Безопасность и аудит

Общий доступ к данным позволяет удаленным пользователям обращаться к сетевым ресурсам: файлам, папкам и дискам. Когда вы делаете общими папку/диск, все их файлы и вложенные папки становятся доступны другим пользователям. Управлять же доступом к определенным файлам и вложенным папкам в общей папке можно только на разделах файловой системы WindowsNT (NTFS), списки управления доступом которых служат для предоставления/запрета доступа к файлам/папкам. Безопасность объекта относится ко всем ресурсам разделов NTFS. Она включает файлы, папки и объекты службы каталогов ActiveDirectory, Обычно только администраторы вправе управлять объектами ActiveDirectory, но вы можете делегировать пользователям полномочия управления объектами. При этом вь* открываете им доступ к информации в ActiveDirectoryдля просмотра и изменения. Разрешения для пользователей задаются в списках управления доступом. Отслеживая доступ к объектам, вы можете тщательно контролировать сетевую активность и обеспечить доступ к ресурсам только авторизованным пользователям.

Общий доступ к папкам на локальных и удаленных системах

Общие ресурсы открыты для доступа удаленных пользователей. Разрешения для общих папок не распространяются на пользователей, регистрирующихся локально па сервере или на рабочей станции, где расположены эти общие папки.

• Для предоставления удаленным пользователям доступа к файлам в своей сети служа! стандартные разрешения доступа к папкам.

• Для предоставления удаленным пользователям доступа к файлам из Web применяется Web-доступ, реализуемый, только если на системе установлены службы Internet Information Services.

Просмотр имеющихся общих ресурсов

Вы можете увидеть общие папки на локальном/удаленном компьютере. 1. В консоли Computer Management (Управление компьютером) подключитесь к нужному компьютеру. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools (Системные средства) и Shared Folders (Общие папки), а затем выберите Shares (Общие ресурсы), Будут отбражены текущие общие ресурсы системы (рис. 13-1).

3. В правой панели содержится такая информация:

• Shared Folder (Общая папка) — имя общей папки;

• Shared Path (Общий путь) — полный путь к папке на локальной системе;

• Туре (Тип) — тип компьютера, который может использовать этот ресурс;

Примечание Запись «Windows» означает, что все клиенты Microsoft Windowsмогут обращаться к ресурсу так же, как другие разрешенные клиенты, например пользователи Macintosh. Запись «Macintosh» означает, что к этому ресурсу могут обращаться только клиенты Macintosh.

• # Client Redirections (Количество перенаправлений клиентам) — количество клиентов, имеющих доступ к ресурсу в данный момент;

• Comment (Комментарий) — описание ресурса.

Создание общих папок

Microsoft Windows2000 обеспечивает два способа открытия общего доступа: к локальным папкам (через Проводник Windows) или к локальным и удаленным папкам (через консоль Computer Management). Computer Management позволяет управлять общими ресурсами с любого компьютера сети. Для создания общих папок на Windows2000 SERVERвы должны входить в группы Administrators (Администраторы) или SERVEROperators (Операторы сервера). Чтобы создать общую панку на Windows2000 Workstation, нужно быть членом групп Administrators или Power Users (Опытные пользователи).

Общая папка в Computer Management создается так. 1. Щелкните правой кнопкой Computer Management в дереве консоли и выберите Connect To Anoffier Computer (Подключиться к другому компьютеру). Затем выберите нужный компьютер в окне Select Computer (Выбор: Компьютер). 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Shares. Будут показаны текущие общие ресурсы системы. 3. Щелкнув правой кнопкой Shares, выберите New File Share (Новый общий файл). Откроется мастер Create Shared Folder (Создание общей папки) (рис. 13-2). 4. В ноле Folder To Share (Общая папка) наберите локальный путь к папке, к которой вы хотите открыть доступ. Путь должен быть полным, например C:\Data\CorpDocuments. Если вы не знаете полного пути, щелкните Browse (Обзор) и в окне Browse For Folder (Обзор папок) найдите нужную папку.

Совет Если требуемого пути не существует, мастер может создать его. Щелкните Yes (Да), когда появится предложение создать нужную папку.

5. Введите имя ресурса. Это имя папки, к которой будут обращаться пользователи. Имена ресурсов должны быть уникальными для каждой системы. Примечание Компьютеры с MS-DOS и Windows3.1 могут получить доступ только к ресурсам, имена которых соответствуют стандарту 8.3. Чтобы обеспечить для них доступность ресурса, вы должны соблюдать правило именования 8.3. Например, вместо PrimaryShare лучше использовать имя PRIMARY.SHR или что-то подобное. О правилах именования см. главу 12. 6. Вы можете ввести описание ресурса. Впоследствии, когда вы будете просматривать общие ресурсы на каком-то компьютере, описание будет показано в Computer Management. 7. Дополнительно можно определить типы клиентов, которые будут иметь доступ к компьютеру:

• Microsoft Windows;

• Novell Netware;

• Apple Macintosh. Примечание Ресурсы для Apple Macintosh и Novell Netware должны быть созданы на NTFS. File SERVERFor Macintosh — это служба, которая делает файлы доступными пользователям Macintosh. Эти службы нужно установить и запустить, если вы хотите открыть доступ к общим ресурсам пользователям этих систем. Настроить компьютер как файловый сервер позволяет программа Configure Your SERVER(Настройка сервера): установить дополнительные компоненты поможет мастер. 8. Если в качестве типа клиента выбран Apple Macintosh, »ы можете изменить имя ресурса по умолчанию для пользо нате лей Macintosh, набрав новое имя в поле Macintosh Share Name (Имя ресурса Macintosh). 9. Щелкните Next (Далее), а затем настройте базовые разрешения доступа к ресурсу (рис. 13-3); см. раздел «Управление разрешениями доступа к общему ресурсу». Вам доступны следующие параметры.

