- •6. Создание новой консоли
- •8. Оснастка «Управление компьютером».
- •9. Оснастка «Групповая политика».
- •11. Сохранение и восстановление паролей пользователей.
- •12. Задачи администрирования сети
- •13. Удаленный доступ к рабочему столу.
- •15. Управление рабочей средой пользователя
- •17. Создание локального профиля пользователя
- •19. Изменение системных и пользовательских переменных среды
- •20.Групповые политики Windows
- •21. Автономные файлы
- •23. Настройка компьютера для работы с автономными папками
- •25. Выбор файлов для автономной работы
- •27. Настройка реакции автономных файлов на отключение компьютера от сети
- •28. Управление серверами, сетевыми службами и дисками
- •29. Аудит локальной системы.
- •31 – Выполнение заданий по расписанию
- •33. Назначение прав доступа к файловой системе.
- •34. Управление службой печати.
- •Создание принтеров. При создании принтера требуется:
- •35. Назначение разрешений для файлов.
- •36. Конфигурирование и подключение компьютеров к сети.
- •37.Назначение разрешений для папок
- •38. Настройка, мониторинг и оптимизация производительности сети.
- •Запуск диспетчера задач, методы:
- •Обновление журналов. Выберите в окне оснастки на панели обзора журнал, который требуется обновить. Затем в меню Action (Действие) укажите пункт Refresh (Обновить).
- •Создание нового вида журнала. Для этого:
- •Просмотр событий на другом компьютере. Для просмотра событий на другом компьютере достаточно в окне оснастки Event Viewer подключиться к этому компьютеру:
- •39. Передача прав владения.
- •40.Основные функции группы администратора бд
- •41. Управление сертификатами пользователей
- •Сертификаты конечных субъектов
- •Сертификаты пользователей
- •Для поддержки онлайновых приложений и защищенной электронной почты в профиль сертификата пользователя включается информация об именах. В содержании сертификата пользователя рекомендуется:
- •43 - Объекты gpo и Active Directory. Локальный gpo
- •44 - Проектирование баз данных и роль администратора бд
- •45 - Администрирование бд и защита данных
- •46 - Инструменты настройки безопасности
Для того чтобы иметь возможность настраивать аудит, необходимо иметь права администратора.
31 – Выполнение заданий по расписанию
В дополнение к командам AT системы Windows XP и WindowsServer 2003 располагают новым средством — планировщиком заданий (TaskScheduler). С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idlestate). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором определяются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п. Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте. Служба TaskScheduler (имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. Управление этой службой может осуществляться интерактивно из окна ScheduledTasks При помощи меню Advanced (Дополнительно) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда ViewLog (Просмотр журнала)), в котором также фиксируются все ошибки, возникшие при запуске заданий.
Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. Установив флажок Showmultipleschedules (Показывать несколько расписаний), можно задать несколько расписаний для запуска любой программы.
В среде WindowsServer 2003 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания При перемещении файла *.job в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows.
При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.
33. Назначение прав доступа к файловой системе.
Устанавливая пользователям определенные разрешения (permissions) на доступ к файлам и каталогам (папкам), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы (файла или папки). Следует, однако, помнить, что обратная передача владения от администратора к пользователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.
Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, т. е. те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с по- мощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные. Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении (Deny) имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение Нет доступа (No Access), применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к ка- кому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Полный доступ (Full Control) для данного объекта файловой системы.
Внимание! В версиях Windows XP Professional и Windows XP Home Edition для разграничения прав доступа к файлам и папкам используется один и тот же механизм, реализованный на уровне файловой системы NTFS. Однако в Windows XP Home Edition все возможности непосредственного просмотра разрешений и управления ими скрыты, и применяются упрощенные механизмы разграничения доступа к личной информации пользователей. В системе Windows XP Home Edition пользователи могут создавать файлы и папки на любых логических дисках. По умолчанию пользователи могут изменять свои (созданные ими) файлы и читать чужие. Каждый пользователь имеет собственную папку, ее имя в Проводнике отображается как Документы - <имяПользователя> (<имяПользователя>'з Documents), например, документы-Алексеи (Aleksey's Documents). Пользователь может сделать эту папку личной, т. е. невидимой (и, следовательно, недоступной) для других пользователей. Для этого в окне свойств папки на вкладке Доступ (Sharing) нужно установить флажок Отменить общий доступ к этой папке (Make this folder private) (см. рис. 3.12). В этом случае у папки будет удалено разрешение Чтение (Read) для группы Пользователи (Users).
