Semestr zimowy r.a.2002/2003

dr inż. Andrzej Kluza

www.sggw.waw.pl/~kluza

Przedmiot Systemy operacyjne - Wykład.

Raport ma zawierać: datę, nazwiska wykonawców, wstęp, część szczegółową, wnioski w zakończeniu.

Ocena z przedmiotu jest oceną sumaryczną z ćwiczeń i wykładów.

Raporty z ćwiczeń i kolokwia z wykładu będą oceniane punktowo.

Program poszczególnych ćwiczeń:

- szczególnie warto się na tym temacie skupić.

Część I Windows 2000 Professional.

Diagnostyka systemu komputerowego.

Instalacja systemu Windows 2000 Professional.

Administracja systemu Windows 2000 Professional.

Praca z usługą Active Directory.

Praca z usługą Active Directory.

Część II Linux

Zajęcia 6 - 10

Część III Procedury systemowe

11. Procedury w systemie Windows 2000 Professional.

12. Procedury w systemie Windows 2000 Professional.

13. Procedury w systemie Linux.

14. Procedury w systemie Linux.

15. Zaliczenia - wpisy do indeksu.

Wykład 1. Wstęp. Uprawnienia dla użytkownika systemu.

Uprawnienia do folderów.

Uprawnienia do plików.

Uprawnienia do folderów udostępnianych.

Wykład 2. Grupy użytkowników. Zasady grup. Prawa. Profile.

Administrator jest osobą tworzącą system, konserwującą system i sprawującą opiekę nad sprawną pracą systemu.

Użytkownik: człowiek lub maszyna (np. produkcyjna) lub komputer.

Funkcje administratora:

1. Administrowanie: a) sprzętem,

b) oprogramowaniem,

c) kontami użytkowników,

2. Wprowadzanie zasad bezpieczeństwa i utrzymywanie bezpieczeństwa systemu

w tym tworzenie kopii zapasowych i odtwarzanie systemu.

3. Rozpoczynanie i kończenie pracy systemu, prowadzenie rejestru systemu (zapisów).

Prawa administratora (głównego użytkownika):

- możliwość czytania, zapisywania i kasowania każdego folderu i pliku,

- wykonywanie każdego programu,

Dlaczego nie należy uruchamiać komputera jako administrator

Nie należy dodawać siebie do grupy Administratorzy, a także należy unikać uruchamiania komputera, logując się do niego jako administrator. W większości przypadków należy logować się jako członek grupy Użytkownicy lub Użytkownicy pełnomocni. Jeżeli trzeba wykonać zadanie, które może wykonać tylko administrator, należy zalogować się jako administrator, wykonać zadanie i wylogować się.

Uruchamianie systemu Windows 2000 jako administrator sprawia, że system staje się podatny na ataki programów typu Koń trojański lub inne ryzyko utraty bezpieczeństwa. Nawet prosty akt odwiedzin witryny internetowej może okazać się niezwykle groźny dla systemu. W nieznanej witrynie internetowej może kryć się kod programu typu Koń trojański, który zostanie pobrany do komputera i wykonany. Jeżeli użytkownik jest zalogowany z uprawnieniami administratora, program typu Koń trojański może spowodować sformatowanie dysku twardego, usunięcie wszystkich plików, utworzenie nowego konta użytkownika z dostępem administracyjnym i wiele, wiele innych.

Dziedziczenie uprawnień:

Jeśli użytkownik utworzy w folderze do którego ma uprawnienia obiekt, to dziedziczy on uprawnienia po folderze.

Poziomy zabezpieczeń wg. Departamentu Obrony USA:

poziom D - minimalne zabezpieczenia,

poziom C - zabezpieczenia z dowolnością ich stosowania,

poziom B - zabezpieczenia z przymusem ich stosowania,

poziom A - zabezpieczenia o udowodnionej skuteczności.

np. Unix System V Rel. 4.0 ma klasyfikację C2.

Użytkownicy i grupy są ważne dla zabezpieczeń systemu Windows 2000, ponieważ można ograniczyć zdolność użytkowników i grup do wykonywania pewnych akcji, przypisując im prawa i uprawnienia.

Funkcja Użytkownicy i hasła z Panelu Sterowania.

Użytkownicy i hasła: Snap-in MMC (przystawka Microsoft Management Console)

Tworzenie i usuwanie lokalnych kont użytkowników,

Dodawanie, modyfikowanie i usuwanie użytkowników do/z grup lokalnych,

Zarządzanie hasłami,

- zmiana zapomnianego hasła, ustalanie wygaśnięcia,

Dostęp do ustawień zarządzania certyfikatami i do bezpiecznego uruchamiania.

Przypisywanie profili,

- trzeba być zalogowanym na konto o uprawnieniach administratora.

Prawa użytkowników: Przywileje i Prawa zalogowania.

Przywileje - ułatwiają administrację. Przywileje należy przypisywać przede wszystkim kontom grupowym (grupom), nie pojedynczym użytkownikom. Przywileje mają pierwszeństwo przed uprawnieniami, np. zabraniającymi dostęp do plików.

Przykłady przywilejów: utworzenie kopii zapasowych plików i katalogów, omijanie sprawdzania przemieszczenia, zmiana godziny systemowej, wymuszenie zamknięcia z systemu zdalnego, zwiększenie przydziałów, utworzenie profilu wydajności systemu, zamknięcie systemu, przejęcie posiadania obiektów.

Prawa zalogowania. Pod kontem „LocalSystem” działają wszystkie procesy systemu operacyjnego. Prawa zalogowania np.: prawo zalogowania lokalne, zalogowania jako proces wsadowy, odmówienia dostępu do tego komputera z sieci, odmówienia zalogowania lokalnego.

Profil użytkownika

- zespół ustawień dotyczących środowiska pracy każdego użytkownika (konta) Jest automatycznie tworzony i utrzymuje ustawienia dotyczące środowiska pracy: ustawienia programów, kolory ekranu, połączenia sieciowe, połączenia drukarek, ustawienia myszy, rozmiary i położenie okien, preferencje pulpitu (menu Start, Ulubione, Moje Dokumenty). Użytkownik otrzymuje te same ustawienia, co przed wylogowaniem. Zasady grup mają pierwszeństwo przed ustawieniami użytkowników.

