Методические материалы к практическим занятиям по дисциплине Вычислительные системы, сети и телекоммуникацииСанктПетербург 2013 Оглавление
 Скачать 7.55 Mb.
|
|
Вопросы для проверки 1) Для чего предназначен основной шлюз? 2) Как проверить доступность узла сети? 3) Как проверить работоспособность стека TCP/IP на компьютере? 4) Что такое APIPA? 5) Как получить список узлов в составе рабочей группы? 45 Практическое занятие № 6 Организация гостевой модели доступа к общим ресурсам Цель занятия: Систематизировать, закрепить и углубить теоретические зна- ния. Научить правилам и особенностям организации гостевой модели досту- па к общим ресурсам, порядку создания ресурсов, назначению разрешений на доступ к ним. Теоретические основы Компания Microsoft предлагает две модели общего доступа: классиче- скую (обычную) и гостевую. Главные достоинства гостевой модели в ее про- стоте и оперативности. Недостатками модели являются недостаточная гиб- кость в назначении разрешений и снижение уровня безопасности. Чтобы включить гостевую модель доступа, необходимо выполнить не- сколько настроек (они не зависят от версии Windows, хотя некоторые осо- бенности имеют место): 1) Включить гостевую учетную запись (Гость или Guest), которая по умол- чанию выключена из соображений безопасности. 2) Включить гостевую модель совместного доступа для локальных пользова- телей. 3) Снять запрет на доступ «Гостя» к компьютеру из сети. 4) Создать общий ресурс и настроить разрешения на доступ. 5) Проверить доступность ресурса и действие разрешений. При обращении к этому общему ресурсу из сети все пользователи бу- дут удостоверяться как гости и получат одинаковые разрешения на доступ. Содержание занятия Включение гостевой учетной записи Включить (или отключить) учетную запись «Гость» или «Guest» можно несколькими способами: 46 Используя оснастку «Управление компьютером», раздел «Локальные пользователи и группы». Оснастку можно открыть, выбрав опцию «Управление» в контекстном меню ярлыка «Мой компьютер» («Компью- тер» – в Windows 7). Эту оснастку можно открыть консольной командой: compmgmt.msc Используя оснастку «Локальные пользователи и группы» – запускается консольной командой: lusrmgr.msc Используя редактор локальной групповой политики. Запуск редакторы производится консольной командой: gpedit.msc Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Параметры безопасности» – «Учетные записи: со- стояние учетной записи ‘Гость’» – отключена (по умолчанию). 47 Включаем. Включение гостевой модели доступа для локальных пользователей Используется редактор локальной групповой политики (gpedit.msc). Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Параметры безопасности» – «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» – обычная (по умолчанию в Windows 7, «гостевая» по умолчанию в Windows XP). 48 Устанавливаем «Гостевую». Включить гостевую модель совместного доступа в Windows XP можно также через «Свойства папки» (например, «Мой компьютер» – «Сервис» – «Свойства папки» закладка «Вид»). Опция «Использовать простой общий доступ к файлам» определяет модель доступа. Чтобы выбрать гостевую модель, опцию нужно отметить (по умолчанию в Windows XP она отмечена). 49 Снятие запрета на доступ «Гостя» к компьютеру из сети Используется редактор локальной групповой политики (gpedit.msc). Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Назначение прав пользователей» – «Отказать в досту- пе к этому компьютеру из сети» – Гость (по умолчанию). 50 Удаляем «Гостя» из списка: Для ускорения обновления политик можно перезагрузить компьютер либо воспользоваться консольной командой gpupdate /force Таким образом, гостевой доступ настроен. 51 Создание общего ресурса Способ создания общего ресурса из оснастки «Общие папки» в услови- ях использования гостевой модели доступа, к сожалению, не доступен. Об- щий доступ назначается через контекстное меню папки или с использовани- ем консольной команды net share. Предоставим папку Docs, находящуюся на диске E: компьютера PC-W7 (с ОС Windows 7), в общий доступ для чтения под именем «Общая папка». 1) Используем контекстное меню: Воспользуемся более удобной и гибкой «Расширенной настройкой»: 52 Открываем общий доступ, вводим имя ресурса, например, «Общая папка» и примечание (опционально). Настраиваем разрешения сетевого доступа. 53 Поскольку любой посетитель ресурса считается «Гостем», а «Гость» входит в группу «Все», дополнять или менять список не имеет смысла. Устанавливаем разрешение на «Чтение» для «Всех». 