5.htm
Глава 5. Управление ресурсами в Windows NT Термины, необходимые для понимания
материала: Учетные записи пользователей Права и разрешения пользователей Основной контроллер домена (PDC) Резервный контроллер домена (BDC) Политика Профиль Сценарий входа Репликация каталогов Приемы и
знания, которыми вы должны овладеть: Создание и ведение учетных записей
пользователей Настройка прав и разрешений
пользователей Настройка системных политик и
профилей пользователей Настройка репликации каталогов Основное назначение сети — совместное
использование ресурсов. В Windows NT управление
ресурсами организовано на интуитивно понятном
уровне. В этой главе мы посмотрим, что необходимо
знать для сдачи экзамена Microsoft в области
управления ресурсами. Сначала вы узнаете, как
осуществляется управление учетными записями
пользователей, в ходе которого назначаются права
доступа для конкретных пользователей. Затем мы
перейдем к рассмотрению доменов, контроллеров
доменов, а также локальных и глобальных групп.
При дальнейшем изучении управления ресурсами мы
расскажем о политиках пользователей, профилях и
сценариях входа, предназначенных для
специфических потребностей пользователей. В
конце главы мы обратимся к темам, связанным с
работой серверов, — репликации, управлению
общими ресурсами и настройке клиентов. Управление пользователями и учетными
записями В большинстве сетей управление на
уровне отдельных пользователей связано с
множеством затруднений. Для упрощения задач
администрирования Windows NT 4 содержит специальную
программу — User Manager For Domains (вызывается из меню Start
— Start >• Programs >• Administrative Tools (Common) > User Manager
For Domains). В User Manager For Domains администраторы создают
учетные записи пользователей и групп, а также
работают с ними. Когда вы освоитесь с этой
программой, User Manager For Domains станет вашим основным
инструментом для управления доступом на уровне
пользователей и групп. Для упрощения работы (и экономии вашего
времени) управление пользователями основано на
концепции группового администрирования. Вместо
того чтобы заниматься отдельными
пользователями, намного удобнее распределить их
по группам и назначать права сразу для целой
группы. Как только пользователь включается в
группу, он наследует все права и ограничения
доступа, присвоенные данной группе. Чтобы и далее упростить процесс
управления пользователями, Microsoft
предусмотрительно создает встроенные группы
(как локальные, так и глобальные). Обратите
внимание — встроенные группы нельзя удалить или
переименовать. Обычно эти группы оказываются
удобными для администрирования прав и
ограничений пользователей. Кроме того, некоторые
пользователи включаются в эти встроенные группы
по умолчанию. Пользователей можно включать или
удалять из этих групп по своему
усмотрению. Основные концепции групп, а также
встроенные локальные и глобальные группы NT
рассматриваются далее в этой главе. Работа с User Manager For Domains User Manager For Domains — основной инструмент
для управления правами пользователей. Ниже
перечислены основные функции и задачи User Manager For
Domains: • Создание, изменение, дублирование и
удаление групповых учетных записей. • Создание, изменение, дублирование и
удаление учетных записей пользователей. • Установка политики учетных записей
(выбор стандартных требований к паролям,
параметров блокировки учетных записей, статуса
отключения и т. д.). • Создание прав и определение политики
аудита для пользователей. • Установление доверительных
отношений. Создание новых пользователей и групп Чтобы создать в User Manager For Domains новую
учетную запись пользователя или группы,
выполните следующие действия: 1. Запустите User Manager For Domains и откройте
меню User. 2. Выберите команду New User для создания
пользователя (или команду New Group для создания
группы). 3. Заполните диалоговое окно New User:
введите имя пользователя (User Name), полное имя (Full
Name) (необязательно), описание (Description)
(необязательно), пароль (Password) и подтверждение
пароля (Confirm Password). 4. Установите соответствующие флажки в
нижней части окна New User, если: • Пользователь должен изменить пароль
при первом входе в систему. • Пользователю не разрешается менять
свой пароль. • Для пароля не существует ограничений
срока действия. • Учетная запись отключается. Кроме четырех флажков в нижней части
диалогового окна находятся шесть кнопок. Они
управляют многими возможностями, доступными для
данного пользователя: • Groups (Группы). Кнопка позволяет
добавить пользователей в группу (или группы) или
удалить их. • Profiles (Профиль). Кнопка позволяет
определить путь к профилям конкретного
пользователя, к сценариям входа и основному
каталогу пользователя. • Hours (Время). Кнопка позволяет
задать интервал времени, в течение которого
пользователю разрешается вход в сеть. Если к
концу разрешенного времени пользователь уже
зарегистрирован, то по умолчанию он остается в
сети, однако повторный вход станет возможным
лишь с наступлением разрешенного интервала. Вы
также можете установить принудительное
отключение пользователя в определенное время,
это делается с помощью политики учетной записи
пользователя (см. далее в этой главе). • Logon To (Вход с). Кнопка разрешает
вход пользователя в систему только с
определенных компьютеров. Тем не менее,
пользователи редко остаются на одном месте,
поэтому желательно оставить значение по
умолчанию (вход с любой рабочей станции). • Account (Учетная запись). Здесь
задается срок окончания действия учетной записи
(полезно для временных или контрактных
работников). По умолчанию используется значение
Never (Никогда), однако вы можете ввести
определенную дату. Кроме того, учетную запись
можно сделать локальной (для пользователей из
доменов, для которых не установлены
доверительные отношения) или глобальной (для
учетных записей обычных пользователей в домене). • Dialin (Связь). Здесь пользователю
предоставляется возможность модемного
подключения к сети, а при необходимости задается
такой элемент защиты, как ответный звонок
сервера. Модификация существующих учетных
записей Создание учетных записей
пользователей является одной из самых
распространенных задач сетевых администраторов.
