Типовые задачи администрирования Windows 2000

  1. Глава  Планирование и установка системы Windows 2000
  2. Глава  Загрузка операционной системы
  3. Глава  Поддержка оборудования
  4. Глава  Пользовательский интерфейс
  5. Глава  Конфигурирование системы
  6. Глава  Средства управления
  7. Глава  Диски и файловые системы
  8. Глава  Восстановление системы
  9. Глава  Работа с дисковыми ресурсами
  10. Глава  Службы печати
  11. Глава  Типовые задачи администрирования
  12. Глава  Нулевое администрирование Windows (ZAW)
  13. Глава  Средства мониторинга и оптимизации
  14. Глава  Работа с системным реестром
  15. Глава  Сообщения Windows 2000 и отладчик
  16. Глава  Сеть и удаленный доступ к сети
  17. Глава  Серверы DHCP, DNS и WINS
  18. Глава  Дополнительные сетевые службы
  19. Глава  Коммуникационные службы
  20. Глава  Маршрутизация
  21. Глава  Работа с Интернетом и электронной почтой
  22. Глава  Службы Интернета в Windows 2000
  23. Глава  Основные концепции службы Active Directory
  24. Глава  Проектирование доменов и развертывание Active Directory
  25. Глава  Администрирование доменов
  26. Глава  Средства безопасности Windows 2000
  27. Глава  Групповые политики
  28. Строительная компания ЧАО Криворожаглострой
  29. Карта сайта zao-kas.com.ua

Глава 11

Типовые задачи администрирования

Создание локальных учетных записей пользователей и групп

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows 2000, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Обычно право доступа ассоциируется с объектом —_ файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.

 

Оснастка Локальные пользователи и группы (Local Users and Groups)

Оснастка Локальные пользователи и группы — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютерах. С ним можно работать на рабочих станциях и автономных серверах Windows 2000, как на изолированных, так и рядовых членах домена (member server). На контроллерах домена Windows 2000 инструмент Локальные пользователи и группы недоступен, поскольку все управление учетными записями и группами в домене выполняется с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Запускать оснастку Локальные пользователи и группы может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Опытные пользователи (Power Users).

Окно изолированной оснастки Локальные пользователи и группы выглядит аналогично показанному на рис. 11.1.   | | |

Рис. 11.1. Окно оснастки Локальные пользователи и группы

(Local Users and Groups)

 

Папка Пользователи (Users)

Сразу после установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows 2000. Ниже даны описания свойств обеих встроенных учетных записей:

Администратор — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать.

Гость — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию блокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение и входить в систему не может.) Она является членом группы Гости (Guests). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

 

Папка Группы (Groups)

После установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит шесть встроенных групп. Они создаются автоматически при установке Windows 2000. Ниже описаны свойства всех встроенных групп:

Администраторы (Administrators) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав.

Операторы архива (Backup Operators) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.

Гости (Guests) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы.

Опытные пользователи (Power Users) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.

Реплнкатор (Replicator) — членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.

Пользователи (Users) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.

 

Управление учетными записями

В качестве примера использования оснастки Локальные пользователи и группы для работы с учетными записями рассмотрим процедуру создания пользовательской учетной записи.

 

Создание учетной записи

Для создания учетной записи:

1. В оснастке Локальные пользователи и группы установите указатель мыши на папку Пользователи и нажмите правую кнопку. В появившемся контекстном меню выберите команду Новый пользователь (New User).

2. Появится окно диалога Новый пользователь (New User). В поле Пользователь (User name) введите имя создаваемого пользователя. В поле Полное имя (Full name) введите полное имя создаваемого пользователя. В поле Описание (Description) введите описание создаваемого пользователя или его учетной записи. В поле Пароль (Password) введите пароль пользователя и в поле Подтверждение (Confirm Password) подтвердите его правильность вторичным вводом. Длина пароля не может превышать 14 символов.

3. Установите или снимите флажки Потребовать смену пароля при следующем входе в систему (User must change password at next logon), Запретить смену пароля пользователем (User cannot change password), Срок действия пароля не ограничен (Password never expires) и Отключить учетную запись (Account is disabled).

4. Чтобы создать еще одного пользователя, нажмите кнопку Создать (Create) и повторите шаги с 1 по 3. Для завершения работы нажмите кнопку Создать и затем Закрыть (Close).

Имя пользователя должно быть уникальным для компьютера. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо:

" / \ I ]:; I =, + *?<>

Имя пользователя не может состоять целиком из точек и пробелов.

 

Изменение и удаление учетных записей

Изменять, переименовывать и удалять учетные записи можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо — меню Действие (Action) на панели меню оснастки Локальные пользователи и группы (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).

Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например, описание, полное имя пароля, членство в группах и т. д.

 

Управление локальными группами Создание локальной группы

Для создания локальной группы:

1. В окне оснастки Локальные пользователи и группы установите указатель мыши на папке Группы и нажмите правую кнопку. В появившемся контекстном меню выберите команду Новая группа (New Group).

2. В поле Имя группы (Group Name) введите имя новой группы.

3. В поле Описание (Description) введите описание новой группы.

4. В поле Члены группы (Members) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Добавить (Add) и выбрать их в списке.

5. Для завершения нажмите кнопку Создать и затем Закрыть.

Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратного слэша (\).

