Методические указания к лабораторной работе по дисциплине "Сети ЭВМ и средства телекоммуникаций" для студентов, обучающихся по специальности 220100 «Электронные вычислительные машины, комплексы и сети» Курск 2002

Вид материала

Методические указания

Содержание 4. Локальные, глобальные и специальные группы Специальная группа Права для встроенных локальных групп домена по отношению к системе, которая выполняет роль PDC или BDC представлены в таблице 5. Разрешения на доступ к каталогам и файлам Для каталога индивидуальные разрешения имеют следующий смысл 6. Профили пользователей 7. Порядок выполнения работы Внимание! Во избежание проблем с запоминанием паролей назначайте новым пользователям пароли, совпадающие с их именами. Исследование прав различных пользователей и групп пользователей Локальный пользователь Пользователь домена 8. Содержание отчета

Подобный материал:

• Программа сквозной практической подготовки для студентов направления 654600 специальности, 176.46kb.
• Методические указания и контрольные задания для студентов заочников Специальности 230101, 135.39kb.
• Курс лабораторных работ для студентов специальностей 230101 "Вычислительные машины,, 318.37kb.
• Методические указания к выполнению дипломных проектов по специальности 220100 «Вычислительные, 778.91kb.
• Программа-минимум кандидатского экзамена по специальности 05. 13. 15 «Вычислительные, 126.11kb.
• Рабочая программа и общие методические указания для студентов II и III курсов специальности, 212kb.
• Учебное пособие по части курса «Вычислительные машины, сети и системы телекоммуникаций», 759.43kb.
• Методические указания к лабораторной работе №3 по дисциплине «Периферийные устройства», 217.77kb.
• Методические указания к курсовой работе для специальностей 220100 Вычислительные машины,, 87.91kb.
• Методические указания для студентов по выполнению курсового проекта для специальности, 336.26kb.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ


КУРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТЕТ


КАФЕДРА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ


Администрирование пользователей в сети Windows NT


Методические указания к лабораторной работе по дисциплине

"Сети ЭВМ и средства телекоммуникаций" для студентов, обучающихся по специальности 220100 «Электронные вычислительные машины, комплексы и сети»


Курск 2002

Составитель: С.И.Егоров,


УДК 681.3


Администрирование пользователей в сети Windows NT. Методические указания к лабораторной работе по дисциплине"Сети ЭВМ и средства телекоммуникаций" для студентов, обучающихся по специальности 220100 «Электронные вычислительные машины, комплексы и сети»/Курск. гос. техн. ун-т; Сост.: С.И.Егоров. Курск, 2002. 18 с.


Излагаются методические указания по выполнению лабораторной работы на персональных ЭВМ. Изучается администрирование пользователей в сети Windows NT.


Предназначены для студентов, обучающихся по специальности 220100 «Электронные вычислительные машины, комплексы и сети».


Библиогр.: ? назв.


Рецензент канд. техн. наук, ст.преподаватель кафедры КиТ ЭВС Рыбочкин Анатолий ????


Редактор


ЛР N 020280 от 09.12.96. ПЛД № 50-25 от 01.04.97.

Подписано в печать ____________. Формат 6084 1/16. Печать офсетная.

Усл.печ.л. _____. Уч.-изд.л._____.Тираж 80 экз. Заказ _______.

Курский государственный технический университет.

Подразделение оперативной полиграфии Курского государственного

технического университета.

Адрес университета и подразделения оперативной полиграфии:

305040 Курск, ул. 50 лет Октября, 94.


Оглавление

1. Цель работы………………………………………………………………………4
   
2. Подготовка к работе……………………………………………………………..4
   
3. Пользователи, ресурсы и операции доступа………………………….….…….4
   
4. Локальные, глобальные и специальные группы……………………………….6
   
5. Разрешения на доступ к каталогам и файлам………………………………….9
   
6. . Профили пользователей ………………………………..……………………..12
   
7. Порядок выполнения работы…………………………………………………..14
   
8. Содержание отчета……………………………………………………………...17
   
9. Вопросы для самопроверки…………………………………………………….17
   
10. Библиографический список…………………………………………………….18
    

1. Цель работы


Изучение методов администрирования пользователей в сети на базе операционной системы Windows NT.