34. Управление службой печати.
Удаленное администрирование. Администратор может с любого компьютера под управлением Windows Server 2003 дистанционно управлять серверами печати, портами, принтерами, документами и драйверами принтеров.
Администратору не нужно устанавливать драйверы принтеров на клиентских компьютерах, которым требуется доступ к серверу печати Windows Server 2003. Если клиенты печати работают под управлением Windows NT/2000/XP или Windows 9x/ME, то необходимо установить драйверы принтера только в одном месте – на сервере печати.
Для управления локальными или удаленными серверами и устройствами печати, а также очередями могут использоваться утилиты командной строки и административные сценарии (см., например, файлы prn*.vbs в папке %SystemRoot%/system32).
Удаленная печать в Windows Server 2003. Можно рассматривать два способа "удаленной" печати: 1. печать на локально подключенное устройство печати, имеющее собственную сетевую плату; 2. печать на сервер печати (имеющий физически подключенное устройство печати или локально подключенное и предоставленное в общее пользование устройство печати с сетевым интерфейсом).
В первом случае необходимо устанавливать драйверы печати на каждый компьютер сети; при этом пользователи имеют свои настройки и очереди печати и не могут контролировать работу устройства печати (поскольку очереди не зависят друг от друга).
Во втором – предпочтительном – случае устройство печати используется совместно, при этом сервер печати управляет общей очередью.
Процесс печати в Windows Server 2003. Приведем краткий перечень операций, производимых с документом, посланным на принтер с клиента Windows, для которого Windows Server 2003 используется как сервер печати (некоторые процессы для клиентов с системами, отличными от Windows, будут немного другими).
Пользователь на компьютере-клиенте Windows запрашивает печать документа из приложения.
Если документ послан из Windows-приложения, приложение->графический интерфейс устройства (GDI)->драйвер принтера, связанный с целевым принтером. На основе информации о документе GDI и драйвер принтера формируют задание на печать на языке управления принтером, а затем передают его клиентскому диспетчеру очереди печати.
Клиентский компьютер поставляет задание по выводу на печать серверу печати. Для клиентов Windows NT 4.0/2000/XP/Server 2003 клиентский диспетчер очереди печати выполняет удаленный вызов процедуры (RPC) на стороне серверного диспетчера очереди печати, который использует маршрутизатор, чтобы вызвать провайдер удаленной печати на клиентской стороне. Провайдер удаленной печати инициализирует другой вызов RPC к диспетчеру очереди печати на сервере, который принимает по сети задание на печать.
На сервер печати задания от клиентов Windows NT 4.0/2000/XP/Server 2003 поступают в формате расширенный метафайл (extended metafile, EMF).
Маршрутизатор на сервере->локальному провайдеру печати на сервере (компонент диспетчера очереди печати)-> очередь (записывает на диск).
Локальный провайдер печати вызывает монитор печати, который опознает тип данных задания и принимает задание на печать, преобразуя его согласно типу данных.
Если целевой принтер задан на клиентском компьютере, служба печати на сервере решает, должен ли диспетчер очереди печати сервера преобразовать задание или назначить другой тип данных. Затем задание передается локальному провайдеру печати, который записывает его на диск.
Управление заданием на печать переходит к процессору страниц-разделителей, который добавляет к началу задания страницу-разделитель, если она задана.
Затем задание передается монитору печати. Монитор печати может состоять из монитора языка (language monitor) и монитора порта (port monitor). Для двунаправленных принтеров монитор языка обеспечивает двустороннюю связь между компьютером и принтером, а затем передает задание на печать на монитор порта. Если принтер не является двунаправленным, задание на печать идет непосредственно на монитор порта, который посылает его на принтер (или на другой сетевой сервер печати).
Принтер принимает задание на печать, преобразует каждую страницу в растровый формат и печатает ее.