8964
.pdfЖурнал приложений (Applicationlog). В этом журнале содержатся подробные данные о событиях, возникающих в запущенных приложениях. Например, приложение баз данных должно регистрировать сбои, происходящие при чтении записей.
Кжурналу приложений и системы доступ могут получить все пользователи, а к журналу безопасности могут обратиться лишь те из них, у которых имеются права администратора.
На службу просмотра событий возложена обязанность записи детальной информации о событиях, и она является одной из стандартных служб, запускаемых каждый раз при загрузке Windows.
При запуске службы просмотра событий этот факт регистрируется в системном журнале. При этом в нем регистрируется событие 6005, которое может оказаться чрезвычайно полезным при разрешении проблем. Отыскав информацию об этом событии, можно определить, когда система перезагружалась последний раз и, таким, образом, увидеть все события, произошедшие с того момента. Кроме того, эти сообщения позволяют определить, как часто перезагружалась система Windows.
Для того чтобы просмотреть информацию о событиях используется приложение Просмотр событий.При установке Windows это приложение устанавливается автоматически.
С помощью службы просмотра событий можно выполнить следующие задачи:
просмотреть отчет о произошедших событиях;
просмотреть подробную информацию о каждом зарегистрированном событии;
сохранять журналы в требуемом местоположении для последующего анализа и просматривать ранее сохраненные журналы;
просматривать локальный журнал событий и журналы на удаленных компьютерах.
Данные о событиях представлены в восьми столбцах правой панели диалогового окна.
Тип (Туре)
Дата (Date)
Время (Time)
Источник (Source)
Категория (Category)
Событие (Event)
Пользователь (User)
11
Компьютер (Computer)
Рис. 1.2Журналы просмотра системных событий.
1.2.Просмотр событий и разрешение проблем
Спомощью приложения просмотра событий можно проверять и управ-
лять тремя журналами. При установке Windows таким приложением являет-
ся eventvwr.exe,устанавливаемое в каталоге %SystemRoot%\system32\и яв-
ляющеесякомпонентом управляющей консоли ММС.Эту управляющую консоль можно найти в папке Администрирование (AdministrativeTools)панели управления.
Рис. 1.3Окно сведений о событии.
Если посмотреть на журнал событий, то можно увидеть, что в нем содержатся данные о нескольких ошибках (в столбце Тип содержится красный крестик). Прокрутив список событий в обратном направлении, можно уви-
12
деть первое из этих событий (с момента последней перезагрузки). При выделении этого события и нажатии клавиши Enter (либо двойном щелчке на нем) на экране появится диалоговое окно Свойства: Событие, показанное на рис. 8.4. В этом диалоговом окне содержатся все подробности с момента регистрации в системе. Событие запуска службы просмотра (рис. 8.1) является не очень информативным. На рис. 8.4 показана детальная информация о событии (сбой при чтении компакт-диска). Обратите внимание, что из этих данных нельзя явно определить источник проблемы и без проблем ее устранить.
В других случаях подробное сообщение не предоставляет полезной информации об устройстве, которое функционирует не совсем правильно. Тогда все, что можно сделать для устранения проблемы, это убедиться, что требуемый файл существует. Иногда это гораздо легче сказать, чем сделать.
Рис. 1.4Окно сведений о событии.
В диалоговом окне Свойства: Событие диспетчер управления службами сообщает о том, что произошел сбой при чтении информации на компактдиске. Его причина очевидна, а отсюда очевидно и решение. Однако подробные данные о зарегистрированном событии могут оказаться и не столь полезными. Однако это все же лучше, чем ничего.
1.3. Приложение просмотра событий
Приложение просмотра событий является важным средством устранения проблем, а также оказывается очень полезным при администрировании сетей Windows. Проверив журнал событий, можно разрешить возникшие
13
проблемы и, что еще более важно, эти проблемы можно выявить еще до того, как они станут более серьезными.
В диалоговом окне приложения просмотра событий имеется две панели, панель меню и панель инструментов, обычно расположенные рядом друг с другом. На этих двух панелях содержится, соответственно, два и семь элементов управления.
Действие (Action). Действия, которые можно выполнять над событиями.
Вид (View).Эта команда позволяет просматривать журналы и выполнять поиск событий внутри журналов.
Переход по ссылке назад/Переход по ссылке вперед (Previous/Next).
Позволяет перемещаться к следующему или предыдущему элементу дерева.