• АИ Users Have Full Control (Все пользователи имеют полный доступ) дает пользователям полный доступ к ресурсу, т. с. они могут выполнять любые действия с общими файлами/папками: создавать, изменять и удалять их. На разделах NTFSэто также дает пользователям право менять разрешения доступа и становиться владельцами файлов/лапок.

• Administrators Have Full Control; Other Users Have Read-Only Access (Администраторы имеют полный доступ; остальные имеют доступ только для чтения) дает администраторам полный доступ к ресурсу. Остальные пользователи могут только просматривать файлы и читать данные, но не создавать, изменять или удалять файлы/папки.

• Administrators Have Full Control; Other Users Have No Access (Администраторы имеют полный доступ; остальные не имеют доступа) дает администраторам полный доступ к ресурсу, но запрещает доступ остальным пользователям. Используйте этот параметр, если хотите создать общий ресурс и предоставить пользевателям разрешения доступа позже или если хотите создать административный ресурс. Customize Share And Folder Permissions (Настроить общий ресурс и разрешения доступа к папке) позволяет настроить доступ для определенных пользователей и групп; обычно это лучший вариант. О настройке разрешений доступа к общему ресурсу см. раздел «Управление разрешениями доступа к общему ресурсу».

10. Щелкните Finish (Готово).Примечание Просматривая теперь общие папки в Проводнике Windows, вы увидите на значке папки руку, т. е. папка стала общей. Через Computer Management вы также можете просмотреть общие ресурсы — см. раздел «Общий доступ к папкам на локальных и удаленных системах».

Создание дополнительных общих ресурсов на базе существующего

Отдельным панкам можно сопоставить несколько ресурсов общего доступа, причем каждый может иметь свое имя и набор разрешений доступа. Создавая дополнительные ресурсы на базе существующего, следуйте инструкциям но созданию ресурса предыдущего раздела с такими изменениями:

• в п. 3: присваивая имя ресурсу, убедитесь, что оно отличается от других, ранее присвоенных;

• в п. 6: в описании ресурса объясните, для чего он используется (и чем отличается от других ресурсов для той же папки).

Создание Web-pecypca

Если в системе, на которой вы в данный момент зарегистрированы, установлены службы Internet Information Services (IIS), вы можете создать общие ресурсы, которые будут доступны из Web-обозревателей. 1. В Проводнике правой кнопкой щелкните локальную папку, к которой хотите открыть доступ, и выберите Properties (Свойства). 2. В окне свойств щелкните вкладку Web Sharing (Доступ через веб) (рис. 13-4).

3. В списке Share On выберите локальный Web-узел, на котором хотите открыть доступ к этой панке, 4. Если это первый общий ресурс для данной папки, щелкните Share This Folder (Предоставить совместный доступ к папке), чтобы открыть окно Edit Alias (рис. 13-5); иначе щелкните Add (Добавить).

5. В поле Alias (Псевдоним) введите псевдоним папки. Псевдоним — это имя, которое вы будете использовать для доступа к папке на Web-сервере. Оно должно быть уникальным и не должно конфликтоиать с существующими папками, используемыми Web-сервером. Скажем, если вы наберете псевдоним MyDir, вы сможете обращаться к папке по адресу htfp://loca!host/MyDir/. 6. Установите разрешения доступа для папки. Следующие флажки позволяют пользователям Web:

• Read (Чтение) — читать файлы в папке;

• Write (Запись) -- записывать файлы в папку;

• Script Source Access (Доступ к тексту сценария) — получить доступ- к исходным текстам сценариев;

• DirectoryBrowsing (Обзор каталога) — просматривать папку и в;южеш-.ые в нее подпапки. 7. Установите разрешения для приложений и лапке. Вам доступны такие флажки:

• None (Отсутствуют) запрещает выполнение программ и сценариев;

• Scripts (Сценарии) позволяет запускать сценарии в этой папке из Web;

• Execute (Includes Scripts) [Выполнение (включая сценарии)] позволяет выполнять программы и сценарии в этой папке из Web.

8. Закончив, щелкните ОК. 9. Для дальнейшего ограничения доступа к содержимому общей папки на разделе NITFS настройте разрешения файла/папки (см. раздел «Разрешения доступа к файлам и папкам»). Примечание Управление доступом к Web-ресурсам осуществляется Web-сервером и Windows2000. Если у вас проблемы с доступом к ресурсу, проверьте разрешения Webсервера, а затем разрешения доступа к файлам и папкам Windows2000.

Управление разрешениями доступа к общему ресурсу

Разрешения доступа устанавливают максимально возможные действия в общей папке. По умолчанию при создании общего ресурса любой пользователь сети имеет полный доступ к содержимому этого ресурса. На разделах NTFSможно задать разрешения доступа к файлам/папкам внутри общей панки для дополнительного ограничения доступа к объектам внутри общей папке и к ней самой. На разделах FATдоступ регулируют только разрешения для самого ресурса. Виды разрешений доступа к общим ресурсам Ниже перечислены разрешения доступа к ресурсам но степени ограничения от более жестких к менее.

• No Access (Нет доступа) — доступ к этому ресурсу запрещен.

• Read (Чтение) - с этим разрешением пользователь может:

• видеть имена файлов и нанок;

• иметь доступ к поднапкам общего ресурса;

• читать данные и атрибуты файлов;

• запускать на выполнение программы,

• Change (Изменение) — пользователям разрешено читать данные из папки, а также:

• создавать файлы и подпапки;

• изменять файлы;

• изменять атрибуты файлов и нодпапок;

• удалять файлы и подпапкн.

