Администрирование учетных записей windows server 2008

Обновлено 25.11.2019

Добрый день! Уважаемые читатели и гости, крупнейшего IT блога России Pyatilistnik.org. Сегодня я хочу посвятить пост на тему безопасности, в локальных системах Microsoft. В целях безопасности встроенную учетную запись Администратор отключают, а в место не создают вою с мудреным логином. Как отключить встроенную учетную запись Администратор, можно прочитать тут. Теперь давайте создадим свою и разберемся, как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2

Открываем редактор групповой политики

Выбираем нужное подразделение и правым кликом создаем новую политику

Задаем название политики

После создания давайте отредактируем политику.

Идем в конфигурация компьютера-Настройка-Параметры панели управления-Локальные пользователи. Щелкаем правым кликом по пустому месту и выбираем Локальный пользователь

Выбираем Создать и заполняем все поля. В моем случае логин будет Adminchik и пароль Papiro$$@

Дальше добавим его в группу Администраторы, для этого правым кликом Локальная группа

Сверху ставим Обновить, группу Администраторы и жмем снизу добавить

Пишем логин нашего пользователя Adminchik и жмем ок.

Видим, что пользователь добавился, теперь проверим, залогинившись на любой комп из данного OU и обновив политику gpupdate /force и зайдя в локальные пользователи видим что все отлично применилось.

Все бы хорошо но такую политику лучше применять один раз и отключать так как данный пароль можно узнать и взломать об этом я расскажу в статье Как узнать пароль локального администратора GPO (GROUPS.XML) в windows server 2008R2/2012R2

ВВЕДЕНИЕ

Сегодня информацию рассматривают как один из основных ресурсов развития общества, а информационные системы и технологии как средство повышения производительности и эффективности работы людей.

Компьютерные устройства – неотъемлемая часть нашей повседневной жизни. Они помогают нам общаться, находить необходимую нам информацию, быть в курсе всех событий, или просто служат развлечением. Устройство – ничто без операционной системы. Современные операционные системы отличаются своим удобством, скоростью работы и динамичностью одною из таких операционных систем является Microsoft Windows Server 2008.

Microsoft Windows Server 2008 – операционная система Windows Server, которая помогает ИТ-специалистам полностью контролировать инфраструктуру, обеспечивая беспрецедентную доступность и управляемость, что позволяет достичь более высокого, чем когда-либо, уровня безопасности, надежности и устойчивости серверной среды. Данная операционная система открывает перед организациями новые возможности, предоставляя всем пользователям, независимо от их местонахождения, доступ к полному набору сетевых услуг. Кроме того, в Windows Server 2008 имеются средства для анализа состояния и диагностики операционной системы, помогающие администраторам уделять больше времени развитию компании, а не тратить время на конфигурирование системы и исправления неисправностей. Данная серверная операционная система предлагает целый ряд новых технических возможностей в области безопасности, управления и администрирования, разработанных для повышения надежности и гибкости работы сервера.

Для исправного функционирования операционной системы на персональном компьютере, необходимо выполнить установку и настройку ОС, настройку сетевых подключений, создание учетных записей и групп. Правильное конфигурирование операционной системы играет важную роль в дальнейшем её использовании.

Целью данной работы является изучение учётных записей, групп в ОС Windows Server 2008 понятия и составных компонентов учётных записей и групп для организации, а также общих принципов работы.

Задачами данной курсовой работы является установка, конфигурирование операционной системы Windows Server 2008, а так же создание и настройка учетных записей и групп.

В первом разделе рассматриваются общие теоретические сведения об операционной системы Windows Server 2008, её функциях и возможностях. Информация о учетных записях, а так же основные понятия о группах.

Во втором разделе описана практическая реализации установки, конфигурирования операционной системы, а также создание групп и учетных записей.

Данная курсовая работа стоит из содержания, введения, 2 основных разделов, заключения и списка использованных источников.

Работа написана на 33 листах и содержит 20 рисунков.

1 Теоретические сведения об операционной системе Windows Server 2008

Windows Server 2008 — мощная, гибкая, полнофункциональная серверная операционная система (ОС), в основе которой лежат усовершенствования, впервые появившиеся в Windows Server 2003 SP1 и Windows Server 2003 Release 2. ОС Windows Server 2008 имеет несколько общих компонентов с Windows Vista, поскольку обе ОС созданы в рамках одного проекта. Эти компоненты связаны общей программной основой и охватывают многие аспекты действия ОС, включая управление, обеспечение безопасности, работу с сетью и хранение информации. В феврале 2008 года появилась операционная система Windows Server 2008, основанная на проекте Windows Vista – поэтому большая часть нововведений Windows Vista перешла и в Windows Server 2008.Тем не менее ОС Windows Server 2008 — не просто усовершенствование предшествующей операционной системы. Она разработана для того, чтобы обеспечить организации наиболее производительной платформой, позволяющей расширить функциональность приложений, сетей и веб-служб, от рабочих групп до центров данных, и значительно улучшить качество базовой операционной системы.

Она представляет собой защищенную и легко управляемую платформу для разработки и надежного размещения веб-приложений и служб. Новые полезные возможности и значительные усовершенствования в ОС Windows Server 2008 по сравнению с предыдущими версиями операционных систем, они востребованы как в небольших рабочих группах, так и в крупных вычислительных центрах.

Особенности и расширенные возможности управленияWindows Server 2008:

— Предоставляет ИТ-специалистам больше возможностей для управления серверами и сетевой инфраструктурой, что позволяет им сосредоточиться на важнейших потребностях организаций.

— Диспетчер сервера позволяет выполнять установку и управление на основе ролей, что облегчает задачи управления и обеспечения безопасности разных ролей серверов в рамках предприятия.

— Значительные усовершенствования в отношении администрирования инфраструктуры Windows Server 2008. Упрощенное обслуживание за счет использования единой модели выпуска обновлений и пакетов обновления для клиентской и серверной операционной системы.

— Функции защиты доступа к сети в Windows Server 2008 гарантируют, что клиентские компьютеры, которые подключаются к сети, соответствуют требованиям политик безопасности

— Надежность, масштабируемость и быстродействие инфраструктуры значительно повышаются благодаря усовершенствованиям, которые были внесены и в Windows Server 2008.

— Перед отправкой заданий печати на сервер клиентские компьютеры могут обрабатывать их локально с целью уменьшения нагрузки на сервер печати и повышения его доступности.

— Серверные ресурсы кэшируются локально и остаются доступными даже в случае потери подключения к серверу. После восстановления подключения копии автоматически обновляются.

