К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 213
Текст из файла (страница 213)
П Ко %«г)гйгавр Совгевгз ш Хегпагк ХЫБЫаиваай (Не показывать 'состав рабочик грузы).'Блокирует пнктограмзпз„прахстлиаякацие системы текушего домена и«и рабочей группы в скпв"ИегММ~-ЗЧеЩйаиЪЬй (Сетевое окружение). Глава 27. Фдммнистрирование сетей ЫФийвж Пя Иш)С ййз Бс г (ха ко дуН ).Уд команду Иве (Поиск), не разрешая пользователям получать. доступ к дискам, которые могут быль защищены от него иными способами.
%алн, например, атрибут НйЫеп используется для зашиты локальной-файловой системы, то команда Иав (Поиск) по-прежнему сможет вести поиск на локальном диске, а также позволит видеть скрытые файлы. Блокирование файловой системы представляет собой весьма радикальный шаг, который следует тщательно взвесить и спланировать. Только некоторые типы пользователей почувствуктт преимушества прн таком ограничивающем подходе, другие же могут очень сильно на него обидеться. Кроме применения системной политики будьте готовы исполъзовазь права и атрибуты файловой системы для того, чтобы предотвратить определенные типы доступа со сзпроны пользователей, Прежде всего, необходимо убедиться в том, что системная, политика, используемая дхя ограничения доступа к рабочим станциям, не ухудшает уровня функциональности„необходимого пользователям лля вьлкшнения их повседневной работы, а также в том, что к возможностям, которые планируется ограничить, отказам доступ лруптмн способами.
Например, можно запретить доступ к панели управления, удалив соответствутощую папку 'из группы ЯеФвйз (Настройка) в меню кнопки Бтаг( (Пуск), однако пользоаатели по-прежнему смогуг пааучать к ней доступ с помощью окна Му Сошрвгег (Мой компъютер) нли диалогового окна Кав (Выпалнить), «слн и зги варианты также не будут заблокированы. Применение системной политики Само по себе использование системной политики в системе, Ипбовв кснтролируется политикой под названием Кетпоге ()рйате, котсраЯ пРИмеиима к любой операционной системе 1л"шдочв. Эта политика имеет три возможные установки. 11 О(т-(Въппиачеив). Система не использует политику совсем.
О Аагвшвбс (Автамиичееки). Система автоматически проверяет корневой каталог ресурса совместного использования Хейойоп контроллера домена, проводившего ее аутентификацию, на предмет присутствия 4айяа политики пол названием Х~сопба.ро( (дял систем ЪЧтиЬвв ХТ/2000) или Сопбй.ро1 (лля систем %шбовз 95/98). 0 Мшва( (Уу'июе). Система проводит поиск файла системной политики в каталоге, указанном в хачестве значения другого правила политики под названием Рай (ог Маппа1 У1х)аге (Путь при'обновлении'в ручном'рвЖиие).
Используя политику Кегшяе ()рдате, можно сконфигурировать системы лля получения файлов системной политики из места их расположения по уыолчанию, а также нз любой области„которая будет указана. Для 'того чтобы чван Ид Саная»авдмм»встрявсааявв рабочие станции.выели возможность доступа к Файлам::системной.твнппики в любое время, представляется неплохой идеей репликация их На все,контроллеры домена квк в автоматическом, так и в ручном режиме, аналогично праФилям пользователей. Удаленноефедактирование реестра Кроме метадон рредварнтеяьной канФигурааин, таких как проФили пользователей или системная политика, возможна также 'йитертактивиае взаимодействие с реестрам рабочей станции %вйя»з, даже,,из удаленнрго места, с помощью'нескольких различных инструментов.
Операционные системы %тпйн»з ХТ и 2004 по умолчанию совместимы с та»йи 'зрения.удаленнога доступа к реестру, но в системах %~пйнгз 95 и 93"Патрсбуется установить сервис Квакве Вщйту бетт»се с СВ-КОМ, содерлцвцега 'дистрибутив ОС, и сконфигурироватЬ снсмму лля возможности управления доступом на уровне пальзователей-, ' ' ' Как редактор реестра %птйн»з 95/9В (тсйебй;еле), так и редактор реестрд %атйнтз ИТ/2600 (гебедтг32.ехе) имеют способность устяповления соединения с другой системой сети и получения дастулв к ее 'реестру.
