Эксплуатация автоматизированных систем обработки информации и управления (96

Параметры безопасности обновляются каждые 90 мин на компьютере или файл-сервере и каждые 5 мин на контроллере домена. Кроме того, независимо от наличия изменений параметры обновляются каждые 16 ч. Для немедленного вступления изменений в силу следует в командной строке соответствующего файл-сервера набрать команду grupgrade.exe.

Для изменения локальной политики безопасности следует набрать команду:

Пуск / Администрирование / Локальная политика безопасности

На экране монитора появится окно для настройки рабочих параметров локальной политики безопасности. Используя информацию, приведенную в этом окне настройки, можно выполнить следующее: задать политику аудита; присвоить права пользователям; установить параметры безопасности файл-сервера.

Шаблон политики безопасности домена аналогичен шаблону локальной политики безопасности. Политика безопасности домена применяется ко всем файл-серверам в домене, а не только к одному локальному файл-серверу, на котором она установлена. Политика безопасности домена настраивается с консоли файл-сервера домена следующим образом:

Пуск / Администрирование / Политика безопасности домена

Политика ограничения программ позволяет администратору задать программы, которые можно запускать на файл-сервере, и учетные записи пользователей, имеющих доступ к этим программам.

К достоинствам файловой системы сервера можно отнести:

•надежность, поскольку имеется механизм транзакций, при котором незавершенные файловые операции отменяются;

•гибкость, так как размер кластера может изменяться в широком диапазоне значений от 512 байт до 64 Кбайт;

•поддержку длинных имен файлов;

•обеспечение шифрования ипрозрачного сжатияфайлов;

•мощную модель безопасности, включающую до 13 атрибутов файлов.

Для ограничения доступа локальных и удаленных пользователей к каталогам (папкам) и файлам, расположенным на файл-

31

сервере, администратор сети устанавливает для пользователей разрешения. Каждому файлу или папке можно назначить или запретить до семи основных типов разрешений (табл. 3.1).

При большом количестве пользователей их следует разделить на локальные группы, которым предоставляются одинаковые и определенные права доступа.

Для упрощения процесса администрирования сети набор разрешений на доступ к определенным папкам и файлам можно назначить для каждой локальной группы пользователей отдельно, а в дальнейшем следует просто добавить в эту группу (или исключить из нее) новых пользователей без изменения набора разрешений.

Сетевая ОС имеет системный монитор, который содержит много объектов и счетчиков, позволяющих собирать статистику по работе основных ресурсов файл-сервера: процессора, памяти, физических дисков и т. д. Ниже для объектов «процессор», «физический диск» и «система» перечислены счетчики, которые используются администратором сети наиболее часто.

Счетчики объекта «процессор»:

•«% времени С1» — процент времени, в течение которого процессор простаивает;

•«% времени прерываний» — процент времени, в течение которого процессор тратит на получение и обслуживание аппаратных прерываний;

•«% загруженности процессора» — процент времени, в течение которого процессор осуществляет обработку всех потоков команд.

Счетчики объекта «физический диск»:

•«% активности диска» — процент времени, которое выбранное дисковое устройство затрачивает на обработку запросов на чтение и запись данных;

•«количество обращений записи на диск/с» — частота выполнения операций записи на этот диск;

•«обращений чтения с диска/с» — частота выполнения операций чтения с этого диска;

•«обращений к диску/с» — частота выполнения операций чтения с этого диска и записи на этот диск;

•«скорость записи на диск (байт/с)» — скорость передачи данных на этот диск при выполнении операций записи;

•«скорость чтения с диска (байт/с)» — скорость передачи данных с этого диска при выполнении операций чтения;

33

•«скорость обмена с диском (байт/с)» — скорость обмена данными с этим диском при выполнении операций чтения или записи;

•«среднее время записи на диск (с)» — время, затрачиваемое в среднем на одну операцию записи данных на диск;

•«среднее время чтения с диска (с)» — время, затрачиваемое в среднем на одну операцию чтения данных с диска;

•«среднее время обращения к диску (с)» — время, затрачиваемое в среднем на один обмен данными с диском;

•«средний размер одной записи на диск (байт)» — среднее количество байтов данных, переданных на диск при выполнении операций записи;

•«средний размер одного чтения с диска (байт)» — среднее количество байтов данных, полученных с диска при выполнении операций чтения;

•«средний размер одного обмена с диском (байт)» — среднее количество байтов данных, переданных при выполнении операций чтения или записи;

•«средняя длина очереди записи на диск» — среднее количество запросов на запись, которые были поставлены в очередь для соответствующего диска в течение интервала измерения.

