Файл: Методические материалы к практическим занятиям по дисциплине Вычислительные системы, сети и телекоммуникацииСанктПетербург 2013 Оглавление.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.02.2024
Просмотров: 16
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Вопросы для проверки
1) Каковы достоинства гостевой модели доступа к сетевым ресурсам?
2) Какие недостатки свойственны гостевой модели?
3) Какие уровни сетевых разрешений доступны при создании общей папки?
4) Чем отличается «Полный доступ» от разрешения на «Изменение»?
5) Какое влияние оказывают разрешения NTFS на сетевые разрешения?
59
Практическое занятие № 7
Организация обычной модели доступа к общим ресурсам
Цель занятия: Систематизировать, закрепить и углубить теоретические зна- ния. Научить правилам и особенностям организации классической (обычной) модели доступа к общим ресурсам, порядку создания ресурсов, назначению разрешений на доступ к ним.
Теоретические основы
Компания Microsoft предлагает две модели общего доступа: классиче- скую (обычную) и гостевую. Обычная модель обладает большей гибкостью, она позволяет назначить каждому пользователю общего ресурса именно та- кие разрешения, которые необходимы. Такая модель способствует подержа- нию высокого уровня безопасности, поскольку подключаемые пользователи удостоверяются как они сами, а не как «гости». Windows производит провер- ку их верительных данных на предмет совпадения с хранящимися на локаль- ном компьютере учетными записями, а также проверку полномочий доступа, предоставленных этим пользователям.
Вместе с тем, использование классической модели доступа в компью- терной сети организации существенно усложняет работу сетевого админист- ратора по управлению учетными записями и общими ресурсами.
Чтобы организовать доступ к общим ресурсам с использованием обыч- ной модели, необходимо выполнить следующие настройки:
6) Включить обычную (классическую) модель совместного доступа для ло- кальных пользователей. В операционной системе Windows 7 по умолча- нию включена обычная модель, а в Windows XP – гостевая.
7) Отключить гостевую учетную запись (Гость или Guest). По умолчанию она выключена во всех версиях Windows.
8) Создать на локальном компьютере учетные записи всех пользователей, которым будет открыт доступ к общим ресурсам этого компьютера.
60
9) Создать общий ресурс и назначить разрешения на доступ к нему из сети.
10) Настроить разрешения NTFS на папки и файлы, предоставленные в общий доступ.
11) Проверить доступность ресурса и действие разрешений.
Содержание занятия
Структура сети и постановка задачи
Локальная сеть организации состоит из трех компьютеров:
PC-01. Находится в компьютерном классе. Основные локальные пользо- ватели – студенты. Ресурсы в общий доступ не предоставляет. Операци- онная система Windows XP.
PC-02. Находится в преподавательской. Основные локальные пользовате- ли – педагоги. Ресурсы в общий доступ не предоставляет. Операционная система Windows XP.
PC-W7. Находится в служебном помещении. Локальные пользователи – сетевые администраторы. Временно настраивается на роль файлового сер- вера сети. Операционная система Windows 7.
PC‐01
PC‐02
PC‐W7
ОС: Windows XP
ОС: Windows XP
ОС: Windows 7
Локальные
Локальные
Локальные пользователи: пользователи: пользователи: студенты преподаватели администраторы
61
На каждом компьютере заведена учетная запись с правами админист- ратора – «Admin», которая используется для настройки сети и управления общими ресурсами.
Все компьютеры включены в одну рабочую группу.
Задача:
Настроить временный файловый сервер (PC-W7) на предоставление в общий доступ следующих ресурсов:
1) Папка «Docs» с общими учебными документами должна быть дос- тупна педагогам для изменения, а студентам для чтения.
2) Папка «Docs1» должна быть доступна только педагогам с разреше- нием на изменение.
Включение обычной модели доступа для локальных пользователей
На компьютере PC-W7 запускаем редактор локальной групповой поли- тики
gpedit.msc
и приводим в соответствие следующие параметры:
1. Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Параметры безопасности» – «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» – обычная.
62
2. Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Параметры безопасности» – «Учетные записи: состоя- ние учетной записи ‘Гость’» – отключена.
3. Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Назначение прав пользователей» – «Отказать в досту- пе к этому компьютеру из сети» – Гость.
Решение проблемы пустых паролей
По умолчанию использование пустых паролей допускается только при консольном входе. Подключение таких пользователей к компьютеру из сети будет блокирован политикой (это не относится к учетной записи «Гость»).