Кроме топ», можно использовать редактор системной пааитякн для интераитивнай модификации реестра локальной или удаленной системы. Однако доступ к реестру, обеопечииаемый ЯРЕ, ограничивается толька теми'установками ре~~~ра, которые овределены в тцаблонах системной паяитики, загруженнмх в данный момент. Групповые правила политики Мйпбожв 2660 Несмотря нв та, что операционная система %тпйзав 2000 полностью поддерживает использование системной политики %шйнтз МТ 4.0, она представляет етце н такую продвинутую возможность» лак сааааниа групповых правил политики (йтацр рокстез), которые работают,в оддрй связке с чс6те 1'лгесггчу лля 'впадания более комплексных кон4»иф~йпйй" рабайих станций. Кроме вазмавбчастей политики %шйвчзХТ4.0, сйгтанйых с 'изменением реестра, грутщт»агав правила политики могут щапочагь типы политики, персгз Правила пвлигиви безопасности.
Правила псзтитдки селеш»ащей установки-системы безопасности лакальнбго Йрмйыотвра,' дБ»»етвг йй сети. П Правила- ивлитики устававаи и абслуиив»аивя ввззгрвмтввтага Йееавчевив. Правила политики, позволяющие адмикисттнтару удаленно проводить инсталляциат, обновление версий, исщнвлениЬ.
'и' уда»ванне Программного обеспечбйич рабочей станции. 03 Правила политики скриит«зк Правила политики„реа«гизуюшие определенные скрипты поцкяючения к сети и оп«лючения от сети для конкретных польователей с помощью всевозможных языков написания скрнптов, подцерживаемых 1тивЬ«гз Яспрбпй Н«жг. П Праиюва политики периаизгеииа кат«пиит«в. Правила поапикиг перемешакипие определенные каталоги пользователей на сетевые диски, где к ним мсскет пояу*ппь доступ любая система.
Можно осуществля«ъ реализацию групповых правил политики, создавая обьекты групповой политики в консоли««, входящих в Асггче %гас«огу операционной системы Ъйпбот«з2000, например, Асйуе Опесго«у Озе«з алб Соп«р«аегз (рис. 27.7). Едино«яды сок«~в объект групповой политики, его затем можно ассоциировать с лк«бь«м друзы обьектом Асг«те 'Оиесготу, чтобы распространить на него действие данной политики. Инициатива нулевого администрйревании- М~оговоП для ИЬ6оив Лего А«йшщзгга««оп !п«г«аг«««е ~УА1, Инициатива нулевого администрирова- ния) фирмы М«с«отой преавтавляет собой программу, которая.
использует талие инструменты, как профили польз«звагелей, системная политика и 942 Часть ИИ,:.Свтваав другие акеттенттяг чтобы настроить определенную конфитурацнв:рабочей стюнтии. Эта.,конфигурация должна быль проста в устанощге и Ввиплуатации, а также обеспечивать пользователей набором вазможностей, Внпбхадимых им для работы с полным или практически пйлньтм,тклапачвнием исбх остальных лазтрохтиостей. Не являясь отдельным пртлтуктрм, ЕАт астт аипрре теория построения конфигурации рабочей станции, которая вклк~Йт ряд элементов, присутствующих в операционных системах %шбавв уже'достаточно давно, а также многие только чта паявившиесн элементы. Принцип Ъ6 васхапит к Философии "минимальных привнлМпГ.
Па умапчанию рабочие атвнлни %ебсвч остаются "полностцо аткрьпыми", после установки От,, а.эта означает, что пользователь имеет ценный контроль над всеми элементами как операционной, так и файлаврй сттстем. ЕА1 начинает свою деятельность с "полностью закрытой" тлтерационйой системы, а Затем предоставляет пользователям доступ галька к 'тем элементам, каптрые им действительно необхалиыы. Это в барьшинстве случаев означает п(ллтае щсутствие„дрг; тупа к инструметпвм дпя конФитурнрованпитет ~4:чиитпьтйвг 'Сййпй'Фвве3 (Панель управления) или редакторы реестра, а также' ограничение пальзоппеля минимальнЫм йвбвром тщательно подобранных приложений.