Full Control (Полный доступ) — пользователи имеют разрешения чтения/изменения, а также дополнительно получают в разделах NTFSвозможность:

• изменять разрешения доступа к файлам/папкам;

• становиться владельцами файлов/папок. Примечание Только на разделах NTFSможно установить разрешения доступа к файлам/папкам и права владения файлами/папками. Вы можете назначить разрешения доступа к общим ресурсам пользователям/группам. Можно назначить разрешения доступа даже неявным группам. О неявных группах см. главу 7.

Просмотр разрешений доступа к общему ресурсу

Вы можете просмотреть разрешения доступа к общему ресурсу. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан общий ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Shares.

3. Правой кнопкой щелкните ресурс, который хотите посмотреть, и выберите Properties. 4. В окне свойств щелкните вкладку Share Permissions (Разрешения для общего ресурса) (рис. 13-6). Теперь вы видите, какие пользователи и группы имеют доступ к этому ресурсу и тип этого доступа.

Настройка разрешений доступа к общему ресурсу

В консоли Computer Management можно добавить разрешения доступа пользователя, компьютера и группы к ресурсу. 1. Правой кнопкой щелкните ресурс, которым хотите управлять, и выберите Properties. 2. В окне свойств щелкните вкладку Share Permissions. 3. Выберите Add. Откроется окно Select Users, Contacts, Computers, .Or Groups (Выбор: Пользователи, Контакты, Компьютеры или Группы) (рис. 13-7). Параметры этого окна таковы.

• Look In (Искать в) — список, позволяющий получить доступ к учетным записям в других доменах. Щелкните Look In для просмотра списка текущего домена,

доверенных доменов и других ресурсов, к которым вы имеете доступ. Выберите Entire Directory(Вся панка) для просмотра всех учетных записей в папке. Примечание В список Look In попадают только домены, с которыми установлены доверительные отношения. Поскольку в Windows2000 используется транзитивное доверие, это обычно означает, что все домены в дереве или лесу будут присутствовать в списке.

• Name (Имя) — перечень доступных учетных записей в выбранном домене/ресурсе.

• Add (Добавить) — кнопка добавляет выбранные имена в список выбора.

• Check Names (Проверить имена) — кнопка подтверждает правильность имен пользователей и групп, внесенных в список выбора. Это полезно, если вы вводили имена вручную и хотите убедиться, что они существуют. 4. Щелкните ОК. Пользователи и группы будут добавлены в список имен для общего ресурса. 5. Настройте разрешения доступа для каждого пользователя, контакта, компьютера и группы, выбирая учетную запись и предоставляя/запрещая нужные разрешения. Помните: вы задаете максимально возможные разрешения для конкретного пользователя, контакта, компьютера или группы. 6. Щелкните ОК. О назначении дополнительных разрешений безопасности па томе NTFSсм. раздел «Разрешения доступа к файлам и панкам».

Изменение существующих разрешений доступа к общему ресурсу

Вы можете изменить разрешения доступа к общему ресурсу, которые ны назначили пользователю, контакту, компьютеру или группе, в окне Share Permissions. В консоли Computer Management сделайте так. 1. Правой кнопкой щелкните ресурс, которым хотите управлять, и выберите Properties. 2. В окне Share Properties щелкните вкладку Share Permissions.

3. В списке Name (Имена) выберите пользователя, контакт, компьютер или группу, разрешения доступа которых вы хотите изменить. 4. Используйте поля в области Permissions (Разрешения) для предоставления/запрета разрешений доступа. 5. Повторите эти действия для других пользователей, контактов, компьютеров или групп; щелкните ОК, когда закончите.

Удаление разрешений доступапользователей и групп к общему ресурсу

Удалить разрешения доступа к общему ресурсу, назначенные пользователям, контактам, компьютерам и группам, можно в окне Share Permissions. Б консоли Computer Management сделайте так. 1. Праиой кнопкой щелкните ресурс, которым хотите управлять, и выберите Properties. 2. В окне Share Properties щелкните вкладку Share Permissions. 3. В списке Name выберите пользователя, контакт, компьютер или группу, 'разрешения доступа которых вы хотите удалить, и выберите Remove (Удалить). 4. Повторите эти действия для других пользователей, конгактои, компьютеров или групп, и щелкните ОК.

Управление существующими общими ресурсами

Администратору часто придется управлять общими папками. Понятие о специальных ресурсах Когда вы устанавлинастс Windows2000. ОС автоматически создает специальные ресурсы. Их также называют административными и скрытыми. Эти ресурсы призваны облегчить системное администрирование. Вы не можете настроить разрешения доступа к специальным ресурсам — Windows2000 назначает их сама. Однако вы можете удалить специальные ресурсы, если какие-то из них вам не нужны. Доступность специальных ресурсов определяют параметры системы. Ниже приведен список и правила использования специальных ресурсов (табл. 13-1).