Новые пользователи часто занимают место уже
существующих — переименовать учетную запись
работника, переведенного на другое место, проще,
чем создавать новую. Для этого достаточно
выполнить команду User > Rename в User Manager For Domains. He
забудьте предупредить нового работника о том,
чтобы он сменил пароль при первом входе, потому
что среди прочих параметров будет сохранен и
старый пароль. К сожалению, учетные записи
пользователей довольно часто удаляются
случайно. Единственный выход из положения —
заново создать учетную запись с тем же именем,
правами и ограничениями. Сделать это проще, чем
кажется, потому что вы можете создать шаблоны
прав пользователей для отделов и групп. Затем из
меню User вы копируете шаблон, переименовываете
его для нового пользователя и продолжаете
действовать с этой точки, если вам потребуется
задать дополнительные права или ограничения. Если для пользователя были изменены
права доступа, этот пользователь должен
завершить работу и войти заново — лишь тогда
новые права вступят в силу. Домены и контроллеры Домен представляет собой совокупность
сетевых рабочих станций и серверов, которая
управляется как единая группа. В Windows NT для
каждого домена должен существовать контроллер,
занимающийся администрированием прав
пользователей этого домена. Первый сервер NT,
установленный в домене, назначается основным
контроллером домена (PDC, Primary Domain Controller). Данный
сервер отвечает за проверку пользователей
домена во время входа в систему, потому что на PDC
находится информация об учетных записях
пользователей и безопасности, касающаяся всего
домена. Следующий устанавливаемый сервер
принимает на себя роль резервного контроллера
домена (BDC, Backup Domain Controller). На BDC хранится копия
информации об учетных записях пользователей и
безопасности домена (через заданные интервалы
времени эта копия синхронизируется с PDC). Если PDC
по какой-либо причине перестает работать, BDC
автоматически не начинает выполнять функции PDC,
но пользователи по-прежнему могут входить в сеть.
Хотя наличие BDC необязательно, оно в высшей
степени желательно. Если вам по техническим причинам
потребуется отключить PDC, BDC можно повысить до PDC
вручную. Однако это необходимо сделать доотключения PDC, иначе могут быть потеряны данные
учетных записей, которые еще не были скопированы
между контроллерами. Изменение роли BDC
выполняется с помощью программы Server Manager (Start >•
Programs >• Administrative Tools (Common) >• Server Manager): 1. Запустите Server Manager. 2. Откройте меню Computer. 3. Выберите команду Promote To Primary Domain Controller. 4. Подтвердите свое решение. (доверяющий) предоставляет домену
Engineering (доверенному) право доступа к общему
каталогу Share, домен Production не получает никаких
дополнительных прав доступа к домену Engineering, если
они не были определены в диалоговом окне Trust
Relationships. Двусторонние доверительные отношения
представляют собой совокупность двух
односторонних отношений. Управление локальными и глобальными
группами Без группового администрирования
управление пользователями было бы довольно
сложной задачей. Основная идея — присваивать
права доступа только группам, а затем управлять
правами отдельных пользователей, включая или
удаляя их из различных групп по мере
необходимости. Если следовать этому принципу,
вам почти не придется задавать права доступа к
ресурсам для отдельных пользователей. Учетным
записям пользователей практически не
назначаются никакие права — все они наследуются
от групп, к которым принадлежат пользователи. Хороший подход к реализации
безопасности пользователей в NT заключается в
том, чтобы создать группу для каждого ресурса в
сети. Для каждого ресурса будет существовать
группа, управляющая доступом к нему. После
создания таких групп вам придется в основном
управлять группами и их членами, а не конкретными
ресурсами. В Windows NT существует два вида групп:
локальные и глобальные. Локальные группы
доступны лишь в локальном домене; глобальные
группы распространяются за пределы доменов. Вы
должны хорошо понимать это принципиальное
отличие. Другое важное отличие заключается в том,
что локальные группы могут содержать и
пользователей, и другие группы, тогда как
глобальные группы содержат только
пользователей. Никакие локальные или глобальные
группы не могут входить в другую глобальную
группу. Итак, если вы хотите предоставить
домену Engineering доступ к цветному принтеру в домене
Marketing, следует создать глобальную группу
(например, EngnrPrint) и разрешить ей доступ к
принтеру. Снова обратите внимание: тот факт, что
домен Marketing доверяет глобальной группе EngnrPrint
доступ к цветному принтеру, вовсе не означает,
что один домен обладает какими-либо
дополнительными правами для ресурсов другого
домена, если такие права не были специально
заданы. Как упоминалось выше, в NT существует
несколько встроенных локальных и глобальных
групп, которым по умолчанию назначаются определенные привилегии. В табл. 5.1
перечислены эти группы (локальные и глобальные)
вместе со стандартными членами и описаниями. Таблица 5.1. Встроенные группы в NT Название группы | Стандартные члены | Локальная/ глобальная | Описание | Account Operators (операторы учетных записей) | Нет | Локальная | Члены группы могут администрировать учетные записи пользователей и групп | Administrators (администраторы) | Администраторы домена, Администратор | Локальная | Члены группы обладают неограниченными возможностями администрирования компьютер/домен | Backup Operators (операторы архива) | Нет | Локальная | Члены группы имеют доступ с целью архивации файлов | Domain Admins (администраторы домена) | Администратор | Глобальная | Назначенные администраторы домена | Domain Guests (гости домена) | Гость | Глобальная | Все гости домена | Domain Users (пользователи домена) | Администратор | Глобальная | Все пользователи домена | Guests (гости) | Гость | Локальная | Пользователи, которым был предоставлен доступ к компьютеру/домену | Everyone (Все) | Все | Глобальная/ локальная | Все пользователи | Print Operators (операторы печати) | Нет | Локальная | Члены группы могут администрировать принтеры домена | Replicators (репликаторы) | Нет | Локальная | Поддержка репликации файлов в домене | Server Operators (операторы сервера) | Администратор | Локальная | Члены группы могут администрировать серверы домена | Users(пользователи) | Пользователи домена | Локальная | Обычные пользователи |
Кроме того, каждая группа обладает
определенным типом доступа на уровне каталогов: • Full Control (Полный доступ) —пользователи могут добавлять, читать и изменять
файлы, изменять разрешения для каталогов и
становиться владельцами каталогов и файлов. • List (Право просмотра) —
пользователи могут получать списки файлов и
подкаталогов данного каталога. • Read (Право чтения) — пользователи
могут читать файлы и запускать приложения из
каталога. • Add (Право добавления) —
пользователи могут добавить в каталог новые
файлы, но не могут изменить их. • Add & Read (Право добавления и чтения)— пользователи могут добавлять и читать файлы в
каталоге, но не могут их изменять. • Change (Право изменения) —
пользователи могут добавлять, читать и изменять
содержимое файлов каталога. • No Access (Нет доступа) —
пользователи не могут обратиться к каталогу
(даже если они являются членами других групп,
которым такой доступ разрешен). Совет Когда пользователь принадлежит
нескольким группам домена, приоритетным
является право с минимальными ограничениями.
