ĆWICZENIE NR 5
Transkrypt
ĆWICZENIE NR 5
ĆWICZENIE NR 6 – Użytkownicy i grupy 1 Proces logowania Rozpoczynając prace z systemem na komputerze lokalnym Windows 2000 musimy podać w oknie logowania identyfikator użytkownika oraz prawidłowe hasło dostępu. Windows sprawdza czy podane informacje są zgodne z danymi o autoryzowanych użytkownikach, zapisanymi w wewnętrznej bazie danych. Jeśli wszystko jest prawidłowe użytkownik zostanie wpuszczony. Jeżeli poda błędne dane na ekranie pojawi się komunikat o błędzie i należy zalogować się jeszcze raz. Stosując takie rozwiązanie : • Chronimy dane przechowywane na dyskach przed dostępem osób niepowołanych, które nie znają prawidłowego identyfikatora użytkownika oraz hasła dostępu. • Pozwalamy na korzystanie z tego samego komputera kilku autoryzowanym użytkownikom bez konieczności współdzielenia obszaru danych, bądź korzystania ze wspólnych ustawień. Natomiast logując się do sieci domenowej oprócz nazwy użytkownika i hasła należy podać nazwę serwera lub nazwę domeny.( w polu nazwa użytkownika wpisujemy Identyfikator użytkownika@nazwa domeny ). Chcąc się zalogować naciska się klawisze Ctrl+Alt+Del. 2 Konta użytkowników Konta użytkowników służą do identyfikacji poszczególnych użytkowników w systemie i uzyskania dostępu do zasobów. Nazwa konta użytkownika musi być niepowtarzalna, może składać się maksymalnie z 64 znaków (jednak zalecane jest używanie nazw krótszych niż 15 znaków) i może zawierać dowolną kombinację liter, cyfr oraz większości symboli (z wyjątkiem znaku @ , /, \, <, >, [, ], : , ; , +, =, *, |, , , ? , . ). Windows dopuszcza stosownie spacji w nazwie konta. Windows 2000 Professional po zainstalowaniu ma dwa wbudowane konta użytkowników Administrator oraz Gość. Konto Administrator ma pełną kontrolę, posiada specjalne uprawnienia: nie można go wyłączyć, usunąć, czy zablokować. Konto to umożliwia np. • tworzenie nowych kont użytkowników i zarządzanie nimi • instalację oprogramowania i sprzętu • tworzenie praw dostępu do folderów, plików i drukarek • tworzenie lokalnych grup domeny i zarządzanie nimi Konto Gość jest jednym z predefiniowanych kont systemu operacyjnego Windows 2000. Logując się jako Gość, można uzyskać dostęp do systemu przez podanie dowolnego identyfikatora użytkownika oraz dowolnego hasła dostępu. 3 Domena Windows 2000 jest zbiorem komputerów w sieci, których zasoby i bezpieczeństwo są kontrolowane przez wyznaczony serwer, nazwany głównym kontrolerem domeny. W Windows 2000 wprowadzono usługi Active Directory ( ADS – Active Directory Services) w takiej strukturze konta użytkowników, grup i komputerów są grupowane w jednostkach organizacyjnych, co ułatwia administrację. Użytkownicy Windows 2000 Professional mogą logować się do kontrolera domeny, który sprawdza istnienie konta danego użytkownika w bazie danych katalogu ADS, poprawność podanego hasła, a następnie pozwala na zalogowanie się do domeny. W Windows 2000 żaden komputer nie pełni roli podstawowego kontrolera domeny. Tylko serwery Windows 2000 mogą działać jako kontrolery domeny. Administratorzy domeny mogą definiować zasady bezpieczeństwa dla wszystkich komputerów w domenie. Nie jest możliwe dodanie komputera do domeny bez zgody jej administratora 4 Grupa robocza To połączenie grupy komputerów, umożliwiające wymianę danych, współużytkowanie drukarek i innych zasobów. W grupie każdy komputer z osobna jest odpowiedzialny za bezpieczeństwo zgromadzonych w nim danych. Aby udostępnić innym członkom grupy roboczej swoje zasoby należy utworzyć konta lokalne oraz przydzielić im odpowiednie prawa dostępu. Do takiej grupy może podłączyć się każdy, kto zna nazwę i odpowiednio skonfiguruje ustawienia sieciowe swojego komputera. 