Теория администрирования сетей TCP/IP

• Администратор (Administrator). Данная учетная запись предоставляет полный набор прав доступа для всего компьютера. Являясь постоянным членом группы Administrators, эта учетная запись позволяет реализовать неограниченный доступ ко всем файлам и ключам системного реестра. Учетная запись Administrator может создавать другие учетные записи пользователей.
• Гость (Guest). Учетная запись Guest предназначена для случайных пользователей или же тех, кто обращается к данной системе однократно. Заданные по умолчанию привилегии для этой учетной записи довольно ограниченны. Пользователи-гости могут только выполнять программы и сохранять документы, управлять ресурсами ЭВМ они не имеют права.
• HelpAssistant. Учетная запись HelpAssistant, используемая для сеансов Remote Assistance, по умолчанию отключена (и защищена строгим паролем). Она устанавливается на компьютере начинающего пользователя и предназначена для регистрации удаленного эксперта.
• SUPPORT_xxxxxxxx. Windows XP может содержать одну или несколько учетных записей, которые предназначены для реализации интерактивной поддержки и обслуживания поставщиками, например компанией Microsoft либо производителем вашего компьютера. Здесь ххххххххх представляет номер, определяемый поставщиком.

2. Группы безопасности

 

     Для облегчения администрирования несколько учетных записей можно объединить в одну группу и назначать унифицированные права доступа всем ее членам, а не каждому пользователю в отдельности. Такая группа будет называться группой безопасности.

     Группы  безопасности позволяют организовать пользовательские учетные записи в соответствии с требованиями к уровню безопасности. Можно создать группу безопасности дома, в офисе, можно сформировать группу, объединяющую всех бухгалтеров и т.д. При этом разрешения, определяющие уровень безопасности, можно присваивать всей группе или отдельным пользователям. Пользовательская учетная запись может относиться к одной группе, к нескольким группам либо вообще не быть связанной ни с одной из групп.

     Несмотря  на то, что привилегии можно передавать каждой пользовательской учетной записи, этот путь достаточно утомителен и часто приводит к ошибкам. Передача привилегий отдельным пользовательским учетным записям свидетельствует о недостаточной практической подготовке администратора. Лучше присваивать разрешения и права доступа группам, а затем добавлять пользовательские учетные записи в группу, имеющую соответствующие привилегии.

     Типы  учетных записей

     Для Windows XP характерен термин тип учетной записи. Обычно этот термин имеет значение при обращении к инструменту User Accounts (Пользовательские учетные записи) в панели управления. Тип учетной записи позволяет описать членство в группе безопасности. И хотя допускается произвольное количество групп безопасности, Windows XP относит каждую пользовательскую учетную запись к одному из четырех указанных типов:

• Computer administrator (администраторы компьютера). Члены указанной группы Administrators (Администраторы) классифицируются в качестве учетных записей администраторов компьютера.
• Limited (ограничения). Члены группы Users (Пользователи) классифицируются с помощью учетных записей с ограничениями.
• Guest (Гости). Члены группы Guests (Гости) ассоциируются с гостевыми учетными записями.
• Unknown (неизвестные). Учетная пользовательская запись, не включенная в группы Administrators, Users или Guests, относится к категории неизвестных учетных записей. Поскольку учетные записи, создаваемые с помощью утилиты User Accounts из панели управления, присваиваются группе Administrators или группе Users, неизвестные учетные записи встречаются только при обновлении ранних версий Windows, а также при обращении к, консоли Local Users And Groups или к команде Net Localgroup при контроле членства в группах.

     Встроенные  группы безопасности

     В состав Windows входит несколько встроенных групп безопасности. Каждая из них имеет заранее определенный набор прав доступа, разрешений и ограничений. Ниже приводится краткое описание этих групп.

      Администраторы - Наиболее мощная группа, обеспечивающая полный контроль над системой. Администратор имеет право выполнять следующие операции:

• установка операционной системы и ее компонентов;
• установка пакетов обновления;
• обновление операционной системы;
• восстановление операционной системы;
• настройка главных параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
• вступление во владение файлами, ставшими недоступными;
• управление журналами безопасности и аудита;
• архивирование и восстановление системы.

      Опытные пользователи (Power Users) - Включает многие, но не все привилегии, присущие группе администраторов. Опытный пользователь имеет право выполнять следующие операции:

• выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
• устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
• настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
• создавать и управлять локальными учетными записями пользователей и групп;
• останавливать и запускать системные службы, не запущенные по умолчанию.

      Пользователи  (Users) - Ограниченный набор привилегий для пользователей, которые не нуждаются в администрировании системы. Пользователь имеет право выполнять следующие операции:

• запускать только сертифицированные для Windows приложения;
• создавать локальные группы и управлять ими;
• создавать и изменять свои файлы;

      Гости (Guests) - Поддержка ограниченного доступа для случайных пользователей и гостей.

      Операторы архива (Backup Operators) - Предоставление привилегий, требуемых для восстановления файлов и папок. Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы.

      Репликаторы (Replicator) - Обеспечение возможности управления репликацией, присущей доменным сетям.

      Операторы настройки сети (Network) - Члены этой группы допускаются к установке, конфигурированию сетевых компонентов.

      Пользователи  удаленного рабочего стола (Remote) -  Обеспечение доступа к компьютеру посредством удаленного рабочего стола (Remote Desktop). Позволяет специалистам в удаленном режиме просматривать действия, происходящие на экране компьютера или брать на себя управление рабочей станцией в случае возникновения проблем.