Например, если пользователь имеет полный доступ
для одной группы и право чтения — для другой, то в
результате он будет иметь привилегии полного
доступа. Кстати говоря, отсутствие доступа
означает ПОЛНОЕ ОТСУТСТВИЕ ДОСТУПА! О политиках, профилях и сценариях
входа Существует несколько способов
определения параметров сетевых пользователей.
Настройка такого рода в Windows NT осуществляется с
помощью различных политик, профилей и сценариев
входа, описанных в следующих разделах. Системные политики Системная политика определяет
состояние окружения и возможные действия
пользователя. Для создания и администрирования
системных политик используется программа System
Policy Editor (Start >• Programs >• Administrative Tools (Common) >• System
Policy Editor). С помощью System Policy Editor можно выбрать
программы, отображаемые в панели управления
пользователя, настроить вид его рабочего стола,
указать сетевые параметры, определить параметры
входа в сеть и права доступа, а также настроить
содержимое меню Start для данного пользователя. Вы можете определить стандартную
системную политику для всех пользователей
домена или же назначить разные политики для
отдельных пользователей, компьютеров и групп.
При создании системных политик изменяется
содержимое системного реестра для компьютеров
или пользователей — точнее, реестр изменяется
для текущего пользователя и локального
компьютера. Чтобы определить системную политику в
качестве стандартной, сохраните ее в каталоге
WinNTSystem32ReplExportScripts под именем NTCONFIG.POL. Файлы
этого каталога дублируются на другие NT-серверы и
рабочие станции, участвующие в репликации.
Скопированные файлы хранятся в каталоге
WinNTSystem32ReplImport Scripts. При определении системной
политики в System Policy Editor выбирается один из двух
режимов: режим реестра (Registry mode) или файловый
режим (Policy File mode). Для этого сделайте следующее: 1. Откройте меню File в System Policy Editor. 2. Выберите одну из двух команд: Open Policy
или Open Registry. Команда Open Policy позволяет изменить
существующую политику. Команда Open Registry приводит
вас к разделам системного реестра для локального
компьютера и локального пользователя. Внесите
необходимые изменения прямо в реестр и сохраните
их. Совет Непосредственная модификация реестра
грозит нарушить целостность системы. При
повреждении некоторых областей реестра NT
перестает загружаться. Перед тем как вносить
изменения в реестр, всегда создавайте его
резервную копию и действуйте очень осторожно. Профили Профили пользователей применяются для
создания и управления нестандартными
конфигурациями рабочего стола отдельных
пользователей. В профиль пользователя входят
такие параметры, как тип заставки, сетевые
соединения, оформление рабочего стола, настройки
мыши и программные группы. Профили могут
создаваться как для пользователей, так и для
групп. Профили пользователей находятся в
каталогах ЛУтп1Ргоп^<ИМЯ-ПОЛЬЗОВАТЕЛЯ>. Профили защищают ваши сетевые ресурсы
от пользователей, а пользователей — от самих
себя. Профили пригодятся в тех случаях, когда
сетевые пользователи удаляют или перемещают
команды меню и группы. Заставляя пользователей
держаться в рамках профиля, вы создаете
неизменяемый, последовательный
пользовательский интерфейс; это сокращает
затраты на сопровождение и бережет нервы
пользователей. Вы можете заставить пользователя
использовать конкретный профиль — для этого
следует создать обязательный профиль
пользователя (Mandatory User Profile), который не может быть
изменен или сохранен пользователем. Чтобы
создать обязательный профиль, создайте
перемещаемый профиль, скопируйте его в общий
каталог, предоставьте доступ к нему
соответствующим пользователям, переименуйте
файл NTUSER.DAT в NTUSER.MAN и введите UNC-путь к профилю в
диалоговом окне User Profile Path, которое вызывается из
окна User Environment Profile для каждого пользователя. Иногда при сбоях PDC пользователь при
входе в систему не получает обязательного
профиля. Когда это происходит, Windows NT находит
последний локальный кэшированный профиль
данного пользователя или стандартный профиль,
присвоенный его рабочей станции. Локальный
кэшированный профиль используется в том случае,
если пользователь в прошлом успешно
регистрировался в домене. Если же пользователь
никогда не регистрировался в домене,
используется стандартный профиль. Перемещаемый профиль создается так: 1. Скопируйте профиль пользователя с
рабочей станции в общий сетевой каталог. 2. Откройте панель управления и дважды
щелкните на значке System. 3. Выберите профиль пользователя,
выполните команду Сору То и введите полный
UNC-путь к серверу, на котором будет находиться
профиль. 4. В диалоговом окне User Profile введите
полный UNC-путь к профилю в поле User Profile Path. В профиль пользователя также можно
включить выбор основного каталога пользователя.
