Основные экзамены поWindows 2000 за 15 минут в неделю:

Администривование ресурсов в Windows 2000 (Часть 1)

Добро пожаловать во вторую очередную статью из серии «Основные экзамены по Windows 2000 за 15 минут в неделю». Сегодняшняя статья содержит материал, посвященный второй важной теме в нашем путешествии по учебным материалам основных экзаменов:

«Администрирования ресурсов в Windows 2000».

Кроме того, это ключевое часть экзамена 70-210 - Windows 2000 Professional. Мы рассмотрим такие темы как разрешения NTFS, кэширование файлов, управление Web-сервером, печать и многое другое. Перечень вопросов обширен и я решил разбить его на две статьи, для того чтобы соблюсти наше главное правило – уложиться в 15 минут!

В эту статью входит следующий материал:

- настройка NTFS (включая EFS и Compression (сжатие))

- настройка пользователей и групп

- аудит файлов и владение файлами (file Ownership)

- настройка кэширования файлов

- общие ресурсы (Shared Folders)

Вторая статья данного обзора на следующей неделе будет посвящена рассмотрению настройки web-сервера, конфигурирования принтеров, печати через Интернет и т.д.

Настройка NTFS

Для начала давайте вновь посетим старого друга – NTFS. Хотя NTFS продолжает поддерживать безопасность файловой системы, с чем вы хорошо знакомы по Windows NT 4.0, здесь появился ряд изменений в функционировании и настройке. Версия NTFS поддерживаемая в Windows 2000 – это NTFS 5, в отличии от NT версии, которая была версией 4. (За исключением NT 4.0 с SP4 и выше, в котором также используется NTFS 5). Новая версия NTFS в Windows 2000 поддерживает и новые и старые функции, которые включают в себя:

- Возможность шифрования (encrypt) файлов и папок, которые находятся на разделе NTFS с применением EFS (Encrypting File System - шифрующая файловая система)

- Возможность сжатия файлов и папок

- Возможность устанавливать разрешения (security permissions) для файлов и папок при помощи списков управления доступом (access control lists)

- Возможность смены владельца (take ownership) файлов или папок для пользователя или администратора с соответствующими разрешениями

- Возможность аудита доступа к файлам и папкам.

Настраивать шифрование и сжатие файлов и папок очень просто. И то и другое устанавливается как атрибут, подобно таким атрибутам, как System, Read-only, Hidden, и Archive, с которыми вы наверняка уже знакомы. И шифрование и сжатие устанавливаются на вкладке Advanced Attributes, которая открывается нажатием на кнопку Advanced button на вкладке General tab (Общие) окна свойств файла, как показано ниже.

Заметьте, что хотя все выглядит так, что вы можете выбрать и то и другое, однако шифрование и сжатие взаимно исключают друг друга, таким образом вы должны выбирать что-то одно.

Если EFS шифрование было осуществлено, только тот, что осуществил шифрование файла, может открыть его, за одним исключением. Windows 2000 включает специальную роль, устанавливаемую через group policy (групповую политику), называемую Recovery Agent (агент восстановления). Recovery Agent может открыть любой зашифрованный файл. Это сделано на «всякий пожарный случай», например, если пользователь вдруг покидает компаний и т.д. По умолчанию, только администратор домена может быть Recovery Agent (на компьютере, не входящем в домен – локальный администратор), хотя эта роль и может быть передана доверенному пользователю или пользователям.

Для облегчения шифрования файлов, пользователь может создать зашифрованную папку, а затем сохранять в ней все уязвимые файлы. При этом файлы будут автоматически шифроваться, что позволит пользователю не беспокоиться о шифровании каждого файла в отдельности. Для шифрования нескольких файлов одновременно предлагается использовать запуск из командной строки команды Cipher.exe, которая осуществляет «массовое» шифрование, используя определяемые вами параметры (включая «*»).

Другие важные вещи, которые вы должны знать об EFS:

- Если вы пытаетесь открыть (или скопировать) файл, зашифрованный другим пользователем, вы получите 'Access Denied' (Доступ запрещен) сообщение.

- Если пользователь, который зашифровал файл переместит его на не-NTFS раздел, то файл не будет больше зашифрованным.

- EFS – это система шифрования файлов, а не транспорт. Если вы шифруете файл на сервере, а затем открываете его на workstation (рабочей станции), файл перемещается по сети в незашифрованном виде.

