Разрешения на доступ к общему ресурсу

Разрешение на доступ к общему ресурсу предназначено для разграничения доступа к общему ресурсу сетевых пользователей. Если ресурс находится на томе с файловой системой NTFS, то разрешения на доступ к общему ресурсу устанавливают максимальный уровень доступа к общему каталогу. Разрешения, назначаемые с помощью вкладки Security общего каталога (или файлов в этом каталоге), можно сделать более жесткими, чем разрешения на доступ к общему ресурсу, но расширить их нельзя. Разрешения на доступ к общему ресурсу можно назначить отдельным пользователям, группам и специальным категориям:

Аудит - одно из средств защиты сети Windows NT. С его помощью вы можете отслеживать действия пользователей и другие системные события в сети.

 Фиксируются параметры:

- выполненное действие;

- имя пользователя, выполнившего действие;

- дата и время выполнения действия.

Просмотреть события можно в программе Event Viewer. Windows NT записывает события в три журнала:

Системный журнал (system log) содержит информацию о событияхотносящихся к компонентам Windows NT. Например сообщение о сбое драйвера или службы при загрузке

В журнал безопасности(security log) заносятся сведения о входе в систему, доступе к объектам и другая информация, связанная с безопасностью. При просмотре событий аудита вы будите просматривать именно этот журнал.

Журнал приложений (application log) содержит события, записываемые приложениями.

Ход выполнения работы:

1 Создайте пользователя и настройте его окружение.

1.1 Запуститепрограмму User Manager for Domains.

1.2 Из меню User выберите команду New User.

1.3 Заполните поля Username, Full Name, Description, Password, ConfirmPassword (что означают эти поля можно узнать, вызвав помощь).

1.4 Выберите параметры пароля в окне New User (по вашему усмотрению, выбор аргументировать):

     – User Must Change Password at Next Logon (требовать смены пароля приследующей регистрации), задана по умолчанию.

– User Cannon Change Password (запретить смену пароля пользователю).

     – Password Never Express (Срок действия пароля не ограничен).

– Account Disabled (учетная запись отключена).

Доступ к настройкам пользователя можно получить и после его создания, для этого необходимо выделить данного пользователя и выбрать из меню Users команду Properties. Внизу окна New User или User Properties (если пользователь уже создан) есть несколько кнопок: Groups, Profile, Hours,Logon To, Account, Dialin. С помощью этих кнопок производится настройкасвойств пользователей. Groups предназначается для задания списка групп, ккоторым принадлежит пользователей. Profile для настройки рабочей среды пользователя. Hours для задания часов, в которые пользователь сможет работать. Login To для задания списка компьютеров, с которых пользователь может зарегистрироваться в сети. Account для ограничения времени действия бюджета. Dialin для настройки удаленного доступа.

2 Задайте домашний каталог для созданного пользователя.

2.1 Создайте на сервере папку Users, в ней разместятся каталоги пользователей. Сделайте каталог общим ресурсом.

2.2 Выделите пользователя и выберите команду Properties в меню User».

2.3 В окне User Properties нажмите кнопку Profile.

2.4 В появившемся окне User Environment Profile щелкните переключатель Connect (Подключить).Справа от переключателя появится строка Z: - это обозначение диска, который будет использоваться для подключения основной папки при регистрации пользователя (имя диска можно изменить). В окне наберите \\имя_компьютера\users\%username% (имя_компьютера - имя сервера). %usemame% - переменная.

Windows NT %username% на учетное имя пользователя (можно просто задать имя пользователя).

2.5 Если вы все сделали правильно, то по указанному пути была создана папка с именем, совпадающему с именем создаваемого пользователя.

3 Задайте права пользователей.

3.1 В меню Policies выберите пункт User Right

3.2 Впоявившемся окне вы увидите перечень прав и список пользователей (групп), кому эти права предоставлены

3.3 Установите право Log on as service для Admin.

