Эксплуатация автоматизированных систем обработки информации и управления (96
..pdf
|
|
Окончание табл. 2.2 |
|
|
|
Право |
Обозначение |
Описание |
|
|
|
Add Self |
A |
Дает возможность опекуну добавлять или |
|
|
удалять самого себя как значение свойства. |
|
|
Используется только для свойств, которые |
|
|
содержат имена пользователей в качестве |
|
|
значений, например, для свойства «участни- |
|
|
ки объекта “группа”» |
|
|
Таблица 2.3 |
|
|
|
Право |
Обозначение |
Описание |
|
|
|
Supervisor |
S |
Для каталога обеспечивает все права в этом |
|
|
каталоге, его подкаталогах и в файлах; |
|
|
для файла — все права на этот файл |
Read |
R |
Для каталога позволяет открывать и читать |
|
|
файлы в этом каталоге, в его подкаталогах; |
|
|
для файла — открыть файл и прочитать этот |
|
|
файл |
Write |
W |
Для каталога дает возможность открывать |
|
|
и записывать файлы в этот каталог и в его |
|
|
подкаталоги; для файла — открыть файл |
|
|
и записать в этот файл |
Create |
C |
Для каталога позволяет создавать и откры- |
|
|
вать файлы и подкаталоги в этом каталоге |
|
|
и в его подкаталогах; для файла — восста- |
|
|
навливать файл после удаления |
Erase |
E |
Для каталога предоставляет право удалить |
|
|
каталог и все подчиненные ему подкаталоги |
|
|
и файлы; для файла — удалить этот файл |
File Scan |
M |
Для каталога обеспечивает право изменять |
|
|
атрибуты и имя каталога, подчиненных |
|
|
подкаталогов; для файла — изменять атри- |
|
|
буты и имя этого файла |
|
|
21 |
|
|
Окончание табл. 2.3 |
|
|
|
Право |
Обозначение |
Описание |
|
|
|
Access |
A |
Для каталога позволяет назначать права дру- |
Control |
|
гим пользователям в этом каталоге, его под- |
|
|
каталогах и файлах; модифицировать маску |
|
|
наследуемых прав этого каталога, его подка- |
|
|
талогов и файлов; для файла — назначать |
|
|
права другим пользователям на этот файл, |
|
|
модифицировать маску наследуемых прав |
|
|
этого файла |
При описании концепции защиты объектов, каталогов и файлов используют следующие понятия:
•права для каталогов и файлов (Directory and file rights) — разрешения, которыми обладают пользователи для каталогов и файлов. Разрешений может быть несколько. Каждое разрешение выдается на выполнение какого-либо определенного действия, например, на выполнение удаления или переименования;
•доверенный (Trustee) — объект, которому присвоены определенные права в списке прав доступа для файла или каталога. Список прав доступа — это список объектов, которым разрешено (или запрещено) выполнение каких-либо операций с определенным файлом или каталогом;
•наследование (Inheritance) — прохождение прав вниз по файловой системе от каталога к файлам, т. е. внутри этого каталога и его подкаталогов в соответствии с определенными правилами. Наследование позволяет существенно упростить процедуру назначения прав для каталогов и файлов. Альтернатива наследованию прав — прямое назначение прав каждому пользователю всем объектам файловой системы;
•эффективные права (effective rights) — права, которыми действительно обладает пользователь после сложения всех прав, полученных из разных источников, за вычетом тех, которые заблокированы фильтрами.
При работе за консолью файл-сервера администратор использует четыре типа команд:
22
•команды управления экраном — для управления отображением информации на экране монитора файл-сервера);
•команды установки — для установки режима работы программных продуктов файл-сервера;
•команды обслуживания — для управления работой сети (разрешением или запрещением регистрации пользователей на файлсервере);
•команды конфигурации — для отображения информации о существующей конфигурации сети и для изменения ее при необходимости.
Приведем описание наиболее часто используемых команд консоли файл-сервера.
Команды управления экраном:
•OFF или CLS — очистить экран консоли файл-сервера;
•BROADCAST «сообщение» TO имя клиента — сообщение до 55 символов для одного или нескольких пользователей;
•BROADCAST «сообщение» — сообщение для всех пользователей.