Чтобы сделать это для существующей учетной
записи, которая в данный момент имеет локальный
основной каталог, необходимо выполнить
следующие действия: 1. Выполнить команду Connect в диалоговом
окне User Environment Profile из программы User Manager. 2. Выбрать общий диск и ввести полный
UNC-путь к новому основному каталогу пользователя.
Полный UNC-путь включает имя сервера, на котором
находится основной каталог (имя домена указывать
не нужно). Переменная %НОМЕРАТН% содержит UNC-путь к
основному каталогу пользователя лишь после того,
как новый каталог будет задан. Если ваши пользователи часто и/или
неразумно меняют свою конфигурацию, создайте
профили и заставьте пользователей
придерживаться заданных параметров. Хотя такие
ограничения могут раздражать пользователей, это
лучший способ оградить всех от неприятностей. Сценарии входа Если задуматься над тем, сколько
разнообразных средств и возможностей
пользовательской конфигурации существует в Windows
NT, существование сценариев входа выглядит
довольно странно. Тем не менее по нескольким
причинам сценарии входа необходимы для
обеспечения обратной совместимости. Во-первых,
профили пользователей работают только на
компьютерах с NT, а для DOS-клиентов используют
сценарии входа для обеспечения последовательных
сетевых соединений. Кроме того, если в вашей сети
все еще остались старые серверы LAN Manager, сценарии
входа обеспечивают совместимость с этими
серверами для всех клиентов. Кроме того, параметры подключения
пользователя к сети или сетевому принтеру можно
задать и без тщательно спланированной системы
профилей. Если вы определили личные профили
пользователей и хотите добавить к ним единые
параметры сетевых соединений, сценарии входа
справятся и с этой задачей. Наконец, если вы не
хотите тратить время на разработку сложной
последовательной системы профилей, сценарии
входа являются простой и удобной альтернативой. Сценарии входа помогают настроить
окружение пользователя, не управляя всеми его
аспектами. Для сохранности вы должны
экспортировать сценарии входа с PDC на все BDC сети.
В этом случае при выходе из строя PDC копия
сценариев останется на BDC и будет доступна
пользователям при входе. Сценарии входа не
требуется экспортировать на каждую рабочую
станцию. Экспортируемые файлы всегда следует
помещать в подкаталоги каталога WinntSystem32Repl Export.
По умолчанию для экспортирования сценариев
входа на PDC используется каталог
WinntSystem32ReplExportScripts. Репликация В Windows NT существует быстрый и удобный
способ зеркального копирования структуры
каталогов между серверами в ходе процесса,
называемого репликацией каталогов. Основная
цель репликации системных файлов —
распределение нагрузки по регистрации и
проверки подлинности пользователей между PDC и BDC.
В ходе репликации этих файлов копируются
последние версии сценариев входа, файлы
системной политики и профили пользователей. В центре службы репликации каталогов
находится экспортирующий сервер, который
предоставляет данные исходного каталога.
Серверы, выбранные для импортирования, получают
копию исходного каталога в своих каталогах. Репликация сценариев входа, файлов
системных политики профилей пользователей на
все контроллеры домена позволяет добиться
настоящего распределения загрузки. Проверка
пользователя, регистрирующегося на домене,
выполняется первым контроллером домена, который
отвечает на аутентификационный запрос. Наличие
копий системных файлов на этом контроллере
домена позволяет ему проверить пользователя и
обеспечить его вход в сеть без связи с другим
сервером. Если бы системные файлы находились
только на PDC, то BDC приходилось бы в случае
необходимости запрашивать и получать с PDC копии
всех системных файлов. Это привело бы к
возрастанию сетевой загрузки. Обратите внимание: только компьютеры с
Windows NT Server могут быть настроены на
экспортирование файлов в процессе репликации.
Импортирование файлов в процессе репликации
настраивается на компьютерах с Windows NT Server и Windows NT
Workstation. Клиенты для MS-DOS и Windows 95 не поддерживают
репликацию. Кроме того, важно понимать, что для
службы репликации каталогов на экспортирующем
сервере создается специальная учетная запись.
Пароль этой учетной записи не должен иметь
ограничений по сроку действия, а вход с нее
должен быть разрешен в любое время.
Экспортирующие серверы репликации хранят в
системном реестре специальные данные,
управляющие графиком экспортирования каталогов.
Рабочие станции Windows NT, клиенты для Windows 95 и MS-DOS не
могут быть настроены на выполнение функций
экспортирующего сервера. Наконец, сценарии входа должны
передаваться только на контроллеры домена.
Поскольку проверка пользователей может
выполняться только этими серверами, репликация
сценариев входа на другие компьютеры лишь
создает излишний сетевой график. Управление общими ресурсами Стандартный подход к совместному
использованию файлов, каталогов и ресурсов на
компьютерах с Windows NT Server заключается в создании
общих имен. Чтобы организовать общий доступ к
ресурсу или каталогу, выполните следующие
несложные действия: 1. Выделите нужный каталог или ресурс в
NT Explorer или с помощью значка My Computer. 2. Щелкните правой кнопкой мыши на
каталоге или ресурсе и выберите из контекстного
меню команду Sharing (по умолчанию выбрана строка Not
Shared). ,3. Нажмите кнопку Share As. При этом на
экране появляется диалоговое окно, в котором NT
выводит общее имя по умолчанию (обычно оно
совпадает с начальными восемью символами
выделенного каталога). При желании вы можете
изменить общее имя. Тем не менее помните о том,
что общие имена, длина которых превышает восемь
символов, будут недоступны из DOS-клиентов. На вкладке Sharing можно ограничить доступ
к ресурсу, указывая максимальное количество
пользователей. Ограничение количества
пользователей позволяет избежать перегрузки
медленного компьютера или обеспечить нормальную
работу всех остальных серверных процессов. Если
подобные ограничения не нужны, установите
переключатель Maximum Allowed. Чтобы установить
максимальное количество пользователей,
установите переключатель Allow, и в поле Users
появится некоторое число. Вы можете увеличить
или уменьшить это число с помощью кнопок со
стрелками или же ввести число непосредственно в
поле Users. Внимание По умолчанию подкаталоги наследуют
права доступа своих родительских каталогов. После того как общее имя будет создано,
для него можно назначить необходимые разрешения.