      HelpServices - Предоставление возможности техническому персоналу подключаться к вашему компьютеру. 

      Для обеспечения высокой степени  безопасности в процессе текущей  работы рекомендуется не регистрироваться сотрудникам (даже самим администраторам) с правами доступа администратора. Вместо этого при ежедневной работе надо воспользоваться учетной записью с несколько меньшими системными привилегиями. Регистрироваться в роли администратора следует только в тех случаях, когда требуется выполнять именно административные задания. Подобный подход позволит избежать нарушений в системной конфигурации, инфицирования операционной системы вирусом, а также создаст заслоны для внедрения «троянских коней». В Windows 2000 свои ежедневные обязанности можно выполнять в рамках группы Power Users.

Тема 2. Администрирование  файлов и папок

1. Режимы доступа  к папкам

 

     К числу универсальных возможностей Windows 2000/XP относятся и такие, которые позволяют как на уровне локального компьютера, так и при использовании общедоступных сетевых ресурсов ограничивать доступ к файлам и папкам.

     Управлением доступом к папкам можно осуществлять двумя способами:

1. управлять доступом, используя стандартный режим "Общий доступ" (в окне "Свойства" выбрать закладку "Доступ", а потом в появившемся окне нажать кнопку "Разрешение"),
2. управлять доступом, используя возможности файловой системы NTFS.

     Каждый  из методов имеет свои преимущества и недостатки.

     Первый  вариант удобен тем, что, используя  его, можно ограничить в сети доступ к папкам на дисках, отформатированных  под файловую систему FAT16 (FAT32). А к  недостаткам этого способа относятся:

• доступ к папкам проверяется только для сетевых пользователей (т.е. локальные пользователи будут иметь полный доступ к папкам);
• все разрешения задаются только для папки целиком, а не для отдельных файлов;
• предоставляется небольшой набор параметров для конфигурирования (только полный доступ, изменение и чтение).

 

  Использование разрешений NTFS

     Для каждого объекта, который хранится в томе, отформатированном с помощью файловой системы NTFS, Windows поддерживает контрольный список доступа (access control list, ACL). Как следует из названия, этим списком определяется перечень пользователей, которым разрешен доступ к данному объекту (обычно идет речь о файле или папке), а также тех пользователей, доступ которых исключается. Индивидуальные пункты в ACL называются записями, контролирующими доступ (access control entries, АСЕ), и содержат следующую информацию:

• идентификатор SID пользователи или группы;
• список разрешений, формирующих право доступа, создаваемое на основе большого списка основных и специальных разрешений — Full Control, Read и Write,
• информация о наследовании, которая определяет, будет ли Windows использовать разрешения из родительской папки, и если будет, то каким образом;
• флаг, указывающий на разрешение/запрет доступа.

     Для использования второго способа  управления доступом к папкам нужно  открыть у соответствующего объекта  окно свойств и выбрать вкладку "Безопасность" (Security), на которой установить флажки для нужных параметров доступа.

     Данный  способ имеет следующие преимущества:

• Доступ к папкам проверяется абсолютно для всех пользователей.
• Предоставляется широкий набор параметров для конфигурирования. Запретить и разрешить можно следующую функции: смена владельца, смена и чтение разрешений, удаление, чтение и изменение атрибутов, запись и  дозапись данных, чтение данных, обзор папок и выполнение файлов и т.д.
• Для папок можно указывать, как применяются настройки: только внутри этой папки, для дочерних папок, для файлов и так далее.
• Если пользователь является владельцем файла, он может распоряжаться им по своему усмотрению, предоставляя права доступа другим пользователям.

     В качестве недостатка, однако, можно  отметить, что управлением доступом становится значительно сложнее. Все разрешения носят аддитивный характер, то есть, права складываются из прав группы, в которую входит пользователь, и прав, которыми наделен лично он. При этом нужно помнить, что запрещающие директивы всегда имеют больший приоритет, чем разрешающие, и использовать их надо с осторожностью. Так, если у пользователя есть, например, право на чтение некоторого файла, но он входит в группу, которой это делать запрещено, то он не сможет читать файл.

2. Права доступа

 

     В системе NTFS для каждого файла (и папки) ведется список управления доступом ACE (Access control entry). Администраторы и владельцы файла могут модифицировать ACE, предоставляя или отказывая в правах доступа другим пользователям.

     Если  пользователь создает новую папку, то Windows присваивает права доступа Full Control пользователю, создавшему эту папку, встроенной группе Администраторы и учетной записи System. Пользователи с ограниченными учетными записями имеют полномочия Read & Execute.

     Права доступа к папкам делятся на

1. базовые
2. расширенные.

 

     К базовым правам доступа относятся следующие:

1. Полный контроль – позволяет просматривать содержимое папки, создавать новые файлы и папки, удалять файлы и папки, читать и открывать файлы, изменять права доступа к файлам и внутренним папкам.
2. Изменение – позволяет читать, редактировать, создавать и удалять файлы, но не позволяет изменять права доступа к внутренним папкам и файлам.
3. Чтение и выполнение – позволяет просматривать содержимое файлов и вызывать программы на выполнение.
4. Просмотр содержимого папки – аналогично предыдущим правам, но это право доступа наследуется внутренними папками, но не файлами в этих папках.
5. Чтение – позволяет просматривать содержимое папки, атрибуты файлов, обеспечивает возможность чтения и синхронизации файлов.
6. Запись – позволяет создавать файлы, записывать данные, считывать значения атрибутов и права доступа, а также выполнять синхронизацию файлов.