Лекции (989962), страница 25
Текст из файла (страница 25)
Защищенность: NTFS рассматривает файлы, как объекты. Каждый файловый объект обладает методами(например, open, close, read и write) и свойствами (имя, дата создания, дата последнего обновления, архивный статус, дескриптор безопасности). Дескриптор безопасности позволяет настроить права доступак объекту и аудит объекта (Проводник/Выделить файл (каталог)/Контекстное меню/Свойства/Безопасность). Для различных пользователей (групп пользователей) возможно определить следующие правадоступа: полный доступ, запись, чтение, обзор содержимого папки, создание подпапок и файлов, удаление подпапок и файлов, выполнение файлов, чтение и запись атрибутов и разрешений файла (папки),смена владельца и др.
Там же, для каждого из пользователей (групп пользователей) можно создатьполитику аудита, которая будет регистрировать в специальном журнале (Пуск/Панель управления/Администрирование/Просмотр событий/Журнал безопасности) успех или неудачу при попытке получить доступ к файлу (каталогу). Попытки доступа классифицируются в соответствии с приведеннымвыше перечнем прав доступа. Регистрация успешных попыток позволяет следить за разрешенной деятельностью пользователей, регистрация неудачных попыток позволяет выявить попытки нарушенияправ доступа. Для обеспечения большей надежности можно также использовать шифрованную файловую систему (Encrypted File System, EFS). Эта возможность встроена в Windows 2000 (Проводник/Выделить файл (каталог)/Контекстное меню/Свойства/Общие/Атрибуты/Другие/Шифровать содержимое длязащиты данных).
EFS использует шифрование открытого ключа (асимметричный алгоритм шифрования), что позволяет администратору создать агента восстановления зашифрованных данных – человека,который сможет расшифровать файлы других пользователей (например, при увольнении работника, порешению суда, при утере работником ключа шифрования из-за сбоев на диске).3.
Работа с большими дисками размером до 16,777,216 терабайт. Сжатие данных встроено на уровнефайловой системы и позволяет сжимать не только целиком диск, но также отдельные каталоги и файлы"прозрачно" для пользователя (Проводник/Выделить файл (каталог)/Контекстное меню/Свойства/Общие/Атрибуты/Другие/Сжимать содержимое).
Более высокая скорость работы с диском, благодаряструктуре файловой системы и Microsoft Index Server, который значительно ускоряет поиск файлов, засчёт индексации содержимого дисков. Возможность поиска файла, по имени его владельца. Например,вам нужно удалить все файлы созданные уволенным сотрудником, а их на диске – тысячи.4.
Возможность "квотирования", т.е. ограничения максимального размера, выделяемого пользователю надиске, причем файлы пользователя могут находиться в самых разных каталогах, но их суммарный объемне может превышать установленного администратором (Проводник/Выделить диск/Свойства/Квота).5. Монтирование сетевых и локальных дисков в любой каталог файловой системы (аналогично монтированию в Unix/Linux). Возможность изменить букву диска, или полностью удалить букву диска и оставитьдоступ к диску только через каталог на другом диске – таким образом можно организовать доступ кбольшому количеству дисков через единую структуру каталогов (Пуск/Настройка/Панель управления/Администрирование/Управление компьютером/Запоминающие устройства/Управление дисками/Выбрать диск/Контекстное меню/Изменение буквы диска и пути диска).
Данная возможность доступнане только для дисков NTFS, но и для дисков с другими файловыми системами. Ляхевич А.Г., 2000 - 2002 год5.3. Распределенная файловая система DFSРаспределенная файловая система (DFS) дает возможность предоставить пользователям файлы, физическинаходящиеся на разных серверах, так, как если бы они находились в одном месте. Например, если бухгалтерская документация находится на разных серверах, можно использовать DFS, чтобы для пользователейвсе выглядело так, как будто вся документация располагается на одном сервере.
Или, например, в рамкахDFS, можно переместить файл с одного сервера на другой без необходимости информировать пользователей о том, что "файл переехал" – для них файл останется там же, где и был. Кроме того, задачи по обслуживанию сервера (обновлению программ и т.п.), могут выполняться без отключения пользователей. Настройка файловой системы DFS осуществляется через меню Пуск/Настройка/Панель управления/Администрирование/Распределенная файловая система DFS.5.4. Динамические диски в Windows 2000Win2000 позволяет преобразовать винчестер (физический диск) в динамический диск (Пуск/Настройка/Панель управления/ Администрирование/Управление компьютером/Запоминающие устройства/Управлениедисками/ Выбрать физический диск (например, диск 0)/Контекстное меню/Обновление до динамическогодиска).
Внимание! Эта операция полностью передает физический диск в распоряжение Windows 2000 иудаляет с него логические разделы других операционных систем. Динамический диск не может содержатьразделы или логические диски. Данные с динамического диска могут быть считаны только при помощиWindows 2000. Создание динамических дисков позволяет:1. Создавать составные (spanned) динамические диски, т.е. несколько винчестеров, ведущих себя так, какесли бы это был один большой винчестер.
Данные пишутся последовательно, т.е. сначала заполняетсяодин винчестер, затем второй и т.д.2. Создавать чередующиеся (stripped) динамические диски, т.е. несколько винчестеров, ведущих себя какодин большой винчестер, причем данные пишутся на диски параллельно, что ускоряет дисковые операции. Чисто условно можно представить себе так: 1-3-5 кластер файла пишется на первый диск, а 2-4-6кластер – на второй диск.3. Создавать зеркальные (mirrored) диски. Данные записываемые на один из дисков автоматическидублируются на другом. Это обеспечивает большую надёжность сохранности данных.4. Создавать RAID диски.