Rodzaje profili użytkowników:

Profil lokalny - tworzony na lokalnym dysku twardym.

Profil mobilny - zapisywany na serwerze sieciowym, dostępny w sieci.

Profil obowiązkowy - przechowywane na serwerze, nie podlega aktualizacji.

Active Directory.

Konfiguracja Fizyczna sieci

Konfiguracja logiczna

Domena - Grupa komputerów, które są częścią sieci i współużytkują pojedynczą katalogową bazę danych. Domena jest organizowana w poziomach i jest administrowana jako jednostka ze wspólnymi regułami i procedurami.

Elementy Active Directory:

Domena na kontrolerze domeny.

Jednostka Organizacyjna (OU) - pojemnik (kontener), mogący zawierać:

Użytkowników, Grupy Użytkowników, Foldery, Foldery Udostępnione,
Pliki, Drukarki i podrzędne Jednostki Organizacyjne.

Domeny reprezentują logiczną część w obrębie Active Directory ze względu na bezpieczeństwo i replikację katalogów. Domeny są powiązane bezpośrednio z przestrzenią nazw DNS i są w rzeczywistości dostępne poprzez DNS.

Kiedy należy tworzyć Jednostki Organizacyjne:

JO w Active Directory służą do dwóch podstawowych celów:
1) Jako partycje do delegowania administracji.

Aby kontrolować administrację: JO działają jako partycje administracyjnych delegacji. Często JO będą używane do zakreślenia obszaru administracji zasobów.

2) Jako zbiorniki dla zastosowań polityki. W celu odzwierciedlenia Struktur Organizacyjnych: W rozmiarze, w jakim wspierają one administrację, JO powinny dostarczać pewnych detalów co do tego, jak wygląda struktura organizacyjna przedsiębiorstwa.

Jednostki organizacyjne OU rezydują wewnątrz struktury domenowej, ale same OU nie są częścią przestrzeni nazw. Ponieważ uprawnienia administracyjne mogą być przydzielane na poziomie OU (uprawnienia na poziomie domeny mogą być zbyt szerokie, a na poziomie obiektów zbyt pracochłonne), prawidłowe stworzenie struktury OU w domenie daje administratorowi dogodne narzędzie do przekazywania części swoich obowiązków innym.

Strukturę jednostek organizacyjnych OU można zagłębiać w dowolny sposób, ponieważ Active Directory nie narzuca żadnych restrykcji na ilość poziomów OU, jednakże należy pamiętać, że zbyt rozbudowana struktura raczej utrudnia, niż ułatwia administrację, a więc należy dość ostrożnie podchodzić do zagnieżdżania jednostek organizacyjnych.

Codzienna praca administracyjna obejmuje:

tworzenie OU,

tworzenie użytkowników i kontaktów,

tworzenie grup i dodawanie do nich użytkowników,

publikowanie udostępnionych zasobów sieciowych, takich jak foldery i drukarki,

przemieszczanie użytkowników, grup i OU,

wyszukiwanie obiektów przy użyciu (bądź nie) filtrów.

Delegowanie administracji

JO pozawalają na szczegółową delegację zadań administracyjnych. Pozwala na to inteligentna rozmieszczenie kontroli administracyjnej na wielu poziomach, pozwalając na zebranie użytkowników, komputerów oraz innych obiektów pod jedną JO, a następnie na przekazanie administracji tej JO odpowiedniemu administratorowi.

Grupa "Administratorzy Produkcji" została oddelegowana do JO Produkcja i zaopatrzona w pełny dostęp poza tym zarezerwowanym dla administratorów z poziomu korzenia. Użytkownikom i Drukarkom w JO oddelegowano jedynie kontrolę nad odpowiednimi obiektami (użytkownikami i drukarkami).

Komponenty

Bezpieczeństwo:

Role serwera

Na zagadnienia bezpieczeństwa wpływają również role, jakie odgrywać będą poszczególne serwery w obrębie organizacji (role takie jak kontrolery domeny, serwery sieci Web, serwery plików lub serwery baz danych).

Kontroler domeny

Serwer plików

Serwer aplikacji

Serwer baz danych

Wyrocznia dla certyfikatów

Serwer sieci Web

Ściana ogniowa

Serwer zdalnego dostępu oraz router

Kontroler domeny

Kontrolery domeny zarządzają wszelkimi aspektami interakcji użytkownik-domena. Na każdym kontrolerze domeny znajduje się Active Directory, i przechowuje on listy uwierzytelniające dla wszystkich kont w domenie, jak również do celów polityki bezpieczeństwa bazującej na domenie i konfiguracji. Z powodu przechowywania wrażliwych informacji, i z powodu ich krytycznych roli w przedsiębiorstwie, serwery działające jako kontrolery domeny powinny być powiązane ze ścisłymi miarami bezpieczeństwa.

Serwery plików

Serwery plików przechowują pliki dostępne dla grup użytkowników. Głównym celem bezpieczeństwa stawianym serwerom plików jest zagwarantowanie integralności plików i ich dostępności właściwym grupom i użytkownikom.
Określenie poziomu bezpieczeństwa, który byłby powiązany z serwerami łączy się z danymi, jakie się na nich znajdują. Właściciele danych lub polityka wydziałowa normalnie narzuci miary i standardy, które powinny być stosowane do przechowywania danych.

