В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

• Administrator (Администратор) – эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
• Guest (Гость) – эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
• SUPPORT_388945a0 – компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета – Internet Information Services.

Для работы с локальными пользователями можно использовать утилиту командной строки net user.

Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers(см. главу 20 "Администрирование доменов"). Управление локальными учетными записями на контроллерах домена невозможно.

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) – это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп – как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).

Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

При-помощи команды RunAs можно запускать из командной строки любые исполняемые файлы (имеющие расширение .exe, .com, .cmd, .bat, .msc), ярлыки (lnk), а также элементы панели управления (cpl).

Существуют приложения и элементы, с которыми команда RunAs не может быть использована. Например, программа Windows Explorer, папка Printers и элементы рабочего стола.

Администратор может запускать утилиты и оснастки любым способом – из главного меню, с рабочего стола, из программы Windows Explorer. При этом механизм административных утилит не требует, чтобы утилита запускалась на контроллере домена. Более того, чтобы не снижать производительность контроллера домена, рекомендуется использовать для управления системой специально выделенную рабочую станцию. Чтобы иметь на этой рабочей станции возможность осуществлять управление сетью, администратор должен предварительно установить на нее необходимые административные утилиты (как из набора Windows Server 2003 Administrative Pack, так и из вспомогательных пакетов Windows Server 2003 Support Tools и Resource Kit).

Как правило, большинство системных инструментов требует наличия у запускающего их пользователя административных привилегий. Таким образом, чтобы иметь возможность выполнения операций по управлению системой, администратор должен зарегистрироваться в системе под учетной записью, обладающей соответствующими правами. Однако правила безопасности требуют от администратора не пользоваться для постоянной работы в системе подобными учетными записями.

Команда RunAs позволяет администратору выполнять всю работу по управлению системой, зарегистрировавшись в ней с использованием учетной записи рядового пользователя с весьма ограниченными правами. При помощи данной команды администратор может запускать любые утилиты от имени "уполномоченного" пользователя (при этом может быть задействована либо учетная запись администратора, либо учетная запись пользователя, обладающего необходимыми правами).

Для работы команды RunAs необходимо, чтобы была запущена служба Secondary Logon. Поэтому, в случае возникновения проблем с работой данной команды необходимо в первую очередь убедиться в том, что указанная служба действительно запущена. Чтобы убедиться в этом, можно использовать оснастку Services.

Команда RunAs может быть использована для установки и проверки пользовательских разрешений на доступ к файлам или объектам Active Directory. Для задания пользователю разрешений необходимо запустить соответствующую утилиту с административными привилегиями. Одновременно можно запустить требуемое приложение в контексте полномочий рассматриваемого пользователя и проверить результирующие разрешения. Таким образом, задача может быть решена (и, что главное, проверена) без необходимости повторных регистрации в системе под разными учетными записями.

Команда RunAs может использоваться в двух режимах.

• Запуск утилит из контекстного меню. Запуск утилиты или оснастки с необходимыми полномочиями происходит путем использования контекстного м
  • еню. Администратор выбирает соответствующий пункт меню и предоставляет информацию о своих полномочиях. Данный режим идеально подходит для запуска графических утилит.
  • Запуск утилит из командной строки. В режиме командной строки администратор вводит команду со всеми необходимыми параметрами. Этот режим может использоваться для запуска утилит командной строки. Другим преимуществом этого режима является возможность отображения сведений о результатах процесса запуска (в том числе информация о возникающих ошибках).

  Рассмотрим особенности использования каждого из режимов более подробно.

По требованиям безопасности локальные учетные записи системы должны защищаться паролями, что уменьшает вероятность того, что посторонний пользователь получит доступ к компьютеру. Однако в этом случае пользователи системы сами рискуют потерять доступ к системе, если забудут свой пароль. Кроме того, при принудительном изменении пароля можно потерять персональные настройки конфигурации компьютера. Системы Windows ХР и Windows Server 2003 предоставляют возможность создания так называемой "дискеты восстановления пароля" (Password Reset Disk), с помощью которой пользователь может установить новый пароль в случае утраты старого. Однажды созданная дискета позволяет войти в систему, даже если после этого текущий пароль менялся неоднократно.

Дискета Password Reset Disk фактически является ключом к компьютеру, поэтому необходимо обеспечить сохранность этой дискеты, равно как и ее недоступность для посторонних. Такие дискеты создаются индивидуально для каждой учетной записи.

Посмотрим, как создать Password Reset Disk для локальной учетной записи на автономном компьютере или компьютере, входящем в рабочую группу.

