|
|||||||||||||
|
|||||||||||||
|
Новости
20 бoлeзнeй oт кoта
Опасность вейпинга
Вpeднa ли coя жeнщинaм
Вcя пpавда o яйцаx
Вpaчи нaпoмнили o pискe зapaзиться гeпaтитoм в сaлoнaх кpaсoты
В кaкoе время сyтoк лyчше не лечиться
Tиxий чаc дважды в нeдeлю cнижаeт pиcк инфаpкта и инcульта в два pаза
Слaдкaя гaзиpoвкa вoздействyет нa opгaнизм
Почeмy витaминныe добaвки нe пpиноcят пользы
|
Инструмент User State Migration Tool (USMT) и новая программа-мастер Files and Settings Transfer Wizard упрощают перенос параметров и файлов пользователя на новый компьютер и сохранение единообразной пользовательской среды при модернизации аппаратных средств и программного обеспечения. С помощью функции Resultant Set of Policies (RSoP) можно увидеть результат совместного действия групповых политик, налагаемых на пользователя или компьютер XP Pro. Режимы регистрации действий и планирования RSoP упрощают процесс создания групповых политик и поиск ошибок в них.
Администраторов, которые развернули беспроводную сеть или готовятся это сделать, должна заинтересовать функция Network Location Awareness. Данная функция управляет соединением и информирует операционную систему и приложения – в том числе встроенный брандмауэр Internet Connection Firewall – о состоянии соединения. В результате упрощается администрирование компьютеров, подключенных к беспроводной сети.
Надо сказать, что качество административных инструментов Windows постоянно повышается, и мы будем регулярно сообщать о результатах тестирования других важных функций XP Pro и о замеченных недостатках.
Основная задача администратора - управлять компьютером или сетью таким образом, чтобы обеспечить его наиболее эффективную бесперебойную работу. Компьютерная техника крайне сложна - так называемое "железо" состоит из миллионов элементов, один из которых когда-нибудь обязательно сломается, причем произойдет это, скорее всего, в самый неподходящий момент. Программное обеспечение последние годы также не радует простотой и прозрачностью использования, поэтому жизнь рядового администратора безоблачной никак не назовешь. Но и это не все! Зачастую бедному сисадмину, замученному техникой и криво написанными программами, приходится отражать атаки еще и Homo Sapiens, которые в некоторых случаях могут носить характер стихийного бедствия.Страх перед этими атаками, как умышленными, так и непреднамеренными (случайными), как хакеров, так и просто не осознающих свои действия пользователей, заставляет администратора изучать давно известные более опытным коллегам способы защиты компьютерных систем, а также придумывать свои новые методы и личные уловки. Администратор должен предвидеть различные действия своих потенциальных "врагов" и предусмотреть всевозможные последствия этих действий, а также систему мер, позволяющих со всеми этими бедами бороться. В придачу к этому, администратор должен думать о том, чтобы работа пользователей оставалась максимально удобной и продуктивной. Задача, скажу я вам, не из легких. Но, слава Богу, бороться приходится не одному, а в коллективе единомышленников - так, в Интернете или Фидо, существует множество конференций и форумов, посвященных проблемам безопасности и администрирования, где вы всегда можете рассчитывать на квалифицированную помощь и дельный совет. Делятся люди опытом не только в форумах, но и посредством различных публикаций (как в электронных средствах массовой информации, так и в бумажных) и книг, посвященных администрированию.
Итак, когда же начинается сам процесс администрирования компьютера? А начинается он уже во время инсталляции ОС (точнее, еще раньше, когда вы продумываете политику безопасности, оцениваете, на какие группы разбить пользователей, какие права и привилегии каждой из них выделить, и так далее, но технически настройка всех параметров ОС начинается именно в момент инсталляции). Начнем с самого начала. После успешной установки операционной системы человеку, ее проводящему, предлагается ввести имя компьютера, а также утвердить пароль администратора. Это, пожалуй, самая важная часть всего процесса установки, поэтому отнестись к ней нужно серьезно, ибо администратор - это почти "бог". И если, в случае чего, у вас еще будет возможность изменить имя компьютера путем прямого редактирования реестра, то вот забыть пароль администратора - непростительная оплошность. А главное - еще и трудно исправимая, поэтому, если вы действительно умудрились забыть пароль, то мне вас искренне жаль. В то же время, мы крайне не рекомендуем записывать пароль где попало или брать в качестве него имя любимой жены, благо его-то уж знают все ваши сотрудники и при необходимости могут без труда подобрать. Лучше всего взять какое-нибудь длинное и хорошо запоминающееся слово (например, широко разрекламированный товар или марку), скажем panasonic, и заменить часть букв на схожие по написанию цифры (i или l на единицу, о на ноль) или некоторые буквы заменить на заглавные, в нашем примере получится pAnAs0nIc - сомнительно, что кто-то быстро подберет такой пароль, и в то же время он будет достаточно запоминающимся.
Здесь есть еще один тонкий момент: поскольку администратор имеет неограниченный доступ ко всем ресурсам компьютера, не рекомендуется выполнять повседневную работу, входя в систему от имени администратора, поскольку таким образом вы колоссально увеличиваете уязвимость системы. Ведь все программы, запускаемые в рамках рабочего сеанса с расширенными административными полномочиями, могут представлять опасность для рабочей среды - особенно это касается использования всем известного Internet Explorer'а для серфинга по просторам сети, а также не менее известной почтовой программы Outlook. Кроме того, вы можете случайно изменить важные настройки, а запустившиеся вирусы в этой ситуации будут чувствовать себя просто восхитительно. Поэтому для домашнего компьютера оптимальным считается вариант, когда администратор обладает двумя учетными записями: одна из них обладает набором привилегий обычного (или опытного) пользователя, а вторая расширенным набором административных привилегий. Вся каждодневная работа выполняется с использованием первой учетной записи, а для выполнения задач, связанных с администрированием системы, администратор должен переключаться на использование второй. Для сети, где вопросы безопасности особенно важны, мы бы рекомендовали наделить правами администратора учетную запись с отличным от установленного по умолчанию именем (чтобы потенциальному нарушителю пришлось узнавать не только пароль, но еще и имя учетной записи), в то же время учетную запись с именем "Администратор" обеспечить минимальными правами и включить аудит на ее использование, - тогда вы сможете отслеживать в журнале событий все атаки, предпринимаемые на драгоценный сервер.