Чтобы пользователи с пустыми паролями получили доступ к компью- теру из сети, придется отключить политику: «Конфигурация Windows» –
«Параметры безопасности» – «Локальные политики» – «Параметры безопас-
63
ности» – «Учетные записи: разрешить использование пустых паролей только при консольном входе» – включена (по умолчанию).
Разрешать использование пустых паролей в сети организации очень нежелательно, это существенно снижает уровень информационной безопас- ности.
Обычная модель доступа позволяет удаленно подключаться к скрытым ресурсам администратора, а также управлять удаленным компьютером через оснастку «Управление компьютером». Это требует повышенного внимания к учетной записи встроенного администратора. Компания Microsoft настоя- тельно рекомендует ее переименовать, назначить сложный пароль и отклю- чить.
Для ускорения обновления политик можно перезагрузить компьютер либо воспользоваться консольной командой
gpupdate /force
Таким образом, классическая (обычная) модель доступа включена.
Создание учетных записей удаленных пользователей
Компьютер PC-W7 настраивается для временного исполнения роли файлового сервера сети на основе классической модели доступа. Для этого на нем необходимо завести учетные записи всех пользователей, которым будет разрешен доступ к этому компьютеру и его общим ресурсам из сети.
По заданию доступ к ресурсам должен быть обеспечен двум категори- ям пользователей с разными привилегиями: педагогам и студентам.
64
Разрешать использование пустых паролей в сети организации очень нежелательно, это существенно снижает уровень информационной безопас- ности.
Обычная модель доступа позволяет удаленно подключаться к скрытым ресурсам администратора, а также управлять удаленным компьютером через оснастку «Управление компьютером». Это требует повышенного внимания к учетной записи встроенного администратора. Компания Microsoft настоя- тельно рекомендует ее переименовать, назначить сложный пароль и отклю- чить.
Для ускорения обновления политик можно перезагрузить компьютер либо воспользоваться консольной командой
gpupdate /force
Таким образом, классическая (обычная) модель доступа включена.
Создание учетных записей удаленных пользователей
Компьютер PC-W7 настраивается для временного исполнения роли файлового сервера сети на основе классической модели доступа. Для этого на нем необходимо завести учетные записи всех пользователей, которым будет разрешен доступ к этому компьютеру и его общим ресурсам из сети.
По заданию доступ к ресурсам должен быть обеспечен двум категори- ям пользователей с разными привилегиями: педагогам и студентам.
64
Предположим, на компьютере PC-01, который находится в компьютер- ном классе и используется студентами, ранее были созданы и используются две студенческие учетные записи (с непустыми паролями):
student1
student2
Допустим, на компьютере PC-02, который установлен в преподаватель- ской и используется педагогами, заведены и используются две учетные запи- си (с непустыми паролями):
teacher1
teacher2
Таким образом, на компьютере PC-W7 необходимо завести четыре учетные записи. Кроме того, разумно создать две группы пользователей, на- пример, Students и Teachers, включить в эти группы соответствующих поль- зователей и управлять разрешениями на уровне групп. Это существенно уп- ростит администрирование (и соответствует рекомендациям Microsoft):
Группы
Пользователи student1
Students student2 teacher1
Teachers teacher2
Будем заводить учетные записи и группы в следующем порядке:
1. Сначала создадим группу Teachers, учетные записи teacher1 и teacher2, а затем включим их в эту группу. Сделаем это локально (непосредственно) на компьютере PC-W7.
2. Группу Students и студенческие учетные записи student1 и student2 будем создавать через удаленное управление компьютером PC-W7, подключив- шись к нему, например, с компьютера PC-01 через оснастку «Управление компьютером».
65
Для управления пользователями и группами используется оснастка
«Локальные пользователи и группы». Запускается консольной командой:
lusrmgr.msc
Открываем «Группы». Выбираем «Действие» – «Создать группу…»
Вводим название группы и описание (опционально):
Выбираем «Пользователи». «Действие» – «Новый пользователь…»
66
Создаем учетные записи teacher1 и teacher2:
В результате получим:
Переключаемся на «Группы» и через свойства группы Teachers добавляем в нее учетные записи teacher1 и teacher2:
67
Проверим членство в группах созданных пользователей:
68
Дальнейшие настройки требуют обеспечения беспрепятственного об- мена данными между узлами сети. Поскольку вопросы обеспечения сетевой безопасности выходят за рамки занятия, отключим Брандмауэр Windows на всех компьютерах:
Windows XP: «Панель управления» – «Брандмауэр Windows» – Выключить:
Windows 7: «Панель управления» – «Брандмауэр Windows» – «Включение и выключение брандмауэра Windows». Отключаем:
69
Разумеется, позднее на всех компьютерах брандмауэры Windows долж- ны быть настроены или заменены более функциональными и удобными раз- работками других производителей.
