- •Windows Server 2003r2”
- •1 Ознакомиться с составом встроенных локальных учетных записей и групп.
- •1.1 Изучить назначение и возможности локальных групп.
- •1.2 Изучить свойства локальных учетных записей Администратор, Гость.
- •2 Создать локальную учетную запись и определить ее свойства.
- •3 С помощью консоли управления локальными параметрами безопасности определить наиболее важные компоненты локальной политики по отношению к пользователям и их стандартные настройки.
- •3.1 Упорядочить параметры локальной политики в соответствии с группами.
- •3.2 Опробовать изменение локальной политики по отношению к созданному пользователю.
- •4 С помощью консоли "Active Directory - управление пользователями и компьютерами" изучить состав учетных записей домена, локальных и глобальных групп домена.
- •5 Придумать пользователей с определенными свойствами в некоторой модельной ситуации.
- •5.1 Создать новые учетные записи пользователей.
- •5.2 Сформировать глобальные группы. Определить привилегии новых пользователей путем включения глоб.Групп в локальные.
- •6 Рассмотреть систему управления доступом к каталогам и файлам ntfs.
- •6.1 Выписать и объяснить состав типов всех возможных субъектов безопасности, которым может быть предоставлен доступ к ресурсу.
- •7 Войти в систему от имени пользователей и проверить их возможности доступа к объектам файловой системы.
- •8 Рассмотреть свойства наследования разрешений доступа.
- •9 Обосновать необходимость применения свойства владения объектом.
- •10 Реализовать сетевой доступ к разделяемым файловым ресурсам.
- •10.1 Назначить разрешения доступа и проверить защищенность файловых ресурсов при доступе по сети.
- •10.2 Реализовать сетевую печать и проверить разрешения доступа к принтеру.
2 Создать локальную учетную запись и определить ее свойства.
Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Зарегистрироваться с помощью этой учетной записи, рассмотреть свойства и расположение профиля пользователя, назначение основных подкаталогов.
Создам учетную запись user1. Так как я создаю ее на контроллере домена, то я так же задаю доменное имяuser1@dom2.local. Далее задаю пароль для учетной записи, при этом стоит учитывать его сложность, иначе система выдаст предупреждение. Задам пароль123456qwerty. Установим свойства для данного пользователя:Запретить смену пароля пользователемиСрок действия пароля не ограничен.
По умолчанию созданный пользователь находится в группе Пользователив доменеDOM2.
Добавим пользователя в группу Операторынастройки сети, для того чтобы пользователь имел некоторые административные права для управления настройкой сетевых параметров. На вкладкеВходящие звонкиразрешим удаленный доступ черезVPNили модем. Остальные свойства оставим без изменения, так как большинство из них имеет информационную направленность.
Пользователь был создан успешно, вход в систему осуществлен.
Путь к профилю пользователя: C:\Documents and Settings\user1
Рассмотрим свойства данной учетной записи по вкладкам:
Общие
Данная вкладка повторяет диалоговое окно создания новой учетной записи кроме полей ввода пароля.
Если учетная запись активна и не заблокирована, то флажок «Заблокировать учетную запись» недоступен. Система блокирует пользователя, который превышает лимит числа неудачных попыток входа в систему. Эта функция безопасности затрудняет несанкционированный вход в систему. Если система блокирует учетную запись, то флажок «Заблокировать учетную запись» становится доступным, и администратор может снять флажок, чтобы разрешить доступ.
Членство в группах
Данная вкладка позволяет добавить учетную запись пользователя в группу или удалить учетную запись из нее. По умолчанию созданная учетная запись добавляется в группу «Пользователи».
Профиль
Учетной записи можно назначить свою домашнюю папку для хранения и восстановления файлов пользователя. Большинство приложений открывают домашнюю папку для операций открытия и сохранения файлов, что упрощает пользователям поиск своей информации. В командной строке домашняя папка является начальным текущим каталогом. Домашняя папка может располагаться как на локальном жестком диске пользователя, так и на общедоступном сетевом. Каталог на локальном диске доступен только с одной рабочей станции, а к сетевому диску можно обращаться с любого компьютера сети, что расширяет среду пользователя.
Среда
Эта вкладка позволяет настроить среду для клиента «Службы удаленных рабочих столов». На данной вкладке можно указать программу, которая будет открываться при каждом подключении пользователя к серверу «Узел сеансов удаленных рабочих столов». Указанная программа является единственной программой, которая может быть использована пользователем в сеансе «Службы удаленных рабочих столов». Когда пользователь закроет программу, подключение к серверу «Узел сеансов удаленных рабочих столов» будет закрыто. Если учетной записи требуется предоставить рабочую папку, то ее следует указать ее местоположение в поле «Рабочая папка».
Сеансы
Данная вкладка позволяет настроить параметры тайм-аута и переподключения для сеансов «Службы удаленных рабочих столов».
Тайм-ауты:
Завершение отключенного сеанса - максимальный период времени, в течение которого сеанс отключенного пользователя остается открытым на сервере «Узел сеансов удаленных рабочих столов». Если указано «Никогда», сеанс отключенного пользователя остается открытым неограниченное время.
Ограничение активного сеанса - максимальный период времени, в течение которого сеанс «Службы удаленных рабочих столов» пользователя может оставаться активным, прежде чем будет автоматически отключен или завершен.
Ограничение бездействующего сеанса - максимальный период времени, в течение которого сеанс «Службы удаленных рабочих столов» может оставаться бездействующим (без ввода со стороны пользователя), прежде чем будет автоматически отключен или завершен.
Удаленное управление
Данная вкладка позволяет настроить параметры удаленного управления для сеанса «Службы удаленных рабочих столов пользователя».
Профиль служб терминалов
Данная вкладка позволяет настроить среду профиля пользователя для удаленного подключения к серверу «Узел сеансов удаленных рабочих столов».
Windows Server создал локальный профиль при первом входе под учетной записью kochin. Данный пользовательский профиль хранится в папке\Documents and Settings\pechen. Часть файла реестра в пользовательском профиле - это кэшированная копия части реестра HKEY CURRENT USER, хранящаяся под именем Ntuser.dat. Остальную часть профиля образует структура папок конкретного пользователя. Ntuser.dat определяет оборудование данного компьютера, установленное ПО и настройки рабочей среды. Структура папок и находящиеся в них значки (ссылки) определяют рабочий стол пользователя и окружения для приложений.
В таблице опишу содержимое структуры папок, включаемой в профиль пользователя.
Папка |
Содержимое |
Application Data |
Данные, сохраняемые приложениями. |
Cookies |
Информация и предпочтения пользователей с интернет-сайтов. |
Desktop |
Объекты рабочего стола. |
Favorites |
Ссылки на избранные места в интернете. |
Local Settings |
Данные приложений, журналы и временные файлы. |
My Documents |
Документы пользователя. |
My Recent Documents |
Ссылки на недавно использовавшиеся документы. |
NetHood |
Ссылки на объекты сетевого окружения. |
PrintHood |
Ссылки на объекты папки принтеров. |
SendTo |
Ссылки на цели «Отправить» |
Start Menu |
Ссылки на списки программ. |
Templates |
Шаблоны пользователя. |