Естественно, что постоянное отключение от системы и подключение к системе с использованием различных учетных записей, меняющихся в зависимости от выполняемых задач, - весьма утомительное и нудное занятие. Но в Windows 2000 этого и не требуется делать, ведь она теперь поддерживает новый механизм, который позволяет запускать приложения в другом контексте безопасности, не отключаясь при этом от системы. Эта возможность обеспечивается благодаря автоматически запускающейся в начале работы системы службе Secondary Logon Service (запуск от имени). Чтобы воспользоваться этим механизмом, нужно просто щелкнуть на исполняемом файле правой кнопкой мыши, при этом удерживая нажатой клавишу Shift. В результате в выпадающем меню появится пункт Run As (Запуск от имени), и вы сможете запустить интересующее вас приложение от имени другого пользователя.
Добавлять новых пользователей в систему могут только администраторы и опытные пользователи, при этом опытные пользователи не могут назначать пользователям права большие, чем они имеют сами. Не стоит кидаться и сразу создавать кучу пользователей и назначать каждому из них определенные полномочия, лучше выключите компьютер, расслабьтесь и спокойно продумайте план инфраструктуры безопасности, ведь это, пожалуй, одна из самых важных составляющих общего плана развертывания Windows 2000 на предприятии. Очевидно, что при планировании системы безопасности крупной сети вам потребуется затратить значительно большие усилия, чем если бы вы планировали систему защиты сети, в которой работает лишь несколько клиентов. Однако, без всякого сомнения, время, потраченное на изучение принципов "правильного" администрирования даже одного компьютера, не окажется лишним. Скажем сразу, что законченный план безопасности обязательно должен содержать сведения о том, каким образом вы планируете использовать механизмы защиты ОС для того, чтобы обеспечить приемлемый уровень защиты ресурсов рабочей среды, желательно даже, чтобы это было сделано в письменной форме. Продумывая план безопасности, вы, прежде всего, должны оценить риски безопасности, то есть представить возможные ситуации, в которых рабочая среда может оказаться под угрозой. При этом вы должны по возможности разделить эти ситуации на категории, критерием деления будет служить вероятность возникновения ситуации и возможный в этом случае ущерб (например, следует учесть деструктивные действия вирусов, неправильное назначение привилегий, отказ служб, перехват идентификационных данных и т.д.). Обязательно определите политику создания паролей, то есть требование к сложности паролей, их длине, а также к интервалу времени, после которого пароль должен быть изменен (вместо того чтобы назначать правила, которым должны соответствовать придуманные пользователями пароли, вы можете сами назначать им пароли и запретить их изменять). Независимо от того, сами ли вы назначаете пользователям пароли, или они этим занимаются самостоятельно, постарайтесь исключить передачу незашифрованных паролей через каналы связи вашей сети. Продумайте действия, связанные с аудитом. Необходимо учитывать, что механизмы аудита требуют для своей работы дополнительного дискового пространства, а также влияют на производительность. Определите, желаете ли вы, чтобы старые сообщения в журнале аудита перезаписывались спустя несколько дней, или будет лучше, если компьютер будет останавливаться в случае, если происходит переполнение журнала безопасности. Обязанность просмотра журнала безопасности вы можете делегировать другому лицу. Обязательно проанализируйте меры безопасности, связанные с использованием в сети кода, загружаемого из Интернета или получаемого из других непроверенных источников. Также продумайте процедуры, связанные с цифровой подписью писем, отправляемых от лиц, являющихся членами вашей сети.
Когда вы это проделали, вы уже имеете достаточно четкое представление, что же вы хотите получить в конечном итоге, а значит, ваши усилия по настройке безопасности будут целенаправленными, а не случайными, что исключает появление непредвиденных дыр и ошибок. Вы можете возразить, сказав, что все вышесказанное относится скорее к крупной корпоративной сети, нежели к сети какой-нибудь мелкой фирмы, которых, что уж говорить, большинство, и где насчитывается всего-то 10-15 компьютеров, связанных по витой паре. Действительно, в этом случае, скорее всего, не придется разрабатывать сложный документ, отражающий политику безопасности, мы призываем лишь к тому, чтобы еще перед установкой сети вы сели и по-думали: что, от кого и как вы будете защищать, а не делали это в самую последнюю очередь.
Итак, можете включать компьютер и начинать настраивать ОС. Поскольку мы только что установили систему, на компьютере у нас имеется всего две учетных записи: Администратор и Гость. Учетная запись Администратор позволяет полностью управлять компьютером, поскольку входит в группу Администраторы и, таким образом, обладает полным контролем над всей работой системы и ее безопасностью. К слову, учетная группа Администраторы - единственная, которая не может быть удалена или заблокирована ни при каких обстоятельствах, в эту группу обязательно должна входить хотя бы одна учетная запись. Гость - это учетная запись для тех пользователей, которые не зарегистрированы в системе. Для входа в систему в качестве гостя необязательно вводить пароль и предварительно регистрироваться. Таким образом, будьте особенно осторожны, при определении прав и привилегий учетной группы Гости. А лучше вообще отключите ее использование.
Вы уже наверняка заметили, при обсуждении безопасности Windows 2000 всплывают такие фундаментальные понятия, как учетная запись и учетная группа. Так как они имеют огромное значение для обсуждения всех последующих концепций защиты, их стоит обсудить подробнее.