2. Подготовка к работе


В процессе подготовки к лабораторной работе необходимо изучить:

• типы пользователей, ресурсов и операций доступа Windows NT;
  
• свойства локальных, глобальных и специальных групп;
  
• разрешения NTFS;
  
• управление профилями пользователей;
  
• рабочее задание и методические указания к его выполнению.
  

3 Пользователи, ресурсы и операции доступа

Администрирование пользователей состоит в создании учетной информации пользователей (определяющей имя пользователя, принадлежность пользователя к различным группам пользователей, пароль пользователя), а также в определении прав доступа пользователя к ресурсам сети - компьютерам, каталогам, файлам, принтерам и т.п.

Создание учетной информации пользователей осуществляется в сети Windows NT утилитой User Manager для локальногого компьютера и User Manager for Domains для всех компьеров домена. Права доступа к ресурсам задаются в сети Windows NT различными средствами, в зависимости от типа ресурса. Возможность использования копьютеров Windows NT Workstation в качестве рабочих станций - с помощью User Manager for Domains, доступ к локальным каталогам и файлам (только для файловой системы NTFS, поддерживающей права доступа) - с помощью средств Windows NT Explorer, к удаленным разделяемым каталогам - с помощью Server Manager, доступ к принтерам - из панели Printers.

В сети Windows NT могут быть определены следующие типы пользователей и групп пользователей:

• локальный интерактивный пользователь компьютера (пользователь, который заведен в локальной учетной базе данных компьютера, и который работает с ресурсами компьютера интерактивно);
  
• локальный сетевой пользователь компьютера (пользователь, который заведен в локальной учетной базе данных компьютера, и который работает с ресурсами компьютера через сеть);
  
• пользователь домена (пользователь, который заведен в глобальной учетной базе данных домена на PDC);
  
• локальная группа компьютера (может создаваться на всех компьютерах домена);
  
• глобальная группа домена - состоит из пользователей домена .
  

Для каждого типа групп имеется некоторый набор встроенных групп: Administrators, Server Operators, Users, Everyone, DomainUsers и др.

В сети Windows NT можно выделить следующие типы объектов

• Каталоги и файлы. Процедуры задания правил доступа различаются для локальных и разделяемых (share) каталогов и файлов. Операции: read, full control, change, add, ...;
  
• Принтеры;
  
• Операционная система. По отношению к этому типу объектов определяются права по выполнению различных сервисов и утилит: вход, архивирование файлов, изменение конфигурации панелей Program Manager, ...
  

Операции доступа - это действия субъектов над объектами. Операции могут быть либо разрешены, либо запрещены, либо вообще не иметь смысла для данной пары объекта и субъекта.

Все множество операций доступа разделяется на подмножества, имеющие особые названия:

• права доступа и разрешения NTFS (permissions) - это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам типа файл, каталог или принтер;
  
• права и привилегии пользователя( user rights) - определяются для объектов типа группа на выполнение некоторых системных операций: создание резервных копий, выключение компьютера (shutdown) и т.п. Права назначаются с помощью User Manager for Domains;
  
• возможности пользователей (user abilities) - определяются для отдельных пользователей на выполнение действий, связанных с формированием их операционной среды, например, включение новых иконок в Desktop, возможность использования команды Run и т.п.
  

Права и разрешения данные группе автоматически предоставляются ее членам, позволяя администратору рассматривать большое количество пользователей как единицу учетной информации.

Возможности пользователей определяются профилем пользователя.


4. Локальные, глобальные и специальные группы

Windows NT Server использует три типа групп: локальные, глобальные и специальные. Каждый тип имеет свое назначение, возможности и ограничения.

Локальные группы дают пользователям права и разрешения на ресурсы того компьютера, где хранится учетная информация локальной группы. Доступ к ресурсам компьютера - Windows NT Workstation или Windows NT Server могут быть определены только для членов локальной группы этого компьютера, даже если эти компьютеры являются членами домена.

