Рол. УП 04.01 Администрирование_ИСИП3А_НЕ ВСЕ. Методические указания для студентов по учебной практике Системное администрирование
 Скачать 3.05 Mb.
|
|
Рабочая среда пользователя Учетные данные, хранящиеся централизованно на сервере, позволяют пользователям однозначно идентифицировать себя в домене и получать соответствующие права и доступ к рабочей среде. Все операционные системы семейства WindowsNT используют для создания рабочего окружения на клиентской машине профиль пользователя. Перемещаемый профиль ActiveDirectory как гибкая и масштабируемая технология позволяет работать в среде вашего предприятия с перемещаемыми профилями, которые мы рассмотрим далее. Одновременно с этим будет уместным рассказать о перенаправлении папок как одной из возможностей технологии IntelliMirror для обеспечения отказоустойчивости и централизованного хранения пользовательских данных. Перемещаемые профили хранятся на сервере. Путь к ним указывается в настройках пользователя домена.  Здесь указывается путь к перемещаемому профилю При желании можно указать перемещаемые профили для нескольких пользователей одновременно, выделив нескольких пользователей, и в свойствах во вкладке «Профиль» указать %USERNAME% вместо папки с именем пользователя.  Путь к перемещаемым профилям нескольких пользователей Процесс первого входа в систему пользователя, обладающего перемещаемым профилем, сродни описанному выше для локального, за некоторым исключением. Во-первых, раз путь к профилю в объекте пользователя указан, система проверяет наличие кэшированной локальной копии профиля на машине, далее все, как было описано. Во-вторых, по завершении работы все изменения копируются на сервер, и если групповыми политиками не указано удалять локальную копию, сохраняются на данной машине. Если же пользователь уже имел локальную копию профиля, то серверная и локальная копии профиля сравниваются, и происходит их объединение. Технология IntelliMirror в системах Windows последних версий позволяет осуществлять перенаправление определенных папок пользователей, таких как «Мои документы», «Мои рисунки» и др., на сетевой ресурс. Таким образом, для пользователя все проведенные изменения будут абсолютно прозрачны. Сохраняя документы в папку «Мои документы», которая заведомо будет перенаправлена на сетевой ресурс, он даже и не будет подозревать о том, что все сохраняется на сервер. Настроить перенаправление можно как вручную для каждого пользователя, так и при помощи групповых политик. В первом случае нужно кликнуть на иконке «Мои документы» на рабочем столе либо в меню «Пуск» правой кнопкой мыши и выбрать свойства. Дальше все предельно просто. Во втором случае, нужно открыть групповую политику OU или домена, для которых мы хотим применить перенаправление, и раскрыть иерархию «Конфигурация пользователя ‑> Конфигурация Windows» (см. рис. 6). Далее перенаправление настраивается либо для всех пользователей, либо для определенных групп безопасности OU или домена, к которым эта групповая политика будет применяться. Используя перенаправление папок к работе с перемещаемыми профилями пользователей, можно добиться, например, уменьшения времени загрузки профиля. Это при условии того, что перемещаемый профиль загружается всегда с сервера без использования локальной копии. Рассказ о технологии перенаправления папок был бы неполон без упоминания об автономных файлах. Они позволяют пользователям работать с документами даже при отсутствии подключения к сети. Синхронизация с серверными копиями документов происходит при следующем подключении компьютера к сети. Такая схема организации будет полезна, например, пользователям ноутбуков, работающих как в рамках локальной сети, так и дома. К недостаткам перемещаемых профилей можно отнести следующее: может возникнуть ситуация, когда, например, на рабочем столе пользователя будут существовать ярлыки некоторых программ, а на другой машине, где захочет поработать обладатель перемещаемого профиля таких программ не установлено, соответственно часть ярлыков не будет работать; многие пользователи имеют привычку хранить документы, а также фотографии и даже видео на рабочем столе, в результате при загрузке перемещаемого профиля с сервера каждый раз создается дополнительный трафик в сети, а сам профиль загружается очень долго; для решения проблемы используйте разрешения NTFS, чтобы ограничить сохранение «мусора» на рабочем столе; каждый раз, когда пользователь входит в систему, для него создается локальный профиль (точнее, профиль с сервера копируется локально), и если меняет рабочие машины, то на каждой из них остается такой «мусор»; этого можно избежать, настроив определенным образом групповые политики («Конфигурация компьютера -> Административные шаблоны ->System ->UserProfiles», политика «Deletecachedcopiesofroamingprofiles»). Практическая часть Создайте группу (подразделение) Преподаватели: тип группы – группа безопасности; преподаватели могут осуществлять вход на любой компьютер сети, кроме сервера; для каждого из преподавателей существует собственная учетная запись и настройки, которые конфигурируется лично преподавателем. Добавьте в группу (Преподаватели) члена группы – учетную запись. Задайте для нее различные параметры. Создайте перемещаемый профиль Direktor. Продемонстрируйте его работу. Отчет по практической работе: ФИО студента Название, цель Практическая часть Опишите практические опыты (1-3) Контрольные вопросы: Опишите различия между локальной и доменной учетными записями. С какой целью создают группы пользователей? Объясните назначение локальных, глобальных и универсальных групп. Перечислите известные вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение. Как запретить вход в систему в выходные дни и нерабочее время? Как ограничить срок действия учетной записи? Как отключить учетную запись сотрудника, например, во время его болезни? Опишите всевозможные параметры и их предельные значения для политики паролей и политики блокировки учетных записей (например, минимально рекомендуемую и максимально возможную длину пароля и другие). Как изменить пароль пользователя? Каковы последствия удаления группы? Опишите суть, плюсы и минусы перемещаемого профиля? Практическая работа №10 Групповые политики Цель: изучить способы задания групповых политик; изучить виды параметров групповых политик; изучить объекты групповых политик; научиться задавать групповые политики для разных объектов. Теоретические основы Групповые политики позволяют реализовать гибкое управление членами доменами – пользователями и компьютерами. В данной работе вам предстоит научиться использовать групповые политики и применять их для управления членами домена faculty.ru в соответствии с требованиями проекта. Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб ActiveDirectory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (GroupPolicyObject). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения. В среде Active Directory параметры групповой политики задаются путем привязки объектов групповой политики к сайтам, доменам и подразделениям. Как правило, большинство объектов групповой политики задается на уровне подразделений, поэтому необходимо убедиться в том, что структура подразделений поддерживает стратегию управления клиентскими компьютерами на основе групповой политики. Некоторые параметры групповой политики задаются на уровне домена, например политики работы с паролями. Крайне незначительное количество параметров применяется на уровне сайтов. Грамотно спроектированная структура подразделений, отражающая административную структуру организации и использующая все преимущества наследования объектов групповой политики, упрощает применение групповой политики. Например, грамотно спроектированная структура подразделений позволяет избежать дублирования определенных объектов групповой политики, что, в свою очередь, позволяет применять такие объекты к различным частям организации. Если возможно, создайте подразделения, позволяющие делегировать административные полномочия и реализовывать групповую политику. Пуск / Администрирование / Управление групповой политикой  Изменение групповой политики на уровне домена происходит в ветке Объекты групповой политики / Default Domain Policy.  Разверните оснастку и выберите Computer Configuration (Конфигурация компьютера) – Windows Settings (Конфигурация Windows) – SecuritySettings (Параметры безопасности) – AccountPolicies (Политики учетных записей) – PasswordPolicy (Политика паролей).  Применить групповую политику можно только к подразделению. В случае изменения групповой политики можно не перезагружать компьютер, а воспользоваться командой обновления групповой политики gpupdate/force. Практическая часть Создать два подразделения – Студенты, Преподаватели. Для подразделения Студенты задать вид главного меню Windows 7, убрать из него Панель управления, запретить перетаскивание объектов. Для всех обоих подразделений настроить блокировку системы после 3 ошибок ввода пароля. Для подразделения Студенты запретить запуск активного содержимого компакт – дисков. Для подразделения Студенты запретить редактирование консоли управления MMC и редактора реестра, для подразделения Преподаватели ограничить использование консоли MMC. Для подразделения студенты удалить ссылку Игры из меня Пуск. Отчет по практической работе: ФИО студента Название, цель Практическая часть Опишите практические опыты (1-6) |