Rozdział 16
Administrowanie użytkownikami
Czasem doświadczenia nabyte w pracy ze starszymi systemami
operacyjnymi mogą utrudniać przestawienie się na nowy system,
taki jak Windows NT . Jest wielu specjalistów informatyków, którzy
nie będąc ,,nestorami’’ informatyki pracowali już z wieloma
systemami, od PDP-8E firmy DEC - poprzez wielkie komputery
IBM klasy mainframe oraz komputery DEC VAX - aż do bardziej
nowoczesnych systemów UNIX i NT , których używają do dzisiaj.
Wiele pojęć zastosowanych do problematyki administrowania
użytkownikami w okresie eksploatacji starszych systemów może
być użytecznych nawet dzisiaj, przy pracy z nowymi systemami
w rodzaju Windows NT .
W rozdziale tym będziemy chcieli powiązać podstawowe techniki
administrowania użytkownikami z
umiejętnością korzystania
z narzędzi i funkcji, oferowanych przez Windows NT Server. Do
chwili obecnej nauczyliśmy się cenić elastyczność, jako jedną
z cech systemu Windows NT . Przy zarządzaniu użytkownikami
znajdziemy wiele różnych opcji, umożliwiających wykonanie tej
samej czynności.
Administrowanie użytkownikami -zarys ogólny
W bardzo starych systemach operacyjnych, do celów ochrony
dostępu używano identyfikatora użytkownika, zakodowanego
w karcie sterującej, która znajdowała się w
pliku kart
perforowanych. T ak naprawdę nasz dostęp do komputera nie był
ograniczony w takim systemie operacyjnym - zależał on raczej od
osoby, która mogła zaakceptować lub odrzucić plik kart. Wkrótce
jednak pojawił się problem opłat i systemy operacyjne zaczęto
wyposażać w
możliwości nadzorowania identyfikatorów
użytkowników (user ID) i określenia w ten sposób listy osób, które
mają zapłacić za dostęp do systemu. Oczywiście w sytuacji, gdy
w grę zaczęły wchodzić pieniądze, niezbędna stała się taka kontrola
642
Rozdział 16
dostępu, która zapewniłaby, że rachunek otrzyma właściwa osoba.
T ak zaczęła się era haseł.
Czasy kart perforowanych wiązały się z niską wydajnością i olbrzy-
mimi kosztami. Autor korzystał z takich systemów tylko kilka
razy w życiu, ponieważ już wówczas chętnie używano produktów
DEC PDP oraz VAX, będących pierwszymi systemami
interaktywnymi, z dostępem realizowanym przede wszystkim za
pośrednictwem terminali. Niemniej jednak i autor musiał czasem
przestawić się na rejestry przełączników i
taśmę papierową,
których też używano w takich systemach.
T ak czy inaczej przez długi czas dostęp był tak ograniczony, że
konfigurowanie kont było względnie proste. Głównymi atrybutami
konta były wówczas: identyfikator użytkownika, hasło, limit opłat
i status użytkownika (absolutny priorytet miał personel centrum
obliczeniowego, potem profesorowie, po nich studenci
podyplomowi, a
na końcu studenci niższych lat). Skoro
użytkownicy nie mieli dostępu do rzeczywistych funkcji systemu
operacyjnego (wpisywało się zawartość kart perforowanych do
plików tekstowych, które się następnie uruchamiało), nie istniało
realne ryzyko naruszenia podstawowych cech systemu. Autor nie
chce przez to powiedzieć, że prehistoryczni hackerzy nie próbowali
swych sił w systemach operacyjnych; chodzi raczej o to, że ryzyko
uszkodzeń i
strat było niewielkie i
nie stanowiło większego
problemu.
Komputery zaczęły jednak rosnąć w
moc obliczeniową
i możliwości. Po opuszczeniu przez nie takich bezpiecznych nisz,
jak systemy informacji i środowiska akademickie, zagadnienia
bezpieczeństwa i ochrony znalazły się nagle w centrum uwagi.
Na początku, silnej stymulacji do zajęcia się problematyką ochrony
informacji dostarczyła sfera finansów. Komputery nie mogły
jeszcze co prawda wyświetlać filmów w formacie MPEG, ale już
zdawano sobie sprawę, że nadają się idealnie do obsługi złożonych
systemów finansowych, bardzo przecież trudnych do ścisłego
nadzoru. Kiedy między systemami komputerowymi zaczęły
przepływać pieniądze, natychmiast stały się niezwykle atrakcyjne
dla wszystkich, chcących spróbować swych sił w
nielegalnej
działalności (np. przelania kilku milionów dolarów na swoje konto
osobiste). Na początku funkcjonowały tzw. wsadowe systemy
Administrowanie użytkownikami
643
finansowe, z zadaniami uruchamianymi przez zaufany personel, ale
wszyscy, którzy uświadomili sobie ich możliwości, również zechcieli
uzyskać do nich dostęp. Sprzedawcy systemów operacyjnych
zaczęli oferować wiele funkcji ochrony do kontrolowania nie tylko
tego, czy dana osoba ma dostęp do systemu, ale także - jakich może
używać ona zasobów (plików, dysków, drukarek itd.).
Następna fala zainteresowania zagadnieniami bezpieczeństwa
i ochrony przyszła ze strony środowiska wojskowo-wywiadowczego.
T am z
kolei borykano się z
koniecznością przetwarzania
olbrzymich ilości poufnych danych przy zachowaniu niezawodności
i prostoty.
Rząd amerykański przeznaczył więc olbrzymie sumy na rozwój
systemów ochrony, zapewniających wielopoziomową kontrolę
tego, co się widzi, i tego, kiedy można to zobaczyć itd. Pieniądze
przeznaczano na zlecenia badawcze w
dziedzinie teorii
bezpieczeństwa i ochrony danych, ale także na zakup wczesnych
(może prymitywnych według współczesnych nam kryteriów)
i bezpiecznych systemów komputerowych
Opracowanie precyzyjnego, a jednocześnie elastycznego systemu
ochrony, to jedno z wyzwań, przed którym stanął zespół firmy
Microsoft.
M odel ochrony w systemie NT
System Windows NT uzyskał certyfikat ochrony C2, według
klasyfikacji amerykańskiej Agencji Bezpieczeństwa Narodowego
(National Security Agency - NSA). Oznacza to, że NSA poddała
system NT serii ostrych testów, sprawdzających jakość zapewnianej
w nim ochrony, potwierdzając bardzo dobry system ochrony,
zgodny z zestawem norm opublikowanych w tzw. Pomarańczowej
Księdze (Orange Book).. Istnieją systemy operacyjne z jeszcze
wyższą klasą ochrony B, ale można w nich uruchamiać niewielką
ilość zwykłych programów użytkowych, gdyż własności ochrony
uniemożliwiają im normalną pracę. Alternatywą dla systemów klasy
B jest zabezpieczenie sieci z komputerem, który jest przedmiotem
ochrony - za pomocą tzw. ściany ogniowej (firewall), czyli
urządzenia sieciowego, umożliwiającego odrzucanie
nieautoryzowanych prób transmisji (ściana ogniowa ma zwykle
644
Rozdział 16
właśnie klasę ochrony B).
Zespół projektowy systemu Windows NT przyjął dobre założenie,
dając możliwość obniżenia poziomu ochrony w
systemie
operacyjnym, zgodnie z indywidualnymi potrzebami. Na przykład
możliwość wymuszenia na użytkowniku przez system operacyjny
automatycznej zmiany hasła co określoną liczbę dni i narzucenia
określonego stopnia jego złożoności jest warunkiem uzyskania
certyfikatu C2. Jeśli pracujemy w
środowisku, gdzie ryzyko
wystąpienia zagrożeń bezpieczeństwa systemu jest niewielkie,
możemy tworzyć konta użytkowników, w których ważność hasła
nigdy nie wygasa, a użytkownik może mieć nawet dostęp bez hasła.
Co prawda takie „rozszczelnianie” ochrony w systemie nie jest
zasadne (zwłaszcza jeśli jesteśmy połączeni z dużymi sieciami
komputerowymi lub Internetem). System można skonfigurować
zarówno z bardzo ostrymi wymaganiami względem ochrony, jak
i bardzo łagodnymi; można też zdecydować się na rozwiązanie
pośrednie między tymi dwiema skrajnościami - wszystko zależy od
konkretnych potrzeb.
Etap ten wyznacza pierwszą operację, wymaganą od administratora
kont użytkowników. Musi on mianowicie opracować plan
umożliwiający wdrożenie środowiska ochrony, dostosowanego do
średnich wymagań ochrony w systemie. Opracowanie takiego planu
wymaga znajomości opcji i funkcji, udostępnianych przez system
NT .
Ochrona użytkowników w Windows NT
T ak jak w
przypadku większości innych funkcji systemów
komputerowych, tak i w odniesieniu do ochrony istnieje wiele
sposobów jej wdrożenia. Rysunek 16.1 ilustruje kilka popularnych
modeli systemów ochrony. Każdy z nich ma swoje wady i zalety,
które omówimy, aby umożliwić Czytelnikowi lepsze zrozumienie
mocnych i słabych stron modelu ochrony, zaimplementowanego
w Windows NT .
Administrowanie użytkownikami
645
Prosty model ochrony dostępu
Najprostszym z modeli jest tzw. Simple Access System - SAS
(System Prostego Dostępu). Obejmuje on identyfikator logowania
(logon ID) i hasło, umożliwiające użytkownikowi uzyskanie dostępu
do komputera.
Po znalezieniu się w
systemie możemy uzyskać dostęp do
wszystkiego, z czego chcemy skorzystać. Zaletą SAS jest prostota
administrowania i poziom ochrony, wystarczający dla bardzo
prostych systemów. Wadą natomiast - łatwość, z jaką każdy może
uzyskać dostęp do wszelkich zasobów systemu. Fakt ten może nie
wydawać się istotnym dla użytkowników komputerów osobistych,
którzy są przyzwyczajeni do posiadania pełnego dostępu do
wszystkich zasobów systemu. Problemy pojawią się jednak - gdy nie
ma ograniczeń dostępu do ważnych danych i innych zasobów -
w pracy z wielkim komputerem klasy mainframe, z dużą liczbą
różnych systemów (z
zasobami projektowymi, księgowymi
i osobowymi).