Основная цель ЕАг заключается в автомагиазции миксттмальнатьулали нроцесса устанавин рабочей станции и снижении общей стоимости ее эксплуатации. Посдгдцаи "может быть достигнуто в связи с тем, что ограничение взаимааейсгмтя пользователя с операционной системой способно. предотвратить повреждение конфигурации рабочей: станции из-за устанаийн нелицензионнопт пратраммнога обеспечения 'и повреждения файлов операционной системы. КОййПОНаМа ЛАК Елта Абпйбптабоп Кй (Набор средств пулевого администриравабилт Фирмы Мтстозай (УАК) был доступен и ранее в виде версий дяя %пк1оиз ИТ4.0, %акючк 95/93 и %тткоттз ЮТ Беттег Теппша1 Зегтет Ваап. Ъ~Х'включает два предВзритеяьпо сфарьпграванньст варианта конфиту~ютции-рабоч:вх станций, представлявлцих собой наборы инструментов, которые можно использовать вместе с возмгскностями собственно операционной системы лля"реализации этих вариантов конфигурации.
Цель КАК закюттчается атнкщь не в том, чтобы обеспечить для сети решение, требующее пулевого администрирования, а сксдее в том, чтобы предоставить администратору тити своего рада шаблон, на основе кпгтартка,рн смажет создавать сабатвенййттвйрийтГГЬт тюнфитурвции рабочих станций, соответствующие требованиям цадвааватвлей саги,, 1 еепт лтетйвввввоп тат для й6титсив бееотзмиа4аетулви нтт Желайте Фирмы ыкгааотг о адресу: пярт к к ж~.сатвййптвзиа~аак. Глава 27.
Админисгрированявсвтей ИФхйве Два базовых варианта конфигурации, входящих в УАк, цасяг,названия Тай$таг1оп и Арр$гаг(ап. Конфигурация АлзЖабал предназначена 'лля пользователей с минимальными знаниями и опытам в области вычислительной техники„которые должны решать минимальное числа задач. Среди таких пользователей можно назвать, например, сотрудников центра обработки заказов, деятельность которых сводится к базовому приему заказа или рабате с покупателями.
Конфигурация Тагл.%алая ограничена запуском единственного приложения (в данном случае браузера гпгегпет Ехр1агег), которое пгшнаапио заменяет оболочку программы %шах Ехр1огег (Проводник %шдатгз) операционной системы. Обычно приложение функционирует,в качестве интерфейсной части системы базы данных, которая обеспечивает.пользователей функциями и информацией, необходимыми для их рабаты. Поскольку оболочка полностью замещается приложением, компьютер не имеет пиктограмм рабочего стола, панели задач или меню кнопки Ятагг (Пуск), и )птепкх Елр(агег автоматически загружается ва время запуска системы. Кроме того, пользователи полностью изолированы ог локальной файловой системы и имеют доступ лишь к сетевым дискам и танька посредством единственного приложения. Так как пользователи Тайбца1ап лишены другого интерфейса с операционной системой кроме приложения, у них нет никакой возможности изменить параметры конфигурации системы, а запцпценная файловая система не позволит им модифицировать файлы операционной системы и приложения на локальном жестком диске.
Конфигурация Арр$шгхап является чуп менее ограниченной, чем Тай$гайап и обеспечивает болыпую гибкость пользователям. Система Арр$габоп исполняет тщательно подобранный набор приложений с диска сервера и сохраняет оболочку Проводника, а также ряд стандартных элементов упргвлеиия %шлюз, таких как панель задач и меню кнопки Бзлгг (Пуск). Однако указанное меню ограничено толька теми ярлыками, которые необходимы для запуска приложения, и пользователи по-прежнему имеют доступ к файловой системе, ограниченный конкретными сетевыми лискамп и лишь с применением определенных приложений. Пользователям недоступна панель управления или любой другой злеменг управления конфигурацией системы, также они лишены доступа к командной строке через диалоговое окно йвв (Выполнить) или сеанса М$-ПО$.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