Переход на один уровень вверх (Uponelevel). Позволяет перемещаться вверх на один уровень. Такая возможность не является очень полезной и, возможно, включена для обеспечения согласованности с пользовательским интерфейсом.
Скрытие и отображение дерева консоли или избранного
(Show/HideConsoleTree). С помощью этого элемента управления можно отобразить или скрыть левую панель приложения просмотра событий (дерево).
Отображение свойств (Properties). Этот элемент управления позволяет вывести на экран свойства выбранного события или журнала. Он оказывается достаточно полезным. Как ни странно, двойной щелчок на событии приводит к отображению его свойств, однако при двойном щелчке на журнале ничего подобного не происходит. Так что эта кнопка оказывается наиболее полезной для просмотра или редактирования свойств журналов.
Обновление (Refresh). Повторное опрашивание системы и обновление журналов.
Экспорт списка (Exportlist). Экспортирование журнала в текстовые файлы стандартного формата US или Unicode или с запятойразделителем.
Справка (Help). С помощью этого управляющего элемента можно получить доступ к справочной системе.
Далее перечисленные возможности рассматриваются более подробно. Вы также узнаете о том, как их использовать наилучшим образом.
14
При просмотре событий в диалоговом окне отображаются краткие сведения, к которым относятся поля Дата, Время, Источник, Категория, Событие, Пользователь и Компьютер.Чтобы увидеть описание события и всю дополнительную информацию о нем, выполните двойной щелчок на соответствующей строке, и на экране появится диалоговое окно свойств события.
При просмотре событий отображаются дата и время локального компьютера. Чтобы события, происходящие в различных системах, были связаны друг с другом, важно обеспечить согласованность времени на всех компьютерах сети.
Как уже упоминалось, каждое событие относится к одному из пяти основных типов.
Уведомления (Information).Информационные события происходят не очень часто, однако свидетельствуют об успешном завершении какоголибо процесса. Например, запуск приложения просмотра событий является "полезным" событием, поскольку обычно оно происходит первым при загрузке системы. В строке, соответствующей информационному событию, содержится пиктограмма, на которой отображается голубой восклицательный знак внутри белого кружка. С уведомлениями можно встретиться при просмотре системного журнала и журнала приложений.
Предупреждение. Предупреждающие сообщения могут свидетельствовать о возникновении проблем, которые еще не стали серьезными, например, в том случае, когда браузеру не удалось получить список доменов с основного сервера. Подобные проблемы обычно разрешаются сами собой, однако в противном случае администратору необходимо проанализировать возникшую ситуацию и разрешить ее. Предупреждения помечаются черным восклицательным знаком внутри желтого треугольника. Их можно встретить в системном журнале и журнале приложений.
Ошибка. Такие события обычно свидетельствуют о возникновении проблемы, о которой пользователь должен быть осведомлен, поскольку, как правило, она приводит к потере работоспособности системы.
Аудит успехов.Такие сообщения уведомляют об успешном завершении какого-либо процесса аудита, например, успешной регистрации в системе. Эти события могут содержаться только в журнале безопасности.
Аудит отказов.Такие сообщения уведомляют о неудачном завершении какого-либо процесса аудита, например, сбое при регистрации в системе. Эти сообщения могут содержаться только в журнале обеспечения безопасности.
15
1.4.Журнал системы и приложений
Вжурнале системы содержатся события, обнаруженные системой Windows. Журнал приложений главным образом используется для регистрации событий, обнаруженных запущенными приложениями. Если это возможно, то эти журналы нужно регулярно просматривать. В этом случае можно локализовать проблемы до того момента, когда они станут достаточно серьезными.
Вот некоторые из событий, которые можно встретить в этих журналах регистрации событий.
Запущена служба журнала событий (Eventlogstartup). Каждый раз при загрузке системы качестве информационной службы запускается служба журнала событий. Такое событие будет генерироваться при каждой перезагрузке системы.
Ошибказагрузкидрайвера (Driverstartupfailures). Если произошел сбой при запуске драйвера, то это событие будет зарегистрировано диспетчером управления службами.
Ошибка драйвера устройства (Devicedrivererrors). Если при выполне-
нии операции драйвер устройства столкнулся с ошибкой, то в системном журнале регистрируется подробная информация об этом событии.
События браузера (Browserevents). Службы браузера приводят к записи множества событий. Обычно большинство этих событий игнорируется.
Запуск службы (Servicestartup). Успешный запуск некоторых служб, регистрируется в журнале событий. Как правило, эти события игнорируются.