Табл. 13-1. Специальные ресурсы, используемые в Windows2000. Имя специального ресурса Описание Использование ADMINS На рабочих станциях и серверах доступ к этому ресурсу имеют члены групп Administrators и Backup Operators (Операторы архива). На контроллерах домена к ним добавляются члены группы SERVEROperators. Используется клиентами службы FAX при отсылке факсов. Используется программами во время удаленного администрирования и ири просмотре общих ресурсов. Используется службой Net Logon при обработке запросов на регистрацию в домене. Все пользователи имеют доступ на чтение. Используется File SERVERFor Macintosh и Print SERVERFor Macintosh. Используется общими принтерами. Все пользователи имеют доступ на чтение. Члены групп Administrators, SERVEROperators и Printer Operators (Операторы печати) имеют полный доступ. SYSVQL Поддерживает Используется для хранения данных и объектов ActiveDirectory. DriveletterS Позволяет админигт- На рабочих станциях и серверах доступ к этому ресурсу имеют члены групп Administrators и Backup Operators. На контроллерах домена к ним добавляются члены группы SERVEROperators. FAX$ IPCS NETLOGON Microsoft t'AM Volume PRINTS Поддерживает сетевые факсы. Поддерживает именованные каналы во время удаленного 1РС-доступа. Поддерживает службу Net Logon, Поддержинает службы файлов и печати Macintosh Поддерживает общие принтеры, обеспечивая доступ к драйверам принтеров. ActiveDirectory. администраторам подключаться к корневой папке диска. Эти ресурсы отображаются, как С$. DS, ES и т. д.

Подключение к специальным ресурсам

Имена специальных ресурсов заканчиваются символом «$». Хотя эти ресурсы и не отображаются в Проводнике Windows, администраторы и некоторые операторы могут подключаться к ним. Чтобы подключиться к специальному ресурсу, сделайте так. 1. В Проводнике в меню Tools (Сервис) выберите Map Network Drive (Подключить сетевой диск). Откроется диалоговое окно (рис. 13-8). 2. В поле Drive (Диск) выберите свободную букву диска. Эта буква будет служить для доступа к специальному ресурсу. 3. В поле Folder наберите UNC-путь к нужному ресурсу, Например, для доступа к ресурсу С$ на сервере Twiddle нужно ввести \\TWIDDLE\CS. 4. Щелкните ОК.

После подключения к специальному ресурсу вы получаете доступ к нему, как к любому другому диску. Поскольку специальные ресурсы защищены, вам не нужно беспокоиться, что обычные пользователи получат доступ к этому ресурсу. Когда вы подключаетесь к ресурсу впервые, вам может быть предложено ввести имя и пароль пользователя.

Просмотр сеансов пользователей и компьютеров

Консоль Computer Management может отследить все подключения к общим ресурсам в системе Windows2000. Как только пользователь/компьютер подключаются к общему ресурсу, подключение отображается в узле Sessions (Сеансы). Вот как просмотреть подключения к общим ресурсам. 1. В консоли Computer Management подключитесь к компьютеру, на котором 1юздан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Sessions. 3. Вы можете видеть подключенных к ресурсу пользователей/компьютеры (рис. 13-9).

Узел Sessions дает важную информацию о подключениях пользователей и компьютеров:

• User (Пользователь) — имена пользователей/компьютеров, подключенных к общим ресурсам; имена компьютеров показаны с суффиксом «$», чтобы отличить их от имен пользователей.

• Computer (Компьютер) — IP-адрес, используемый компьютером;

• Туре (Тип) — тип используемого компьютера;

• Open Files (Открытые файлы) — количество файлов, с которыми пользователь активно работает; более подробную информации вы найдете в узле Open Files;

• Connected Time (Время подсоединения) — время, прошедшее с начала соединения;

• Idle Time (Время простоя) — время, прошедшее с момента, когда соединение использовалось и последний раз;

• Guest (Гость) — регистрировался ли пользователь как гость.

Управление сеансами и общими ресурсами

Прежде чем вы отключите сервер или приложение, работающее на нем, желательно отключить пользователей от общих ресурсов. Вам также может понадобиться отключить пользователей, когда вы собираетесь изменить разрешения доступа или совсем удалить общий ресурс. Еще одна причина отключения пользователей — снятие блокировки файлов. Пользователь отключается от общих ресурсов путем завершения относящихся к нему сеансов. Завершение отдельных сеансов. Вот как отключить отдельных пользователей от общих ресурсов. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Sessions. 3. Правой кнопкой щелкните нужный пользовательский сеанс и выберите Close Session (Отключить сеанс). 4. Щелкните ОК для подтверждения действия. Завершение всех сеансов. Чтобы отключить от общих ресурсов всех пользователей, сделайте так. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Sessions. 3. Выбрав Disconnect All Sessions (Отключить все сеансы), щелкните ОК для подтверждения действия. Примечание Помните: вы отключаете пользователей от общих ресурсов, а не от домена. Вы можете заставить пользователей завершить сеанс после их входа в домен,только ограничив разрешенное время работы или средствами групповой политики. Так что отключение пользователей от общего ресурса не отключает их от сети.

Управление открытыми ресурсами

Пока пользователь подключен к общему ресурсу, отдельные файлы и объекты ресурса, с которыми он активно работает, отображаются в узле Open Files (Открытые файлы). Узел Open Files может показать файлы, которые пользователь открыл, но не редактирует R данный момент. Вот как получить доступ к узлу Open Files. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Open Files. Будет показан узел Open Files (рис. 13-10).