Команды установки:
•BIND — привязать протокол к драйверу сетевого адаптера,
например, BIND IPX to NE2000 net=FFFFF333;
•LOAD <имя модуля> — запустить NLM — модуль, например
LOAD MONITOR.NLM;
•MOUNT <имя тома> — смонтировать том с указанным именем, например MOUNT VOL1.
Команды обслуживания:
•CLEAR STATION N — сбросить соединение под номером N между файл-сервером и рабочей станцией;
•DISABLE LOGIN — запретить новым пользователям подключаться к файл-серверу;
•ENABLE LOGIN — разрешить пользователям подключаться
кфайл-серверу;
•DISMOUNT <имя тома> — размонтировать том с указанным именем.
Команды конфигурации:
•CONFIG — отобразить конфигурацию сетевого адаптера;
•DISPLAY NETWORKS — отобразить сведения о топологии
сети;
23
•DISPLAY SERVERS — отобразить сведения об имеющихся в сети файл-серверах;
•MODULES — посмотреть список загруженных NLM-модулей;
•NAME — отобразить имя файл-сервера;
•PROTOCOL — посмотреть список загруженных на файлсервере протоколов;
•SPEED — просмотреть индекс скорости файл-сервера;
•VERSION — просмотреть версию Novell Netware;
•VOLUMES — вывести список томов, смонтированных на файл-сервере;
•UPS status — просмотреть состояние источника бесперебойного питания;
•UPS time — изменить время работы источника бесперебойного питания.
Параметры работы файл-сервера можно просмотреть, используя утилиту MONITOR и выполнив на консоли файл-сервера команду:
load monitor.nlm.
Настройка рабочих параметров файл-сервера осуществляется на его консоли с помощью команды SET. При этом на экране монитора появляется меню «Типовые категории параметров». Основные параметры, которые относятся к категории «коммуникации», приведены в табл. 2.4, а параметры категорий «диск» и «разное» — в табл. 2.5.
|
Таблица 2.4 |
|
|
|
|
Параметр категории |
Описание |
|
«коммуникации» |
||
|
||
|
|
|
New Packet Receive Buffer |
Диапазон значений: 0,1…20 с. Пара- |
|
Wait Time: 0.1 с. |
метр задает минимум времени ожи- |
|
|
дания до выделения нового буфера |
|
|
приема пакетов |
|
Maximum Physical Receive |
Диапазон значений: 618…4202. Па- |
|
Packet Size:1514 (задается |
раметр задает максимальный размер |
|
в STARTUP.NCF) |
пакета |
|
24 |
|
|
|
|
|
Окончание табл. 2.4 |
|
|
|
|
|
Параметр категории |
|
Описание |
||
«коммуникации» |
|
|||
|
|
|||
|
|
|
|
|
Maximum Packet Receive |
Диапазон значений: 50…2000. Пара- |
|||
Buffers: 100 |
|
|
метр дает максимальное число |
|
|
|
|
буферов, выделяемых файл-сервером |
|
|
|
|
для приема пакетов |
|
Minimum Packet Receive |
Диапазон значений: 10…1000. Пара- |
|||
Buffers: 10 |
(задается в |
метр задает минимальное число |
||
STARTUP.NCF) |
буферов приема пакетов, выделяемых |
|||
|
|
|
файл-сервером |
|
Number Of Watchdog |
Диапазон значений: 5…100. Пара- |
|||
Packets: 10 |
|
|
метр задает количество сторож- |
|
|
|
|
пакетов, которое файл-сервер выдает |
|
|
|
|
неактивной станции, пытаясь восста- |
|
|
|
|
новить с ней соединение перед тем, |
|
|
|
|
как его разорвать окончательно |
|
Delay Between Watchdog |
Диапазон значений: 9,9 с … 10 мин |
|||
Packets: 59,3 с |
26,2 с. Параметр задает время между |
|||
|
|
|
двумя сторож-пакетами |
|
Delay Before First Watchdog |
Диапазон значений: 5,7 с ....20 мин |
|||
Packet: 4 мин 56,6 с |
52,3 с. Параметр задает время между |
|||
|
|
|
наборами сторож-пакетов |
|
|
|
|
|
Таблица 2.5 |
|
|
|
|
|
Категория |
|
|
|
|
параметров |
|
Параметр |
|
Описание |
SET |
|
|
|
|
Диск |
|
Enable Disk Read |
|
Контрольное чтение данных |
|
|
After Write Verify: |
|
сразу после их записи на диск |
|
|
ON |
|
|
Разное |
|
New Service Process |
Диапазон значений : 0,3…20 с. |
|
|
|