Как известно, в Windows 2000 реализован многопользовательский интерфейс, который предоставляет возможность работать на одном компьютере нескольким людям. Для их учета и идентификации используются учетные записи, поэтому каждый, кто регулярно работает на локальном компьютере, должен иметь учетную запись пользователя, которая содержит информацию о пользователе, включая имя пользователя, его пароль и различные необязательные пункты, определяющие, помимо прочего, когда и каким образом пользователю разрешено входить в систему (с локального компьютера или, скажем, используя telnet). Из этого следует, что одна из ключевых задач администрирования состоит в создании учетных записей для отдельных пользователей и их групп. Отдельная учетная запись предоставляет индивидуальные настройки рабочей среды, в которые входят настройки рабочего стола и интерфейса пользователя, а также индивидуальные настройки отдельных приложений, которые использует данный пользователь (например, настройки почтовой программы будут различны для различных использующих ее людей), настройки печати, набор разрешенных для выполнения программ и так далее. При этом предполагается, что часть индивидуальных настроек пользователи устанавливают сами в соответствии со своими вкусами и потребностями, а часть устанавливает администратор, и эти настройки кроме него не имеет права менять никто. Управление учетными записями осуществляется с помощью оснастки "Локальные пользователи и группы", а также при помощи пункта панели управления - "Пользователи и пароли" (Users and Passwords). Сразу следует оговориться, что вариант использования "Пользователи и пароли" предоставляет значительно меньше возможностей, чем первый, и служит скорее для упрощения администрирования. Однако, с другой стороны, он предоставляет два уникальных параметра: автоматический вход в систему при загрузке с использованием особой учетной записи; определение необходимости нажатия комбинации клавиш Crt-Alt-Del для доступа к диалоговому окну Вход в систему.
Каждая учетная запись может иметь членство в одной или нескольких группах. При установке системы автоматически создаются шесть встроенных групп: Администраторы, Операторы архива, Гости, Опытные пользователи, Репликаторы и Пользователи. Попробуем пояснить, зачем же нужны эти группы. Права доступа в системе можно назначать вручную для каждой учетной записи, так чаще всего и поступают, если пользователей немного. Но что делать, если их, например, больше 100? Администратору предстоит бессонная ночь, если он попытается назначать права доступа всем им прямым присвоением. Ну а если пользователи все время приходят и уходят, администратор, как Жучка, будет этим заниматься практически постоянно, а это рано или поздно приведет к анархии в администрировании, так как никто не будет иметь представления о том, каким пользователям предоставлены разрешения и какие именно. Гораздо предпочтительнее хорошо разработать несколько групп и включать туда при необходимости те или иные учетные записи. Но не стоит думать, что использование групп служит только для облегчения работы администратора, вовсе нет, преимущества их использования должны быть очевидны и руководителям, и топ-менеджерам. Предположим, вы директор крупного предприятия. Вы работаете с самыми разными документами: финансовыми договорами, производственными бумагами, договорами о поставках и так далее, все они хранятся на сервере вашего предприятия, поскольку с ними работают и другие сотрудники. Вам, вполне естественно, хотелось бы ограничить доступ бухгалтеров к производственным документам, а инженеров - к финансовым. С этой целью можно создать две группы: "Финансисты" и "Техники", каждой из которых назначить доступ к нужным файлам. Затем учетная запись директора включается в каждую из этих групп, и вы получите доступ ко всем документам сразу. Назначая права доступа не отдельным пользователям и их учетным записям, а целым группам, администратор может сильно повысить эффективность своей работы, особенно если в сети работает много пользователей с разными правами доступа.
Связывание определенной учетной записи с конкретными правами доступа происходит с применением SID, которые есть и у обычных пользователей, и у групп, и даже у отдельных компьютеров. При этом права каждой учетной записи полностью определяются допустимым SID (подробнее о SID читайте в третьей части нашей статьи), который используется для назначения прав доступа к объектам (таким как файлы, сетевые ресурсы или принтер, каналы, задания, процессы, потоки и т. д.). Таким образом, если даже учетная запись пользователя является корректным SID, которому может быть предоставлено разрешение для доступа к сетевому ресурсу или права в системе, в общем случае следует избегать предоставления разрешений отдельным ученым записям пользователя. Правильнее будет пользоваться группами как основным механизмом обеспечения безопасности. Группа - это имя, аналогичное имени пользователя или имени учетной записи пользователя, которым можно пользоваться для работы с несколькими пользователями. Группы обеспечивают удобный способ назначения и последующего управления доступом для нескольких пользователей, выполняющих схожие задачи. Помещая учетные записи пользователей в группу, вы можете предоставить всем пользователям этой группы одинаковые возможности и ограничения. Если вам по-требуется изменить разрешения или права, назначенные пользователям в группе, достаточно будет модифицировать только одну учетную запись - запись группы.
Но права и разрешение на использование тех или иных ресурсов - это не единственное, что отличает различных пользователей одной сети или даже одного компьютера. Все мы люди, а значит, личности, то есть индивидуальности, поэтому у каждого из нас есть свои предпочтения и вкусы. Как писал классик: кто-то любит арбуз, а кто и свиной хрящик. При этом каждый обычно пытается эту свою индивидуальность выразить, поэтому поверхность десктопа очень быстро, словно скатертью, накрывается различными обоями и всевозможными иконками. Понятно, что люди, занимающиеся разной работой, обычно используют разные приложения, если десктоп у всех будет один и тот же - то он очень скоро превратится в "жуткое нечто", наполненное кучей ярлыков и ссылок. Работать эффективно будет почти невозможно. Поэтому все настройки рабочей среды, сделанные самим пользователем и называемые профи-лем пользователя, хранятся отдельно для каждого, кто пользуется компьютером. Локальный профиль пользователя хранится в папке Documents and Settings, перемещаемый профиль находится в специальной папке на выбранном для этого сервере, пути к которой прописаны для каждой учетной записи, использующей этот профиль. Однажды создав профиль пользователя, не хочется делать это заново в случае переустановки системы или изменения места работы пользователя. На этот случай предусмотрена очень приятная возможность: создание перемещаемого профиля, который хранится на сервере и может быть доступен на любом рядовом ее члене. Один из способов создания перемещаемого профиля - скопировать нужный про-филь в специальную папку на сервере, а затем переименовать файл настроек пользователя Ntuser.dat в Ntuser.man. После этого можно прописывать пути к этому профилю для нужных вам учетных записей, это делается либо с помощью оснастки Локальные пользователи и группы, либо - Active Directory - пользователи и компьютеры.