По заданию группу Students и студенческие учетные записи надо соз- дать удаленно, управляя целевым компьютером (PC-W7) с другого компью- тера из оснастки «Управление компьютером».
Это возможно только в том случае, если учетная запись пользователя удаленного компьютера входит в группу безопасности «Администраторы» компьютера, к которому выполняется подключение.
Однако Windows 7 (как и Windows Vista) не позволяет управлять ком- пьютером удаленным администраторам! Трудно сказать, является ли это ошибкой или элементом безопасности. Для исправления ситуации необходи- мо в системный реестр добавить параметр типа DWORD:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001
Чтобы изменения вступили в силу, требуется перезагрузка.
70
На компьютере PC-01 открываем оснастку «Управление компьютером» и подключаемся к другому компьютеру:
Указываем «PC-W7»:
Подключились:
Переходим в «Служебные программы» – «Локальные пользователи и груп- пы» – «Группы». Выполняем «Действие» – «Создать группу…»
71
Создаем группу Students:
Переходим в раздел «Пользователи» и создаем студенческие учетные записи:
72
В результате получим:
Теперь учетные записи студентов надо включить в группу Students. Харак- терно, что при выполнении этой операции запрашивается имя и пароль поль- зователя, обладающего правами на PC-W7 (не обязательно правами админи- стратора).
73
Добавляем пользователей:
Корректность действий сетевого администратора по удаленному управ- лению учетными записями проверим локально на компьютере PC-W7:
Таким образом, компьютер PC-W7 «знает» всех удаленных пользова- телей. Это позволит сетевым администраторам воспользоваться преимущест- вами классической модели по настройке разрешений на доступ к общим ре- сурсам.
Создание общего ресурса
В условиях классической модели, как и при использовании гостевой,
74
можно создавать общие ресурсы, используя контекстное меню папки и ко- мандную строку (программа net share). Также доступен еще один способ – из оснастки «Общие папки». Рассмотрим все варианты.
1 2 3 4
1) Настроим общий доступ к папке «Docs» из оснастки «Общие папки».
Попасть в нее можно через «Управление компьютером» – «Служебные программы» – «Общие папки» или воспользоваться консольной командой:
lusrmgr.msc
«Действие» – «Новый общий ресурс…»
Запускается мастер создания общих ресурсов:
Указываем путь к локальной папке Docs на диске E:
75
Попасть в нее можно через «Управление компьютером» – «Служебные программы» – «Общие папки» или воспользоваться консольной командой:
lusrmgr.msc
«Действие» – «Новый общий ресурс…»
Запускается мастер создания общих ресурсов:
Указываем путь к локальной папке Docs на диске E:
75
Назначаем ресурсу имя, например, «Общая папка с документами»:
Настраиваем разрешения. Очевидно, первые три варианта не подходят, ведь по заданию необходимо назначить каждой категории пользователей опреде- ленные разрешения. Поэтому ставим переключатель в положение «Настрой- ка разрешений доступа» и нажимаем «Другой»:
76
Добавляем в список управления доступом
группу Teachers и даем ей разрешение на Изменение;
группу Students и назначаем разрешение на Чтение.
Группу «Все» из списка удаляем.
Переключаемся на закладку «Безопасность» (в условиях обычной мо- дели доступа эта закладка доступна во всех версиях Windows). На этой за- кладке можно узнать и изменить разрешения файловой системы NTFS на папку E:\Docs
77
Разрешения, установленные системой автоматически, можно оставить без изменения, если не предполагается локальный вход студентов на компь- ютер PC-W7.
Сетевые разрешения и разрешения NTFS действуют совместно, а ито- говый уровень определяется как минимум из двух максимумов.
Учетные записи учителей и студентов попадают в группу «Прошедшие проверку». Файловая система дает этой группе разрешение на Изменение, что не ограничивает привилегии пользователей, подключившихся к ресурсу из сети. Но если студенческая учетная запись будет использована для ло- кального входа, то уровень доступа к содержимому папки «Docs» окажется выше допустимого, ведь сетевые разрешения действовать уже не будут.
Вариант решения задачи: добавить в список управления доступом группы Students (с разрешением на Чтение и выполнение) и Teachers (c раз- решением на Изменение), а группу «Прошедшие проверку» удалить или сни- зить ее привилегии до уровня «Чтение и выполнение».
78