Для этого нажмите кнопку Permissions или щелкните на
вкладке Security. Обратите внимание — по умолчанию
для вновь создаваемых имен всем предоставляется
право полного доступа (Full Control). Существует четыре
степени безопасности, ограничивающие доступ к
общим ресурсам сервера: отсутствие доступа (No
Access), право чтения (Read), право изменения (Change) и
полный доступ (Full Control). Совет Всегда явно задавайте разрешения
доступа для всех создаваемых общих имен. По
умолчанию группе Everyone предоставляется полный
доступ! Для контроля над доступом к общим
ресурсам также можно воспользоваться программой
Server Manager: 1. Запустите Server Manager (Start >• Programs >•
Administrative Tools (Common) >• Server Manager). 2. Выделите нужный компьютер и
выполните команду Properties из меню Computer. 3. Установите один из следующих
переключателей: • Users (Пользователи) —
переключатель выводит количество пользователей,
подключенных к ресурсу. • Shares (Общие имена) — переключатель
выводит все общие имена для домена, количество
пользователей, работающих с общими ресурсами, и
локальное имя общего ресурса. • In Use (Используемые ресурсы) —
переключатель выводит данные обо всех открытых
ресурсах домена; пользователях, открывших
ресурсы; типе операций, выполняемых с ресурсами;
количестве блокировок для ресурсов и пути к
открытым ресурсам. • Alerts (Сигналы) — переключатель
позволяет построить список всех NT-компьютеров,
получающих административные сигналы. Чтобы создать общее имя в Server Manager,
выполните следующие действия: 1. Запустите Server Manager. 2. Выделите имя компьютера, на котором
будет создано общее имя. 3. Выполните команду Shared Directories из меню
Computer. 4. Нажмите кнопку New Share, введите имя и
путь к общему ресурсу и нажмите кнопку ОК. Внимание Для управления общими ресурсами в
удаленном режиме пользуйтесь программой Server
Manager, а не Windows NT Explorer. Существует ряд административных общих
ресурсов, скрытых от пользователей, но доступных
для администратора. Имена этих общих ресурсов
заканчиваются знаком доллара ($), благодаря чему
они остаются скрытыми. В табл. 5.2 перечислены эти
общие ресурсы и приведены их описания. Внимание Встроенные административные ресурсы NT
невозможно удалить или переименовать. Табл. 5.2. Скрытые административные
общие ресурсы NT Имя общего ресурса | Описание | Admin$ | Каталог, в котором установлен NT Server (или Workstation), и каталог, используемый для удаленного администрирования NT | Driveletter$ | Буква диска, на котором установлен носитель информации. Может использоваться в удаленном режиме членами следующих групп: администраторы (Administrators), операторы архива (Backup Operators) и операторы сервера (Server Operators) | IPC$ | Сокращение IPC означает «Interprocess Communications» (взаимодействия между процессами). Ресурс предназначен для совместного использования интерфейса именованных каналов, необходимого для работы коммуникационных программ | NETLOGON$ | Общий ресурс используется сервером входа, по умолчанию ему присваивается значение %SystemRoot%System32ReplImport. Используется службой NETLOGON при обработке доменных запросов в NT Server | Print$ | Используется при управлении общими принтерами | Repl$ | Общий каталог экспортирования, используемый в процессе репликации. По умолчанию присваивается значение %SystemRoot%System32ReplExport |
Установка приоритетов Многозадачная среда NT требует, чтобы
некоторые процессы обладали более высоким
приоритетом по сравнению с остальными. Ядро
системы присваивает определенный приоритет
каждому процессу и может увеличить или уменьшить
его, чтобы повлиять на выполнение процесса.
Существует 32 уровня приоритета (от 0 до 31);
процессы с высоким приоритетом
выполняются раньше процессов с низким
приоритетом. Хотя система может непосредственно
использовать все 32 уровня, ваши возможности по
изменению приоритетов ограничены. По умолчанию
всем приложениям, запущенным пользователями и
администраторами, присваивается базовый
приоритет 8 (нормальный). Тем не менее
пользователи также могут запускать приложения с
приоритетом 4 (низкий) и 13 (высокий), а
администраторы — с приоритетом 24 (приоритет
реального времени). Для запуска приложений с
альтернативными приоритетами используется
следующий синтаксис командной строки: start [/low ¦ /normal I /high ¦ /realtime] application В NT существует два средства для
изменения приоритета запущенных приложений.