— Приложения и сценарии, которые выполняются и на сервере, и на клиентском компьютере, используют транзакционную файловую систему для снижения риска возникновения ошибки.

— За счет изначальной поддержки протокола IPv6 всеми клиентскими и серверными службами формируется более надежная и масштабируемая сеть, а переписанный стек TCP/IP ускоряет обмен данными в сети и делает его более эффективным.

Гибкость.

Перечисленные ниже возможности Windows Server 2008 позволяют создавать гибкие и динамичные центры данных, которые отвечают непрерывно меняющимся потребностям компании. Встроенные технологии для виртуализации на одном сервере нескольких операционных систем (Windows, Linux и т. д.). Благодаря этим технологиям, а также более простым и гибким политикам лицензирования сегодня можно без труда воспользоваться преимуществами виртуализации, в том числе экономическими.

Централизованный доступ к приложениям и беспрепятственная интеграция удаленно опубликованных приложений. Кроме того, нужно отметить возможность подключения к удаленным приложениям через межсетевой экран без использования VPN — это позволяет быстро реагировать на потребности пользователей, независимо от их местонахождения.

Гибкие и функциональные приложения связывают работников друг с другом и с данными, обеспечивая таким образом наглядное представление, совместное использование и обработку информации.

Защита.

Windows Server 2008 усиливает безопасность операционной системы и среды в целом, формируя надежный фундамент, на котором можно развивать бизнес. Защита серверов, сетей, данных и учетных записей пользователей от сбоев и вторжений обеспечивается Windows Server за счет:

Усовершенствованные функции безопасности уменьшают уязвимость ядра сервера, благодаря чему повышается надежность и защищенность серверной среды.

Технология защиты сетевого доступа позволяет изолировать компьютеры, которые не отвечают требованиям действующих политик безопасности. Возможность принудительно обеспечивать соблюдение требований безопасности является мощным средством защиты сети.

Усовершенствованные решения по составлению интеллектуальных правил и политик, улучшающих управляемость и защищенность сетевых функций, позволяют создавать регулируемые политиками сети.

Защита данных, которая разрешает доступ к ним только пользователям с надлежащим контекстом безопасности и исключает потерю в случае поломки оборудования.

Защита от вредоносных программ с помощью функции контроля учетных записей с новой архитектурой проверки подлинности.

Повышенная устойчивость системы, уменьшающая вероятность потери доступа, результатов работы, времени, данных и контроля.

Контроль.

Поддержание контроля над серверами сети и, особенно, над доступом к ним, является основным приоритетом для администраторов. Поэтому в Windows Server 2008 включены две новые технологии, которые дают администраторам максимальный контроль над доступом к серверам сети: защита доступа к сети.

Диспетчер серверов Новая возможность Windows Server 2008, предоставляющая единый интерфейс, через который администратор может выполнять все действия по установке и настройке серверных ролей и компонентов Windows Server 2008 и управлению ими. С помощью диспетчера серверов можно настраивать разные функции и роли компьютеров.

Усовершенствования операционной системы Windows Server 2008

В Windows Server 2008 не только добавлены новые функции, но и значительно усовершенствованы многие возможности базовой ОС Windows Server 2003. Среди них следует отметить работу с сетью, расширенные функции безопасности, удаленный доступ к приложениям, централизованное управление ролями сервера, средства мониторинга производительности и надежности, отказоустойчивость кластеров, развертывание и файловую систему. Эти и многие другие улучшения помогают вывести серверы на максимальный уровень гибкости, безотказности и управляемости.

Знакомство с Windows Server 2008. В семейство операционных систем Windows Server 2008 входят версии Standard Edition, Enterprise Edition и Datacenter Edition. У каждой версии есть свое особое предназначение:

— Windows Server 2008 Standard Edition

Эта версия должна непосредственно заменить Windows Server 2003. Она предоставляет службы и ресурсы для других систем сети, обладает богатым набором компонентов и параметров конфигурации. Версия Standard Edition поддерживает двунаправленную и четырех направленную симметричную многопроцессорную обработку, до 4 Гб памяти для 32-разрядных систем и до 32 Гб памяти для 64-разрядных систем.

— Windows Server 2008 Enterprise Edition

Этот вариант обладает более широкими возможностями, чем Standard Edition, обеспечивает большую масштабируемость и доступность, а также поддерживает дополнительные службы, например, кластеризацию и службы федерации Active Directory. Кроме того, поддерживаются 64-разрядные системы, оперативная память.

— Windows Server 2008 Datacenter Edition

Самая мощная система семейства. В ней расширены возможности кластеризации, добавлена поддержка до 64 Гб памяти на системах х 86 и до 2 Тб памяти на 64-разряд-ных системах. Для ее работы требуется не менее 8 процессоров; возможна поддержка до 64 процессоров.

— Windows Web Server 2008

Этот вариант предназначен для предоставления веб-служб при развертывании веб-сайтов и веб-приложений, поэтому в нем поддерживаются только соответствующие компоненты. Точнее, в эту версию включены Microsoft .NET Framework, Microsoft InternetInformation Services (IIS), ASP.NET, сервер приложений и компоненты для балансировки нагрузки на сеть. Многие другие компоненты, включая Active Directory, в этой версии отсутствуют. Вам придется установить ядро сервера, чтобы получить хотя бы частичный доступ к стандартной функциональности. Windows Web-Server 2008 поддерживает до 2 Гб оперативной памяти и 2 процессора.

В различных версиях ОС поддерживаются одни и те же основные компоненты и инструменты администрирования. Это означает, что можно применять независимо, какой вариант Windows Server 2008.Учитывая, что на Web Server нельзя установить Active Directory, поэтому не удастся сделать сервер с Windows Web Server 2008 контроллером домена (хотя он может входить в домен Active Directory).

Устанавливая ОС Windows Server 2008, настраиваем систему сообразно ее роли в сети, учитывая следующие соображения:

серверы обычно являются частью рабочей группы или домена;

рабочие группы — это неорганизованные объединения компьютеров, в которых каждый компьютер управляется отдельно;

домены — это группы компьютеров, управляемых коллективно при помощи контроллеров домена, то есть, систем на базе Windows Server 2008, управляющих доступом к сети, базе данных каталогов и общим ресурсам.

1.1 Основные понятия учётных записей в ОС Windows Server 2008

Учётная запись — это запись хранимая в компьютерной системе, содержащая совокупность данных о пользователе, необходимая для его опознавания и предоставления доступа к его личным данным и настройкам.