- Когда вы перемещаете незашифрованный файл в шифрованную папку, он не становиться шифрованным (сохраняет свой атрибут). Однако когда вы копируете незашифрованный файл в шифрованную папку, он шифруется (наследует атрибут).

Хотите знать больше о EFS? Смотрите здесь.

Когда вы изучаете сжатие, вы тоже хотите знать, что же происходит при копировании и перемещении файлов внутри и между разделами. Таблица внизу показывает, что же происходит с атрибутом сжатия файла при различных сценариях. Помните, что при копировании и перемещении файла с NTFS на разделы с FAT и FAT32 атрибуты сжатия утрачиваются. Кстати, вы можете также использовать эту таблицу для описания того, что происходит с разрешениями NTFS, когда файл перемещается или копируется в папку.

На одном томе (разделе) NTFS

Между томами (разделами) NTFS

Копирование файла

Наследует атрибут сжатия принимающей папки

Наследует атрибут сжатия принимающей папки

Перемещение файла

Сохраняет атрибут сжатия

Наследует атрибут сжатия принимающей папки

Теперь давайте рассмотрим NTFS разрешения. Хотя многие из концепций такие же как в NT 4.0, некоторые детали реализации отличаются. NTFS-разрешения остаются накопительными (cumulative) по своей сущности. Это означает, что если несколько разрешений применяются к вам, то их комбинация и будет эффективным разрешением. Если вам дан Read (чтение) доступ к папке как члену группы Sales (группы продажи), и Modify (изменить) доступ к этой же папке, то ваше эффективное разрешение будет Modify. Здесь есть исключение, конечно. Любое разрешение которое недвусмысленно запрещается преобладает над всеми разрешениями.

Таблица внизу показывает стандартные разрешения, которые существуют в Access Control List (ACL) для файлов и папок в Windows 2000. Заметьте, что все стандартные разрешения состоят из более гранулированных дополнительных разрешений, которые могут быть увидены после нажатия на кнопку Advanced button (дополнительно) на вкладке Security tab (безопасность) Свойств файла или папки.

Стандартные разрешения для файлов	Стандартные разрешения для папок
Full Control (Полный контроль)	Full Control (полный контроль)
Modify (Изменять)	Modify (Изменять)
Read and Execute (Читать и исполнять)	Read and Execute (Читать и исполнять)
Read (Читать)	List Folder Contents (Список содержимого папки)
Write (Писать)	Read (Читать)
	Write (Писать)

Здесь есть пара важных заметок, которые вам необходимо помнить о разрешениях NTFS:

- По умолчанию, NTFS в Windows 2000 устанавливает разрешение Full Control для группы Everyone для корня диска. Некоторые папки, такие как директория %systemroot%, имеют большие ограничения разрешений.

- По умолчанию, разрешения в Windows 2000 наследуются. Вы можете с уверенность сказать, что разрешения унаследованы, когда окно разрешений окрашено серым и не позволяет проводить настройку. Это означает, что разрешения установлены на более высоком уровне.

- Если вы хотите изменить разрешения, которые наследуются, вы должны сначала очистить окошко 'Allow inheritable permissions from parent to propagate to this object' (Переносить наследуемые от родительских объектов разрешения на этот объект). Делая это вы получите запрос, не желаете ли вы удалить все существующие разрешения, или cкопировать все существующие разрешения (последнее передаст разрешения и просто применит их прямо к файлу или папке).

- Когда вы приписываете нового пользователя или группу к файлу, они получают Read или Read and Execute разрешения по умолчанию ( так же и с папками, только с прибавлением права List Folder Contents.

- Вы можете установить разрешения на файлах и папках из командной строки, используя команду Calcs.exe.

- Разрешения для файла всегда преобладают над разрешениями для папки.

Настройки для пользователей и групп

В Windows 2000 Professional, пользователи и группы создаются при помощи оснастки Computer Management (Управление компьютером) узел Users and Groups (пользователи и группы). По умолчанию, W2K Pro включает только две пользовательские записи по умолчанию – Administrator (Администратор) и Guest (Гость). Так же как и в NT 4, запись Guest блокирована по умолчанию. Обе записи могут быть переименованы, но ни одна из них не может быть удалена. Некоторое количество built-in (встроенных) групп также существует по умолчанию, некоторые из них позволяют вам контролировать членство в группах (локальные группы), а некоторые устанавливают членство в группах автоматически (системные группы). Таблица, расположенная ниже поможет вам найти встроенные группы, и вы, конечно же, имеете возможность создавать ваши собственные локальные группы.