 

Изменение членства в локальной группе

Чтобы добавить или удалить учетную запись пользователя из группы:

1. В окне оснастки Локальные пользователи и группы щелкните на папке Группы.

2. В правом подокне установите указатель мыши на модифицируемую группу и нажмите правую кнопку. В появившемся контекстном меню выберите команду Добавить в группу (Add to Group) или Свойства (Properties).

3. Для того чтобы добавитв новые учетные записи в группу, нажмите кнопку Добавить. Далее следуйте указаниям окна диалога Выбор: Пользователи или Группы (Select Users or Groups).

4. Для того чтобы удалить из группы некоторых пользователей, в поле Члены группы окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Удалить (Remove).

В локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер; или в доверяемых доменах.

Примечание

Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на входящих в нее пользователей.

 

Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений. Для управления средой пользователя предназначены следующие средства Windows 2000:

Сценарий входа в сеть (сценарий регистрации) представляет собой командный файл, имеющий расширение bat, или исполняемый файл с расширением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды компьютера, на котором работает Windows 2000, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в файле, путь к которому выглядит следующим образом: Имя_устройства\корневой_каталог\РгоГ\\е$. Как правило, корневым является каталог \winnt.

Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или на консоли команд. При этом сценарии не надо встраивать в документ HTML.

 

Профили пользователей

На изолированном компьютере с Windows 2000 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.

Профиль пользователя обладает следующими преимуществами:

При регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы.

Несколько пользователей могут работать на одном и том же компьютере в индивидуальных средах.

Профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile).

 

Внимание

Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!

Пользовательские профили можно применять следующим образом:

Создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями.

Назначать общие групповые настройки всем пользователям.

Назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.

 

Настройки, хранящиеся в профиле пользователя

Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 11.1).

Таблица 11.1. Настройки профиля пользователя

Объект

Соответствующие ему параметры

Windows NT Explorer

Все настройки, определяемые самим пользователем, касающиеся программы Проводник (Windows NT Explorer)

Панель задач

Все персональные группы программ и их свойства, все программные объекты и их свойства, все настройки панели задач

Настройки принтера

Сетевые соединения принтера

Панель управления

Все настройки, определенные самим пользователем, касающиеся панели управления

Стандартные

Настройки всех стандартных приложений, запускаемых для конкретного пользователя

Приложения, работающие в операционной системе Windows 2000.

Любое приложение, специально созданное для работы в среде Windows 2000, может обладать средствами отслеживания своих настроек относительно каждого пользователя. Если такая информация существует, она хранится в профиле пользователя

Электронная подсказка

Любые закладки, установленные в справочной системе Windows 2000.

Консоль управления Microsoft

Индивидуальный файл конфигурации и текущего состояния консоли управления

 

Структура профиля пользователя

Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows 2000. Файл NTuser.dat, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows 2000. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

 

Папки профиля пользователя

Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папка All Users, находятся в папке Documents and Settings корневого каталога. В папке Default User находятся файл NTuser.dat и список ссылок на объекты рабочего стола. На рис. 11.2 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола.

В табл. 11.2 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое.

Таблица 11.2. Содержимое папки локального профиля пользователя

Подпапка

Содержимое

Application Data

Данные, относящиеся к конкретному приложению. Например, индивидуальный словарь. Разработчики приложений сами принимают решение, какие данные должны быть сохранены в папке профиля пользователя

Cookies

Служебные файлы, получаемые с просматриваемых веб-серверов

Local Settings

Данные о локальных настройках, влияющих на работу программного обеспечения компьютера

NetHood

Ярлыки объектов сетевого окружения

PrintHood

Ярлыки объектов папки принтера

Recent

Ярлыки недавно используемых объектов

SendTo

Ярлыки объектов, куда могут посылаться документы

Главное меню

(Start Menu)

Ярлыки программ

Избранное (Favorites)

Ярлыки часто используемых программ и папок

Мои документы

(My Documents)

Данные о документах и графических файлах, используемых пользователем

Рабочий стол (Desktop)

Объекты рабочего стола, включая файлы и ярлыки

Шаблоны (Templates)

Ярлыки шаблонов

 

Рис. 11.2. Структура подпапок профиля пользователя

 

Папка All Users

Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп:

Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.

Персональные программные группы. Они доступны только создавшему их пользователю.

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Пуск. Группы этого типа на компьютерах, где работает Windows 2000, могут создавать только члены группы Администраторы.

 

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.

Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Папка профиля пользователя на локальном компьютере содержит файл NTuser.dat и файл журнала транзакций с именем NTuser.dat.LOG (рис. 11.2). Он нужен для обеспечения отказоустойчивости, позволяя Windows 2000 восстанавливать профиль пользователя в случае сбоя при модификации содержимого файла NTuser.dat.

 

Перемещаемые профили пользователя

Перемещаемые профили пользователя могут быть созданы тремя способами:

Каждой учетной записи назначается путь к профилю пользователя. В этом случае на сервере происходит автоматическое создание пустой папки профиля пользователя. Затем пользователь может сам создать свой профиль.

Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя.

Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя. После этого файл NTuser.dat, путь к которому указан в каждой учетной записи, переименовывается в NTuser.man. В этом случае создается обязательный профиль пользователя.