U żytkow nik
Re je stra c ja i h asło
Żąda ne z as oby
Żąda ne z as oby
S pra wdz enie ha sła
S pra wdz enie przyw ile jów
przy rej estra cji
Żąda ne z as oby
D ostę p
użyt kowni ka
D ostę p
do za sobów
D ostę p
do za sobów
P rosty dost ęp
do syste mu
Re je stra c ja i h asło
Rys. 16.1. Kilka
różnych modeli
ochrony
646
Rozdział 16
M odel hasłowej ochrony zasobów
Innym sposobem ochrony, stosowanym w
niektórych
środowiskach, jest przypisywanie każdemu zasobowi hasła
(porównajmy np. Windows for Workgroups). Można na przykład
wprowadzić specjalne hasło dla drukarki lub katalogu i przekazać je
tylko tym użytkownikom, którym chcemy umożliwić dostęp do
takiego zasobu. T aki model ochrony nosi nazwę (rysunek 16.1):
dostęp do zasobów. Zaletą jego jest kontrola dostępu do każdego
zasobu z osobna i względna łatwość konfiguracji. Wadą - trudna
konserwacja i codzienna obsługa. Załóżmy, że ktoś uzyskuje hasło
i dostęp do danych osobowych lub że ktoś dokonuje transferu
takich danych, i że powinno mu się w związku z tym odebrać prawo
dostępu. Jedynym wyjściem jest zmiana hasła dla takich danych
i przekazanie nowego hasła wszystkim, którzy go potrzebują.
M odel ochrony dostępu użytkownika
W Windows NT obowiązuje model oznaczony na rysunku 16.1. -
jako dostęp użytkownika. Podstawą jest tutaj identyfikator
logowania (logon ID) i
hasło identyfikujące użytkownika
w systemie operacyjnym. System operacyjny - po rozpoznaniu
użytkownika - porównuje jego nazwisko/nazwę/identyfikator z listą
ograniczeń dostępu, gdy podejmuje on próbę uzyskania dostępu.
Najczęstszymi przykładami zasobów w Windows NT mogą być
współdzielone katalogi, drukarki i połącze-nia zdalnego dostępu.
Zaletą takiego modelu jest precyzyjna kontrola dostępu, chociaż
wymagane są tu dodatkowe czynności administra-cyjne (z powodu
konieczności nadawania użytkownikowi nie tylko uprawnień
dostępu do systemu, ale także do wszystkich tych zasobów, które są
mu niezbędne).
Skorzystanie z tak precyzyjnego systemu ochrony będzie od nas
wymagało wykonania sporej pracy. Windows NT oferuje pewne
(pomocne) narzędzia projektowe, opracowane na podstawie
obserwacji pracy typowych administratorów systemów
operacyjnych.
Rezultatem takich analiz było założenie, iż użytkownikom
wykonującym te same funkcje i zadania potrzebny jest dostęp do
systemu operacyjnego według jednakowych zasad w kolejnych
Administrowanie użytkownikami
647
sesjach. Administrator systemu musiał dotychczas, za każdym
razem, wpisywać takie same sekwencje przydziału dostępu dla
wszystkich osób pracujących w systemie. Czemuż więc nie ująć
wszystkich przywilejów w
ciągi ,,koszyków’’ i
przydzielić
użytkownikom, w zależności od potrzeb, jeden lub kilka takich
koszyków?
Tworzenie grup
Pomysł podany na końcu poprzedniego podrozdziału został
zrealizowany w Windows NT i innych systemach operacyjnych pod
postacią grup. Dla grupy tworzy się nazwę, przydziela jej przywileje
i określa, kto ma otrzymać daną grupę przywilejów. Idea grup
niezwykle zwiększa efektywność pracy - szczególnie
administratorów obsługujących dużą ilość użytkowników. Aby
jednak móc w pełni skorzystać z idei grup, trzeba zaplanować
sposób ich organizacji.
Pierwszym pomysłem mogłoby być utworzenie grupy dla każdego
typu użytkownika, który będzie miał dostęp do systemu. Wymaga
to jednak poświęcenia dużego wysiłku i oznacza utworzenie większej
(niż to niezbędne) liczby grup.
Rozważmy przykład pewnej firmy. Przypuśćmy, że nasz serwer
obsługuje dział księgowości, marketingu oraz dział projektowy.
Księgowi potrzebują dostępu do plików z danymi księgowości,
główny księgowy korzysta z
danych księgowości i
systemu
zarządzania informacją. Użytkownicy z działu marketingu mają
dostęp do danych marketingu, a ich szef - do tych danych i do
systemu zarządzania informacją. Są wreszcie inżynierowie, mający
dostęp do dwóch projektowych baz danych (elektronicznej
i mechanicznej) i ich szef, który potrzebuje dostępu do systemu
zarządzania informacją oraz dwóch wymienionych baz danych.
W
takiej sytuacji moglibyśmy zaproponować siedem grup
użytkowników w
naszym systemie NT : grupę księgowości,
głównego księgowego, marketingu, szefa marketingu,
elektroniczno-projektową, mechaniczno-projektową i szefa działu
projektowego.
W rzeczywistości wystarczy jednak utworzyć tylko pięć grup:
księgowości, marketingu, elektroniczno-projektową, mechaniczno-
648
Rozdział 16
projektową i
grupę zarządzania. Szefom różnych działów
przydzielimy wówczas dwa zestawy przywilejów grupowych (np.
księgowości i zarządzania). Oto prosty przykład wykorzystania
doskonałej koncepcji.
Przypuśćmy teraz, że nasza firma jest zorganizowana bardziej
swobodnie, i
że różne osoby pracują w
różnych zespołach
projektowych, z których każdy ma własne zestawy przywilejów.
Jeśli takie podstawowe zestawy przywilejów utworzymy we
właściwy sposób, to będzie można nadawać i odbierać prawa dostępu
poszczególnym osobom, zgodnie z
ich przemieszczaniem się
między różnymi zespołami projektowymi. Dwa istotne zagadnienia,
które wymagają tu podkreślenia, to po pierwsze: konieczność
poświęcenia większej ilości czasu na zaplanowanie struktury grup
(po to, aby go później zaoszczędzić), a po drugie - wymóg
regularnej aktualizacji tej struktury, wraz ze zmieniającymi się
potrzebami użytkowników.
Tworzenie grup roboczych
T ypowa sieć serwerów klasy PC zawiera komputery z systemami
zarządzania bazami danych, komputery pracujące jako serwery
plików, serwery poczty itd. Z upływem czasu użytkownik może
potrzebować dostępu do większej liczby takich serwerów (gdy
chcemy np. wysłać zadanie drukowania na kolorową drukarkę
laserową na drugim piętrze, bo jest to jedyna drukarka w budynku,
i przyłączono ją do serwera znajdującego się właśnie na drugim
piętrze). Nadążanie z tworzeniem kont i przydzielaniem właściwych
przywilejów dużej liczbie użytkowników, wykorzystujących wiele
serwerów może okazać się zadaniem trudnym.
Pojawia się więc następne zagadnienie. Dzięki firmie Microsoft
dysponujemy przyjemnym interfejsem graficznym,
umożliwiającym obserwację komputerów w sieci podczas prób
uzyskania dostępu do zasobów zdalnych. Jak wyglądałaby na ekranie
informacja o kilku tysiącach komputerów pracujących w firmie?.
Rozwiązaniem takiego problemu jest pogrupowanie komputerów
w struktury, nazwane przez Microsoft grupami roboczymi (work-
groups). Grupa robocza składa się z jednego lub kilku komputerów,
o których zakłada się, że pozostają do siebie w pewnym stosunku
Administrowanie użytkownikami
649
logicznym. Zwrotu „zakłada się” użyliśmy celowo: można bowiem -
poprzez
Netw ork Settings
(Ustawienia sieciowe) z
Control
Panel
-
dołączyć własny komputer do dowolnej grupy w sieci, po czym - dla
wszystkich komputerów próbujących uzyskać dostęp do zasobów
sieciowych - będzie on występował jako członek tej grupy.
Tworzenie domen
Powracamy teraz do problemu zarządzania komputerami w sieci
komputerowej. T ak jak pojęcie grup użytkowników rozwiązuje
problem nadawania dużej liczby przywilejów dostępu użytkownikom
jednego serwera, tak grupowanie komputerów jest (oferowanym
przez firmę Microsoft) rozwiązaniem problemu administrowania
dużą liczbą serwerów w sieci. Jak już jednak wspomniano, grupy
robocze nie wnoszą wiele do zagadnienia ochrony. Każdy może
stwierdzić, że jest członkiem danej grupy roboczej i tylko dopiero
co poczynił niewielkie modyfikacje parametrów swojego
komputera.
W celu rozwiązania tego problemu Microsoft wprowadza pojęcie
domeny (domain). O domenie można myśleć jak o bezpiecznej
grupie roboczej ze scentralizowanym zarządzaniem. Rysunek 16.2
ilustruje różne konfiguracje ochrony w
sieci Windows NT .
Podstawowe znaczenie ma tutaj scentralizowana baza danych (z
danymi o konfiguracji ochrony), która weryfikuje tożsamość
użytkownika, a następnie przekazuje ją dalej do tych węzłów
w sieci, od których użytkownik żąda dostępu do zasobów. Dla
administratorów ma to tę dobrą stronę, że daje im możliwość
zarządzania całą siecią z jednego punktu centralnego.
650
Rozdział 16
W jaki sposób realizujemy koncepcję domen? Niepraktyczne jest
konfigurowanie systemu, w którym wszystkie informacje dotyczące
ochrony zapisywane są w każdym węźle sieci. Byłoby to wręcz
niewłaściwe z punktu widzenia potrzeb ochrony, gdyż umożliwiłoby
ewentualnemu hackerowi włamanie się do lokalnej bazy danych po
zarejestrowaniu się we własnym systemie lokalnym jako
administrator. Domenowe sieci w standardzie Microsoftu używają
serwerów przeznaczonych na kontrolery domeny - do
przechowywania informacji dotyczących ochrony dostępu.