Первый — бегунок, управляющий быстродействием
активного приложения (активным приложением
называется процесс, работающий в активном окне
экрана — обычно это окно отличается от других
цветом заголовка). Этот бегунок находится на
вкладке Performance приложения System в панели
управления. По умолчанию максимальный приоритет
активных приложений равен 10. Чтобы увеличить
приоритет активных приложений, переместите
бегунок вправо, а чтобы уменьшить его — влево
(левая позиция = 8, средняя позиция ° 9, правая
позиция •= 10). Второе средство вызывается через Task
Manager. Выбирая процессы на вкладке Process, можно
назначить им низкий, нормальный, высокий или
приоритет реального времени с помощью меню Set
Priority, вызываемого правой кнопкой мыши. Однако
приоритет реального режима может назначаться
процессам лишь администраторами. Управление Windows NT из клиентов Windows NT Server содержит программу Network Client
Administrator, которая упрощает установку некоторых
программ и утилит NT Server. Эта программа находится
в каталоге %systemroot%system32 и вызывается из меню Start
(Start >• Programs >• Administrative Tools (Common) >• Network Client
Administrator). Network Client Administrator содержит файлы для
установки клиентов для Windows 95, Microsoft Network Client for MS-DOS
3.0, LAN Manager for MS-DOS 2.2c, LAN Manager for OS/2 2.2c, Remote Access Client for
MS-DOS l.la и TCP/IP-32 for Windows for Workgroups. С помощью Network Client Administrator можно
скопировать каталоги и файлы с NT Server CD на сетевой
сервер. Client Administrator помогает эффективно
устанавливать сетевые клиентские программы
посредством создания набора установочных дисков
или диска сетевой установки. В зависимости от
того, какую программу вы собираетесь
устанавливать, можно определить тип диска,
создаваемого Client Administrator (см. табл. 5.3). Воспользуйтесь Network Client Administrator и
скопируйте файлы и каталоги в каталог CLIENTS на NT
Server CD. Чтобы избежать излишних расходов
дискового пространства, удалите ненужные
каталоги. При этом не удаляйте каталог
CLIENTSMSCLIENTNETSETUP -находящиеся в нем файлы
необходимы для создания дисков сетевой
установки для Windows 95, Windows for Workgroups и Microsoft Client for
MS-DOS. Чтобы создать диск сетевой установки
для NT Server, NT Workstation или Windows for Workgroups, создайте
необходимые подкаталоги в каталоге CLIENTS и затем
скопируйте в них нужные файлы. Конкретные
инструкции по копированию файлов приведены в
файле README.TXT в каталоге ClientsSupport установочного
диска NT Server. Внимание Диски сетевой установки применяются
только на компьютерах семейства х86 или Pentium; они
не могут использоваться для компьютеров Alpha, MIPS
или Power PC. Табл. 5.3. Выбор набора установочных
дисков или диска сетевой установки Тип клиента Набор Диск сетевой
установки установочных дисков NT Server NT Workstation Windows 95 Windows for Workgroups TCP/IP-32 for Windows for Workgroups Network Client for MS-DOS LAN Manager for MS-DOS LAN Manager for OS/2
RAS for MS-DOS Примечание, x - вариант
поддерживается; — - вариант не поддерживается. Вопросы для подготовки к экзамену Question 1 What is the difference between local and global groups? A. It is possible for local groups to contain global groups, but global
groups cannot contain local groups. В. Onlyuseraccountsfromthelocaldomaincanbecontainedwithinalocal group,
whereas user accounts from both the local and trusted domains can be contained in global
groups. С. It is not possible to create a local group on the domain
controllers, whereas global groups are created only on the domain controllers. D. Local groups can only contain global groups, and global groups can
only contain user accounts. Вопрос 1 Чем локальные группы отличаются от
глобальных? А. Локальные группы могут содержать
глобальные группы, а глобальные группы не могут
содержать локальных. В. Локальная группа может содержать
только учетные записи пользователей из
локального домена, а глобальная группа — учетные
записи пользователей как локального домена, так
и доверенных доменов. С. Локальную группу невозможно создать
на контроллере домена, тогда как глобальные
группы создаются только на контроллерах доменов. D. Локальные группы могут содержать
только глобальные группы, а глобальные группы
могут содержать только учетные записи
пользователей. Правильный ответ — А.Глобальные группы помогают организовать
логическое распределение пользователей домена,
а локальные группы определяют разрешения и права
пользователей для ресурсов домена. Глобальные
группы могут создаваться только на контроллерах
доменов, тогда как локальную группу можно
создать на любой рабочей станции или сервере
домена. Глобальные группы могут содержать только
учетные записи пользователей домена. Question 2 Mary is leaving the company and David is her replacement. What is the
best way to give David the same access to all of the resources previously used by Mary? A. Create an account for David in Server Manager using Mary's account
as a template. Then delete Mary's account. В. Rename Mary's account in User Manager For Domains. Tell David to
change the account password when he logs on for the first
time. С. Rename Mail's account in Server Manager. Tell David to change the
account password when he logs on for the first time. D. Create an account for David in the User Manager for Domains using
Mary's account as a template, then delete Mary's account. Вопрос 2 Мэри увольняется из фирмы, а Дэвид
занимает ее место. Как лучше всего предоставить
Давиду тот же уровень доступа к ресурсам,
которыми раньше пользовалась Мэри? А. Создать учетную запись Дэвида в Server
Manager, используя учетную запись Мэри в качестве
шаблона, а затем удалить учетную запись Мэри. В. Переименовать учетную запись Мэри в
User Manager For Domains. Сказать Давиду, чтобы он изменил
пароль учетной записи при первом входе в систему. С. Переименовать учетную запись Мэри в
Server Manager. Сказать Дэви-ду, чтобы он изменил пароль
учетной записи при первом входе в систему. D. Создать учетную запись Дэвида в User
Manager for Domains, используя учетную запись Мэри в
качестве шаблона, а затем удалить учетную запись
Мэри. Чтобы предоставить Давиду те же права
доступа, которыми пользовалась Мэри, следует
переименовать учетную запись Мэри в User Manager For
Domains и распорядиться, чтобы Дэвид сменил пароль,
следовательно, правильный ответ — В. Server
Manager не используется для работы с учетными
записями, поэтому ответы А и С неправильны. Хотя
создание новой учетной записи на базе уже
существующей тоже возможно, в настоящее время
Microsoft не считает этот способ оптимальным. В
тексте ответа D говорится, что учетная запись
удаляется после копирования. Если действовать
таким образом, нет смысла предварительно
копировать учетную запись — намного проще было
бы просто переименовать ее. Еще одна
альтернатива, отсутствующая в списке,
заключается в том, чтобы сохранить старую
учетную запись на случай возможного возвращения
пользователя или для аудита системы
безопасности. Так как ответ D требует излишней
работы и не изменяет пароля учетной записи, он
считается неправильным. Question 3 Which of the following built-in groups, otherthan Administrators, have
the default right to log on locally to a Windows NT Server? A. Server Operators and Account Operators only. В. Server Operators only. С. Server Operators, Account Operators, Backup Operators, and Print
Operators. D. Server Operators, Account Operators, and Backup Operators only. Вопрос 3 Каким из перечисленных ниже встроенных
групп, кроме группы администраторов (Administrators), по
умолчанию разрешается локальный вход на сервер
Windows NT? А. Операторы сервера (Server Operators) и
операторы учетных записей (Account
operators). В. Только операторы сервера (Server Operators). С. Операторы сервера (Server Operators),
операторы учетных записей (Account operators), операторы
архива (Backup Operators) и операторы печати (Print Operators). D. Операторы сервера (Server Operators),
операторы учетных записей (Account operators) и операторы
архива (Backup Operators). Право локального входа в Windows NT Server по
умолчанию предоставляется следующим встроенным
группам: операторы сервера (Server Operators), операторы
учетных записей (Account Operators), операторы архива (Backup
Operators) и операторы печати (Print Operators).