1. Зарегистрируйтесь в системе и, нажав клавиши CTRL + ALT + Del, откройте окноWindows Security.
2. Нажмите кнопку Change Password (Изменить пароль).
3. После нажатия в окне Change Password кнопки Backup запустится мастер Forgotten Password Wizard. Следуйте его указаниям.
4. Вставьте дискету, на которую мастер запишет файл userk.ey.psw, содержащий в зашифрованном виде пароль текущей учетной записи.
5. Введите текущий пароль учетной записи. Когда мастер закончит работу (100% готовности), нажмите кнопки Next и Finish (Готово).
6. Закройте все открытые окна и сохраните дискету в надежном месте.

Теперь предположим, что вы забыли или ввели неправильно пароль для своего имени. Система предложит вам воспользоваться дискетой восстановления (рис. 10.2). Нажмите кнопкуReset (Сброс). Запустится мастер Password Reset Wizard, для работы которого, собственно говоря, и нужна дискета Password Reset Disk.

Рис. 10.2. Если вы забыли свой пароль, воспользуйтесь дискетой Password Reset Disk

Мастер попросит вставить дискету Password Reset Disk и (если дискета опознана успешно) установить произвольный новый пароль (рис. 10.3). После этого вы вернетесь в окно Log On to Windows и сможете войти в систему, пользуясь вновь созданным паролем.

В этой главе мы рассмотрим стандартные задачи, которые администратор может выполнять в системе: конфигурирование учетных записей, настройка рабочей среды пользователя, аудит системных событий, планирование автоматического запуска задач и т. д. Кроме того, описываются два новых по сравнению с Windows 2000, весьма эффективных средства удаленного администрирования – Remote Desktop и Remote Assistance.

После загрузки системы Windows Server 2003 появляется обычный экран регистрации в системе – традиционный способ входа в Windows NT и Windows 2000 (рис. 10.1, сверху). Системы Windows Server 2003 не поддерживают имеющиеся в Windows XP средства входа в систему: экран приветствия Welcome screen и сервис Fast User Switching (Быстрое переключение пользователей).

Для входа в систему требуется одновременно нажать клавиши CTRL + ALT + Delete и в окне Log On to Windows (рис. 10.1, снизу) ввести имя учетной записи и пароль. Если компьютер подключен к домену, в списке Log on to можно выбрать домен. Если для регистрации указывается основное имя пользователя (user principal name), например, Aieksey@net.dom, то домен не указывается.

Для блокировки компьютера можно использовать быстрые клавиши WIN + L: при этом все рабочие окна закрываются (текущее состояние системы и программ не меняется) и на рабочем столе появляется окно Computer Locked.

Служба маршрутизации и удаленного доступа, реализованная в Windows Server 2003, характеризуется новыми функциональными возможностями, перечисляемыми ниже.

В Windows Server 2003 реализована Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS), позволяющая удаленным пользователям подключаться к корпоративным вычислительным сетям. При этом подключение может быть выполнено как по коммутируемой линии, так и через виртуальные частные сети (Virtual Private Network, VPN). При коммутируемом соединении клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя некоторую службу-посредника для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа – установление соединения клиентом удаленного доступа при помощи модема, т. е. путем набора телефонного номера одного из портов сервера удаленного доступа.

Соединение с виртуальной частной сетью (или VPN-подключение) представляет собой защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Поддержка службой удаленного доступа механизма виртуальных частных сетей позволяет устанавливать безопасное соединение с корпоративной сетью через различные открытые сети (такие, например, как Интернет). Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию, необходимую для маршрутизации, чтобы пакет мог достигнуть 'адресата. Получателем пакета является VPN-клиент либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью. Сервер удаленного доступа в случае использования механизма виртуальных частных сетей выступает в качестве посредника, осуществляя обмен данными между клиентом VPN и корпоративной сетью. При этом сервер удаленного доступа осуществляет все необходимые преобразования данных (шифрование/дешифрование). Для этого используются специальные протоколы туннелирования (tunneling protocols). VPN-клиент и VPN-сервер должны использовать один и тот же протокол туннелирования, чтобы создать VPN-соединение. В службе удаленного доступа в Windows Server 2003 реализована поддержка протоколов туннелирования РРТР и L2TP.

Данная глава посвящена рассмотрению основных коммуникационных служб, реализованных в Windows Server 2003. В первую очередь разговор пойдет о службе маршрутизации и удаленного доступа, позволяющей, в частности. внешним клиентам подключаться к корпоративной сети и использовать ее ресурсы. Здесь же рассматриваются организация виртуальных частных сетей, механизм трансляции сетевых адресов (NAT), а также служба факсов и IP-телефония.