Serwery aplikacji i baz danych

Na serwerach aplikacji i baz danych działają programy, które są przeznaczone do użytku sieciowego dla wielu grup i użytkowników. Głównym zadaniem, odnośnie bezpieczeństwa, stawianym serwerom aplikacji, jest zapewnienie dostępności programów odpowiednim grupom i użytkownikom, spójności programu lub programów, oraz spójności danych w rejestrze.
Przypisz odpowiednie prawa i zezwolenia dla grup korzystających z serwera. Będą one na ogół wyszczególnione przez osobę (osoby) administrujące konkretną aplikacją.
Ogólnie rzecz biorąc, grupy nie potrzebują dokonywać modyfikacji danych na serwerze, a zezwolenie na Odczyt powinno wystarczyć w większości przypadków. Jednakże, jeżeli użytkownik ma w czasie sesji pozwolenie na modyfikowanie plików konfiguracyjnych specyficznych dla danego programu, będą musieli posiadać zezwolenie na Zapis tych plików.

Autorytet certyfikatów

Korzystając z oprogramowania komputerowego w celu ustanowienia autorytetu certyfikatów (certification authority - CA), takiego jak Microsoft Certificate Server, można zaprojektować serwer aby służył jako CA dla całej organizacji, dostarczając cyfrowych certyfikatów do identyfikacji i uwiarygodniania użytkowników, wpisywania kodu, lub do innych specyficznych celów.
Serwery certyfikatów często będą zasługiwały na najwyższy poziom zabezpieczeń z dostępnych w całym przedsiębiorstwie, gdyż pójście na kompromis w przypadku autorytetu certyfikatów naruszyć prawie wszystkie inne aspekty bezpieczeństwa danych.

Serwer sieci Web

Oprogramowanie serwerów sieci Web, takie jak Microsoft Internet Information Services (IIS), umożliwia komputerowi z Windows 2000 Server na przechowywaniu danych dostępnych poprzez intranet, extranet lub ogólny dostęp internetowy.
Bezpieczeństwo serwerów sieci Web jest łączone z poszczególnymi danymi, które są serwowane. W najprostszym przypadku, serwer sieci Web jest bardzo często również serwerem replikacji, ale w wielu przypadkach, serwery sieci Web również umożliwiają dostęp do sieci zarówno wewnętrznych jak i zewnętrznych.

Zapory ogniowe

Zapora ogniowa (taka jak Microsoft Proxy Server) działa jako bezpieczna brama pomiędzy ośrodkiem (wewnętrzną siecią) a sieciami zewnętrznymi (intranetami, extranetami lub Internetem), ograniczając zarówno kierunek jak i rodzaj zapytań. Najbardziej efektywne zapory ogniowe działają również jako serwery proxy przeznaczone do specyficznych usług. Oznacza to, że program na serwerach zaporach ogniowych służy jako pośrednik między ośrodkami i istniejącymi usługami, aby obsłużyć operacje na sieciach zewnętrznych (takich jak przeglądanie sieci Web). Programy proxy są projektowane do użytku z konkretnymi protokołami komunikacyjnymi, i mogą nakładać wyrafinowane ograniczenia na dane. Zapory ogniowe mogą również ukryć wewnętrzne adresy sieciowe przed sieciami zewnętrznymi i odrzucać połączenia z konkretnych adresów sieci zewnętrznych.

Serwer zdalnego dostępu i routingu

Serwer zdalnego dostępu gwarantuje możliwość uzyskania zdalnego dostępu do danych. Windows 2000 Routing and Remote Access Service (RRAS) może wykonywać poniższe role serwera:

Serwer przychodzących połączeń telefonicznych

Serwer Wirtualnej Prywatnej Sieci (Virtual Private Network - VPN)

Serwer routingu

Pojedynczy serwer może spełniać wszystkie te role, lub każda z ról może zostać rozmieszczona między różnymi serwerami.

Grupy użytkowników w Active Directory

- trzeba być zalogowanym na konto o uprawnieniach administratora.

Domyślne grupy użytkowników (grupy zabezpieczeń)

posiadają następujące ustawienia uprawnień:

Gość - ograniczone uprawnienia, nie podtrzymuje ustawień profilu.

Goście mają domyślnie takie same prawa dostępu jak członkowie grupy Użytkownicy, z wyjątkiem konta Gość, które jest objęte dodatkowymi ograniczeniami

Użytkownik - podstawowe uprawnienia, podtrzymuje ustawienia profilu,

Użytkownicy nie mogą przeprowadzać przypadkowych ani celowych zmian na poziomie całego systemu. Mogą oni zatem uruchamiać aplikacje uwierzytelnione, ale na ogół nie starsze aplikacje

Zaawansowany użytkownik - średnie uprawnienia, podtrzymuje ustawienia profilu, może użytkować starsze oprogramowanie, nie tylko uwierzytelnione.

Użytkownik standardowy (grupa Zaawansowany użytkownik) - może modyfikować konfigurację komputera i instalować programy, ale nie może odczytywać plików należących do innych użytkowników,

Operatorzy kopii zapasowych mogą zastępować ograniczenia zabezpieczające tylko w celu sporządzania kopii zapasowych lub odzyskiwania plików

Administrator - Administratorzy mają pełny i nieograniczony dostęp do komputera/domeny

Okno własności użytkownika w serwerze AD.

Terminologia zabezpieczeń Windows 2000

Polityka (Policy)	Polityka jest zbiorem reguł, które rządzą oddziaływaniami między podmiotem i obiektem
Polityka grupowa (Group Policy)	Rozszerzalna struktura, która odwołuje się do stosowania polityki do "grup" komputerów i/lub użytkowników, zawartych w kontenerach AD
Obiekt Polityki Grupowej (Group Policy Object)	Obiekt polityki grupowej (GPO) jest zbiorem wirtualnym polityk

[http://www.microsoft.com/poland/windows2000/technic/terminology/Maintenance.asp] 

Polityka grupowa (Group Policy) - Windows NT 4.0 wprowadził Edytor Polityki Systemu - System Policy Editor (PolEdit.exe), który daje administratorowi możliwość tworzenia pliku, który zawiera ustawienia rejestru, w którym przypisana jest użytkownikowi lub lokalnej maszynie część rejestru bazy danych maszyny klienta, aby wygenerować pożądane środowisko dla użytkownika. Ustawienia profilu użytkownika, specyficzne dla użytkownika, który loguje się na danej stacji roboczej lub serwerze, są umieszczone w rejestrze pod HKEY_CURRENT_USER. Podobnie, ustawienia specyficzne dla maszyny są umieszczone pod HKEY_LOCAL_MACHINE. Kiedy stosuje się politykę, istniejące ustawienia rejestru są zastępowane ustawieniami, które ustalił administrator, co daje administratorowi zdolność do ustawiania ograniczeń na maszynie-kliencie i u użytkownika końcowego. Przy właściwie stosowanej polityce, niezależnie od tego, gdzie loguje się użytkownik, środowisko użytkownika może być dostosowane do specyfikacji administratora. Dostępne ustawienia pokrywają różnorodność opcji zarządzania środowiskiem.