•«средняя длина очереди чтения с диска» — среднее количество запросов на чтение, которые были поставлены в очередь для соответствующего диска в течение интервала измерения;

•«средняя длина очереди диска» — среднее общее количество запросов на чтение и на запись, которые были поставлены

вочередь для соответствующего диска в течение интервала измерения;

•«текущая длина очереди диска» — количество невыполненных запросов к диску во время сбора сведений о загруженности.

Счетчики объекта «система»:

•«операции чтения файлов/с» — среднее число всех операций чтения файловой системы данного компьютера;

•«системные вызовы/с» — частота обращений к процедурам системных служб ОС;

•«потоки» — количество потоков в компьютере в момент сбора информации;

•«процессы» — количество процессов в компьютере в момент сбора информации.

34

Сетевая ОС имеет также компонент «Журналы и оповещения производительности» — журнал, который позволяет собирать сведения о производительности компьютеров и их компонентов в автоматическом режиме. Данные этих журналов и счетчиков можно просмотреть на экране файл-сервера в виде диаграмм или гистограмм. Ведение журналов является наиболее распространенным способом наблюдения за работой сети. Это наблюдение следует осуществлять с интервалом не менее 15 мин.

При наблюдении за большим числом объектов и счетчиков обычно записываются большие объемы данных, занимающих дисковое пространство и существенно снижающих производительность сети. Администратор сети должен определить оптимальное соотношение между числом наблюдаемых объектов и частотой обновления данных, чтобы размер файла журнала был не слишком большим.

Наблюдения за работой сети позволяют администратору обнаружить избыточный спрос на определенные ресурсы, который может привести к возникновению узких мест в работе сети. Ниже приведены основные причины возникновения узких мест и даны рекомендации по их устранению.

1.Если ресурсов недостаточно, требуется их наращивание или модернизация.

2.При неравномерном использовании ресурсов необходимо их перераспределение.

3.Если ресурс неисправен, требуется его замена.

4.В случае использования ресурса медленной программой в монопольном режиме осуществляется замена программы.

5.Если ресурс неправильно настроен, необходима настройка его параметров.

2. Порядок выполнения работы

2.1. Подключение к файл-серверу с правами администратора

Для подключения выберите файл-сервер с именем Windows server 2003. В меню для разрешения подключения пользователя к

35

этому файл-серверу последовательно задайте имя и пароль пользователя, в данном случае — администратора.

Если указанные параметры введены правильно, то вы подключились к серверу, на экране появится главное меню администратора системы «Управление данным сервером». Если это меню не появилось, то допущена ошибка при вводе исходных данных, следует повторно ввести имя и пароль администратора.

2.2.Создание пользователя и установка режима его работы

2.2.1.Выберите в меню «Управление данным сервером», которое находится на экране монитора, режим администрирования. На экране монитора появится список функций, которые разрешены администратору.

2.2.2.Выберите функцию «Локальная политика безопасности». На экране монитора появится набор функций политики безопасности.

2.2.3.Используя функцию «Политика учетных записей», создайте пользователя и установите режим его работы по данным, указанным преподавателем. С помощью функции «Политика паролей» установите для созданного пользователя пароль по данным, указаннымпреподавателем.

2.3. Установка и исследование политики безопасности

2.3.1.Выберите функцию администратора «Локальная политика безопасности». На экране монитора появится набор функций политики безопасности.

2.3.2.Исследуйте функцию «Политика паролей», т. е. возможности установки граничных значений для длины пароля, срока его действия, а также требований, которые предъявляются

ксложности пароля.

2.3.3.Изучите функцию «Политика блокировки учетных записей» и выделите основные режимы блокировки.

2.3.4.Исследуйте функцию «Локальная политика», направленную на назначение пользователям прав доступа к ресурсам системы.

2.3.5.Изучите функцию «Политика аудита» и виды возможного аудита.

36

2.4. Установка в системном мониторе счетчиков для объектов системы с целью сбора статистических данных

оработе этих объектов

2.4.1.Выберите в наборе функций администрирования функцию «производительность», а в ней — функцию «Журналы и оповещения производительности». В состав последней функции входит функция «Журналы счетчиков». В журнале счетчиков следует указать все счетчики, которые будут использованы для сбора статистических данных о работе аппаратно-программных ресурсов файл-сервера.

2.4.2.Сформируйтеи запуститенарешениенаборрабочих задач.