В самом простом приближении под корпоративной сетью принято понимать локальную сеть некоторой организации (или совокупность локальных сетей, соединенных между собой некоторым образом). Однако современные условия ведения бизнеса вносят свои поправки. Достаточно важной составляющей любой современной корпоративной сети являются пользователи, внешние по отношению к локальной сети. Это могут быть как мобильные пользователи (например, сотрудники корпорации, путешествующие с ноутбуками), так и стационарные (например, удаленный дилер компании). Важным является тот факт, что независимо от типа, этим пользователям периодически необходим доступ к ресурсам вашей корпоративной сети.

Данная проблема может быть решена посредством развертывания в корпоративной сети службы удаленного доступа (remote access service). Под удаленным доступом понимается решение, основанное на маршрутизации обращений подключающегося удаленного клиента в локальную сеть корпорации. Все приложения, посредством которых происходит доступ к ресурсам корпоративной сети, функционируют непосредственно на стороне клиента.

Следует также упомянуть про другую возможность организации доступа к ресурсам корпоративной сети – дистанционное управление (remote control). Под дистанционным управлением понимается решение, основанное на использовании удаленными пользователями программных и вычислительных ресуррсов сервера. При этом также возможен доступ к ресурсам корпоративной сети. Однако все приложения, посредством которых этот доступ осуществляется, выполняются не на клиенте, а на сервере. Клиенту передаются только образы экрана. Данное решение реализуется при помощи служб терминалов (terminal services).

Набор соглашений и правил, регламентирующих порядок взаимодействия отдельных компонентов сети, называется протоколом. Протокол представляет собой согласованный способ обмена информацией между хостами. При этом под хостом понимается любое сетевое устройство (не только компьютер), способное выступать источником или получателем данных.

Выделяют протоколы аппаратные и программные. Аппаратные протоколы регламентируют правила функционирования сетевых устройств. Программные протоколы регламентируют порядок взаимодействия компонентов сетевого программного обеспечения.

Работая совместно, протоколы реализуют уровень или уровни модели OSI. Каждый протокол обрабатывает свою часть процесса сетевого взаимодействия, имеет собственные правила и требования. В этом случае набор протоколов, функционирующих как единое целое на всех уровнях модели OSI, называется стеками протоколов.

В зависимости от задач, на решение которых ориентирован тот или иной протокол, он может быть отнесен к одной из множества категорий. Перечислим некоторые категории протоколов.

Соответственно, проводить обзор сетевых протоколов имеет смысл только в рамках определенной задачи. В данной главе мы в первую очередь рассмотрим транспортные протоколы и протоколы удаленного доступа.

• Транспортные протоколы. Протоколы, регламентирующие порядок передачи данных между сетевыми устройствами. Эти протоколы образуют "каркас" сети, реализуя транспортный механизм. К данной категории можно отнести протоколы: IP, TCP, IPX, SPX, X.25.
• Протоколы аутентификации. Протоколы этой категории позволяют организовать процесс аутентификации пользователей и устройств, участвующих в сетевом взаимодействии. К этой категории относятся протоколы Kerberos, RADIUS.
• Протоколы маршрутизации. Для реализации межсетевого взаимодействия используются устройства, получившие название маршрутизаторов. Для принятия решения о доставке пакета, маршрутизатор использует специальные таблицы маршрутизации. Протоколы маршрутизации испол
• ьзуются маршрутизаторами для построения подобных таблиц (протоколы RIP, OSPF, IS-IS, ВОР).
• Протоколы обеспечения безопасности передачи данных. К этой группе относятся протоколы туннелирования и протоколы шифрования данных: например, SSL, PPTP, L2TP.
• Вспомогательные протоколы. Эта группа протоколов реализует вспомогательные сетевые сервисы – DHCP, HTTP, FTP.

В процессе развертывания операционной системы администратор может установить базовый набор сетевых компонентов, предоставляющих возможность создания сетевых подключений. В составе Windows Server 2003 поставляется значительное число дополнительных сетевых компонентов, расширяющих функциональность операционной системы (табл. 12.2).

Все операции по конфигурированию сетевых средств осуществляются в папке Network Connections (Сетевые подключения) (рис. 12.1). В этой папке создаются все поддерживаемые операционной системой подключения. Папка располагается на панели управления или может быть выведена непосредственно в меню Start (Пуск).

Типы сетевых подключений, поддерживаемых Windows Server 2003, перечислены в табл. 12.1.

Таблица 12.1. Типы сетевых подключений.

Следует заметить, что из всех перечисленных в таблице типов только подключение к локальной сети создается системой автоматически. В процессе загрузки Windows Server 2003 автоматически обнаруживает установленные сетевые адаптеры и для каждого сетевого адаптера создает соответствующее сетевое подключение.

В случае если на компьютере установлено более одного сетевого адаптера, администратор может устранить возможный беспорядок в именах подключений, переименовав каждое локальное подключение в соответствии с функциональным назначением или расположением сети, с которой это соединение связывает компьютер.

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль.

Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users, используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.

Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль