PRACA DYPLOMOWA

Temat:

SIECI KOMPUTEROWE.

ZAPROJEKTOWAĆ I WYKONAĆ

SIEĆ KOMPUTEROWĄ W SZKOLE.

Spis treści:

Wstęp	5
Internet	6
Charakterystyka poszczególnych sieci	8
Unix	8
Zalety i wady Unix'a.	8
Logowanie się w systemie.	9
Środowisko pracy w systemie Unix.	9
Shelle i system plików w Unix'ie.	10
Dostęp do plików.	14
Niektóre kombinacje klawiszy w systemie.	15
Podstawowe komendy systemu.	16
Novell NetWare	19
Bezpieczeństwo sieci NetWare 4.	19
Prawa dysponenta.	20
Ochrona systemu plików.	23
Przyznawanie praw dysponenta.	24
Ochrona NDS i rejestracji.	25
Prawa dziedziczone w NDS.	25
Równoważność bezpieczeństwa.	27
Protokoły sieciowe dostępne w NetWare 4.	29
Windows NT	31
Zalety i wady systemu.	31
Prawa dostępu w systemie Windows NT.	31
Automatyczne logowanie się do systemu.	32
Narzędzia zarządzające systemem Windows NT.	33
Grupy i użytkownicy w systemie Windows NT.	34
Zarządzanie kontami użytkowników.	38
Przydzielanie praw dostępu do elementów.	39
Połączenia z innymi sieciami.	40
Komunikacja z serwerem.	42
Zarządzanie skryptami.	44
Bezpieczeństwo danych.	45
Protokoły sieciowe obsługiwane przez system Windows NT.	46
Podsumowanie	49
Wykonanie sieci komputerowej w szkole	50
Opis wykonania sieci	50
Schemat instalacji sieci	52
Instalacja na parterze.	53
Instalacja na pierwszym piętrze.	54
Bibliografia	55

Wstęp

Żyjemy w czasach ogromnego postępu technicznego. Praktycznie w każdej dziedzinie życia można spotkać się z zastosowaniem komputera. Od jego pracy zależy dziś prawidłowe działanie wielu instytucji, firm i urządzeń z którymi się na co dzień spotykamy. Służy też do wspomagania procesu nauczania, ułatwia pracę dydaktyczną oraz umożliwia dostęp do nieograniczonych źródeł informacji.

W Polsce komputery rozpowszechniły się stosunkowo późno w porównaniu z krajami wysoko rowiniętymi. Chcąc w jak najkrótszym czasie dołączyć do standardów światowych społeczeństwo zmuszone jest do szybkiego przyswojenia wiedzy z tego zakresu. Odbywa się to często w atmosferze napięcia wynikającego z ogromnego tempa w jakim następują zmiany w tej dziedzinie.

Osoba kończąca edukację, bez podstawowej wiedzy z zakresu informatyki ma ogromne trudności w znalezieniu pracy. Tak jak dawniej analfabetą była osoba nie umiejąca pisać i czytać, tak obecnie postrzegane są osoby nie zaznajomione z obsługą sprzętu komputerowego. Dlatego też każdy młody człowiek powinien w szkole zdobyć odpowiednie przygotowanie do pracy na podstawowych programach komputerowych. Niestety wiele szkół nie potrafi jeszcze sprostać temu zadaniu przeważnie z przyczyn ekonomicznych. Odbija się to niekorzystnie zarówno na randze szkoły jak i na przygotowaniu absolwentów do rywalizacji w zdobywaniu pracy.

Osoby kończące szkołę techniczną będą mogły w przyszłości wykorzystać w swoim zawodzie wiedzę z zakresu podstawowych programów technicznych, przez co podniesie się ich standard pracy. Takim programem jest niewątpliwie AutoCAD - najlepsze według profesjonalistów narzędzie do komputerowego wspomagania projektów mechanicznych i architektonicznych.

Zadaniem niniejszej pracy dyplomowej było wykonanie sali komputerowej, która wchodzi w skład sieci komputerowej w szkole. Służyć ona będzie uczniom do lepszego przyswajania zagadnień związanych z korzystaniem ze sprzętu komputerowego i specjalistycznego oprogramowania. Sieć ta została również podłączona do Internetu w celu umożliwienia użytkownikom stałego dostępu do najnowszych informacji oraz udostępnienia im szeregu nowoczesnych usług, z których korzystanie staje się coraz bardziej powszechne.

Internet

Jeszcze cztery lata temu słowa "Internet" można by próżno poszukiwać w polskiej prasie komputerowej. Ogół użytkowników komputerów - poza wykorzystującymi już od pewnego czasu Internet środowiskami akademickimi - był praktycznie pozbawiony informacji na temat tej największej ogólnoświatowej sieci komputerowej. Co więcej, nikt na polskim rynku komputerowym nie wydawał się być w ogóle zainteresowany jej promocją. Jednakże docierające z uczelni niezwykłe wiadomości o komputerowej poczcie, przesyłającej w ciągu minuty listy z Polski do USA okazały się reklama lepsza, niż mogłaby zapewnić wielka kampania propagandowa. Dziś nie ma w Polsce czasopisma komputerowego, w którym nie pojawiłaby się publikacja dotycząca tej sieci, a liczba tych publikacji rośnie tak szybko, jakby redaktorzy chcieli odrobić wszystkie zaległości. Internet coraz dynamiczniej wychodzi poza uczelniane mury, torując sobie drogę do firm, redakcji, urzędów państwowych, banków; ostatnio - dzięki sponsorom - także do szkół. Nieprędko jeszcze zapewne - przy obecnych wygórowanych cenach za korzystanie z niej - zagości na dobre w prywatnych polskich domach, ale zdaje się być o wiele bliżej niż można by to sądzić np. jeszcze przed rokiem.

Internet to największa na świecie sieć komputerowa. Jej zalążkiem była powstała w 1969r, łącząca cztery komputery eksperymentalna sieć Departamentu Obrony USA o nazwie ARPANET. Obecnie Internet liczy ponad 15 milionów komputerów, przy czym aż milion z nich pojawiło się w sieci w ciągu ostatnich 3 miesięcy od poprzedniego zliczenia (licząc średnio, codziennie przybywało w sieci ponad 19 tys. nowych maszyn). Liczbę zaś użytkowników tej sieci szacuje się aktualnie na ponad 57.5 miliona (chociaż niektóre szacunki mówią nawet o 80 milionach użytkowników). Chyba nikt z twórców nieistniejącego już ARPANET-u w najśmielszych planach nie mógłby przewidzieć takiego sukcesu swojego eksperymentu.

Posiadanie dostępu do sieci Internet oznacza dwie zasadnicze korzyści. Pierwszą z nich jest dostęp do zgromadzonych zasobów informacji. Dziesiątki tysięcy komputerów w Internecie udostępnia praktycznie każdemu użytkownikowi niemożliwy do ogarnięcia ogrom informacji, od katalogów bibliotek, notowań giełdowych, baz danych z rożnych dziedzin nauki, poprzez serwisy agencji prasowych, aktualne wydania czasopism, bieżące mapy pogody i raporty o trzęsieniach ziemi w rożnych punktach globu, po przepisy kucharskie, teksty i nuty piosenek, reprodukcje dzieł sztuki i fragmenty filmów. Korzyść druga to szybka i sprawna komunikacja z dowolnymi użytkownikami tej sieci, a także dziesiątków innych sieci komputerowych na świecie. Za pośrednictwem poczty elektronicznej (e-mail) możemy przesłać wiadomość dowolnemu użytkownikowi sieci w ciągu kilku minut. Wykorzystanie zaś tzw. list dyskusyjnych pozwala odwoływać się do zbiorowej „mądrości” użytkowników sieci - np. z prośba o pomoc w rozwiązaniu naszych problemów możemy zwracać się do ogółu użytkowników interesujących się danym zagadnieniem, nawet nieznanych nam bliżej.

Oczywiście nie samą pracą człowiek żyje i wśród zasobów Internet jest tyleż służących zastosowaniom poważnym, co szeroko pojętej rozrywce. Niektóre usługi Internetu służą wręcz prowadzeniu życia towarzyskiego - przykładowo system o nazwie IRC (Internet Relay Chat) pozwala na prowadzenie za pomocą klawiatury komputera pogawędek z wieloma (nawet kilkudziesięcioma) osobami naraz, mogącymi na dodatek znajdować się na rożnych kontynentach. Są też sieciowe gry, podobne do zwykłych przygodowych gier komputerowych, ale różniące się tym, że nie mamy w nich do czynienia ze "sztucznymi" przeciwnikami, których poczynaniami kieruje komputer, lecz postaciami sterowanymi przez inna żywą, nieznaną nam osobę, co niewątpliwie dodaje grze atrakcyjności i nieprzewidywalności. Są jednak również i gry, w których kontakty z przeciwnikiem przebiegają w sposób bardziej pokojowy - np. szachy na odległość.

Internet nieustannie sie rozwija; wciąż pojawiają się nowe usługi i sposoby ich realizacji. Głośny ostatnio w świecie projekt autostrad informatycznych ma przyczynić się do powiększenia przepustowości informacyjnej sieci (obecnie jej obciążenie jest bliskie technicznym granicom) i upowszechnienia dostępu do niej. Bez wątpienia przyszłość - nie tylko informatyki, ale chyba cywilizacji ludzkiej w ogóle - związana jest z Internetem. Warto zapoznać się z nim już teraz.

Charakterystyka poszczególnych sieci

UNIX

Unix jest to wieloużytkownikowy, wielozadaniowy system operacyjny powstały w latach 60./70. w Bell Laboratories. Posiada on bardzo dużą ilość odmian na różne platformy sprzętowe. Oprogramowanie systemu Unix napisano prawie całkowicie w języku wysokiego poziomu - w języku C. Do jego zainstalowania na kolejnym komputerze potrzebne są dwie rzeczy. Kompilator języka C jest niezbędny do przetłumaczenia samego systemu Unix na rodzimy język nowego komputera. Trzeba też zaprogramować kilka podprogramów obsługi wejścia - wyjścia. Muszą one być koniecznie napisane w rodzimym języku nowego komputera.

Zalety i wady UNIX'a

Na ogół podaje się trzy główne zalety tego systemu:

1. Prosty i spójny logicznie język poleceń, służący do komunikowania się użytkownika z systemem; język łatwy do nauczenia i zrozumienia.

2. Duży wybór narzędzi programowych i programów usługowych pozwalających na szybkie tworzenie oprogramowania.

3. Zarówno programy usługowe, jak i programy użytkowe są niezależne od komputera; wszystkie można przenosić na nowe komputery wraz z systemem operacyjnym, a nowo dołączone programy usługowe stają się dostępne praktycznie od razu we wszystkich wersjach Unixa.

System ten nie jest jednak doskonały. Jego zasadniczą wadą jest założenie o przyjacielskiej wspólnocie użytkowników. Jeden użytkownik może spowodować zatrzymanie systemu lub radykalnie spowolnić jego pracę.

Logowanie się w systemie

Standardowo, w Unix'ie na początku wpisujemy swój identyfikator, następnie hasło. Zazwyczaj wygląda to tak:

alpha login: username

password: <hasło>

gdzie, alpha to nazwa komputera

Przyjęło się, że login składa się tylko z małych liter, zazwyczaj od 3-8 za to hasło jest już kombinacją małych i dużych liter, oraz cyfr znaków specjalnych (3-8) np.: Zs23dU3l. Hasła są kodowane i sprawdzane z hasłami w pliku /etc/passwd i /etc/shadow

Środowisko pracy w systemie UNIX

Po zalogowaniu się zostaje uruchomiona tzw. powłoka systemu, czyli interpretator poleceń, który spełnia podobne funkcje jak np. COMMAND.COM w systemie DOS. Istnieją rożne powłoki dla systemu UNIX. Najbardziej rozpowszechnione są trzy z nich: Bourne Shell (sh, bash), Korn Shell (ksh) i C Shell (csh, tcsh). W naszym systemie każdy użytkownik ma domyślnie przypisany C Shell w jego wersji rozszerzonej (tcsh). Środowisko pracy tej powłoki posiada wiele zmiennych, ale najważniejsze to:

home - bezwzględna ścieżka dostępu do 'home directory'

path - posiada takie samo znaczenie jak np. w systemie DOS

term - typ terminala, na którym pracujesz

Zmienna term ma bardzo duży wpływ na przebieg sesji, ponieważ złe jej ustawienie może spowodować nieprawidłową prace programów pełnoekranowych. W momencie logowania się następuje próba automatycznego rozpoznania terminala, która zazwyczaj wypada pomyślnie. Jeśli jednak tak się nie stanie, to należy samemu ustawić zmienną term na właściwą wartość.

Shelle i system plików w Unix'ie

Po prawidłowym zalogowaniu ukaże nam się, $ lub #, czyli Unix'owski prompt (warto zauważyć, że bardzo często znak $ zarezerwowany jest dla prostego użytkownika, a znak # tylko dla root'a).

Unix składa się z trzech komponentów, tj. kernela, shella i systemu plików.

Kernel jest głównym jądrem systemu, zarządza pamięcią, systemem plików oraz programowymi i sprzętowymi urządzeniami. Zawiera też język niskiego poziomu.

Shell jest to język wysokiego poziomu, który może być używany do wykonywania komend systemu, lub też jako język programowania, do pisania skomplikowanych skryptów. Standardowymi unix'owymi shellami są:

/bin/ash

/bin/bash (Bourne-shell)

/bin/sh (Bourne-shell)

/bin/csh (C-shell)

/bin/ksh (Korn-shell)

/bin/tcsh

/bin/zsh

Hierarchia katalogów w tym systemie ma strukturę drzewiastą podobnie jak np. w systemie DOS, który był częściowo wzorowany na UNIX'ie. Jednak tutaj użytkownik nie musi wiedzieć na którym dysku ulokowany jest dany plik lub katalog, ponieważ każde urządzenie wejścia/wyjścia jest skojarzone z jakimś plikiem, a poszczególne dyski są skojarzone z odpowiednimi katalogami. Nazwy poszczególnych katalogów w ścieżce dostępu są oddzielone znakami '/', a nie '\', jak np. w systemie DOS. Każdy katalog jest plikiem, ale o specjalnej budowie i atrybucie mówiącemu systemowi, ze to nie jest zwykły plik, tylko właśnie katalog. Nazwy plików mogą się składać z liter, cyfr, kropek i jeszcze kilku znaków. Należy pamiętać o tym, ze w systemie UNIX są rozróżniane małe i duże litery. Każdy użytkownik ma przydzielony swój katalog, zwany home directory. Na serwerze są one umieszczone w następujących przykładowych katalogach:

/home/teachers - dla nauczycieli

/home/students/tech - dla uczniów technikum

/home/students/lic - dla uczniów liceum

Jeśli np. użytkownik o identyfikatorze 'qwert' jest uczniem liceum, to jego 'home directory' znajduje się w: /home/students/lic/qwert . Skrócony zapis powyższej ścieżki, to: ~qwert

System Unix pozwala w miarę łatwo zarządzać skomplikowanymi strukturami plików. Łatwość użycia jest głównie wynikiem rozdzielania fizycznej organizacji plików (sposobu zapamiętywania) od ich organizacji logicznej, związanej z zawartością i przeznaczeniem, a zatem bezpośrednio dotyczącej użytkownika.

Istnieją trzy rodzaje plików unixowch:

pliki zwykłe - programy, teksty rękopisów, zbiory danych

pliki specjalne - opisują reguły zarządzania urządzeniami wejścia - wyjścia

katalogi - listy plików wraz z informacją dla systemu operacyjnego o ich położeniu i sposobie dostępu.

Użytkownika interesują zazwyczaj tylko pliki zwykłe. Należą do nich zarówno pliki utworzone przez samych użytkowników, jak i pliki stanowiące część oryginalnego, rozprowadzanego Unixa. Plikom nie narzuca się żadnej specjalnej struktury logicznej, fizyczna struktura pliku musi być jednak określona precyzyjnie - w przeciwnym razie system operacyjny nie mógłby znaleźć plików i nie wiedziałby, jak je przeczytać.

W systemie plików Unix'a można wyróżnić:

/

główny katalog (root directory), podstawa całego drzewa katalogowego. W obrębie tego katalogu, znajdują się wszystkie pliki i katalogi, niezależnie od ich fizycznego położenia na dysku twardym.

/dev

zawiera pliki specjalne dla fizycznych urządzeń (I/O), w niektórych systemach, katalog ten podzielony jest na kilka podkatalogów. Pliki te obsługują takie urządzenia jak drukarka, twardy dysk, cdrom czy karta muzyczna.

/proc

niezbędny dla komendy ps

/etc

zawiera niezbędne (ale nie tylko) pliki konfiguracyjne i administracyjne systemu, katalog może być podzielony na podkatalogi, może też obok plików tekstowych zawierać programy wykonywalne, np. skrypty bootujące.

Ważniejsze pliki tekstowe to min.:

/etc/passwd

/etc/group

/etc/shadow

/bin

wykonywalne narzędzia systemowe dostępne dla wszystkich użytkowników systemu, stanowiące jego integralną część.

/lib

biblioteki run-time różnych języków programowania, min.: C/C++

/home

katalog domowy użytkowników systemu

/mnt

używany jako punkt do przyłączania (mounting) np.: innego dysku, cdrom-u czy też innego systemu plików.

/lost+found

katalog używany przez program fsck. Przechowuje się w nim pliki zgubione.

/usr

narzędzia i aplikacje; katalog przeznaczony do przechowywania plików pocztowych, poleceń użytkowników i innych fragmentów systemu operacyjnego.

/tmp

katalog dla plików tymczasowych, dostępny dla wszystkich.

/root

katalog własny nadzorcy systemu (administratora).

Dostęp do plików:

r - uprawnienie do odczytania pliku

w - uprawnienie do zapisania (modyfikacji) pliku

x - uprawnienia do wykonania pliku

k - rodzaj kategorii

('-' plik zwykły,

'd' katalog,

'l' łącznik symboliczny,

'b' plik specjalny blokowy,

'c' plik specjalny znakowy,

's' socket,

'p' nazwany potok.)

s - bit SUID (ustawienie go powoduje, że dostęp do pliku może mieć tylko jeden użytkownik)

g - bit SGID (ustawienie dla katalogu powoduje, że pliki tworzone w tym katalogu będą należały do tej samej grupy, do której należy katalog, a nie do grupy do której należy właściciel pliku)

t - bit sticky (ustawienie go powoduje, że program po wykonaniu nie jest usuwany z pamięci)

Uprawnienia dla plików i katalogów ustawiamy za pomocą polecenia 'chmod', którego format: chmod who+, -, =r, w, x, gdzie who, może oznaczać:

u - user (użytkownik, właściciel)

g - group (grupa)

o - other (inni użytkownicy)

a - all (wszyscy)

Przykłady:

chmod g+r plik1 - nadaje grupie, możliwość czytania pliku (kat.) plik1.

chmod u+x plik2 - nadaje właścicielowi, prawa wykonywania pliku plik2

chmod ugo-x plik5 lub chmod a-x plik5 - odbiera wszystkim prawa do wykonywania pliku plik5

Niektóre kombinacje klawiszy w systemie:

Tab - uzupełnienie wpisywanej nazwy pliku.

Ctrl-C - przerwanie aktualnego procesu.

Ctrl-D - znak końca pliku. Jego naciśnięcie w pustej linii polecenia powoduje uruchomienie komendy logout.

Ctrl-H - jeśli nie działa backspace i delete, to można użyć znaku Ctrl-H

Ctrl-S - wstrzymanie wyświetlania znaków na terminalu.

Ctrl-Q - przywrócenie wyświetlania znaków na terminalu.

Ctrl-Z - wstrzymanie pracy aktualnego procesu.

Podstawowe komendy systemu

cat [nazwa_pliku [nazwa_pliku [...]]]

Wyświetla zawartość podanych plików (odpowiednik type w systemie DOS)

cd [nazwa_katalogu]

Zmiana aktualnego katalogu. Bez parametrów przechodzi do 'home dir'

compress <nazwa_pliku>

Spakowanie pliku i dodanie do niego przyrostka .Z

cp <nazwa_pliku> <nazwa_pliku> lub cp <lista_plików> <katalog>

Kopiowanie pliku do pliku o podanej nazwie. Jeśli pierwszy parametr będzie lista plików (np. z użyciem znaków uzupełniających), to drugi musi być nazwa katalogu.

grep <wzorzec> <pliki>

Wyszukuje wszystkie linie w podanych plikach zawierające wzorzec

head <nazwa_pliku>

Wyświetla początkowe wiersze pliku.

ls [pliki]

Odpowiednik komendy dir w systemie DOS.

man [komenda]

Wyświetla pomoc (ang. mannual page) dla danej komendy.

mkdir <katalog>

Tworzy katalog o podanej nazwie.

mv <nazwa_pliku> <nowa_nazwa> lub mv <lista_plików> <katalog>

Zmienia nazwę pliku lub przenosi pliki do podanego katalogu.

passwd

Służy do zmiany hasła użytkownika. Na kontach publicznych służących do nauki komenda ta jest zablokowana.

pwd

Wyświetla nazwę katalogu bieżącego.

rm <nazwa_pliku> lub rm -r <katalog>

Usuwa pliki lub katalogi o podanej nazwie.

rmdir <katalog>

Usuwa katalog o podanej nazwie.

tail <nazwa_pliku>

Wyświetla ostatnie wiersze pliku.

who

Wyświetla listę aktualnie zalogowanych użytkowników.

finger [uzytkownik][@pelny.adres.serwera]

Bez parametrów (lub tylko z drugim parametrem) wyświetla listę aktualnie zalogowanych użytkowników. Jeśli podamy parametr [użytkownik], to zostanie wyświetlona informacja o nim. Komenda bez drugiego parametru odnosi się do serwera, na którym sie pracuje.

write <uzytkownik>

Umożliwia wysłanie komunikatu do zalogowanego użytkownika. Komenda ta działa tylko w obrębie serwera, na którym się pracuje.

talk <użytkownik>[@pelny.adres.serwera]

Umożliwia przeprowadzenie rozmowy 'on-line' pomiędzy dwoma użytkownikami sieci. Jeśli nie podamy adresu serwera, to komenda ta odnosi się do serwera, na którym się pracuje. Na początku powoduje ona wysłanie do drugiego użytkownika komunikatu o chęci rozmowy. Może on wtedy odpowiedzieć tą samą komendą.

mesg [y|n]

Włącza lub wyłącza przyjmowanie wiadomości pochodzących z komend talk i write. Domyślnie jest ustawiona wartość y. Jeśli ustawimy wartość n, to pozostali użytkownicy nie będą mogli przysłać komunikatu komenda write lub talk. Bez żadnych parametrów komenda ta wyświetla aktualny stan przyjmowania wiadomości. Wartość n jest dodatkowo sygnalizowana przez wyświetlenie gwiazdki w kolumnie tty w komendzie finger.

ps

Wyświetla listę aktualnie uruchomionych procesów użytkownika

jobs

Wyświetla listę procesów / zadań uruchomionych w tle

fg [numer_zadania]

Przełącza proces uruchomiony w tle (lub zatrzymany kombinacja Ctrl-Z) na pierwszy plan.

bg [numer_zadania]

Przełącza proces uruchomiony w tle (lub zatrzymany kombinacja Ctrl-Z) na drugi plan.

kill [sygnal] [pid] lub kill [sygnal] [%numer_zadania]

Usuwa proces o podanym numerze (pid lub %numer_zadania)

Novell NetWare 4

NetWare 4 jest specjalnym rodzajem sieciowego systemu operacyjnego, nazywanym klient - serwer. W sieci w ten sposób znajdują się dwa rodzaje komputerów:

- serwery, dostarczające usługi

- komputery użytkowników, czyli klienci którzy dzielą zasoby serwera

Typowa mała sieć NetWare 4 posiada tylko jeden serwer. W rzeczywistości NetWare 4 posiada wiele funkcji, które ułatwiają zarządzanie siecią, w której znajduje się wiele serwerów.