Istnieją dwa typy kontrolerów domeny: pierwotne i pomocnicze.
Wyobraźmy sobie dzień, w którym serwer ustawicznie ulega
awariom (załamania systemu, uszkodzenia twardych dysków itd.).
Jeśli w sieci istniałby tylko jeden kontroler domeny, to nie byłoby
sposobu weryfikacji użytkowników i zapewnienia im dostępu do
zasobów sieciowych. Pomocniczy kontroler domeny (Backup
Domain Controller) umożliwia sieci kontynuację obsługi
użytkowników, dopóki pierwotny kontroler domeny (Primary
Domain Controller) nie zacznie znowu poprawnie funkcjonować.
Różnica między kontrolerem pierwotnym a
pomocniczym
sprowadza się do tego, że jeśli wystąpi konflikt w ocenie ważności
hasła (np. dlatego, że jeden z kontrolerów uległ awarii lub wystąpiło
uszkodzenie pliku z
danymi ochrony) lub innego przywileju
związanego z dostępem, to jeden z nich musi mieć priorytet przy
rozstrzyganiu tego konfliktu; w takim przypadku priorytet ma
pierwotny kontroler domeny.
Poza usługami związanymi z
weryfikacją podczas awarii
D ostęp dz ięki
lokal nemu ide ntyfikatorowi
użytkow nika
D ostęp do z asobu
D ostęp do z asobu
Login
Login
Login
Login
Login
Sa modzi elny
G rupa roboc za
D omena
Login
D ostęp do z asobu
D ostęp w e dł ug z dal nej
baz y danyc h
o praw ac h (dostę pu)
D ostęp w e dł ug z dal nej
baz y danyc h
o praw ac h (dostę pu)
D ostęp do z asobu D ostęp do z asobu
N etw ork
N etw ork
Login
Rys. 12.2.
Konfiguracje
sieci W indows NT
Administrowanie użytkownikami
651
pierwotnego kontrolera domeny, pomocnicze serwery domeny
mają jeszcze inne funkcje. Głównym i najważniejszym ich zadaniem
jest weryfikacja użytkowników w
sieci. Kontroler pierwotny
zapewnia wszystkim użytkownikom wzajemną synchronizację, ale
każdy kontroler domeny może zweryfikować użytkownika
w domenie. Z tego też powodu - jeżeli nasze serwery znajdują się
w kilku różnych segmentach sieci, to w każdym segmencie można
umieścić lokalny kontroler domeny, w celu obsługi użytkowników
z tego segmentu.
Pamiętajmy, że pierwotne serwery domeny można utworzyć tylko
raz. Oznacza to, że komputer konfiguruje się jako pierwotny
kontroler domeny podczas procedury instalacyjnej. Nie można
później zmienić zdania i
przekształcić zwykły komputer
w pierwotny kontroler domeny. Ponadto dana domena w danej sieci
może mieć tylko jeden pierwotny kontroler domeny. Jeśli dwa
komputery w
sieci będą ,,twierdziły’’, że są pierwotnymi
kontrolerami domeny, wyniknie z
tego konflikt, który
rozstrzygnie sieć, uznając jeden z nich za kontroler pierwotny.
Wybrana jednostka uzyska kontrolę nad domeną, a druga zostanie
pozbawiona możliwości dołączenia do domeny, co - z punktu
widzenia ochrony w systemie - jest rozwiązaniem doskonałym.
Istotny jest także wymóg, by inne komputery musiały uzyskiwać
zezwolenie na wejście do domeny. Nie wystarczy po prostu zmienić
ustawienia sieciowe w panelu kontrolnym (Control Panel) - w celu
poinformowania systemu, że oto już jesteśmy upoważnionym
(trusted) członkiem np. domeny SALES. Ktoś inny musi w zamian
zarejestrować się w systemie jako administrator domeny i uprawnić
nas do wejścia do niej, zanim będziemy mogli uzyskać dostęp do
środowiska będącego przedmiotem ochrony. Uniemożliwia to
napisanie programu, który mógłby służyć do nielegalnego zbierania
danych ochrony w
sieci przez wysyłanie i
odbieranie żądań
weryfikacji - z
komputera pracującego w
pozbawionym
mechanizmów ochrony systemie operacyjnym ( np. MS-DOS).
Załóżmy teraz, że obsługujemy dużą firmę, w której pracuje wielu
administratorów systemu w wielu różnych miejscach. Można by
zbudować jedno wielkie centrum komputerowe, obejmujące
wszystkie serwery firmy i
zatrudnić specjalny personel
administracyjny do ich pilnowania. T aka „przyciężka” architektura
652
Rozdział 16
jest jednak podatna na opóźnienia wynikłe z
konieczności
stosowania długich łączy i na awarie, mogące załamać całą sieć,
także z
powodu złożoności jej struktury. W
praktycznych
zastosowaniach bardziej uzasadnione będzie założenie wielu domen
dostosowanych do organizacji i danego miejsca w firmie.
Relacje upoważnienia w domenie
Obecnie, w epoce współpracy między różnymi grupami przy
realizacji wspólnych celów, bardzo korzystna może okazać się
możliwość uzyskiwania dostępu do usług innej domeny. Firma
Microsoft wdrożyła w tym celu koncepcję relacji upoważnienia
(trust relationships) między domenami.
Koncepcję tę realizuje się zgodnie z tym, co sugeruje jej nazwa.
Informujemy jedną z domen, że powinna ,,zaufać’’ potwierdzeniu
ochrony przez inną domenę. Nie oznacza to, że dajemy pełny
i nieskrępowany dostęp do wszystkich zasobów w naszej domenie
dowolnemu użytkownikowi zweryfikowanemu w innej domenie.
Cały czas ciąży na nas zadanie nadania przywilejów dostępu
użytkownikom z innej domeny, aby mogli oni otrzymać dostęp do
tych zasobów, które nie zostały oznaczone jako ogólnodostępne.
Pojawiają się w tym miejscu dwa inne terminy, których znaczenie
należy wyjaśnić: grupy lokalne i grupy globalne. Grup lokalnych
można użyć w
ramach własnej domeny - do przydzielenia
przywilejów umożliwiających uzyskanie dostępu do zasobów.
W rezultacie, jeśli użytkownik może okazać dowód, że jest
członkiem grupy, której przydzielono dostęp do jakiegoś zasobu (co
określa kontroler domeny), wtedy urządzenie realizujące żądane
zasoby powinno żądanie to uhonorować.
Co powinniśmy zrobić, gdy administratorzy innych domen utworzą
grupy o nazwach identycznych z tymi, jakie nadaliśmy własnym
grupom (np. szefowie)? Otóż z reguły tworzone grupy są grupami
lokalnymi, identyfikującymi użytkowników w
ramach jednej
domeny. Jeśli chcemy umożliwić identyfikację użytkownika
w innych domenach, należy utworzyć tzw. domenę globalną
(według terminologii Microsoftu), której nazwa jest skoordynowana
z domenami, między którymi zachodzą wzajemne relacje
upoważnienia (two-way trust relationships). Administratorzy tych
Administrowanie użytkownikami
653
domen przydzielają następnie grupom globalnym dostęp do
zasobów domen, i - w taki oto sposób - użytkownicy z innych
domen uzyskują dostęp do zasobów.
Pora na kilka uwag o relacjach upoważnienia. Po pierwsze, relacje
te zachodzą w jedną (a nie w obie) stronę - jeżeli ja upoważniam
ciebie (ufam tobie), to jeszcze nie znaczy, że ty upoważniasz mnie
(ufasz mi). Po drugie, administratorzy obu domen muszą wyrazić
zgodę na ustalenie relacji upoważnienia.
Wreszcie, relacje te nie zachodzą między dwoma punktami i nie
narzuca się na nie żadnej hierarchii. Jeśli domena A upoważnia
domenę B, a domena B upoważnia domenę C, nie oznacza to wcale,
że domena A musi upoważnić domenę C. Jest to - z punktu widzenia
administratorów - zaletą; przecież relacje upoważnienia w jakiejś
innej domenie nie muszą być nam znane. Domena taka mogłaby
mieć relacje upoważnienia z
takimi domenami, dla których
moglibyśmy nie chcieć ustanawiać takich relacji z naszą domeną.
Przed końcem tego ogólnego opisu zagadnień ochrony
w domenach, wspomnijmy jeszcze o kilku sprawach wymagających
uwagi. Po pierwsze, program Security Account Manager (SAM)
(Menedżer kont ochrony) dla serwera domeny może zarządzać
maksymalnie 16000 kont użytkowników. Dla większości z nas jest
to dużo i nigdy nawet się nie zbliżymy do tej granicy. Ograniczenie
to jest jednak istotne dla dużych firm czy organizacji, w których
pożądany byłby wielki, scentralizowany kontroler domeny,
działający jako główny kontroler kont dla wszystkich
użytkowników pracujących w
firmie. Ograniczenie powyższe
wpływa również na hierarchię relacji upoważnienia, przy
opracowywaniu której należy wziąć pod uwagę wzajemną
współpracę wszystkich grup w jej obrębie. Rysunek 16.3 ilustruje
niektóre z możliwych konfiguracji domen.
654
Rozdział 16
Zamieszczono trzy przykładowe konfiguracje domen, które
powinny wyczerpać możliwe warianty dla większości sieci
pracujących w systemie Windows NT . W pierwszej konfiguracji -
tzw. konfiguracja z główną domeną - istnieje domena centralna,
służąca jako główne środowisko ochrony w firmie. Inne domeny
oferują usługi użytkownikom końcowym, kierując się informacjami
uzyskanymi z głównej domeny. Pozwala to na wydajniejsze
administrowanie i lepszą kontrolę ochrony, za cenę uzależnienia się
od głównej domeny, która musi być zawsze dostępna.
Drugim typem konfiguracji jest tzw. konfiguracja rozproszona.
