Административные утилиты
Системы Windows Server 2003 содержат множество утилит командной строки: одни из них выполняют те же действия, что и различные административные оснастки, только позволяют работать в окне консоли или создавать командные файлы, автоматизирующие типовые операции; другие утилиты могут оказаться незаменимым инструментом администратора при выполнении специфических задач по управлению компьютерами, пользователями и сетями.
Администраторы сетей, где используются системы Windows XP и Windows Server 2003, обязательно должны познакомиться с разделом справочной системы "Command-line reference A-Z" (об этом уже говорилось в разд. "Служебные программы" главы 5 "Конфигурирование системы и встроенные приложения"). Многие утилиты, ранее входившие в состав пакета Windows 2000 Resource Kit, теперь являются стандартными элементами этих систем — мы еще раз обращаем на них внимание администраторов.
Назовем лишь некоторые из утилит командной строки (частично они упоминаются в других главах книги):
Defrag.exe — выполняет дефрагментацию дисковых томов;
Diskpart.exe — позволяет управлять дисками и томами;
Eventcreate.exe — позволяет администратору создавать события в системных журналах;
Eventtriggers.exe — настраивает триггеры событий, т. е. определенных действий, выполняемых на компьютере;
Fsutil.exe — позволяет управлять дисковыми системами (например, управлять квотами);
Gpupdate.exe — обновляет установки групповых политик, применяемые к компьютеру и пользователю;
Openfiles.exe — отображает открытые файлы;
Schtasks.exe — планировщик задач, значительно более мощный, чем команда AT;
Shutdown.exe — выключение и перезагрузка локального или удаленного компьютера;
Systeminfo.exe — полезная информация о системе, которую иначе искать довольно долго;
Tasklist.exe — отображает список выполняющихся приложений, служб и процессов;
Taskkill.exe — завершает задачи или процессы;
Typeperf.exe — записывает значения счетчиков производительности в окно консоли или в журнал.
Активизация аудита
Процедура активизации аудита одинакова для любых систем. На контроллерах домена нужно пользоваться оснасткой Domain Controller Security Policy. Для активизации аудита на изолированном компьютере:
1. Запустите оснастку Local Security Settings. Можно также воспользоваться оснасткой Group Policy Object Editor (введите в командной строке gpedit .msc).
2. В окне структуры откройте узел Local Policies | Audit Policy (Локальные политики | Политика аудита) (рис. 10.26).
Рис. 10.26. Настройка аудита на локальном компьютере
3. На правой панели появится список политик аудита. По умолчанию большинство из них имеет значение No auditing (Нет аудита). Для включения аудита следует изменить значения нужных параметров. Выполните двойной щелчок на устанавливаемой политике аудита. Появится диалоговое окно, с помощью которого можно разрешить аудит (см. рис. 10.26). В группе Audit these attempts (Вести аудит следующих попыток доступа) установите флажки Success (Успех) или Failure (Отказ), или оба.
4. Нажмите кнопку ОК.
Подобную операцию следует повторить для тех политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, флажки Success и Failure следует снять.
Аудит локальной системы
Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы.
После включения аудита операционная система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security) можно просмотреть с помощью оснастки Event Viewer (Просмотр событий). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.
Настройка аудита может выполняться как в один, так и в два приема:
1. Сначала его следует активизировать с помощью оснастки Local Security Settings (Локальная политика безопасности) или Group Policy Object Editor (Редактор объектов групповой политики). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.
2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (ACL). Для разных объектов — файлов, реестра или объектов каталога Active Directory — используемый при этом пользовательский интерфейс будет непринципиально различаться.
Примечание
Для того чтобы иметь возможность настраивать аудит, необходимо иметь права администратора.
В автономных системах Windows Server 2003 по умолчанию включен аудит событий регистрации в системе (logon events). На контроллерах домена под управлением Windows Server 2003 по умолчанию включен аудит большинства системных событий, за исключением доступа к объектам и процессам, а также событий использования привилегий.
Использование команды RunAs
Как правило, большинство системных инструментов требует наличия у запускающего их пользователя административных привилегий. Таким образом, чтобы иметь возможность выполнения операций по управлению системой, администратор должен зарегистрироваться в системе под учетной записью, обладающей соответствующими правами. Однако правила безопасности требуют от администратора не пользоваться для постоянной работы в системе подобными учетными записями.
Команда RunAs позволяет администратору выполнять всю работу по управлению системой, зарегистрировавшись в ней с использованием учетной записи рядового пользователя с весьма ограниченными правами. При помощи данной команды администратор может запускать любые утилиты от имени "уполномоченного" пользователя (при этом может быть задействована либо учетная запись администратора, либо учетная запись пользователя, обладающего необходимыми правами).
Внимание
Для работы команды RunAs необходимо, чтобы была запущена служба Secondary Logon. Поэтому, в случае возникновения проблем с работой данной команды необходимо в первую очередь убедиться в том, что указанная служба действительно запущена. Чтобы убедиться в этом, можно использовать оснастку Services.
Команда RunAs может быть использована для установки и проверки пользовательских разрешений на доступ к файлам или объектам Active Directory. Для задания пользователю разрешений необходимо запустить соответствующую утилиту с административными привилегиями. Одновременно можно запустить требуемое приложение в контексте полномочий рассматриваемого пользователя и проверить результирующие разрешения. Таким образом, задача может быть решена (и, что главное, проверена) без необходимости повторных регистрации в системе под разными учетными записями.
Команда RunAs может использоваться в двух режимах.
Запуск утилит из контекстного меню. Запуск утилиты или оснастки с необходимыми полномочиями происходит путем использования контекстного меню. Администратор выбирает соответствующий пункт меню и предоставляет информацию о своих полномочиях. Данный режим идеально подходит для запуска графических утилит.
Запуск утилит из командной строки. В режиме командной строки администратор вводит команду со всеми необходимыми параметрами. Этот режим может использоваться для запуска утилит командной строки. Другим преимуществом этого режима является возможность отображения сведений о результатах процесса запуска (в том числе информация о возникающих ошибках).
Рассмотрим особенности использования каждого из режимов более подробно.
Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.
Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.
Изменение и удаление учетных записей
Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например: описание, полное имя, пароль, членство в группах и т. д. Поскольку S1D уникален, нельзя после удаления пользователя или группы создать новую учетную запись со "старыми" свойствами. Поэтому иногда учетные записи пользователей просто временно блокируют.
Изменение системных и пользовательских переменных среды
Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows Server 2003 и прикладные программы требуют определенной информации, называемой переменными среды (environment variables) системы и пользователя. Их можно просмотреть на вкладке Advanced (Дополнительно) окна свойств системы (System Properties), нажав кнопку Environment Variables (Переменные среды) (рис. 10.25). Эти переменные похожи на переменные, которые устанавливались в операционной системе MS-DOS, например PATH и TEMP.
Рис. 10.25. Окно настроек переменных среды для пользователя и системы
Системные переменные среды определяются в Windows Server 2003 независимо от того, кто зарегистрировался на компьютере. Если вы зарегистрировались как член группы Administrators, то можете добавить новые переменные или изменить их значения.
Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. Сюда включаются любые переменные среды, которые вы хотите определить, или переменные, определенные вашим приложением, например путь к файлам приложения.
После изменения переменных среды их новые величины сохранятся в реестре, после чего они становятся доступны ("видны") при закрытии окна Environment Variables.
Если между переменными среды возникает конфликт, он разрешается следующим способом:
1. Устанавливаются системные переменные среды.
2. Устанавливаются переменные, определенные в файле Autoexec.bat (за исключением переменных PATH). Они перезаписывают системные переменные.
3. Устанавливаются переменные среды пользователя, определенные в окне Environment Variables. Они перезаписывают как системные переменные, так и переменные файла Autoexec.bat.
4. Устанавливаются переменные PATH файла Autoexec.bat.
Примечание
Настройки пути (PATH), в отличие от других переменных среды, кумулятивны. Полный путь (который вы видите как результат выполнения в командной строке команды path) создается присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определенным в окне Environment Variables.
Настройка и просмотр параметров аудита для папок и файлов
Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок:
1. В окне программы Windows Explorer установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Properties (Свойства). В окне свойств папки или файла перейдите на вкладку Security (Безопасность).
Внимание
Напомним, что аудит возможен только на томах NTFS.
2. На вкладке Security нажмите кнопку Advanced (Дополнительно) и затем перейдите на вкладку Auditing (Аудит) (рис. 10.27).