Доступ к ресурсам компьютера для пользователей домена обеспечивается за счет механизма включения в локальную группу отдельных пользователей домена и глобальных групп домена. Включенные пользователи и группы получают те же права доступа, что и другие члены данной группы. Механизм включения глобальных групп в локальные является основным средством централизованного администрирования прав доступа в домене Windows NT.

Локальная группа не может содержать другие локальные группы. Поэтому в сети, использующей модель рабочей группы нет возможности определить на одном компьютере всех пользователей сети и предоставлять им доступ к ресурсам других компьютеров. В любом случае локальная группа объединяет некоторое число пользователей и глобальных групп, которым присваивается общее имя - имя локальной группы.

Windows NT Workstation и Server поддерживают несколько встроенных локальных групп для выполнения системных задач. Администратор может создавать дополнительные локальные группы для управления доступом к ресурсам. Встроенные локальные группы делятся на две категории - администраторы (Administrators), которые имеют все права и разрешения на данный компьютер, и операторы, которые имеют ограниченные права на выполнение специфических задач. Для Windows NT Server имеются следующие группы-операторы: операторы архивирования (Backup Operator), репликаторы (Replicator), операторы сервера (Serevr Operator), принт-операторы (Print Operator) и операторы учетной информации (Account Operator). Для Windows NT Workstation имеется только две группы операторов - Backup Operators и Power Users.

Кроме того, как на Windows NT Server, так и на Windows NT Workstation имеются встроенные локальные группы Users - для обычных пользователей, и Guests - для временных пользователей, которые не могут иметь профиля и должны обладать минимальными правами.

Глобальная группа - это некоторое число пользователей одного домена, которые группируются под одним именем. Глобальным группам могут даваться права и разрешения путем включения их в локальные группы, которые уже имеют требуемые права и разрешения. Глобальная группа может содержать только учетную информацию пользователей из локальных учетных баз данных, она не может содержать локальные группы или другие глобальные группы.

Существует три типа встроенных глобальных групп: администратор домена (Domain Admins), пользователи домена (Domain Users) и гости домена (Domain Guests). Эти группы изначально являются членами локальных групп администраторов, пользователей и гостей соответственно.

Необходимо использовать встроенные группы там, где только это возможно.

Специальная группа - используется исключительно Windows NT Server для системного доступа. Специальные группы не содержат учетной информации пользователей и групп. Администраторы не могут приписать пользователей к этим группам. Пользователи либо являются членами этих групп по умолчанию (например, каждый пользователь является членом специальной группы Everyone), либо они становятся ими в зависимости от своей сетевой активности.

Существует 4 типа специальных групп:

• Network (Cетевая)
  
• Interactive (Интерактивная)
  
• Everyone (Каждый)
  
• Creator Owner (Создатель-Владелец).
  

Любой пользователь, который хочет получить доступ к разделяемому ресурсу по сети, автоматически становится членом группы Network. Пользователь, локально вошедший в компьютер, автоматически включается в группу Interactive. Один и тот же пользователь в зависимости от того, как он работает с компьютером, будет иметь разные права. Любой пользователь сети является членом группы Everyone. Администратор может назначить группе Everyone любые права. При этом администратор может предоставить любые права пользователю, не заводя на него учетной информации на своем компьютере. Группа Creator Owner содержит учетную информацию пользователя, который создал ресурс или владеет им.

Для встроенных групп определяются права на выполнение некоторых системных операций: создание резервных копий, выключение компьютера (shutdown) и т.п.

Права для встроенных локальных групп домена по отношению к системе, которая выполняет роль PDC или BDC представлены в таблице:

	Administrators	Server Operators	Account Operators	Print Operators	Backup Operators	Everyone	Users	Guests
Права
	Log on locally (локальный логический вход )	*	*	*	*	*	O	O	O
	Access this computer from network (доступ к данному компьютеру через сеть)	*	O	O	O	O	*	O	O
	Take ownership of files (установление прав собственности на файлы)	*	O	O	O	O	O	O	O
	Manage auditing and security log (управление аудитингом и учетом событий, связанных с безопасностью)	*	O	O	O	O	O	O	O
	Change the system time (Изменение системного времени)	*	*	O	O	O	O	O	O
	Shutdown the system (Останов системы)	*	*	O	O	*	O	O	O
	Force shutdown from remote system (Инициация останова с удаленной системы)	*	*	O	O	O	O	O	O
	Backup files and directories (Резервное копирование файлов и каталогов)	*	*	*	*	*	O	O	O
Restore files and directories (Восстановление файлов и каталогов со стриммера)	*	*	O	O	*	O	O	O
Load and unload device drivers (Загрузка и выгрузка драйверов устройств)	*	O	O	O	O	O	O	O
Add workstation to domain (Добавление рабочих станций к домену)	*	O	O	O	O	O	O	O
Встроенные права
	Create and manage user accounts (Создание и управление пользовательской учетной информацией)	*	O	*1	O	O	O	O	O
	Create and manage global groups (Создание и управление глобальными группами)	*	O	*1	O	O	O	O	O
	Create and manage local groups (Создание и управление локальными группами)	*	O	*1	O	O	O	*2	O
	Assign user rights (Назначение прав для пользователей)	*	O	O	O	O	O	O	O
	Manage auditing of system events (Управление аудитингом системных событий)	*	O	O	O	O	O	O	O
	Lock the server (Блокирование сервера)	*	*	O	O	O	*3	O	O
	Override the lock of the server (Преодоление блокировки сервера)	*	*	O	O	O	O	O	O
	Format server's hard disk (Форматирование жесткого диска сервера)	*	*	O	O	O	O	O	O
Create common groups (Создание общих групп)	*	*	O	O	O	O	O	O
Keep local profile (Хранение локального профиля)	*	*	*	*	*	O	O	O
Share and stop sharing directories (Разделение и прекращение разделения каталогов)	*	*	O	O	O	O	O	O
Share and stop sharing printers (Разделение и прекращение разделения принтеров)	*	*	O	*	O	O	O	O

5. Разрешения на доступ к каталогам и файлам

Администратор может управлять доступом пользователей к каталогам и файлам в разделах диска, отформатированных под файловую систему NTFS. Раздел, отформатированный под FAT, не поддерживается средствами защиты Windows NT. Однако можно защитить разделяемые по сети каталоги независимо от того, какая используется файловая система.

Для зашиты файла или каталога необходимо установить для него разрешения (permissions). Каждое установленное разрешение определяет вид доступа, который пользователь или группа пользователей имеют по отношению к данному каталогу или файлу. Например, когда вы устанавливаете разрешение Read к файлу MY IDEAS.DOC для группы COWORKERS, пользователи из этой группы могут просматривать данные этого файла и его атрибуты, но не могут изменять файл или удалять его.

Windows NT позволяет использовать набор стандартных разрешений, которые можно устанавливать для каталогов и файлов. Стандартными разрешениями для каталогов являются: No Access, Read, List, Add, Add&Read, Change и Full Control.

Стандартными разрешениями для файлов являются:

No Access, Read, Change и Full Control.

Стандартные разрешения представляют собой группы индивидуальных разрешений. Каждому стандартному разрешению соответствует определенная установка фиксированного набора индивидуальных разрешений. Индивидуальные разрешения могут быть:

Read (R), Write (W), Execute (X), Delete (D),

Change Permission (P), Take Ownership (O).

При установке стандартного разрешения рядом с ним в скобках отображаются заглавные буквы установленных индивидуальных разрешений. Например, при установке для файла стандартного разрешения Read рядом со словом Read появляется аббревиатура RX, которая означает, что стандартному разрешению Read соответствует установка двух индивидуальных разрешений - Read и Execute.

Администратор может с помощью утилиты File Manager устанавливать как стандартные, так и индивидуальные разрешения.

Для каталога индивидуальные разрешения имеют следующий смысл:

	R	W	X	D	P	O
Просматривать имена файлов в каталоге	*	O	*	O	*	O
Просматривать атрибуты каталога	*	O	*	O	*	O
Добавлять файлы и подкаталоги	O	*	O	*	O	*
Изменять атрибуты каталога	O	*	O	*	O	*
Переходить в подкаталоги каталога	O	*	*	O	*	O
Просматривать владельца каталога и разрешения	*	l	*	O	*	O
Удалять каталог	O	*	O	*	O	*
Изменять разрешения каталога	O	*	O	*	*	O
Становиться владельцем каталога	O	*	O	*	O	*

Для файла индивидуальные разрешения имеют следующий смысл:

	R	W	X	D	P	O
Просматривать данные файла	*	O	O	O	O	O
Просматривать атрибуты файла	*	O	*	O	O	O
Изменять атрибуты файла	O	*	O	O	O	O
Изменять и добавлять данные в файл	O	*	O	O	O	O
Выполнять файл, если это программа	O	O	*	O	O	O
Просматривать владельца файла и разрешения	*	*	*	O	O	O
Удалять файл	O	O	O	*	O	O
Изменять разрешения файла	O	O	O	O	*	O
Становиться владельцем файла	O	O	O	O	O	*

Для файлов имеется следующее соответствие индивидуальных и стандартных разрешений файла:

No Access - Ни одного

Read - RX

Change - RWXD

Full Control - Все разрешения

Стандартные разрешения для каталога представляют собой объединения индивидуальных разрешений для каталога и для файлов, входящих в этот каталог:

No Access (Ни одного) (Ни одного)

List (RX) (Не определены)

Read (RX) (RX)

Add (WX) (Не определены)

Add&Read (RWX) (RX)

Change (RWXD) (RWXD)

Full Control (Все разрешения) (Все разрешения)

Для того, чтобы эффективно пользоваться возможностями механизмов безопасности NTFS, нужно помнить следующее:

• Пользователи не могут пользоваться каталогом или файлом, если они не имеют разрешения на это, или же они не относятся к группе, которая имеет соответствующее разрешение.
  
• Разрешения имеют накопительный эффект за исключением разрешения No Access, которое отменяет все остальные имеющиеся разрешения. Например, если группа CO-WORKERS имеет разрешение Change для какого-то файла, а группа Finance имеет для этого файла только разрешение Read, и Петров является членом обеих групп, то у Петрова будет разрешение Change. Однако, если разрешение для группы Finance изменится на No Access, то Петров не сможет использовать этот файл, несмотря на то, что он член группы, которая имеет доступ к файлу.
  
• Когда вы создаете в каталоге файлы и подкаталоги, то они наследуют разрешения, которые имеет каталог.
  
• Пользователь, который создает файл или каталог, является владельцем (owner) этого файла или каталога. Владелец всегда имеет полный доступ к файлу или каталогу, так как может изменять разрешения для него. Пользователи - члены группы Administrators - могут всегда стать владельцами любого файла или каталога.
  
• Самым удобным путем управления защитой файлов и каталогов является установка разрешений для групп пользователей, а не для отдельных пользователей. Обычно пользователю требуется доступ ко многим файлам. Если пользователь является членом какой-либо группы, которая имеет доступ к этим файлам, то администратору проще лишить пользователя этих прав, удалив его из состава группы, а не изменять разрешения для каждого файла. Заметим, что установка разрешения для индивидуального пользователя не отменяет разрешений, данных пользователю как члену некоторой группы.
  

6. Профили пользователей

Когда пользователь локально входит первый раз в какой-либо компьютер, то для него по умолчанию создается профиль. Все настройки среды (цвет фона, обои, шрифты и т.п.) автоматически сохраняются в подкаталоге Profiles системного каталога данного компьютера, например, C:\NT40w\Profiles\username, где username - имя пользователя. Профиль хранится в файле с именем ntuser.dat

Администратор также может настраивать профиль пользователя, входя в какой-либо компьютер под именем этого пользователя.

В отличие от профиля пользователя, который устанавливается по умолчанию, существует также Roaming - перемещаемый профиль пользователя, который формирует одну и ту же среду для данного пользователя, независимо от того, с какого компьютера он вошел в сеть.

Перемещаемые пользовательские профили хранятся централизовано на сервере, а не на локальных компьютерах пользователей.

Администратор может определить для пользователя один из двух типов перемещаемых профилей.

• Индивидуальный перемещаемый профиль, который пользователь может изменять. Любые изменения, которые пользователь внес в свою среду, вносятся в индивидуальный перемещаемый профиль тогда, когда пользователь логически выходит из сети. Когда тот же пользователь входит снова, с сервера загружается последний вариант профиля. Таким образом, если используются перемещаемые индивидуальные профили, то у каждого пользователя имеется свой собственный перемещаемый профиль. Этот профиль хранится в файле ntuser.dat в одном из разделяемых каталогов сервера.
  
• Обязательный (mandatory) перемещаемый профиль - это заранее сконфигурированный администратором профиль, который пользователь не может изменить. Один обязательный профиль может быть назначен нескольким пользователям. Этот вид профиля целесообразно назначать тем пользователям, которым требуется одинаковая среда, например, операционистам банка. Обязательный профиль должен иметь расширение .man. Индивидуальный профиль можно сделать обязательным, переименовав его из Ntuser.dat в Ntuser.man.
  

С помощью утилиты System Policy Editor администратор может изменять профиль пользователя, не входя под его именем. При этом он может устанавливать ограничения, которые невозможно было бы установить, входя под именем пользователя, например, запрет на использование команды Run. System Policy Editor может может использоваться для формирования как локальных, так и перемещаемых профилей. Перемещаемый профиль хранится в файле Ntconfig.pol в разделяемом каталоге Netlogon на PDC.

• 7. Порядок выполнения работы
  

Создание пользователей


Для создания учетных записей новых пользователей и изменения свойств существующих необходимо использовать утилиту User Manager for Domains.

Внимание! Во избежание проблем с запоминанием паролей назначайте новым пользователям пароли, совпадающие с их именами.

1. Переименуйте пользователя Administrator в adm_dXX_Y_Z - в соответствии с именем домена, для того, чтобы можно было в дальнейших экспериментах не путать администраторов разных доменов и рабочих станций друг с другом.

2. Создайте пользователя с именем ВАША ФАМИЛИЯ_1 и введите его в группу Domain Admins.

3. Создайте пользователя с именем ВАША ФАМИЛИЯ_2 и введите его в группу Domain Users.

4. Создайте пользователя с именем ВАША ФАМИЛИЯ_3 и введите его в группу Server Operators.

Для новых пользователей домена (кроме администраторов) выполните следующие действия:

5. Задайте интервал времени, когда пользователю разрешен вход в систему - пункт Hours в меню New User.

6. Запретите вход с некоторых компьютеров в пределах домена. Для этого в панели New User нужно выбрать Log on To, и в окне диалога выбрать May Log On To These Workstation. В появившемся новом окне диалога задайте имена тех компьютеров, с которых будет разрешен вход.

7. Установите дату истечения срока действия учетной информации данного пользователя - пункт Account в меню New User.

8. Проверьте действие введенных установок, выполняя логические входы в домен.

9. Убедитесь в возможности транзитной аутентификации - входе в домен с любого компьютера домена.


Исследование разрешений NTFS


10. Создайте новый каталог в разделе С: локального диска под именем XX_Y_Z, поместите в него несколько файлов из имеющихся каталогов путем копирования.

11. Проверьте и запишите, какие индивидуальные разрешения по отношению к этому каталогу установлены операционной системой по умолчанию. Для этого используйте пункт Properties меню File папки, в которую входит новый каталог. В закладке Security нажмите кнопку Permissions.

12. Задайте каталогу стандартное разрешение CHANGE для пользователя ВАША ФАМИЛИЯ_2. Для этого в закладке Security нажмите кнопку Permissions, а затем кнопку Add (перед этим удалите разрешение Full Control для группы Everyone).