Содержание учётной записи. Учётная запись, как правило, содержит сведения, необходимые для опознания пользователя при подключении к системе, сведения для авторизации и учёта. Это идентификатор пользователя логин и его пароль. Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде для безопасности.

Пользователи Интернета могут воспринимать учётную запись как личную страничку, профиль, кабинет, место хранения личных и других сведений на определённом интернет-ресурсе.

Для для входа в систему с помощью учетной записи обычно требуется ввод имени (логи́н) и пароля. В отдельных случаях может требоваться другая дополнительная информация.

Для аутентификации могут также использоваться специальные файлы-ключи (которые можно сохранять на разных носителях информации) либо аппаратные средства (вырабатывающие одноразовые ключи, считывающие биометрические характеристики и т. п.), а также одноразовые пароли.

Для повышения надёжности, наряду с ключом или паролем могут быть предусмотрены иные средства сверки — например, особый потайной вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать также дополнительные опросные данные о пользователе — имя, фамилию, отчество, псевдоним, пол, народность, расовую принадлежность, вероисповедание, группу крови, резус-фактор, возраст, дату рождения, адрес e-mail, домашний адрес, рабочий адрес, нетмейловый адрес, номер домашнего телефона, номер рабочего телефона, номер сотового телефона, номер ICQ, идентификатор Skype, ник в IRC, другие контактные данные систем мгновенного обмена сообщениями, адрес домашней страницы и/или блога в Паутине или интранете, сведения об увлечениях, о круге интересов, о семье, о перенесённых болезнях, о политических предпочтениях, о партийной принадлежности, о культурных предпочтениях, об умении общаться на иностранных языках и т. п.. Конкретные категории данных, которые могут быть внесены в такой опросник, определяются создателями и (или) администраторами системы.

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя.

Учётная запись пользователя также может учитывать различные статистические свойства поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, частотность использования системы, общее и (или) удельное количество определённых действий, произведённых в системе, и так далее.

Управление учетными записями — одна из основных задач администратора Windows Server 2008. Учетные записи пользователей служат для предоставления отдельным пользователям прав входа в сеть и обращения к сетевым ресурсам. Учетные записи групп позволяют управлять доступом к ресурсам сразу нескольких пользователей. Разрешения и полномочия, предоставляемые пользователю или группе, определяют, какие действия могут выполнять пользователи, а также доступ к каким компьютерам они получают.

Учетные записи пользователей

В Windows Server 2008 используются учетные записи пользователя двух типов:

— Доменные учетные записи

Учетные записи пользователей, определенные в Active Directory. Пройдя процедуру единого входа в систему владельцы доменных учетных записей получают доступ к ресурсам всего домена. Доменные учетные записи создаются в консоли Active Directory —пользователи и компьютеры (Active Directory Users And Computers).

— Локальные учетные записи

Учетные записи пользователей, определенные на локальном компьютере и предоставляющие доступ только к его ресурсам. Прежде чем получить доступ к сетевому ресурсу, они обязаны авторизоваться. Локальные учетные записи пользователей создаются при помощи консоли Локальные пользователи и группы (LocalUsers And Groups).

Имена для входа, пароли и открытые сертификаты

Учетные записи пользователей идентифицируются по именам для входа. В Windows Server 2008 имя для входа состоит из двух частей:

— Имя пользователя

Текстовое обозначение учетной записи.

— Домен или рабочая группа пользователя

Рабочая группа или домен, в которых существует данная учетная запись пользователя. Полное имя для входа в Windows Server 2008 для пользователя berezhnya, учетная запись которого создана в домене bsu.ru, выглядит berezhnya@bsu.ru

Идентификаторы безопасности и учетные записи пользователей.

Хотя в описаниях полномочий и разрешений пользователей Windows Server2008 отображает их имена, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifier, SID) — уникальные идентификаторы, генерируемые при создании учетных записей. В Windows Sever 2008 идентификаторы SID используются для отслеживания учетных записей независимо от имен пользователей. Идентификаторы безопасности служат многим целям. Две наиболее важные из них — возможность изменить имя пользователя без потери разрешений и возможность удалять учетные записи, не опасаясь, что кто-то получит несанкционированный доступ к ресурсам, создав учетную запись с таким же именем. Когда вы меняете имя пользователя, Windows Server 2008 сопоставляет с новым именем пользователя прежний идентификатор безопасности. При удалении учетной записи ее идентификатор SID становится недействительным. Даже если вы позже создадите учетную запись с таким же именем пользователя, ей будет назначен другой идентификатор SID, и потому новая учетная запись не будет обладать теми же полномочиями и разрешениями, что предыдущая.

Предопределенные учетные записи пользователей.

В Windows Server 2008 имеется несколько предопределенных учетных записей пользователей, включая учетные записи Администратор и Гость. На рядовых серверах предопределенные учетные записи являются локальными для той системы, на которой они установлены.У предопределенных учетных записей есть аналоги в Active Directory. Их права доступа определяются на уровне домена и полностью отделены от локальных учетных записей на отдельных системах.

Учетная запись Администратор (Administrator).

Предопределенная учетная запись Администратор предоставляет полный доступ к файлам, папкам, службам и прочим средствам. Удалить или отключить эту учетную запись невозможно. В Active Directory учетная запись Администратор обладает разрешениями и полномочиями на уровне домена. На локальном компьютере учетная запись Администратор, в основном, имеет доступ только к локальной системе. Файлы и папки можно временно сделать недоступными для учетной записи Администратор, но администратор всегда сможет без труда изменить разрешения на доступ в свою пользу.

В доменной среде локальная учетная запись администратор используется, в основном, для управления системой непосредственно после её установки. Это позволяет настроить систему без риска быть заблокированным.

Чтобы предотвратить несанкционированный доступ к системе или домену, нужно задать для учетной записи администратора особенно сложный пароль. В качестве дополнительной меры предосторожности переименуйте ее.

Как правило, менять основные параметры учетной записи Администратору не нужно. Вам может понадобиться изменить ее дополнительные параметры, например, членство в тех или иных группах. По умолчанию учетная запись Администратор в домене является членом следующих групп: Администраторы, Администраторы домена, Пользователи домена, Администраторы предприятия, Владельцы-создатели групповой политики и Администраторы схемы.

Учетная запись Гость (Guest).

Эта учетная запись предназначена для пользователей, которым необходимо одноразовый или, по крайней мере, несистематический доступ к системе. Хотя гости обладают ограниченными системными полномочиями, использовать эту учетную запись следует крайне осторожно, поскольку во время ее использования все равно подвергаете безопасность системы потенциальному риску. Чтобы снизить этот риск, изначально после установки Windows Server 2008 учетная запись гостя отключена. По умолчанию учетная запись гость является членом групп домена Гости. Кроме того, как и все остальные именованные учетные записи, она является членом неявной группы Все. Обычно члены группы Все по умолчанию имеют доступ к файлам и папкам. Группа Все также обладает стандартным набором прав пользователя.

Если решили включить учетную запись Гость, ограничьте её использовании, а так же регулярно меняйте пароль. Как и в случае учетной записи Администратор, в качестве дополнительной меры предосторожности следует переименовать гостевую учетную запись.

1.2 Основные понятия групп в ОС Windows Server 2008

Кроме учетных записей пользователей, в Windows Server 2008 используются учетные записи групп. В целом, группы используются для предоставления разрешений сходным типам пользователей, а также для упрощения администрирования учетных записей. Если пользователь является членом группы, обладающей доступом к ресурсу, то и сам пользователь получает доступ к этому ресурсу. Таким образом, чтобы предоставить пользователю доступ к различным рабочим ресурсам, вы просто добавляете его в нужную группу. Следует помнить, что при помощи учетной записи пользователя можно войти на компьютер, а при помощи учетной записи группы — нет. Поскольку в различных доменах Active Directory могут использоваться группы с совпадающими именами, в обозначение группы часто включают имя домена — доменимя_группы.

В Windows Server 2008 используются типы групп трех видов:

— Локальные группы

Группы, определенные на локальном компьютере и используемые только на нем. Создаются при помощью консоли.

— Группы безопасности

Группы, с которыми сопоставлены дескрипторы безопасности. В доменах группы безопасности определяются при помощи консоли.

— Группы распространения

Группы, используемые в качестве списка рассылки электронной почты. С ними не связаны дескрипторы безопасности. В доменах группы распространения также определяются при помощи консоли.

Как правило, говоря о группах, имеют в виду только локальные группы и группы безопасности, но не группы распространения. Группы распространения применяются только для рассылки электронной почты и не используются для управления доступом.

Область действия группы

В Active Directory группы различаются по областям действия — локальные доменные группы, встроенные локальные группы, глобальные и универсальные группы.

—Локальные доменные группы

Используются, в основном, для предоставления доступа к ресурсам внутри одного домена. В локальные доменные группы можно включать членов любого домена в лесе, а также членов доверенных доменов в других лесах. Как правило, членами локальных доменных групп являются глобальные и универсальные группы.

—Встроенные группы домена

Группы с особой областью действия, обладающие локальными разрешениями в домене. Для простоты их часто объединяют с локальными доменными группами. Отличие встроенных групп состоит в том, что их нельзя создавать и удалять. Все сказанное о локальных доменных группах применимо и к встроенным локальным группам.

— Глобальные группы

В основном используется для определения наборов пользователей или компьютеров в пределах одного домена, выполняющих исходную роль, функцию или работу. Членами глобальной группы могут быть только учетные записи или группы домена, в котором она определена.

—Универсальные группы

В основном, используются для определения наборов пользователей или компьютеров, которым требуется широкий спектр разрешений в домене или лесе. Членами универсальных групп могут быть учетные записи, глобальные группы и другие универсальные группы из любого домена дерева или леса. Универсальные группы безопасности доступны только при работе Active Directory в основном режиме Windows Server 2008. Универсальные группы распространения доступны в любом режиме работы домена.

Универсальные группы полезны в больших предприятиях с несколькими доменами. При правильном планировании универсальные группы существенно облегчают процесс системного администрирования. Не следует часто менять членов универсальных групп. При каждом изменении членов универсальной группы следует реплицировать изменения во все глобальные каталоги доменного дерева или леса. Для сокращения объема изменений добавляйте в универсальную группу другие группы, а не пользователей.

Таблица 1.1. — Обасть действия и возможности группы

Возможности группы	Локальная доменная группа	Глобальная группа	Универсальная группа
В основном режиме Windows 2000 или более высоком	Учетные записи, глобальные и универсальные группы из любого домена; локальные доменные группы только из того же домена	Учетные записи и глобальные группы только из того же домена	Учетные записи, а также глобальные и универсальные группы из любого домена
В смешанном режиме Windows 2000	Учетные записи и глобальные группы из любого домена	Только учетные записи из того же домена	Универсальные группы не могут создаваться в доменах, работающих в смешанном режиме
Членство в других группах	Может быть членом локальной группы другого домена; разрешения назначаются только в текущем домене	Может быть членом других группы; разрешения назначаются в любом домене	Может быть членом других групп; разрешения назначаются в любом домене
Изменение области действия	Может быть преобразована в универсальную при условии, что среди её членов нет другой локальной доменной группы	Может быть преобразована в универсальную при условии что сама не является членом универсальной гр.	Область действия универсальной группы изменить нельзя

Локальные доменные, глобальные и универсальные группы предоставляют широчайшие возможности для конфигурирования групп предприятия. Области действия этих групп призваны упростить администрирование. В идеале должны использовать области действия групп для создания иерархии, которая отражала бы организационную структуру предприятия и обязанности отдельных пользовательских коллективов. Вот наиболее подходящие области применения локальных доменных, глобальных и универсальных групп:

Локальные группы домена

Обладают наименьшим охватом. Применяйте их для управления доступом к ресурсам, например, принтерам и общим папкам.

-Глобальные группы

Подходят для управления учетными записями пользователей и компьютеров в отдельно взятом домене. Чтобы предоставить членам глобальной группы разрешение на доступ к ресурсу, сделав ее членом соответствующей локальной доменной группы.

—Универсальные группы

Обладают наибольшим охватом. Используйте их для объединения групп из различных доменов. Обычно для этого в универсальную группу включают глобальные группы.

-Встроенные и предопределенные группы

Встроенные и предопределенные группы устанавливаются вместе с ОС Windows Server 2008 и используются для предоставления пользователю определенного набора полномочий и разрешений.