Узел Open Files даст следующую информацию об использовании ресурса:

• Open File (Открытый файл) — путь к открытому файлу/ папке на локальной системе; может также быть именованным каналом, например \PIPE\spools для буферизации печати;

• Accessed By (Пользователь) — имя пользователя, открывшего файл;

• Туре (Тип) — тип используемого компьютера;

• # Locks (Блокир.) — количество блокировок ресурса;

• Open Mode (Режим открытия) — использовавшийся при открытии ресурса режим доступа: чтения, записи или чтения-записи. Закрыть открытый файл в ресурсах компьютера можно так. 1. В "консоли Computer Management подключитесь к компьютеру, с которым хотите работать. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Open Files. 3. Правой кнопкой щелкните открытый файл и выберите Close Open File (Закрыть открытый файл). 4. Щелкните ОК для подтверждения действия. Закрыть все открытые файлы в ресурсах компьютера можно так. 1. В консоли Computer Management подключитесь к компьютеру, с которым хотите работать. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Open Files. 3. Выбрав Disconnect All Open Files (Отключить все открытые файлы), щелкните ОК для подтверждения действия. Прекращение общего доступа к файлам и папкам 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс и раскройте узел Shares. 2. Правой кнопкой щелкните ресурс, который хотите удалить, и выберите Stop Sharing (Прекратить общий доступ). Щелкните ОК для подтверждения действия. Внимание! Никогда не удаляйте папку, содержащую общие ресурсы, без предварительного прекращения доступа к этим ресурсам. Если вы забудете прекратить доступ, Windows2000 попытается восстановить доступ при следу-ющем запуске компьютера, результатом чего будет запись об ошибке в системном журнале.

Подключение к сетевым дискам

Пользователи могут подключаться к сетевым дискам и общим ресурсам, доступным и сети. Эти соединения выглядят как сетевые диски, к которым пользователи обращаются так же, как к другим дискам и своих системах, Примечание Когда пользователи подключаются к сетевым дискам, на них действует не только набор разрешений доступа к общим ресурсам, но и разрешения доступа к файлам/папкам Windows2000. Различия в этих наборах разрешений обычно являются причиной того, что пользователи не могут получить доступ к отдельным файлам/подпапкам на сетевом диске.

Подключение сетевого диска

В Windows2000 подключение к сетевому диску осуществляется путем проекции. Для этого применяются процедуры, зависящие от конкретной ОС. Вот как подключиться к общему ресурсу Windows2000. 1. После регистрации пользователя запустите Проводник на его компьютере. 2. В меню Tools (Сервис) выберите Map Network Drive (Подключить сетевой диск). Откроется диалоговое окно Map Network Drive. 3. В поле Drive (Диск) можно создать сетевой диск для общего ресурса. Выберите свободную букву диска для создания сетевого диска, к которому можно будет обращаться через Проводник, и папку My Computer (Мой компьютер). Можно выбрать None для создания сетевого диска без назначения буквы. Этот диск открывается и собственном окне Проводника Windowsи недоступен через My Computer. 4. В поле Folder наберите UNC-путь к нужному ресурсу. Например, для доступа к ресурсу DOCS на сервере ROMEO нужно ввести \\ROMEO\DOCS. Если вы не знаете точного места размещения ресурса, щелкните Browse (Обзор) для поиска доступных ресурсов.

5. Если вы хотите, чтобы сетевой диск автоматически подключался в последующих сеансах, выберите Reconnect At Logon (Автоматически подключать при входе в систему). Иначе снимите этот флажок и дважды щелкните сетевой диск, который хотите подключить. 6. Для подключения от имени пользователя, отличного от того, под которым вы регистрировались и системе, щелкните Different User Name (под другим именем) и введите имя пользователя и пароль. 7. Щелкните ОК. /TV Совет В других ОС, например Novell Netware, можно использовать UNC из командной строки: Net Use К: \\SERVER1\Public Если хотите сделать это подключение постоянным, добавьте /Persistences в конце: Net Use К: \\SERVER1\Public /Persistent:yes Тогда система будет пытаться получить доступ к папке Public на сервере SERVERl при каждом входе в систему.

Отключение сетевого диска

Сетевой диск отключается так. 1. После регистрации пользователя запустите Проводник Windowsна компьютере пользователя. 2. Б меню Tools выберите Disconnect Network Drive (Отключить сетевой диск). Откроется диалоговое окно Disconnect Network Drive. 3. Выберите нужный диск и щелкните ОК.

Управление объектами,правами владения и наследованием

В Windows2000 реализован объектный подход к описанию ресурсов и управлению разрешениями доступа. Объекты, описывающие ресурсы, определяются в разделах NTFSи в ActiveDirectory. На разделах NTFSможно настраивать разрешения доступа к файлам/папкам, а средствами ActiveDirectory— разрешения доступа к другим объектам, таким как пользователи, контакты, компьютеры и группы.

Объекты и диспетчеры объектов

Независимо от того, где определен объект: в разделе NTFSили в ActiveDirectory, - у каждого типа объектов свой диспетчер и базовые средства управления. Диспетчер объектов управляет параметрами объекта и разрешениями доступа к нему. Базовые средства управления — предпочтительные инструменты работы с объектами. Объекты, их диспетчеры и средства управления перечислены ниже (табл. 13-2). Табл. 13-2. Объекты Windows2000. Тип объекта Файлы и папки Общие ресурсы Записи реестра Службы Принтеры Диспетчер объекта NTFSСлужба SERVERРеестр WindowsКонтроллеры служб Спулер печати Средство управления Проводник Проводник, консоль Computer Management Редактор реестра (regedit) Набор средств настройки безопасности (Security Configuration Tool Set) Папка Printers (Принтеры) в Control Panel (Панель управления)

Владение и передача объектов

В Windows2000 владелец объекта не обязательно является его создателем, но именно владелец объекта полностью управляет им. Владелец объекта может разрешать доступ и давать другим пользователям право становиться владельцами объекта. Администратор вправе завладеть любыми объектами в сети. За счет этого для авторизованных администраторе» нельзя заблокировать файлы, папки, принтеры и другие ресурсы. Но став владельцем файлов, вы (в большинстве случаев) не можете вернуть их предыдущему владельцу. Это предотвращает возможность администратора получить доступ к файлу, а затем скрыть этот факт. Порядок назначения прав владения изначально определяется местом размещения создаваемого ресурса. Обычно группа Administrators является текущим владельцем объекта, а его действительный создатель имеет право стать владельцем. Передать владение можно такими способами.