Напоследок рассмотрим еще один важный вопрос: аудит системы. Мы уже упоминали о том, что администратор может просматривать интересующие его события, происходящие в системе, и адекватным образом реагировать на них. Для того чтобы отслеживать в системе определенные события (успешные и неуспешные попытки произвести то или иное действие), аудит вначале нужно активизировать с помощью оснастки Групповые политики. Как правило, особый интерес представляют попытки доступа к определенным файлам или папкам, активизировать отслеживание таких событий можно прямо на вкладках свойств этих объектов. Но не стоит увлекаться и применять аудит ко всему подряд; не забывайте, что он достаточно сильно замедляет работу системы.
Итак, мы рассмотрели некоторые важные аспекты работы администратора локального компьютера и сети. На самом деле все несоизмеримо сложнее: дело в том, что кроме безопасности, про которую мы постарались рассказать поподробнее, есть еще много всего такого, чем в силу специфичности данной должности в России обычно приходится заниматься администратору: это и настройка сети со всеми вытекающими последствиями, и установка принтеров, новых устройств и, соответственно, драйверов для них, нового программного обеспечения и т. д. А если особенно повезет с работодателем, то, возможно, на администратора заодно повесят создание пары-тройки сайтов для организации, замену расходников для принтеров и различных копировальных аппаратов, что тоже несколько поможет расширить кругозор.
Хотите получить доступ к учетной записи Администратора на экране входа в систему без необходимости грузиться в Безопасный Режим? На экране входа в систему нажмите дважды "CTRL-ALT-DEL". После этого появится окно, в котором вы можете набрать имя пользователя и пароль.
Q. Как управлять пользователями, которым можно заходить на компьютер?
A.В XP есть механизм идентификации пользователей, и каждого пользователя можно ограничить в правах. Пользователей на одной машине может быть множество, и чтобы было проще ими управлять, пользователи разбиты на группы. Управление пользователями и группами осуществляется с помощью апплета Users Accounts в Control Panel. После установки системы образуется только два пользователя, один с правами администратора, который вы создали в процессе установки XP, и Guest, которые показаны в окне (на самом деле есть ещё несколько пользователей, например пользователь Administrator, но его не показывает в списке, и чтобы залогиниться им придётся идти на некоторые ухищрения). Если вы обладаете правами администратора, то можете добавить или удалить пользователя в этом окне, можете поменять пароль пользователя или пиктограмму соответствующую пользователю, поменять метод, который используется для входа в систему. Для этого надо выбрать пункт Change the way users log on and off. По умолчанию стоит Use the Welcome screen что означает, что для логона следует всего-навсего кликнуть по иконке из списка и ввести пароль. Если убрать галочку с этого пункта, то будет использоваться старый добрый метод входа знакомый по всем NT, с окном в котором предлагается ввести имя пользователя и пароль. Но, настоящего контроля над пользователями из окна Users Accounts вы не получите. Для этого придётся заглянуть в Control Panel и обратиться к апплету Administrative Tools - Computer Management - Local Users and Groups. Вы окажетесь в хорошо знакомом пользователям предыдущих ОС линейки NT апплете, в котором сможете добавить или удалить пользователей отредактировать уже существующих, поменять им группу, и т.д...
Кроме этого, некоторые настройки для пользователей, такие как время жизни пароля, конкретные права для различных групп, и некоторые другие настраиваются из апплета Local Security Setings из Administrative Tools.
Q. Как залогиниться администратором?
A.Без лишних усилий администратором дают залогиниться только в Safe mode. Но, залогиниться им можно и в нормальном режиме. Самый простой способ, это не использовать Welcome screen. При обычном входе вводите имя пользователя (Administrator), пароль, и логинитесь. При использовании Welcome screen, когда выкинется окно с списком пользователей, дважды нажмите Ctrl+Alt+Del, и окажитесь в старом добром окне, где сможете ввести имя пароль. После того, как залогинитесь Administrator'ом, можете удалить всех пользователей с правами администратора, и тогда вы будете грузится administrator'ом всегда по умолчанию.
Q. Каким образом переименовать папку учетной записи "Администратор" - даже после переименования этого пользователя имя папки осталось прежним, что не очень красиво.
A.Загрузите ПК с правами администратора. В каталоге Documents and Settings создайте папку с любым названием (лучше, чтобы оно отличалось от имени администратора). Используя System Properties > Advanced > User Profiles, скопируйте старый профиль администратора в созданную папку.
В разделе реестра HKLM\ Software\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList найдите подраздел с параметром ProfileImagePath, указывающим путь к старой папке администратора и измените его на новый.
Q.Как переименовать папку аккаунта Администратор?
A.Заходим в систему под аккаунтом администратора, создаем папку с нужным именем в директории Documents and Settings. Затем - правый клик на иконке "Мой компьютер" -> Свойства -> Профили пользователей (User Profiles), нажимаем кнопку "Копировать ..." ("Copy To ...") и копируем профиль администратора в созданную папку. Если вы используете файловую систему NTFS, то вам возможно
придется вручную скопировать папку Local Settings. Далее, запускаем regedit и находим ключ: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList В этом ключе находим ветку, соответствующую профилю администратора и в ней исправляем параметр "ProfileImagePath" на нужный. Перелогиниваемся, если все прошло удачно, можно удалить старую папку - она больше не понадобится.
Q.Как настроить профиль пользователя, создаваемый системой по умолчанию?
A.Для этого следует создать временного пользователя, загрузиться в его профиль и выполнить все необходимые настройки. Затем, загрузившись под логином администратора, следует скопировать содержимое папки этого пользователя взамен содержимого папки "Default User". При этом на эту вновь созданную директорию "Default User" следует выставить такие же права доступа, как и были раньше. Остается только удалить созданного нами временного пользователя и его профиль. Так как при заходе под гостевым логином содержимое папки "Default User" копируется в свежесозданную папку "Guest", удаляемую при отлогинивании - все созданные нами настройки останутся в силе и на гостевом логине.
Q.Как в Win2K менять настройки групповой политики?
A.Hабираем в командной строке gpedit.msc, жмем Enter, и редактируем настройки политики по своему желанию. Также можно запустить через Start -> Programs ->Administrative Tools -> Local Security Poliсy.
Q.Утерян пароль администратора. Что делать? Доступ к компьютеру полный.
A.1.Удалите файлы %Windir%\system32\config\sam*. После удаления файлов возможен вход с логином Administrator/Администратор и пустым паролем.
2. Другой способ - скачать с сайта образ Linux-дискеты и программу для записи этого образа. Загрузившись с этой дискеты, с помощью записанной на неё программы Offline NT Password & Registry Editor можно установить новый пароль администратора, даже не зная старого.
Q. Позавчера потерял бумажку с паролем к системе Win2K. Были созданы учетные записи только Администратора (с полными правами) и Гостя (с неполными правами). В общем, надо каким-нибудь образом добраться до прав Администратора (желательно без переустановки системы).
A. Если говорить вкратце, то вам понадобится:
- утилита-эксплоит DebPloit, использующая уязвимость системного файла smss.exe;
- сам файл smss.exe версии не новее SP2 (если установлен SP3, то возьмите файл из дистрибутива);
- утилита NTFS for DOS Pro для замены файла smss.exe более старой версией, если установлен SP3;
- загрузочная DOS-дискета;
- программа LC+ для восстановления пароля Администратора либо забугорный L0phtcrack;
- в ряде случаев нужна утилита Offline NT Password & Registry Editor home.eunet.no/~pnordahl/ntpasswd для отключения антивируса, не дающего использовать DebPloit.
Как потерять гордое звание "Администратор" Везде утверждается, что иметь на ПК с Win2K / XP учетную запись администратора со стандартным именем "Администратор" - дурной тон, так как это несколько снижает общий уровень защищенности системы.В принципе, это понятно - лучше, чтобы потенциальный взломщик не знал не только пароля пользователя, но и его имени. Но мне не вполне ясно, каким образом переименовать папку учетной записи "Администратор" - даже после переименования этого пользователя имя папки осталось прежним, что не очень красиво.Загрузите ПК с правами администратора. В каталоге Documents and Settings создайте папку с любым названием (лучше, чтобы оно отличалось от имени администратора). Используя System Properties > Advanced > User Profiles, скопируйте старый профиль администратора в созданную папку.В HKLM\ Software\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList найдите подраздел с параметром ProfileImagePath, указывающим путь к старой папке администратора и измените его на новый.При установке ХР создается учетная запись с именем Administrator (в английской версии) или Администратор (в русской). При включенном Welcome Screen его не видно, но если перезагрузиться в Safe Mode, то там его уже можно увидеть. Но есть один способ увидеть его в нормальном режиме. Для этого перезагрузите компьютер и дождитесь появления Welcome Screen. Теперь два раза нажмите Ctrl+Alt+Del. В появившемся окне наберите слово «Администратор» («Administrator») и, не набирая пароль (разумеется, если вы его до этого не поставили), жмите Enter.
Для начала вернемся в те далекие (или не очень) времена, когда на рынке появилась NT 4.0. У администраторов этой системы и ее предшественников был целый набор административных инструментов, часть из которых была вынесена в панель управления, а другая часть находилась в меню Администрирование. Каждый инструмент представлял собой отдельное приложение пусть и с удобным, но своим интерфейсом. К тому же, приложение могло выполнять сразу несколько функций. По этим причинам начинающим администраторам (а данными утилитами пользуются, в основном, администраторы) было трудно управлять системой, часто они просто терялись в многообразии функций отдельного приложения, в то же время так и не находя нужного им параметра.
Еще один недостаток имеющихся средств управления — ограниченная возможность удаленного администрирования. Администратор, по сути дела, был привязан к машине на базе NT или Windows 95 (после выхода соответствующего пакета). Средства администрирования по протоколу HTTP лишь смягчили проблему, оставив ее открытой. Ну и напоследок следует описать проблему, характерную для больших и очень больших организаций. Представьте себе корпоративную сеть с несколькими филиалами и одним головным подразделением. Администраторы головного подразделения не хотят предоставлять всех полномочий и всех инструментов управления администраторам филиалов (это вполне логично). Что делать? С NT 4.0 и старше данный вопрос решается исключительно организационными мерами: разъяснениями, что можно делать, а что нельзя, и постоянным контролем. Для исправления сложившейся ситуации компания Microsoft решила создать новый универсальный продукт, удовлетворяющий следующим требованиям:
MMC является общей расширяемой средой для управляющих приложений, удовлетворяющей вышеперечисленным условиям. Реализована она в виде обычного MDI-приложения (многооконного), широко использующего интернет-технологии. Сама по себе MMC не представляет управляющих функций — это лишь среда для оснасток (snap-in). Оснастка — управляющий компонент, интегрирующийся в MMC. Одна оснастка представляет единицу управления, а их набор — управляющий инструмент. Оснастка может как посылать команды приложению, так и принимать их, а также выступать в качестве элементов интеграции различных приложений. Одновременно в системе можно использовать и MMC, и управляющие приложения других фирм, задействовав их отдельно либо создав ярлыки на них в MMC. Вырисовывается такая схема (см. рис. 1)
Обратите свое внимание на рис. 2. Здесь вы увидите модель консоли управления.
Диспетчер оснасток (Snap-in manager) — основа консоли управления — позволяет добавлять, удалять и модифицировать оснастки, а также разрешает указать, как будет работать данная оснастка: автономно или с дополнительными расширениями. Значения параметров хранятся в файлах с расширением .msc. Из нескольких загруженных оснасток администратор может создать инструмент управления. Этот инструмент сохраняется в MSC-файле для повторного использования и называется документом.
"Монитор маршрутизации" и "Журнал событий" на рисунке являются подгруженными оснастками, с которыми взаимодействует пользователь.
Объединяясь, оснастки создают пространство имен — упорядоченный набор узлов в виде древовидной структуры. Если дерево большое, можно воспользоваться страницей Избранное (интерфейс MMC в целом напоминает Проводник). Для каждого узла можно открывать дочерние окна.