Рис. 10.27. В этом окне можно настроить параметры аудита для выбранной папки
3. Если вы хотите проводить аудит для пользователя или группы, на вкладке Auditing нажмите кнопку Add (Добавить). Появится диалоговое окно Select Users, Computers, or Groups (см. рис. 4.6). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно Auditing Entry (Элемент аудита) (рис. 10.28).
Рис. 10.28. В этом окне задаются события, аудит которых будет вестись для выбранного пользователя или группы
Здесь вы сможете установить все требуемые параметры аудита. В списке Apply onto (Применять) укажите, где следует выполнять аудит (этот список доступен только для папок). В окне Access (Доступ) необходимо указать, какие события нужно отслеживать: окончившиеся успешно (Successful!, Успех), неудачно (Failed, Отказ) или оба типа событий. Флажок Apply these auditing entries to objects and/or containers within this container only (Применять этот аудит к объектам и контейнерам только внутри этого контейнера) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся только в выбранной папке (по умолчанию флажок не установлен). В противном случае установите этот флажок (или выберите в списке Apply onto опцию This folder only (Только для этой папки)). Это позволит не выполнять аудит для тех дочерних объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все диалоговые окна.
4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Edit (Изменить). Опять появится окно Auditing Entry. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений закройте все окна свойств.
Настройка индивидуальных свойств сценария. Файл с расширением wsh
С помощью страницы свойств модуля Wscript.exe можно установить глобальные параметры, касающиеся сразу всех сценариев, выполняемых на локальной машине. Однако также можно настроить индивидуальные параметры отдельно взятого сценария, позволяющие осуществлять жесткий контроль его выполнения. Свойства конкретного сценария сохраняются в файле с расширением wsh. Для его создания просто установите указатель мыши на файле сценария в окне программы Windows Explorer и нажмите правую кнопку. В появившемся контекстном меню выберите команду Properties (Свойства). На вкладке Script (Сценарий) измените стандартные свойства сценария, например максимальное время исполнения, и нажмите кнопку ОК. В результате в каталоге, где находится сценарий, будет создан файл с расширением wsh, имя которого совпадает с именем сценария. Он содержит индивидуальные настройки сценариев для WSH. Функции этого файла сходны с функциями файла PIF 16-разрядных приложений.
Чтобы запустить сценарий, для которого создан файл с расширением wsh, следует дважды щелкнуть мышью на файле *.wsh в окне программы Windows Explorer или использовать этот файл в качестве параметра для программы Wscript.exe или Cscript.exe в командной строке. Например: С:\>cscript Myscript.wsh
Поскольку в файле с расширением wsh хранятся значения параметров, используемых сценарием при выполнении, системный администратор может создать несколько версий файла с параметрами, ориентированных на различные группы пользователей внутри организации. Набор файлов с расширением wsh, относящийся к одному сценарию, может быть использован следующим образом.
Администратор может создать отдельный файл *.wsh для определенной группы пользователей внутри организации. Это позволит осуществлять индивидуальный контроль определенных сценариев, выполняющихся в течение дня.
Администратор может создать индивидуальные файлы *.wsh для конкретных пользователей внутри организации. Это позволяет осуществлять полный контроль ряда сценариев, используемых внутри организации.
Индивидуальные файлы с расширением wsh могут быть созданы для сценариев входа пользователей в систему. Это позволяет администратору осуществлять индивидуальный контроль над рядом свойств сценариев, выполняемых на клиентских машинах при регистрации пользователя в системе.
Файл с расширением wsh представляет собой простой текстовый файл, формат которого сходен с форматом файла с расширением inf. Ниже приведен пример содержимого файла *.wsh.
[ScriptFile]
Path=C: \WINNT\ Samples \WSH\ showprop. vbs
[Options] Timeout=0 DisplayLogo=l BatchMode=0
Параметр Path в разделе [ScriptFile] определяет местоположение файла сценария, с которым связан данный файл *.wsh. Параметры, значения которых устанавливаются в разделе [Options], соответствуют настройкам вкладки Script (Сценарий) окна Properties (Свойства).
После двойного щелчка мышью на файле с расширением wsh или выполнения его в командной строке программа Cscript.exe или Wscript.exe считывает его и определяет специфические параметры, которые следует использовать при выполнении соответствующего сценария. В результате сценарий будет выполняться с необходимыми параметрами, заданными в файле *.wsh. Обратите внимание, что при запуске файла с расширением wsh требуется присутствие соответствующего ему сценария. Если выполнение сценария посредством файла *.wsh закончилось неудачно, проверьте запись path=. Она должна указывать на тот сценарий, который вы хотите выполнить.
WSH 5.6 позволяет также использовать файлы Windows script files (*.wsf), содержащие код на языке Extensible Markup Language (XML). Эти файлы просты, очень эффективны и значительно расширяют возможности применения сценариев в среде Windows XP. За более подробной информацией рекомендуем обратиться к веб-документу "Using Windows Script Files (.wsf)" по адресу:
http://msdn.microsoft.com/library/default.asp?url=/library/ en-us/script56/html/wsadvantagesoftvs.asp?frame=true.
Настройка рабочей среды пользователя при помощи сценариев
Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем под управлением систем Windows 2000/XP или Windows Server 2003; подобным образом сценарии могут выполняться при выходе из системы. Также сценарии могут запускаться при загрузке системы и по окончании работы. Хотя сценарии входа чаще используются в доменах, их можно применять и на компьютерах — членах рабочей группы (а любой автономный компьютер также является членом группы). Для назначения сценариев используется оснастка Group Policy Object Editor (см. разд. "Сценарии"главы 21 "Использование групповых политик").
Хотя чаще всего сценарий входа представляет собой командный файл с расширением bat или cmd, в качестве сценария входа может быть использован сценарий VBScript/JScript или исполняемый файл (*.ехе).
Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.
Примечание
Профили пользователя могут в процессе регистрации восстанавливать существовавшие ранее соединения с сетью, но они не могут быть использованы для создания новых соединений.
Настройки, хранящиеся в профиле пользователя
Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 10.3).
Таблица 10.3. Настройки профиля пользователя
Объект | Соответствующие ему параметры | ||
Windows Explorer | Все настройки, определяемые самим пользователем, касающиеся программы Windows Explorer | ||
Панель задач | Все персональные группы программ и их свойства, все программные объекты и их свойства, все настройки панели задач | ||
Настройки принтера | Сетевые соединения принтера | ||
Панель управления | Все настройки, определенные самим пользователем, касающиеся панели управления | ||
Стандартные | Настройки всех стандартных приложений, запускаемых для конкретного пользователя | ||
Приложения, работающие в операционной системе Windows Server 2003 | Любое приложение, специально созданное для работы в среде Windows Server 2003, может обладать средствами отслеживания своих настроек относительно каждого пользователя. Если такая инсрормация существует, она хранится в профиле пользователя | ||
Электронная подсказка | Любые закладки, установленные в справочной системе Windows Server 2003 | ||
Консоль управления Microsoft | Индивидуальный файл конфигурации и текущего состояния консоли управления |
Назначение сервера сценариев
Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и JScript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.
Примечание
Использование сценариев для выполнения административных задач также рассматривается в главе 11 "Управление системами Windows в корпоративной среде".
Компания Microsoft поставляет три среды, предназначенных для выполнения языков сценариев на платформах Windows:
Internet Explorer;
Internet Information Server или WWW Server в составе служб Internet Information Services;
Windows Scripting Host.
Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.
Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.
Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или в окне командной консоли, для этого не нужно встраивать их в документ HTML. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения неинтерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.
Область действия настроек аудита
Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Auditing (Аудит) какая-нибудь строка в поле Auditing entries (Записи аудита) имеет значение, отличное от <not inherited> (не унаследовано), в столбце Inherited From (Наследовано от) и кнопка Remove (Удалить) недоступна, это значит, что данные настройки аудита унаследованы. В этом случае вы можете:
изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами;
запретить наследование, сняв флажок Allow inheritable auditing entries from the parent to propagate to this object and all child objects (Переносить наследуемый от родительского объекта аудит на дочерние объекты);
добавить другие записи аудита для выбранного объекта, нажав кнопку Add. Эти настройки аудита могут, в свою очередь, наследоваться дочерними объектами этого объекта. В поле Auditing entries новые записи будут иметь значение <not ingerited> (не унаследовано) в столбце Inherited From.