2 Создание, конфигурирование и тестирование учетных записей и групп в ОС Windows Server 2008

Установка Windows Server 2008. ОС Windows Server 2008 можно установить как новую систему или как обновление имеющейся. В первом случае программа установки полностью заменит исходную ОС на Windows Server 2008, а все имевшиеся пользователи и параметры приложений будут потеряны. Если выбрано обновление, программа установки выполняет установку Windows Server 2008, а затем переносит в нее параметры пользователей, документы и приложения из прежней системы. Перед началом установки Windows Server 2008 следует убедиться, что компьютер удовлетворяет минимальным требованиям устанавливаемой версии. Майкрософт указывает как минимальные, так и рекомендуемые характеристики компьютера. Если компьютер не удовлетворяет минимальным требованиям, установить Windows Server 2008 будет невозможно. Если характеристики компьютера ниже рекомендуемых, возможны проблемы с производительностью. Для установки базовых компонентов операционной системы требуется не менее 8 Гб дискового пространства. Рекомендуется же иметь не менее 40 Гб доступного дискового пространства для установки ядра сервера и не менее 80 Гб для полной установки. Дисковое пространство требуется для файлов подкачки и дампов памяти, а также для установки компонентов, ролей и служб ролей. Для достижения оптимальной производительности рекомендуется иметь не менее 10% свободного пространства на всех дисках сервера.

2.1 Установка операционной системы Windows Server 2008

Для начала установки операционной системы Windows Server 2008 был запущена виртуальная машина Oracle VM VirtualBox, для моделирования работы на операционной системе. После добавления в виртуальную машину нового устройства, необходимо начать установку операционной системы Windows. Первое окно выбора системного языка и формата времени и денежных единиц. Данное окно указано на рисунке 2.1.

Рисунок 2.1 — Окно выбора регионального языка

После выбора языка, мастер установок запрашивает продолжения установки, после подтверждения появляется окно с выбора операционной системы, для данной курсовой работы достаточно функций ОС Windows Server 2008 R2 Standart. Выбираем данный пункт и жмем далее. Список всех доступных ОС предоставлено на рисунке 2.2.

Рисунок 2.2 — Окно с выбором операционной системы

Следующим появляется окно с подтверждением лицензионным соглашением указанное на рисунке 2.3.

Рисунок 2.3 — Окно лицензионного соглашения

После подтверждения, необходимо выбрать диск на который будет установлена операционная система, с доступными функциями форматирования, удаления, обновления и загрузки. Данное окно указано на рисунке 2.4.

Рисунок 2.4 — Окно выбора раздела

На рисунке 2.5 указаны пункты установки Windows Server 2008.

Рисунок 2.5 — Пункты установки Windows Server

После установки, мастер установок, запросил смену пароля. После изменения пароля, Необходимо перезагрузить компьютер и войти под пользователем которому нужно было сменить пароль. Изображения результата установки операционной системы Windows Server 2008 указано на рисунке 2.6.

Рисунок 2.6 — Рабочий стол

В данном разделе была успешно проведена установка операционной системы Windows Server 2008.

2.2 Создание учетных записей

Для создания учетных записей необходимо после включения персонального компьютера, зайти под предопределенным пользователем Администратор. Далее необходимо нажать Пуск->Администрирование->Управление компьютером. Пример выполнения указан на рисунке 2.7.

Рисунок 2.7 — Путь для администрирования групп и учетных записей

После этого необходимо выбрать раздел Локальные пользователи в которых находятся Пользователи и Группы. Результат показан на рисунке 2.8.

Рисунок 2.8 — Локальные пользователи

Далее для создания пользователя, необходимо выбрать раздел Пользователи, нажать правую кнопку мыши и выбрать пункт Новый пользователь. Далее заполнить регистрационную информацию. Таким же образом создаются ещё двое пользователей. Результат показан на рисунках 2.9 — 2.11.

Рисунок 2.9 — Добавление нового пользователя berzhnay

Рисунок 2.10 — Добавление нового пользователя ivanov_ivan

Рисунок 2.11 — Добавление нового пользователя petrov_petr

После выполнения данных действий, в разделе Пользователи появятся новые пользователи, так же видно встроенных пользователей Администратор и Гость. Результат показан на рисунке 2.12.

Рисунок 2.12 — Список всех добавленных пользователей

В данном разделе были успешно созданы и продемонстрированы пользователи.

2.3 Создание и конфигурирование групп

В данном разделе необходимо создать и сконфигурировать группы в операционной системе Windows Server 2008. Для создания групп необходимо повторить действия из раздела 2.1 для захода в Администрирование, а далее Локальные пользователи. Далее выбрать раздел Группы. Что бы создать группу, нужно нажать на правую кнопку мыши и выбрать Добавить группу. Результат выполненной работы изображен на рисунке 2.13.

Рисунок 2.13 — Созданная новая группа для руководителей

После заполнения данных о названия и описания группы, необходимо добавить пользователей. Для этого необходимо нажать Добавить. После чего можно выбрать с какого домена выбирать пользователей, а так же по типу объекта. Результат показан на рисунке 2.14.

Рисунок 2.14 — Добавление в группу пользователей

Далее необходимо нажать ОК, для подтверждения выбранных данных, после чего появится прошлое окно в которых будут указаны пользователи. На рисунке 2.15 показан результат выполненной работы.

Рисунок 2.15 — Заполненная группа пользователями

Так же выполним создание группы Рабочие в которых находятся все рабочие отдела и руководитель отдела. Результат на рисунке 2.16.

Рисунок 2.16 — Созданная группа Рабочие

На рисунке 2.17 указанны все группы в которых состоит пользователь Ирина.

Рисунок 2.17 — Группы пользователя Ирина

Далее выполнен выход из пользователя Администратора. На экране появятся все доступные локальные пользователи, как на рисунке 2.18.

Рисунок 2.18 — Все доступные пользователи для входа

После чего выполнен вход под пользователем Ирина. Вводя пароль, после чего система потребовала изменить пароль и предоставив мгновенный доступ к учетной записи. Результат на рисунке 2.19.

Рисунок 2.19 — Рабочий стол пользователя Ирина

Создание групп и учетных записей прошло успешно.

ЗАКЛЮЧЕНИЕ

В данной курсовой работе было выполнено создание и конфигурирование учетных записей и групп в ОС Windows Server 2008.

Были изучены основные понятия учётных записей и групп, а так же ознакомление и изучение с операционный системы Windows Server 2008. Кроме того в проделанной работе была установлена данная операционная система, созданы учётные записи, группы и созданные пользователи были разделены по группам.

При выполнении курсовой работы были использованы только стандартные инструменты операционной системы.

В результате было сконфигурировано рабочее место, с распределенными ролями пользователей. Что предоставляет им эффективную и удобную работу. Были созданные учетные записи и группы, после чего созданные пользователи были помещены в данные группы, в зависимости от имеющейся должности.