Оснастка (snap-in) — это минимальная единица управления, реализованная в виде OLE Inproc-сервера, исполняемого в контексте MMC. Как уже говорилось, набор оснасток представляет собой инструмент управления. Оснастка способна вызывать другие поддерживаемые в системе элементы управления и DLL. Такая гибкость позволяет создавать инструменты по желанию администратора, заточенные под конкретные задачи. Оснастки бывают самостоятельными и оснастками-расширениями. Самостоятельные оснастки полностью самодостаточны, а оснастки-расширения обеспечивают нужной функциональностью оснастку-родителя. Многие оснастки обладают двойной функциональностью, являясь одновременно самостоятельными и расширяющими, как, например, оснастка Ведение журнала, расширяющая оснастку Управление компьютером. Оснасткам доступны следующие механизмы расширения консоли управления:
Консоль работает в двух основных режимах: авторском (author) и пользовательском (user). Пользовательский режим делится на 3 подрежима:
Полное управление над инструментом и консолью в целом вы получаете только в режиме автора, в любом пользовательском вы можете лишь использовать его, причем с ограничениями. Для перехода в авторский режим следует загрузить консоль командой mmc, а затем добавить нужный инструмент. Также можно выделить нужный mmc-файл и в контекстном меню по правому щелчку мыши выбрать команду Автор (Author) либо запустить данный файл с ключом /a.
Добавить или удалить оснастку можно в авторском режиме из меню Консоль, Добавить или удалить оснастку (Console, Add/remove Snap-in). Кстати, на закладке Расширения (Extensions) можно отключить ненужные в данный момент оснастки-расширения для добавляемой оснастки.
Для изменения свойств созданного вами инструмента, сохраненного в файле .msc, служит пункт Параметры (Options) меню Консоль (Console), где можно указать необходимый режим доступа.
У MMC есть одно замечательное свойство — панели заданий (taskpads). Это окно с одной или несколькими вкладками, на которых может располагаться список параметров и произвольные задания в виде значка. Заданием может быть команда из меню текущей оснастки, ссылка на web-страницу или любая команда, вызывающая приложение или сценарий. Для создания такой панели необходимо щелкнуть правой кнопкой мыши на нужной вам ветке консоли и выбрать команду Новый вид панели задач (New Taskpad View). Запустится программа-мастер, которая сначала настроит вид этой панели, а потом запустит другой мастер, добавляющий задания на созданную панель. Надо признать, это очень удобная вещь.
Внешний вид оснастки позволяет настроить команда Настроить (Customize) меню Вид (View).
В дополнение к вышесказанному отмечу возможность управления доступом к оснасткам с помощью групповой политики, которая позволяет разрешить/запретить:
Итак, открываем оснастку Групповая политика (Group Policy) для локального компьютера или любого другого. В ветви Конфигурация пользователя (User Configuration) находим ветвь Консоль управления Microsoft (Microsoft Management Console), где указываем нужные параметры. В списке запрещенных или разрешенных оснасток следует запретить оснастки, использование которых нежелательно. Если вы используете XP или Server 2003, то слева от параметров будете видеть исчерпывающие подсказки, посмотреть на которые можно также на закладке Объяснение.
MMC — серьезная среда управления с множеством полезных свойств. К сожалению, не многие ею пользуются, так как не догадываются о ее существовании. С одной стороны, MMC — это инструмент администратора, предназначенный для удаленного и локального администрирования машин в сети, с другой же — данная возможность присутствует на всех версиях NT старше 4.0, так почему бы ею не воспользоваться. К тому же, это стандартное и удобное средство, позволяющее вытворять с вашей машиной множество вещей, недоступных другими способами.
Вы никогда не задумывались, почему в NT-системах командная строка (консоль) обладает сравнительно небольшими возможностями программирования? Конечно, консоль для любой "серьезной" ОС — атрибут обязательный, поэтому в NT она есть, однако почему же она не так функциональна, как командные интерпретаторы из мира UNIX (BASH и сотоварищи)? Ну, во-первых, изначально командный процессор NT должен был быть совместимым с MS-DOS, что накладывало свои ограничения; а во-вторых, начиная с Windows 2000 в составе всех NT-образных ОС появилась такая полезная вещь, как сервер (хост) сценариев (скриптов), позволяющий реализовать все то, чего так недоставало в имеющейся командной строке — полнофункциональные средства программирования.
Особая прелесть данного сервера в том, что он не зависит от языка. Вы можете писать свои сценарии на чем угодно: VBScript, JScript, Perl и т.д. — нужно лишь чтобы в системе стояла соответствующая библиотека. По умолчанию поддерживаются Visual Basic Scripting Edition (VBScript) и Microsoft JScript (JScript). Еще одно достоинство стандартного сервера сценариев заключается в его узкой специализации. Поясню данное утверждение. Как известно, Internet Explorer также является хостом сценариев, так как способен, кроме языка HTML (тоже интерпретируемого), обрабатывать вставки на VBScript, JScript и т.д. WSH в отличие от него разработан исключительно для выполнения сценариев, из-за чего использует минимум памяти и времени процессора, так что теперь некоторые задачи, выполняемые ранее IE, можно переложить на WSH. Остается добавить, что данный сервер позволяет использовать как интерактивные, так и пакетные сценарии, такие, как сценарий входа в систему и сценарий администрирования.
Существует две версии сервера сценариев Windows: WScript.exe, позволяющая задавать параметры выполнения сценариев в окне свойств, и СScript.exe, позволяющая задавать те же параметры с помощью ключей командной строки. Одна из них является активной. Для изменения текущей версии сервера сценариев следует воспользоваться командой CScript или WScript с ключом //H:CScript (для консольного варианта) или //H:WScript (для GUI-версии, включено по умолчанию). Чтобы запустить необходимую версию, введите в командной строке WScript.exe или CScript.exe. Как легко догадаться, консольный вариант в первую очередь предназначен для выполнения пакетных заданий, а GUI — для интерактивных. Для просмотра доступных опций этих программ можно воспользоваться ключом /?. Запустить сценарий можно из командной строки, введя имя сервера и затем имя файла сценария, а также из Проводника по двойному щелчку левой кнопки мыши (контекстное меню по нажатию правой кнопки мыши будет меняться в зависимости от активной версии сервера сценариев).