W
tym przypadku każda domena jest zarządzana osobno,
a przydzielanie dostępu użytkownikom domeny w
jej ramach
odbywa się niezależnie od innych domen. Użytkownicy jednej
domeny mogą używać zasobów innej domeny - według przydziałów
dostępu do obcych grup, w oparciu o uzgodnienia upoważnień
pomiędzy domenami. Podejście takie umożliwia rozproszoną
kontrolę ochrony i dostęp do zasobów różnych domen. T aka
konfiguracja jest prawdopodobnie najłatwiejsza do zarządzania.
Ostatnim przykładem jest tzw. konfiguracja z wieloma relacjami
upoważnienia. Konfiguracja z główną domeną jest środowiskiem
prostego typu hierarchicznego, konfiguracja rozproszona - środowi-
skiem równouprawnionych członków; natomiast konfigurację
omawianą obecnie można traktować jako złożoną sieć zależności
między przydziałami ochrony i dostępu. Pojęciowo przypomina
ona konfigurację rozproszoną pod tym względem, że każdy pilnuje
swoich własnych użytkowników. Różnica polega na tym, że prawa
dostępu można przydzielać wielu innym domenom. T aka
konfiguracja jest trudna w zarządzaniu, ale może być odpowiednim
D omena
D omena
D omena
D omena
D omena
D omena
D omena
D omena
D omena głów na
żądanie
walida cji
żądanie
walida cji
żądanie
walida cji
żądanie
walida cji
żądanie
walida cji
P eer- to- P ee r
K onfi gura cja z w ie loma
rela cj ami u pow ażnie nia
Rys. 16.3. Różne
konfiguracje
relacji
upoważnienia
między domenami
Administrowanie użytkownikami
655
rozwiązaniem w środowiskach, w których lokalne działy kontrolują
swoje sieci i czasem zezwalają innym działom na dostęp do
własnych zasobów w zależności od potrzeb.
Są jeszcze inne typy architektur upoważnienia w
domenach.
Powyższe przykłady służą ilustracji niektórych podstawowych
środowisk, na które możemy się natknąć. Dla początkujących
najprostsza jest chyba konfiguracja rozproszona. Dokładniejszy
opis zagadnień związanych ze środowiskiem domenowym
i relacjach upoważnienia zawiera kilka rozdziałów książek
w zestawie Windows NT Resource Kit (można znaleźć w nich opis
pojęć stosowanych w technologii sieci i ochrony danych).
Pomimo swojej objętości, niniejszy opis modelu ochrony
w systemie Windows NT nie jest nawet podsumowaniem tego, co
można o nim powiedzieć. Na stronach WWW znajdziemy szereg
ciekawych artykułów na ten temat (szczegółowe informacje
o
niuansach implementacji domen i
ochrony grup roboczych
można znaleźć na wielu dyskach CD Microsoftu). Można napisać
całe rozdziały o
różnych składnikach systemu służących do
weryfikacji, takich jak NET LOGON. Niniejszy rozdział ma jednak
na względzie cel bardziej praktyczny. Miał on wprowadzić
Czytelnika do następnego tematu - tj. możliwości kontrolowania
przez administratora konta danego użytkownika.
Atrybuty użytkownika
Poprawna kontrola kont użytkowników byłaby bardzo trudna
w realizacji bez znajomości tego, co można kontrolować. Niniejszy
podrozdział omawia tzw. ogólne środowisko użytkownika. Poniżej
zamieszczono te cechy systemu, które podlegają kontroli:
!
hasło i konto użytkownika
!
członkostwo użytkownika w grupie
!
strategia zarządzania kontami
!
prawa użytkownika
!
profil użytkownika
!
katalog własny (home directory) użytkownika
656
Rozdział 16
!
skrypty logowania użytkownika
!
czasy logowania użytkownika
!
możliwości usługi RAS (Remote Access Service)
!
dostęp do aplikacji
Bardzo wyrafinowany administrator znalazłby jeszcze więcej, ale
z doświadczenia autora wynika, że powyższe zestawienie jest
dobrym kompromisem w
znakomitej większości przypadków.
Powyższe pozycje określają te poszczególne aspekty i składniki
systemu, które wspólnie ułatwiają administratorowi osiąganie
pożądanych w
jego pracy celów. Każda z
osobna jest
niekompletna - dopiero razem umożliwiają kontrolowanie dostępu
użytkownika do zasobów.
Grupy, hasła i identyfikatory logowania
Pierwszym zagadnieniem będą hasła i identyfikatory logowania.
Pojęcia kryjące się za tymi terminami są względnie proste
i przypominają swoje odpowiedniki, znane z innych systemów
operacyjnych. Posłużą za pierwszy przykład współdziałania
różnych aspektów środowiska użytkowników.
W wielu założeniach (odnośnie ochrony) wprowadza się
ograniczenia na hasła, aby utrudnić ich odgadnięcie. Często
przyjmowaną w tym celu, prowizoryczną regułą, jest ,,przynajmniej
siedem znaków w haśle”. Zastanówmy się jednak - nawet jeśli to
my, jako administratorzy systemu, tworzymy według tej reguły
hasła i identyfikatory logowania użytkowników, to cóż powstrzyma
użytkowników przed zdefiniowaniem (przy użyciu narzędzi do
zmiany haseł) nowego hasła (np. takiego jak 12345)? W celu
uniknięcia takich sytuacji musimy skorzystać z tych własności
systemu NT , które umożliwiają wprowadzenie strategii zarządzania
kontami.
Grupy omówiliśmy już wcześniej jako własność niezwykle
pożyteczną w
procesie administrowania użytkownikami.
Najistotniejszy jest tutaj fakt, że dostęp do zasobów można
przydzielić zarówno indywidualnym użytkownikom, jak i grupom
użytkowników. W
przypadku przydzielania dostępu grupom,
użytkownik, którego uczyni się członkiem danej grupy,
Administrowanie użytkownikami
657
automatycznie dziedziczy wszystkie przywileje grupy jako takiej.
Umożliwia to administratorowi szybkie i sprawne przydzielanie
użytkownikom tych przywilejów, których potrzebują oni do
wykonania swojej pracy. Dodatkową korzyścią, jaką dają grupy, jest
możliwość nadawania grupom nazw znaczących dla administratora -
tak, by mógł on szybko przejrzeć listę grup i wybrać z niej te, które
są odpowiednie dla nowego użytkownika.
Strategie zarządzania kontami, prawa i profile
Administratorzy systemów NT nie zawsze stosują strategię
zarządzania kontami - możliwość jej wykorzystania jest jednak
niezwykle użyteczną własnością systemu. Strategia zarządzania
użytkownikami w Windows NT wpływa także na inne aspekty
środowiska pracy użytkowników - nie tylko na przywileje grupowe
(określające, co użytkownikowi wolno robić w
systemie). T o
właśnie strategia zarządzania użytkownikami umożliwia takie
skonfigurowanie systemu, by wymusić hasła odpowiednio
skomplikowane i wystarczająco bezpieczne, zgodne z wymaganiami
systemu ochrony w firmie. A oto niektóre aspekty systemu,
kontrolowane za pośrednictwem profilu użytkownika:
!
długość hasła
!
czas stosowania hasła
!
historia używania hasła
!
blokada konta po niepomyślnej próbie logowania
Z wyżej wymienionymi aspektami systemu wiążą się Prawa
użytkowników, stanowiące jeden z aspektów strategii zarządzania,
przyjętej przez administratora. Dotyczą one przede wszystkim
tego, co użytkownikowi wolno zrobić z systemem operacyjnym.
Zagadnienie to omówiliśmy dokładnie w podrozdziale „Prawa
użytkowników”, ale już teraz musimy opisać kilka funkcji User
Rights:
!
dostęp do komputera z sieci
!
dodawanie komputerów do domeny
!
tworzenie kopii bezpieczeństwa plików
658
Rozdział 16
!
lokalne logowanie do danego komputera (np. z wykorzystaniem
lokalnej klawiatury i monitora)
Z powyższym jest ściśle związany profil użytkownika. Definiuje on
dostępne grupy programów i określa, czy zezwolono na używanie
komendy Run (Uruchom) w menu File. Administrator może
utworzyć wiele różnych profili, przypisując je różnym
użytkownikom.
Ponieważ w starszych wersjach systemu trzeba było używać wielu
narzędzi do tworzenia i konfigurowania profilu działania dla danego
użytkownika, wiązało się z tym pewne zaniepokojenie ze strony
mniej wprawnych administratorów. Dla tych, którym zagadnienie
to sprawiało dawniej kłopoty, mamy dobrą wiadomość - otóż
Microsoft zebrał prawie wszystkie funkcje sterowania i kontroli
użytkowników w jednym narzędziu - o nazwie User Manager
(Menedżer użytkowników). Po wywołaniu - z poziomu User
Manager-a -
Ekranu
Właściw ości
(
Properties screen
) dla danego
użytkownika, zobaczymy przycisk funkcji
Profile
(Profil),
opisującej wiele aspektów systemu (omówionych w dalszej części
rozdziału).
Zaawansowaną adaptację niektórych cech środowiska pracy
użytkowników przeprowadzamy za pomocą opcji
System
Policy
Editor
(Edytor strategii zarządzania systemem), w
menu
Administrativ e
Tools
(Narzędzia do administrowania). Można tu
ustawić pewne parametry niskiego poziomu (np. grafikę
wyświetlaną na tapecie pulpitu danego użytkownika). Edytor ten
pozwala też przypisać określoną strategię zarządzania danemu
użytkownikowi lub danej grupie.
Katalogi własne, skrypty logowania, czasy i zakres logowania
Kolejny aspekt związany z zarządzaniem związany jest z pojęciem
katalogu własnego (home directory). Istnieje bowiem możliwość
podania katalogu, do którego użytkownik będzie miał domyślnie
dostęp dla wszystkich operacji zachowywania, pozostających pod
bezpośrednią kontrolą systemu operacyjnego. Jeśli np. otworzymy
sesję DOS-u, to katalogiem domyślnym będzie katalog własny.