Rodzaj polityki zawiera nie tylko polityki "oparte na rejestrach", ale pozwala usługom obiektowych baz danych (Directory Services) zachować wiele rodzajów danych dotyczących polityki -na przykład: rozmieszczenie plików, rozmieszczenie aplikacji, skrypty logowania/wylogowania, skrypty startu/zamknięcia, bezpieczeństwo domeny

Ta nowa infrastruktura opiera się na podejściu skoncentrowanym wokół dokumentu ("dokumentocentrycznym"). Narzędzie do konfigurowania polityki Edytor polityki grupowej: Group Policy Editor (GPE)

Administrowanie oparte na polityce (Policy-based Administration) - Celem administrowania opartego na polityce jest "Zdolność administratora do ustalania od razu życzeń, dotyczących jego środowiska użytkownicy/komputer, a następnie polegać na systemie w celu wymuszenia tych życzeń."

Pomysł jest prosty. Polityki wyrażają prawa biznesu. Polityki używane zwykle w systemach rozproszonych, określają, jak w sieci następuje dostęp do zasobów, ich konfiguracja i użytkowanie. Na przykład, gdy użytkownik loguje się, polityki określają, jakie aplikacje zobaczy na swoim biurku. Gdy usługa (na przykład Serwer SQL) startuje na komputerze, polityki określają, jak wielu użytkowników może przyłączyć się do usługi. Gdy pracownik przesuwa się do grupy inżynieryjnej, polityki określają, do jakich dokumentów i innych usług ma dostęp. Ponieważ pojedyncza polityka może być stosowana do wielu użytkowników, maszyn, usług, administrator zarządza małą liczbą polityk zamiast wielka liczbą komputerów.

Porównanie Zasad systemowych Windows

Zasady systemowe w systemach Windows NT 4.0, Windows 95 i Windows 98

     Ustawienia zasad systemowych określonych w Edytorze (Poledit.exe):

• Mają zastosowanie do domen.

• Podlegają przystosowaniu na podstawie przynależności użytkowników do grup zabezpieczenia.

• Nie są zabezpieczone (użytkownik może je zmienić za pomocą Edytora rejestru Regedit.exe).

• Zastępują preferencje użytkowników.

• Pozostają w profilach użytkowników, dopóki dane ustawienie nie zostanie zmodyfikowane lub dopóki użytkownik nie dokona zmiany w rejestrze.

• Są ograniczone do centralnie wymuszanych rodzajów reakcji pulpitu, opartych na ustawieniach rejestrowych.

W systemie Windows 2000, Zasady grup obejmują ponad 110 ustawień związanych z zabezpieczeniami i ponad 450 ustawień rejestrowych. Zasady grup Windows 2000:

• Mogą być oparte na Active Directory lub zdefiniowane lokalnie.

• Mogą być rozszerzone za pomocą MMC lub plików .adm.

• Przechowują ustawienia w zabezpieczonym miejscu.

• Nie zastępują preferencji użytkowników.

• Nie pozostawiają ustawień w profilach użytkowników po zmianie stosowanej zasady.

• Mogą być zastosowane do użytkowników lub komputerów w określonym kontenerze Active Directory (lokacji, domenie, jednostce organizacyjnej).

• Podlegają przystosowaniu na podstawie przynależności użytkowników lub komputerów do grup zabezpieczenia.

• Służą do konfiguracji wielu rodzajów ustawień zabezpieczeń.

• Służą do zastosowania skryptów przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu.

• Służą do instalacji i konserwacji oprogramowania.

• Wspierają przeadresowanie folderów (takich jak Moje Dokumenty i Dane aplikacji).

• Służą do konserwacji Internet Explorer.

Zasady Grup (zasady grupowe).

Zasady Grup pozwalają administratorowi na :

kontrolowanie ustawień software'owych użytkownika

narzucenie mu wymaganych ograniczeń,

czyli mówiąc wprost ­ decydowanie, co mu wolno na komputerze zrobić, a czego nie.

Uwaga Ustawienia zasad grupowych mają pierwszeństwo przed ustawieniami użytkowników.

     Domyślnie ustawienia zasad grupowych przyjmują wartość Nie skonfigurowane. Dla każdego ustawienia można wybrać opcję Włącz lub Wyłącz.

Otwieranie przystawki Zasady grup z konsoli MMC:

C:\WINNT\system32\gpedit.msc - snap- In,
gpedit.chm, gpedit.hlp - pliki pomocy.

Oglądanie ustawień: GPResult.exe.

Zasady grupowe umożliwiają centralne określenie cech niestandartowych oraz ograniczeń dotyczących systemu operacyjnego, konfiguracji pulpitu, aplikacji, przeadresowywania folderów, ustawień językowych, słowników, czy użytkownikom wolno dostosować własne środowisko pracy. Można na przykład zdefiniować rozmaite składniki środowiska pulpitu użytkownika, takie jak programy dostępne dla użytkowników, ikony, które pojawiają się na pulpicie użytkownika, opcje menu Start, które mogą modyfikować użytkownicy na pulpitach i te, których nie mogą modyfikować itd.

Zasady grup obejmują :

a) Ustawienia zasad komputera znajdują się w folderze Konfiguracja komputera i są uzyskiwane, gdy dokonywany jest rozruch komputera. Dotyczą komputera.

