Управление групповыми политиками
Для изменения групповых политик используется оснастка gpedit. Стоит учесть, что не все групповые политики применяются непосредстевнно из домена, так как существуют локальные политики на каждом компьютере сети, которые применяются есди компьютер не явяется участником домена. Роммсотрим основные компоненты групповых политик. Корпорация Microsoft использует довольно перегруженную терминологию по отношению к гркпповым политикам. Например Объект групповой политики, представляет собой связь контейнера групповойи шаблона групповой политики. Кстати крайне не желательно изменять шаблонDefault Domain Policy, потомучто в случае нправильной настройки, ппараметры по умолчанию могут быть аосстановлены при помощи его. Шаблон групповой политики это просто набор инструкций, которые реализуют набор политик. Например политики обновления системного рестра хранятся в шаблоне Registry.pol. И конечно нелья забыть про Контейнер групповой политки. Этообъект Active Directory, в котором перечислены имена шаблонов групповой политики, связанных с определенным объектом групповой политики.Клиенты Windows используют информацию из контейнера групповой политики для определения загружаемых и обрабатываемых шаблонов групповой политики. (В документации от компании Microsoft термины объект групповой политики и контейнер групповойполитики иногда заменяют друг друга.)
18. Назначение и характеристика аудита файлов, папок и принтеров.
19. Сетевые службы, их назначение и настройка.
Сетевые службы обеспечивают дополнительные функции, такаие как работа с сетевыми файлами и принтерами.
Network service
Сетевая служба - прикладная программа, которая:
- взаимодействует в сети с клиентами, серверами и данными;
- управляет процедурами распределенной обработки данных;
- информирует пользователей о происходящих в сети изменениях.
Сетевая служба:
- использует сервис, предоставляемый областью взаимодействия; и
- обеспечивает связь прикладных процессов, расположенных в различных абонентских системах сети.
20. Система безопасности домена
Система безопасности домена
Система безопасности домен включает в себя следующие компоненты:
- Политика учетных записей
– Права пользователей
– Политика аудита
– Административные полномочия
– Системные службы
Остановимся подробнее на каждом пункте
Политика учетных записей - Определяет настройки для пароля и блокировок. Например Можно потребовать от пользователей соблюдать ограничения на минимальную длину пароля, регулярно менять пароли и запретить повторное их использование
Права пользователей - Права пользователя (иногда называемые привилегиями) — это особые полномочия, которые дают возможность выполнять определенные операции на системном уровне. Например, чтобы зарегистрироваться с локальной консоли, требуется право Logon locally.
Политика аудита - Эта политика устанавливает тип событий безопасности, регистрируемых системой в локальном журнале безопасности. Windows поддерживает семь категорий аудита. Среди них аудит процесса регистрации пользователей, доступа к файловой системе, выполнения программ, изменения политики безопасности, изменения настроек учетных записей.
Административные полномочия (Administrative authority). Для каждой созданной группы пользоватлей, могут быть назначены различные полномочия. Например члены группы «Администраторы» имееют права добовлять новых пользователей в систему в отличии от группы «Пользователи».
Системные службы (System services). Системные службы — это дверь в систему NT, поэтому необходимо понять назначение каждой из них и установить, должна ли быть запущена та или иная служба.
21. Назначение и характеристика аудита
Политика аудита (Audit policy). Нужно выбрать Policies, Audit — откроется окно Audit Policy (см. Экран 2). Эта политика устанавливает тип событий безопасности, регистрируемых системой в локальном журнале безопасности (Security log). NT поддерживает семь категорий аудита. Среди них аудит процесса регистрации пользователей, доступа к файловой системе, выполнения программ, изменения политики безопасности, изменения настроек учетных записей. Систему можно настроить на запись событий аудита об успешном или неудачном завершении проверки для каждой категории.
Для просмотра локального журнала безопасности требуется открыть программу Event Viewer и выбрать в меню Log пункт Security. Для настройки параметров журнала используется Log, Log Settings.
Здесь настраивается максимальный размер журнала и действия системы при достижении журналом указанного размера. Система может переписывать самые старые записи журнала; перезаписывать записи, устаревшие на указанное число дней (если журнал заполнен, то до истечения этого срока события не регистрируются, пока не будут выполнены условия устаревания записей). Можно запретить системе осуществлять перезапись журнала. В этом случае необходимо периодически самостоятельно его очищать, поскольку при заполнении журнала события перестают регистрироваться (простое увеличение размера журнала не приведет к возобновлению регистрации событий; сначала нужно освободить место в журнале).