Операционная система Windows Server 2008 в настоящее время является одной из самых популярных систем предназначены для администрирования сети внутри компании. Которая так же имеет дружественный интерфейс, что позволяет новичку с легкостью ознакомится с операционной системой.

Поставленные цели и задачи курсовой работы выполнены в полном объеме.

Список использованных источников

Windows 2008 Server. Учебный курс MCSE. – М.: Изд-во Русская редакция, 2008.

Моримото Р., Ноэл М. И др. Microsoft Windows Server 2008. Полное руководство. – М.: «Вильямс», 2008.

Тейт С. Windows 2008 для системного администратора. Энциклопедия. – СПб.: Питер, 2009. -768с.

Станек Уильям Р. Windows Server 2008. Справочник администратора / Пер. с англ. — М. : Издательство «Русская редакция» ; СПб. : БХВ-Петербург, 2008 — 688c.

Чекмарев А. Н. Windows Server 2008. Настольная книга администратора. — СПб.: БХВ-Петербург, 2009. — 512 с.

Орин Томас, Иэйн Маклин. Администрирование Windows Server 2008. Учебный курс Microsoft/ Пер. с англ. — М.: Издательство «Русская Редакция», 2013 — 688с.

Windows Server 2008 [Электронный ресурс] / Режим доступа: https://ru.wikipedia.org/wiki/Windows_Server_2008.

Официальный источник Windows Server 2008 [Электронный ресурс] / Режим доступа: https://www.microsoft.com/en-us/download.

Учетные записи и группы Windows Server [Электронный ресурс] / Режим доступа: https://technet.microsoft.com/ru-ru/library/dn535499.aspx

Иртегов Д. В. Введение в операционные системы, 2-е издание / Издательство БХВ-Петербург, 2008.

Маматов Е.М. Операционные системы, среды и оболочки / Издательство БелГУ, 2007 — 158с.

Методические указания по оформлению курсовой работы.

Введение

Порою с помощью PowerShell управлять Windows Server 2008 можно гораздо быстрее, чем с помощью привычых GUI-инструментов. В этой статье вы найдет 9 наиболее распространенных задач, которые могут быть реализованы с помощью PowerShell. (10 задача была исключена из перевода из-за того, что демонстрируемый в статье скрипт был неполным – Прим. переводчика).
По данной теме будет два поста. Материала много, материал хороший, но, к сожалению, размещение в одном посте сделает его нечитаемым.
Итак, какие задачи будут рассмотрены:

1. Изменение пароля локального администратора с помощью PowerShell
2. Перезагрузка или выключение сервера
3. Перезапуск службы
4. Остановка процесса
5. Создание отчета об использовании диска
6. Получаем 10 последних ошибок журнала событий
7. Сбрасываем контроль доступа к папке
8. Получаем server’s uptime
9. Получаем информацию о Service Pack

Первые пять задач мы рассмотрим в этом посте, оставшиеся 4 последующем. Заинтересованных приглашаем под кат.

1. Меняем пароль локального администратора

Предположим Вы залогинились как доменный администратор на компьютере под Windows 7, который входит в Ваш домен. Теперь, предположим, Вы хотите сменить пароль локального администратора на удаленном сервере CHI-WIN7-22 в Чикаго. После использования пароля в течение определенного периода времени, его желательно сменить; процедуру необходимо повторять периодически.
Первое, что администратор делает для смены пароль администратора — создает ADSI объект для локального администратора на этом компьютере. Это делается в PowerShell следующим образом:

[ADSI]$Admin=”WinNT://CHI-WIN7-22/Administrator”

Произойдет извлечение учетной записи администратора на сервере CHI-WIN7-22 и присвоение ее ADSI объекту $Admin. Имя WinNT в этой строке чувствительно к регистру, примите это во внимание. Если Вы захотите подключиться к другому компьютеру, просто замените CHI-WIN7-22 на имя того компьютера, к которому Вы хотели бы подключиться.
Однако для начала необходимо узнать, как долго пароль используется, чтобы определить, пришло ли время менять его или нет. Информация из $Admin может быть получена следующим образом:

$Admin.PasswordAge

Выведется время, прошедшее с последней смены пароля. Результат показывается в секундах, переведем ее в дни (осуществим деление на 86400 (количество секунд в сутках)):

$Admin.PasswordAge.Value/86400

Обратите внимание, что было использовано свойство Value. Это было сделано потому, что PasswordAge хранится как коллекция, и поэтому нам необходимо сначала присвоить значение этой коллеции, чтобы вернуть ее в число, к которому можно применить операцию деления.
В итоге Вы можете изменить пароль, вызвав SetPassword метод и затем использовав новый пароль в качестве аргумента.

$Admin.SetPassword(“S3cre+WOrd”)

Внимание: По нажатию Enter, не ждите получения письмо подтверждения. Такового не будет! Изменения будет применены немедленно. То, что я здесь продемонстрировал, является методом, а не командлетом. Помимо прочего это значит, что в отличие от командлетов, SetPassword не поддерживает -whatif или —confirm.
Это все. Позвольте мне продемонстрировать все это PowerShell-картинках.

2. Перезагрузка или остановка сервера

Двигаемся дальше. Перед нами стоит задача перезагрузить или остановить сервер с помощью PowerShell. Как и в первом случае, предположим, что вы залогинены как доменный администратор на машине под Windows 7, которая входит в ваш домен.
Мы будем использовать два WMI-командлета – Restart-Computer и Stop-Computer. И хотя мы не будем их здесь показывать, стоит упомянуть, что эти командлеты принимают альтернативные учетные данные (alternate credentials). Альтернативные учетные данные позволяют Вам уточнить учетную запись пользователя (отличную от той, под которой вы залогинились), так что вы можете осуществлять действия, на которые эта (альтернативная) учетная запись имеет права.
Также среди приятного об этих командлетах – вы сможете использовать -whatif и —confirm. Это значит, если вы захотите перезапустить или выключить сервер, необходимо сначала убедиться, что вы делаете это на предназначенном для этого компьютере. Это удобно, когда вы осуществляете подобные операции с множеством компьютеров.
Для перезагрузки компьютера синтаксис такой:

Restart-Computer -ComputerName <string[ ]>

где -ComputerName <string[ ]> это массив строк, который может состоять как из имени одного, так и нескольких компьютеров. Stop-Computer используется практически тот же самый синтаксис. Например, если Вы хотите перезагрузить два компьютера CHI-DC02 и CHI-FP01, используйте следующую команду:

Restart-Computer “CHI-DC02”, “CHI-FP01”

Ниже приведен фактически скриншот PowerShell, в котором мы использовали аргумент –whatif. Используйте его, если вы просто хотите посмотреть, что случиться, если вы выполните команду.

