку після установки ОС на комп'ютері є 2 користувачі: Користувач, ім'я якого було вказане першим в процесі установки. Наприклад Ви вибрали ім'я User1. При цьому створюється користувач з ім'ям User1 з правами адміністратора і на цьому комп'ютері включений Простий загальний доступ.
Користувач Адміністратор, природно, з правами адміністратора і, найголовніше – прихований. Цього таємного користувача можна побачити таким чином: Правий клік на «Мій комп'ютер» – Управління – Локальні користувачі і групи – Користувачі. Ви не побачите його в меню вибору при зміні користувачів до тих пір, поки не включите опцію «Показати Адміністратора».
Рисунок 7.3 Ввімкнення облікового запису адміністратора
Робити це не обов'язково тому, що користувач User1 має всі потрібні права. Але якщо дуже хочеться бачити на екрані Вітання ще і Адміністратора, то можна включити її через реєстр (start-->run-->regedit): у розділі реєстру Hkey_local_machine\software\microsoft\windowsnt\currentversion\ Winlogon\specialaccounts\userlist встановите параметр “Administrator”=1 (типа dword).
Якщо ви хочете попрацювати саме під системним обліковим записом «Адміністратор», то натискуйте Пуск – Вихід з системи, знаходячись в екрані «Вітання» натискуйте двічі комбінацію Ctrl+alt+del. У вікні, що з'явилося, введіть ім'я «Адміністратор» і його пароль.
7.3 Заборонити «Простий загальний доступ»
Заборонити «Простий загальний доступ» потрібно для того, щоб дістати набагато ширші і гнучкіші можливості по управлінню доступом до вашого xp-комп'ютера через створення і застосування Списку управління доступом для доступних дисків і файлів. Для цього треба виконати наступну операцію:
Натисніть Пуск – Мій Комп'ютер – Сервіс – Властивості теки – Вигляд. Зніміть галочку з пункту Використовувати простий загальний доступ до файлів. (Start | My Computer | Tools | Folder Options | View. Use Simple File Sharing (Recommended) і натискуйте ОК.
Рисунок 7.4 Відключення загального доступу до файлів
От і все! Доступу по мережі до Вашого комп'ютера немає ні у кого, окрім тих самих двох адміністраторів. А тепер почнемо цей доступ користувачам роздавати. І почнемо ми з простої операції.
7.4 Створення облікового запису користувача
Цю операцію інколи називають «завести користувача». Окрім тих користувачів, що вже існують необхідно завести нових користувачів, котрим будемо надавати доступ до своїх ресурсів. Саме на підставі даних цих облікових записів Ваш комп'ютер ідентифікуватиме користувачів і вирішуватиме кого і куди пускати. Для того, щоб пустити до себе мережевого користувача, його треба «прописати».
Є декілька способів створити новий обліковий запис, ми виберемо найпростіший. Натискаємо Пуск – Налаштування – Панель управління – Облікові записи користувачів. Start | Settings | Control Panel | User Accounts Ви побачите всі записи, що вже є на цьому комп'ютері (окрім прихованого Адміністратора двох вбудованих відключених користувачів). Ви побачите також відключений запис Гість Guest.
Натискуйте Створення облікового запису Create а new account і введіть Ім'я нового користувача. Тут ми створимо новий обліковий запис для користувача User2: Натискуйте Далі і виберіть тип облікового запису. Це визначає якого типа користувач буде заведений – Адміністратор комп'ютера або Обмежений обліковий запис. Взагалі, немає особливих причин надавати мережевим користувачам привілею Адміністратора, тому виберіть Обмежений запис. Це навіть переконливо рекомендується для підвищення безпеки. Тепер новий обліковий запис з'явиться в списку користувачів. Так само додайте всіх користувачів, яким Ви маєте намір надати доступ до своїх ресурсів, тобто користувачів User3 i User4. В результаті цих маніпуляцій ми отримаємо наступний список користувачів.
Рисунок 7.5 Створення нового користувача
Якщо тепер Ви поглянете на екран Вітання, то побачите що він містить багато облікових записів. Ті кому це дуже заважає, можуть заховати «непотрібні» облікові записи або взагалі сам екран Вітання. Щоб приховати окремих користувачів у вікні вітання, запустіть редактор реєстру і перейдіть в розділ Hkey_local_machine\software\microsoft\windowsnt\currentversion\Winlogon\specialaccounts\userlist.
Тепер створіть новий параметр User4, назвіть його так само, як ім'я користувача, і вкажіть як значення нуль. Наприклад, якщо потрібно приховати користувача User5, створіть параметр User5 із значенням 0. Після цього ім'я User5 не з'являтиметься у вікні вітання Windows. Нові облікові записи за замовчуванням створюються з правами користувача без пароля і далі ми розглянемо проблемне питання про паролі.
7.5 Встановлення пароля
Oбліковий запис без пароля означає, що будь-який користувач може сісти за Ваш комп'ютер, включити його і увійти до системи (дістати локальний доступ) без введення пароля. Зовсім інша справа – мережевий доступ. За замовчуванням Windows XP не допускає до себе мережевих користувачів і вхід в систему без пароля. А ми якраз реалізуємо мережевий доступ і для цього слід визначитися з подальшою політикою.