Следовательно, правильный ответ — С. Question 4 How do you demote a BDC to a file server? A. Choose the Network option in Control Panel, select the BDC, and
click Demote. В. Highlight the BDC in the Server Manager, and select Demote on theComputer menu. С. Reinstall Windows NT Server. D. Restart the BDC, and choose Member Server at the startup screen. Вопрос 4 Как понизить BDC до уровня выделенного
сервера? А. Запустить приложение Network в панели
управления, выделить BDC и нажать кнопку Demote. В. Выделить BDC в окне Server Manager и выбрать
команду Demote из меню Computer. С. Переустановить Windows NT Server. D. Перезагрузить BDC и выбрать строку
MemberServer в загрузочном меню. Хотя Server Manager позволяет повысить BDC до
уровня PDC, понижение контроллера домена до
рядового сервера потребует переустановки Windows NT
Server. Сказанное относится и к обратному
преобразованию, следовательно, правильный
ответ — С. В приведенном примере вам придется
переустановить Windows NT Server, а когда система
потребует задать роль данного сервера — выбрать
Stand-Alone or Member Server (автономный или выделенный
сервер). Question 5 Bill used to belong to the Production group. Now he has been reassigned
to Engineering. Because of this change, he must be able to access program source files in
the Source directory on the file server. The Engineering and Administrators groups have
Full Control permissions to the Source directory. The Production group has No Access
permission. After logging on as a member of the Engineering group. Bill notices that he
still cannot access the files in the Source directory on the file server. What is the
best way for Bill's domain administrator to grant him the required access to the Source
directory? 0 A. Remove Bill's user account from the Administrators group. О В.
Remove Bill's user account from the Production group. О С. Grant all permissions for the
Source directory to Bill's user account. 0 D. Add Bill's user account to the
Administrators group. Вопрос 5 Прежде Билл входил в группу Production, а
сейчас он переведен в группу Engineering. После
перевода он должен получить доступ к исходным
текстам программ, находящимся в каталоге Source на
файловом сервере. Группы Engineering и Administrators
обладают правом полного доступа (Full Control) к
каталогу N^ource. Для группы Production доступ к каталогу
запрещен (No Access). Билл входит в систему как член
группы Engineering и замечает, что он не может получить
доступ к файлам каталога Source на файловом
сервере. Каким оптимальным способом
администратор домена, к которому принадлежит
Билл, может предоставить ему необходимый доступ
к каталогу Source? О А. Удалить учетную запись
пользователя Билла из группы Administrators. О В.
Удалить учетную запись пользователя Билла из
группы Production. О С. Предоставить учетной записи
пользователя Билла право доступа к каталогу Source.
О D. Включить учетную запись пользователя Билла в
группу Administrators. Если пользователь принадлежит группе,
для которой установлено отсутствие доступа к
каталогу, то ему будет отказано в доступе к
каталогу NTFS, потому что запрет доступа всегда
обладает наибольшим приоритетом. Даже если
включить Билла в группу Administrators, он все равно не
сможет получить доступ к файлам каталога Source.
Единственный способ предоставить Биллу полный
доступ к каталогу Source — удалить его учетную
запись пользователя из группы Production,
следовательно, правильный ответ — В. Question б You want to modify user logon scripts to ensure that users have access
to the latest shared resources. What is the best way to do this? A. Save the logon scripts in a subdirectory
ofWinntSystem32ReplExport on the РОС and configure Windows NT to replicate these
scripts to other domain controllers. В. Put the scripts in the WinntSystem32ReplExport
directory on the PDC and have NT replicate these scripts to each domain workstation. С.