Репликация каталога (Directoryreplication). Если компьютер использу-
ется в качестве ИМпортирующего сервера, то в системный журнал заносятся события, сгенерированны службой репликации каталогов.
События принтера (Printerevents). При добавлении в систему нового принтера или обновлении драйвера существующего принтера соответствующее событие генерируем диспетчером печати.
1.5.Журнал безопасности
Вжурнале безопасности фиксируются события, связанные с поддерж-
кой принятой политики безопасности. Эти события могут уведомлять о попытке нарушения или реальных нарушениях системной политики безопасности.
16
Для просмотра всех трех журналов необходимо быть членом локальной группы администраторов. В противном случае можно увидеть лишь содержимое журналов системы и приложений.
В отличие от журналов системы и приложений можно определить, какие события будут включаться в журнал безопасности. Это можно осуществить, определив политику обеспечения безопасности и выбрав события, которые необходимо отслеживать.
Перед тем, как приступать к записи событий, сначала нужно определить политику аудита с помощью консоли управления компании Microsoft.
Необходимо открыть в панели управления (или в проводнике) папку Администрирование и запуститьаплетЛокальная политика безопасности (LocalSecurityPolicy). Будет виден элемент Локальные политики (LocalPolicies).
Следует открыть этот элемент, чтобы увидеть элемент Политика аудита (AuditPolicies). На рис. 8.5 представлен внешний вид управляющей консоли ММС после выполнения всех перечисленных действий.
Рис. 1.5Управляющая консоль журнала безопасности.
С помощью диалогового окна свойств для этих объектов можно также установить режим аудита дисков и каталогов. Для этого следует воспользоваться параметрами, содержащимися в диалоговом окне свойств требуемых объектов, доступ к которому можно получить с помощью команды Администрирование | Управление компьютером | Запоминающие устройства |
Управление дисками (ММС | ComputerManagement | Storage | DiskManagement).
Перед тем, как приступить к регистрации событий аудита в диалоговом окне Параметр локальной политики безопасности (LocalSecurityPolicySetting),сначала нужно указать, какие события необходимо отслеживать. Для этого надо щелкнуть правой кнопкой мыши на тре-
17
буемом элементе диалогового окна и в контекстном меню выбирать команду Безопасность (Properties).
После выбора всех требуемых событий они будут регистрироваться при каждом их возникновении. Аудит некоторых событий, таких, как Аудит использования привилегий (AuditPrivilegeUse) или Аудит отслеживания процессов (AuditProcessTracking), иногда приводят к записи большого количества данных, которые могут оказаться не очень полезными (если вы не занимаетесь разработкой и отладкой компонента операционной системы). Кроме того, регистрация большого количества данных может значительно снизить производительность системы.
С использованием редактора системного реестра Windows(regedt32 . exe) можно отслеживать попытки доступа к системному реестру пользователя или группы пользователей. С помощью выбора команды Разрешения в меню Безопасность можно получить доступ к диалоговому окну Разрешения
(AuditingEntry).
В отличие от общих событий, в данном случае необходимо выбрать тех пользователей и/или группы, действия которых будут отслеживаться с помощью событий, заданных в системном реестре. Это можно осуществить, щелкнув на кнопкеДобавить (Add)и выбрав требуемых пользователей и группы. Затем можно определить, какие события должны регистрироваться.
События аудита можно задать для любого ключа или ключей системного реестра. Если установлен режимПереносить наследуемые от родительского объекта разрешения на этот объект (ReplacePermissionsonExistingSubkeys), то политика аудита будет реплицирована и на все вложенные ключи. Установка такой политики аудита может занять много времени. Если будет определен аудит множества параметров, то будет генерироваться множество событий. Однако это может значительно повлиять на производительность всей системы.
Можно также отслеживать доступ пользователя или группы пользователей к любому файлу или папке. Для этого необходимо щелкнуть правой кнопкой на требуемой папке или файле и выбрать в контекстном меню команду Свойства (Properties). Затем перейти на вкладку Разрешения.
Диалоговое окно Выбор: Пользователи, Компьютеры, или Группы (SelectUser, Computer, orGroup), с помощью которого можно добавить группу или пользователя, доступ которых будет отслеживаться для данного файла или папки. Специальные параметры аудита можно установить (или отменить) для конкретного пользователя или группы. Система Windows позволяет отслеживать самые разнообразные события.