 

Внимание

В перемещаемый профиль не входит подпапка Local Settings, где, в частности, хранятся архивы программы Outlook Express, папки Temporary Internet Files и History и временные файлы!

Имя сервера (это может быть любой сервер в сети), на котором будут находиться перемещаемые профили пользователей, указывается с помощью оснастки Локальные пользователи и группы и вкладки Профиль (Profile) окна свойств пользователя. В результате при завершении работы пользователя на компьютере его профиль сохраняется как на локальном компьютере, так и в папке на сервере, в соответствии с путем профиля. При следующей регистрации пользователя в сети дата копии профиля, находящейся на сервере, сравнивается с копией, расположенной локально на компьютере. Если они отличаются, информация берется из более свежей копии. Перемещаемый профиль находится в централизованном хранилище профилей в масштабах домена. Он может быть доступен только при условии работоспособности хранящего его сервера. В обратном случае используется локальная кэширо-ванная копия профиля пользователя. Если пользователь первый раз зарегистрировался в компьютере, создается новый профиль. В любом случае, если хранящийся централизованно профиль пользователя недоступен, он не обновляется при завершении работы. При следующей регистрации в компьютере пользователю придется напрямую указать копию профиля — более новую локальную или старую копию, находящуюся на сервере.

 

Примечание

Настройка перемещаемых профилей пользователей, являющихся членами домена Windows 2000, выполняется при помощи оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers), поскольку основная информация о пользователях домена хранится в каталоге. В остальном логика управления профилями остается неизменной: перемещаемый профиль хранится в указанной папке на некотором общем сетевом ресурсе, а в случае его недоступности используется кэшированная копия с локального компьютера.

С помощью оснастки Локальные пользователи и группы можно указать имя сервера, где будет храниться заранее созданный перемещаемый профиль пользователя. Затем в окне Система (System), вызываемом из панели управления, перейдите на вкладку Профили пользователей (User Profiles), нажмите

кнопку Копировать (Сору То) и скопируйте профиль заранее созданного профиля на сервер. При первой регистрации вместо профиля, установленного по умолчанию, пользователь получит копию заранее сконфигурированного профиля с сервера. В дальнейшем этот профиль функционирует так же, как любой стандартный профиль пользователя. Каждый раз, когда пользователь завершает работу, его профиль сохраняется локально и одновременно копируется на сервер.

 

Примечание

Для копирования профиля пользователя следует перейти на вкладку Профили пользователей окна Система. Нельзя для этой цели использовать Проводник или какой-либо другой инструмент управления файлами!

Обязательный профиль представляет собой сконфигурированный заранее перемещаемый профиль, который недоступен пользователю для модификации. Пользователь может изменять настройки рабочего стола, но при завершении работы на компьютере изменения не заносятся в профиль. При следующей регистрации на компьютере загружается обязательный профиль пользователя, в котором не произошло никаких изменений. Профиль пользователя становится обязательным, когда вы переименовываете файл NTuser.dat в NTuser.man. В этом случае файл становится доступен только для чтения. Один обязательный профиль может быть использован большим количеством пользователей.

Примечание

Когда для обеспечения безопасности или приведения рабочей среды пользователя в соответствии с его уровнем подготовки для работы на компьютере необходимо контролировать набор доступных функций, лучше использовать групповые политики. С их помощью вы можете выбрать подмножество настроек, а также контролировать как параметры среды пользователя, так и настройки компьютера.

 

Указание пути к профилю пользователя в учетной записи

Добавить путь расположения профиля пользователя к учетной записи можно с помощью вкладки Профиль окна свойств пользователя, открытого для определенной учетной записи в. окне оснастки Локальные пользователи и группы (или Active Directory — пользователи и компьютеры). Перейдите на вкладку Профиль и добавьте путь к профилю пользователя (рис. 11.3).

В учетной записи следует указать полный путь к профилю пользователя:

\\серъер\имя_общего_ресурса\имя_профиля

В качестве общего ресурса может выступать любая папка, к которой следует организовать общий доступ для группы Все (Everyone). В качестве имени профиля следует указать имя папки профиля данного пользователя (это может быть любая папка на общем ресурсе, в которой будет храниться про-

филь). Путь профиля пользователя может указывать на любой сервер. Это не обязательно должен быть контроллер домена. Когда пользователь регистрируется в сети, Windows 2000 Server проверяет, указан ли в его учетной записи путь профиля. Если путь указан, система находит соответствующий профиль.

Рис. 11.3. Вкладка Профиль (Profile) окна свойств учетной записи

 

Копирование профиля пользователя на сервер

Для того чтобы сделать определенный профиль доступным для нескольких пользователей, скопируйте его, на сервер с помощью вкладки Профили пользователей окна Система, вызываемого из панели управления. Место, куда скопирован профиль, должно совпадать с путем профиля, указанным в учетных записях пользователей.

В окне диалога Свойства системы (System Properties) перейдите на вкладку Профили пользователей. Все профили пользователей, созданные на компьютере, появятся в списке Профили, хранящиеся на этом компьютере (Profiles stored on this computer).

Для копирования определенного профиля пользователя перейдите на вкладку Копировать и введите имя целевой папки. В качестве альтернативы можно выбрать целевую папку с помощью службы просмотра. На рис. 11.4 показан пример окна Свойства системы со списком созданных на компьютере профилей пользователя.