Built-in Local Groups	Built-in System Groups
Administrators (Администратор)	Anonymous Logon (Анонимный вход)
Backup Operators (Администратор архива)	Authenticated Users (Идентифицированные пользователи)
Guests (Гость)	Creator Owner (Владельцы-создатели)
Power Users (Опытный пользователь)	Dialup (Удаленный доступ)
Replicator (Репликатор)	Everyone (Все)
Users (Пользователь)	Interactive (Интерактивные)
	Network (Сеть)

Аудит файлов и права владения(Ownership)

Аудит файлов и папок, а также концепция владения файлами реализуется (тогда и только тогда!), когда мы используем файловую систему NTFS. Это важно принять во внимание, особенно учитывая сложности, которые могут возникнуть при попытке настроить их в Windows 2000. Для начала: настройки права владения и аудита открываются после нажатия кнопки Advanced (Дополнительно) на вкладке Security (Безопасность) окна свойств файла или папки на разделе NTFS.

Аудит настраивается для каждого файла или папки при помощи Auditing tab (вкладки Аудит). Здесь вы можете настроить, также как и в NT 4.0, какие элементы ресурса вы хотите контролировать. Аудит, однако, не установлен в Win 2000 Pro по умолчанию и если вы хотите осуществлять аудит файлов и папок, вы должны сначала создать Audit Policy (Политику аудита). В Win 2000 Pro, это осуществляется через Local Security Settings console (Консоль Установки Локальной Безопасность) (которая также может быть запущена из Group Policy tool (инструмент Групповая Политика). Audit Policy настраивается как показано на рисунке ниже.

Концепция ownerships (прав владения) очень похожа на ту, которая существует в Windows NT 4.0. Теперь они контролируются через Owner tab (вкладку Владелец) advanced security settings (Дополнительных настроек безопасности) файла или папки. Однако тот, кто имеет право Full Control или дополнительное разрешение Take Ownership (Смена владельца) может стать владельцем файла или папки. Расширение правил состоит в том, что пользователь с правами администратора может всегда стать владельцем, даже если не имеет NTFS прав доступа к файлу или папке. Права владения могут быть только взяты, но не даны.

Настройка доступа к файлу

Offline Files (файлы, доступные автономно) – новая черта Windows 2000 которая позволяет компьютерам-клиентам кэшировать файлы и затем работать с ними автономно. Несмотря на концептуальную похожесть на My Briefcase (мой портфель), Offline Files являются шагом вперед по сравнению с синхронизацией, осуществляемой вручную (через инструмент Synchronization Manager) и автоматической проверкой версии. Перед тем, как посмотреть, как пользователь взаимодействует с Offline Files, важно понять как они настраиваются. Прежде всего эти файлы должны быть доступны по сети и папка, в которой они находятся, должна быть общим ресурсом. Вы также должны установить свойство кэширования, используя Caching button на вкладке Shared folder свойств этой папки. Для общих ресурсов в Windows 2000 возможны 3 настройки:

- Manual Caching for Documents (Ручное кэширование для документов): Это установка по умолчанию и документы будут кэшироваться только если клиент детально выберет какие файлы и папки должны быть доступны автономно.

- Automatic Caching for Documents (Автоматическое кэширование для документов): Эта опция позволяет автоматически кэшировать любые файлы из общего ресурса, которые открывались на компьютере-клиенте. По умолчанию, 10% жесткого диска может быть занято для «временного» кэширования документов, хотя эта настройка может быть изменена. Заметьте, что файлы следуют правилу «дольше не используются, раньше удаляются» когда кэш переполняется.

- Automatic Caching for Programs (Автоматическое кэширование для программ): Эта опция для кэширования на стороне клиента программ, которые сконфигурированы для автономного использования.

Если вы не хотите кэшировать папку, просто очистите окошко 'Allow caching of files in this shared folder' (Позволить кэширование файлов в этом общем ресурсе), как показано ниже.