5 Zadania Grupy Konta użytkowników korzystający z tych samych uprawnień można organizować w grupy. Ułatwia to pracę administratora gdyż nie musi nadawać uprawnień pojedynczym kontom tylko jednorazowo grupie kont użytkowników. Stając się członkiem grupy, nowy użytkownik dziedziczy wszystkie jej uprawnienia. Na poziomie domeny są dwa typy grup kont użytkowników: grupy zabezpieczeń oraz grupy dystrybucyjne. Każdy z tych typów dzieli się na Grupy uniwersalne, globalne oraz grupy domeny Windows 2000 Professional posługuje się grupami zabezpieczeń, które służą do nadawania uprawnień kontom użytkowników. Administrator może organizować konta użytkowników w lokalne grupy domeny w sieciach domenowych lub w grupy lokalne w środowiskach grup roboczych. 5.1 Grupy wbudowane W omawianym systemie jest sześć wbudowanych grup lokalnych : • Administratorzy • Goście • Użytkownicy - członkowie tej grupy mogą uruchamiać oprogramowanie już zainstalowane, nie mogą instalować nowego oprogramowania oraz zmieniać konfiguracji systemu. • Użytkownicy zaawansowani – nie mają dostępu do plików innych użytkowników, nie mogą zmieniać konfiguracji systemu natomiast mogą instalować oprogramowanie i sterowniki • Operatorzy kopii zapasowych – użytkownicy do niej należący mają dostęp do wszystkich plików przechowywanych w danym komputerze, ale tylko jeśli posiadają oprogramowanie do wykonywania kopii zapasowych. • Replikator – grupa ta ściśle służy replikacji i nie powinna zawierać żadnych użytkowników z wyjątkiem konta używanego do wykonywania usługi replikacji. Standardowo grupa ta jest używana przy replikacji domeny. 5.2 Grupy specjalne System Windows 2000 automatycznie tworzy kilka dodatkowych grup. • Interakcyjna. Grupa ta zawiera użytkownika, który jest aktualnie zalogowany na komputerze. Podczas uaktualniania do systemu Windows 2000, członkowie grupy Interakcyjna zostaną dodani do grupy Użytkownicy zaawansowani, dzięki czemu starsze aplikacje będą działać tak samo, jak przed uaktualnieniem. • • Sieć. Ta grupa zawiera wszystkich użytkowników, którzy mają aktualnie dostęp do systemu przez sieć. Użytkownik serwera terminali. Kiedy serwery terminali są instalowane w trybie obsługi aplikacji, grupa ta zawiera wszystkich użytkowników, którzy są aktualnie zalogowani w systemie za pomocą serwera terminali. Każdy program uruchamiany przez użytkownika w systemie Windows NT 4.0 będzie działał dla użytkownika serwera terminali w systemie Windows 2000. Domyślne uprawnienia przypisane do grupy umożliwiają użytkownikowi serwera terminali uruchamianie większości starszych programów. 6 Profile użytkownika Zastosowano w celu zachowania środowiska konkretnego użytkownik nawet wtedy kiedy loguje się poprzez różne systemy w sieci.. Kiedy dany użytkownik loguje się po raz pierwszy do systemu tworzony jest profil użytkownika zawierający zestaw plików i folderów przeznaczonych do wyłącznej dyspozycji tego użytkownika. Czyli jest to miejsce gdzie system zapisuje wszystkie osobiste dane użytkownika i informacje o różnych ustawieniach (np. zawartość folderu Moje dokumenty) w folderze Documents and Settings. Windows 2000 pozwala na stosowanie trzech rodzajów profilu użytkownika : • Profil lokalny – jest automatycznie tworzony podczas pierwszego logowania użytkownika w danym komputerze. Jest umieszczony w