Рис. 11.4. Окно Свойства системы (System Properties) со списком созданных на компьютере профилей пользователя

 

Добавление пользователей и групп к списку разрешений перемещаемого профиля пользователя

С помощью окна Система вместе с профилем пользователя копируются и соответствующие разрешения. Поэтому пользователь автоматически получает доступ к своему профилю. Однако если вы хотите, чтобы к профилю получили доступ другие пользователи и группы, необходимо добавить их в список объектов, которым разрешено использовать данный профиль. Для этого в списке Профили, хранящиеся на этом компьютере выберите интересующий вас профиль и нажмите кнопку Копировать. Появится окно диалога Копирование профиля (Сору То) (рис. 11.5). В группе Разрешить использование (Permitted to use) показано, кто имеет разрешение на использование данного профиля. Для того чтобы добавить нового пользователя или группу к списку разрешений профиля пользователя, нажмите кнопку Изменить (Change).

 

Примечание

Если вы назначаете путь перемещаемого профиля пользователя группе, то при каждом завершении работы кого-либо из членов группы его настройки записываются в хранящийся централизованно профиль. По этой причине рекомендуется делать такие профили пользователя обязательными или устанавливать различные настройки разным группам с помощью системных политик.

 

Рис. 11.5. Окно диалога Копирование профиля (Сору То)

 

Изменение типа профиля пользователя для подключения по медленной линии

Пользователи, присоединяющиеся к сети по медленной линии, например, при использовании службы удаленного доступа, могут работать со своим локальным профилем, а не загружать его с сервера по сети, что значительно ускоряет процесс регистрации. В таком случае при регистрации появляется окно, в котором пользователь может указать, какой профиль должен быть загружен.

Если вы уже зарегистрировались в сети, с помощью кнопки Сменить тип (Change Type) на вкладке Профиль окна свойств системы можно изменить тип профиля пользователя с перемещаемого на локальный и наоборот. Новые настройки останутся неизменными до их следующей модификации. При изменении профиля пользователя с перемещаемого на локальный кэшированная локально копия вашего профиля будет загружаться при каждой регистрации в компьютере. При каждом завершении работы все изменения также будут записываться в локальную копию профиля.

Если клиент работает по медленной линии, то для ускорения входа в систему можно установить на компьютере групповую политику, при которой будет использоваться кэшированный профиль, а не загружаемый с сервера. Имеется также групповая политика, с помощью которой можно определить, какая линия будет считаться "медленной".

 

Подготовка заранее настроенных перемещаемых и обязательных профилей пользователя

Хотя для создания заранее сконфигурированного перемещаемого или обязательного профиля можно использовать любую учетную запись, часто удобнее иной подход. Например, если вы хотите создать три различных заранее настроенных перемещаемых или обязательных профиля для трех отделов предприятия, сначала следует создать и настроить три различные базовые учетные записи. Затем необходимо зарегистрироваться с помощью каждой

из созданных учетных записей и тем самым создать три профиля пользователя для трех отделов. После этого опять зарегистрироваться с помощью учетной записи администратора и, используя оснастку Локальные пользователи и группы, назначить созданные профили индивидуальным пользователям или группам. Затем с помощью вкладки Профили пользователей окна Система панели управления скопируйте созданные профили на соответствующий сервер.

 

Работа пользователей с различными конфигурациями оборудования

Следует помнить, что профили могут применяться на компьютерах, отличающихся по конфигурации оборудования, особенно типами мониторов и видеоадаптеров.

Профиль пользователя может определять положение и размер окон, поэтому тип оборудования экрана в значительной степени влияет на качество работы профиля. Например, параметры окна, выводимого на экране типа Super VGA, могут быть неверны при выводе того же изображения на экране с типом VGA. Для предотвращения подобных проблем:

Создавайте и редактируйте профиль пользователя на компьютере, тип экрана которого совпадает с типом экрана компьютера пользователя.

При создании обязательного профиля для нескольких пользователей создавайте один профиль для группы пользователей только в случае, если все члены группы работают на компьютерах с одинаковым типом экранов.

 

Удаление профиля пользователя

Если вы больше не хотите использовать перемещаемый или обязательный профиль, назначенный пользователям, с помощью оснастки Локальные пользователи и группы удалите путь к нему в учетных записях соответствующих пользователей. Сам профиль пользователя, находящийся на сервере, можно удалить с помощью кнопки Удалить на вкладке Профили пользователей окна Система.

 

Настройка рабочей среды пользователя при помощи сценариев входа

Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем с программным обеспечением Windows 2000. Хотя чаще всего сценарий входа представляет собой командный файл с расширением bat или cmd, в качестве сценария может быть использован и исполняемый файл (*.ехе).

Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.

Примечание

Профили пользователя могут в процессе регистрации восстанавливать существовавшие ранее соединения с сетью, но они не могут быть использованы для создания новых соединений.

 

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Локальные пользователи и группы (Local Users and Groups) сценарии входа назначаются соответствующим пользователям. Кроме того, один сценарий может быть назначен нескольким пользователям. В табл. 11.3 приведены параметры, значения которых можно устанавливать с помощью сценария входа и их описания.