Область действия аудита настраивается в окне Auditing Entry, где в раскрывающемся списке Apply onto можно выбрать "глубину" распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит также от того, установлен или нет флажок Apply these auditing entries to objects and/or containers within this container only. По умолчанию этот флажок снят. В табл. 10.8 и 10.9 показано, как настройки аудита действуют в случае, когда данный флажок соответственно снят и установлен. Как можно видеть, его состояние определяет значения последних двух столбцов этих таблиц: при установленном флажке никакие проверки не распространяются на содержимое вложенных папок.
Таблица 10.8. Действие настроек аудита при снятом флажке Apply these auditing entries to objects and/or containers within this container only
Значения в списке Apply onto | Выполняется аудит текущей папки | Выполняется аудит дочерних папок текущей папки | Выполняется аудит файлов в текущей папке | Выполняется аудит всех дочерних папок | Выполняется аудит файлов во всех дочерних папках | ||||||
This folder only (Только для этой папки) | + |   |   |   |   | ||||||
The folder, subfolders and files (Для этой папки, ее подпапок и файлов) | + | + | + | + | + | ||||||
This folder and subfolders (Для этой папки и ее подпапок) | + | + |   | + |   | ||||||
This folder and files (Для этой папки и ее файлов) | + |   | + |   | + | ||||||
Subfolders and files only (Только для подпапок и файлов) |   | + | + | + | + | ||||||
Subfolders only (Только для подпапок) |   | + |   | + |   | ||||||
Files only (Только для файлов) |   |   | + |   | + |
Таблица 10.9. Действие настроек аудита при установленном флажке Apply these auditing entries to objects and/or containers within this container only
Значения в списке Apply onto |
Выполняется аудит текущей папки |
Выполняется аудит дочерних папок текущей папки |
Выполняется аудит файлов в текущей папке |
Выполняется аудит всех дочерних папок |
Выполняется аудит файлов во всех дочерних папках |
This folder only (Только для этой папки) |
+ |
  |
  |
  |
  |
The folder, subfolders and files (Для этой папки, ее подпапок и файлов) |
+ |
+ |
+ |
  |
  |
This folder and subfolders (Для этой папки и ее подпапок) |
+ |
+ |
  |
  |
  |
This folder and files (Для этой папки и ее файлов) |
о |
  |
+ |
  |
  |
Subfolders and files only (Только для подпапок и файлов) |
  |
+ |
+ |
  |
  |
Subfolders only (Только для подпапок) |
  |
+ |
  |
  |
  |
Files only (Только для файлов) |
  |
  |
+ |
  |
  |
Оснастка Local Users and Groups
Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.
Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management
Отключение аудита файлов и папок
Для отключения аудита для некоторого файла или папки:
1. Откройте вкладку Auditing (Аудит) для требуемого файла или папки.
2. В окне Auditing entries (Элементы аудита) выберите нужную запись и нажмите кнопку Remove (Удалить). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен полностью.
Примечание
Если кнопка Remove (Удалить) недоступна, это значит, что настройки аудита наследуются от родительской папки.
Отправка запроса по электронной почте
Если вы решили воспользоваться электронной почтой, введите адрес вашего коллеги (см. рис. 10.20) и щелкните по ссылке Continue. В следующем окне программы-мастера можно ввести произвольный текст, сопровождающий запрос (например, описание вашей проблемы). Далее, определите время действия приглашения и задайте пароль, если вы каким-то "безопасным" образом можете сообщить его вашему коллеге. Это весьма критичные параметры. Если вы оставите срок действия приглашения равным одному часу, а письмо будет получено через 2—3... часа, то рассчитывать на успех вам не придется. Пароль дополнительно защищает ваш запрос. После нажатия кнопки Create E-mail Invitation (Отправить приглашение) будет выполнено формирование и отправка почтового запроса.
Если вы послали просьбу о помощи по почте, ваш адресат получит письмо с заголовком YOU HAVE RECEIVED A REMOTE ASSISTANCE INVITATION (Приглашение с запросом об удаленной помощи), содержащее интернет-ссылку1. Он должен щелкнуть по этой ссылке, если согласен на диалог. (Браузер адресата должен быть настроен соответствующим образом, для чего на запрашиваемой веб-странице имеются соответствующие инструкции. У адресата должен также быть загружен и установлен элемент Remote Assistance Server Control, обеспечивающий удаленный доступ.) Теперь общение будет происходить в "реальном времени": начинается подключение к компьютеру — источнику запроса. С этого момента, когда появится запрос, показанный на рис. 10.21, все последующие действия партнеров одинаковы и не зависят от способа получения запроса на удаленную помощь. Отправитель должен разрешить вход на свой компьютер — в этом случае начнется сессия удаленного доступа.
Пакет Windows Server 2003 Support Tools
На дистрибутивных Дисках систем Windows Server 2003 имеется пакет чрезвычайно полезных утилит, которые в значительной мере облегчают поиск неисправностей в сетях и доменах на базе Windows 2000 Server и Windows Server 2003. (Многие их этих утилит упоминались в разных главах данной книги.)
Этот пакет называется Windows Server 2003 Support Tools и должен устанавливаться отдельно от самой системы. Для его установки нужно запустить файл Suptools.msi, находящийся в дистрибутиве в папке \SUPPORT\TOOLS. Кроме того, дистрибутив содержит мощнейшее средство миграции между доменами — Active Directory Migration Tool version 2.0 (ADMT), которое устанавливается из папки \I386\ADMT.
В табл. 10.10 перечислены основные административные утилиты и указаны области их применения.
Таблица 10.10. Назначение утилит из пакета Windows Server 2003 Support Tools
Административная задача | Используемые инструменты | ||
Просмотр и редактирование объектов Active Directory | ADSIEdit.msc, Ldp.exe, DsMod.exe, DsMove.exe, DsRm.exe, AdsVw.exe, ModifyUsers.vbs | ||
Запросы к каталогу Active Directory | DsQuery.exe, DsGet.exe, Ldp.exe, Search.vbs, UserAccount.vbs, EnumProp.exe | ||
Миграция и реструктуризация; работа с объектами Active Directory | ADMT, MoveTree.exe, NetDom.exe, ClonePrincipal, DsAdd.exe, AddUsers.exe, GrpCpy.exe | ||
Экспорт/импорт, пакетные операции | CSVDE.exe, LDIFDE.exe, AddUsers.exe, CreateUsers.vbs | ||
Диагностика и обслуживание базы данных Active Directory | NTDSutil.exe | ||
Диагностика сети | NetDiag.exe, NSIookup.exe, DCdiag.exe, NLtest.exe, DNSCmd.exe, RPCPing | ||
Репликация каталога Active Directory | RepAdmin.exe, ReplMon.exe, DsaStat.exe, NTFRSutl.exe | ||
Безопасность Active Directory | ACLDiag.exe, DsACLs.exe, SDCheck.exe, KerbTray.exe, KList.exe | ||
Безопасность системных объектов (файлов, общих ресурсов, реестра и т. д.) | SIDWalker, SublnACL.exe, ADMT | ||
Групповые политики | GPOTool.exe, GPResult.exe, Group Policy Management Console (GPMC) |
Папка All Users
Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп.
Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.
Персональные программные группы. Они доступны только создавшему их пользователю.
Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Start. Группы этого типа на компьютерах, где работает Windows Server 2003, могут создавать только члены группы Administrators.
Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.
Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.
В системах Windows XP появились еще три группы.
Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.
Еще четыре группы появились в системах Windows Server 2003.
Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).
Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.
Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.
Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.
Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.
Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.
Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.
Параметры службы Windows Time
Настройки службы синхронизации времени хранятся в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\W32Time. Перечислим некоторые наиболее важные параметры.
По умолчанию служба Windows Time функционирует в режиме синхронизации с внешним источником. При этом параметр Parameters\type имеет значение NTP. В случае подключения к домену этот параметр изменяет свое значение на Ntsos. To же самое происходит в случае повышения одиночного сервера Windows Server 2003 до контроллера домена.
Значение параметра Parameters \NtpServer определяет сервер NTP, с которым происходит синхронизация времени.
Чтобы запретить синхронизацию времени с внешним источником, можно очистить значение параметра Parameters\NtpServer и присвоить параметру parameters\Type значение NoSync. Если эту операцию выполнить на контролере — эмуляторе РОС корневого домена леса, все компьютеры этого леса будут, в конце концов, синхронизированы по часам этого контроллера.
Перемещаемые профили пользователей
Перемещаемый профиль по своей структуре идентичен локальному профилю, за исключением того, что в нем отсутствует папка Local Settings. Перемещаемый профиль определяется на уровне доменной учетной записи пользователя. Чтобы определить перемещаемый профиль, откройте вкладку Profile (Профиль) окна свойств объекта, ассоциированного с учетной записью пользователя (рис. 10.24). В поле Profile path необходимо указать путь к перемещаемому профилю пользователя.