     Obejmuje wszystkie ustawienia zasad grupowych dotyczące zachowania systemu operacyjnego, pulpitu, aplikacji, zabezpieczeń oraz skryptów wykonywanych przy uruchamianiu i zamykaniu. Komputerowe ustawienia zasad grupowych zostają zastosowane przy uruchomieniu systemu operacyjnego i podczas okresowego cyklu odświeżania.

b) Zasady użytkownika (ustawienia znajdujące się w węźle Konfiguracja użytkownika konsoli Zasady grup) są uzyskiwane, gdy użytkownik loguje się.

     Obejmuje wszystkie ustawienia zasad grupowych związane z użytkownikami, dotyczące zachowania systemu operacyjnego, konfiguracji pulpitu, aplikacji, zabezpieczeń, skryptów logowania i wylogowywania oraz przeadresowania folderów. Ustawienia w tej kategorii zostają zastosowane przy zalogowaniu użytkownika na komputerze i podczas okresowego cyklu odświeżania.

ad a)

Konfiguracja komputera > Zasady konta dotyczą całego komputera (zasady haseł i zasady blokady konta).

W tym np. zasady haseł:

Zasady Ustawienie lokalne Ustawienie efektywne

Wymagania złożoności hasel Wyłączony Wyłączony

Maksymalny okres ważności hasła 42 dni 42 dni

Minimalna długość hasła 0 znaków 0 znaków

Minimalny okres ważności hasła 0 dni 0 dni

Wymuszaj tworzenie historii haseł 0 pamiętanych 0 pamiętanych

Zapisz hasła dla wszystkich użytkowników w domenie, korzystając
z szyfrowania odwracalnego Wyłączony Wyłączony

Konfiguracja komputera > Zasady lokalne > Przypisywanie praw użytkownika dotyczy wybieranych z listy użytkowników:

Logowanie lokalne, Ładowanie i usuwanie sterowników urządzeń, Modyfikowanie zmiennych środowiskowych systemu, Odmowa dostępu do tego komputera z sieci, Odmowa logowania lokalnego, Tworzenie kopii zapasowych plików i katalogów, Zamykanie systemu.

Ad b) Zasady użytkownika

Przykłady konfiguracj Zasad Użytkownika

Lista Ulubione jest sposobem przechowywania popularnych łączy do późniejszego użycia.

Jeśli włączysz tę zasadę, menu Ulubione jest usuwane z interfejsu, a przycisk Ulubione na pasku narzędzi przeglądarki jest wygaszony. Polecenie Dodaj do ulubionych w menu podręcznym jest wyłączone; gdy użytkownicy klikają je, pojawia się informacja, że polecenie jest niedostępne.

Jeśli wyłączysz tę zasadę lub jej nie skonfigurujesz, użytkownicy mogą zarządzać swoją listą Ulubione.

Zasada ta służy do zapewniania spójności list ulubionych wśród użytkowników w danej organizacji.

Tapeta pulpitu Active Desktop.

Określa tło pulpitu (tapetę) wyświetlane na pulpitach wszystkich użytkowników.

Zasada ta pozwala określić tapetę na pulpitach użytkowników i zapobiega dokonywaniu przez użytkowników zmian obrazu lub jego prezentacji. Określana tapeta może być przechowywana w pliku mapy bitowej (*.bmp), JPEG (*.jpg) lub HTML (*.htm, *.html).

Aby użyć tej zasady, wpisz w pełni kwalifikowaną ścieżkę i nazwę pliku, który przechowuje obraz tapety. Możesz wpisać typ ścieżki lokalnej, takiej jak C:\Winnt\Logo.bmp lub ścieżkę UNC, taką jak \\Serwer\Udział\Logo.bmp.

Zasady są stosowane w następującej kolejności:

1. Unikatowy, lokalny obiekt Zasad grup.

2. Obiekty Zasad grup lokalizacji (site), w kolejności określonej administracyjnie.

3. Obiekty Zasad grup domeny, w kolejności określonej administracyjne.

4. Obiekty Zasad grup jednostek organizacyjnych, od największej do najmniejszej jednostki organizacyjnej (od nadrzędnej do podrzędnej jednostki organizacyjnej) i w kolejności określonej administracyjne na poziomie każdej jednostki organizacyjnej.

Domyślnie zasady zastosowane później zastępują zasady zastosowane wcześniej, jeśli zasady te są niezgodne. Jeśli ustawienia są zgodne, zarówno wcześniejsze, jak i późniejsze zasady składają się na zasadę efektywną.

Zasady, które w przeciwnym razie byłyby dziedziczone od wyższych w hierarchii lokacji, domen lub jednostek organizacyjnych, mogą zostać zablokowane na poziomie lokacji, domeny lub jednostki organizacyjnej.

Korzystając z przystawki Zasady grup i jej rozszerzeń, można:

• Zarządzać zasadami opartymi na rejestrze, za pośrednictwem Szablonów administracyjnych (umożliwiają ustawienie 450 typów zachowania systemu). Przystawka Zasady grup tworzy plik zawierający ustawienia rejestru, które są zapisywane do części „User” lub „Local Machine” bazy danych rejestru. Ustawienia profilu użytkownika właściwe dla użytkownika, który loguje się do danej stacji roboczej lub serwera, są zapisywane w rejestrze w kluczu HKEY_CURRENT_USER (HKCU), a ustawienia właściwe dla komputera są zapisywane w kluczu HKEY_LOCAL_MACHINE (HKLM).

• Przypisywać skrypty (na przykład związane z uruchamianiem i zamykaniem komputera albo z logowaniem i wylogowywaniem).

• Przekierowywać foldery z folderu Dokumenty i ustawienia na komputerze lokalnym do lokalizacji sieciowych.

• Zarządzać aplikacjami (przypisywać, publikować, aktualizować lub naprawiać). Służy do tego rozszerzenie Instalacja oprogramowania.

• Określać opcje zabezpieczeń. Aby uzyskać informacje dotyczące ustawiania opcji zabezpieczeń, zobacz Pomoc online dla przystawki Ustawienia zabezpieczeń.