Таблица 11.3. Параметры, устанавливаемые с помощью сценария входа

Параметр

Описание

%HOMEDRIVE%

Имя устройства локального компьютера, связанного с домашним каталогом пользователя

%НШЕРАТН%

Полный путь к домашнему каталогу пользователя

%HOMESHARE%

Имя общего ресурса, где находится домашний каталог пользователя

%OS%

Операционная система компьютера пользователя

% PROCESSOR_ARCHITECTURE%

Тип процессора (например, Pentium) компьютера пользователя

%PROCESSOR_LEVEL%

Уровень процессора компьютера пользователя

%USERDOMAIN%

Домен, в котором находится учетная запись пользователя

%USERNAME%

Имя пользователя

 

Назначение сценариев входа учетным записям пользователей и групп

Для того чтобы назначить сценарий входа учетным записям пользователей и групп, с помощью оснастки Локальные пользователи и группы (или Active

Directory - пользователи и компьютеры — если компьютер входит в домен) указывается путь к сценарию. Если при регистрации пользователя с помощью определенной учетной записи среди ее параметров указан путь к сценарию входа, соответствующий файл сценария открывается и выполняется.

На вкладке Профиль окна свойств учетной записи вы можете назначить сценарий входа, введя в поле Сценарий входа (Logon Script) имя файла (и, возможно, относительный путь к нему). При регистрации сервер, аутентифицирующий пользователя, находит файл сценария (если таковой существует) с помощью указанного в учетной записи имени и пути (на контроллерах домена, как правило, сценарии хранятся в общей папке NETLOGON — %SystemRoot%\SYSVOL\sysvol\DNS-имя-домена\scripts). Если перед именем файла указан относительный путь, сервер ищет сценарий входа в подкаталоге основного локального пути сценариев.

Данные поля Сценарий входа определяют только имя файла и относительный путь, но не содержат сам сценарий входа. После создания файл сценария с определенным именем помещается в соответствующий реплицируемый (если компьютеры объединены в домен) каталог.

Сценарий входа можно поместить в локальный каталог компьютера пользователя. Но подобный подход, как правило, применяется только при администрировании учетных записей, существующих на одиночном компьютере, а не в домене. В этом случае вы должны поместить файл сценария в соответствии с локальным путем к сценариям входа в компьютер.

Помимо оснастки Локальные пользователи и группы, сценарии входа могут быть назначены пользователям или компьютерам и с помощью оснастки Групповая политика (Group Policy).

 

Переменные среды

 

Изменение системных и пользовательских переменных среды

Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows 2000 и прикладные программы требуют определенной информации, называемой переменными среды системы и пользователя. Их можно просмотреть на вкладке Дополнительно (Advanced) окна Система, нажав кнопку Переменные среды (Environment Variables). Эти переменные похожи на переменные, которые устанавливались в операционной системе MS-DOS, например path

И TEMP.

Системные переменные среды определяются в Windows 2000 независимо от того, кто зарегистрировался на компьютере. Если вы зарегистрировались как член группы Администраторы, то можете добавить новые переменные или изменить их значения.

Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. Сюда включаются любые переменные среды, которые вы хотите определить, или переменные, определенные вашим приложением, например путь к файлам приложения.

После изменения переменных среды их новые величины сохранятся в реестре, после чего они становятся доступны ("видны") при закрытии окна Переменные среды.

Если между переменными среды возникает конфликт, он разрешается следующим способом:

1. Устанавливаются системные переменные среды.

2. Устанавливаются переменные, определенные в файле Autoexec.bat (за исключением переменных path). Они перезаписывают системные переменные.

3. Устанавливаются переменные среды пользователя, определенные в окне Система. Они перезаписывают как системные переменные, так и переменные файла Autoexec.bat.

4. Устанавливаются переменные path файла Autoexec.bat.

 

Примечание

Настройки пути (path), в отличие от других переменных среды, кумулятивны. Полный путь (который вы видите как результат выполнения в командной строке команды path) создается присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определенным в окне Система.

 

Использование переменных среды в профилях пользователей, именах домашних каталогах и сценариев входа

При управлении множеством учетных записей пользователей и групп часто возникает необходимость одновременно выполнить одинаковые изменения в нескольких учетных записях. Вместо конкретных имен или меток в сценарий входа вводится одна общая переменная среды, замещаемая реальными данными в процессе выполнения сценария.

Значение любой переменной среды компьютера клиента, где работает программное обеспечение Windows 2000, может быть подставлено в путь профиля, задаваемого в учетной записи пользователя, путь сценария входа, путь домашнего каталога и в сам сценарий входа. Для этого системную переменную среды следует заключить в знаки процента (%). Например, для того чтобы использовать в пути профиля пользователя переменную среды servername, в поле Путь к профилю (Profile Path) окна учетной записи следует ввести \\%servername%\scripts.

Подобный подход очень удобен при работе с профилями пользователя в сетях, включающих каналы WAN. Особенно, если ваши пользователи работают с обеих сторон этого канала. Предположим, что сеть состоит из двух площадок, разделенных глобальным каналом. На каждом из компьютеров, работающих на одной стороне канала, переменная servemame устанавливается в соответствии с именем контроллера домена данной площадки. На другой стороне канала переменная servemame устанавливается аналогичным образом, но ее значение соответствует имени контроллера домена этой площадки. Теперь в пути сценария вх"ода каждой учетной записи пользователя домена используется %servername%. Когда пользователь регистрируется в сети, его сценарий входа загружается с сервера, определяемого переменной среды и расположенного локально относительно глобального канала.