Zauważmy jednak zarazem, że wiele aplikacji (np. Microsoft Word)
ma swoje własne panele ustawień, w których można podać inne (dla
Administrowanie użytkownikami
659
nich domyślne) katalogi do zachowywania i odzyskiwania plików.
Innym użytecznym narzędziem są tzw. skrypty logowania (logon
script). Załóżmy, że chcemy, by za każdym razem, gdy użytkownik
loguje się do systemu, wykonywane było pewne działanie, ale nie
możemy znaleźć żadnej funkcji systemu operacyjnego, która by to
umożliwiała. Możliwym rozwiązaniem tego problemu jest:
!
utworzenie pliku wsadowego (lub programu wykonywalnego),
którego zadaniem będzie wykonanie żądanego działania,
!
określenie tego pliku, jako tzw. skryptu logowania dla danego
zestawu użytkowników.
Skrypty logowania są również dobrym rozwiązaniem, jeśli chcemy,
by po zalogowaniu użytkownik znalazł się od razu w danym
programie, lub wręcz ograniczyć jego możliwości pracy do jednej
aplikacji. W przypadkach takich możemy znacznie poprawić
ochronę i efektywność systemu, uniemożliwiając użytkownikom
bezpośredni dostęp do pulpitu i - tym samym - wszystkich funkcji
systemu operacyjnego Windows NT .
Kończąc listę kontrolnych właściwości środowiska dochodzimy do
możliwości kontroli, kiedy użytkownik może zalogować się do
systemu. W niektórych firmach czy instytucjach nie można
dopuścić, by użytkownicy po godzinach pracy mogli uzyskać dostęp
w nielegalny sposób. Ponadto w niektórych środowiskach trzeba
wykonywać wielkie zadania wsadowe czy też przeprowadzać
okresowe czynności związane z
administracją i
konserwacją
systemu. Jeśli takie okresowe czynności wymagają wylogowania
wszystkich użytkowników, to pożyteczną cechą systemu jest
możliwość całkowitego zablokowania logowania dla użytkowników.
W Windows NT możliwość taką stwarza User Manager.
Zdalny dostęp
Narzędzia do administrowania RAS wykorzystywane są w celu
określenia, czy dany użytkownik ma dostęp do usługi RAS. Istnieje
możliwość rozszerzenia ochrony przez nałożenie wymagania
odtelefonowania (call-back) na podany numer, po uzyskaniu przez
użytkownika połączenia telefonicznego z naszym systemem. W ten
sposób możliwości włamania do systemu ograniczamy do sytuacji,
660
Rozdział 16
w której osoba niepowołana dzwoni z domu użytkownika (dodając
do spisu swoich przestępstw, obok przestępstwa komputerowego,
włamanie i bezprawnie naruszenie własności). Zdalny dostęp do
zasobów komputerowych, takich jak pliki danych i
poczta
elektroniczna jest wspaniałym udogodnieniem, ale może też
stanowić istotną lukę w systemie ochrony. Każdy, kto dysponuje
modemem i połączeniem telefonicznym, może teraz wykręcić
numer telefoniczny serwera (zakładając, że zna on ten numer)
i uzyskać dostęp do naszej sieci, z
pominięciem wszystkich
fizycznych przeszkód, mających zapewnić ochronę w budynku.
Administrator musi dobrze rozważyć zagadnienia ochrony
i bezpieczeństwa wobec efektywności i wygody, zanim zdecyduje się
na realizację możliwości telefonicznego dostępu z użyciem RAS.
Warto zauważyć, że w wersji 4 systemu NT ochronę RAS zintegro-
wano z Menedżerem użytkowników. W wersji 3.51 właściwości
użytkownika (z wyjątkiem dostępu zdalnego) ustawiało się za
pomocą User Manager-a. Następnie trzeba było skorzystać
z programu RAS Admin - do przydzielenia przywilejów wybierania
numerów (dial-in privileges) - dla których ustawieniem domyślnym
było uniemożliwienie dostępu zdalnego. Chociaż w obecnej wersji,
do ich ustawienia również można skorzystać z RAS Admin, to karta
User
Properties
(Właściwości użytkownika) umożliwia ustawienie
tych przywilejów dla użytkownika sekcji z poziomu User Manager-
a (Menedżera użytkowników).
Środowisko użytkownika
Na koniec omówimy konfigurowanie praw i przywilejów dla
aplikacji, oferowanych przez nasz serwer. Zależnie od konkretnej
aplikacji, prawa i przywileje mogą tylko rozszerzać parametry
środowiskowe, które administrator systemu Windows NT ustawia
dla danego użytkownika, bądź też same w sobie stanowić kompletne
środowisko. Jeśli np. dostęp do informacji w bazie danych Windows
NT Oracle uzyskuje się stosując podejście klient/serwer, to baza
danych sama zapewni ochronę i kontrolę środowiska użytkownika.
W wielu przypadkach użytkownik, żeby z niej skorzystać, nie
potrzebuje nawet konta w systemie operacyjnym.
Administrowanie użytkownikami
661
Menedżer użytkowników w serwerze NT
T eraz przyjrzymy się bliżej praktycznym aspektom
administrowania użytkownikami w
systemie Windows NT .
Najważniejszym narzędziem do kontrolowania użytkowników jest
User Manager (Menedżer użytkowników), dostępny z
menu
Administrativ e Tools
(Narzędzia do administrowania). User
Manager ma jedną z dwóch nazw - w zależności od tego, czy
używamy serwera, stacji roboczej w domenie, czy też stacji roboczej
w grupie roboczej. Serwer zawsze używa grupy narzędzi User
Manager for Domains (Menedżer użytkowników dla domen) -
nawet jeśli jesteśmy w grupie roboczej. Stacja robocza korzysta
z User Manager-a (Menedżera użytkownika - bez domen), kiedy
używamy grupy roboczej oraz z User Manager for Domains - kiedy
używamy domeny. W
środowisku domenowym, uaktualnienia
wysyła się do kontrolerów domeny, a nie do lokalnej bazy danych
ochrony.
Administrowanie w
Windows NT 3.5 bazowało na Panelu
Sterowania. Kiedy chcieliśmy wykonać jakąś funkcję w systemie,
tworzyliśmy niewielką aplikację, dołączając ją do innych narzędzi
administrowania w grupie programów. T endencja do tworzenia
narzędzi zintegrowanych, przyjęta w Windows NT 4 (a zwłaszcza
w Menedżerze użytkowników), ma ogromne zalety. User Manager
umożliwia administratorowi ustawienie prawie wszystkich
właściwości użytkownika. Co więcej, podczas dodawania nowego
użytkownika do systemu operacyjnego jego działanie zintegrowane
jest z systemem Microsoft Mail Server (służącym do obsługi poczty
elektronicznej i będącym składnikiem BackOffice) - w zakresie
przywoływania stron właściwości, służących do konfigurowania
osobistych kont poczty elektronicznej. Biorąc pod uwagę
uniwersalność narzędzia User Manager - w celu przyspieszenia
i ułatwienia sobie do niego dostępu - dobrze jest umieścić na pulpicie
skrót (shortcut).
Korzystając z większości narzędzi w Windows NT możemy być
pewni, że prędzej czy później na ekranie pojawi się struktura
drzewiasta (znana z Explorera). User Manager jest wyjątkiem od tej
662
Rozdział 16
reguły (przynajmniej na razie). Ma on względnie skromny interfejs,
zapewniający dostęp do wszystkich koniecznych funkcji
kontrolnych z
wykorzystaniem menu rozwijanych i
prostych
operacji (takich np. jak dwukrotne klikanie). Rysunek 16.4 ilustruje
główny ekran User Manager-a.
Przegląd właściwości Menedżera użytkowników rozpoczniemy od
często używanych menu rozwijanych. Pierwszym z nich jest
User
(Użytkownik). Ma on kilka cech wskazujących, że na pewno
używamy systemu Windows NT Server. Do wspomnianych przed
chwilą dodać należą np. pozycje umożliwiające wprowadzenie nowej
grupy globalnej -
New Global Group
oraz wybór domeny -
Select
domain
. Wspomniane pozycje menu z reguły wyświetlają okno
dialogowe, za pomocą którego podajemy szczegóły wykonywanej
aktualnie operacji lub potwierdzamy, że naprawdę chcemy realizacji
tego, o co jesteśmy właśnie pytani. Operacje z menu dotyczą tego
użytkownika, który jest aktualnie podświetlony. T ak jest
w przypadku kopiowania, usuwania, zmiany nazwy lub właściwości.
Natura pozostałych pozycji, takich jak
New User
(Nowy
użytkownik) wskazuje, że do utworzenia czegoś nowego lub
wykonania jakiejś operacji w
systemie wymagane jest okno
dialogowe.
Następnym menu jest
Policies
(Strategie zarządzania).
Pominęliśmy Menu
View
(Widok), gdyż zawiera mniej więcej to,
czego i tak należy się spodziewać (za jego pomocą kontrolujemy
sposób sortowania i odświeżania wyświetlanych na ekranie pozycji).
Menu
Policies
udostępnia większość środowiskowych parametrów
dla użytkowników, które nie wiążą się z dostępem do zasobów
Rys. 16.4. Ekran
User Manager for
Domains
( Menedżera
użytkowników dla
domen).
Administrowanie użytkownikami
663
systemowych (omówionym w poprzednim podrozdziale). Zawiera
ono również funkcję do ustawiania relacji upoważnienia.
Kontynuację wywodu o integracji stanowi rysunek 16.4. Widać
tutaj, że Microsoft Exchange Server zintegrowany jest
z Menedżerem użytkowników. Jest to naprawdę daleko idąca
integracja: kiedy administrator wprowadza użytkownika do systemu
z serwerem wymiany poczty, proszony jest o wpisanie informacji
wymaganych do utworzenia konta poczty elektronicznej.
Z wyjątkiem usług RAS (omówionych w podrozdziale ,,Ochrona
usługi zdalnego dostępu RAS’’), User Manager jest tym narzędziem,
które znajduje zastosowanie w
niemal wszystkich operacjach
związanych z zarządzaniem użytkownikami.
