Управление сетью

Учетная запись идентифицирует пользователя сети в сетевой системе. Она, вме­сте с паролем, характеризует пользователя и дает ему доступ к ресурсам системы.

Учетная запись ID также выражает ответственность пользователя за его действия в се­ти. Это должно быть отражено в документах безопасности, описанных ранее в настоящей главе. То, что пользователь имеет в сети учетную запись, еще не означает, что ему дос­тупны все сетевые ресурсы. Доступность ресурсов определяется правами пользователя.

Права пользователя устанавливаются администратором и определяют какие из ресурсов сети являются для него доступными. Например, пользователь может быть подсоединен к сети и принтер также к ней подключен, однако возможна ситуация, когда он не сможет печатать на этом принтере. Если у пользователя нет права или разрешения на использование этого принтера, то в доступе будет отказано. Если же пользователю предоставлено право или разрешение, то принтер доступен. Это отно­сится к принтерам, файлам данных и программ, а также ко всем остальным "ресурсам" сети. При назначении прав пользователям имеется лишь одна админи­стративная проблема: если в сети много пользователей, то назначение прав каждому из них может занять большую часть времени пользователя. Эта проблема решается путем использования групп.

Под группой понимается логическое множество пользователей в сети. При этом права и разрешения предоставляются не индивидуальному пользователю, а целой группе. Если пользователю требуются эти права и разрешения, то он присоединяет­ся к группе и тем самым получает все права, назначенные этой группе. Аналогичная ситуация возникает и в том случае, когда необходимо изменить права на ресурсы; изменение прав группы отражает изменение прав у всех ее членов. Это не означает, что права не могут предоставляться индивидуальным пользователям, однако в круп­ных сетях более эффективна работа с группами.

Термины "политика" и профили не относятся к системным ресурсам, а описыва­ют взаимодействие пользователя с рабочей станцией. Профили позволяют пользова­телю задать свои параметры интерфейса с компьютером, а затем использовать этот профиль на любом компьютере, с которого пользователь подсоединяется к этой се­ти. Такой тип профиля называется блуждающим (roaming). Другой тип профиля, ко­торый обеспечивает такой же интерфейс пользователя, однако не позволяет вносить в него изменения, называется обязательным (mandatory). Этот тип профиля исполь­зуется в тех случаях, когда на одном и том же физическом компьютере работают много пользователей. Если пользователи постоянно работают на одних и тех же компьютерах и им не требуется перемещаться на другие, то у них могут быть локаль­ные профили. Локальный профиль, в отличие от двух описанных ранее, хранится не в сети, а на локальном компьютере.

Понятие политики относится к управлению ресурсами локального компьютера. Политика, не позволяющая пользователю хранить данные на жестком диске рабочей станции или использовать дисковод гибких дисков, повышает уровень безопасно­сти, поскольку не позволяет выносить носители с данными из здания. Использова­ние политик позволяет предотвратить случайное внесение изменений в конфигура­цию системы. Такие параметры, как установки видеокарты, конфигурация жесткого диска и установки сетевой карты являются характеристиками рабочей станции, ко­торые большинству пользователей изменять не требуется; их изменение может впо­следствии потребовать от группы поддержки и сетевого персонала большого объема ненужной работы.

Все рассмотренные выше аспекты можно обобщить следующим образом: права в сети, учетные записи, пароли и группы, наряду с профилями и политиками пре­доставляют системному администратору способ управлять доступом к сетевым службам и налагать ограничения, а также управлять рабочими станциями пользова­телей. Сетевой администратор имеет также набор прав и привилегий в сети. Не все пользователи сети имеют право изменять права и привилегии других пользователей; такие права зарезервированы за определенными группами, которым даны права ад­министратора. Принадлежность к группе с правами администратора дает соответст­вующие права.