4 Создайте пользователя, который бы смог входить локально на компьютер с Windows NT Server и в тоже время не мог входить в сеть с другого компьютера в сети.

5 Удалите пользователя (из меню User выберите Delete.)

6 Разграничьте права пользователей для доступа по сети к общему ресурсу.

6.1 Создайте четыре пользователя, как описано в п. 1.

6.2 Сделайте какой-нибудь каталог общим ресурсом.

6.2.1 Выделите каталог в Explorer и нажмите правую кнопку мыши.

6.2.2 В появившемся контекстном меню выберите Sharing.

6.2.3 Выберите кнопку Shared As, заполните поля Share Name (имя под которым ресурс виден в сети) и Comment (комментарий к общему ресурсу). Установите, сколько пользователей одновременно смогут подключить этот ресурс.

6.3 Установите для общего ресурса различные разрешения для разных пользователей: для первого - Read, для второго - Change, для третьего Full Control,   для четвертого- No Access.Нажмите кнопку Permissions и в появившемся окне выберите нужных пользователей и установите нужное для них разрешение.

6.4 Зарегистрируйтесь на клиентской машине в сети под разными пользователями и подключите этот общий ресурс. Попробуйте создать файл или каталог, прочитать и выполнить другие действия на диске, которым вы подключили общий ресурс.

7 Создайте группу пользователей и внесите туда всех созданных вами пользователей.

7.1 Запустите программу User Manager for Domains.

7.2 Из меню User выберите команду New Group, в появившемся окне введите имя группы.

7.3 В появившемся окне выберите пользователей, которые будут входить в группу.

      8 Установите разрешение на подкаталог в каталоге, выступающем в роли общего ресурса (файловая система должна быть NTFS).Установить разрешения можно программой Explorer. Для этого выделите каталог или файл и нажмите правую кнопку мыши.

        В появившемся меню выберите Security, в появившемся окне выберите вкладку Permissions. Добавьте нужное вам разрешения для группы. Поэкспериментируйте с разрешениями.

    Зарегистрируйтесь на клиентской машине под именем какого-нибудь пользователя, входящего в эту группу и проверьте, что он может сделать с этим каталогом (и файлами, входящими в каталог).

9 Установите разрешение для каталога TEMP.

9.1 Сделайте так, чтобы пользователи не имели право удалить каталог TEMP (подкаталоги и файлы в нем), но в то же время могли создать каталоги (файлы) в каталоге TEMP и при этом получали разрешение Change на созданные ими каталоги (файлы). При этом другие пользователи не имели доступа к этим файлам.

10 Войдите от имени другого пользователя и сделайте его владельцем файла (файл выберите сами).

11 Установите и настройте аудит.

11.1     Установите правила аудита.

11.1.1 Для этого в программе User Manager for Domains выберите команду Audit в меню Policies.

11.1.2 В окне Audit Policy установите переключатель в положение Audit These Events и выберите события, которые вы хотите отслеживать в системе. Если вы хотите отследить отказ в доступе к файлам и каталогам нужно отметить File and Object Access, а тип регистрируемого события Failure (отказ)

11.2 Укажите пользователя, действия которого, по отношению к какому-то файлу, вы хотите отследить.

11.2.1 Выделите файл в Explorer и щелкните на нем правой кнопкой, в появившемся контекстном меню выберите Properties, выберите вкладку Security, на вкладке сделайте щелчок на кнопке Auditing.

     11.2.2 Выберите пользователя, для которого вы хотите проводить аудит.

Нажмите кнопку Add и введите пользователя.

11.2.3 Выберите, аудит каких событий проводить (отметьте в нижней части окна). Отметьте Delete (Failure) для отслеживания попыток удаления файла.

11.3 Войдите в сеть с клиентского компьютера от имени пользователя, действия которого вы хотите проследить.

Попробуйте удалить файл (выберите такой файл, который пользователь не имеет права удалить) для которого вы установили аудит.

11.4 Запустите Event Viewer и просмотрите запись в журнале безопасности.

Службы Интернета

 

 

Система доменных имен (DNS)

 

DNS является аббревиатурой от Domain Name System (система доменных имен), т.е. системы наименования компьютеров и сетевых служб, организованных в виде иерархии доменов. Правила наименования DNS используются в сетях TCP/IP, таких как Интернет, для обнаружения компьютеров и служб по именам, удобным для пользователей. Когда пользователь вводит в приложении имя DNS, службы DNS могут сопоставить имя с другими сведениями, например, с IP-адресом.

 

Большинство пользователей предпочитает использовать понятное имя, такое как example.microsoft.com, для поиска компьютера, являющегося почтовым сервером или Web-сервером сети. Понятное имя легче запоминается. Компьютеры же при связи по сети используют числовые адреса. Чтобы облегчить использование сетевых ресурсов, службы имен, такие как DNS, обеспечивают сопоставление понятного имени компьютера или службы с его числовым адресом.

Рисунок 19 иллюстрирует использование DNS, т.е. обнаружение IP-адреса компьютера по его имени.

 

 

Рис. 19. Разрешение доменного имени с помощью DNS-сервера

 

В этом примере клиентский компьютер запрашивает у сервера IP-адрес компьютера с доменным именем DNS host-a.example.microsoft.com.

Поскольку сервер может ответить на запрос с помощью своей локальной базы данных, он возвращает ответ, содержащий запрашиваемую информацию, т.е. запись ресурса узла (A), содержащую IP-адрес, соответствующий имени host-a.example.microsoft.com.

Этот пример демонстрирует простой запрос DNS от клиента к серверу. На практике запросы DNS могут потребовать привлечения других серверов и выполнения дополнительных шагов, не показанных в этом примере.

 

Работа запросов DNS

 

Когда DNS-клиенту требуется найти имя, используемое в программе, он запрашивает DNS-серверы для сопоставления имени.

Каждое сообщение с запросом, отправляемое клиентом, содержит информацию трех типов, определяющую вопрос, на который отвечает сервер:

- указанное доменное имя DNS в виде полного доменного имени узла

(FQDN);

- указанный тип запроса, в котором задается либо тип записей ресурсов, либо тип операции запроса;

- указанный класс доменного имени DNS.

Для DNS-серверов Windows этот класс всегда должен быть указан как класс Интернета (IN).

Например, указанное имя может представлять полное доменное имя узла для компьютера, такое как «host-a.example.microsoft.com.», и тип запроса на поиск записей ресурсов адреса (A) для этого имени.

Запрос DNS можно представить как вопрос клиента, состоящий из двух частей, например, «Имеются ли записи ресурсов A для компьютера с именем 'hostname.example.microsoft.com.'?» Когда клиент получает ответ от сервера,он читает и интерпретирует содержащуюся в ответе запись ресурса A, узнавая IP-адрес компьютера, запрошенного по имени.

Запросы DNS используют несколько способов сопоставления имен. Клиент может иногда ответить на запрос с помощью локальной кэшированной информации, полученной в предыдущем запросе. DNS-сервер может использовать собственный кэш информации о записях ресурсов для ответа на запрос. DNS-сервер может также запросить или обратиться к другим DNS-серверам в интересах запрашивающего клиента для полного сопоставления имени, а затем отправить ответ клиенту. Этот процесс называют рекурсией. В дополнение к этому, клиент может самостоятельно попытаться установить контакт с дополнительными DNS-серверами для сопоставления имени. При этом клиент использует отдельные дополнительные запросы, базирующиеся на ссылочных ответах от серверов. Этот процесс называют итерацией.

В общем, процесс запроса DNS выполняется в две стадии.

- Запрос к имени начинается на клиентском компьютере и передается в систему сопоставления имен службы DNS-клиент.

- Когда не удается ответить на запрос на локальном уровне, можно для сопоставления имени запрашивать DNS-серверы по мере необходимости.