PlacethelogonscriptsinasubdirectoryofWinntSystem32ReplExport on the PDC and replicate
these scripts to each domain workstation. D. Store the logon scripts in the WinntSystem32ReplExport directory
on the PDC and configure Windows NT to replicate these scripts to each domain controller. Вопрос б Вы хотите изменить сценарии входа
пользователей так, чтобы они всегда имели доступ
к новейшим общим ресурсам. Как лучше всего
выполнить эту задачу? А. Сохранить сценарии входа в
подкаталоге каталога WinntSystem32 ReplExport на PDC и
настроить Windows NT для репликации сценариев на
других контроллерах домена. В. Поместить сценарии в каталог
WinntSystem32ReplExport на PDC и организовать репликацию
сценариев для всех рабочих станций домена. С. Поместить сценарии входа в
подкаталог каталога WinntSystem32 ReplExport на PDC и
организовать репликацию сценариев для всех
рабочих станций домена. D. Сохранить сценарии входа в каталоге
WinntSystem32ReplExport на PDC и настроить Windows NT для
репликации сценариев на всех контроллерах
домена. Сценарии входа должны
экспортироваться с PDC на все BDC, отвечающие за
проверку подлинности пользователей в сети. По
умолчанию для сценариев входа на PDC используется
экспортирующий каталог C:WinntSystem32ReplExportScripts;
следовательно, ответ А правилен.Служба репликации обрабатывает лишь файлы из
подкаталогов, находящихся в иерархии ниже
каталога ...ExportScripts. Включение этого подкаталога
в ответ А делает его однозначно правильным. Question 7 What is the most efficient method for installing client administration
tools on your network clients? A. Copy the desired utilities onto a floppy disk and install them on
each network client. В. Install the utilities on each client using the NT Server
installation CD. С. Use the Network Client Administrator to copy the needed files from
the CD, and place the files on a shared network server so they can be accessed from the
clients that need them. D. Upon request during installation, tell Windows NT which network
clients need such files. Вопрос 7 Какой самый эффективный способ
установки клиентских средств администрирования
на ваших сетевых клиентах? А. Скопировать нужные утилиты на
флоппи-диск и установить их для каждого сетевого
клиента. В. Установить утилиты для каждого
клиента с помощью установочного CD NT Server. С. Воспользоваться Network Client Administrator,
скопировать нужные файлы с CD и поместить их на
общий сетевой сервер, чтобы к файлам можно было
обратиться из тех клиентов, которым они
потребуются. D. При получении запроса во время
установки сообщить Windows NT, каким сетевым клиентам
потребуются такие файлы. Network Client Administrator — лучшее средство для
совместного использования установочных файлов,
находящихся на NT Server CD, следовательно,правильный ответ — С. Client Administrator позволяет
эффективно установить программное обеспечение
сетевого клиента посредством создания набора
установочных дисков или диска сетевой установки. Question 8 Which of the following is the best application to use to create a new
shared directory on a domain server from your Windows NT workstation computer? A. User Manager В. Server Manager С. Windows Explorer D. Network Client Administrator Вопрос 8 Какая из перечисленных ниже программ
лучше всего подходит для создания нового общего
каталога на сервере домена с рабочей станции Windows
NT? A. User Manager В. Server Manager С. Windows Explorer D. Network Client Administrator Пользователи создают общие ресурсы на
удаленных компьютерах с помощью программы Server
Manager, следовательно, правильный ответ — В.Все остальные программы не справятся с этой
задачей, поэтому ответы А, С и D неверны. Question 9 Which of the following types of computers can be configured to export
files during replication? [Check all correct answers] A. Windows NT servers that are configured as domain controllers. В. Windows NT member servers. С. Windows NT Workstations. D. Windows 95 clients. Вопрос 9 Какие из следующих типов компьютеров
могут быть настроены на экспортирование файлов в
процессе репликации? [Пометьте все правильные
ответы] А. Серверы Windows NT, настроенные в
качестве контроллеров домена. В. Выделенные серверы Windows NT. С. Компьютеры с Windows NT Workstations. D. Клиенты Windows 95. Только компьютеры, работающие под
управлением Windows NT Server (выделенные серверы, а
также основные и резервные контроллеры доменов),
могут быть настроены на экспортирование файлов в
процессе репликации, следовательно, правильные
ответы — А и В. Question 10 You want to force John to use the same user profile on any workstation;
how do you do this? A. Create a network profile on the PDC in the WinntProfiles directory
named for John's account, followed by the .dat suffix. Remove any local profiles from
John's workstation. В. Rename John's current profile from NTUSER.DAT to NTUSER.MAN. С. Using the Copy Profile To box from the System option in Control
Panel copy John's current profile from his workstation to a shared network path. Delete
the current profile from his workstation. D. Copy John's workstation profile to a shared network path using the
"Copy To ..." box from the System option in Control Panel. Then, type in the
network path in the User Profile Path box on John's machine. Вопрос 10 Вы хотите, чтобы Джон принудительно
использовал один и тот же профиль пользователя
на любой рабочей станции; как это сделать? А. Создать на PDC в каталоге WinntProfiles
сетевой профиль, который назван по имени учетной
записи Джона и имеет расширение dat. Удалить все
локальные профили с рабочей станции Джона. В. Переименовать текущий профиль Джона
из NTUSER.DAT в NTUSER.MAN. С. С помощью кнопки Copy Profile To приложения
System панели управления скопировать текущий
профиль Джона с его рабочей станции в общий
каталог. Удалить текущий профиль с его рабочей
станции. D. С помощью кнопки "Copy
То..."приложения System панели управления
скопировать текущий профиль Джона с его рабочей
станции в общий каталог. Затем ввести путь к
сетевому каталогу в поле User Profile Path на компьютере
Джона. Чтобы создать перемещаемый профиль,
необходимо сначала скопировать профиль
пользователя с его рабочей станции в общий
каталог. Для этого следует выделить файл профиля
с компьютера пользователя на вкладке User Profiles
приложения System из панели управления, выбрать
команду Сору То и ввести UNC-путь к серверу, на
котором будет находиться профиль. Затем в поле User
Profile Path в диалоговом окне User Environment Profile водится
полный UNC-путь к скопированному профилю
пользователя. Следовательно, правильный ответ
— D. Дополнительная информация Найдите на компакт-диске TechNet (или в его
электронной версии на www.microsoft.com) ключевые
выражения «user management», «replication», «domain controllers» и
«groups». The Windows NT Server Resource Kit содержит много
полезной информации по общим ресурсам и правам
доступа. Кроме того, попробуйте поискать на
компакт-диске TechNet или на диске, прилагаемом к
Resource Kit, слова «shares», «resource management» и «user management».
|