Рис. 10.24. Назначение перемещаемого профиля
Путь к профилю пользователя задается в следующем формате: \\<сервер>\<общая_папка>\<имя_профиля>
Для размещения профилей можно использовать любую общую папку с полным доступом для группы Everyone (Все). Имя профиля может быть произвольным. Однако традиционно имя профиля совпадает с именем учетной записи пользователя.
Непосредственно создание профиля может быть осуществлено двумя способами. Первый способ предполагает автоматическое создание профиля в указанной папке при выходе пользователя из системы. Второй способ предполагает копирование в указанную папку приготовленного заранее профиля (например, можно скопировать один из локальных профилей пользователей).
Каждый раз, когда пользователь выходит из системы, текущие настройки рабочей среды сохраняются в локальном и перемещаемом профиле. В ходе регистрации пользователя в системе копия локального профиля сравнивается с копией перемещаемого профиля. Если копии различаются, используется более свежий профиль. Локальный профиль пользователя будет использован также в ситуациях, когда перемещаемый профиль окажется по каким-либо причинам недоступен (например, в случае отказа сервера, на котором он расположен). При этом по завершении работы пользователя система не будет предпринимать попыток сохранения изменений профиля на сервере.
Для придания перемещаемому профилю статуса обязательного необходимо переименовать файл NTUSER.DAT в файл NTUSER.MAN.
Получение информации о службе Windows Time
На компьютере, находящемся под управлением Windows XP или Windows Server 2003, администратор может получить информацию о функционировании службы синхронизации времени в домене при помощи команды, приведенной ниже.
C:\>w32tm /monitor /domain:khsu.ru
root.khsu.ru *** PDC *** [192.168.1.1]:
ICMP: Oms delay. NTP: +0.0000000s offset from root.khsu.ru
RefID: 'LOCI' [76.79.67.76]
store.khsu.ru [192.168.1.2]:
ICMP: Oms delay.
NTP: -0.0100835s offset from root.khsu.ru
RefID: root.khsu.ru [192.168.1.1]
Профили пользователей
На изолированном компьютере с Windows Server 2003 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.
Профиль пользователя обладает следующими преимуществами:
при регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы;
несколько пользователей могут работать на одном и том же компьютере в . индивидуальных средах (нельзя только иметь собственные параметры разрешения экрана и частоты развертки; здесь нужно применять профили оборудования);
при работе компьютера в домене профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile). Разновидностью перемещаемых профилей являются обязательные профили (mandatory profiles). Такой профиль пользователь не может изменять, и все изменения, сделанные в настройках системы, теряются при выходе из нее. В Windows XP и Windows Server 2003 обязательные профили поддерживаются только для совместимости, вместо них рекомендуется применять групповые политики.
Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!
Пользовательские профили можно применять различным образом:
создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями;
назначать общие групповые настройки всем пользователям;
назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.
Разрешение удаленного доступа
Для управления режимом удаленного доступа (не путайте его с удаленным доступом через коммутируемое подключение!) используется вкладка Remote (Удаленное использование) окна свойств системы System Properties (рис. 10.9). (Для быстрого доступа к этому окну можно использовать клавиши <Win>+<Break>.)
Чтобы пользователи могли с других компьютеров обратиться к вашей системе, установите флажок Allow users to connect remotely to this computer. Нажав кнопку Select Remote Users, вы можете явно указать, каким пользователям разрешен удаленный доступ (рис. 10.10): эти пользователи будут включены в локальную группу Remote Desktop Users. По умолчанию только администраторы имеют удаленный доступ к компьютеру.
Использовать учетные записи без пароля для удаленного доступа нельзя. Если на компьютере имеются такие записи, то при установке флажка Allow users to connect remotely to this computer появится предупреждение, показанное на рис. 10.11.
Рис. 10.9. Окно управления функциями Remote Desktop и Remote Assistance
Рис. 10.10. Пользователям, указанным в данном окне, будет разрешен удаленный доступ к рабочему столу компьютера
Рис. 10.11. Напоминание о том, что учетные записи без пароля нельзя использовать для удаленного доступа к компьютеру
Сервер сценариев Windows (WSH)
Сервер сценариев Windows (Windows Script Host, WSH) не зависит от языка сценария и устанавливается в системах Windows 98/ME, Windows 2000/XP и Windows Server 2003 как стандартное средство. Также его можно установить в системах Windows 95 и Windows NT 4.0. Компания Microsoft разработала и поддерживает ядро сценариев как для Visual Basic, так и для JavaScript. В составе Windows XP и Windows Server 2003 поставляется WSH версии 5.6.
Сессия удаленного доступа
После того как пользователь, отправивший запрос к удаленному помощнику, подтвердил свой запрос, у помощника (в диалоговых окнах он называется Expert) открывается окно Remote Assistance, в котором он может видеть экран собеседника и вести с ним обмен сообщениями (рис. 10.22). При этом Expert может только наблюдать за экраном компьютера пользователя. Программа Remote Assistance запускается и у пользователя, только ее окно выглядит и иначе. (На рис. 10.22 можно видеть два окна Remote Assistance: "большое" отображается на компьютере помощника, и "маленькое", в центре рисунка — на компьютере пользователя.) При наличии соответствующей аппаратуры можно установить голосовую связь (кнопка Start Talking (Начать разговор)).
При необходимости Expert может запросить доступ к компьютеру, возможность управлять им (кнопка Take Control (Взять управление)). У пользователя при этом появится специальное сообщение, и он должен дать отдельное разрешение на управление своим компьютером — в этом случае рабочий стол становится доступным одновременно и для пользователя, и для помощника, у которого при получении разрешения тоже появляется предупреждение. В любой момент дистанционное управление компьютером может быть разорвано с любой стороны путем нажатия клавиши <Esc> или комбинации клавиш, включающих <Esc>.
При совместном управлении компьютером требуется согласовывать действия сторон и не пользоваться мышью и клавиатурой одновременно.
1 В системах Windows XP письмо содержало файл, который получатель должен был запустить на выполнение, подтверждая свое желание ответить на запрос. При этом не требовалось подключение к Интернету взаимодействующих сторон.
Рис. 10.22. Окно программы Remote Assistance позволяет видеть экран пользователя, запросившего помощь, и вести обмен текстовыми сообщениями
Синхронизация с внешним источником времени
В спецификациях стека протоколов TCP/IP предусмотрен специальный протокол NTP (Network Time Protocol, RFC 1119). Этот протокол позволяет выполнять синхронизацию системных часов компьютеров, соединенных через сеть TCP/IP. Клиент протокола NTP синхронизирует показания своих часов с показаниями часов службы сервера NTP. Администратор может синхронизировать системные часы компьютера с внешним источником при помощи двух утилит командной строки. В первом случае необходимо использовать утилиту командной строки net time: net time /SETSNTP:<имя_cepвepa_ntp>
Если вы имеете дело с клиентом Windows XP или Windows Server 2003, вы можете прибегнуть ко второму способу, заключающемуся в использовании утилиты w32tm: w32tm /config /manualpeerlist:<имя_сервера_ntp> /update
Внимание
Следует заметить, что утилита w32tm, поставляемая в составе Windows 2000, отличается от одноименной утилиты, имеющейся в Windows XP и Windows Server 2003.
В качестве сервера NTP в обоих случаях может выступать некоторый контроллер домена. В случае контроллера корневого домена леса речь может идти о внешнем источнике синхронизации. По умолчанию клиенты, находящиеся под управлением операционных систем Windows XP и Windows Server 2003, синхронизируют свои системные часы с узлом Интернета time.windows.com.
Служба Windows Time
Использующийся в доменах Active Directory протокол Kerberos включает в аутентификаторы специальные временные метки, чтобы исключить возможность их перехвата. Эта мера имеет одно важное последствие. Чтобы механизм аутентификации успешно работал, необходимо, чтобы системные часы всех компьютеров находились в синхронизированном состоянии. Действительно, получая аутентификатор, подсистема аутентификации сравнивает время его создания с показаниями собственных часов. Если разница составляет больше пяти минут, аутентификатор будет отклонен.