Serwer NetWare 4 jest serwerem dedykowanym, pracującym pod sieciowym systemem operacyjnym. Oznacza to, że cały swój czas pracy poświęca innym użytkownikom. Wykorzystywany jest on do uruchamiania aplikacji końcowych użytkowników. Tak więc

NetWare 4 odnosi się do serwerów, drukarek, użytkowników itd. Duże sieci posiadają tysiące obiektów. Klarownym więc staje się zadanie śledzenia i badania obiektów znajdujących się w sieci przez system sieciowy. NetWare 4 przechowuje informacje o tych wszystkich obiektach w Obiektowej Bazie Danych (ang. Directory). Zarządzanie tą bazą dokonuje się poprzez usługi NDS (ang. NetWare Directory Services).

Bezpieczeństwo sieci NetWare 4

Niektóre najbardziej wyrafinowane właściwości NetWare 4 zajmują się bezpieczeństwem sieci. Ich zrozumienie pozwala nadawać użytkownikom prawa dostępu do zasobów sieciowych i utrzymywać ich z dala od obszarów, do których nie powinni mieć wstępu. Możemy wyróżnić nastepujące poziomy bezpieczeństwa:

- ochrona rejestracji - do uzyskania dostępu do sieci wymagana jest znajomość nazwy użytkownika oraz jego hasła. Informacje te są przechowywane w NDS Directory;

- ochrona konsoli - standardowa ochrona konsoli hasłem;

- ochrona systemu plików - umożliwia to kontrolę dostępu do plików na serwerze;

- ochrona NDS - sprawuje kontrolę nad użytkownikami, drukarkami, serwerami. Jednym słowem kontroluje dostęp do obiektów w NDS Directory;

- ochrona komunikacji - szyfrowanie i zabezpieczanie danych hasłem;

- monitorowanie sieci - serwer może obserwować pliki i obiekty NDS, do których przyznano dostęp, które usunięto czy zmieniono;

Prawa dysponenta

Zarządzanie bezpieczeństwem NetWare 4 polega na przypisywaniu praw dysponentom. Dysponentem jest dowolny użytkownik lub inny obiekt, który ma prawa do pliku, katalogu lub obiektu NDS. Obiekty User są najczęstszymi dysponentami, ale naprawdę dowolny obiekt może być dysponentem. Poniżej podano najczęściej spotykane typy obiektów, będących dysponentami w systemie plików lub w NDS:

- obiekt [Root] - do obiektu [Root] są przypisywane prawa dysponenta, ale ta praktyka może być niebezpieczna, ponieważ wszyscy użytkownicy w drzewie Obiektowej Bazy Danych mają nadane te prawa; w małych sieciach przypisanie praw do obiektu [Root] może być prostym sposobem przypisania praw do publicznie dostępnych plików, takich jak w podkatalogu PUBLIC;

- obiekty Container (Organization i Organizational Unit) - ponieważ wzdłuż obiektów Organization idzie główny podział w drzewie Obiektowej Bazy Danych, to samo ostrzeżenie (co dla [Root]) odnosi się do tych obiektów; obiekty Organization powinny posiadać prawa tylko do tych plików, które muszą być dostępne dla całej organizacji; Orgnizational Unit posiada przeważnie lepsze podejście; ponieważ są one przeważnie przypisane do poszczególnych departamentów lub klas użytkowników, można nadawać prawa dla logicznych grup użytkowników; zalety dobrze zaprojektowanego drzewa Obiektowej Bazy Danych są oczywiste, gdy nadajemy prawa tym obiektom;

- obiekty Organizational Role i Group - można używać tych obiektów, gdy pliki nie są wymagane dla wszystkich członków obiektu Container; te typy obiektów umożliwiają utrzymywanie ścisłej kontroli nad dostępem do plików; strategia ta może być użyteczna dla aplikacji, do których chcemy ograniczyć dostęp;

- obiekty User - przyznawanie praw obiektom User może być użyteczne tylko wtedy, kiedy konkretny użytkownik ma mieć dostęp do pliku lub katalogu. Przyjęło się za złą praktykę przypisywanie tych samych praw dla wielu użytkowników, ale może to być najwygodniejszy sposób przypisywania tych praw. Jeżeli wielu użytkowników ma mieć te same prawa, należy rozważyć użycie obiektów Group lub Container;

dysponent [Public] - dysponent ten jest specjalnym obiektem, który nie reprezentuje aktualnego obiektu w drzewie Obiektowej Bazy Danych. W rzeczywistości jest to metoda przyznawania praw wszystkim użytkownikom przyłączonym do sieci, nawet tym, którzy nie są zarejestrowani. Oczywiście może to być bardzo niebezpieczne i należy używać tej metody tylko w specjalnych przypadkach. NetWare 4 przyznaje minimalny zestaw praw tym dysponentom, aby zachęcić użytkowników do rejestracji.

Podobnie do systemu plików zabezpieczenie NDS przypisuje prawa użytkowania dysponentom. Dysponent obiekt jest dowolnym użytkownikiem (lub innym obiektem), któremu nadano prawa do tego obiektu. Lista dysponentów obiektu jest nazywana ACL (ang. Acccess Control List), czyli Listą Kontroli Dostępu. Każdy obiekt posiada właściwość zawierającą ACL.

Podczas gdy system plików posiada listę praw, które może otrzymać dysponent, zabezpieczenie NDS dostarcza dwóch kategorii praw:

1. prawa do obiektu

2. prawa do właściwości.

Prawa do obiektu są zadaniami, które dysponent może wykonać na obiekcie. Wyróżnia się 5 takich praw:

Prawo	Opis
Supervisor (nadzorcy)	Dysponentowi są przydzielane wszystkie prawa opisane poniżej. W przeciwieństwie do analogicznego prawa w systemie plików. Prawo nadzorcy w NDS może być blokowane przez IRF (ang. Inherited Rights Filter).
Browse (przeglądania)	Dysponent może znaleźć obiekt w drzewie Obiektowej Bazy Danych. Jeżeli prawo przeglądania nie jest przydzielone, obiekt nie jest widoczny na liście.
Create (tworzenia)	Dysponent może utworzyć obiekt podrzędny pod obiektem. Prawo to jest dostępne jedynie dla obiektów Container.
Delete (usuwania)	Dysponent może usunąć obiekt z Obiektowej Bazy Danych. Aby tego dokonać, trzeba jeszcze posiadać prawo zapisu (Write) wszystkich właściwości obiektu (All Properties).
Rename (zmiany nazwy)	Dysponent może zmienić nazwę obiektu.

Prawa do właściwości są zadaniami, które dysponent może wykonać na właściwościach obiektu. Prawa te pozwalają dysponentowi czytać lub modyfikować wartości właściwości obiektu. Wyróżnia się 5 typów praw do właściwości:

Prawo	Opis
Supervisor (nadzorcy)	Dysponent otrzymuje prawa do wszystkich właściwości opisanych poniżej. Ponownie IRF może zablokować to prawo. Dysponent posiadający prawo nadzorcy do obiektu otrzymuje automatycznie prawa nadzorcy do wszystkich właściwości obiektu.
Compare (porównania)	Dysponent może porównywać wartości właściwości z podaną wartością. Umożliwia to dysponentowi poszukiwanie żądanej wartości, ale nie wgląd do tej wartości
Read (czytania)	Dysponent może czytać wartości właściwości. Prawo to jest automatycznie przydzielane.
Write (zapisu)	Dysponent może modyfikować, dodawać lub usuwać wartości właściwości.
Add Self (dodawania lub usuwania swoich właściwości)	Dysponent może dodawać lub usuwać siebie jako wartość właściwości. Przykładowo użytkownicy posiadający to prawo do grupy mogą dodać siebie do tej grupy. Prawo zapisu (Write) ,jest automatycznie przydzielane do właściwości Add Self.

Nie są one takie same, jak prawa do obiektu. Prawa do właściwości mogą być przydzielane na dwa sposoby: All Properties (Wszystkie Właściwości) lub Selected Properties (Wybrane Właściwości). Wybór metody odbywa się w oknie dialogowym Rights to Other Objects w NWADMIN.

Zaleca się unikania przyznawania praw All Properties dla obiektu, ponieważ ACL jest jedną z właściwości obiektu, przyznanie prawa All Properties powoduje, że dysponent może dodawać lub usuwać dysponentów z listy. Ponieważ jest to niebezpieczne, zaleca się użycia Selected Properties dla wszystkich użytkowników z wyjątkiem administratorów.

Przy przyznawaniu praw Selected Properties można uaktywnić lub wyłączyć każde prawa do właściwości dla właściwości tego obiektu. Opcja ta pozwala przydzielać prawa bardziej precyzyjnie.

Dysponent obiektu może posiadać prawa All Properties i Selected Properties dla tego samego obiektu. Selected Properties mają wyższy priorytet dla tej właściwości niż All Properties. Przykładowo można przyznać prawo Supervisor do All Properties dla dysponenta obiektu, a następnie użyć Selected Properties i zawęzić zakres praw do pewnych właściwości. Prawa nie ograniczone przez Selected Properties będą wciąż All Properties.

Ochrona systemu plików

Poprzez kontrolowanie dostępu do systemu plików, zabezpiecza się dane przed użytkownikami, którzy nie powinni mieć do nich dostępu. Dodatkowo przyjęło się nadawać użytkownikom dostęp do tych katalogów i plików, których potrzebują, a jednocześnie ochraniać te pliki.

Prawa do systemu plików:

Użytkownik ma kilka typów praw do pliku lub katalogu. Prawa te określają czynności, które dysponent może wykonywać na pliku lub katalogu. Jeżeli użytkownik ma przypisane prawa do katalogu, to prawa te są prawami bezpośrednimi (ang. explicite rights) lub dysponenta (ang. trustee rights). Użytkownicy mogą również posiadać prawa grupy (ang. group rights) z grupy, do której należą.

I tak możemy wyróżnić poszczególne prawa:

[R] READ - Odczyt danych z istniejącego pliku

[W] WRITE - Zapis danych do istniejącego pliku

[C] CREATE - Tworzenie nowego pliku lub podkatalogu

[E] ERASE - Usunięcie istniejącego pliku lub katalogu

[M] MODIFY - Zmiana nazwy i zmiana atrybutów plików

[F] FILE SCAN - Wykonanie listy zawartości katalogu

[A] ACCESS CONTROL - Kontroluje prawa użytkowników do plików lub katalogów

[S] SUPERVISOR - Przyznaje wszystkie inne prawa

Jeżeli użytkownik jest dysponentem katalogu, to prawa te są dziedziczone (ang. Inherited) do podkatalogów tego katalogu. Filtr praw dziedziczonych IRF (ang. Inherited Rights Filter) określa, które prawa mogą być dziedziczone. Nie można używać IRF do przyznawania praw. Może on jedynie blokować lub udostępniać prawa, które były dane w katalogu nadrzędnym.

IRF jest prostą listą praw użytkownika lub innych dysponentów, które mogą być dziedziczone w tym katalogu lub pliku. Jeżeli prawo znajduje się w IRF, to może być dziedziczone. Jeżeli pozostawimy prawo poza IRF, żaden użytkownik nie będzie mógł dziedziczyć tego prawa dla tego katalogu lub pliku.