У Вас є 2 варінта політик:
1) Вхід з паролем забезпечує високий рівень безпеки. Якщо Ви хочете підвищити рівень безпеки (рекомендується), задайте користувачам пароль. Пам'ятаєте, що користувачі, що бажають зайти по мережі на Ваш комп'ютер, спочатку повинні увійти на свій з тим же паролем. Якщо ці комп'ютери розраховані на одного користувача, то Ви можете встановити автоматичний вхід (автологін) в систему з використанням програми TWEAKUI в 98-х системах або її аналога з комплекту Powertoys for Windows XP для XP. У XP можна також автоматизувати вхід в систему через реєстр.
2) Багато користувачів з Windows 95/98/me вважають за краще встановлювати на своїх комп'ютерах вхід в мережу способом Вхід в Windows без пароля, це дозволяє їм просто входити в свою систему без відповіді на запит пароля, але при цьому до Ваших загальних ресурсів вони доступу не дістануть. Якщо Ви не хочете напружувати їх «зайвою» операцією при завантаженні їх системи, то Вам слід змінити політику безпеки на Вашому Windows XP комп'ютері так, щоб забезпечити вхід до Вас по мережі користувачам без пароля (не рекомендовано).
7.6 Додавання пароля до облікового запису
У тому ж вікні Панель управління – Облікові записи користувачів, виберіть потрібний запис і натисніть Створення пароля. Введіть пароль і підтвердіть його. Потім натискуйте кнопку Створити пароль щоб ввести його в дію. Доречі, не робіть паролів завдовжки більше 12 знаків і кирилічними символами, щоб не було проблем із старими Windows.
На всяк випадок можна створити пароль для користувача User1. З цієї миті користувач, що бажає зайти до Вас, повинен входити до себе з цим же паролем. Тобто, при вході на свій комп'ютер він отримує «посвідчення», що складається з його імені і пароля, а далі – в мережу з цим же посвідченням.
7.7 Дозвіл мережевого входу без пароля:
Щоб все-таки дозволити користувачам входити на свої комп'ютери без пароля і потім заходити по мережі на Ваш комп'ютер теж без пароля Ви повинні змінити Вашу політику безпеки і встановити вхід до Вас без пароля: Зайдіть в Панель управління – Адміністрування – Локальна політика безпеки – Локальні політики – Параметри безпеки. Тепер зробіть подвійне клацання мишею на параметрі «Облікові записи: обмежити використання порожніх паролів лише для консольного входу» і відключити цю опцію. Control Panel | Administrative Tools | Local Security Policy | Local Policies | Security Options | Accounts: Limit local account use of blank passwords to console login only, Accounts: Limit local account use of blank passwords to console login only.
Рисунок 7.6 Вікно налаштування входу без пароля
Цим самим Ви дозволяєте локальний і мережевий вхід на Ваш комп'ютер без пароля. Інші користувачі зможуть при завантаженні заходити без пароля прямо на свій Робочий стіл і коли їм знадобиться зайти на Ваш комп'ютер, вони зможуть зайти під пов'язаним з їх ім'ям обліковим записом на XP без пароля.
Зауважте, що інколи використовуваний термін «порожній пароль» не зовсім технічно правильний. Є різниця між паролем, що містить один або більше порожніх знаків (типа пропуск) і відсутністю пароля взагалі. Виконана установка забезпечує доступ без пароля взагалі. Увага! Дозвіл доступу без пароля відкриває доступ з порожніми паролями і до так званих «адміністративних» ресурсів, що розділяються, що зовсім небезпечно.
Можна проглянути облікові записи по-іншому: Панель управління – Адміністрування – Управління комп'ютером – Локальні користувачі і групи – Користувачі. Тут знаходяться всі Ваші облікові записи! Ви можете звідси змінити налаштування для кожного користувача і навіть створити новий запис виконавши Дію – Новий користувач.
8 Питання вихідного контролю
8.1 Які дії необхідно виконати для того щоб надати спільний доступ до
каталога?
8.2 Які дії необхідно виконати для того щоб створити нового користувача та
надати йому пароль?
8.3 Які дії необхідно виконати щоб мати можливість мережевого входу без
пароля?
9 Оформлення звіту
9.1 Мета роботи
9.2 Теоретичні відомості
9.3 Інструмент, обладнання і прилади
9.4 Завдання
9.5 Звіт по роботі
Література
1. Петерсен Р. П29 Энциклопедия Linux. Перевод с англ. - Спб.: Питер, 202-1008с.
2. Сивер Э., Спейнауэр С„ Фиггинс С., Хекман Д. Linux. Справочник. - Пер. с англ. - СПб: Символ-Плюс, 2001. - 912 с.
Дата добавления: 2015-10-29; просмотров: 99 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Human-machine interface based on the operator panel | | | Объекты базы данных |