Все достаточно просто. Давайте теперь усложним задачу. Предположим, что у вас есть список компьютеров в файле servers.txt. Используем командлет Get-Content, чтобы извлечь их имена из файла.

Итак, у вас есть ряд компьютеров, которые вы бы хотели периодически перезагружать, и вы храните их имена в текстовом файле. Каждый раз, когда вам нужно перезагрузить их, вы просто используйте командлет Get-Content. Ниже представлен пример работы Get-Content и Restart-Computer.

Сначала мы получаем содержимое файла, используя Get-Content. Для начала пропингуем этим компьютеры. В этом выражении, мы запустим test-connection, что фактически эквивалентно ping на каждом компьютере. -quiet возвращает значения true или false, а -count 2 означает, что каждый компьютер будет “пропингован” лишь дважды. Те компьютеры, которые будут успешно пропингованы, будут дальше запущены в работу.
Затем мы используем foreach. Цель этого такова: для каждого имени, которое проходит пинг-тест, выводится сообщение зеленым текстом, указывающее на перезагрузку компьютера. “$_” означает текущий объект в конвейере. Затем используем командлет Restart-Computer для перезагрузки тех компьютеров, которые пингуются. Мы также используем параметр –force, чтобы сбросить всех, кто залогинен на данном компьютере
Параметр –whatif используется для того, чтобы посмотреть, что произойдет, без реальной перезагрузки компьютеров.

3. Перезагрузка службы

Restart-Service, как следует из название, это командлет, который перезапускает службу. Хотя у него и отсутствует возможность подключаться к удаленному серверу, может быть активирован PowerShell Remoting, так что Вы можете выполнять ее локально на удаленном компьютере. Это бывает полезно, когда Вы хотите перезапустить службу на группе компьютеров.
Для локальной перезагрузки службы просто напишите Restart-Service “service”, где “service” – имя той службы, которую вы хотите перезагрузить. С другой стороны, если вы хотите перезагрузить службы на одной или нескольких удаленных машинах, используйте командлет Invoke-Command и PowerShell Remoting.
На скриншоте ниже показаны два примера работы командлеты Restart-Service для перезагрузки службы wuauserv (Windows Update). В первом примере Restart-Service выполняется локально. Во втором, она выполняется на удаленном сервере БД CHI-DB01с помощью командлета Invoke-Command.

По умолчанию Restart-Service не выводит никаких объектов, если вы не используете параметр -passthru. Дополнительная информация (Status, Name и другое) – результат его использования. Если служба запущена на нескольких компьютеров и вы хотите перезапустить их также, перечислите их через запятые.
То же самое можно сделать с использование WMI. Создадим WMI объект:

gwmi – это сокращенно для Get-WmiObject.
Давайте посмотрим на методы объекта. Введем Get-Member (сокращенно gm).

Как вы могли заметить, здесь отсутствует метод для перезапуска службы. А это значит, что сначала придется остановить службы через метод StopService и запустить снова с помощью StartService.
Вот как остановить службу, используя метод StopService объекта. Круглая скобка указывает на наличие метода. Если получили ReturnValue равным 0, значит служба успешно остановлена. В противном случае, обратитесь к документации MSDN для класса службы Win32.

Запускаем службу — метод StartService.

Проверяем: запустим команду get-service на этом компьютере. Get-service позволяет получить информацию о службе на удаленном компьютере. Пример запроса для удаленного компьютера CHI-DB01.

4. Остановка процесса

Еще одной частой задачей является остановка процесса. Используем для этого командлет Stop-Process. Он может быть выполнен как локально, так и на удаленной машине (см. пункт 3).
Существует два способа остановки процесса с помощью командлета Stop-Process.
Первый – простой. Запускаете Stop-Process и передаете ему имя или соответствующий ID процесса. Обратите внимание, что мы останавливаем “Calc” (Калькулятор Windows). В данном примере процесс запущен локально.

Второй способ связан с использованием командлета Get-Process для получения одного или нескольких процессов или передачи их в Stop-Process. Для примера взят процесс Notepad. Kill является сокращением для Stop-Process. Notepad запущен локально.

Двигаемся дальше. Перейдем к процессам, запущенным на удаленной машине. Для начала запустим, например, notepad на удаленном компьютере chi-fp01.

Затем, проверим, запущен ли процесс. Для этих целей используем ps, являющимся сокращением для Get-Process.

5. Создаем отчет об использовании дисков

Администраторы должны отслеживать свободное место, оставшееся на серверах. Это можно сделать, использовав WMI и класс Win32_LogicalDisk, которые дают нам информацию такую как ID устройства, размер диска, свободное места и прочую информацию.
Через WMI мы можем обращаться к локальным и удаленным компьютерам. Мы также можем выполнять эти запросы как одной, так и нескольких машинах. Также мы можем: экспортировать данные в .csv или базу данных, создавать текстовый или HTML-отчет или просто вывести результаты на экран.
Пример команды, выполняемой на локальном компьютере.

Get-WmiObject win32_logicaldisk -filter “drivetype=3” | Out-File c:ReportsDisks.txt

Мы используем командлет GetWmiObject для возвращения информации из класса Win32_LogicalDisk. Затем мы применяем -filter чтобы возвратить только информацию, для которой справедливо утверждение drivetype=3, которое означает фиксированные логические диски, типа C:. Это значит, что информация относительно о USB и сетевых дисках не будет включена. Полученная информация будет записана в файл Disks.txt.
Пример в PS.

Хотя вроде бы все нормально, лучше внести парочку улучшений. Например, добавить отображение свободного места в гигабайтах, а не байтах. Этим мы и займемся.
Чтобы это сделать создадим функцию Get-DiskUtil. Хотя в предыдущем примере мы все делали интерактивно, в этом случае давайте запишем функцию в файл, загрузим в ваш профиль к другим скриптам, которые можно использовать позже.
А вот и сама функция:

Давайте ее разберем.
Функция берет имя компьютера как параметр и задает его как имя локального компьютера по умолчанию.

Затем мы используем фрагмент скрипта Process, где свойство “имя компьютера” передается в функцию. “$_” указывает, что имя компьютера задается как переменная. В противном случае имя компьютера как будет воспринято как параметр.

Далее следует выражение GetWmiObject.