2.4.3.Используя функцию «Системный монитор», получите для таких ресурсов файл-сервера, как процессор, память и накопитель на жестком диске, основные их рабочие характеристики: коэффициент загрузки ресурса, среднюю длину очереди к ресурсу, среднюю производительность ресурса в зависимости от набора решаемых задач.

2.4.4.Постройте графики загрузки ресурсов файл-сервера в зависимости от набора решаемых задач.

2.4.5.Постройте графики длин очередей к ресурсам файлсервера в зависимости от набора решаемых задач.

2.5.Определение узких мест

вработе файл-сервера. Выработка рекомендаций по их устранению и устранение узких мест

2.5.1.По данным, приведенным на построенных графиках (см. пп. 2.4.4 и 2.4.5), определите узкое место в работе файл-сервера, т. е. тот ресурс файл-сервера, у которого наибольший коэффициент загрузки.

2.5.2.Дайте обоснованные рекомендации по устранению узкого места в работе файл-сервера.

2.5.3.Укажите дополнительные аппаратные или программные компоненты, необходимые для устранения узких мест в работе файл-сервера.

37

3. Содержание отчета

Отчет о работе должен включать в себя:

1)краткую последовательность выполнения работы;

2)таблицы и рисунки, иллюстрирующие режим работы пользователя;

3)рекомендации по организации защиты информации на файлсервере;

4)таблицы и рисунки, иллюстрирующие работу основных ресурсов файл-сервера;

5)исследования по выявлению узких мест в работе файлсервера и рекомендации по их устранению.

Контрольные вопросы

1.Какие функции включает политика безопасности файлсервера?

2.Перечислите основные типы разрешений для работы с файловой системой файл-сервера и дайте пояснения по их использованию.

3.Перечислите основные атрибуты файлов и дайте пояснения по их использованию.

4.Какие счетчики и объекты следует использовать для сбора информации, позволяющей оценить эффективность работы файлсервера сети?

5.Поясните, когда следует применять методику определения узких мест файл-сервера сети.

Работа № 4 АДМИНИСТРИРОВАНИЕ РАБОЧИХ СТАНЦИЙ АСОИиУ, ПОСТРОЕННЫХ НА ОСНОВЕ ОПЕРАЦИОННЫХ СИСТЕМ

СЕМЕЙСТВА WINDOWS

Цель работы — изучение задач, решаемых администратором сети при обслуживании рабочих станций пользователей сети, и средств для их решения; освоение принципов администрирования

38

рабочих станций сетей, управляемых сетевыми ОС семейства

Windows.

Продолжительность работы — 4 часа.

Введение

К числу основных задач, которые постоянно решает администратор сети при обслуживании рабочих станций пользователей сети, относят следующие:

1)установку сетевых оболочек рабочих станций и программного обеспечения, необходимого для выполнения задач, поставленных перед пользователем сети;

2)настройку рабочих параметров сетевых оболочек рабочих станций и программного обеспечения, расширяющего возможности ОС рабочих станций;

3)текущее обслуживание и сопровождение ОС рабочих станций с целью обеспечения эффективного функционирования аппа- ратно-программного комплекса рабочих станций.

1. Основные теоретические сведения

Для настройки рабочих параметров ОС рабочей станции администратор сети использует системный реестр.

Системный реестр — база данных для хранения сведений о конфигурации компьютера и настроек его ОС. Системный реестр не имеет ограничений по объему. Любая ОС семейства Windows постоянно обращается во время ее загрузки и работы к системному реестру, который содержит следующие данные:

•профили всех пользователей, т. е. настройки режима их работы;

•конфигурациюоборудования, установленного накомпьютере;

•данные об установленных программах и типах документов, создаваемых каждой программой;

•свойства папок;

•данные об используемых портах.

Для работы с системным реестром в ОС имеется встроенная утилита, которая называется «Редактор реестра» (Registry Editor). Утилита имеет небольшой размер, так, в Windows XP это 133 Кбайт,

39

в Vista — 131 Кбайт. В ОС Microsoft Windows XP утилита «Редак-

тор реестра» находится в файле regedit.exe.

Запуск утилиты «Редактор реестра» выполняется следующим образом:

Пуск / Выполнить

На экране монитора появится окно, в этом окне в поле «Открыть» введите команду regedit.exe.

Системный реестр содержит пять основных разделов. Каждый раздел имеет собственное место хранения и файл журнала. При необходимости любой раздел реестра можно восстановить, не затрагивая остальные разделы. Основные разделы системного реестра приведены в табл. 4.1: