Для обслуговування тимчасової мережі необхідні інструментальні засоби і знання, відмінні від тих, які потрібні для роботи з доменом. Ці відмінності дуже наочно проявляються в сфері управління користувачами. Адміністратор тимчасової мережі позбавлений можливості задіяти Active Directory (AD) для організації списків користувачів і налаштувань безпеки, а це значить, що кожен комп'ютер припадає налаштовувати індивідуально - виконання всіх завдань за одним комп'ютером виключається. Однак, оскільки більшість тимчасових мереж не відрізняється великими розмірами, це завдання не забирає багато часу. Якщо в тимчасової мережі вашого клієнта або компанії комп'ютерів стало так багато, що управляти ними вже складно, мабуть, настав час розглянути можливість організації домену.
У даній статті я розглядаю деякі із завдань, що вирішуються в процесі управління обліковими записами користувачів в тимчасової мережі, включаючи методи управління окремими призначеними для користувача завданнями, що дозволяють адміністратору вирішувати багато питань не відходячи від свого комп'ютера. Я хочу зупинитися на проблемах, якими адміністратори і консультанти часто цікавляться в ході семінарів. У статті я використовую терміни «спеціальний робочий» (опис методу організації мереж) і «робоча група» (в термінології Windows це група користувачів мережі, побудованої за тимчасової топології), оскільки, за моїми спостереженнями, обидва ці терміни широко застосовуються ІТ-професіоналами.
Треба відзначити, що деякі з розглянутих мною функцій не реалізовані ні в версіях Windows Vista Home, ні в системі Windows XP Home Edition, в той час як ці системи використовуються підприємствами малого бізнесу. Додаткові відомості про ці обмеження можна отримати в довідкових файлах згаданих операційних систем або на Web-сайтах Microsoft, присвячених версіями Windows.
Дублювання облікових записів користувачів на декількох комп'ютерах
Життя адміністратора робочої групи буде простіше, якщо він подбає про те, щоб кожен користувач, який звертається до ресурсів на іншому комп'ютері, мав на цій віддаленій системі локальну обліковий запис. Якщо віддалений користувач не має локального облікового запису, Windows виводить діалогове вікно, показане на екрані 1, в якому користувач повинен вводити ім'я і пароль для облікового запису, яка існує на цьому віддаленому комп'ютері.
Деякі адміністратори вважають за краще організовувати роботу так, щоб користувачі реєструвалися на віддаленій системі, оскільки з точки зору забезпечення безпеки цей метод видається більш ефективним, ніж організація автоматичного доступу до віддалених систем. Але на практиці згаданий метод майже завжди виявляється менш безпечним. У багатьох невеликих компаніях, які взяли цю парадигму, прийнято прикріплювати до моніторів невеликі листки паперу з іменами користувачів і паролями, необхідними для доступу до віддалених комп'ютерів. Невеликі компанії, які експлуатують однорангові мережі, як правило, не пов'язані особливо тісними відносинами з іншими фірмами, тому небезпека того, що хтось сторонній увійде в офіс, сяде за комп'ютер і зареєструється на віддаленій системі, де зберігаються дані компанії, відносно невелика. Якщо надати користувачам можливість вибрати комп'ютер з папки Network і автоматично отримати з'єднання, це не буде створювати такої загрози, як на великих підприємствах, що займають цілі будівлі або мають кілька офісів, де виявити відвідувачів не так-то просто.
При створенні облікового запису користувача на віддаленому комп'ютері слід застосовувати те ж ім'я і пароль, що і для реєстрації на локальній системі. Windows досліджує реєстраційні облікові дані користувача, що намагається звернутися до комп'ютера, і перевіряє цільову систему на наявність в ній відповідного реєстраційного імені та пароля. Якщо перевірка дає позитивний результат, Windows надає користувачу доступ до комп'ютера. В іншому випадку або в ситуації, коли збігаються імена користувачів, а паролі не збігаються, відкривається діалогове вікно, показане на екрані 1.
У невеликих фірмах, де використовуються робочі групи, дані часто зберігаються лише на одному комп'ютері. Навіть в тому випадку, коли цей комп'ютер не функціонує під управлінням системи Windows Server (а саме в цьому полягає очевидне гідність робочих груп з фінансової точки зору), комп'ютер фактично виступає в ролі файлового сервера. Вміст цього комп'ютера слід резервувати щодоби. При експлуатації файлового сервера даних, до якого звертаються всі користувачі, потрібно тільки створити дублікати облікових записів користувачів на цьому комп'ютері. Якщо ж дані зберігаються на декількох комп'ютерах, необхідно створювати призначені для користувача облікові записи для кожного віддаленого користувача на кожному з цих комп'ютерів.
Для обмеження доступу до фінансових даних компанії в бухгалтерських програмах реалізований метод, який дозволяє надавати і обмежувати доступ користувачів до даних певних типів і до записів транзакцій. Всім застосовують ці додатки користувачам потрібні дозволи рівня Full Control для роботи з файлами даних засобами бухгалтерських програм; щоб виконувати свою повсякденну роботу, вони повинні мати можливість створювати і змінювати об'єкти. Потім можна за допомогою реалізованої в цих програмах функції надання дозволів користувачам обмежити ті чи інші дії останніх.
Створення облікових записів користувачів на віддалених комп'ютерах
У розділі Local Users and Groups консолі управління комп'ютерами можна з легкістю створювати облікові записи користувачів. Щоб створити обліковий запис нового користувача, правою клавішею миші на значку My Computer, який розташований на робочому столі, в меню, що розкрилося виберіть пункт Manage, двічі клацніть на елементі Local Users and Groups і в меню Action виберіть пункт New User. Ці настройки облікових записів користувачів є більш детальними, ніж настройки для користувача оснастки.
Найважливіша перевага роботи з консоллю управління комп'ютерами полягає в тому, що можна звертатися до цієї консолі з віддалених систем і створювати облікові записи користувачів на будь-якому комп'ютері мережі, не покидаючи свого робочого місця. В консолі управління комп'ютерами правою клавішею миші потрібно клацнути на значку Computer Management (Local) і в меню вибрати пункт Connect to another computer. Введіть ім'я віддаленої системи (або знайдіть комп'ютер, натиснувши кнопку Browse), після чого натисніть ОК.
Ще одна перевага консолі управління комп'ютерами полягає в тому, що з її допомогою можна також задавати дозволу на звернення до спільно використовуваних ресурсів для віддалених комп'ютерів, як показано на екрані 3. У міру того як адміністратор додає і налаштовує облікові записи користувачів, він може, використовуючи розділ консолі \ Shared Folders \ Shares, надавати користувачам необхідні дозволи для роботи на віддалених комп'ютерах. Правою клавішею миші слід клацнути на списку спільно використовуваних ресурсів, в меню вибрати пункт Properties і перейти на вкладку Share Permissions, з тим щоб налаштувати дозволу.
Для звернення до консолі управління комп'ютерами на віддалених системах необхідно мати на цих комп'ютерах обліковий запис з правами адміністратора. Оскільки більшість адміністраторів і консультантів користуються вбудованої обліковим записом і паролем адміністратора для налаштування кожного комп'ютера, вводите цей обліковий запис при реєстрації на своєму комп'ютері, щоб мати доступ до всіх віддаленим консолей. Якщо використовувати інше облікове ім'я з адміністративними правами, Windows запропонує ввести ім'я та пароль користувача, який володіє адміністративними повноваженнями на віддаленому комп'ютері.
Управління та діагностика процесу реєстрації
Однорангові мережі наділені безліччю засобів управління процесом реєстрації, які реалізовані і в доменах. Однак адміністратор не може «одним махом» налаштувати всю однорангові з'єднання, тому що не матиме перед собою глобального уявлення мережі, яке забезпечує служба AD. Комп'ютери доводиться налаштовувати по одному. У наступних розділах я розповім про деякі найбільш типових завданнях, з якими адміністратору доведеться зіткнутися при налаштуванні процедури реєстрації користувача в системі.
Операційну систему Vista можна налаштувати так, щоб вона пропонувала користувачеві натиснути комбінацію клавіш Ctrl + Alt + Del. Але після того як користувач це зробить, на екрані знову-таки з'явиться список користувачів і супроводжуючі його картинки, і процедура реєстрації піде так само, як до зміни налаштувань, що призвів до появи запрошення натиснути комбінацію клавіш Ctrl + Alt + Del. Форсувати поява на екрані класичного діалогового вікна реєстрації та скасувати поява екрану вітання, на якому відображаються всі імена користувачів, неможливо. Але як би там не було, використання комбінації клавіш Ctrl + Alt + Del захищає комп'ютер від вторгнення зловмисників з Internet. Щоб додати цей рівень безпеки, потрібно відкрити вікно командного рядка і ввести
Всі користувачі можуть змінювати свої паролі в вікні користувальницької оснастки. При зміні пароля всі інші компоненти користувальницької конфігурації залишаються незмінними. Перевстановлення пароля відрізняється від зміни пароля, оскільки при перевстановлення пароля користувач втрачає доступ до зашифрованих файлів, зашифрованих повідомлень електронної пошти і паролів, які зберігаються на мережевих ресурсах і на вузлах Web. Всі ці служби повинні бути знову налаштовані з використанням нового пароля.
Перевстановлення пароля необхідна у випадках, коли користувач забуває пароль і не може зареєструватися на комп'ютері. Просто диву даєшся, як часто таке трапляється, причому цій ситуації не можна уникнути, змусивши користувачів створювати резервні диски для переустановлення паролів. Цій темі я планую присвятити одну з майбутніх статей даної серії. Щоб перевстановити пароль користувача, потрібно зареєструватися з адміністративної обліковим записом і відкрити для користувача оснащення.
В системі XP виберіть обліковий запис користувача і клацніть на елементі Change the Password. Введіть новий пароль двічі (для підтвердження) і при бажанні введіть підказку для користувача, який забув пароль. Але пам'ятайте, що цю підказку може бачити будь-який користувач, який сидить за цим комп'ютером. Завершіть операцію натисканням кнопки Change Password.
В системі Vista слід вибрати Manage Another Account, щоб побачити всі облікові записи, наявні на даному комп'ютері. Виберіть обліковий запис потрібного користувача і натисніть кнопку Change the Password. Введіть новий пароль двічі (для підтвердження) і при бажанні введіть підказку для користувача, який забув пароль (пам'ятаєте, інші користувачі теж можуть бачити цю підказку). Завершіть операцію натисканням кнопки Change Password.