22. Назначение, структура и хранение данных реестра.
Реестр устроен по форме улья или кустов. Есть идентификатор реестра. Структура реестра: корень и вложенные элементы. Клячи имеют параметры. Каждому параметру назначаются значения ключа.
keyclassesroot - соответствия приложений расширениям
user - конфигурация зарегестрированных в системе пользователей
users - инфа обо всех пользователей
config - конфигурация системы
localmachine - инфа о приложениях и режимах запуска всех устройств, инфа о драйверах и их загрузке, инфа о службах и режимах их запуска.
Свойства реестра: динамичность и безопасность
23. Предотвращение сбоев, защита и проверка системных файлов.
Если процедура POST(самотестирование после включения) завершилась успешно, то аппаратные средства компьютера инициализировались корректно. Если при этом в процессе загрузки Windows Server все же происходит сбой, возможно, что проблема вызвана одной из следующих причин:
• проблемы с жестким диском, на котором находится системный раздел (загрузочный раздел может находиться на другом диске);
• повреждение главной загрузочной записи (Master Boot Record, MBR) или загрузочного сектора на системном разделе;
• отсутствие или повреждение одного из файлов, необходимых для загрузки операционной системы.
В составе Windows Server имеется целый арсенал средств, позволяющих выполнить восстановление поврежденной системы. Основные из средств обеспечения отказоустойчивости и предотвращения сбоев перечислены ниже.
• Средства защиты системных файлов цифровой подписью. С появлением Windows 2000 в составе операционной системы появился набор средств, позволяющих гарантировать защиту системных файлов и драйверов устройств от их случайной замены при установке дополнительного программного обеспечения. При их замене некорректно работающей или несовместимой версией были возможны самые разнообразные последствия — от снижения общей производительности системы до ее катастрофического сбоя. Набор средств защиты файлов цифровой подписью включает в свой состав такие средства, как зашита системных файлов (Windows File Protection, WFP), проверка системных файлов (System File Checker, SFC) и верификация цифровой подписи файлов (File Signature Verification, FSV). Теперь, если после установки обновленного драйвера устройства операционная система станет работать нестабильно, пользователю будет предоставлена возможность вернуть ее в исходное состояние путем замены драйвера на предыдущую версию.
• Безопасный режим загрузки (Safe mode). В Windows Server возможности безопасного режима загрузки были расширены и усовершенствованы. При использовании безопасного режима система загружается с минимальным набором драйверов устройств и сервисов. Использование безопасного режима предоставляет средства быстрого восстановления системы после сбоев, вызванных некорректной установкой нового программного обеспечения или драйверов устройств. Однако применение безопасного режима загрузки помогает не во всех случаях. Так, она оказывается практически бесполезной, если повреждены системные файлы, а также в случаях повреждения жесткого диска.
• Автоматическое восстановление системы (Automated System Recovery, ASR). ASR представляет собой двухступенчатую систему восстановления, которая позволяет выполнить восстановление операционных Windows Server с использованием файлов резервной копии, сохраненных на жестком диске или съемном носителе и конфигурационной информации жесткого диска, сохраненной на дискете. Здесь же следует подчеркнуть, что это средство позволит вам восстановить поврежденную операционную систему в тех случаях, когда все остальные методы восстановления эффекта не дадут (например, если повреждение жесткого диска не позволяет запустить Windows Server 2003 ни в нормальном, ни в безопасном режиме, а также использовать Recovery Console или конфигурацию Last Known Good).
• Консоль восстановления (Recovery Console). Функции Recovery Console предоставляют интерфейс командной строки, с помощью которого можно выполнить восстановление поврежденной системы. С помощью Recovery Console можно активизировать и блокировать запуск сервисов, восстанавливать поврежденные главные загрузочные записи и загрузочные секторы разделов, а также выполнять замену поврежденных системных файлов их работоспособными копиями. Эта функциональная возможность предоставляет максимум возможностей по управлению процессом восстановления, и поэтому доступна только пользователям, имеющим административные права в восстанавливаемой системе.
24. Централизованная установка программ: публикация, назначение и удаление приложений.