 

Сервер сценариев Windows (WSH)

Сервер сценариев Microsoft Windows (Windows Scripting Host, WSH) не зависит от языка сценария и устанавливается во всех системах Windows 2000 как стандартное средство. Он предназначен для 32-разрядных операционных систем Windows. Компания Microsoft разработала ядро сценариев как для Visual Basic, так и для JavaScript. Предполагается, что будет также создано ядро сценариев ActiveX для таких языков, как Perl, TCL, REXX и Python. Сервер сценариев может быть запущен с помощью исполняемого файла для Windows (WSCRIPT.EXE) и с помощью директивы командной строки оболочки (CSCRIPT.EXE).

 

Назначение сервера сценариев

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и Jscript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.

Компания Microsoft поставляет три сервера, предназначенных для выполнения языков сценариев на платформах Windows:

Internet Explorer

Internet Information Server или WWW Server в составе служб Internet Information Services

Windows Scripting Host

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.

Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.

Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или на командной консоли, для этого не нужно встраивать их в документ HTML. Выполнение сценария на рабочем столе инициируется щелчком мыши на файле сценария. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения не интерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

 

Запуск сервера сценариев из командной строки

Для запуска сервера сценариев из командной строки используйте утилиту CSCRIPT.EXE в соответствии со следующим синтаксисом:

cscript [параметры сервера сценариев] имя сценария [параметры сценария]

Параметры сервера сценариев включают и отключают различные средства сервера сценариев. Они всегда предваряются двумя слэшами (//)

Имя сценария — это имя файла сценария, например, CHART.VBS

Параметры сценария передаются в сценарий. Они всегда предваряются одним слэшем

Ни один из параметров не является обязательным. Однако нельзя указать параметры сценария без указания самого сценария. Если вы не указываете ни одного параметра, CSCRIPT.EXE выдает на экран синтаксис своего запуска и допустимые параметры сервера сценариев (табл. 11.4).

Таблица 11.4. Параметры сервера сценариев, поддерживаемые CSCRIPT.EXE

Параметр

Описание

//в

Пакетный режим. Не отображает на экране сообщений об ошибках и приглашения пользователей

//D

Активизирует функцию отладки

//E=engine

Задает ядро, используемое для выполнения сценария

//Н: Cscript или Wscript

Устанавливает CSCRIPT.EXE или WSCRIPT.EXE в качестве приложения, выбираемого по умолчанию для выполнения сценариев. По умолчанию установлен WSCRIPT.EXE

//I

Интерактивный режим (выбирается по умолчанию; режим, обратный задаваемому параметром //в)

//Job: xxx

Выполняет задание WSH

//logo

Отображает на экране заставку (выбирается по умолчанию; режим, обратный задаваемому параметром //NoLogo)

//nologo

Запрещает вывод заставки

//S

Сохраняет текущие параметры командной строки для этого пользователя

//T:nn

Время ожидания в секундах. Максимальное время, в течение которого может выполняться сценарий. (По умолчанию ограничение не устанавливается)

Этот параметр используется для предотвращения слишком длительного выполнения сценариев. Устанавливается специальный таймер. Когда время выполнения превышает установленное значение, CSCRIPT прерывает работу ядра сценариев с помощью метода

lactiveScript : : InterruptThread и завершает процесс

//X

Задает выполнение сценария в режиме отладки, если этот режим активизирован с помощью параметра //о

//U

Использует кодировку Unicode для перенаправленного консольного ввода/вывода

//?

Показывает параметры и синтаксис команды CSCRIPT.EXE

Дистрибутив сервера сценариев содержит несколько простых примеров сценариев. Их также можно скачать в пакете Sample Scripts по адресу http://msdn.microsoft.com/scripting/default.htm7/scripting/windowshost.

Например, для того чтобы запустить CHART.VBS:

1. В меню Пуск выберите команду Программы | Стандартные | Командная строка.

2. В командной строке выполните следующие команды:

cscript "устройство:"\"Каталог"\chart.vbs //logo

cscript "устройство:"\"Каталог"\chart.vbs //nologo

В операционной системе Windows 2000 не обязательно указывать расширение сценариев: можно просто набрать с клавиатуры имя сценария или щелкнуть на нем мышью в окне Проводника.

 

Запуск сценариев в среде Windows

Сценарий в среде Windows можно запустить тремя способами:

Двойным щелчком мыши на файле сценария или на соответствующем значке в окнах Мой компьютер, Проводник или Поиск (Find).

В окне Выполнить (Run) введите с клавиатуры полное имя выполняемого

сценария и нажмите кнопку ОК.

В окне Выполнить введите wscript.exe с указанием имени сценария и

необходимых параметров сервера и сценария.

При запуске сценария с помощью WSH можно указать, какое приложение следует использовать — CSCRIPT.EXE или WSCRIPT.EXE. Приложение сервера, выбираемое по умолчанию, может быть установлено с помощью

Команды cscript //Н: Имя_сервера_сценариев.

Например, если вы устанавливаете в качестве приложения, выбираемого по умолчанию, WSCRIPT.EXE и выполняете сценарий с именем CHART.VBS, то WSCRIPT.EXE будет выбираться по умолчанию для всех файлов сценариев, имеющих расширение vbs.