Синхронизация системных часов компьютера осуществляется службой Windows Time. Принцип работы этой службы следующий. Клиентские компьютеры автоматически синхронизируют свои часы с контроллером домена, являющегося исполнителем специализированной роли эмулятора PDC (PDC Emulator). РОС Emulator синхронизирует показания своих системных часов с показаниями часов контроллера родительского домена (или корневого домена леса). Контроллер корневого домена леса может синхронизировать показания своих часов с некоторым внешним источником (например, службой точного времени). Как вариант возможна ситуация, когда синхронизация часов контроллера корневого домена не выполняется. В этом случае показания системных часов данного контроллера домена считаются эталонными.
Примечание
Служба синхронизации времени реализована во всех операционных системах, использующих протокол аутентификации Kerberos — Windows 2000/XP и Windows Server 2003.
Сохранение и восстановление паролей пользователей
По требованиям безопасности локальные учетные записи системы должны защищаться паролями, что уменьшает вероятность того, что посторонний пользователь получит доступ к компьютеру. Однако в этом случае пользователи системы сами рискуют потерять доступ к системе, если забудут свой пароль. Кроме того, при принудительном изменении пароля можно потерять персональные настройки конфигурации компьютера. Системы Windows ХР и Windows Server 2003 предоставляют возможность создания так называемой "дискеты восстановления пароля" (Password Reset Disk), с помощью которой пользователь может установить новый пароль в случае утраты старого. Однажды созданная дискета позволяет войти в систему, даже если после этого текущий пароль менялся неоднократно.
Внимание
Дискета Password Reset Disk фактически является ключом к компьютеру, поэтому необходимо обеспечить сохранность этой дискеты, равно как и ее недоступность для посторонних. Такие дискеты создаются индивидуально для каждой учетной записи.
Посмотрим, как создать Password Reset Disk для локальной учетной записи на автономном компьютере или компьютере, входящем в рабочую группу.
1. Зарегистрируйтесь в системе и, нажав клавиши <Ctrl>+<Alt>+<Del>, откройте окно Windows Security.
2. Нажмите кнопку Change Password (Изменить пароль).
3. После нажатия в окне Change Password кнопки Backup запустится мастер Forgotten Password Wizard. Следуйте его указаниям.
4. Вставьте дискету, на которую мастер запишет файл userk.ey.psw, содержащий в зашифрованном виде пароль текущей учетной записи.
5. Введите текущий пароль учетной записи. Когда мастер закончит работу (100% готовности), нажмите кнопки Next и Finish (Готово).
6. Закройте все открытые окна и сохраните дискету в надежном месте.
Теперь предположим, что вы забыли или ввели неправильно пароль для своего имени. Система предложит вам воспользоваться дискетой восстановления (рис. 10.2). Нажмите кнопку Reset (Сброс). Запустится мастер Password Reset Wizard, для работы которого, собственно говоря, и нужна дискета Password Reset Disk.
Рис. 10.2. Если вы забыли свой пароль, воспользуйтесь дискетой Password Reset Disk
Мастер попросит вставить дискету Password Reset Disk и (если дискета опознана успешно) установить произвольный новый пароль (рис. 10.З). После этого вы вернетесь в окно Log On to Windows и сможете войти в систему, пользуясь вновь созданным паролем.
Рис. 10.3. В этом окне можно установить новый пароль для своей учетной записи
Аналогичные операции можно выполнить и на компьютерах, являющихся членами домена. Помните, однако, что пароли доменных учетных записей хранятся централизованно на контроллерах домена, и для них дискеты восстановления не создаются.
Создание локального профиля пользователя
Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users, используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.
Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.
Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).
Рис. 10.8. Создание локальной группы
2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты (\).
Создание пользовательской учетной записи
Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).
Рис. 10.6. Создание новой локальной учетной записи
2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).
4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).
Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.
Рис. 10.7. Окно свойств локальной учетной записи пользователя
Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: " / \ [ ]:; | =, + *?<>
Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).
Создание сценариев входа
Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Group Policy Object Editor сценарии входа назначаются соответствующему пользователю, компьютеру или объекту каталога Active Directory, если компьютер входит в домен. Поскольку действия групповых политик могут распространяться на группы объектов каталога, один сценарий может выполняться несколькими пользователями или компьютерами. В табл. 10.5 приведены примеры параметров, значения которых можно устанавливать с помощью сценария входа, и их описание.
Таблица 10.5. Параметры, устанавливаемые с помощью сценария входа
Параметр | Описание | ||
%HOMEDRIVE% | Имя устройства локального компьютера, связанного с домашним каталогом пользователя | ||
%НОМЕРАТН% | Полный путь к домашнему каталогу пользователя | ||
%HOMESHARE% | Имя общего ресурса, где находится домашний каталог пользователя | ||
%OS% | Операционная система компьютера пользователя | ||
%PROCESSOR ARCHITECTURE% | Тип процессора (например, Pentium) компьютера пользователя | ||
%PROCESSOR_LEVEL% | Уровень процессора компьютера пользователя | ||
%USERDOMAIN% | Домен, в котором находится учетная запись пользователя | ||
%USERNAME% | Имя пользователя |
Структура нового профиля пользователя
Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows Server 2003. Файл NTUSER.DAT, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows Server 2003. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.
Структура профиля пользователя
Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папки All Users, LocalService и NetworkService находятся в папке Documents and Settings корневого каталога на загрузочном томе. В папке каждого пользователя находятся файл NTUSER.DAT и список ссылок на объекты рабочего стола. На рис. 10.23 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола. Файл ntuser.dat.LOG представляет собой журнал транзакций, фиксирующий изменения профиля и позволяющий восстановить его в случае, когда происходит повреждение файла NTUSER.DAT.
Рис. 10.23. Структура подпапок профиля пользователя
В табл. 10.4 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое. Некоторые из этих подпапок являются скрытыми и могут быть не видны при обычном просмотре. Все указанные папки, кроме папки Local Settings, входят в перемещаемый профиль пользователя (при работе компьютера в составе домена). При использовании обычного профиля локальные папки Application Data, Desktop, My Documents, My Pictures и Start Menu можно переназначать на общие сетевые диски при помощи оснастки-расширения Folder Redirection (Перенаправление папки), входящей в оснастку Group Policy Object Editor (Групповая политика).
Таблица 10.4. Содержимое папки локального профиля пользователя
Подпапка | Содержимое | ||
Application Data | Данные, относящиеся к конкретным приложениям, например, индивидуальный словарь. Разработчики приложений сами принимают решение, какие данные должны быть сохранены в папке профиля пользователя | ||
Cookies | Служебные файлы, получаемые с просматриваемых вебсерверов | ||
Desktop (Рабочий стол) | Объекты рабочего стола, включая файлы и ярлыки | ||
Favorites (Избранное) | Ярлыки часто используемых программ и папок | ||
Local Settings | Данные о локальных настройках, влияющих на работу программного обеспечения компьютера | ||
My Documents (Мои документы) | Данные о документах и графических файлах, используемых пользователем | ||
My Recent Documents (Недавно использовавшиеся документы) | Данные о документах и графических файлах, открытых пользователем в течение последнего времени | ||
NetHood | Ярлыки обьектов сетевого окружения | ||
PrintHood | Ярлыки обьектов папки принтера | ||
Recent | Ярлыки недавно используемых объектов | ||
SendTo | Ярлыки объектов, куда могут посылаться документы | ||
Start Menu (Главное меню) | Ярлыки программ | ||
Templates (Шаблоны) | Ярлыки шаблонов | ||
UserData | Служебная информация |
Для управления пользовательскими профилями имеется более десятка групповых политик, которые доступны в окне оснастки Group Policy Object Editor в папках Computer Configuration | Administrative Templates | System | User Profiles (Конфигурация компьютера | Административные шаблоны | Система | Профили пользователей) и User Configuration | Administrative Templates | System | User Profiles (Конфигурация пользователя | Административные шаблоны | Система | Профили пользователей).
Типовые задачи администрирования
В этой главе мы рассмотрим стандартные задачи, которые администратор может выполнять в системе: конфигурирование учетных записей, настройка рабочей среды пользователя, аудит системных событий, планирование автоматического запуска задач и т. д. Кроме того, описываются два новых по сравнению с Windows 2000, весьма эффективных средства удаленного администрирования — Remote Desktop и Remote Assistance.
Удаленный доступ через Интернет
Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера введите http://<имя_cepвepa>/TSWeb, где имя_сервера — DNS-имя веб- сервера (компьютера с установленными службами IIS) или его IP-адрес.