• Если администраторы изначально назначаются владельцами, создатель объекта может стать владельцем при условии, что он сделает это прежде, чем кто-либо другой станет владельцем. > Текущий владелец может предоставить разрешение Take Ownership (Смена владельцем) другим пользователям, разрешив им становиться владельцами объекта.

• Администратор может стать владельцем объекта, взяв его под свое управление.

Вот как сменить владельца объекта.

1. Запустите средство управления этим объектом. Например, если хотите работать с файлами/папками, запустите Проводник. 2. Правой кнопкой щелкните объект, владельцем которого хотите стать. 3. Выберите Properties, а затем в окне свойств — вкладку Security (Безопасность). 4. Щелкнув кнопку Advanced (Дополнительно), откройте диалоговое окно Access Control Settings (Параметры управления доступом). Затем выберите вкладку Owner (Владелец) (рис. 13-11).

5. Выберите имя нового владельца к списке Change Owner То (Изменить владельца на), а затем — ОК.

Наследование объектов

Объекты определяются с использованием структуры родитель — потомок. Родительский объект — объект верхнего уровня. Дочерний определяется в иерархии ниже родительского. Например, папка С:\ является родительской для папок C:\data и C:\backups. Любые подпапки, созданные в C:\data или C:\hackup.s являются дочерними для этих папок и внучатыми для С:\. Дочерние объекты могут наследовать разрешения от родительских объектов. Фактически псе объекты Windows2000 по умолчанию создаются с разрешением наследования. Это значит, что дочерние объекты автоматически наследуют разрешения родительских, поэтому разрешения родительского объекта управляют доступом к дочернему. Чтобы изменить разрешения дочернего объекта:

• отредактируйте разрешения родительского объекта;

• остановите наследование разрешений от родительского объекта, а затем назначьте разрешения для дочернего;

• выберите противоположное значение разрешения для перекрытия унаследованного, например, если родитель предоставляет какое-то разрешение, запретите его для дочернего объекта. Вот как запустить/остановить наследование разрешений от родительского объекта. 1. Запустите средство управления для данного объекта. Например, если хотите работать с файлами/папками, запустите Проводник. 2. Правой кнопкой щелкните объект, с которым хотите работать. 3. В меню выберите Properties, а затем в окне свойств вкладку Security. 4. Щелкнув кнопку Advanced, откройте диалоговое окно Access Control Settings. 5. На вкладке Permission (Разрешения) установите/снимите флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект),

Разрешения доступа к файлам и папкам

В разделах NTFSвы можете настраивать разрешения безопасности для файлов и папок. Эти разрешения позволяют/ запрещают доступ к файлам/папкам. Разрешения безопасности можно просмотреть. 1. В Проводнике правой кнопкой щелкните файл/папку, с которыми хотите работать. 2. В меню выберите Properties, а затем и окне свойств вкладку Security. 3. В списке Name выберите пользователя, контакт, компьютер и группу, разрешения которых вы хотите видеть. Если разрешения затенены, они наследуются от родительского объекта.

Понятие разрешений доступа к файлам и папкам

Ниже приведены базовые разрешения, которые вы можете назначить файлу и папке (табл. 13-3). Разрешения файла: Full Control (Полный доступ). Modify (Изменение), Read & Execute (Чтение и выполнение), Read (Чтение) и Write (Запись). Разрешения папки: Full Control, Modify, Read & Execute, List Folder Contents (Список содержимого папки), Read и Write. Когда иьт работаете с разрешениями файлов/папок, учтите:

• Read — единственное разрешение, необходимое для выполнения сценариев. Разрешение Execute (Выполнение) не требуется;

• Read требуется для доступа к ярлыкам и их целевым объектам;

• предоставляя пользователю разрешение записи в файл, но не его удаления, нельзя предотвратить удаление пользователем содержимого файла — пользователь по-прежнему может удалить содержимое файла;

• имея полный доступ к папке, пользователь может удалять файлы в ней независимо от разрешений на сами эти файлы. Базовые разрешения создаются комбинацией специальных разрешений в логических группах. Ниже показаны специальные разрешения, используемые при создании базовых разрешений для файлов (табл. 13-4). Используя дополнительные параметры разрешения, вы можете назначать специальные разрешения индивидуально. При изучении специальных разрешений учтите следующее.

• Доступ пользователю должен быть предоставлен явно, иначе доступ ему запрещен.

• Действия, которые может выполнять пользователь, являются суммой всех разрешений, назначенных ему и всем группам, членом которых он является. Например, пользователь GeorgeJ имеет доступ на чтение, кроме того, он является членом группы Techies, которая имеет право изменения. В итоге GeorgeJ будет иметь право изменения. Если Techies будут включены в группу Administrators, которая имеет полный доступ, GeorgeJ также получит полный доступ к этому файлу. Табл. 13-3. Разрешения файлов и папок в Windows2000. Разрешение Позволяет для папок Позволяет для файлов Read (Чтение) Write (Запись) Read & Execute (Чтение и выполнение) List Folder Contents (Список содержимого нанки) Modify (Изменение) Full Control (Полный доступ) Просмотр и получение списка файлов и поднапок Добавление файлов и нодпанок. Просмотр и получение списка файлов и Подлипок, а также исполнение файлов (наследуется файлам! и папками) Просмотр и получение списка файлов и подпапок, а также исполнение файлов (наследуется только папками) Чтение и запись файлов и подпапок. удаление папки Чтение, запись, изменение и удаление файлов и подпапок Просмотр/доступ к содержимому файла Запись в файл Просмотр/доступ к содержимому файла, а также исполнение файла Чтение, запись и удаление файла Чтение, запись, изменение и удаление файла Ниже перечислены специальные разрешения, используемые для создания базовых разрешений для папок{табл. 13-5). При изучении специальных разрешений учтите следующее.