Komputer z systemem Windows 2000 nie należący do żadnej domeny podlega tylko lokalnym zasadom grupowym, które dotyczą tego komputera i jego użytkowników.

Edytor zasad systemowych (Poledit.exe) z poprzednich wersji zastąpiono w dużym stopniu przez Zasady grup, jednakże jest on wciąż przydatny w niektórych sytuacjach, na przykład do zarządzania komputerami z systemem Windows 2000 nie połączonymi z siecią Windows 2000 Server.

Edytora zasad systemowych można użyć do utworzenia pliku Ntconfig.pol zawierającego ustawienia dla wielu użytkowników. Informacje o dystrybucji pliku Ntconfig.pol znajdują się pod hasłem „Implementing Profiles and Policies for Windows NT 4.0” na stronie

http://windows.microsoft.com/windows2000/reskit/webresources.

Należy użyć tylko ustawień zasad grupowych przeznaczonych dla Windows 2000 Professional (System.adm, Inetres.adm, Conf.adm), które są domyślnie instalowane wraz ze snap-in Zasad grup. Aby przygotować te pliki do otwarcia w Edytorze zasad systemowych, należy usunąć konstrukcję #if ver. Uwaga Plik .adm w systemie Windows 2000 można otworzyć tylko w wersji Edytora zawartej w Windows 2000 (Poledit.exe).

Korzystanie z usługi Zasady grup

Zasady grup to podstawowe narzędzie administratora do definiowania zachowania programów, zasobów sieciowych i systemów operacyjnych wobec użytkowników i komputerów tej samej organizacji oraz do kontroli tego zachowania.

W środowisku usługi Active Directory zasady grup są stosowane do użytkowników lub komputerów zgodnie z ich przynależnością do witryn, domen lub jednostek organizacyjnych.

Administratorzy mogą zarządzać składnikami zasad grup wymienionymi w poniższej tabeli.

Składnik	Opis
Szablony administracyjne	Ustawia zasady dotyczące rejestru
Ustawienia zabezpieczeń	Konfiguruje zabezpieczenia domen, komputerów i użytkowników
Instalacja oprogramowania	Przydziela lub ogłasza programy użytkownikom, którzy powinni je mieć
Skrypty	Określa skrypty służące do logowania i wylogowania użytkowników oraz do uruchamiania i zamykania komputera
Przekierowanie folderu	Umieszcza w sieci foldery specjalne, takie jak np. Moje dokumenty

Aby dodać zasadę grup do konsoli MMC lub korzystać z zasady grup w zapisanej konsoli, trzeba być administratorem.

W systemie Windows 2000 rejestr jest magazynem bazy danych przeznaczonej dla informacji dotyczących konfiguracji komputera. Rejestr zawiera informacje, do których nieustannie odwołuje się system Windows 2000 podczas wykonywania operacji, dotyczące elementów takich jak:

Profile dla poszczególnych użytkowników.

Programy instalowane na komputerze i typy dokumentów, które mogą być tworzone przez poszczególne programy.

Ustawienia właściwości dla folderów i ikon programów.

Sprzęt istniejący w systemie.

Wykorzystywane porty.

Rejestr jest organizowany hierarchicznie jako drzewo i składa się z kluczy i ich podkluczy, gałęzi oraz wpisów wartości.

Domyślne lokalizacje folderów

Lokalizacje domyślne dla folderów specjalnych, które nie zostały przekierowane, zależą od systemu operacyjnego, który był zainstalowany poprzednio:

System operacyjny	Lokalizacja folderów specjalnych
Nowa instalacja systemu Windows 2000	%główny_katalog_systemowy%\Dokumenty i ustawienia; na przykład C:\Dokumenty i ustawienia
uaktualnienie systemu Windows 95 lub Windows 98 z włączonymi profilami użytkownika	%główny_katalog_systemowy%\Profile; na przykład C:\Windows\System\Profile

Przekierowywanie folderów

Rozszerzenia Przekierowywanie folderu przystawki Zasady grup można używać do przekierowywania pewnych folderów specjalnych systemu Windows 2000 do lokalizacji sieciowych.

System Windows 2000 zezwala na przekierowywanie następujących folderów:

Folder specjalny Menu Start	Gdy przekierowywany jest folder Menu Start jego podfoldery są również przekierowywane.
Folder specjalny Dane aplikacji	Ustawienie zasad grup steruje zachowaniem folderu Dane aplikacji, gdy włączone jest buforowanie po stronie klienta. Szukaj w folderze: Konfiguracja użytkownika\Szablony administracyjne\Sieć\Pliki trybu offline w konsoli Zasady grup.
Pulpit
Folder specjalny Moje dokumenty	Nawet jeśli użytkownik loguje się do różnych komputerów w sieci, jego dokumenty są zawsze dostępne.

Aby zindywidualizować przekierowany folder użytkownika, zaleca się dołączanie zmiennej %username% do ścieżki; na przykład

\\serwer\udział\%username%\Moje dokumenty

Technologia Pliki trybu offline daje użytkownikom dostęp do folderu Moje dokumenty, nawet jeśli nie są oni połączeni z siecią, szczególnie przydatne dla użytkowników korzystających z komputerów typu laptop.

Gdy używane są mobilne profile użytkownika, częścią mobilnego profilu użytkownika jest tylko ścieżka sieciowa folderu Moje dokumenty, a nie sam folder Moje dokumenty. Dlatego jego zawartość nie musi być kopiowana między komputerem klienckim a serwerem przy każdym logowaniu lub wylogowywaniu użytkownika; dzięki temu proces logowania i wylogowania może być dużo szybszy niż w systemie Windows NT 4.0.

Stosowanie snap-in Zasad grup na komputerze zdalnym wymaga posiadania uprawnień administracyjnych na obu komputerach. Komputer zdalny musi należeć do przestrzeni nazw.

Przeniesienie komputera do sieci AD może wymagać ponownej instalacji systemu ze względów bezpieczeństwa.