13. Отметьте в следующем списке, какие действия вы можете выполнить по отношению к этому каталогу:

Просматривать имена файлов в каталоге

Просматривать атрибуты каталога

Добавлять файлы и подкаталоги

Изменять атрибуты каталога

Переходить в подкаталоги каталога

Просматривать владельца каталога и разрешения

Удалять каталог

Изменять разрешения каталога

Становиться владельцем каталога

14. Выберите один из файлов данного каталога. Проверьте, какие действия вы можете выполнить по отношению к этому файлу. Заполните таблицу:

Просматривать данные файла

Просматривать атрибуты файла

Изменять атрибуты файла

Изменять и добавлять данные в файл

Выполнять файл, если это программа

Просматривать владельца файла и разрешения

Удалять файл

Изменять разрешения файла

Становиться владельцем файла

15. Сделайте новый каталог разделяемым (share) и задайте для него право Read, войдите по сети в рабочую станцию домена под тем же именем, что и в п. 12 (то есть, ВАША ФАМИЛИЯ_2). Проверьте, какие права есть по отношению к этому каталогу при доступе по сети.

Исследование прав различных пользователей и групп пользователей

16. Выяснить разницу между правами пользователей компьютера (Windows NT Workstation и Windows NT Server), правами пользователей домена, правами пользователей локальной группы компьютера, локальной группы домена, и глобальной группы.

Локальный пользователь компьютера может:

• Интерактивно войти в свой компьютер, если он имеет право Log on locally, и если компьютер не заблокирован другим пользователем (блокировка преодолевается только администратором данного компьютера);
  
• Войти в компьютер по сети, если он является локальным пользователем этого компьютера и наделен правом Access this computer from network;
  
• Пользоваться ресурсами своего компьютера в соответствии в правами и разрешениями, данными ему по умолчанию или администратором;
  
• Доступ к ресурсам других серверов домена (учитывая, что он не является пользователем домена) ему разрешен только тогда, когда он является и локальным пользователем каждого сервера.
  

Пользователь домена (не являющийся локальным пользователем компьютера, с которого он входит) может:

• Если он включен во встроенную глобальную группу Domain Users, то он может пользоваться ресурсами всех серверов домена с правами встроенного пользователя User, так как по умолчанию глобальная группа Domain Users включается в локальную группу Users всех серверов домена.
  

Администратор домена (входит в глобальную группу Domain Admins) может:

• Заводить пользователей и группы (локальные и глобальные) домена на PDC;
  
• Присоединять компьютеры к домену;
  
• Просматривать разделяемые ресурсы (share) на серверах домена (кроме Windows for Workgroups), создавать и менять разрешения на доступ к ним;
  
• Создавать локальных пользователей на компьютерах Windows NT Workstation.
  

Управление профилями пользователей

17. Для создания перемещаемых профилей пользователя: Откройте апплет "Система" панели управления. Выберите закладку User Profiles, скопируйте профиль администратора в какую-либо ПУСТУЮ папку. В диалоге копирования измените права использования профиля. Сделайте папку, содержащую скопированный профиль, разделяемой. В диспетчере пользователей укажите путь к папке профиля в графе профиля пользователя. Если профиль должен быть принудительным, переименуйте в папке профиля ntuser.dat в ntuser.man. Войти в рабочую станцию домена под любым именем и проверить доступность профиля.

18. Для установки обязательных профилей (системных политик) в домене с помощью System Policy Editor необходимо: Создать новую политику с помощью System Policy Editor. Установить в ней необходимые параметры и ограничения среды пользователя с помощью иконки Default User. Сохранить файл политики под именем ntconfig.pol в разделяемом каталоге NETLOGON на контроллере вашего домена (разделяемый каталог NETLOGON соответвует каталогу WINNT\System32\Repl\Import\Scripts). Войти в рабочую станцию домена под любым именем и проверить, действуют ли установки, сделанные в файле политики, на среду пользователя.

8. Содержание отчета


Отчет должен содержать :подробное описание процесса выполнения пунктов 7.1 – 7.18.


9. Вопросы для самопроверки

1.

2.

3.

4.

5.

1. 6.
   
2. 7.
   
3. 8.
   
   9.
   
   10.
   
   11.
   
   12.
   
   Библиографический список
   
   
   

1. Администрирование сети Microsorft Windows NT. Учебный курс/ Пер. с англ. – М.: Издательский отдел «Русская редакция» ТОО «Channel Trading Ltd.”. – 1997. – 496с.:ил.

2. Олифер Н.А., Олифер В.Г. Администрирование и настройка ОС WINDOWS NT./ Центр Информационных Технологий, 1998, rum.ru/