Страница свойств сервера сценариев Windows позволяет устанавливать параметры, приведенные в табл. 11.5.

Таблица 11.5. Свойства сервера сценариев

Свойство

Применение

Эквивалент параметра команды

Cscript

Останавливать выполнение сценария после пп секунд

(Stop scripts after specified number of seconds)

Максимальное количество секунд, в течение которых можно выполнять сценарий. (По умолчанию ограничение не устанавливается)

//T:nn

Отображать заставку во время выполнения сценария в консоли (Display logo when scripts executed in command console)

Отображать заставку. (Обратное параметру //nologo. Устанавливается По умолчанию)

//logo ИДИ //nologo

 

Настройка индивидуальных свойств сценария.

 

Файл с расширением wsh

С помощью страницы свойств модуля WSCRIPT.EXE можно установить глобальные параметры, касающиеся сразу всех сценариев, выполняемых на локальной машине. Однако также можно настроить индивидуальные пара-

метры отдельно взятого сценария, позволяющие осуществлять жесткий контроль его выполнения. Свойства конкретного сценария сохраняются в файле с расширением wsh. Для его создания просто установите указатель мыши на файле сценария в окне Проводника и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. Настройте индивидуальные свойства сценария, например максимальное время исполнения, и нажмите кнопку ОК. В результате в каталоге, где находится сценарий, будет создан файл с расширением wsh, имя которого совпадает с именем сценария. Он содержит индивидуальные настройки сценариев для WSH. Функции этого файла сходны с функциями файла PIF 16-разрядных приложений. Чтобы запустить сценарий, для которого создан файл с расширением wsh, следует дважды щелкнуть мышью на файле *.wsh в окне Проводника или использовать этот файл в качестве параметра для программы WSCRIPT.EXE или CSCRIPT.EXE в командной строке. Например:

C:\>cscript Myscript.wsh

Поскольку в файле с расширением wsh хранятся значения параметров, используемых сценарием при выполнении, системный администратор может создать несколько версий файла с параметрами, ориентированных на различные группы пользователей внутри организации. Набор файлов с расширением wsh, относящийся к одному сценарию, может быть использован следующим образом:

Администратор может создать отдельный файл *.wsh для определенной группы пользователей внутри организации. Это позволит осуществлять индивидуальный контроль определенных сценариев, выполняющихся в течение дня.

Администратор может создать индивидуальные файлы *.wsh для конкретных пользователей внутри организации. Это позволяет осуществлять полный контроль ряда сценариев, используемых внутри организации.

Индивидуальные файлы с расширением wsh могут быть созданы для сценариев? входа пользователей в систему. Это позволяет администратору осуществлять индивидуальный контроль над рядом свойств сценариев, выполняемых на клиентских машинах при регистрации пользователя в системе.

Файл с расширением wsh представляет собой простой текстовый файл, формат которого сходен с форматом файла с расширением inf. Ниже приведен пример содержимого файла *.wsh:

[ScriptFile]

Path=C:\WINNT\Saraples\WSH\showprop.vbs

[Options]

Timeout=0

DisplayLogo=l BatchMode=0

Параметр Path в разделе [ScriptFile] определяет местоположение файла сценария, с которым связан данный файл *.wsh. Параметры, значения которых устанавливаются в разделе [Options], соответствуют настройкам вкладки Сценарий (Script) окна Свойства.

После двойного щелчка мышью на файле с расширением wsh или выполнения его в командной строке программа CSCRIPT.EXE или WSCRIPT.EXE считывает его и определяет специфические параметры, которые следует использовать при выполнении соответствующего сценария. В результате сценарий будет выполняться с необходимыми параметрами, заданными в файле *.wsh. Обратите внимание, что при запуске файла с расширением wsh необходимо присутствие соответствующего ему сценария. Если выполнение сценария посредством файла *.wsh закончилось неудачно, проверьте запись Path=. Она должна указывать на тот сценарий, который вы хотите выполнить.

 

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система Windows 2000 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить; кто предпринял попытку выполнения неразрешенного ему действия.

Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он снижает производительность системы.) После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.

Примечание

Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.

Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Auditing) снять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

 

Активизация аудита с помощью оснастки Групповая политика (Group Policy)

Для активизации аудита на изолированном компьютере:

1. Запустите оснастку Групповая политика (это изолированная оснастка, которую можно использовать как самостоятельный инструмент). (Можно выполнить команду Пуск, Программы, Администрирование, Локальная политика безопасности.) *

2. Откройте папку Конфигурация компьютера (Computer Configuration) и последовательно раскройте узлы Конфигурация Windows (Windows Setting), Параметры безопасности (Security Settings), Локальные политики (Local Policies), Политика аудита (Audit Policy).

3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (No Auditing). Для включения аудита следует изменить значения нужных параметров.

4. Выполните двойной щелчок на устанавливаемой политике аудита. Появится окно диалога, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) или Отказ (Failure), или оба.

5. Нажмите кнопку ОК.

Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.

 

Настройка и просмотр аудита папок и файлов

Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок:

1. Установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. В окне свойств папки или файла перейдите на вкладку Безопасность (Security).

2. На вкладке Безопасность нажмите кнопку Дополнительно (Advanced) и затем перейдите на вкладку Аудит.