Prawa użytkowników do katalogu mogą być im przyznane bezpośrednio, mogą przynależeć do grupy, do której należą lub mogą być dziedziczone z katalogu nadrzędnego. IRF filtruje potem prawa dziedziczone i w rezultacie użytkownik uzyskuje efektywne prawa (ang. effective rights) do katalogu. Na te prawa NetWare zwraca uwagę podczas kontrolowania dostępu użytkownika.

Zarządzanie ochroną systemu plików:

Do zarządzania plikami służy NWADMIN, pozwala on również zarządzać ochroną systemu plików. Dodatkowo program narzędziowy FILER posiada te same możliwości Trzeba jednak nadmienić, że chociaż NETADMIN jest alternatywą dla DOS'a w stosunku do NWADMIN, to nie może on zarządzać ochroną plików lub systemu plików. Jeżeli musimy zarządzać bezpieczeństwem z DOS'a, używamy wtedy programu narzędziowego FILER.

Przyznawanie praw dysponenta

Można przypisać dysponenta do pliku lub katalogu, albo przypisać pliki do użytkownika lub innego dysponenta.

Aby przypisać prawa za pomocą FILER, wystarczy wcisnąć <F10> po wybraniu pliku lub katalogu, którym chcemy zarządzać i wybrać opcję Trustees.

W NWADMIN można przypisać dysponenta do pliku lub katalogu odnajdując obiekt Volume w Obiektowej Bazie Danych, zapoznając się z jego strukturą katalogów. Wybieramy plik lub katalog, a następnie Object | Details. Na pojawiającym się ekranie Details wystarczy kliknąć przycisk Trustees of this Directory wyświetlając w ten sposób informacje dysponenta dotyczące katalogu. Po wyborze dysponenta dodajemy lub usuwamy prawa zmieniając pola wyboru. Dodawanie nowego użytkownika odbywa się poprzez kliknięcie przycisku Add Trustee.

Alternatywną metodą przyznawania praw do systemu pliku jest rozpoczęcie od użytkownika. Ta metoda również dotyczy innych obiektów, takich jak Group lub Container. Wystarczy w drzewie NDS podświetlić użytkownika (lub inny obiekt), któremu chcemy nadać prawa dysponenta i dalej postępować analogicznie jak w przypadku postępowania z NWADMIN tzn. wybrać Object | Details, a na pojawiającym się ekranie Details kliknąć przycisk Rights to Files and Directories.

Ochrona NDS i rejestracji

Podczas gdy zabezpieczenie systemu plików pozwala kontrolować dostęp do wolumenów, plików i katalogów na serwerze, NDS kontroluje dostęp do obiektów w Obiektowej Bazie Danych NDS: użytkowników, grupy, drukarki i całą organizację. Można kontrolować zdolność użytkowników do modyfikacji i dodawania obiektów, a także do przeglądania lub modyfikacji ich właściwości. Rozumiejąc ochronę NDS, można przypisywać użytkownikom prawa, których potrzebują w Obiektowej Bazie Danych i jednocześnie dbać o bezpieczeństwo sieci.

NDS chroni sieć podczas rejestracji. Użytkownik, który potrzebuje dostępu do sieci musi zarejestrować się i wprowadzić hasło. Hasło jest zaszyfrowane. Jest ono porównywane z zaszyfrowaną wersją właściwości Password w obiekcie User. Ponieważ używane są hasła zaszyfrowane, istnieje mała szansa, że będą przez kogoś przechwycone w sieci.

Oczywiście żadne zabezpieczenie nie spełni swojej roli, gdy użytkownik korzysta z prostego hasła lub rezygnuje z niego. Zaleca się stosowania hasła w sieci i nie korzystania z prostych słów lub nazw.

Prawa dziedziczone w NDS

Podobnie do systemu plików, NDS używa systemu praw dziedziczonych. Kiedy dysponent obiektu otrzymuje prawa do obiektu Container, dysponent uzyskuje również te same prawa do wszystkich obiektów podrzędnych (tzn. do wszystkich “dzieci” obiektu). Dziedziczenie dotyczy zarówno praw do obiektu, jak i praw do właściwości.

Prawa do obiektu są dziedziczone w ten sam sposób, jak prawa w systemie plików. Kiedy dysponent otrzymuje prawa do obiektu, prawa te są dziedziczone przez obiekty podrzędne (tzn. dzieci). Dysponent uzyskuje te prawa pod warunkiem, że nie są one zablokowane.

Prawa do właściwości mogą być dziedziczone w ten sam sposób, co prawa do obiektu, ale z jednym wyjątkiem: dziedziczone mogą być tylko prawa nadane przez opcję All Properties. Jeżeli dysponent otrzymuje prawa Selected Properties, obiekty podrzędne (tzn. dzieci) nie dziedziczą tych praw. Przyczyną tego jest to, że różne typy obiektów (np. User i Organizational Unit) mają inną listę właściwości.

Kiedy dysponent otrzymuje prawa do obiektu Container, prawa przepływają wzdłuż drzewa Obiektowej Bazy Danych tak długo, aż zostaną zablokowane. Prawa dziedziczone mogą być blokowane dwojako:

a)poprzez nowe przyporządkowanie dysponenta

b) poprzez IRF.

Można blokować dziedziczenie praw dysponenta dla konkretnego obiektu, nadając dysponentowi nowe prawa bezpośrednie do obiektu.

Nowe przyporządkowanie dysponenta może służyć do blokowania praw, a także do dodawania nowych praw. To nowe przyporządkowanie (zwane bezpośrednim) zastępuje dotychczasowe prawa dziedziczone. Ponieważ prawa bezpośrednie blokują prawa dziedziczone, nie musimy wtedy rozważać praw dziedziczonych. Każdy obiekt NDS posiada IRF (ang. Inherited Rights Filter) dla praw obiektu. IRF jest listą praw, które użytkownik może dziedziczyć dla obiektu.

Każdy obiekt posiada również IRF dla praw do właściwości. IRF może być ustawiony na All Properties i Selected Properties. Można także ustawić IRF na All Properties, a dać różne IRF dla niektórych Selected Properties. Pamiętać jednak należy, że prawa są dziedziczone tylko wtedy, gdy zostały przypisane All Properties dla obiektu nadrzędnego (tzn. ojca).

Równoważność bezpieczeństwa

W niektórych przypadkach w NDS, dysponent uzyskuje automatycznie wszystkie prawa nadane innemu dysponentowi. Jest to równoważność bezpieczeństwa (ang. securty eqeuvalence). Zrozumienie tej równoważności ułatwia nadawanie praw użytkownikom z zachowaniem bezpieczeństwa. Wyróżnia się dwa typy równoważności: niejawny i jawny.

Kiedy nadajemy prawa do obiektu Container, wszystkie obiekty w Container otrzymują te same prawa ze względu na równoważność bezpieczeństwa. Jeżeli jednym z tych obiektów jest obiekt Container, obiekty pod nim również otrzymują te same prawa. Jest to tzw. niejawna równoważność bezpieczeństwa (ang. Implied Security Eqcrivalence).

Ponieważ prawa przepływają z obiektów Container do ich dzieci, można mieć pokusę opisywania tego procesu jako dziedziczenie. Jednak nie jest to dziedziczenie zgodne z definicją NetWare. Dziedziczenie oznacza, że prawa nadane dysponentowi do obiektu Container są nadane temu samemu dysponentowi do obiektów dzieci.

Ważne jest zrozumienie rozróżnienia pomiędzy dziedziczeniem a niejawną równoważnością bezpieczeństwa, gdyż IRF nie wpływa na równoważność bezpieczeństwa. Jest to jedno z najbardziej skomplikowanych rozróżnień w ochronie NDS. Można uniknąć zamieszania, pamiętając dwie reguły:

- obiekt dziedziczy przypisanie dysponenta do swoich obiektów nadrzędnych (tzn. ojca), IRF może blokować te prawa;

- dysponent jest równoważnikiem bezpieczeństwa dla swoich obiektów nadrzędnych (tzn. ojca), IRF nie może blokować tych praw.

Drugą, prostszą równoważnością jest jawna (bezpośrednia) równoważność bezpieczeństwa (ang. Explicit Security Equivnlence). Ta równoważność jest bezpośrednio nadawana użytkownikowi. Można tego dokonać na trzy różne sposoby:

- każdy użytkownik ma właściwość Security Equal To, można dodać do listy użytkowników lub inne obiekty; użytkownik uzyskuje prawa do tych obiektów;

- jeżeli użytkownik jest przypisany do listy obiektu Group, użytkownik staje się równoważnikiem bezpieczeństwa dla obiektu Group;

- jeżeli użytkownik należy do obiektu Organizational Role, użytkownik staje się równoważnikiem bezpieczeństwa dla obiektu Organizational Role.

Wszystkie jawne równoważności bezpieczeństwa są wymienione we właściwości Security Equal To. Równoważność tę otrzymuje użytkownik bezpośrednio poprzez członkostwo w Organizational Role i Group. Należy przy tym zaznaczyć, że równoważność bezpieczeństwa nie może być łączona ani zagnieżdżona.

Zarządzanie ochroną NDS za pomocą NWADMIN

NWADMIN służy również do zarządzania bezpieczeństwem NDS. Można rozpocząć od dysponenta lub od obiektów, a następnie dodawać dysponentów, usuwać ich, modyfikować ich prawa lub przeglądać prawa bieżące.

Przeglądanie praw dysponenta w NWADMIN w NetWare może odbywać się różnymi sposobami. Dostęp do tych opcji uzyskuje się z menu Object lub klikając prawym przyciskiem myszy (po podświetleniu obiektu) i wybierając z menu podręcznego:

- Trustees of This Object - opcja ta umożliwia przejrzenie listy dysponentów wybranego obiektu następnie można wybrać dysponenta i przejrzeć szczegółowo dotyczące go informacje;

- Rights to Other Objects - opcja ta umożliwia przeglądanie listy obiektów, dla których zaznaczony obiekt jest dysponentem. Wykonując tę opcję najpierw wprowadzamy kontekst poszukiwań, a potem wybieramy obiekt z listy, aby przejrzeć prawa dysponenta do obiektu.

Każdy z tych ekranów zawiera wszystkie możliwe prawa do obiektu. Pola wyboru z lewej strony opcji określają, czy prawa są przydzielone, a także umożliwiają nadanie lub cofnięcie prawa.

Podobnie można dodawać dysponentów. Pierwszy sposób polega na dodaniu dysponentów do obiektu, drugi sposób dodania dysponenta polega na dodaniu obiektów do dysponenta.

Obiekt jest dodawany do listy obiektów, do których ma prawo dysponent. Przy wyświetlonym oknie dialogowym Rights to Other Objects lub Trustees of This Object można zmienić prawa do obiektu dane dysponentowi. Wystarczy zaznaczyć dysponenta lub obiekt i kliknąć pole wyboru z lewej strony typu praw, które mogą być przydzielone lub cofnięte.

Można również zmienić prawa do właściwości w obu tych oknach dialogowych. Można przypisać prawa do wszystkich właściwości wybierając All Properties, a potem zaznaczając lub odznaczając pole z lewej strony praw do właściwości.

Protokoły sieciowe dostępne w NetWare 4

NetWare 4 domyślnie podtrzymuje protokoły IPX i SPX. Podczas instalacji NetWare'a na serwerze dostępna jest również opcja instalacji dodatkowych protokołów, np. AppleTalk, TCP/IP lub NLSP.