Для разработки сценариев следует использовать специализированные редакторы с подсветкой синтаксиса, а еще лучше — какую-нибудь из сред разработки со встроенным отладчиком, однако никто не запрещает написать текст сценария в обычном блокноте. При запуске сценария из Проводника или из командной строки WSH читает и передает содержимое указанного файла зарегистрированному обработчику сценариев. Вместо тега SCRIPT (применяется в HTML) для определения языка сценария используется расширение имени файла (.vbs для VBScript, .js — для JScript). Благодаря этому разработчик сценария не обязан знать точные программные идентификаторы (ProgID) различных обработчиков сценариев.
Как и большинство программ под Windows, WSH является объектно-ориентированным средством. Объектная модель сервера сценариев направлена на использование при решении административных задач. Набор COM-интерфейсов модели можно разделить на две основные категории:
Более подробно об имеющихся объектах можно прочитать в справке Windows. Кроме объектного интерфейса, есть возможность использования любых элементов ActiveX, предоставляющих соответствующие интерфейсы. Например, можно создавать сценарии для управления службами каталогов Active Directory.
Другой важный компонент облегчения администрирования — инструментарий управления Windows (Windows Management Instrumentation, WMI). Он представляет собой реализацию корпорацией Microsoft протокола WBEM (Web-Based Enterprise Mana-gement — управление предприятием на основе веб-технологий). Данный протокол описывает стандарты общего доступа по сети к данным управления предприятием. WMI обеспечивает встроенную поддержку модели CIM (Common Information Model — общая модель данных), которой должны соответствовать объекты среды управления. Другими словами, мы получаем в актив универсальный способ управления системой (как программной частью, так и аппаратной), используя по необходимости удаленное администрирование по сети.
WMI включает в себя CIM-совместимую базу данных, в которой хранятся определения объектов, и диспетчер объектов CIM, который отвечает за занесение объектов в хранилище и управление ими, а также за сбор данных от поставщиков WMI. Поставщики WMI играют роль посредников между WMI и компонентами операционной системы, приложениями и другими системами. Например, поставщик реестра получает данные из реестра. Поставщики также предоставляют методы, с помощью которых можно управлять компонентами, свойства, которые могут быть изменены, и события, информирующие об изменениях, происходящих в компонентах.
WMI применяется во многих продуктах Microsoft, особенно серверных. Данная технология может использоваться в различных средствах управления компьютером от сторонних производителей. Ее также можно применять вместе с системами программирования (что и делается: WSH+WMI — друзья навеки) для получения сведений о конфигурации систем и последующего ее (конфигурации) изменения. К слову, WMI поддерживается такими встроенными в Windows средствами управления, как Свойства системы, Сведения о системе и Зависимости (оснастка Службы). О подобных средствах мы сейчас и поговорим.
Оснастка Элемент управления WMI, доступная из оснастки Управление компьютером (можно просто ввести wmimgmt.msc в консоли), позволяет настраивать параметры WMI на удаленном или локальном компьютере. С ее помощью можно задавать разрешения для прошедших проверку пользователей и групп, включать или выключать запись журнала ошибок, создавать резервные копии хранилища WMI или выполнять другие задачи по настройке.
Программа WBEMTest служит тестером WMI. Она предназначена для просмотра и изменения классов, экземпляров и методов CIM при разработке поставщиков и приложений WMI. WBEMTest можно также использовать при устранении неполадок подсистемы WMI или зависящих от нее программ.
Существует также консольная утилита WMIC (WMI Command-line), предоставляющая простой интерфейс командной строки для работы с подсистемой WMI. WMIC взаимодействует с существующими оболочками и служебными программами, а также может быть легко расширена с помощью сценариев или других административных приложений. Она позволяет выполнять следующие задачи:
Как видите, довольно богатые возможности. К тому же, последний пункт позволяет автоматизировать работу администратора, хотя в таких случаях лучше воспользоваться связкой WSH+WMI. Думаю, на этом остановимся.
Надеюсь, данный обзор (а это именно обзор) натолкнет читателя на более углубленное изучение рассмотренной темы.
Напоследок замечу, что основная часть программной реализации WMI (WBEM) находится в папке %System Root%\system32\wbem, а подпапка Repository с объектами WMI исправно сохраняется в каталоге System Volume Infor-mation средством Восстановление системы (только в XP) для последующего отката системы в случае краха. Это говорит о важности WMI в глазах Microsoft.
Q: Почему у меня при создании нового пользователя в Win2K и последующей попытке войти под ним в систему ОС выдает сообщение "Недостаточно места на диске". Приходится работать только под Администратором.
A: Посмотрите настройки журнала безопасности по адресу Панельуправления\Администрирование\Просмотр событий\Безопасность. Возможно, там стоит ручная очистка журнала при полном заполнении, в результате система не пускает никого, кроме Администратора, т.к. не может записать в журнал действия пользователей, связанные с безопасностью. Измените настройки на автоматическое затирание устаревших событий или увеличьте размер файла журнала. Также возможно, что на диске действительно нет места для создания профиля пользователя.Q.У меня был пользователь с правами администратора. Этот пользователь запретил доступ к одной из папок (диск отформатирован под NTFS). Этого пользователя уже давно нет, но с его папкой до сих пор ничего нельзя сделать — ни удалить, ни зайти туда. Ее можно как-то удалить?
A. Перезагрузи компьютер в защищенном режиме. Теперь зайди под администратором. Выбери нужную папку и кликни на ней правой клавишей мыши. Выбери пункт меню Свойства, а там — Безопасность > Дополнительно > Владелец > Сменить владельца на… Дальше выбирай свою учетную запись, выставляй максимальные права для твоего пользователя на нужную папку и нажимай ОК.
Если вы включите функцию "Удаленный рабочий стол" в Windows XP, то сможете получить доступ к вашему рабочему столу с удаленного компьютера. Вы сможете получить доступ к своим программам, файлам, сетевым ресурсам так, как будто вы сейчас находитесь за своим компьютером. Удаленный рабочий стол является улучшенным Terminal Services, который раньше был доступен лишь в линейках Microsoft® Windows® 2000 Server.
Замечание: Удаленный рабочий стол не доступен в Windows XP Home Edition.
Как включить удаленный рабочий стол?