3. Если вы хотите настроить аудит для нового пользователя или группы, на вкладке Аудит нажмите кнопку Добавить. Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select User, Computer, or Group). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно диалога Элемент аудита для (Audit Entry for). Здесь вы сможете ввести все необходимые параметры аудита. В списке Применять (Apply onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе Доступ (Access) следует указать, какие события следует отслеживать: окончившиеся успешно (Успех, Successful!), неудачно (Отказ, Failed) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these audit entries to objects and/or containers within this container only) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае установите флажок (или выберите в списке Применять опцию Только для этой папки). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.

4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Показать/Изменить (View/Edit). Появится окно диалога Элемент аудита для. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений нажмите кнопку ОК.

 

Область действия настроек аудита

Настройка аудита выполняется с помощью окна диалога Элемент аудита для, где с помощью поля Применять можно определить область распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят. В табл. 11.6 и 11.7 показано, как настройки аудита действуют в случае, когда этот флажок соответственно снят и установлен.

Таблица 11.6. Действие настроек аудита при снятом флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Значения в поле

Применять

Выполняется аудит текущей папки

Выполняется аудит дочерних папок текущей папки

Выполняется аудит файлов в текущей папке

Выполняется аудит всех дочерних папок

Выполняется аудит файлов во всех дочерних папках

Только для этой папки (This folder only)

X

 

 

 

 

 

 

 

 

Для этой папки, ее подпапок и файлов (The folder, subfolders and files)

X

X

X

X

X

Для “тай папки и ее подпапок (This folder and subfolders)

X

X

 

 

X

 

 

Для “тай папки и ее файлов (This folder and files)

X

 

 

X

 

 

X

Только для подпапок и файлов

(Subfolders and files only)

 

 

X

X

X

X

Только для подпапок

(Subfolders only)

 

 

X

 

 

X

 

 

Только для файлов (Files only)

 

 

 

 

X

 

 

X

 

Таблица 11.7. Действие настроек аудита при установленном флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Значения в поле Применять

Выполняется аудит текущей папки

Выполняется аудит дочерних . папок текущей папки

Выполняется аудит файлов в текущей папке

Выполняется аудит всех дочерних папок

Выполняется аудит файлов во всех дочерних папках

Только для этой папки

(This folder only)

X

 

 

 

 

 

 

Для “той папки, ее подпапок и файлов (The folder, subfolders and files)

X

X

X

 

 

 

 

Для этой папки и ее подпапок

(This folder and subfolders)

X

X

 

 

 

 

 

 

Для этой папки и ее файлов (This folder and files)

X

 

 

X

 

 

 

 

Только для подпапок и файлов

(Subfolders and files only)

 

 

X

X

 

 

 

 

Только для подпапок

(Subfolders only)

 

 

X

 

 

 

 

 

 

Только для файлов (Files only)

 

 

 

 

X

 

 

 

 

 

Отключение аудита файлов и папок

Для отключения аудита файла или папки:

1. Установите указатель мыши на файл или папку, где необходимо отключить аудит, и нажмите правую кнопку. В появившемся меню выберите команду Свойства. Появится окно свойств файла или папки. Перейдите на вкладку Безопасность.

2. На вкладке Безопасность нажмите кнопку Дополнительно. В появившемся окне диалога выберите вкладку Аудит.

3. В поле Элементы аудита выберите нужную запись и нажмите кнопку Удалить. Соответствующая запись будет удалена.

 

Примечание

Если кнопка Удалить недоступна, это значит, что настройки аудита наследуются от родительской папки.

 

Выполнение заданий по расписанию

В дополнение к команде at система Windows 2000 располагает новым средством — планировщиком заданий (Task Scheduler). С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором задаются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.

Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.

Служба планировщика заданий (Task Scheduler Service, MSTask.exe) инсталлируется вместе с системой и автоматически запускается при ее загрузке. При помощи меню Дополнительно (Advanced) планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий.

Среди особенностей планировщика можно отметить:

Удобный графический пользовательский интерфейс

Возможность программного доступа ко всем возможностям планировщика, включая страницы свойств

Создание новых заданий при помощи технологии drag-and-drop или мастера планирования заданий (Scheduled Task wizard)

Средства безопасности

Графический интерфейс планировщика заданий (рис. 11.6) не требует знания ключей и параметров программы (как это нужно для использования команды at), интегрирован в операционную систему и доступен из панели управления (папка Назначенные задания (Scheduled Tasks)). Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Выполнить (Run) в контекстном меню). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.

Рис. 11.6. Главное окно программы Планировщик заданий (Task Scheduler) со списком запланированных заданий

Мастер планирования заданий (запускаемый при выборе команды Добавить задание (Add Scheduled Task)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. На рис. 11.7 приведен пример расписания для запуска программы NetMeeting, запускающейся по рабочим дням, 3 раза в день; Установив флажок Показывать несколько расписаний (Show multiple schedules), можно задавать несколько расписаний для запуска этой программы.

Благодаря наличию полного набора интерфейсов API (планировщик задач' позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь об поддержке и надежности этих служб. Возможность доступа к страницам свойств (рис. 11.7) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.

В среде Windows 2000 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания (обратите внимание на вкладку Безопасность (Security), рис. 11.7),

Примечание

При перемещении файла *.job в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows.

При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

Рис. 11.7. Вкладка Расписание (Schedule) для запланированного запуска программы NetMeeting