Protokół IPX

IPX (ang. Internetwork Packet Exchange) jest domyślnym protokołem podtrzymywanym przez NetWare. Jest to protokół bez połączenia. Oznacza to, że dane są przesyłane "na ślepo" przez kabel, zakładając, że otrzymam je odpowiednie urządzenie. Adresowanie w IPX jest zarządzane poprzez numery sieciowe:

- zewnętrzny numer sieciowy IPX jest ustalany dla wszystkich serwerów, które dzielą wspólny kabel sieciowy lub segment. Wiele serwerów w tym samym segmencie sieci używa tego samego numeru;

- wewnętrzny numer sieciowy IPX jest ustawiany dla każdego serwera. Numer ten jest używany do lokalizacji serwera w sieci i musi być on unikalny;

- każda stacja robocza lub serwer posiada adres sieciowy, zwany również adresem MAC (ang. Media Access Control). Adres ten jest używany do lokalizacji określonego urządzenia w sieci. Adresy sieciowe są zwykle ustawiane sprzętowo w kartach sieciowych i nie mogą być zmieniane. Każda karta sieciowa w serwerze również posiada unikalny adres sieciowy.

Protokół TCP/IP

TCP/IP - jest protokołem używanym w systemach UNIX oraz przez Internet. Jest to protokół zawierający kilka protokołów. Jego nazwa bierze się z dwóch protokołów: TCP (ang. Transmission Control Protocol) i IP (aną. Integral Protocol). Model OSI dzieli procesy w sieci NetWare na siedem warstw. Zestaw TCP/IPjest zorganizowany w oparciu o inny model, model sieci DOD. Ten model jest podzielony na cztery warstwy:

- warstwa dostępu sieci (ang. Network Access Layer) - określa protokoły dla podstawowych połączeń sieciowych;

- warstwa Internet (aną. Internet Layer) - zawiera protokoły używane przy Intersieciowości i routingu;

- warstwa host-to-host (ang. Host-to-Host Layer) - zawiera protokoły dla komunikacji między węzłami głównymi;

- warstwa aplikacji (ang. Application Layer) -jest używana przez aktualne aplikacje.

Windows NT

Microsoft Windows NT jest zaawansowanym, wielozadaniowym systemem operacyjnym. Łatwość jego użycia, elastyczność, rozszerzone usługi komunikacyjne sieci Internet i intranet spełniają wszystkie wymagania dzisiejszych zastosowań biznesowych, a przy tym zapewniają solidny fundament sieciowy na przyszłość.

Zalety i wady systemu

Zalety:

- doskonała integracja z sieciami opartymi na MS DOS, Windows 3.xx, 95, Novell

- łatwość obsługi i administracji

- szerokie wsparcie intranetu

- możliwość integracji z istniejącymi bazami danych SQL

- łatwe tworzenie korporacyjnego WWW

- skalowalność i obsługa SMP ( standardowo do 4 procesorów )

- user friendly - przyjazny interface użytkownika wzorowany na MS Windows 95

Wady :

- wysokie wymagania dotyczące wydajności serwera

- wysoki koszt oprogramowania

Prawa dostępu w systemie Windows NT

Po uruchomieniu Windows NT w procesie logowania system zostaje poinformowany, kto zamierza z niego korzystać. Każdy użytkownik posiada prawa, określające na przykład dostęp do poszczególnych obiektów.

W ten prosty sposób można zablokować "normalnemu" użytkownikowi dostęp do danych systemowych. Problem, którego nie można było rozwiązać we wcześniejszych wersjach Windows, gdyż każdy miał dostęp do niechronionych plików CONFIG.SYS i AUTOEXEC.BAT.

Zarządzanie użytkownikami można porównać do wielkiego kompleksu budynków, w którym znajduje się kilka rodzajów kluczy. Istnieje jeden klucz uniwersalny umożliwiający otwieranie wszystkich drzwi we wszystkich budynkach. Następnie istnieją klucze służące do otwierania wszystkich drzwi, lecz już tylko w obrębie jednego budynku. Na końcu tego łańcucha znajdują się klucze z najbardziej ograniczonymi .,prawami". Za ich pomocą można na przykład otwierać tylko jedne, określone drzwi.

Klucz uniwersalny w Windows NT posiada użytkownik o nazwie "Administrator". Ma on dostęp do wszystkich obiektów i może je dowolnie zmieniać Również on może określać, jakie prawa dostępu mają inni użytkownicy.

Sądząc, że ochrona danych jest istotna tylko w dużych sieciach, mamy tylko częściowo racje. Kontrola dostępu do plików nie ma raczej sensu, gdy na danym komputerze pracuje tylko jedna osoba. W tej sytuacji można nawet za pomocą pewnego triku ominąć pytanie o hasło.

Jeśli jednak na jednym komputerze pracuje dwóch użytkowników, sensowne staje się zabezpieczenie określonych danych. Można więc przydzielać jednemu z nich nazwę użytkownika i hasło, tak aby musiał logować się do systemu i miał dostęp tylko do określonych katalogów i plików. Istnieje nawet możliwość sprawdzenia, kto i kiedy dokonywał zmian w danym obiekcie.

Automatyczne logowanie się do systemu

Jeżeli użytkownik sam korzysta z komputera i nie posiada danych, które trzeba szczególnie chronić może spokojnie wyłączyć opcje zapytania o hasło. Logowanie będzie następowało automatycznie po podaniu nazwy użytkownika.

Proces ten nie jest jednak łatwy, gdyż wymaga dokonania pewnych zmian w Rejestrze systemu. Należy wykonywać tylko czynności opisane poniżej, gdyż w innym przypadku może dojść do utraty ważnych danych. Mimo wszystko przed dokonaniem opisanych zmian trzeba utworzyć kopię zapasową Rejestru.

Pierwszą czynnością jest uruchomienie Edytora Rejestru, czyli pliku regedit.exe. Najprościej wykonać to poprzez wybór w menu Start opcji Uruchom. Spowoduje to otwarcie kilku okien dialogowych. Jedno z nich nosi nazwę HKEY LOCAL MACHINE. Wyciągamy je na plan pierwszy i przechodzimy do klucza SOFTWARE\ Microsoft\ Windows NT\Current. Version\ Winlogon. W wierszu DefauItUserName wpisujemy nazwę użytkownika, pod którą chcemy się automatycznie logować na przykład "Administrator". Te samą czynność wykonujemy w wierszu DefaultUserPassword. Jeżeli podczas instalowania Windows NT nie zostało podane hasło, należy najpierw taki zapis wprowadzić W menu Edycja znajduje się podpunkt Dodaj wartość Wybieramy te opcje i jako nazwę wartości wpisujemy DerauItUserPassword, a jako typ danych wybieramy REG SZ. Teraz trzeba wprowadzić dane hasło Ponieważ nie zamierzamy wykorzystywać hasła naciskamy tylko klawisz [Enter]. W innym przypadku trzeba wprowadzić hasło użytkownika. Podobna operacja jest konieczna również w przypadku AutoadminLogon: ponownie wybieramy jako tryb danych REG SZ, a w przypadku automatycznego startu jako wartość wprowadzamy "1". Po zamknięciu Edytora rejestru, należy ponownie uruchomić komputer.

Narzędzia zarządzające systemem Windows NT

Podobnie jak w innych systemach operacyjnych przeznaczonych dla wielu użytkowników, jak na przykład w UNIX-ie, również w Windows NT można utworzyć grupy użytkowników. Pod pojęciem ”grupa” rozumiemy zbiór pewnej liczby użytkowników. Każdy użytkownik ma swoje konto użytkownika. Poszczególne konta (a więc i sam użytkownik) mogą przynależeć do jednej lub też do kilku grup. Przyczyna wykorzystywania grup jest oczywista. Jeżeli dla każdego obiektu przydzielano by prawa dostępu na przykład do odczytu, edycji itp oddzielnie każdemu użytkownikowi, to w sieciach liczących kilkaset użytkowników i dziesiątki tysięcy obiektów byłoby to raczej skomplikowanym zadaniem, przy realizacji którego już po krótkim czasie straciliby oni orientacje.

Przy tworzeniu nowego konta użytkownika nie ma potrzeby zmiany praw dostępu do określonego pliku, lecz można nowego użytkownika przyporządkować do danej grupy. Grupie wystarczy tylko raz przydzielić prawa dostępu do danego obiektu. Każdy członek grupy ma dostęp do danego obiektu na prawach dostępu obowiązujących dla tej grupy.

Aby jednak można było zastosować mechanizmy zabezpieczania danych oferowane przez Windows NT, partycje dysku twardego, na której znajdują się dane, należy sformatować dla systemu plików NTFS. Tylko ten system plików oferuje możliwość wykorzystania opisanych poniżej mechanizmów. Takich możliwości nie posiadają ani znany z DOS-a system FAT, ani też nowszy VFAT z Windows 95.

Grupy i użytkownicy w systemie Windows NT

Windows NT rozróżnia grupy lokalne i globalne. Do grup lokalnych zalicza się te, które występują tylko na komputerze użytkownika. lecz nie występują w ewentualnie działającej sieci. Można tworzyć dowolną liczbę grup lokalnych oraz zmieniać już istniejące. Jeżeli w sieci połączona jest. większa liczba komputerów, mamy do czynienia z grupami globalnymi, dostępnymi dla wszystkich komputerów. W celu utworzenia nowych kont użytkownika oraz nowych grup lub dokonania zmian w już istniejących, należy uruchomić Menedżera użytkowników. Znajduje się on w menu Start I Programy I Narzędzia administracyjne (wspólne) I Menedżer użytkowników. W górnej części okna znajdują się użytkownicy, a w dolnej grupy. Domyślnie utworzone są grupy "Administratorzy", "Goście". "Operatorzy kopii zapasowych", "Replikator", "Użytkownicy", "Użytkownicy zaawansowani". Administratorzy mają najwięcej uprawnień, goście natomiast znajdują się na końcu tej hierarchii i mają bardzo ograniczone możliwości dokonywania zmian w obiektach. W tabeli poniżej znajdują się uprawnienia poszczególnych grup.

Prawa	AD	UZ	U	Goście	Wszyscy	OKZ
Zmiana czasu systemowego		
Zdalne zamykanie systemu		
Ładowanie i usuwanie sterowników urządzeń	
Logowanie lokalne						
Zabezpieczanie plików i katalogów	
Zamykanie systemu						
Przejmowanie w posiadanie plików i obiektów	
Zarządzanie protokołami kontroli i bezpieczeństwa	
Ponowne odtwarzanie plików i katalogów						
Dostęp do danego komputera z sieci		
Tworzenie i administrowanie kontami użytkowników					
Tworzenie i zarządzanie grupami			
Przydzielanie praw dostępu użytkownikom					
Blokowanie stacji roboczych		
Znoszenie blokady stacji roboczych	
Formatowanie dysku twardego	
Tworzenie ogólnych grup programów		
Zachowywanie profilu lokalnego						
Przydzielanie i odbieranie praw dostępu do katalogów		
Przydzielanie i odbieranie praw dostępu do drukarek		

AD = Administrator, UZ = Użytkownicy zawansowani, U = Użytkownicy,

OKZ = Operatorzy kopii zapasowych

Oprócz wyżej wymienionych istnieją jeszcze systemowe grupy wewnętrzne: "Wszyscy", "INTERAKTYWNA", "SYSTEM", "SIEĆ", "TWÓRCA WŁAŚCICIEL". Tymi grupami nie można manipulować, gdyż są zintegrowane na stałe z systemem.

Nową grupę tworzy się w bardzo prosty sposób. W menu Użytkownik znajduje się opcja Nowa grupa Lokalna umożliwiająca. utworzenie nowej grupy. Trzeba podać tylko jej nazwę W polu Opis należy krótko opisać, jaką funkcje ma pełnia dana grupa Podczas późniejszej edycji grup ułatwia to przypomnienie, w jakim celu została założona dana grupa Grupy utworzone przez użytkownika można usunąć z systemu za pomocą opcji menu Użytkownik I Usuń lub za pomocą klawisza [Del]. Ale należy pamiętać że usunięte grupy nie mogą być jednak reaktywowane.