Wait Time: 2.2 с |
|
Параметр задает время ожидания |
|
|
|
|
до создания нового процесса об- |
|
|
|
|
служивания запросов |
|
|
|
|
25 |
|
|
Окончание табл. 2.5 |
|
|
|
Категория |
|
|
параметров |
Параметр |
Описание |
SET |
|
|
Разное |
Pseudo Preemption |
Диапазон значений: |
|
Time: 2000 |
1000…10000. Параметр задает |
|
|
период времени (в единицах по |
|
|
84 мкс), выделяемый для непре- |
|
|
рывной работы модулей на файл- |
|
|
сервере |
|
Maximum Service |
Диапазон значений: 5…40. Па- |
|
Processes: 20 |
раметр задает максимум процес- |
|
|
сов, обслуживающих запросы на |
|
|
файл-сервере |
2. Порядок выполнения работы
2.1. Подключение к файл-серверу
Для подключения к файл-серверу задайте следующие парамет-
ры: name, password, tree, context, server. Конкретные значения ука-
занных параметров (имя администратора, пароль администратора, имя дерева, имя контекста в этом дереве и имя сервера) получите у преподавателя.
Если все указанные параметры введены правильно и вы подключились к серверу, то на экране появится сообщение: «Вы подключены к серверу». Если это сообщение не появилось, то допущена ошибка при вводе параметров и следует повторно ввести эти параметры.
2.2.Создание пользователя и установка режима его работы
2.2.1.Для работы в качестве администратора загрузите утилиту NWADMIN32.exe, которая находится на диске файл-сервера по следующему адресу:
имя файл-сервера/имя тома на файл-сервере: имя каталога/имя подкаталога/ имя файла
26
Эта утилита имеет вид
FS52/SYS: PUBLIC/WIN32/ NWADMIN32.exe
2.2.2.Активизируйте для создания нового пользователя опцию «Создание объекта» (Creat Object) и выберите в ней объект «пользователь». После этого появится новое окно, в котором необходимо ввести все требуемые данные нового пользователя.
2.2.3.Создайте сценарий регистрации для нового пользователя, используя кнопку Login script.
2.2.4.Установите ограничение на время подключения нового пользователя к файл-серверу, используя опцию Details и кнопку Login Time Restrictions (ограничение регистрации по времени). Интервал регистрации составляет 30 мин, что соответствует одной клетке окна ограничения. Переход белого цвета клетки в темный означает, что в данном промежутке времени регистрация запрещена, т. е. пользователь не может подключиться к файл-серверу. Измените цвет для трех клеток, находящихся на строке текущего дня, на более темный. Закройте окно ограничения и утилиту NetWadmn32, подключитесь к файл-серверу под именем созданного пользователя. Убедитесь в том, что ограничение на подключение к файл-серверу выполняется.
2.2.5.Установите ограничение на подключение к файл-серверу рабочей станции, с которой возможно подключение. При этом имейте в виду, что с других рабочих станций новый пользователь подключиться к файл-серверу не сможет.
2.2.5.1.Активизируйте в окне опции Details кнопку Address Restriction (ограничение на сетевой адрес). Операционная система NetWare контролирует сетевые протоколы IPX и TCP/IP. Адрес рабочей станции в протоколе IPX/SPX состоит из адреса сети
иадреса узла. Эти данные следует взять из сценария регистрации. Можно установить несколько разрешенных адресов рабочих станций.
2.2.5.2.Проверьте работоспособность ограничения на подключение к сети. Для этого закройте активное окно и утилиту NetWadmn32, подключитесь к файл-серверу под именем созданного пользователя со своей рабочей станции и с соседней рабочей станции. Убедитесь в том, что ограничение на подключение к файл-серверу выполняется.
27
2.3.Установка прав доступа пользователя
кобъектам и свойствам объектов
2.3.1.Предоставьте новому пользователю все права для работы
собъектами.