Рис. 10.16. Окно интернет-подключения к удаленному компьютеру
После соединения с сервером появится веб-страница "Remote Desktop Web Connection" (Интернет-подключение к удаленному рабочему столу) (рис. 10.16), где в поле Server (Сервер) вы должны указать имя или адрес того компьютера, к которому хотите подключиться, после чего нажмите кнопку Connect (Подключить). Обратите внимание на то, что имена веб-сервера и целевого компьютера могут различаться: т. е. вы "входите" в сеть через один компьютер, а подключаетесь к любому другому.
Внимание
Чтобы описанный режим работал, в составе службы WWW (World Wide Web Service) на сервере должен быть установлен компонент Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу).
При первом выполнении описанной процедуры с сервера загрузится компонент ActiveX, который нужно установить на локальном компьютере. Его окно показано на рис. 10.17. Нажмите кнопку Yes (Да).
Рис. 10.17. Предупреждение об установке ActiveX-компонента на локальном компьютере
После этого выполняется подключение к выбранному (целевому) компьютеру и появляется традиционное окно регистрации. На рис. 10.18 для примера показано окно браузера Internet Explorer, в котором отображается сессия работы на удаленном компьютере. Обратите внимание, что в окне адреса указан IP-адрес одного компьютера (через который мы вошли в сеть), а подключение выполнено к другому компьютеру — его адрес указан в нижней части экрана. Напомним, что такую картинку можно получить в любой операционной системе, где установлен Internet Explorer версии 4.0 и выше. В полноэкранном режиме работы панели браузера не отображаются совсем, и мы увидим только рабочий стол удаленного компьютера.
Рис. 10.18. Окно сессии удаленного доступа к рабочему столу Windows Server 2003 через Интернет
Удаленный доступ к рабочему столу (Remote Desktop)
В предыдущих серверных версиях Windows для удаленного управления сервером администратор должен был использовать службы терминалов. Минусом подобного решения являлась необходимость развертывания службы терминалов даже в том случае, когда администратору требовалось только одно удаленное подключение с целью выполнения рутинных административных задач. В системах Windows XP и Windows Server 2003 имеется стандартный механизм Remote Desktop for Administration, или просто Remote Desktop, который позволяет подключаться удаленно и выполнять необходимые операции по управлению сервером. Этот механизм в своей основе использует службы терминалов и поддерживает два одновременных удаленных подключения (в Windows XP — одно). Администратор может с любого рабочего места администрировать все серверы, находящиеся под управлением Windows Server 2003, подключаясь к ним удаленно.
Примечание
Механизм Remote Desktop for Administration no своей сути аналогичен режиму Remote Administration, который поддерживали службы терминалов Windows 2000. В Windows Server 2003 задача удаленного администрирования балы отделена от служб терминалов и реализована в рамках отдельного механизма. Отделение механизма удаленного администрирования от служб терминалов позволило свести нагрузку на сервер к минимуму в ситуации, когда необходимо только управление сервером с другого компьютера.
В системах Windows XP и Windows Server 2003 имеется также функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получить помощь в сложных ситуациях (см. след, раздел).
Примечание
По умолчанию функции Remote Desktop и Remote Assistance отключены.
Кроме этого, если на некотором компьютере под управлением Windows XP или Windows Server 2003 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удаленный доступ к любой системе Windows XP или Windows Server 2003, находящейся в той же локальной сети, из веб-браузера (Internet Explorer 4.0 и выше), работающего в любой операционной системе. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удаленной системы Windows Server 2003 на базе какого-нибудь мощнейшего процессора, работать на ней в полноэкранном режиме.
Все сессии удаленного доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам: протокол RDP, использующийся при этом, шифруется с помощью алгоритма RC4.
Удаленный помощник (Remote Assistance)
Средство Remote Assistance (Удаленный помощник) по сути реализовано так же, как и описанная в предыдущем разделе функция Remote Desktop.
Для использования Remote Assistance обе системы должны работать под управлением Windows ХР или Windows Server 2003. Включить/выключить это средство можно на вкладке Remote (Удаленное использование) (см. рис. 10.9) (по умолчанию оно выключено). Нажав на этой вкладке кнопку Advanced (Подробнее), можно настроить некоторые параметры удаленного помощника (рис. 10.19). Обратите внимание на то, что при включении Remote Assistance по умолчанию разрешено и удаленное управление компьютером. Это не должно вас пугать, поскольку для управления компьютером всегда требуется дополнительное, явное разрешение с вашей стороны во время сеанса работы удаленного помощника. Если вы не измените срок действия запроса (по умолчанию 30 дней), то в течение этого времени ваше приглашение будет действительным, т. е. помощник сможет запрашивать доступ к вашему компьютеру. Всякий раз при этом от вас потребуется отдельное разрешение на его подключение.
Рис. 10.19. Окно настройки параметров сервиса Remote Assistance
Работа с удаленным помощником не вызывает затруднений (поскольку осуществляется с помощью программы-мастера), поэтому мы опишем процедуру инициализации сеанса совместной работы в целом.
1. Откройте окно Help and Support Center (Центр справки и поддержки) и в группе ссылок Support Tasks (Поддержка) щелкните по ссылке Remote assistance (Приглашение на подключение для Удаленного помощника).
2. В следующем окне щелкните по ссылке Invite someone to help you (Отправить приглашение); здесь же вы можете просматривать состояние своих запросов и управлять ими — для этого выберите ссылку View invitation status (Показать состояние отправленных приглашений).
Передать запрос можно с помощью встроенной программы Windows Messenger (самый простой и оперативный вариант!) или посредством электронной почты (оба варианты могут быть реализованы даже в локальной сети). Поэтому рассмотрим каждый вариант отдельно.
Управление рабочей средой пользователя
Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.
Для управления средой пользователя предназначены следующие средства систем Windows 2000/XP и Windows Server 2003.
Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды системы, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в папке, имя которой для вновь установленной системы выглядит следующим образом: %SystemDrive%\Documents and 8е11т£5\<имя_полъзователя>.
Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.
Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не нужно встраивать в документ HTML.
Управление учетными записями
Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 "Администрирование доменов"). Управление локальными учетными записями на контроллерах домена невозможно.
Вход в систему
После загрузки системы Windows Server 2003 появляется обычный экран регистрации в системе — традиционный способ входа в Windows NT и Windows 2000 (рис. 10.1, сверху). Системы Windows Server 2003 не поддерживают имеющиеся в Windows XP средства входа в систему: экран приветствия Welcome screen и сервис Fast User Switching (Быстрое переключение пользователей).
Для входа в систему требуется одновременно нажать клавиши <Ctd>+ +<Alt>+<Delete> и в окне Log On to Windows (рис. 10.1, снизу) ввести имя учетной записи и пароль. Если компьютер подключен к домену, в списке Log on to можно выбрать домен. Если для регистрации указывается основное имя пользователя (user principal name), например, Aieksey@net.dom, то домен не указывается.
Для блокировки компьютера можно использовать быстрые клавиши <Win>+<L>: при этом все рабочие окна закрываются (текущее состояние системы и программ не меняется) и на рабочем столе появляется окно Computer Locked.
Рис. 10.1. Окно входа в системы Windows Server 2003
Выход из сеанса
При работе в сеансе удаленного доступа к компьютеру администратор имеет три возможности завершения сеанса (в любом случае он должен открыть меню Start (Пуск) и нажать кнопку Shut Down (Конец работы)):
можно выключить компьютер, выбрав в окне Shut Down Windows опцию Shut down;
можно выйти из системы, выбрав опцию Log off;
можно прервать текущий сеанс, выбрав опцию Disconnect — при этом при повторном подключении к этому компьютеру с ранее использованным именем администратор получит ту же рабочую среду (открытые окна и запущенные программы), которую он "оставил" при отключении от сеанса.
Выполнение заданий по расписанию (Task Scheduler)
В дополнение к командам AT системы Windows XP и Windows Server 2003 располагают новым средством — планировщиком заданий (Task Scheduler). (Присутствует также новая утилита командной строки — Schtasks.exe, имеющая значительно больше функциональных возможностей по сравнению с AT.) С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором определяются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.
Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.
Служба Task Scheduler (имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. Управление этой службой может осуществляться интерактивно из окна Scheduled Tasks (Назначенные задания), которое доступно из панели управления или по команде Start | АН Programs | Accessories | System Tools | Scheduled Tasks. При помощи меню Advanced (Дополнительно) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда View Log (Просмотр журнала)), в котором также фиксируются все ошибки, возникшие при запуске заданий.
Среди особенностей планировщика можно отметить:
удобный графический пользовательский интерфейс;
возможность программного доступа ко всем возможностям планировщика, включая страницы свойств;
создание новых заданий при помощи операции перетаскивания (drag-and-drop) или мастера Scheduled Task Wizard (Мастер планирования заданий);
средства безопасности.