При установке WinXP вы можете обнаружить, что по умолчанию Удаленный рабочий стол выключен. Вы должны будете включить Удаленный рабочий стол перед тем, как вы сможете использовать его при соединении с другого компьютера. Для этого вам необходимо проделать следующее:
Для включения удаленного доступа к вашему компьютеру вы должны состоят в группе Администраторов или в Группе Пользователей удаленного рабочего стола. Для того, чтобы добавить пользователя в Группу Пользователей удаленного рабочего стола, вам необходимо:
Имена пользователей, имеющих доступ к удаленному рабочему столу появится в списке Пользователей удаленного рабочего стола
Установка клиентского программного обеспечения
Чтобы использовать ваш компьютер для подключения к системе, использующей Удаленный рабочий стол, вам необходимо определить ваш компьютер, как клиент Удаленного рабочего стола. Для этого вам необходимо установить Подключение к удаленному рабочему столу (или же Terminal Services Client). Еще одним необходимым условием является то, что ваш компьютер может подключиться к удаленному компьютеру любым способом (с помощью сети, Интернет соединения или же с помощью модема).
Клиентское программное обеспечение в зависимости от операционной системы:
Операционная система |
Клиентское программное обеспечение |
Как запустить |
Windows XP (все версии) |
Подключение к удаленному рабочему столу (установлено по умолчанию) |
Пуск > Программы> Стандартные > Связь > Подключение к удаленному рабочему столу |
Windows 2000 Professional |
Подключение к удаленному рабочему столу (установлено по умолчанию) |
Установить с диска Windows XP Professional |
Windows 2000 Server |
Terminal Services Client (установлен по умолчанию, если установлен и Terminal Services) |
Пуск > Программы > Terminal Services Client Рекомендация: Установите последнюю версию Подключения к удаленному рабочему столу с диска Windows XP Professional |
Windows 95/98 |
Подключение к удаленному рабочему столу (устанавливается пользователем) |
Установить с диска Windows XP Professional |
Windows NT 4.0 |
Подключение к удаленному рабочему столу (устанавливается пользователем) |
Установить с диска Windows XP Professional |
Для установки Подключения к удаленному рабочему столу на компьютерах, использующих Win95/98/NT4.0 / 2000 Server / 2000 Professional, необходимо проделать следующее:
Установка подключения к Удаленному рабочему столу
После установки необходимо клиентского программного обеспечения, вы можете подключиться к удалннеому компьюетру:
Вы можете сконфигурировать Удаленное подключение до самого подключения, для этого в окне Подключения к Удаленному рабочему столу нажмите кнопку Параметры. Здесь вы можете:
Замечание: Клиенты удаленных сервисов используют TCP port 3389 для связи с удаленным компьютером, поэтому убедитесь в том, что этот порт не блокируется вашим файерволлом.
Безопасность при Удаленном соединении
Советую вам вводить пароль при каждом сеансе Удаленного соединения. Делается это так:
Дальше вы сможете настроить безопасность, используя настройки в разделе перенаправление данных клиент/сервер
Если нужны права админа и у тебя есть доступ к компу, то при загрузке, когда грузится BIOS нажми F8, и в появившейся менюшке выбери Step by step или командную строку. В ней вводишь:
net user <name> <password> /add
Этой строкой мы добавляем нового пользователя, если у тебя нет аккаунта, а если есть то сразу:
net localgroup administrators <name> /add
Этой командой наделяем нужного пользователя правами админа.
Q.Пропал доступ к Административным средствам и к Диспетчеру устройств. Как восстановить доступ без переустановки XP?
A.compmgmt.msc в командной строке.Q. XP Pro SP1. Проблема в том,как запретить отдельному юзверу удалить программу из памяти/трея? Всамой проге (DU Meter) такой настройки нет. Запретил taskmgr, но ведьв трее то она видна... Или как ее запустить Сервисом?
A.Установка сервисом: тебе нужны утилиты instsrv.exe и srvany.exe, я брал такие из Win2k resource kit, в XP работает. Кладешь их, например, в C:\WINDOWS\SYSTEM32. Пишешь: instsrv DUMeterSrv C:\WINDOWS\SYSTEM32\SRVANY.EXE Создастся служба DUMeterSrv. В параметрах службы можешь ей выставить, от какой учётной записи она будет запускаться (SYSTEM по-умолчанию), а также поставь ей галочку "Взаимодействие с рабочим столом". Затем ищешь в реестре ключ HKLM\System\CurrentControlSet\Services\DUMeterSrv, добавляешь подраздел Parameters, в него тип строка Application, значением которой будет полный путь до DUMeter.exe, например "C:\Program Files\DUMeter\DUMeter.exe". Всё, можно службу запускать и смотреть, как она работает.Q.Win2Kpro но я забыл пароль администратора.Как можно удалить пароль?
A.1. Удалите файлы %Windir%\system32\config\sam*. Если W2k установлен на FAT/FAT32, то из Win9x или с дискеты, если на NTFS - придется установить параллельную копию системы или снять жесткий диск и поставить его на другую машину с W2k. Если есть возможность, используйте NTFS for DOS. После удаления файлов возможен вход с логином Administrator/Администратор и пустым паролем.
2. Другой способ - скачать с сайта образ Linux-дискеты и программу для записи этого образа. Загрузившись с этой дискеты, с помощью записанной на неё программы Offline NT Password & Registry Editor можно установить новый пароль администратора, даже не зная старого.Q.В winXP удалена учетная запись администратор.
A.Учетную запись администратора (встроенную, которая уже была после установки) удалить не даст система! Отключить можно, переименовать тоже можно. Короче, набирай lusrmgr.msc и идешь в ПОЛЬЗОВАТЕЛИ и там ищешь учетную запись АДМИНИСТРАТОР, заходишь в ее свойства и снимаешь галку . Там же можно задать права админа любой учетной записи. То есть на вкладке ЧЛЕНСТВО В ГРУППАХ надо добавить.
seo & website usability | inet | html | os faq | hardware faq | memory | video | cpu | hdd | mainboard faq | printer & scaner | modem | mobiles | hackzone |
На главную | Cookie policy | Sitemap