Grupy w M enedżerze użytkowników
Czas teraz na omówienie niektórych funkcji, wywoływanych przez
wspomniane wyżej menu. Pierwsza dotyczy dodawania lub
modyfikacji grup. Nową grupę dodajemy, wybierając z menu
User
albo pozycję
New Local Group
(Nowa grupa lokalna), albo
New
Global
Group
(Nowa grupa globalna). Aby przeprowadzić
modyfikację w istniejącej grupie podświetlamy ją i - z menu
User
-
wybierajmy pozycję
Properties
(Właściwości). Rysunek 16.5
przedstawia okno wyświetlane podczas modyfikowania właściwości
istniejącej grupy. Jedyną różnicą, widoczną podczas dodawania
nowej grupy, jest miejsce na wpisanie nazwy grupy (poza tym okna
te są identyczne).
Okno
Group Properties
(Właściwości grupy) zawiera nazwę grupy,
pomocniczy opis tekstowy (przypomnienie dla administratora)
oraz dwie listy. Pierwsza lista zawiera użytkowników - członków
grupy. Druga - użytkowników, którzy nie są jej członkami.
Kategorię wybranego użytkownika możemy zmienić - z nie-
członka na członka (lub odwrotnie) - przez podświetlenie go
i kliknięcie
Add
(Dodaj) lub
Remov e
(Usuń).
664
Rozdział 16
Okno Właściwości użytkowników w M enedżerze
użytkowników
Okno
User Properties
(Właściwości użytkowników) ilustruje
rysunek 16.6. Umożliwia ono administratorom dodawanie lub
modyfikowanie podstawowych właściwości logowania dla
użytkownika; jest więc jednym z najczęściej używanych narzędzi
Menedżera użytkowników. Jak widać nie jest ono skomplikowane -
możemy w nim wpisać nazwę użytkownika (podczas dodawania
użytkowników przy modyfikowaniu właściwości istniejących
użytkowników, pole to staje się oknem bez możliwości wpisania
czegokolwiek), pełną nazwę, opis użytkownika, i
dwa pola
umożliwiające administratorowi zmianę hasła użytkownika.
Ponadto zawiera ono znaczniki (checkboxes) do kontrolowania
następujących funkcji działania systemu:
!
Czy użytkownicy muszą zmienić hasło przy następnym
logowaniu. T a opcja jest wygodna przy tworzeniu wszystkich
kont z neutralnym lub nawet pustym hasłem, kiedy chcemy
zmusić użytkowników, by wpisali swoje własne hasła podczas
logowania.
!
Czy użytkownikom uniemożliwia się zmianę hasła. Ogranicza to
ryzyko, że wskutek zapomnienia hasła przez użytkownika
administrator będzie musiał ponownie je definiować.
!
Czy ważność hasła ma z czasem wygasać. Priorytet tej opcji jest
wyższy niż starzenie się hasła (opisane w podrozdziale „Strategie
zarządzania”).
Rys. 16.5. Group
Properties
( W łaściwości
grupy) okna
dialogowego
Menedżera
użytkowników.
Administrowanie użytkownikami
665
!
Czy konto jest nieważne (disabled). Dobrze jest unieważnić
konto danego użytkownika, gdy wybiera się on na urlop lub
opuszcza firmę. Przy unieważnionym (ale ciągle istniejącym)
koncie, administrator może w wygodnym dla niego czasie
przejrzeć pliki danych tego użytkownika i przenieść je do tych
użytkowników, którzy mogą ich potrzebować.
!
Czy konto użytkownika zostało zablokowane. Blokada konta
zdarza się najczęściej wówczas, gdy ktoś nie poda poprawnego
hasła po pewnej liczbie prób i gdy nie określono przedziału czasu
dla automatycznego zerowania (automatic reset time interval).
Zablokowane konto może oznaczać, że podjęto próby złamania
ochrony systemu, ale może też tylko wskazywać na
roztargnionego użytkownika. Jest to dobra opcja systemowa
w środowiskach narażonych na działalność hackerów.
M enedżer użytkowników - przynależność do grupy
U dołu strony
User Properties
(Właściwości użytkowników)
znajduje się kilka ważnych funkcji, z którymi powinniśmy się
zaznajomić. Za ich pomocą uzyskujemy dostęp do okien
dialogowych, które umożliwiają ustawienie wielu innych
parametrów środowiskowych konta użytkownika.
Pierwszą z właściwości jest grupowa identyfikacja użytkownika.
Rysunek 16.7 przedstawia okno dialogowe
Group Membership
(Członkowstwo w grupie). Jak widać, znajdują się na nim dwie listy:
jedna zawiera grupy, do których należy dany użytkownik, a druga -
te, do których ten użytkownik nie należy. Grupy przenosi się
Rys. 16.6. User
Properties
( W łaściwości
użytkowników),
strona Menedżera
użytkowników
666
Rozdział 16
między listami za pomocą funkcji
Add
(Dodanie) i
Remov e
(Usunięcie).
Konfigurowanie profilu środowiskowego użytkownika
w M enedżerze użytkowników
Okno
User Env ironment Profile
(Profil
środowiskowy
użytkownika) wywołujemy za pomocą przycisku
Profile
(rysunek
16.8). Opcji tej nie należy mylić z
User Profile Edition
(Edycja
profili użytkowników), udostępnionej w
Administrativ e
Tools
Start
Menu
(Menu startowe narzędzi do administrowania). Funkcja
Profile
pozwala administratorowi na wybór pliku profilu
użytkownika (utworzonego za pomocą edytora User Profile
Editor), który ma zostać zastosowany dla danego użytkownika.
Umożliwia ona także podanie skryptu logowania, który ma być
wykonywany po każdym zalogowaniu się użytkownika do systemu
lub domeny. U dołu okna znajdują się pola umożliwiające podanie
katalogu własnego (home directory), którego system będzie używał
jako domyślnego w
sytuacjach, kiedy aplikacje nie ujawnią
własnych, pełnych ścieżek dostępu.
Rys. 16.7 Okno
dialogowe Group
Membership
Administrowanie użytkownikami
667
Określanie czasów logowania w M enedżerze użytkowników
Kontynuując omawianie parametrów środowiskowych użytkownika
(które kontrolujemy za pomocą opcji znajdujących się u dołu
strony
User Properties
) przechodzimy do okna
Logon
Hours
(Godziny logowania) (rysunek 16.9). W celu ustawienia godzin
pracy za pomocą myszy należy podświetlić żądany przedział,
a następnie kliknąć przyciski
allow
(zezwolenie) i/lub
disallow
(zakaz). Sekcje z
niebieskimi kreskami w
środku oznaczają
dopuszczalny przedział czasu pracy; czarne natomiast - przedział,
w którym użytkownikowi nie wolno się logować. Należy zwrócić
uwagę, że są to godziny, w których system dopuszcza logowanie
(dla połączeń). Innymi słowy, użytkownicy którzy już wcześniej
zalogowali się do systemu, nie zostaną z niego automatycznie
wylogowani, nawet jeśli przekroczą dopuszczalny przedział czasu
pracy.
Rys. 16.8. Profil
środowiskowy
użytkownika.
Rys. 16.9. Czasy
logowania, okno
Menedżera
użytkowników.
668
Rozdział 16
Zezwolenia dla stacji roboczych w M enedżerze użytkowników
Inną pożyteczną funkcją strony
User
Properties
jest możliwość
nałożenia ograniczeń na stacje robocze, z których użytkownik
może się logować do systemu. Rysunek 16.20 przedstawia
podstawowe okno wprowadzania danych, którego struktura jest
bardzo prosta. Użytkownikowi można zezwolić na logowanie się ze
wszystkich stacji roboczych w domenie lub podać listę tych stacji
roboczych, z których może się on logować. Jest to pomocna opcja
przy zarządzaniu środowiskami, w
których istnieje wymóg
lokalizowania użytkowników przy ściśle określonych konsolach,
gdy wykonują pewne czynności o kluczowym znaczeniu. Wówczas
należy im zapewnić możliwość logowania z na tyle dużej liczby
stacji roboczych, by nie utracili dostępu do systemu w przypadku
awarii sprzętu lub sieci.
Ustawianie parametrów kont za pomocą M enedżera
użytkowników
Następne okno dialogowe, do którego dostęp uzyskujemy za
pomocą przycisków u dołu strony
User Properties
(Właściwości
użytkowników), służy do kontroli pewnych parametrów
związanych z kontem użytkownika (rysunek 16.11). Pierwszy
parametr określa, kiedy wygasa ważność konta użytkownika. Pełni
on rolę zabezpieczenia przed zapomnieniem unieważnienia konta
w sytuacjach, w których pracownik sezonowy lub stały opuszcza
firmę. Autor unika stosowania tego parametru, ale są środowiska,
w których może on zostać uznany za obowiązkowy (np. przy
kontroli dostępu do komputera, który wymaga przeprowadzania, co
pewien czas, specjalnej procedury potwierdzania ochrony, jeśli
dostęp do niego nie powinien być zablokowany). Drugi parametr
Rys. 16.10. Stacje
robocze
logowania, okno
Menedżera
użytkownika.
Administrowanie użytkownikami
669
umożliwia podanie, czy konto jest globalne (zwykle takie konta się
tworzy), czy też jest kontem lokalnym dla użytkowników z domen
nieupoważnionych.
Strategie zarządzania
Omówimy teraz atrybuty środowiska użytkownika, kontrolowane
poprzez rozwijalne menu
Policies
(Strategie zarządzania). T eraz
właśnie możemy ustalić globalną strategię zarządzania dla serwera
lub domeny (jako całości), w przeciwieństwie do właściwości
ustawianych dla poszczególnych użytkowników. Pierwsza ze stron
właściwości (property pages) to
Account
Policy
(Strategia
zarządzania kontami), przedstawiona na rysunku 16.12. Większość
tego, co można zobaczyć na rysunku, dotyczy realizacji wszystkich
złożonych właściwości ochrony, które Microsoft - aby uzyskać
certyfikat ochrony C2 - musiał wprowadzić w Windows NT . Dobrą
nowiną niech będzie dla nas fakt, że wszystkie te właściwości
możemy wyłączyć, włączyć lub wybrać z nich te, które są nam
potrzebne.