Podobnie łatwo jak tworzenie nowych grup przebiega zakładanie kont użytkownika. W tym celu wybieramy w Menedżerze użytkowników w menu Użytkownik opcje Nowy użytkownik. Najpierw trzeba podać nazwę użytkownika: najlepiej słowo, które ułatwia identyfikacje użytkownika, na przykład nazwisko. Nazwa może zawierać maksymalnie do 20 znaków oraz dowolne znaki oprócz * + ; . , < > \ / " [ ] . Jest to jedyny zapis jaki trzeba obligatoryjnie wprowadzić; wszystkie inne zapisy można dołączać opcjonalnie. Aby jednak zachować czytelność, należy je również podać, gdyż informacje te można wywołać w każdej chwili.

Niekoniecznie trzeba podawać hasło, jeżeli jednak ktoś się na to zdecyduje musi pamiętać, że nie może być ono dłuższe niż czternaście znaków. Trzeba też zwrócić uwagę na fakt, iż Windows NT rozróżnia pisownie małymi i wielkimi literami. Przy podawaniu hasła należy wprowadzić je dwukrotnie, dzięki czemu unikniemy błędów Obie wersje muszą być oczywiście identyczne. Wprowadzane litery nie są wyświetlane, aby osoba niepowołana przypadkowo nie podglądnęła wpisywanego hasła.

Następnie można określić, czy użytkownik musi zmieniać hasło przy kolejnym logowaniu. Jest to sensowne, gdyż zmusza użytkownika do ustalenia indywidualnego hasła, a i samo hasło przynajmniej raz zostanie zmienione.

Hasła powinny być oczywiście trudne do odgadnięcia. Nie powinno się stosować na przykład imion członków rodziny czy też dat ich urodzenia. Optymalnym rozwiązaniem jest zestaw przypadkowo wybranych liter i znaków specjalnych. Aby jednak hasło można było zapamiętać, najczęściej stosowaną metodą jest hasło składające się z jakiegoś pojęcia łatwego do zapamiętania i znaku specjalnego, na przykład: .,topscore&ą" lub "mari#a". Ponadto hasło należy zmieniać w pewnych odstępach czasu. Ponieważ jednak rzadko kto tak robi, można "zobowiązać" system do tego, aby nakazywał użytkownikowi zmianę hasła po upływie pewnego określonego terminu.

Dalszą możliwością jest odebranie użytkownikowi prawa do zmiany hasła. Stosuje się to tylko w sytuacjach wyjątkowych. W "normalnych" warunkach każdy użytkownik powinien posiadać możliwość zmiany swojego hasła.

W większych sieciach zdarza się, że prawa dostępu przydzielane są tylko na pewien okres. Jeżeli nie jest zaznaczone pole wyboru hasło nie wygasa nigdy po określonym czasie użytkownik utraci prawo dostępu i ewentualnie otrzyma je ponownie od Administratora lub zostanie mu ono całkowicie odebrane. Podobnie Administrator może wyłączać konto użytkownika.

Po dokonaniu ogólnych ustawień można określać grupę, do której będzie przynależał nowy użytkownik W tym celu klikamy przycisk Grupa. W prawej części okna znajdują się wszystkie grupy istniejące w systemie, a w lewej te, do których nowy użytkownik przynależy. Dodatkowe grupy, do których może ewentualnie należeć, wybiera się w prawym oknie i dołącza do lewego za pomocą przycisku Dodaj. Analogicznie można usunąć użytkownika z danej grupy.

Opcjonalnie da się utworzyć dla każdego użytkownika tzw. profil środowiska użytkownika. W ten sposób można przykładowo uruchomić podczas logowaniu skrypt, który będzie wykonywał automatycznie operacje indywidualnie zdefiniowane przez użytkownika, jak m.in. uruchamianie określonego programu, zastosowanie zmiennych środowiskowych itp. Ponadto można zdefiniować katalog macierzysty, który podczas operacji na plikach takich jak "Otwórz" czy też "Zapisz" będzie wybierany jako katalog domyślny. Jeżeli zostanie podana nazwa katalogu, którego nie ma na dysku, to w takim przypadku będzie on utworzony automatycznie (przy czym trzeba podać literę dysku sieciowego). Zaleca się utworzenie dla każdego użytkownika odrębnego katalogu, na przykład "\Users\<nazwą użytkownika>". Będzie to indywidualny katalog roboczy, w którym będą zapisywane wszystkie dane. Bez takiego posortowania pliki wszystkich użytkowników będą w nieładzie porozrzucane w jednym katalogu i w przyszłości będzie je trudno odnaleźć. Za pomocą przycisku Telefon można przyporządkować każdemu użytkownikowi sposób wykorzystania usługi RAS (Remote Access Service), czyli ustalić jak ma przebiegać ewentualne połączenie telefoniczne za pomocą modemu. W tym oknie można przydzielić uprawnienia do telefonowania, na przykład do tworzenia połączeń zwrotnych.

Zarządzanie kontami użytkowników

W menu Założenia znajdują się opcje umożliwiające nadzorowanie kont użytkownika. Najpierw można zdefiniować ogólne zasady używania kont i haseł.

Pierwsze zapisy umożliwiają określenie parametrów haseł dla wszystkich użytkowników. Hasła mogą nie wygasać nigdy lub też nie mogą wygasnąć przed upływem pewnego terminu. Oznacza to, że po określonej w polu dialogowym liczbie dni użytkownik będzie musiał zmieniać swoje hasło. Po zmianie hasła można określać czas jego obowiązywania aż do następnej zmiany hasła.

W polu wyboru Minimalna długość hasła możemy "zmusić" użytkownika do podawania haseł o liczbie znaków nie mniejszej niż zdefiniowana (lecz maksymalnie 14 znaków!).

W polu wyboru Minimalny okres ważności hasła można określać czas, przez jaki hasło musi być aktualne, zanim użytkownik będzie mógł je zmieniać. Jeżeli mogą być dopuszczalne hasła z "zerową" liczbą znaków należy zaznaczyć przycisk wyboru Prawo do “pustego” hasła.

W celu zwiększenia bezpieczeństwa systemu możemy określić po ilu błędnych próbach zalogowania zostanie zablokowane konto użytkownika. Istnieją programy łamiące, które potrafią automatycznie przetestować tysiące haseł. Oczywiście mogą złamać hasło w przypadku, gdy testują je z jednego konta użytkownika. Jeżeli jednak konto zostanie zablokowane po pewnej liczbie niepomyślnych prób wprowadzenia hasła, wtedy nie poradzą sobie z zabezpieczeniem.

W punkcie Wyzeruj licznik należy wpisać liczbę minut, które muszą upłynąć miedzy dwiema próbami logowania, aby nie nastąpiła blokada konta. Ponadto można określić, czy konto zablokowane automatycznie może być udostępnione po upływie określonego czasu. W menu Założenia I Prawa użytkownika można dokonywać zmian uprawnień dla poszczególnych grup.

Ostatnim punktem menu Założenia jest opcja Inspekcja. Można tutaj określić, które zdarzenia mają być kontrolowane. Są one następnie wyświetlane w Podglądzie zdarzeń znajdującym się w menu Start I Programy I Narzędzia administracyjne (wspólne) I Monitor zdarzeń Wszystkie wybrane zdarzenia są tam tymczasowo zapisywane i po wywołaniu można otrzymać informacje o szczegółach; na przykład można dowiedzieć się, kto zapisał w dniu RR-MM-DD o godzinie GG:MM:SS plik "XYZ".

Przydzielanie praw dostępu do elementów

Na nośniku danych sformatowanym w systemie NTFS można indywidualnie przydzielić i określić danemu użytkownikowi rodzaj uprawnień do korzystania z danego elementu. W menu kontekstowym elementu znajduje się w opcji Właściwości karta Zabezpieczenia, umożliwiająca określenie wszystkich szczegółów dotyczących uprawnień do tego obiektu. Poprzez opcje Uprawnienia: Plik Lub Uprawnienia: Katalog dla wszystkich plików i katalogów można określić użytkowników posiadających do nich dostęp. Każdemu obiektowi można przydzielać prawa dostępu podane w tabeli.

Domyślnie system operacyjny przypisuje każdemu obiektowi uprawnienia "Wszyscy" oraz "Pełna kontrola", tak więc każdy użytkownik ma możliwość dostępu do takiego obiektu i może go dowolnie edytować. Jeżeli prawa te chcemy ograniczyć, powinniśmy w opcji typ dostępu precyzyjnie ustalić prawa dostępu do zaznaczonego obiektu. Jeśli natomiast obiekt ma być udostępniony tylko określonym osobom lub grupom, trzeba posłużyć się przyciskiem Dodaj, który wywołuje listę wszystkich grup, a po kliknięciu przycisku Pokaż użytkowników, wyświetlona zostanie stosowna lista, z której poszczególnych użytkowników można wybierać poprzez dwukrotne kliknięcie lewym przyciskiem myszy. W oknie dialogowym Typ dostępu można wybrać typy operacji, jakie użytkownik będzie mógł przeprowadzać na danym obiekcie. Rodzaj dostępu określa się osobno dla każdego zapisu. W przypadku folderów każdy użytkownik otrzymuje analogiczne prawa dostępu do wszystkich obiektów podporządkowanych danemu folderowi.

Dostępne operacje:

R - odczyt

W - zapis

X - uruchamianie programu

D - usuwanie obiektu

P - zmiana praw dostępu

O - przejmowanie w posiadanie

Nadzorowanie obiektów:

Oprócz przydzielania praw dostępu do obiektów można też nadzorować dostęp do nich. W pliku zapisywane jest, kto i o której godzinie korzystał z danego obiektu. Do tego celu służy znajdujący się na karcie Zabezpieczanie przycisk Inspekcja.

Za pomocą przycisku Dodaj można dołączać do specjalnej listy kontrolnej poszczególne grupy lub użytkowników. Dla każdego użytkownika określa się indywidualnie, jakie zdarzenia będą nadzorowane. Operacje do nadzoru wybiera się kliknięciem myszką. Można poza tym określić czy nadzorowane mają być zdarzenia zakończone sukcesem czy również (lub tylko) zakończone porażką. Należy także pamiętać, że odpowiednie opcje zostały wybrane w Menedżerze użytkowników w menu Założenia I Inspekcja.

Przejmowanie obiektu:

Użytkownik tworzący określony obiekt jest zawsze jednocześnie właścicielem tego obiektu. Właściciele mogą zmieniać atrybuty takiego pliku i mogą odmówić nawet przydzielenia praw dostępu Administratorowi. Z drugiej strony jednak Administratorzy mogą przejąć dany plik w swoje posiadanie i anulować te operacje. W zakładce Zabezpieczenia można przejąć w posiadanie dany obiekt za pomocą przycisku Własność.

Połączenia z innymi sieciami

Dzięki programowi Dial-Up Networking możliwe jest zasymulowanie połączenia komputera do sieci z wykorzystaniem modemu.

Komputer może służyć nie tylko jako terminal do zdalnej pracy na serwerze (jak ma to miejsce przy wykorzystaniu programu Hyper Terminal. Przy pomocy protokołów PPP i SLIP możliwe jest utworzenie bezpośredniego podłączenia do Internetu, co pozwala na komfortowe korzystanie z prawie wszystkich usług sieci Internet. PPP i SLIP są dwoma różnymi protokołami umożliwiającymi korzystanie z protokołu TCP/IP (podstawowego protokołu Internetu) przy użyciu modemu lub Karty ISDN i programu Dial-Up Networking. Jeżeli podczas instalacji systemu Windows NT program Dial-Up Networking nie został zainstalowany, należy zrobić to teraz wybierając z menu Start opcje Programy I Akcesoria I Dial-Up Networking.