2) Используем командную строку Предоставим папку Docs1 локального диска E: компьютера PC-W7, в общий доступ под именем «Новая общая». Установим ограничение число одновременных пользователей – до 5. Дадим посетителям разрешение на «Изменение». Чтобы ОС Windows 7 не препятствовала созданию общего ресурса из командной строки, cmd.exe следует запускать от имени Администратора: Некоторые правила синтаксиса: − имя ресурса не должно быть более 80 символов, если имя содержит про- белы, то его следует заключить в кавычки; − если к имени ресурса (в конце) дописать символ $, получим скрытый ре- сурс; − команда net share без параметров выведет список общих ресурсов этого компьютера (в том числе скрытых); − если ресурс создан на компьютере с Windows 7, то количество одновре- менных пользователей не может превышать 20, для Windows XP Profes- sional – 10, для Windows XP Home – 10 (а для серверных платформ огра- ничений нет); − для добавления примечания можно использовать ключ /remark, например, net share “Новая общая”=e:\docs1 /remark:“текст комментария” (текст комментария не должен превышать 100 символов, а если в нем есть про- белы, – заключается в кавычки); 54 − для назначения разрешений пользователям и группам необходимо исполь- зовать несколько идущих подряд ключей /grant, например, net share “Новая общая”=e:\docs1 /grant:все,read /grant:admin,full, однако в условиях гостевой модели доступа это не имеет смысла, ведь все посе- тители ресурса считаются «гостями»; − ключ /grant в Windows XP не действует, поэтому «Все» получат «Полный доступ» (в том числе и «Гость»). Используя графический интерфейс Windows, проверим результаты ра- боты консольной команды: Чтобы удалить общий ресурс (т.е. отменить общий доступ к папке), выполним команду (cmd.exe запускается от имени Администратора): 55 Проверка доступности общего ресурса Проверим доступность ресурса «Общая папка» и его содержимого. Для этого на одном из удаленных компьютеров, например, на PC-01 (работает под управлением Windows XP Professional) исследуем «Сетевое окружение»: «Сетевое окружение» – «Вся сеть» – «Microsoft Windows Network» – «Home». В результате увидим значки компьютеров рабочей группы «Home». Обратимся к компьютеру PC-W7, но в «Общую папку» доступ закрыт! Причина в том, что при создании общего ресурса в условиях гостевой модели операционная система Windows 7 не включает группу «Все» в список управления доступом NTFS. Как известно, разрешения NTFS и сетевые разрешения действуют со- вместно («минимум из двух максимумов»). Если пользователю вообще не на- значены разрешения NTFS, то даже при полном сетевом доступе попасть в общую папку он не сможет. 56 Чтобы исправить ситуацию, необходимо вручную добавить пользова- теля «Гость» или группу «Все» в список управления доступом и назначить NTFS-разрешения. Это делается на закладке «Безопасность» контекстного меню папки. Нажимаем кнопку «Изменить», затем кнопку «Добавить» и вы- бираем группу «Все». Можно задать NTFS-разрешение: «Чтение и выполнение», которое включает «Список содержимого папки» и «Чтение», не препятствует сете- вому доступу с разрешением на чтение. Если же уровень сетевого доступа поднять до «Изменения», установ- ленные разрешения NTFS ограничат привилегии посетителя ресурса чтени- ем. После назначения разрешений NTFS «Общая папка» и ее содержимое (в том числе документ text.txt) станут доступными для чтения: 57 При создании общей папки на компьютере с Windows XP, операцион- ная система (при необходимости) сама добавляет группу «Все» в список управления доступом NTFS и назначает необходимые разрешения в зависи- мости от установленных сетевых разрешений. В условиях функционирования гостевой модели доступа Windows XP не позволяет пользователю настраивать разрешения NTFS – закладка «Безо- пасность» отсутствует. На компьютере PC-02 (под управлением Windows XP Professional) так- же используется гостевая модель. К папке SRM, находящейся на томе NTFS откроем общий доступ. Назначим имя ресурса – «SRM для всех». Разрешение – «Чтение»: 58 Вопросы для проверки 1) Каковы достоинства гостевой модели доступа к сетевым ресурсам? 2) Какие недостатки свойственны гостевой модели? 3) Какие уровни сетевых разрешений доступны при создании общей папки? 4) Чем отличается «Полный доступ» от разрешения на «Изменение»? 5) Какое влияние оказывают разрешения NTFS на сетевые разрешения? 