Если папка настроена для автоматического кэширования документов то открытые файлы будут автоматически кэшироваться без участия пользователя, и смогут быть доступны по исходному пути (для примера через использование сетевого диска или UNC (universal naming convention) пути) даже автономно. Если вы хотите сделать папку доступной автономно, то вам нужно найти ее и, щелкнув правой кнопкой мыши на выбранном файле или папке выбрать 'Make Available Offline' (Сделать доступным автономно). Пользователь, открывающий эти файлы или используя поиск по исходному пути (как отмечалось выше) или через иконку в папке Offline Files, которая может быть помещена на рабочий стол (через Offline Files Wizard), который запускается после того как пользователь первый раз пытается сделать файл или папку доступной автономно. Заметьте, что файлы фактически кэшируются в специальной папке в %systemroot% называемой CSC. Если вы не можете обнаружить эту папку, то это потому что она маркирована как System и Hidden (скрытая) и вы должны выбрать опцию «показывать защищенные файлы операционной системы, так же как и скрытые файлы». Вы не можете открывать файлы непосредственно из папки CSC и также не сможете сделать изменения в этой папке.

Несколько последних важных слов о Offline Files:

- Файлы, поддержанные на любой SMB совместимой OS могут быть доступны автономно (включая Win95 и NT 4.0, например).

- Вы можете контролировать, когда синхронизация будет происходить. Установки включают в себя: в процессе logon/logoff, когда компьютер простаивает (is idle), по расписанию или инициировано вручную.

- Процесс синхронизации проверяет, была ли изменена сетевая версия файла, который вы редактировали в процессе автономного использования с момента последней синхронизации (например, кто-то редактировал файл, который вы сделали доступным автономно). Если существует конфликт версий, то вам предложат выбрать, какая версия (ваша, сетевая или обе (одну из них придется переименовать)) должна быть поддержана. Если конфликта не существует, потому что сетевая версия не изменилась, она будет просто заменена вашей новой версией.

- Offline files установлены по умолчанию в Windows 2000 Professional. Клиентская установка для автономных файлов (как если бы они использовались) контролируется через вкладку Offline Files окна Свойства папки, которая открывается из меню Сервис Проводника, как показано ниже:

Ресурсы, предоставленные в общее пользование

Я не хочу утомлять вас огромным количеством информации об общих ресурсах потому что большинство из них напоминают такие же в NT 4.0. Однако наиболее важный материал вы должны знать:

- Скрытые административные общие ресурсы продолжают поддерживаться как C$, D$, Admin$ и так далее. Только пользователь с правами администратора может их использовать.

- Share permissions (Общие разрешения) изменились. Они теперь повторяют схему Allow / Deny (разрешить / запретить) как и в NTFS разрешениях, но их выбор ограничен – Full Control, Change и Read. Эффект от этих разрешений накапливается, так если вы обладаете разрешениями Read и Change, то ваше эффективное разрешение будет Change. Deny разрешение всегда перекрывает разрешение Allow.

- В той же манере, как и в NT 4.0, когда используются оба разрешения для общего ресурса и для NTFS ресурса, ваше эффективное разрешение будет наиболее строгим из них.

Соединение к общему ресурсу может быть осуществлено несколькими знакомыми вам путями такими как: создание сетевого диска, соединение по UNC пути или просмотр сети. Короткие заметки по этому поводу:

- Вы не найдете нигде иконку, называемую Network Neighborhood (Сетевое окружение) теперь ей соответствует My Network Places (Мое место в сети). Большинство изменений здесь косметические, но вы можете теперь использовать этот инструмент для обзора Active Directory.
- Новая опция – мастер Add Network Place wizard. Этот мастер позволяет вам создать иконку внутри My Network Places для таких штук как Web Folders (Web – папки), FTP-сайты и внутренние служб, которые предоставляют разные услуги, такие как сохранение вашего имени пользователя для внешних сетевых ресурсов.

Итак, это все в части 1 «Администрирование ресурсов Windows 2000». Как отмечалось выше, на следующей неделе я продолжу эту большую тему. Буду благодарен каждому, кто свяжется со мной, чтобы прокомментировать эту серию. Я буду счастлив, если вы найдете эти материалы полезными для вас и надеюсь, что вы будете с нами и дальше. Как всегда, пожалуйста, контактируйте со мной – с вопросами и идеями, которые у вас могут возникнуть – я готов к сотрудничеству. Успехов в ваших изысканиях и до встречи на следующей неделе.

Дэн

Вернуться к списку статей