Pierwsze wybranie tej opcji powoduje uruchomienie programu instalacyjnego aplikacji Dial-Up Networking. Następnie system Windows otwiera okno, w którym należy wybrać modem wykorzystywany do komunikacji z Siecią.

Jeżeli w systemie nie jest jeszcze zainstalowany żaden modem, można doinstalować go teraz dokonując niezbędnych połączeń i klikając przycisk Zainstaluj modem. Poprawnie zainstalowany modem wybieramy później z listy.

Jeżeli komputer podłączony jest do sieci X.25 za pomocą urządzenia PAD (Packet Assembler-Disassembler), można je zainstalować i skonfigurować odpowiednio do własnych potrzeb klikając przycisk Zainstaluj X25 Pad. Po kliknięciu przycisku Dalej system Windows NT automatycznie utworzy wszystkie pliki konfiguracyjne niezbędne do korzystania z sieci. Po ponownym uruchomieniu komputera użytkownik będzie już dysponował funkcjonującym programem Dial-Up Networking. Ponowne uruchomienie opcji Start I Programy I Akcesoria I Dial-Up Networking umożliwiającego konfiguracje i określenie wszystkich parametrów połączeń

Ponieważ nie została jeszcze utworzona książka adresowa automatycznie uruchomiony zostanie odpowiedni Kreator ułatwiający dokonanie pierwszego wpisu do niej. Aby wpisać do książki następne połączenia należy kliknąć przycisk Nowy, a uruchomiony w ten sposób Kreator umożliwi łatwe określenie wszystkich parametrów nowego połączenia. Jeżeli nie chcemy korzystać z Kreatora i pragniemy ręcznie ustalić konfiguracje połączenia, należy kliknąć przycisk Więcej, wybrać opcje Preferencje użytkownika i na karcie Wygląd odznaczyć opcje Użyj Kreatora do tworzenia nowych wpisów książki telefonicznej.

Opisując parametry nowego połączenia przede wszystkim należy podać jego nazwę. Musi być ona unikatowa, aby później możliwe było jednoznaczne zidentyfikowanie połączenia. W następnym oknie znajdują się opcje opisujące obsługę połączenia. Pierwsza z nich określa, czy komputer ma być połączony z inną stacją pracującą w sieci Internet. Drugą trzeba uaktywniać w przypadku, gdy komputer z którym chcemy się połączyć, nie umożliwia szyfrowania przesyłanych informacji i hasło ma zostać przesłane w formie nie zakodowanej. Trzecia opcja pozwala określić, czy po zestawieniu połączenia mają zostać przekazane informacje dotyczące logowania. czy też przed nawiązaniem połączenia stacje wymienią swoje adresy TCP/IP. Jest to niezbędne przy współpracy z serwerami pracującymi pod kontrolą innych systemów operacyjnych niż Windows. W przypadku komputerów pracujących pod kontrolą systemu Windows nie ma potrzeby wyboru którejkolwiek z tych opcji. Kolejnym krokiem jest podanie numeru telefonu komputera, z którym chcemy się połączyć Jeżeli numerów tych jest kilka, każdy z nich trzeba kolejno dodać za pomocą przycisku Alternatywny. W następnym oknie dialogowym wystarczy tylko kliknąć przycisk Zakończ, co spowoduje zapamiętanie parametrów nowego połączenia i umieszczenie go na liście. W przypadku łączenia z komputerem pracującym pod kontrolą systemu innego niż Windows, należy w pojawiającym się oknie dialogowym Protokół szeregowy wybrać protokół jaki będzie wykorzystywany podczas transmisji danych (PPP lub SLIP) oraz określić wszelkie inne parametry.

Ustawienia te można oczywiście zmieniać później w oknie dialogowym Dial-Up Networking przy pomocy przycisku Więcej I Edytuj wpis i właściwości modemu.... Najczęściej dane zawarte na karcie Informacje podstawowe są uzupełnione przez Kreatora wartościami domyślnymi (takimi jak np. aktualna lokalizacja, aktywny modem). Pole Komentarz umożliwia zapamiętanie dodatkowych informacji opisujących połączenie.

Komunikacja z serwerem

Karta Serwer pozwala określać protokoły udostępniane przez serwer. Administrator systemu powinien poinformować nas jaki protokół trzeba w tym miejscu ustawić. Do dyspozycji mamy protokoły: PPP, SLIP oraz Windows.

Kolejnym krokiem jest wybór protokołu sieciowego (niższej warstwy). Do dyspozycji są TCP/IP. IPX/SPX i NetBEUI. Komunikacja pomiędzy dwoma komputerami jest możliwa tylko w przypadku, kiedy wykorzystują one ten sam protokół sieciowy. Aby uniknąć zbędnego obciążenia sieci należy wybrać tylko te protokoły, które faktycznie będą używane. Może się zdarzyć, że niektóre opcje będą niedostępne, zablokowane przez administratora. W przypadku wyboru protokołu TCP/IP należy go odpowiednio skonfigurować klikając przycisk Ustawienia TCP/IP. Jeżeli otrzymaliśmy od dostawcy usług internetowych (providera) własny adres IP wybieramy opcje Podaj adres IP, a następnie wprowadzamy wszystkie cztery części tego adresu. Jeśli nie (numer IP jest przydzielany dynamicznie) - należy zaznaczyć opcje Adres IP przypisaną przez serwer.

W Internecie dostępne są tak zwane "serwery nazw" (DNS Domain Name Server) przekształcające symboliczną nazwę komputera (np. www.chip.pl.) na odpowiadający mu internetowy numer IP . Jeżeli nasz provider posiada własny serwer nazw, zaznaczamy przycisk wyboru Adresy serwerów nazw przypisane przez serwer. W przeciwnym przypadku można wprowadzić w oba pola adresy serwerów nazw po uprzednim zaznaczeniu opcji Określ adresy serwerów nazw. Może się zdarzyć, że w Sieci będzie dostępny także tzw. WINS (Windows Internet Name Service), który wprowadzony został wraz z Windows NT 3.5 Jeśli w sieci pojawią się dwa komputery o takich samych nazwach, zadaniem WINS jest odróżnienie ich od siebie. Gdy znamy jeden lub dwa adresy WINS musimy wprowadzić je w odpowiednie pola dialogowe okienka Ustawienia PPP TCP/IP. Wprowadzenie w którego z pól wartości 0.0.0.0 spowoduje zignorowanie go.

Zaznaczenie opcji użyj kompresji nagłówka IP "zmusza" Windows do kompresowania nagłówka IP przy pomocy algorytmu "Van Jacobson", co pozwala na minimalizacje ilości przesyłanych pomiędzy komputerami danych. Serwery starego typu nie potrafią jednak wykorzystywać tej metody. Jeżeli zatem utworzono połączenie, a mimo to transmisja danych nie jest możliwa, należy wyłączyć te opcje. W przypadku gdy użytkownik jest połączony z siecią lokalną przez kartę sieciową, zaznaczenie opcji Użyj domyślnej bramy w sieci zdalnej spowoduje, że pakiety, które nie znajdą odbiorcy w sieci lokalnej trafią do Internetu. Konflikty adresów pomiędzy sieciami rozstrzygane są na korzyść sieci zdalnej (remote).

Kolejna opcja na karcie Serwer - Włącz kompresję na poziomie oprogramowania umożliwia włączenie programowej kompresji danych. Aby osiągnąć maksymalny efekt kompresji, trzeba włączyć te opcje, a podczas konfiguracji modemu (przycisk Konfiguruj... na karcie Informacje podstawowe) wyłącza opcje Włącz kompresje modemową (jednoczesne włączenie dwóch mechanizmów kompresji powoduje czasem efekt zwiększenia rozmiaru danych, zwykle kompresja programowa jest skuteczniejsza). Opcja Włącz rozszerzenia PPP LCP umożliwia wykorzystanie nowych możliwości protokołu PPP. Jeżeli serwer wyposażony jest w oprogramowanie starszego typu, należy wyłączyć te opcje, gdyż w innym przypadku poprawna transmisja danych nie będzie możliwa.

Zarządzanie skryptami

Logowanie do serwera przebiega zawsze według tego samego schematu. Konieczne jest. podanie nazwy użytkownika, hasła i ewentualnie innych, wymaganych parametrów.

Zautomatyzowanie procedury logowania możliwe jest przy pomocy opcji umieszczonych na karcie Skrypt Standardowo. Przy logowaniu konieczne jest podanie nazwy użytkownika oraz hasła dostępu Jeśli identyfikacja nie jest wymagana i nie potrzebujemy korzystać z programu terminala ani skryptu, trzeba zaznaczyć opcje Nic nie rób. Oznacza to, że połączenie z komputerem docelowym tworzone jest bezpośrednio, z pominięciem identyfikacji.

Inna metoda nawiązania połączenia polega na użyciu w tym celu programu terminala. Po utworzeniu połączenia z serwerem w oknie terminala można podać wszystkie dane niezbędne do zalogowania (jak np. nazwę komputera i hasło). Po pomyślnym zalogowaniu okno można zamknąć, gdyż nie będzie później wykorzystywane.

Jeżeli użytkownik nie wykorzystywał do tej pory skryptów, ani nie otrzymał ich od swojego providera, musi stworzyć je samodzielnie. W systemie dostępnych jest kilka przykładowych skryptów. Windows 95 i Windows NT używają różnych języków skryptów, jednak Windows NT "rozumie" skrypty Windows 95. Jeżeli użytkownik chciałby w dalszym ciągu używać skryptów stworzonych dla Windows 95, musi skopiować je do katalogu "\WINNT\SYSTEM2\RAS". Należy przy tym pamiętać, aby pliki miały rozszerzenie SCP, gdyż dzięki niemu rozpoznawane będą jako skrypty Windows 95. Skrypty mają bardzo prostą budowę. Z reguły posługujemy się jedynie dwoma poleceniami: waitfor i transmit. Polecenie waitfor oczekuje na przysłanie przez serwer określonego wyrażenia (string) i dopiero po jego otrzymaniu skrypt wykonywany jest dalej. Polecenie transmit umożliwia wysłanie do serwera tekstu znajdującego się bezpośrednio za tym poleceniem. Na początku skryptu musi znajdować się wyrażenie ,.proc main", a na końcu "endproc". Wszystkie informacje umieszczone w "ciele" skryptu, a poprzedzone średnikiem są traktowane jako komentarz i ignorowane. Użycie w skrypcie zmiennych $USERID oraz $PASSWORD powoduje wyświetlenie okienka dialogowego, w które użytkownik wpisuje swój identyfikator i hasło. Zaletą takiego rozwiązania jest fakt, że za pomocą tego samego skryptu może logować się wielu różnych użytkowników, bez konieczności jakiejkolwiek jego modyfikacji. Jeżeli komputer wykorzystywany jest tylko przez jednego użytkownika można podać te informacje tekstem otwartym (umieszcza je w ciele skryptu), lecz trzeba pamiętać, że inne osoby będą miały w takim przypadku możliwość ich odczytania.

Z reguły wystarczy ograniczyć powyższy skrypt do podania nazwy użytkownika i hasła Czasami na początku lub na końcu procesu logowania trzeba nacisnąć określony klawisz. Można to łatwo zasymulować za pomocą dodatkowego polecenia transmit (w naszym przykładzie służy do tego polecenie transmit "^M").