RAID – состоит из трёх, или более дисков. Данные пишутся параллельно на дваили более дисков (см. п.2), а на третий диск записывается код коррекции ошибок (ECC) , с помощьюкоторого можно восстановить содержимое испорченного блока на одном из дисков данных, по информации уцелевшего блоков второго диска данных. Или, чисто условно, зная содержимое кластеров 1-3-5на первом диске и коды коррекции ошибок ECC1-ECC2-ECC3 с третьего диска, можно восстановитьсодержимое кластеров 2-4-6 второго диска.
Эта технология экономнее, чем создание зеркальных дисков(дублируются не все кластеры 1-2-3-4-5-6, а только их половина ECC1-ECC2-ECC3), однако работаетмедленнее.5.5. Служба каталогов Active Directory в Windows 2000 (ранее NTDS в Win NT 4.0),сценарии входа и профили пользователя.Active Directory - это новое средство централизованного управления пользователями и сетевыми ресурсами,облегчающее администрирование больших сетей. Вся сеть представляется в виде иерархической структурыкаталогов (контейнеров).
Преимуществом является то, что все пользователи (группы пользователей, компьютеры, принтеры и т.д.) регистрируются не на каждом компьютере сети по отдельности, а централизованно – в службе каталогов Active Directory. После этого пользователь может подойти к любому компьютеру вофисе, ввести свой пароль, и перед ним будет его рабочий стол, его документы, его настройки. При использовании Active Directory у администратора отпадает необходимость вручную конфигурировать каждыйкомпьютер, если, к примеру, необходимо поменять права доступа к какому-либо объекту сети илиустановить новый сетевой принтер. Такие изменения можно производить сразу для всей сети.При использовании Active Directory вся информация о сети (а точнее о домене сети) хранится наспециальном сервере – контролере домена.
Контролеров домена (серверов) в одном домене может бытьнесколько, что повышает отказоустойчивость системы. При подключении к сети, пользователь общаетсяименно с контролером домена, передавая ему свое имя и пароль (подробнее система безопасности Windows2000 будет рассмотрена ниже).
Создание службы Active Directory означает ее установку на контролер домена. Контролер домена должен работать под управлением минимум Windows 2000 Server. Рабочие станциипод Windows 2000 Professional могут работать в среде Active Directory, но не могут создавать её.
СозданиеActive Directory осуществляется при помощи команды меню "Пуск/Настройка/Панель управления/Администрирование/Настройка сервера/Active Directory". После создания Active Directory управление учетнымизаписями пользователей доступно через команду меню "Пуск/Настройка/Панель управления/Администрирование/Active Directory – пользователи и компьютеры" (подробнее см. в разделе "Система безопасностиWindows 2000").
При помощи этого меню можно создавать/удалять пользователей, менять их пароль,членство в различных группах и т.д. Ляхевич А.Г., 2000 - 2002 годКак уже упоминалось выше, при использовании Active Directory, пользователь может подойти клюбому компьютеру в сети, ввести свое имя и пароль и Windows 2000 сам установит все настройки рабочегостола пользователя, подключит сетевые диски с документами пользователя и т.д.
Достигается это за счетиспользования сценариев входа и профилей пользователя.Профиль пользователя определяет настройки рабочей среды, включая настройки рабочего стола и менюпользователя, настройки дисплея, сеть, соединения с принтером, содержимое реестра и другие установки.Существуют следующие типы профилей пользователя:• локальный профиль — создается при первом входе пользователя на конкретный компьютер и хранитсяна локальном жестком диске конкретного компьютера.
Любые изменения локального профиля (настройка меню и т.п.) будут применены к данному компьютеру.• перемещаемый профиль — создается системным администратором и хранится на сервере. При входепользователя на любой компьютер в сети, он может использовать этот профиль и получить всестандартные настройки своего рабочего места, вне зависимости от того, с какого компьютера он вошелв сеть. Любые изменения перемещаемого профиля будут обновлены на сервере.• обязательный профиль — является перемещаемым профилем, который не может быть изменен пользователем. Пользователь по-прежнему может настраивать свой рабочий стол и т.д., однако после выходаиз системы эти изменения будут утеряны и следующий раз снова загрузится старый экземпляр профиляпользователя.
Только системные администраторы могут вносить изменения в обязательный профиль.Локальный профиль пользователя создается при первом сеансе работы пользователя за данным компьютером и хранится в папке "Documents and Settings\Имя пользователя". Перемещаемый профиль создаетсяадминистратором. Создание перемещаемого профиля:1) Создать на сервере папку (например, D:\Перемещаемые_профили) и через "Контекстное меню/Доступ"присвоить ей сетевое имя (например, Профили) и открыть к ней полный общий доступ для группы"пользователи домена" (кнопка "Разрешения").2) Скопировать в эту папку локальный профиль пользователя с какого-либо компьютера в сети припомощи "Проводника", или меню "Пуск/Настройка/Панель управления/ Система/Двойной щелчок/Профили пользователей/Выделить нужный профиль/Кнопка копировать/ Копировать профиль на" –указать сервер и каталог, куда будет скопирован профиль.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