podfolderze Documents and Settings i ma taką samą nazwę, jak nazwa konta użytkownika. • Profil mobilny – tworzony przez administratora sieci i przechowywany na serwerze Windows 2000 lub Windows NT. Każda zmiana profilu jest więc zapisywana na serwerze i dlatego jeżeli użytkownik loguje się w różnych komputerach, otrzymuje zawsze ten sam profil użytkownika. • Profil obowiązkowy – jest odmianą profilu mobilnego. Zawiera ustawienia, których użytkownik nie może zmienić. Stosowany w dużych sieciach w których użytkownicy mogą tylko wykonywać operacje i uruchamiać programy zatwierdzone przez administratorów. Za każdym razem kiedy użytkownik loguje się do systemu, jego profil jest lokalnie buforowany tzn. że gdy następnym razem użytkownik zaloguje się do tego samego systemu, poprzez sieć zostaną pobrane jedynie te elementy profilu, które uległy zmianie. Jedynym kontem użytkownika, które nie ma i nie posiada własnego unikalnego profilu jest konto Gość. Kiedy ktoś loguje się na takie konto to użytkownikowi takiemu jest przypisany domyślny profil użytkownika. Nie są zapisywane żadne zmiany dokonywane przez użytkownika Gość i nie jest tworzona kartoteka dla nowego profilu. 7 Katalog macierzysty To katalog użytkownika, zawierający jego własne dane. Zatem jest obszarem przydzielonym każdemu użytkownikowi, w którym może on przechowywać swoje pliki. Użytkownik może przydzielać uprawnienia do swojego katalogu macierzystego. Aby utworzyć miejsce katalogów macierzystych, wpisz ich położenie, stosując jeden z następujących parametrów: Ścieżka lokalna np. : c:\użytkownicy\iwona Ścieżka sieciowa np. \\nazwa_komputera\użytkownicy\tomek Podstawienie zmiennych, np. %username% zamiast nazwy użytkownika 8 Mapowanie dysków To technika która pozwala na przypisanie literek dysków poszczególnym udziałom sieciowym czyli komputerom, folderom, dyskom. Ma za zadanie traktowanie udziałów sieciowy tak jakby to były dyski lokalne. Jak dokonujemy mapowania? Otwieramy Eksploratora Windows, z menu głównego wybieramy polecenie Narzędzia / Mapuj dysk sieciowy. Na ekranie pojawi się kreator mapowania dysków Rozwiń listę Dysk i wybierz literkę, jaką będzie oznaczony wybrany udział sieciowy. W polu Folder wpisz nazwę udziału w formacie UNC ( czyli \\nazwa_serwera\nazwa udziału) lub naciśnij przeglądaj, aby wyszukać i zaznaczyć żądany udział. 9 Zabezpieczenia w Windows 2000 Windows 2000 współpracuje z trzema systemami plików : FAT, FAT32, NTFS. Dwa pierwsze nie zawierają mechanizmów zabezpieczających. Nadają się jedynie dla systemów operacyjnych, przeznaczonych dla stacji roboczych Windows 3.x, Windows 95, czy Windows 98. NTFS jest systemem bezpiecznym pozwalającym nadawać pozwolenia dostępu dla plików i katalogów. 9.1 Pozwolenia dostępu do katalogów Pozwolenia dostępu służą ograniczeniu dostępu użytkowników do takich katalogów jak %SystemRoot%, %SystemRoot%\System czy %SystemRoot%\Repair. Sterują również poziomem dostepu użytkowników do plików i katalogów Tabela Uprawnienia do katalogów UPRAWNIENIE Pełna kontrola Wyświetlenie zawartości folderu Odczyt Zapis Czytanie i wykonanie Modyfikacja ( Modify) OPIS Użytkownik posiadający to prawo może zmienić właściciela katalogu oraz usuwania wszystkich plików i katalogów. Zezwala użytkownikowi przeglądać zawartość katalogu Pozwala na oglądanie zawartości katalogów, włącznie z pozwoleniami dostępu, nazwami właścicieli oraz atrybutami. Pozwala tworzyć pliki i foldery, zmieniać atrybuty katalogu oraz przeglądać pozwolenia dostępu do folderu i nazwę właściciela. Umożliwia przeglądanie wszystkich katalogów podrzędnych, obejmuje prawo Przeglądanie zawartości folderu oraz Czytanie Obejmuje uprawnienia Czytanie i Wykonanie, Pisanie, a także pozwala na usunięcie katalogu. 