Bezpieczeństwo danych

Poważnym problemem funkcjonowania sieci komputerowych jest zapewnienie odpowiedniego poziomu bezpieczeństwa przesyłanych danych. Komunikacja odbywa się z reguły za pomocą łączy telefonicznych, które stosunkowo łatwo można podsłuchać Użytkownicy domowi nie są raczej zainteresowani tym tematem, lecz biorąc pod uwagę wzrastającą popularność takich usług jak np. telebanking, również i oni mogą stać się potencjalnymi ofiarami hackerów. Dlatego każdy powinien już od początku starać się zagwarantować maksymalne bezpieczeństwo przesyłanych danych, tak aby później nie zachodziła konieczność dokonywania zmian projektowych w funkcjonujących już systemach. Wybranie opcji Dopuszczaj każde sprawdzenie autentyczności (włącznie ze zwykłym tekstem) pozwala na zestawienia połączenia na podstawie dowolnej metody potwierdzania autentyczności (PAP, SPAP, MD5-CHAP i MS-CHAP). Jest to wariant o najmniejszym stopniu zabezpieczenia danych - serwer akceptuje dane szyfrowane i nieszyfrowane. Często, szczególnie w starszych sieciach pracujących pod kontrolą systemy UNIX, współpraca z serwerem możliwa jest tylko po wybraniu tej opcji.

Podobnie działa opcja Dopuszczaj tylko zaszyfrowaną weryfikację autentyczności. Jej wybranie również umożliwia nawiązanie połączenia na bazie dowolnej metody weryfikacji autentyczności użytkownika z tym jednak, że nie jest akceptowany protokół PAP ( passsword autentication protocol). Opcję tę można wybrać, jeżeli nie chcemy aby hasła były wysyłane tylko w formie zakodowanej. Ostatnia dostępna na tej karcie opcja umożliwia przyjęcie rozwiązania, w którym oba komputery będą wykorzystywały opracowany przez Microsoft protokół potwierdzania autentyczności

MS-CHAP (ang. Challange Handshake Autentication Protocol). Opcjonalnie można wymusić wysłanie wszystkich danych w formie zakodowanej ( opcja wymagaj szyfrowania danych), a nazwa użytkownika i hasło podawane przy logowaniu się do systemu Windows NT - o ile są identyczne - mogą zostać automatycznie wykorzystywane również przez serwer ( opcja użyj bieżącej nazwy użytkownika i hasła). Ostatnia karta - X.25 pozwala na dołączenie różnych informacji (typu maksymalna szybkość łącza) okienko to urządzeń wykorzystujących protokół X.25. W zależności od ich typu podać należy odpowiednie parametry

Protokoły sieciowe obsługiwane przez system Windows NT

SLIP (Serial tine Internet Protocol):

SLIP jest jednym ze starszych protokołów sieciowych. Pierwotnie wykorzystywany był do komunikacji pomiędzy komputerami pracującymi pod kontrolą systemu UNIX, podłączonych za pomocą portu szeregowego lub modemu. Wykorzystywanie protokołu SLIP wymaga posiadania stałego numeru IP. Jest to jego podstawowa wada, gdyż przydzielony konkretnemu użytkownikowi numer jest blokowany i nie może być już wykorzystywany przez nikogo innego. W technice komputerowej (a przede wszystkim w odniesieniu do Sieci) pod pojęciem "protokół" rozumie się pewien schemat przekazywania danych.

PPP (Point to Point Protocol):

PPP jest w chwili obecnej jednym z najczęściej używanych protokołów. Podczas jego opracowywania szczególną uwagę zwrócono na to, aby był jak najbardziej elastyczny i by można było go wykorzystywać na rozmaitych platformach i systemach komputerowych. W przeciwieństwie do SLIP adresy przydzielane są w sposób dynamiczny, tzn. przy każdym wywołaniu przydzielany jest inny adres IP, tak że provider może dysponować mniejszą ilością adresów internetowych. Jako protokoły sieciowe (niższej warstwy) PPP może wykorzystywać TCP/IP, IPX i NetBEUI.

Windows 3.11 (Windows Internet Protocol):

Początkowo Microsoft chciał wylansować własny protokół służący do komunikowania się pomiędzy komputerami pracującymi pod kontrolą systemu Windows. Nie znalazł on jednak większego uznania i obecnie wykorzystywany jest na nielicznych serwerach z Windows 3.x i Windows NT .

Adres IP:

Każdy komputer podłączony do sieci Internet musi posiadać własny, jednoznaczny adres. Podobnie jak listonosze, serwery internetowe muszą dokładnie wiedzieć, komu mają dostarczyć pakiety danych. W Internecie nie ma kodów pocztowych czy też nazw ulic, identyfikacja następuje na podstawie numerów (P. Numer taki składa się z czterech części, oddzielonych od siebie kropką (np. 111.213.103.23) Każdy komputer posiada własny, unikatowy i niepowtarzalny numer. Jednak już teraz wiadomo, że zakres numerów nie będzie w przyszłości wystarczający dla wszystkich podłączonych do Sieci komputerów. Dlatego też trwają obecnie prace nad opracowaniem nowego systemu adresowania w Internecie. Prawdopodobnie numer będzie składał się z sześciu części. Wielkość ta powinna być wystarczająca dla wszystkich komputerów na całym świecie.

Ponieważ jednak zapamiętanie takiego numerowego adresu jest dosyć trudne, równolegle wprowadzony został inny sposób adresowania komputerów. Opiera się on na tak zwanych adresach symbolicznych (np. ftp.uni-kl.de dla serwera ftp na Uniwersytecie w Keiserslautern w Niemczech, czy też www.swf.de dla serwera WWW niemieckiej rozgłośni radiowej SWF). Nazwa składa się z szeregu (nieokreślonej liczby) nazw poszczególnych domen (Domain Names), oddzielonych od siebie kropkami. Każdej nazwie przyporządkowany jest dokładnie jeden numer IP. Translacja nazw na numery dokonywana jest przez tzw. Domain Name Server, który stanowi swoistą "książkę telefoniczną" dla adresów internetowych.

TCP/IP Transport Protocol( /Internet Protocol):

Protokół TCP/IP składa się w zasadzie z dwóch protokołów TCP (Transmission Control Protocol) i IP (Internet Protocol). TCP umożliwia stały przepływ danych pomiędzy komputerami i wykorzystuje do tego celu protokół transportowy IP. TCP/IP umożliwia takie połączenie niezależnych sieci, dzięki któremu każdy węzeł może się komunikować ze wszystkimi pozostałymi komputerami. Architektura ta pozwala na zastosowanie dowolnych rodzajów transmisji. W przypadku gdy główną rolę odgrywać będzie mobilność, można wykorzystywać połączenia bezprzewodowe. Jeżeli przy większych prędkościach transmisji danych nie są wystarczające przewody miedziane, można zastosować światłowody TCP/IP opracowano z uwzględnieniem następujących założeń:

- niezależność od medium transmisyjnego

- komunikacja typu "od końca - do końca" poprzez różnorodne sieci

- odporność na zakłócenia i uszkodzenia łączy.

IPX/SPX:

Para protokołów opracowanych przez firmę Novell i wykorzystana w aplikacjach sieciowych systemu Novell Netware. IPX jest protokołem transportowym (niższej warstwy) i pełni funkcje podobny do protokołu IP. SPX to protokół warstwy sieciowej odpowiadającej m.in. za routing pakietów (odpowiednich TCP).

NetBEUI:

NetBEUI jest protokołem sieciowym, który z reguły wykorzystywany jest w niewielkich sieciach lokalnych (o wielkości do 100 stacji roboczych). Jako jedyną metodę routingu może wykorzystywać routing źródłowy sieci Token Ring.

Podsumowanie

Zarówno Windows NT jak i Novell Netware 4 to bardzo elastyczne platformy sieciowe mogące współpracować z wieloma systemami operacyjnymi i różnymi rodzajami sieci zarówno LAN jak i WAN. Chociaż poprzednio Windows NT nie był poprawnie podtrzymywany, to nowe oprogramowanie klienta pozwala również na pełną łączność z NetWare 4 i Unix'em. Bardzo istotną cechą systemu Windows NT jest jego zorientowanie na współpracę z Internetem oraz rozbudowane funkcje Intranetowe. Z pewnością jest to pakiet oferujący bardziej rozbudowane i pewne funkcje sieciowe. WINDOWS NT jest dużo tańszy oferując przy tym wygodny intuicyjny interfejs zbliżony do popularnego MS WINDOWS 95 oraz pełną zgodność z popularnymi programami na tę platformę oraz zapewniając przyzwoitą stabilność i funkcje pracy grupowej, co czyni ten system atrakcyjną ofertą dla małych sieci LAN. Na tym też rynku system ten staje się coraz popularniejszy i zaczyna zdobywać coraz większy udział, który dotychczas w tej gałęzi był zdominowany przez Novella. Zapowiadane rozszerzenia i udoskonalenia oraz zorientowanie systemu na Internet i Intranet w nowej wersji Windows NT 5.0 mogą oznaczać zdobycie przez Microsoft pozycji dominującej na rynku małych sieci LAN oraz zaatakowanie rynku dla większych sieci, opanowanego w znacznej części przez systemy Unix'owe.

Wykonanie sieci komputerowej w szkole

Opis wykonania sieci

Istnieje kilka sposobów łączenia komputerów w sieć. Najpopularniejszym z nich jest połączenie za pomocą przewodu koncentrycznego o impedancji 50/metr ze złączami typu BNC. Połączenie to charakteryzuje się jednak dużą awaryjnością. Jest ona spowodowana tym, iż warunkiem koniecznym do poprawnej pracy sieci jest prawidłowe podłączenie do sieci wszystkich stanowisk. Oznacza to, że w przypadku rozłączenia instalacji przy jednym stanowisku następuje awaria całej sieci.

Bardziej korzystnym sposobem połączenia komputerów w sieć jest połączenie za pomocą ekranowanego przewodu typu UTP (skrętka) z wtyczką RJ45. Jest to jednak rozwiązanie droższe, ponieważ konieczne jest podłączenie każdego stanowiska osobnym przewodem oraz zastosowanie koncentratorów sieciowych (HUB) pełniących rolę rozdzielaczy sygnału. Takie rozwiązanie umożliwia połączenie ze sobą komputerów bardziej oddalonych od siebie, jest o wiele stabilniejsze i znacznie ułatwia pracę w przypadku sieci z większą ilością stanowisk. Uzasadniona więc jest decyzja o wykonaniu sieci z wykorzystaniem takiego połączenia. Wszystkie przewody wchodzące w skład wykonanej instalacji sieciowej prowadzone są w osłonach w postaci korytek ochronnych z tworzywa o wymiarach 32x15mm oraz 50x20mm.

Szkolna sieć komputerowa składa się z:

• ośmiu stanowisk opartych na komputerach wyposażonych w procesor Intel Pentium II Celeron 333A,

• stanowiska multimedialnego - komputera Optimus Hiper Media Basic,

• jednego komputera wyposażonego w urządzenia peryferyjne tj. drukarkę laserową firmy Lexmark, skaner, urządzenie do zapisu płyt CD-ROM oraz dodatkowo kartę fax-modem,

• trzech stanowisk złożonych z komputerów starszej generacji (dwa komputery 286AT oraz jeden 486)

Rolę serwera pełni komputer z procesorem Pentium II 200 MHz wyposażony w 128 MB pamięci RAM oraz dwa dyski 4,5 GB, co czyni go najmocniejszym i najbardziej nadającym się do tego celu komputerem w szkolnej sieci.

Wszystkie komputery wyposażone są w karty sieciowe umożliwiające połączenie.

Ponadto w ramach prac związanych z wykonywaniem sieci komputerowej w szkole

położono nową instalację elektryczną oraz dokonano renowacji parkietu.

Schemat instalacji sieci

Bibliografia

1. „Wstęp do Informatyki”

Ryszard Tadeusziewicz - Kraków 1997

2. „System operacyjny Unix”

Peter P. Silvester - Warszawa 1990

3. „Budowa systemów operacyjnych”

Maurice J. Bach - Warszawa 1995

4. „Podstawy systemów operacyjnych”

A. Silberschatz, J. Peterson, Peter B. Galvin - Warszawa 1993

5. „TCP / IP - Administracja sieci”

Craig Hunt - Warszawa 1996

6

---