Rys. 16.11. Dane
konta, okno
Menedzera
użytkownika.
670
Rozdział 16
Prawa użytkowników
Następnym edytorem strategii zarządzania, dostępnym w menu
Policies
(Strategie zarządzania) jest User Rights Policy (Strategia
zarządzania prawami użytkowników), służący do łatwego nadawania
użytkownikom i
grupom możliwości wykonywania pewnych
funkcji, które mogą wpłynąć na sprawność systemu. Rysunek 16.13
ilustruje okno dialogowe - w nim właśnie należy wybrać funkcję, na
używanie której chcemy przydzielić lub odebrać przywileje,
i wybrać
Add
(Dodanie) lub
Remov e
(Usunięcie) - aby dodać lub
usunąć grupy (lub użytkowników) do pozycji odpowiadającej
danemu przywilejowi. Poniższa lista omawia przywileje, które
można kontrolować w tym oknie dialogowym:
!
Dostęp do komputera z
sieci. Najpowszechniejszy sposób
wykorzystania serwerów NT do realizacji współdzielenia plików,
drukarek itd. Można jednak utworzyć system bazy danych,
w którym użytkownicy nie musieliby uzyskiwać dostępu do
czegokolwiek (z wyjątkiem bazy danych właśnie), za
pośrednictwem procesów komunikacji z bazą danych.
!
Dodawanie stacji roboczych do domeny. Ważna funkcja
administracyjna, gdyż służy do kontrolowania, kto może uczynić
ze stacji roboczej upoważnionego członka (trusted member)
domeny.
Rys. 16.12. Okno
dialogowe
Strategie
zarządzania
kontami.
Administrowanie użytkownikami
671
!
T worzenie kopii bezpieczeństwa dla katalogów i
plików.
Umożliwiają użytkownikowi dostęp do narzędzi i
plików
służących do tworzenia kopii bezpieczeństwa na taśmach.
!
Zmiana czasu systemowego. Dość prosta i niewielka funkcja
w kategoriach użytkowania, mająca jednak potencjalnie spory
wpływ na względy bezpieczeństwa i ochrony systemu (np.
użytkownicy mogą próbować zmiany datowników w plikach (file
time stamps), aby ukryć nielegalną działalność.
!
Wymuszenie zamknięcia systemu z
systemu zdalnego.
Pożyteczna funkcja, jeśli chcemy zamknąć system z komputera
osobistego, pełniącego rolę stacji roboczej.
!
Ładowanie i
usuwanie sterowników urządzeń. Przywilej
umożliwiający zmianę konfiguracji urządzeń przyłączonych do
systemu (np. stacji dysków CD czy drukarek).
Najprawdopodobniej jako administratorzy systemu nie chcemy,
żeby każdy, kto pracuje w systemie mógł mieć ten przywilej,
gdyż mogłoby to prowadzić do jego załamania.
!
Lokalne logowanie. Umożliwia administratorowi zalogowanie się
do systemu, z
użyciem klawiatury i
monitora do niego
przyłączonych. Dobrym sposobem na podwyższenie poziomu
bezpieczeństwa w systemie jest uniemożliwienie zbliżenia się
konsoli systemowej wszystkim, z wyjątkiem administratorów.
!
Zarządzanie protokołem ochrony i
nadzoru (auditing and
security log). W niektórych systemach operacyjnych mianuje
się specjalnych administratorów ochrony z
przywilejami
systemowymi, ale nie biorących udziału przy tworzeniu kopii
bezpieczeństwa ani przy zmianach sterowników urządzeń.
!
Odtwarzanie plików i katalogów. Przeciwieństwo przywileju
związanego z
tworzeniem kopii bezpieczeństwa. Czasem
przywilej ten można bardziej ograniczyć niż tworzenia kopii
bezpieczeństwa. Jakkolwiek utworzenie przez kogoś
dodatkowych kopii bezpieczeństwa na taśmach nie jest niczym
złym, to zapisanie istniejących plików dyskowych starymi
danymi może mieć katastrofalne konsekwencje.
!
Zamykanie systemu. Przywilej umożliwiający logowanie się do
konsoli i zamknięcie systemu.
672
Rozdział 16
!
Zmiana właściciela plików lub innych obiektów. Użytkownicy
Windows NT mogą być właścicielami plików. Przywilej niniejszy
umożliwia nam zawłaszczenie plików innych użytkowników (jest
to wymagane przy usuwaniu plików użytkowników, do których
nie mamy dostępu).
Nadzór
Ostatni omawiany edytor strategii zarządzania służy do wyboru
(ustawiania) zdarzeń, które należy nadzorować w systemie. (Zagad-
nienia nadzoru omówiliśmy bardziej szczegółowo w rozdziale 24).
Jak widać na rysunku 16.14, nadzorowanie można zupełnie
wyłączyć -
disable
(chociaż w
dalszym ciągu Event
Viewer udostępnia monitorowanie zdarzeń systemowych i ochrony
podstawowej) lub wybiórczo uaktywnić -
activ ate
-
interesujące
nas pozycje.
Przed uaktywnieniem którejkolwiek z
opcji w
menu należy
rozważyć, ile razy dziennie może wystąpić zdarzenie, które
zamierzamy nadzorować. O
ile zmiany strategii zarządzania
występują rzadko (a są niezwykle ważne z
punktu widzenia
ochrony), operacje z prawami użytkowników realizowane są wiele
razy na minutę. Za każdym razem, gdy występuje dane zdarzenie,
zostaje dopisany rekord do śladu (trail) nadzorowania, który należy
przeglądać (on też zajmuje miejsce na twardym dysku). Musimy,
w sposób rozważny, zapewnić sobie wystarczającą ilość informacji
(bez tworzenia nadmiarowych, których nie można przejrzeć lub
przechować).
Rys. 16.13.
Strategia
zarządzania
prawami, okno
dialogowe
Menedżera
użytkowników.
Administrowanie użytkownikami
673
Relacje upoważnienia
Okno dialogowe
Trust Relationships
(Relacje upoważnienia)
pozwala nam stwierdzić, czy upoważniamy inną domenę (tzn.
ufamy jej) lub czy zezwalamy jej na upoważnienie (zaufanie) naszej
domeny (rysunek 16.15). Pamiętajmy, że obie strony muszą
wyrazić zgodę na wystąpienie relacji upoważnienia (upoważnia się
kogoś, kto wyraża zgodę na to, żeby go upoważnić), zanim będzie
można z niej skorzystać. Przed ustanowieniem relacji upoważnienia
należy się upewnić, że skutki ich ustanowienia będą nam
odpowiadać, i
przedyskutować ich organizację z
innymi
administratorami domen. Kluczem do osiągnięcia pomyślnej
konfiguracji systemu o wielu domenach jest powszechna akceptacja
planu implementacji sieci.
Inne okna M enedżera użytkowników
Na ekranie Menedżera użytkowników można znaleźć jeszcze inne
okna, ale do wykonania codziennych czynności, związanych
Rys. 16.14.
Nadzorowanie
strategią
zarządzania, okn
o dialogowe
Menedżera
użytkowników.
Rys. 16.15.
Relacje
upoważnienia,
okno dialogowe
Menedżera
użytkowników.
674
Rozdział 16
z administrowaniem, wystarczą te, które już omówiliśmy. Zanim
przejdziemy dalej, musimy wyjaśnić kilka zagadnień. Pierwsze
z nich odnosi się do poniższych grup, utworzonych domyślnie
podczas konfigurowania serwera NT :
!
Account Operators (operatorzy kont)
!
Administrators (administratorzy)
!
Backup Operators (operatorzy kopii bezpieczeństwa)
!
Domain Admins (administratorzy domen); tylko dla domen
!
Domain Guests (goście domen); tylko dla domen
!
Domain Users (użytkownicy domen); tylko dla domen
!
Print Operators (operatorzy drukowania)
!
Replikacja
!
Server Operators (operatorzy serwera)
!
Users (użytkownicy)
Konta utworzone domyślnie podczas konfiguracji
Utworzone zostaną również następujące konta:
!
Administrator (z pełnymi przywilejami systemowymi i hasłem,
które należy zdefiniować podczas procesu instalacji)
!
Guest (Gość) (konto, z
którym wiąże się bardzo mało
przywilejów, ale służy do przydzielania tymczasowego dostępu
do serwera tym użytkownikom, którzy nie posiadają kont
własnych).
Serwer NT - edytor strategii zarządzania systemem
Prawie wszystkie właściwości środowiska użytkownika ustawia się za
pomocą Menedżera użytkowników. Dzięki wysiłkom Microsoft-u
narzędzie to zawiera obecnie kompletny zestaw opcji dla
administratorów. System Policy Editor (Edytor strategii zarządzania
systemem), którego jeszcze nie wbudowano do Menedżera
użytkowników, umożliwia ustawienie szeregu parametrów
opisujących wygląd pulpitu użytkownika i
określających, do
Administrowanie użytkownikami
675
których funkcji systemu operacyjnego (np. Panelu kontrolnego)
użytkownik może mieć dostęp. Parametry te umożliwiałyby także
precyzyjną kontrolę innych aspektów działalności użytkownika
w systemie (rysunek 16.16). Jeżeli wszystkie serwery pracują
wyłącznie w architekturze klient/sewer, wtedy Edytor strategii
zarządzania wykorzystywany będzie prawdopodobnie rzadko, gdyż
użytkownicy będą uzyskiwali dostęp do serwera poprzez sieć
zasobów współdzielonych. Jeżeli jednak w systemie są użytkownicy
pracujący na stacjach roboczych NT , wtedy powinniśmy zapoznać
się z udostępnianymi przez ten edytor możliwościami kontroli ich
kont.