Użytkownikami i grupami w domenie lub globalnymi zarządza administrator sieci. Do grup lokalnych można dodawać użytkowników lokalnych, użytkowników globalnych, grupy lokalne i grupy globalne. Nie można jednak dodawać grup i użytkowników lokalnych do grup globalnych.

Centralne ustawienia stacji roboczych i użytkowników
przy użyciu narzędzi Group Policy (Zasady grup) w środowisku AD.

W systemie zabezpieczeń jednym z najbardziej godnych uwagi elementów są obiekty zasad grup (Group Policy Object, GPO). Obiekty GPO umożliwiają administratorom systemów stosowanie jednego profilu zabezpieczeń dla wielu komputerów     Aby centralnie kierować stacjami roboczymi, należy zastosować ustawienia Zasad grup przy użyciu narzędzi Active Directory.

Każdy komputer posiada także jeden lokalny obiekt Zasad grup do zastosowania poza domeną Active Directory.     Istnieje istotna różnica pomiędzy lokalnymi Zasadami grup ustawionymi na pojedynczym komputerze a centralnymi Zasadami grup opartymi na Windows 2000 Server i Active Directory.

Aby utworzyć określoną konfigurację pulpitu dla określonej grupy użytkowników, należy użyć przystawki Zasady grup. Określone przez administratora ustawienia zasad grup są zawarte w obiekcie Zasad grup, który z kolei jest skojarzony z wybranymi obiektami usługi Active Directory - lokacjami, domenami lub jednostkami organizacyjnymi.

Zasad grup używa się aby zdefiniować ustawienia użytkowników i komputerów dla grup użytkowników. Można stworzyć szczegółowe ustawienia pulpitu i - ogólnie - środowiska, dla poszczególnej grupy użytkowników i / lub komputerów poprzez użycie snap-in Group Policy dla MMC. Ustawienia, jakie się tworzy wówczas, są zgromadzone w Group Policy Object (GPO), który jest zespolony z wybranym obiektem AD, takim jak lokalizacja (site), domena czy jednostka organizacyjna. rys:[Introduction to Windows 2000 Group Policy White Paper, Microsoft]

rys:[Introduction to Windows 2000 Group Policy White Paper, Microsoft]

Cechy GPO:

• GPO tworzone są dla poszczególnych domen.

• Wiele GPO może być zespolonych z jedną domeną lub JO.

• Wiele lokalizacji, domen albo JO może użytkować jeden obiekt GPO.

• Dowolna lokalizacja, domena lub JO może być przypisana do dowolnego GPO, nawet znajdującego się w innej domenie (wolne działanie).

Jeśli w domenie są zdefiniowane zasady to zastępują one konkretne odpowiadające im zasady lokalne. To dlatego, gdy Zasady grup używane są wraz z AD, grupy zabezpieczenia można wykorzystać do filtrowania obiektów zasad grupowych.

Użytkownicy i Komputery to jedyne typy obiektów usługi Active Directory, które uzyskują zasady.

Rysunek. Projekty uzyskujące uprawnienia w ramach polityki:

[W ślad za użytkownikiem Autor: Ewa Stelmaszek http://www.pckurier.pl/archiwum/art0.asp?ID=4191]

Ustawianie zasad dla pulpitu użytkownika, uczestniczącego w projekcie.

Ustawienia uprawnień w stosunku do instalacji oprogramowania dla grup użytkowników uczestniczących w projekcie.

Pliki Registry.pol

     Rozszerzenie Szablony administracyjne zapisuje informacje w szablonie zasad grupowych w plikach Registry.pol. Pliki te zawierają dostosowane ustawienia rejestrowe związane z częścią rejestru dotyczącą komputera (HKLM) lub użytkownika (HKCU). Plik Registry.pol w systemie Windows 2000 odpowiada plikowi Config.pol w systemie Windows 95/98 i plikowi NTConfig.pol w systemie Windows NT 4.0.

Managing User Contact Information

Setting Contact Information

Searching for Users and Creating Address Book Entries

Configuring the User's Environment Settings

System Environment Variables

Logon Scripts

Assigning Home Directories

Setting Account Options and Restrictions

Managing Logon Hours

Setting Permitted Logon Workstations

Setting Dial-In Privileges

Setting Account Security Options

Managing User Profiles

Local, Roaming, and Mandatory Profiles

Using the System Utility to Manage Local Profiles

Updating User and Group Accounts

Renaming User and Group Accounts

Copying Domain User Accounts

Deleting User and Group Accounts

Enabling User Accounts

Changing and Resetting Passwords

Troubleshooting Logon Problems

Setting Advanced Active Directory Permissions

Understanding Advanced User, Group, and Computer Permissions

Setting Advanced User, Group, and Computer Permissions

Ćwiczenia 3. Administracja systemu Windows 2000 Professional

Celem ćwiczenia jest zgłębienie bardziej zaawansowanych zadań administratora systemu Windows 2000.

Zalecana bibliografia:

Wyd.Helion http://helion.pl/systemy-w.htm

ABC systemu Windows XP PL     (22.00 PLN)

Administracja Microsoft Active Directory     (35.00 PLN)

Bezpieczeństwo w Windows 2000. Czarna księga     (42.00 PLN)

Bezpieczeństwo w Windows NT/2000. Ćwiczenia praktyczne

MS Windows 2000 (PL) Professional. Ćwiczenia praktyczne   

Po prostu Windows 98 PL     (22.50 PLN)

Po prostu Windows Me     (26.00 PLN)

Po prostu Windows XP PL

Polecenia Windows 2000. Leksykon kieszonkowy     (9.90 PLN)

Windows 2000 Professional (egzamin 70-210)     (49.00 PLN)

Windows 2000 Professional dla każdego     (45.00 PLN)

Windows 2000 Professional. Księga eksperta     (89.00 PLN)

Windows 2000 Professional. Vademecum Profesjonalisty     (45.00 PLN)

Windows 2000 Server (egzamin 70-215)    (55.00 PLN)

Windows 2000 Server dla każdego

Windows 2000 Server. Architektura i implementacja. Czarna księga     (75.60 PLN)    -10%