Графический интерфейс планировщика заданий (рис. 10.29) не требует знания ключей и параметров программы (как это нужно для использования команды AT), он интегрирован в операционную систему и доступен из панели управления. Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Run (Выполнить) в контекстном меню выбранного задания). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.
Рис. 10.29. Пример окна планировщика заданий с разными типами запуска
Мастер Scheduled Task Wizard (запускаемый при выборе команды Add Scheduled Task (Добавить задание)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. На рис. 10.30 приведен пример расписания для программы Outlook Express, запускающейся по рабочим дням, 3 раза в день. Установив флажок Show multiple schedules (Показывать несколько расписаний), можно задать несколько расписаний для запуска любой программы.
Рис. 10.30. Вкладка Schedule для запланированной задачи запуска программы Outlook Express
Благодаря наличию набора интерфейсов API (планировщик задач позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь о поддержке и надежности этих служб. Возможность доступа к страницам свойств задачи (см. например, рис. 10.30) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.
В среде Windows Server 2003 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания (обратите внимание на наличие вкладки Security (Безопасность), рис. 10.30).
Примечание
При перемещении файла *.job в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows.
При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.
Запрос с использованием программы Windows Messenger
В данном случае вы должны предварительно выполнить вход в систему мгновенных сообщений. Если программа Windows Messenger запущена и вход выполнен, то вы получите экран, аналогичный показанному на рис. 10.20. Выберите доступного собеседника и щелкните по ссылке Invite this person (Пригласить этого человека).
Рис. 10.20. В этом окне можно выбрать доступного удаленного помощника и послать ему приглашение
После процедуры передачи запроса и его подтверждения выбранным собеседником нужно разрешить его доступ (рис. 10.21) — только в этом случае начнется процесс подключения удаленного пользователя к вашему компьютеру. В противном случае приглашение считается аннулированным.
Рис. 10.21. Если вы действительно посылали запрос указанному человеку, нажмите кнопку Yes
Возможно, еще проще отправить запрос непосредственно из окна программы Windows Messenger — в этом случае не нужно открывать окно Help and Support Center. Выполните вход в программе Windows Messenger, выберите доступного собеседника и в контекстном меню выполните команду Ask for Remote Assistance (Обратиться к удаленному помощнику). У выбранного собеседника откроется диалоговое окно, в котором он может обменяться с вами предварительной информацией и принять запрос.
Запуск и конфигурирование сеанса удаленного доступа
Для инициализации сеанса удаленного доступа служит утилита Remote Desktop Connection (она запускается из подменю Start | All Programs | Accessories | Communications или же при помощи команды mstsc из командной строки). Введите имя или IP-адрес удаленного компьютера и нажмите кнопку Connect (рис. 10.12) — и через несколько мгновений вы увидите окно, приглашающее зарегистрироваться в удаленной системе!
Рис. 10.12. Из этого окна можно инициировать сеанс работы с удаленным компьютером
Внимание
В системах Windows XP при входе в систему с помощью Remote Desktop текущий пользователь "выталкивается" из системы, при этом текущий сеанс не закрывается. Если удаленный пользователь входит с именем уже зарегистрированного пользователя, то он получает рабочую среду— открытые окна, запущенные программы — этого пользователя, который в свою очередь может снова войти в систему и вытолкнуть "пришельца". Только при использовании Remote Assistance возможна одновременная работа двух пользователей в одном сеансе. В Windows Server 2003 такого не происходит, поскольку в них для удаленного администрирования разрешены две сессии. Однако, если использовать команду mstsc /console, можно получить такой же режим работы, как и в Windows XP — т. е. с "выталкиванием".
В окне Remote Desktop Connection нажмите кнопку Options и внимательно просмотрите все вкладки, на которых определяются параметры удаленного подключения. Можно, например, устанавливать размер экрана, глубину цвета (до 24 бит), скорость подключения и пр. Обратите внимание на вкладку Local Resources (рис. 10.13).
Рис. 10.13. Вкладка, управляющая переназначением локальных устройств
По умолчанию звук с удаленного компьютера переназначается на локальный компьютер, и, работая на удаленном компьютере, можно выполнять печать на локальном принтере. Если установить флажок Disk drives, то можно одновременно пользоваться дисками обеих систем. Это очень удобно, например, для копирования файлов: "легким движением руки" в окне программы Windows Explorer (где будут отображаться диски обоих компьютеров) вы можете переписать любую информацию с удаленного компьютера на свой локальный диск.
Вкладка Experience (рис. 10.14) позволяет адаптировать сессию удаленного доступа к параметрам соединения: можно отключать некоторые возможности графики для низкоскоростных каналов и включать все возможности при соединении по локальной сети.
Рис. 10.14. Настройка параметров удаленного доступа в зависимости от скорости коммуникационного канала
Параметры текущего подключения можно сохранить в файле и использовать в дальнейшей работе для быстрой настройки подключений.
Совет
Для переключения окна сессии из полноэкранного режима в экран фиксированного размера и наоборот используются клавиши <Ctrl>+<Alt>+<Pause/Break>.
В системах Windows Server 2003 для работы со службами терминалов используется оснастка Remote Desktops. Она может использоваться и для удаленного доступа к компьютерам. На рис. 10.15 для примера показано одновременное подключение к двум удаленным компьютерам (Remote Server и Domain Controller). Каждый сеанс предварительно создается и конфигурируется (см. корень оснастки и дерево сеансов удаленного доступа), после чего его можно легко инициировать, указав курсором в списке. Так же легко можно и переключаться между различными сеансами.
Рис. 10.15. Окно оснастки Remote Desktops с двумя одновременными сеансами удаленного доступа
Запуск сценариев в среде Windows
Сценарий в среде Windows можно запустить тремя способами.
Дважды щелкните на файле сценария или на соответствующем значке в окне My Computer (Мой компьютер), в окне программы Windows Explorer или в окне результатов команды Search (Поиск).
В окне Run (Выполнить) введите с клавиатуры полное имя (включающее путь и расширение) выполняемого сценария и нажмите кнопку ОК.
В окне Run (Выполнить) введите wscript.exe с указанием полного имени сценария и необходимых параметров сервера и сценария.
При запуске сценария с помощью WSH можно указать, какое приложение следует использовать — Cscript.Exe или Wscript.Exe. Приложение сервера, выбираемое по умолчанию, может быть установлено с помощью команды cscript //H:имя_сервера_сценариев.
Например, если вы устанавливаете в качестве приложения, выбираемого по умолчанию, Wscript.exe и выполняете сценарий с именем Chart.vbs, то Wscript.exe будет выбираться по умолчанию для всех файлов сценариев, имеющих расширение vbs.
Страница свойств сервера сценариев Windows позволяет устанавливать параметры, приведенные в табл. 10.7.
Таблица 70.7. Свойства сервера сценариев
Свойство
Применение
Эквивалент параметра команды
cscript
(Отображать на консоли сведения о программе во время выполнения сценария)
Запуск сервера сценариев из командной строки
Для запуска сервера сценариев из командной строки используйте утилиту Cscript.exe в соответствии со следующим синтаксисом: cscript имя_сценария [параметры_сервера_сценариев] [параметры_сценария], где
имя_сценария — это имя файла сценария с расширением, например, Chart.vbs;
параметры_сервера_сценариев — включают и отключают различные средства сервера сценариев. Они всегда предваряются двумя слэшами (//);
параметры_сценария — передаются в сценарий. Они всегда предваряются одним слэшем (/).
Ни один из параметров не является обязательным. Однако нельзя указать параметры сценария без самого сценария. Если вы не указываете ни одного параметра, Cscript.exe выдает на экран синтаксис своего запуска и допустимые параметры сервера сценариев (табл. 10.6).