18
ГЛАВА2.
РАБОТА С ФАЙЛАМИ И ПАПКАМИ ПОЛЬЗОВАТЕЛЕЙ
Помимо прочего, администратору ежедневно приходится решать такие задачи, как поддержка сетевых файлов и папок. Когда пользователь не может получить доступ к нужному ресурсу, в службе технической поддержки начинает звонить телефон. В результате приходится тратить время и деньги, меняя разрешения или принадлежность к группам. Когда к важному ресурсу получает доступ тот, кому он не предназначен, снова звонит телефон, и в результате вам приходится тратить время и деньги на поиск новой работы.
В этой главе можно познакомиться с основными концепциями, получите навыки управления общими папками и изучить возможности оснастки
Общие папки (SharedFolders).
Можно научиться работать с редактором таблицы управления доступом (AccessControlList, ACL). Рассмотрев различные сочетания разрешений, получить навыки определять действующие разрешения (effectivepermissions)
— сумму разрешений пользователя и групп, членом которых он является, и настраивать аудит, позволяющий отследить доступ и операции над определенными файлами.
2.1. Настройка общих папок
Создание общих папок для обеспечения удаленного доступа является одной из важных задач сетевого администратора.
Для управления общими папками в Windows Server служит оснастка
Общие папки (SharedFolders).
Открытие общего доступа к папке указывает Службе доступа к фай-
лам и принтерам сетей
Microsoft(FileAndPrinterSharingForMicrosoftNetworks) разрешить клиентам,
на компьютерах которых запущена служба Клиент для сетей
Microsoft(ClientForMicrosoftNetworks), подключаться к этой папке и ее под-
папкам. Можно создавать общие папки с помощью Проводника Windows: щелкнув папку правой кнопкой, выбрать Общий доступ и безопасность (SharingAndSecurity) и установить переключатель
Однако знакомая вкладка Доступ (Sharing) окна свойств папки в Проводнике Windows доступна, только когда вход в систему осуществляется локально или с помощью служб терминалов, и создать общую папку на удаленном компьютере нельзя. Поэтому рассмотривается создание, свойства, конфигурации и управление общими папками с помощью оснастки Общие
19
папки (SharedFolders), которую можно использовать как на локальной, так и на удаленной системах.
Открыв оснастку Общие папки (SharedFolders) в настраиваемой консо-
ли ММС или в консолях Управление компьютером (ComputerManagement) или Управление файловым сервером (File Server Management), сразу заметно,
что в Windows Server уже настроено несколько стандартных административных общих ресурсов: системный каталог (обычно C:\Windows) и корень каждого жесткого диска. Имя ресурса для таких общих папок заканчивается знаком доллара ($). Знаком доллара в конце сетевого имени обозначают скрытые общие папки. Они не видны в обозревателе, но к ним можно подключиться по UNC_имени вида \\имя_сервера\имя_общего_ресурса$. К административнымобщим ресурсам могут подключаться только администраторы.
Для открытия общего доступа к папке, надо подключиться к нужному компьютеру из оснастки Общие папки: щелкнуть корневой узел Общие папки (SharedFolders) правой кнопкой и выбратьПодключиться к другому компьютеру (ConnectToAnotherComputer). Выбрав компьютер, щелкнуть узел Общие папки (Shares), а затем в контекстном меню или в меню Действие (Action) выбератьНовый общий ресурс (NewShare). Мастер созданияобщих ресурсов содержит следующие страницы и настройки.
Страница FolderPath (Путь к папке). Надо указать путь к общей папке на локальном жестком диске, например, если папка находится на диске D: сервера, путь к ней будет иметь вид D:\имя_папки.
Страница Name, Description, andSettings (Имя, описание и параметры).
Ввести имя общего ресурса. Если к сети подключены устаревшие клиенты (например, компьютеры под управлением DOS), следует придерживаться правил именования, чтобы обеспечить им доступ к общим папкам. Имя ресурса вместе с именем сервера образуют UNC_имя вида \\имя_сервера\имя_общего_ресурса. Надо указать знак доллара в конце сетевого имени, чтобы сделать общий ресурс скрытым. В отличие от встроенных скрытых административных общих ресурсов, к скрытым общим папкам, созданным вручную, может подключиться любой пользователь, причем его права ограничиваются только разрешениями общего ресурса.
Страница Разрешения (Permissions). Можно выбрать подходящие разрешения общего ресурса.
2.2. Управление общей папкой
20