• Устанавливая разрешения для родительской папки, вы можете заставить все файлы и подпайки внутри этой папки унаследовать ее разрешения: выберите Reset Permissions On All Child Objects And Enable Propagation Of Inheritable

Permissions (Сбросить разрешения всех дочерних объектов и разрешить перенос наследуемых разрешений).

• Файлы, создаваемые в папках, наследуют некоторые параметры разрешения. Эти параметры показаны как стандартные разрешения файла. Табл. 13-4. Специальные разрешения для файлов. Специальные Разрешения Full Read & Control Modify Execute Read Write Обзор папок / Выполнение файлов Получение списка содержимого папки / Чтение данных Чтение атрибутов Чтение расширенных атрибутов Создание файлов / Запись данных Создание папок / Добавление данных Запись атрибутов Запись расширенных атрибутов Удаление подпапок и файлов Удаление Разрешения на чтение Разрешения на изменение Смена владельца X \ \ \ X \ X \ X \\ X X X X X X X X X X X \ \ \ X X X X X X X X X \ X X Табл. 13-5. Специальные разрешения для папок. Специальные Разрешения Обзор папок / Получение списка содержимого пайки / Чтение данных Чтение атрибутов Чтение расширенных атрибутов Создание файлов / Запись данных Создание папок / Добавление данных Full Control X \ X X X X Modify X \ X X X X Read & Execute X X X X List Folder Contents X X X X Read Write X X X X X

Табл. 13-5. (продолжение) Специальные Разрешения List Full Read & Folder Control Modify Execute Contents Read Write Запись атрибутов Запись расширенных атрибутов Удаление подпапок и файлов Удаление Разрешения па чтение Разрешения на изменение Смена владельца X X

Настройка разрешений для файла и папки

1. В Проводнике пралой кнопкой щелкните файл/папку, с которыми хотите работать. 2. В появившемся меню выберите Properties, а затем в окне свойстн — вкладку Security (рис. 13-12).

3. Пользователи/группы, которые уже имеют доступ к файлу/папке, перечислены в списке Name. Вы можете изменить разрешения для этих пользователей/групп:

• выберите пользователя/группу, разрешения которых хотите изменить;

• в списке Permissions предоставьте/запретите разрешения доступа. Совет Наследуемые разрешения затенены. Если вы хотите перекрыть наследуемое разрешение, выберите противоположное значение. 4. Чтобы задать разрешения доступа для дополнительных пользователей, контактов, компьютеров/групп, щелкните Add. Появится диалоговое окно Select Users, Computers, Or Groups (рис. 13-13).

В этом окне имеются следующие поля.

• Look In — этот список позволяет получить доступ к учетным записям в других доменах. Щелкните Look In для просмотра списка текущего домена, доверенных доменов и других ресурсов, к которым вы имеете доступ. Выберите Entire Directory(Вся папка) для просмотра всех учетных записей в ActiveDirectory.

• Name — здесь перечислены учетные записи в выбранном домене/ресурсе.

• Add — эта кнопка добавляет выбранные имена в список выбора.

• Check Names — эта кнопка подтверждает правильность имен пользователей и групп, внесенных в список выбора. Это удобно, если вы вводили имена вручную и хотите убедиться, что они существуют. 6. В списке Name выберите нужных пользователя, компьютер или группу, а затем используйте поля в области Permissions для предоставления/запрета разрешений доступа. Повторите для других пользователей, компьютеров или групп. 7. Щелкните ОК, когда закончите.

Аудит системных ресурсов

Аудит — лучший способ проследить, что случилось с вашей системой Windows2000. Вы можете применять аудит для сбора информации по использованию ресурсов, такой как доступ к файлам, регистрация в системе и изменения системных настроек. Как только произойдет событие, которое вы настроили для аудита, оно будет записано в системный журнал безопасности, где вы сможете увидеть его. Журнал безопасности доступен и консоли Event Viewer. Примечание Для большей части изменений аудита вам понадобится регистрироваться под учетной записью из группы Administrators i/ли иметь разрешение Manage Auditing And Security Log (Управление аудитом и журналом безопасности) в групповой политике.

Настройка политик аудита

Политики аудита — важный фактор обеспечения безопасности и целостности системы. Почти каждая компьютерная система в сети должна быть настроена для протоколирования определенных параметров безопасности. Политики аудита настраиваются с применением групповой политики: вы можете задать политики аудита для лсего сайта, домена или организационного подразделения (ОП). Вы также можете настроить политики для отдельной рабочей станции/сервера. Открыв контейнер групповой политики, настройте политику аудита. 1. Доступ к узлу Audit Policy (Политика аудита) можно получить, последовательно спускаясь по дереву консоли (рис. 13-14). Раскройте поочередно Computer Configuration (Конфигурация компьютера), WindowsSettings (Конфигурация Windows), Security Settings (Параметры безопасности) и Local Policies (Локальные политики). Затем выберите Audit Policy.

Параметры аудита перечислены ниже.

• Audit Account Logon Events (Аудит регистрации учетных записей в системе) отслеживает события, относящиеся к регистрации и окончанию работы пользователя в системе.

• Audit Account Management (Аудит управления учетными записями) отслеживает управление учетными записями посредством ActiveDirectoryUsers And Computers. События генерируются каждый раз, когда учет создаются, изменяются или удаляются.