9.2 Pozwolenia dostępu do plików Umożliwiają sterowanie dostępem do takich plików jak BOOT.INI, NTLDR, NTDETECT.COM. Tabela Uprawnienia do plików UPRAWNIENIE Pełna kontrola (Full Control) Czytanie Pisanie Czytanie i wykonanie Modyfikowanie OPIS Użytkownik posiadający to prawo może zmienić właściciela pliku. Obejmuje ono wszystkie uprawnienia zamieszczone poniżej Pozwala na odczytanie zawartości plików Pozwala nadpisywać plik Umożliwia uruchamianie plików wykonywalnych, obejmuje wszystkie uprawnienia związane z pozwoleniem czytanie Obejmuje uprawnienia Czytanie i Wykonanie, Pisanie, a także pozwala na zmianę i usunięcie pliku. 9.3 Pozwolenia do katalogów współdzielonych Uprawnienia tej grupy dotyczą jedynie katalogów. Współdzielonych katalogów używamy aby udostępnić zasoby sieciowe użytkownikom, grupom oraz obiektom specjalnym. Uprawnienia do katalogów współdzielonych Czytanie (Read) Zmiana (Change) Pełna kontrola (Full Control) Pozwala użytkownikom wyświetlić nazwę katalogu, nazwy plików oraz ich atrybuty, uruchomić pliki wykonywalne, zmieniać katalogi wewnątrz wspólnego folderu. Pozwala na tworzenie katalogów, dodawanie plików do katalogów, dodawanie danych do plików, zmienianie danych w plikach, modyfikacje atrybutów plików a także usuwanie plików i katalogów. Obejmuje wszystkie przywileje określone pozwoleniem Czytanie Zezwala na zmianę pozwoleń dostępu do plików oraz przejęcie ich własności. Obejmuje wszystkie uprawnienia określone pozwoleniem Zmiana Zagadnienia do przemyślenia 1. Co to są uprawnienia i do czego służą? 2. Do jakiego celu wykorzystujemy prawa dostępu dla plików i katalogów? 3. Co to jest domena, wymień jej cechy charakterystyczne 4. Co jest bezpieczniejsze zgromadzenie komputerów w domenie czy grupie roboczej 5. Różnica między kontem Użytkownik i Użytkownik zaawansowany 6. Po co tworzone są grupy? 7. Co to jest dziedziczenie uprawnień? 8. Jakie zalety ma mapowanie 9. Wymagania stawiane kontom użytkowników 10. Zdefiniuj pojęcie autoryzacji użytkowników Zadania do samodzielnego wykonania 1. Sprawdź czy twój komputer należy do domeny Windows 2000 2. Załóż konto nowemu użytkownikowi ( np. o nazwie miś, pełnej nazwie Miś Puchatek oraz haśle miodek) korzystając z narzędzia Narzędzia administracyjne \ Zarządzanie komputerem \ Narzędzia systemowe \ Użytkownicy i grupy lokalne. 3. Sprawdź do jakiej grupy należy nowo założony użytkownik. 4. Przetestuj skrypt logowania dla nowo założonego użytkownika miś ( skrypt logowania zamieszczony jest w ćwiczeniu nr.2 poświęconym skryptom.). 5. Należy wylogować się i zalogować jako użytkownik nowo założonego konta. Co spowodował skrypt logowania. 6. Zaloguj się ponownie jako członek grupy Administratorzy. Usuń nowo założonego użytkownika Miś. 7. Sprawdź właściwości konta Gość. 8. Utwórz folder z dowolną zawartością. Udostępnij do w sieci. Nadaj uprawnienie tylko do odczytu. Inni użytkownicy mają sprawdzić czy twój folder jest widoczny w sieci i czy można coś do niego zapisać. 9. Za pomocą usługi Telnet podłącz się na inny komputer i stworzony przez twojego sąsiada katalog spróbuj usunąć. Jakie wnioski Ci się nasuwają, do czego służy ta usługa? (Start / Uruchom wpisz Telnet nazwa komputera lub adres IP komputera zdalnego) 10. Zamapuj katalog udostępniony studentom ..........