2.3.2.Назначьте новому пользователю все права для работы со свойствами указанных ранее объектов.
2.4.Установка прав доступа пользователя
ккаталогам и файлам
2.4.1.Предоставьте новому пользователю все права для работы
скаталогом, который расположен по адресу: FS52/VOL1: STUDENT.
2.4.2.Назначьте новому пользователю все права для работы с файлами, которые он может создавать в этом каталоге.
2.4.3.Предоставьте новому пользователю все права для работы с атрибутами каталоговифайлов, создаваемыхв каталоге «Студент».
2.5. Исследование режима работы администратора за консолью файл-сервера
2.5.1.Изучите комплектацию файл-сервера, используя команды консоли.
2.5.2.Соберите статистические данные о работе файл-сервера с помощью утилиты MONITOR.
2.5.3.Исследуйте, используя команду SET, влияние рабочих па- раметровфайл-серверана характеристики его функционирования.
3. Содержание отчета
Отчет о работе должен включать в себя:
1)краткую последовательность выполнения работ;
2)текст пользовательского сценария регистрации;
3)порядок действий по ограничению доступа к файл-серверу по времени и по ограничению подключения к файл-серверу с рабочих станций;
28
4)назначение правдоступа пользователя к каталогам ифайлам;
5)назначение атрибутов каталогов и файлов.
Контрольные вопросы
1.Чем отличается защита данных на файл-сервере с помощью прав доступа от защиты с помощью атрибутов каталогов и файлов? Какой из этих видов защиты является приоритетным?
2.Какую возможность пользователю дает администратор, предоставив ему право MODIFY?
3.В какой момент и в каком порядке создается сценарий регистрации пользователя?
4.Какие параметры должен задать администратор для ограничения доступа пользователя к файл-серверу по времени суток и дням недели?
5.Для каких целей администратор может применить право Supervisor?
Работа № 3 АДМИНИСТРИРОВАНИЕ АСОИиУ, ПОСТРОЕННЫХ
НА ОСНОВЕ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ С ОПЕРАЦИОННОЙ СИСТЕМОЙ WINDOWS SERVER
Цель работы — изучение задач, решаемых администратором сети, и средств для их решения, освоение принципов администрирования сетей и получение начальных навыков работы в качестве администратора сети, управляемой сетевой ОС Windows Server.
Продолжительность работы — 4 часа.
Введение
Microsoft Windows Server — ОС, которая помогает админи-
страторам сети полностью контролировать инфраструктуру, аппаратные средства сети, обеспечивая доступность, управляемость, функциональность, гибкость, безопасность, надежность и устойчивость файл-серверов.
29
Microsoft Windows Server позволяет:
•оптимизировать и упростить процесс установки сетевой ОС;
•использовать эффективные средства группового администрирования;
•обнаруживать и устранять неполадки с помощью эффективных и мощных средств диагностики.
Современные АСОИиУ, как правило, строят на базе кластеров файл-серверов, которые могут объединять до 8 файл-серверов. Мастер настройки файл-сервера позволяет устанавливать или удалять роли файл-сервера, среди которых следует выделить следующие: веб-сервер, сервер печати, сервер факсов, сервер удаленного доступа, сервер доменных имен и т. д.
Microsoft Windows Server является многозадачной ОС, способной осуществлять централизованное или распределенное управление различными наборами ролей в зависимости от потребностей пользователей.
1. Основные теоретические сведения
Важный момент в деятельности администратора сети — настройка политики безопасности сети, состоящей из домена (набора взаимодействующих файл-серверов, входящих в его состав), отдельных файл-серверов и локальных компьютеров. Политика безопасности домена или одного файл-сервера представляет собой сочетание всех тех параметров, которые регулируют его безопасность и позволяют администратору сети решать следующие задачи:
•обеспечение только санкционированного доступа пользователей к файл-серверу;
•задание ресурсов, которые может использовать каждый пользователь;
•управление ведением журнала событий, т. е. включением или отключением записи действий пользователя (или группы) в журнал событий.
Политика безопасности локального компьютера определяется политикой безопасности домена и файл-сервера. Параметры безопасности группы компьютеров имеют приоритет над параметрами безопасности локального компьютера. При изменении любого такого параметра политика безопасности не обновляется сразу.
30