• Audit DirectoryService Access (Аудит доступа к службе каталогов) отслеживает доступ к ActiveDirectory. События генерируются каждый раз, когда пользователи/коми ьютеры получают доступ к каталогу.

• Audit Logon Events (Аудит событий входа в систему) отслеживает события, связанные с регистрацией пользователя, окончанием сеанса работы и удаленными соединениями с сетевыми системами.

• Audit Object Access (Аудит доступа к объектам) отслеживает использование системных ресурсов; файлов, каталогов, общих ресурсов, принтеров и объектов ActiveDirectory.

• Audit Policy Change (Аудит изменений политики) отслеживает изменения разрешений доступа пользователей, аудита и доверительных отношений.

• Audit Privilege Use (Аудит использования привилегий) отслеживает применение разрешений доступа и принилегий пользователя типа права резервного копирования файлов и каталогов. Примечание Политика аудита привилегий не отслеживает события, относящиеся к системному доступу, такие как использование права интерактивного входа/разрешения доступа к компьютеру из сети. Эти события отслеживаются аудитом регистрации пользователя.

• Audit Process Tracking (Аудит отслеживания ПРОЦЕССов) отслеживает системные ПРОЦЕССы и ресурсы, ими используемые.

• Audit SYSTEMEvents (Аудит системных событий) отслеживает запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности. 3. Для настройки политики аудита дважды щелкните се элемент или щелкните его правой кнопкой и выберите Security. Откроется окно свойств этой политики. 4. Выберите Define These Policy Settings, а затем пометьте флажок Success (Успех) либо Failure (Отказ) или оба сразу. Включение Success протоколирует успешные события,

такие как удачные попытки входа и систему. Failure события отказа, такие как неудачные попытки входа. 5. Щелкните ОК, когда закончите. Аудит файлов и папок Если вы настроили групповую политику, включив параметр Audit Object Access (Аудит доступа к объектам), вы можете задать уровень аудита для отдельных папок/файлов. Аудит этого типа доступен только на томах NTFS. Аудит файла/пайки настраивается так. 1. В Проводнике щелкните правой кнопкой файл/папку, для которых нужно включить аудит, и выберите Properties. 2. На вкладке Security щелкните Advanced. 3. В окне Access Control Settings выберите вкладку Auditing (рис. 13-15).

4. Если вы хотите наследовать параметры аудита от родительского объекта, выберите Allow Inheritable Auditing Entries From Parent To Propagate To This Object (Персносить наследуемые от родительского объекта элементы аудита на этот объект). 5. Если вы хотите, чтобы дочерние объекты текущего объекта наследовали его параметры, выберите Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries (Сброс элементов аудита всех дочерних объектов и разрешение переноса наследуемых элементов аудита). 6. В списке Auditing Entries (Элементы аудита) выберите пользователей, группы или компьютеры, чьи действия вы желаете отслеживать с помощью аудита. Чтобы удалить учетную запись, выберите ее в списке Auditing Entries и щелкните Remove (Удалить). 7. Чтобы добавить определенные учетные записи, щелкните Add, а затем в окне Select Users, Contacts, Computers, Or Groups укажите имя учетной записи. Щелкнув OK, вы увидите диалоговое окно Auditing Entry For (Элемент аудита для) (рис.13-16).

Примечание Для отслеживания с помощью аудита действий всех пользователей служит специальная группа Everyone. Иначе выберите группы пользователей или отдельных пользователей, к которым хотите применить аудит. 8. В списке Apply Onto (Применять) можно определить, где применять аудит объектов. 9. Выберите флажки Successful (Успешное), Failed (Неудачное) или оба сразу, для каждого из событий, к которым хотите применять аудит. Successful протоколирует успешные события, типа успешного чтения файла, Failed неудачные события, например неудавшееся удаление файла. События, для которых вы можете использовать аудит, — те же, что и специальные разрешения (табл. 13-5), за исключением того, что нельзя отслеживать средствами аудита синхронизацию автономных файлов и панок. 10. Выберите ОК, когда закончите. Повторите описанный ПРОЦЕССдля аудита других пользователей, групп или компьютеров.

Аудит объектов ActiveDirectory

Если в групповой политике включен параметр Audit DirectoryService Access (Аудит доступа к службе каталогов), вы можете задать уровень аудита для объектов ActiveDirectory. Это позволяет точно управлять наблюдением за использованием объекта. Аудит объекта настраивается так. 1. В консоли ActiveDirectoryUsers And Computers найдите контейнер объекта. 2. Правой кнопкой щелкните объект, для которого будет применяться аудит, и выберите Properties. 3. На вкладке Security щелкните Advanced. 4. В окне Access Control Settings выберите вкладку Auditing. Если вы хотите наследовать параметры аудита от родительского объекта, выберите Allow Inheritable Auditing Entries From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта элементы аудита на этот объект).

5. В списке Auditing Entries можно выбрать пользователей, группы или компьютеры, чьи действия вы желаете отслеживать с помощью аудита. Чтобы удалить учетную запись, выберите ее в списке Auditing Entries и щелкните Remove. 6. Чтобы добавить определенные учетные записи, щелкните Add, а затем в окне Select Users, Contacts, Computers, Or Groups укажите имя учетной записи. Когда вы нажмете ОК, появится диалоговое окно Audit Entry For (Элемент аудита для). 7. Используйте список Apply Onto, чтобы указать, где применять аудит объектов. 8. Выберите флажки Successful, Failed или оба сразу для каждого из событий, которые хотите отслеживать. 9. Щелкните ОК, когда закончите. Повторите описанный ПРОЦЕССдля аудита других пользователей, групп или компьютеров.