Таблица 10.6. Параметры сервера сценариев, поддерживаемые Cscript.exe
Параметр | Описание | ||
//B | Пакетный режим. Не отображает на экране сообщений об ошибках и приглашения пользователей | ||
//D | Активизирует функцию отладки | ||
//E=engine | Задает ядро, используемое для выполнения сценария | ||
//H:Cscript или Wscript | Устанавливает Cscript.exe или Wscript.exe в качестве приложения, выбираемого по умолчанию для выполнения сценариев. По умолчанию установлен Wscript.exe | ||
//I | Интерактивный режим (выбирается по умолчанию; режим, обратный задаваемому параметром / /в) | ||
//Job: xxx | Выполняет задание WSF | ||
//Logo | Отображает на экране заставку (выбирается по умолчанию; режим, обратный задаваемому параметром //NoLogo) | ||
//NoLogo | Запрещает вывод заставки | ||
//S | Сохраняет текущие параметры командной строки для этого пользователя | ||
//T:nn | Время ожидания в секундах. Максимальное время, в течение которого может выполняться сценарий. (По умолчанию ограничение не устанавливается.) | ||
  | Этот параметр используется для предотвращения слишком длительного выполнения сценариев. Устанавливается специальный таймер. Когда время выполнения превышает установленное значение, CSCRIPT прерывает работу ядра сценариев и завершает процесс | ||
//X | Задает выполнение сценария в среде отладчика | ||
//U | Использует кодировку Unicode для перенаправленного консольного ввода/вывода | ||
//? | Показывает параметры и синтаксис команды Cscript.exe |
Примеры простых сценариев можно скачать в виде пакета Sample Scripts no адресу http://msdn.microsoft.com/scripting/default.htm7/scripting/windowshost.
Например, для того чтобы запустить сценарий Chart.vbs:
1. В меню Start (Пуск) выберите команду Run (Выполнить).
2. В командной строке выполните следующие команды: cscript "устройство:"\"/Саталог"\chart.vbs //logo или cscript "устройство:"\"Каталог"\chart.vbs //nologo
В системах Windows XP и Windows Server 2003 не обязательно указывать расширение сценариев: можно просто набрать с клавиатуры имя сценария или щелкнуть по нему мышью в окне программы Windows Explorer.
Запуск утилит из командной строки
При-помощи команды RunAs можно запускать из командной строки любые исполняемые файлы (имеющие расширение exe, com, cmd, bat, msc), ярлыки (lnk), а также элементы панели управления (cpl).
Внимание
Существуют приложения и элементы, с которыми команда RunAs не может быть использована. Например, программа Windows Explorer, папка Printers и элементы рабочего стола.
Для запуска из командной строки утилит из пакета Windows Server 2003 Administrative Tools необходимо знать имена оснасток. В табл. 10.2 приводятся имена оснасток для наиболее часто используемых утилит из этого пакета.
Таблица 10.2. Имена оснасток для некоторых утилит пакета Windows Server 2003 Administrative Tools
Утилита | Имя оснастки | ||
Active Directory Domains and Trusts | domain. msc | ||
Active Directory Schema | должна быть создана администратором вручную | ||
Active Directory Sites and Services | dssite.msc | ||
Active Directory Users and Computers | dsa.msc | ||
Computer Management | compmgmt.msc | ||
Distributed File System | dfsgui.msc | ||
DNS | dnsmgmt.msc | ||
Domain Controller Security Settings | dcpol.msc | ||
Domain Security Settings | dompol.msc | ||
Group Policy | gpedit.msc | ||
Local Security Settings | secpol.msc | ||
Routing and Remote Access | rrasmgmt.msc | ||
Services | services, msc | ||
Device Manager* | devmgmt.msc | ||
Disk Management* | diskmgmt.msc | ||
Local Users and Groups* | lusrmgr.msc | ||
Shared Folders* | fsmgmt.msc |
*Оснастки, не отображаемые в меню Administrative Tools. Однако их можно найти в папке %SystemRoot%\system32
Команда RunAs имеет следующий формат:
runas [ [/noprofile | /profile] [/env] [/savecred | /netonly]]
/user:<имя_пользователя> приложение
Ключевые слова имеют следующий смысл:
/noprofile — в процессе запуска утилиты не будет осуществляться загрузка профиля пользователя. Благодаря этому приложения запускаются быстрее. Однако приложения, использующие информацию, размещенную в профиле пользователя, могут не работать;
/profile — загружается профиль пользователя. Данный режим выбирается по умолчанию;
/env — использовать текущее окружение, вместо того, чтобы создавать окружение, характерное для конкретного пользователя;
/savecred — использовать полномочия предыдущего пользователя;
/netonly — использовать полномочия исключительно для доступа к удаленным ресурсам;
/user — учетная запись пользователя.
Ниже приводится пример запуска оснастки Active Directory Users and Computers с полномочиями пользователя lex: c:\runas /user:lex@khsu.ru "mmc domain.msc"
В приведенном примере утилита запускается для управления доменом, к которому принадлежит текущий пользователь. Если необходимо запустить утилиту с полномочиями пользователя, принадлежащего к другому домену, используется другой формат команды. Ниже приводится пример запуска оснастки Active Directory Users and Computers с полномочиями пользователя kaizer, принадлежащего к домену kit.khsu.ru (NetBIOS-имя домена — KIT): c:\runas /netonly /user:KIT\kaizer "mmc domain.msc"
В приведенном примере используется формат NetBIOS для предоставления информации о домене, к которому принадлежит пользователь (домен\ пользователь). Однако допускается и использование основных имен пользователя (UPN).
Запуск утилит из контекстного меню
Администратор может запускать утилиты и оснастки любым способом — из главного меню, с рабочего стола, из программы Windows Explorer. При этом механизм административных утилит не требует, чтобы утилита запускалась на контроллере домена. Более того, чтобы не снижать производительность контроллера домена, рекомендуется использовать для управления системой специально выделенную рабочую станцию. Чтобы иметь на этой рабочей станции возможность осуществлять управление сетью, администратор должен предварительно установить на нее необходимые административные утилиты (как из набора Windows Server 2003 Administrative Pack, так и из вспомогательных пакетов Windows Server 2003 Support Tools и Resource Kit).
В случае если речь идет об установке определенных утилит для пользователей, которым делегированы полномочия на выполнение определенных операций, нет необходимости устанавливать весь пакет утилит. Можно установить на рабочую станцию только одну или несколько утилит из пакета Windows Server 2003 Administrative Tools. Для этого следует скопировать необходимые оснастки (файлы с расширением msc) и связанные с ними DLL-библиотеки из папки %SystemRoot%\system32 контроллера домена в любую папку на рабочей станции. Перейдя в указанную папку на рабочей станции, требуется зарегистрировать скопированные DLL-библиотеки. Для этого в режиме командной строки необходимо выполнить: regsvr32 <имя_DLL-библиотеки>
В табл. 10.1 приведены имена DLL-библиотек для некоторых, наиболее важных административных утилит.
Таблица 10.1. DDL-библиотеки, необходимые для работы некоторых административных утилит
Оснастка | Имя файла оснастки | Имя DLL-библиотеки | |||
Active Directory Domain and Trusts | domain, msc | domadmin.dll | |||
Active Directory Users and Computers | dsa.msc | dsadmin.dll | |||
Active Directory Sites and Services | dssite.msc | dsadmin.dll | |||
Active Directory Schema | - | schmmgmt.dll |
Примечание
Оснастка Active Directory Schema не инсталлируется автоматически. После того как файл schmmgmt.dll скопирован на рабочую станцию и зарегистрирован, пользователь должен добавить оснастку в управляющую консоль (ММС) и сохранить под некоторым именем.
Чтобы при помощи команды RunAs запустить утилиту с необходимыми полномочиями, вызовите контекстное меню утилиты, щелкнув по ее имени или пиктограмме правой кнопкой мыши. В меню выберите пункт Run as (Запустить как). В открывшемся окне (рис. 10.4) надо определить способ запуска утилиты — либо с полномочиями текущего пользователя (переключатель Current user), либо с полномочиями другого пользователя (переключатель The following user). В последнем случае необходимо предоставить сведения об имени учетной записи и сопоставленном ей пароле. Следует также указывать имя домена, к которому принадлежит учетная запись.
Рис. 10.4. Запуск программы с полномочиями другого пользователя
Примечание
Запуская утилиту в контексте текущего пользователя, можно защитить систему (прежде всего данные) от несанкционированных действий со стороны запущенного приложения. Подобные действия могут иметь место в случае, если приложение заражено компьютерным вирусом или является своего рода "троянским конем". Для этого необходимо установить флажок Run this program with restricted access.
В контекстном меню отдельных утилит имеется пункт Author, выбор которого позволяет запустить оснастку в авторском режиме. Авторский режим дает возможность модифицировать параметры оснастки.
Если утилита должна всегда запускаться в рамках полномочий другого пользователя, необходимо соответствующим образом сконфигурировать ярлык утилиты. Вызвав окно свойств ярлыка утилиты, на вкладке Shortcut (Ярлык) нужно щелкнуть по кнопке Advanced (Дополнительно). В открывшемся окне установите флажок Run with different credentials (Запускать с другими полномочиями).