59 Практическое занятие № 7 Организация обычной модели доступа к общим ресурсам Цель занятия: Систематизировать, закрепить и углубить теоретические зна- ния. Научить правилам и особенностям организации классической (обычной) модели доступа к общим ресурсам, порядку создания ресурсов, назначению разрешений на доступ к ним. Теоретические основы Компания Microsoft предлагает две модели общего доступа: классиче- скую (обычную) и гостевую. Обычная модель обладает большей гибкостью, она позволяет назначить каждому пользователю общего ресурса именно та- кие разрешения, которые необходимы. Такая модель способствует подержа- нию высокого уровня безопасности, поскольку подключаемые пользователи удостоверяются как они сами, а не как «гости». Windows производит провер- ку их верительных данных на предмет совпадения с хранящимися на локаль- ном компьютере учетными записями, а также проверку полномочий доступа, предоставленных этим пользователям. Вместе с тем, использование классической модели доступа в компью- терной сети организации существенно усложняет работу сетевого админист- ратора по управлению учетными записями и общими ресурсами. Чтобы организовать доступ к общим ресурсам с использованием обыч- ной модели, необходимо выполнить следующие настройки: 6) Включить обычную (классическую) модель совместного доступа для ло- кальных пользователей. В операционной системе Windows 7 по умолча- нию включена обычная модель, а в Windows XP – гостевая. 7) Отключить гостевую учетную запись (Гость или Guest). По умолчанию она выключена во всех версиях Windows. 8) Создать на локальном компьютере учетные записи всех пользователей, которым будет открыт доступ к общим ресурсам этого компьютера. 60 9) Создать общий ресурс и назначить разрешения на доступ к нему из сети. 10) Настроить разрешения NTFS на папки и файлы, предоставленные в общий доступ. 11) Проверить доступность ресурса и действие разрешений. Содержание занятия Структура сети и постановка задачи Локальная сеть организации состоит из трех компьютеров: PC-01. Находится в компьютерном классе. Основные локальные пользо- ватели – студенты. Ресурсы в общий доступ не предоставляет. Операци- онная система Windows XP. PC-02. Находится в преподавательской. Основные локальные пользовате- ли – педагоги. Ресурсы в общий доступ не предоставляет. Операционная система Windows XP. PC-W7. Находится в служебном помещении. Локальные пользователи – сетевые администраторы. Временно настраивается на роль файлового сер- вера сети. Операционная система Windows 7. PC‐01 PC‐02 PC‐W7 ОС: Windows XP ОС: Windows XP ОС: Windows 7 Локальные Локальные Локальные пользователи: пользователи: пользователи: студенты преподаватели администраторы 61 На каждом компьютере заведена учетная запись с правами админист- ратора – «Admin», которая используется для настройки сети и управления общими ресурсами. Все компьютеры включены в одну рабочую группу. Задача: Настроить временный файловый сервер (PC-W7) на предоставление в общий доступ следующих ресурсов: 1) Папка «Docs» с общими учебными документами должна быть дос- тупна педагогам для изменения, а студентам для чтения. 2) Папка «Docs1» должна быть доступна только педагогам с разреше- нием на изменение. Включение обычной модели доступа для локальных пользователей На компьютере PC-W7 запускаем редактор локальной групповой поли- тики gpedit.msc и приводим в соответствие следующие параметры: 1. Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Параметры безопасности» – «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» – обычная. 62 2. Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Параметры безопасности» – «Учетные записи: состоя- ние учетной записи ‘Гость’» – отключена. 3. Политика: «Конфигурация Windows» – «Параметры безопасности» – «Ло- кальные политики» – «Назначение прав пользователей» – «Отказать в досту- пе к этому компьютеру из сети» – Гость. Решение проблемы пустых паролей По умолчанию использование пустых паролей допускается только при консольном входе. Подключение таких пользователей к компьютеру из сети будет блокирован политикой (это не относится к учетной записи «Гость»). Чтобы пользователи с пустыми паролями получили доступ к компью- теру из сети, придется отключить политику: «Конфигурация Windows» – «Параметры безопасности» – «Локальные политики» – «Параметры безопас- 63 ности» – «Учетные записи: разрешить использование пустых паролей только при консольном входе» – включена (по умолчанию). Разрешать использование пустых паролей в сети организации очень нежелательно, это существенно снижает уровень информационной безопас- ности. Обычная модель доступа позволяет удаленно подключаться к скрытым ресурсам администратора, а также управлять удаленным компьютером через оснастку «Управление компьютером». Это требует повышенного внимания к учетной записи встроенного администратора. Компания Microsoft настоя- тельно рекомендует ее переименовать, назначить сложный пароль и отклю- чить. Для ускорения обновления политик можно перезагрузить компьютер либо воспользоваться консольной командой gpupdate /force Таким образом, классическая (обычная) модель доступа включена. Создание учетных записей удаленных пользователей Компьютер PC-W7 настраивается для временного исполнения роли файлового сервера сети на основе классической модели доступа. Для этого на нем необходимо завести учетные записи всех пользователей, которым будет разрешен доступ к этому компьютеру и его общим ресурсам из сети. По заданию доступ к ресурсам должен быть обеспечен двум категори- ям пользователей с разными привилегиями: педагогам и студентам. 64 Предположим, на компьютере PC-01, который находится в компьютер- ном классе и используется студентами, ранее были созданы и используются две студенческие учетные записи (с непустыми паролями): student1 student2 Допустим, на компьютере PC-02, который установлен в преподаватель- ской и используется педагогами, заведены и используются две учетные запи- си (с непустыми паролями): teacher1 teacher2 Таким образом, на компьютере PC-W7 необходимо завести четыре учетные записи. Кроме того, разумно создать две группы пользователей, на- пример, Students и Teachers, включить в эти группы соответствующих поль- зователей и управлять разрешениями на уровне групп. Это существенно уп- ростит администрирование (и соответствует рекомендациям Microsoft): Группы Пользователи student1 Students student2 teacher1 Teachers teacher2 Будем заводить учетные записи и группы в следующем порядке: 1. Сначала создадим группу Teachers, учетные записи teacher1 и teacher2, а затем включим их в эту группу. Сделаем это локально (непосредственно) на компьютере PC-W7. 2. Группу Students и студенческие учетные записи student1 и student2 будем создавать через удаленное управление компьютером PC-W7, подключив- шись к нему, например, с компьютера PC-01 через оснастку «Управление компьютером». 65 Для управления пользователями и группами используется оснастка «Локальные пользователи и группы». Запускается консольной командой: lusrmgr.msc Открываем «Группы». Выбираем «Действие» – «Создать группу…» Вводим название группы и описание (опционально): Выбираем «Пользователи». «Действие» – «Новый пользователь…» 66 Создаем учетные записи teacher1 и teacher2: В результате получим: Переключаемся на «Группы» и через свойства группы Teachers добавляем в нее учетные записи teacher1 и teacher2: 67 Проверим членство в группах созданных пользователей: 68 Дальнейшие настройки требуют обеспечения беспрепятственного об- мена данными между узлами сети. Поскольку вопросы обеспечения сетевой безопасности выходят за рамки занятия, отключим Брандмауэр Windows на всех компьютерах: Windows XP: «Панель управления» – «Брандмауэр Windows» – Выключить: Windows 7: «Панель управления» – «Брандмауэр Windows» – «Включение и выключение брандмауэра Windows». Отключаем: 69 Разумеется, позднее на всех компьютерах брандмауэры Windows долж- ны быть настроены или заменены более функциональными и удобными раз- работками других производителей. По заданию группу Students и студенческие учетные записи надо соз- дать удаленно, управляя целевым компьютером (PC-W7) с другого компью- тера из оснастки «Управление компьютером». Это возможно только в том случае, если учетная запись пользователя удаленного компьютера входит в группу безопасности «Администраторы» компьютера, к которому выполняется подключение. Однако Windows 7 (как и Windows Vista) не позволяет управлять ком- пьютером удаленным администраторам! Трудно сказать, является ли это ошибкой или элементом безопасности. Для исправления ситуации необходи- мо в системный реестр добавить параметр типа DWORD: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System] "LocalAccountTokenFilterPolicy"=dword:00000001 Чтобы изменения вступили в силу, требуется перезагрузка. 70 На компьютере PC-01 открываем оснастку «Управление компьютером» и подключаемся к другому компьютеру: Указываем «PC-W7»: Подключились: Переходим в «Служебные программы» – «Локальные пользователи и груп- пы» – «Группы». Выполняем «Действие» – «Создать группу…» 71 Создаем группу Students: Переходим в раздел «Пользователи» и создаем студенческие учетные записи: 72 В результате получим: Теперь учетные записи студентов надо включить в группу Students. Харак- терно, что при выполнении этой операции запрашивается имя и пароль поль- зователя, обладающего правами на PC-W7 (не обязательно правами админи- стратора). 73 Добавляем пользователей: Корректность действий сетевого администратора по удаленному управ- лению учетными записями проверим локально на компьютере PC-W7: Таким образом, компьютер PC-W7 «знает» всех удаленных пользова- телей. Это позволит сетевым администраторам воспользоваться преимущест- вами классической модели по настройке разрешений на доступ к общим ре- сурсам. Создание общего ресурса В условиях классической модели, как и при использовании гостевой, 74 |