Ochrona usługi zdalnego dostępu RAS
Dostęp do narzędzia służącego do monitorowania i konfigurowania
Usługi zdalnego dostępu (Remote Access Service) uzyskujemy
z menu
Administrativ e Tools
(Narzędzia do administrowania). Jego
przeznaczeniem jest sterowanie usługą monitorującą modemy -
w celu wykrywania przychodzących wywołań telefonicznych (dial-
in requests). Pozwala ono również na przydzielenie wybranym
użytkownikom dostępu do modemów, jakkolwiek w systemie NT 4
dostęp do usługi RAS można również skonfigurować poprzez
Menedżera użytkowników. Inna, ważna zmiana wprowadzoną
w systemie NT 4, wynika z faktu, iż usług wybierania numerów
Rys. 16.16. Edytor
strategii
zarządzania
systemem.
676
Rozdział 16
(dial-out utilities) nie określa się już nazwą RAS. Umieszczono je
teraz w Dial-Up Networking, w menu
Accessories
(Akcesoria) lub
na ekranie
My
Computer
. Narzędzie
Remote
Acces
Admin
(Administrator zdalnego dostępu) ma czytelny ekran, na którym
wyświetlany jest status serwera RAS dla wybranego komputera,
zgodnie z
rysunkiem 16.17. Zauważmy,
że sterowanie
i monitorowanie usług RAS na innym komputerze umożliwia
funkcja
Select
Domain
(Wybór domeny) z menu
Serv er
.
Pierwsza operacja sprowadza się do uruchamiania lub
zatrzymywania usługi zdalnego dostępu. Może się to okazać
konieczne przy uruchamianiu innych pakietów komunikacyjnych,
które nie zadziałają, dopóki nasz modem pozostaje w trybie
oczekiwania (listening) na przychodzące dla niej wywołania.
Funkcje zatrzymywania znajdują się w
menu
Serv er
, razem
z funkcją pauzy (czasowo blokującą przyjmowanie wywołań
telefonicznych bez zamykania serwera ani zwalniania modemu).
Warto wiedzieć, że domenę i serwer do administrowania można
wybrać, będąc w środowisku domenowym. Jest to jeszcze jeden
przykład ujawniający tendencję firmy Microsoft do integracji
funkcji administrowania z
podstawowymi narzędziami
systemowymi (zamiast budowania wielu oddzielnych narzędzi do
obsługi zdalnego dostępu).
Rys. 16.17. Ekran
Administratora
zdalnego dostępu.
Administrowanie użytkownikami
677
Jak wygląda kontrola dostępu do systemu realizowana za
pośrednictwem linii telefonicznych? Główne narzędzie służące do
tego celu udostępnia funkcja
Permissions
(Zezwolenia) w menu
Users
(Użytkownicy) (rysunek 16.18). Użytkownika wskazujemy
według uznania, a następnie, jeśli ma on dostęp do przyjmowania
wywołań, wybieramy
Grant dial-in permission
(Nadanie
użytkownikowi zezwolenia na przyjmowanie wywołań).
Wymaganie odtelefonowania (call back) jest funkcją ochrony,
ograniczającą osobom niepowołanym możliwości logowania się
w systemie. Przypuśćmy, że użytkownicy chcą łączyć się
z
systemem tylko z
ich domów. Należy go wówczas tak
skonfigurować, aby automatycznie oddzwaniał do domu
użytkownika po pomyślnym zalogowaniu się przez niego
w systemie. Nawet jeśli „intruz” odgadłby identyfikator i hasło
użytkownika, to w najgorszym przypadku, po próbie nielegalnego
dostępu, komputer domowy użytkownika otrzymałby wywołanie
zwrotne od systemu z jego miejsca pracy.
Innowacją usługi RAS w NT 4 jest możliwość określenia zezwoleń
na dostęp do niej za pomocą User Manager-a (Menedżera
użytkowników).
Na koniec pozostało nam jeszcze jedno zagadnienie, dotyczące usługi RAS.
Przypuśćmy, że zorientowaliśmy się - obserwując kontrolki na modemie - że ktoś się
z nim właśnie połączył. Czy istnieje sposób ujawnienia tożsamości użytkownika,
który się właśnie zalogował? Pozycja
Active Users
(Aktywni użytkownicy) menu
Users
umożliwia wyświetlenie użytkownika, który się połączył, do którego serwera
i kiedy połączenie się rozpoczęło (rysunek 16.19). Przyciski po prawej stronie ekranu
pozwalają na uzyskanie dokładniejszych informacji o koncie użytkownika, wysłanie
Rys. 16.18.Okno
dialogowe
Zezwolenia na
zdalny dostęp.
678
Rozdział 16
do niego komunikatu (np. ,,system zostanie zatrzymany za 10 minut’’) lub nawet
jego rozłączenie. (Usługę RAS omówiono dokładniej w rozdziale 20 ).
Przydzielanie dostępu do zasobów
Do tej pory podzieliśmy użytkowników na grupy i ustawiliśmy dla
nich parametry środowiskowe. Nie mają oni jednak prawie żadnych
możliwości korzystania z współdzielonych zasobów sieci, chyba że
są połączeni ze swoimi lokalnymi komputerami. Drugą częścią
obrazu administrowania użytkownikami jest przydzielanie im
dostępu. Nie jest to trudne, zwłaszcza przy wykorzystaniu nowego
interfejsu w Windows NT 4. Na przykład dostęp do katalogu
przydziela się użytkownikowi, przeprowadzając prostą dwuetapową
procedurę. Najpierw wybieramy katalog, który ma być
współdzielony (w programach Expoler lub My Computer)
i nadajemy mu nazwę współdzieloną (rysunek 16.20). Najprostszym
sposobem utworzenia nazwy współdzielonej jest podświetlenie
żądanego katalogu, kliknięcie prawym przyciskiem myszy
i
wybranie - z
wyświetlonego menu wywoływalnego - opcji
współdzielenia.
Rys. 16.19. Ekran
Użytkownicy
korzystający ze
zdalnego dostępu.
Administrowanie użytkownikami
679
W drugim etapie wybieramy opcję
Permissions
(Zezwolenia) na
karcie
Sharing
(Współdzielenie) i wpisujemy odpowiednie dane
w oknie dialogowym
Permissions
(Zezwolenia) (rysunek 16.21).
Narzędzie to działa podobnie do większości innych
administracyjnych narzędzi kontrolnych. Zezwolenia usuwa się
przez podświetlenie użytkownika i kliknięcie przycisku
Remov e
(Usunięcie). Aby je wprowadzić klikamy
Add
(Dodanie), wybieramy
użytkownika lub grupy, któremu (lub której) przydzielamy
zezwolenie, a następnie typu zezwolenia dostępu. Dla plików
zezwoleniami takimi są:
Full Control
(pełny dostęp) - pozwalające
na modyfikacje zawartości katalogu;
Read
(Odczyt) -
umożliwiające jego oglądanie,
Change
(Zmiana) - pozwalające na
oglądanie bez zmieniania oraz
No Access
(Brak dostępu), które nie
dopuszcza nawet oglądania listy plików.
Rys. 16.20.
Tworzenie nazwy
współdzielonej
dla folderu.
680
Rozdział 16
Koncepcje przedstawione w powyższym tekście dotyczą również
drukarek. Należy wybrać opcję
Printers
(Drukarki) z pozycji
Settings
(Ustawienia) menu
Start
, a następnie podświetlić żądaną
drukarkę. Powinniśmy teraz podać nazwę współdzieloną (Share
Name) na karcie
Sharing
(Współdzielenie), która ukaże się po
kliknięciu prawego przycisku myszy na nazwie drukarki, i wybrać
opcję
Sharing
. Dostęp do drukarki kontrolujemy za pomocą okna
dialogowego
Security
(Ochrona). Rozszerzone opcje
konfiguracyjne dla drukarek w
systemie NT 4 oferują -
porównywalne z wielkimi systemami klasy mainframe - możliwości
precyzyjnej kontroli drukarek (co jest godne podziwu jak na mały
serwer na bazie komputera osobistego klasy PC).
Rutynowe monitorowanie
Nasze rozważania - ze względu na złożoność tematu
administrowania użytkownikami - wydawać się mogą
skomplikowane. Jest to ważne zagadnienie dla administratorów,
ponieważ przeznaczają oni na nie znaczną część swojego czasu.
Musimy poruszyć jeszcze jedną ważną sprawę. Przypuśćmy, że
udało się nam wymyśleć i
wdrożyć najdoskonalszy system
administrowania użytkownikami (świetne grupy, najlepsze strategie
zarządzania itd.). Jak długo nic się nie zmieni w naszej sieci?
Z doświadczenia autora wynika, że jedyną rzeczą, na jaką można
zawsze liczyć, jest nieuchronność zmian.
Rys. 16.21. Okno
dialogowe Dostęp
poprzez
zezwolenia na
współdzielenie.
Administrowanie użytkownikami
681
Użytkownicy będą odchodzili, a inni przychodzili na ich miejsce.
Pracownicy przechodzą z działu do działu i awansują. Administrator
musi nadążać za tymi zmianami - tak, by każdy użytkownik miał
takie środowisko, jakiego mu potrzeba (i żeby nie miał więcej, niż
mu potrzeba).
W tym celu administrator musi dysponować systemem, w którym
potrzeby użytkowników będą mu przekazywane. W wielu firmach
stosuje się formularze, które działy osobowe wypełniają wtedy, gdy
ktoś opuszcza lub zmienia stanowisko pracy. Jeśli administratorowi
formularze takie będą przekazywane, zaoszczędzi on wiele czasu,
który musiałby inaczej poświęcić na sprawdzanie, czy każdy jest
tam, gdzie powinien. Administrator może też, po uzyskaniu
akceptacji odpowiednich czynników, przygotować formularze
zapotrzebowań użytkowników (w formie papierowej lub
elektronicznej) odnośnie zmiany przywilejów,
Wreszcie administrator powinien okresowo poświęcać część
swojego cennego czasu na sprawdzanie ustawień omówionych
w niniejszym rozdziale - aby upewnić się, że wszystko jest jeszcze
w porządku. Jeśli system ma pracować poprawnie, należy go co
pewien czas przeglądać i regulować.