Windows 2000 Server. Księga eksperta     (89.00 PLN)

Windows 2000 Server. Vademecum profesjonalisty     (135.00 PLN)    -10%

Windows 2000 TCP/IP. Czarna księga     (75.00 PLN)

Windows 2000. Czarna księga administratora     (85.00 PLN)

Active DIrectory

http://www.pckurier.pl/archiwum/art0.asp?ID=4298

http://www.pckurier.pl/archiwum/art0.asp?ID=4219

1. M. Bach , "Budowa systemu operacyjnego Unix", WNT, 1995.

2. Silberschatz, P. Galvin, "Podstawy systemów operacyjnych" (wydanie trzecie, rozszerzone), WNT, 2000.

3. Stephen L. Nelson Microsoft Windows 98 Wyd Mikom http://www.mikom.com.pl/katalog.nsf/dzial/sys_op

4. Bjoern - Erik Hartsfrang Microsoft Windows Me Millennium Edition. Wyd Mikom

5. Diane Koers Microsoft Windows XP Wyd Mikom

6. Agnieszka Michałowska, Sławomir Michałowsk Windows 2000 PL Professional. Ćwiczenia z ... Wyd Mikom

7. Wojciech Fus Windows 2000 Server PL. Ćwiczenia z ... Wyd Mikom

8. Marian Molski, Sebastian Opala Elementarz bezpieczeństwa systemów informatycznych Wyd Mikom

9. A. Silberschatz, P.B. Galvin: "Podstawy systemów operacyjnych", WNT 2000

10. A.M. Lister, R.D. Eager: "Wprowadzenie do systemów operacyjnych", WNT 1994

11. "Operating System Concepts" (fifth edition), John Wiley & Sons, 1998.
    "Applied Operating System Concepts" (first edition), John Wiley & Ons, 2000.

12. B. Goodheart, J. Cox, "Sekrety magicznego ogrodu. UNIX System V Wersja 4 od środka" oraz, pod tym samym tytułem, "Odpowiedzi do wszystkich zadań z podręcznika", WNT, 2001.

13. D.P. Bovet, M. Ceasti, "Linux Kernel", Wydawnictwo RM, Warszawa 2001.
    Strona domowa oryginalnego wydania w serwisie O'Reilly

14. M. Beck, H. Bohme, M. Dziadzka, U. Kunitz, R. Magnus, D. Verworner, "Linux Kernel. Jądro systemu". MIKOM, 1999

15. U. Vahalia, "UNIX - nowe horyzonty", WNT, 2001.

16. W. Stallings, "Operating Systems: Internals and Design Principles 3e, Prentice-Hall, 1997.

17. A.M. Lister, R.D. Eager, "Wprowadzenie do systemów operacyjnych", WNT, 1994.

1. Tanenbaum, "Rozproszone systemy operacyjne", PWN, 1997.

18. G. Coulouris, J. Dollimore, T. Kindberg, "Systemy rozproszone", WNT, 1999.

19. R. Chow, T. Johnson, "Distributed Operating Systems & Algorithms", Addison-Wesley, 1997.

20. M. Ben-Ari, "Podstawy programowania współbieżnego i rozproszonego", WNT, 1996.

21. M. Rochkind, "Programowanie w systemie Unix dla zaawansowanych", WNT, 1993.

1. H. Majidimehr, "Optymalizacja systemu Unix", WNT, 1998.

22. E. Nemeth, G. Snyder, S. Seebass, T.R. Hein, "Przewodnik administratora systemu Unix", WNT, 1998.

23. W. Richard Stevens

24. "Advanced Programming in the UNIX Environment", Prentice-Hall, 1992.

25. "Programowanie zastosowań sieciowych w systemie Unix", WNT, 1995.

26. "UNIX programowanie usług sieciowych. API: gniazda i XTI", WNT, 2000.

27. "UNIX Network Programming. IPC: Interprocess Communication", Prentice-Hall.

28. "UNIX Network Programming. Applications", Prentice-Hall, ukaże się wkrótce.

29. "Biblia TCP/IP. Tom I: Protokoły", Read Me, 1998.

30. "Biblia TCP/IP. Tom II: Implementacje" (wspólnie z Wrightem), Read Me, 1998.

31. "Biblia TCP/IP. Tom III: Uzupełnienie", Read Me, 1998.

32. C. Brown, "UNIX Distributed Programming", Prentice Hall, 1994.

33. M. Gabassi, B. Dupouy, "Przetwarzanie rozproszone w systemie Unix", Lupus, 1995.

34. D.E. Comer, tom1: "Sieci komputerowe TCP/IP. Zasady, protokoły i architektura", tom2: "Sieci komputerowe TCP/IP. Projektowanie i realizacja protokołów", tom3: "Sieci komputerowe TCP/IP. Programowanie w trybie klient-serwer. Wersja BSD." WNT, 1997.

Literatura - dokumentacja z sieci

Linux Kernel 2.4 Internals (pdf)

The Linux Kernel (ps.gz)

The Linux Kernel HOWTO (ps.gz)

Microsoft® Windows® 2000 Administrator's Pocket Consultant, Second Edition W.Stanek Microsoft press

Administracja jest nierozłącznie związana z kontaktami z innymi ludźmi.

Inteligencja =?= zachłannność na wiedzę, na władzę.

„informacja=władza”, „generacja zysku”

Inteligencja to zdolność wyciągania wniosków.

------------------------------------------------------------

-on wie więcej,

więc jest lepszy ode mnie.

- ja chcę mieć tą wiedzę (napięcie).

Potrzebny: *szacunek dla siebie*

------------------------------------------------------------

- ja jestem w czymś lepszy od niego

- mogę się z nim nie liczyć.

:-( potrzebna akceptacja drugiego człowieka

------------------------------------------------------------

- on wie mniej niż oczekiwałem

- mogę się z nim nie liczyć.

:-( potrzebna akceptacja drugiego człowieka

-----------------------------------------------------------

Windows 2000 Server

Kontroler domeny

Windows 2000 Professional

Komputer lokalny

---