Вывод этого выражения передается в командлет Select-Object (сокращенно Select). Мы используем хеш-таблицы, чтобы создать пользовательское свойство под названием Computername. Фактически будет осуществлено переименование SystemName текущего объекта ($_) в Computername. DeviceID остается неизменным.

Сделаем еще парочку хеш-таблиц. Первая берет свойство Size и делит его на 1GB, вывод будет с двумя знаками после запятой и переименовывает свойство в SizeGB. Вторая производит то же самое со свойством Freespace.

Затем создаем свойство UsedGB, которого нет в WMI. Вычисляется разница между свойствами Size и FreeSpace и делится на 1GB.

В конце создаем еще одно свойство PerFree – свободно в процентах. Оно завершает функцию.

Ниже приведена работа функции для компьютера CHI-FP01, выведенная в таблице (Format-Table (или ft)) с авто форматированием (параметр –auto).

Все и так хорошо, но от этой функции мы можем получить больше. Поэтому предположим, что вам нужно еженедельно получать отчет об использовании дисков на всех серверах в вашей компании. Посмотрим, как этого можно достичь.
Для начала сохраним результаты нашего выражения в переменную $data, чтобы каждый раз не набирать эту команду. Затем, передадим результаты в объект where, пропингуем сервера (дважды) и передадим имя компьютера в созданную нами функцию Get-DiskUtil.

Данные будут храниться в переменной $data. Вы можете вытащить информацию из $data и отсортировать по computername, применив –auto. Информация также может быть направлена на печать (Out-Printer) или в файл (Out-File).

Конвертируем в csv:

Потом Вы можете импортировать этот csv файл для получения снимка статуса использования дисков на момент запуска команды:

Пример:

И напоследок: я покажу, как создать HTML отчет, доступ к которому можно получить из любого места.
Берем $data и передаем ее в Sort Computername. Результат передается в командлет ConvertTo-HTML. Вы можете присвоить заголовок и путь CSS. CSS необходим, так как ConverToHTML не обладает возможностями форматирования. Поэтому если вы хотите, чтобы отчет выглядит прилично, понадобится CSS файл. На последнем этапе пишем результат в файл.

Теперь файл готов, его можно посмотреть с помощью команды start.

Пример HTML отчета.

Помните, что информацию необходимо держать информацию актуальной.

Upd:
В посте приведен перевод статьи с портала petri.co.il
Top 10 Server 2008 Tasks done with PowerShell – Part 1

Вторую часть перевода смотрите здесь.

P.S. Не могли не обратить внимание, что та же задача получения информации о свободном месте на дисках может решаться с помощью нашей бесплатной программы NetWrix Disk Space Monitor.
Посмотреть как программа работает можно на youtube, cкачать здесь , а активировать бесплатную лицензию без ограничения срока действия (и вообще без каких либо ограничений) можно используя следующие данные:

License name: NetWrix Disk Space Monitor Freeware License
License count: 1000000
License code: EhEQEhoaEhEQEhYTEhYaExQa

В Windows Server 2008 R2 появилась новая категория учетных записей, значительно облегчающая управление учетными записями служб на локальном компьютере. Рик Вановер (Rick Vanover) рассказывает об этом подробнее. Управление учетными записями служб на уровне домена удобнее всего осуществлять с помощью групповой политики (Group Policy) и подробной настройки разрешений. Но когда возникает необходимость сменить пароль к такой учетной записи, задача серьезно усложняется. Учетные записи служб — прекрасный инструмент до тех пор, пока не требует изменения конфигурации на локальном компьютере. В Windows Server 2008 R2 появился новый тип учетной записи — управляемая учетная запись службы ( managed service account), призванная значительно облегчить администрирование на уровне локального компьютера. Она позволяет частично использовать учетную запись компьютера в Active Directory как учетную запись службы. В документации TechNet этот тип учетной записи, доступный для серверов под управлением Windows Server 2008 R2 и Windows 7, называется «управляемая локальная учетная запись». Чтобы воспользоваться новой функциональностью, Схему Active Directory (Active Directory Schema) необходимо обновить до версии Windows Server 2008 R2. При этом управляемая учетная запись службы создаст одноименную организационную единицу высшего уровня. Обратите внимание: для работы с новым типом учетной записи лучше всего использовать PowerShell, поскольку возможности настройки свойств с помощью графического интерфейса по сравнению с PowerShell ограничены. В каком-то смысле управляемая учетная запись службы может функционировать как встроенная организационная единица в стандартной конфигурации домена. Однако такие организационные единицы не предусматривают подробной настройки разрешений, как в случае с учетными записями служб. Встроенная организационная единица позволяет присвоить определенные права системе контроллера домена, например, для удаленного доступа. В конфигурациях SQL или IIS управляемые учетные записи служб позволяют сделать управление максимально централизованным. Управляемые учетные записи служб значительно повышают безопасность и облегчают управление паролями. Я уже прямо-таки слышу возгласы ликования системных администраторов по этому поводу. Автор: Rick Vanover Перевод SVET Оцените статью: Голосов

Функция контроля учетных записей UAC в Windows Vista вызвала немало споров. Поэтому неудивительно, что в Windows 7 внесены улучшения, не только изменившие работу функции контроля учетных записей, но и позволяющие более гибко настроить UAC. В Windows 7 и Windows Server 2008 R2 контроль учетных записей усовершенствован за счет того, что:

• уменьшено количество запросов в различных ситуациях;
• увеличено число операций, которые обычный пользователь может выполнять без повышения прав;
• добавлены новые параметры UAC;
• введены новые политики безопасности, позволяющие настроить UAC для локальных администраторов и обычных пользователей.

Microsoft уделяет большое внимание тому, чтобы разъяснить назначение контроля учетных записей в своих новейших операционных системах, поэтому логично начать именно с этого вопроса.

Назначение контроля учетных записей

Когда контроль учетных записей был впервые представлен в Windows Vista, его позиционировали как средство повышения безопасности операционной системы, хотя прямое назначение UAC состоит не в этом. Впоследствии независимые эксперты неоднократно демонстрировали возможности обхода UAC. Когда в Microsoft пришел Марк Русинович, на него, похоже, была возложена задача реабилитации UAC, и он начал методично объяснять истинное назначение контроля учетных записей. Он ввел понятие «граница защищенной зоны» (security boundary) и всеми доступными средствами (Technet, конференции, блог) разъяснял, что UAC такой границей не является. Например, именно этой теме был посвящен один из его докладов на конференции «Платформа 2008» (http://technet.microsoft.com/ru-ru/magazine/cc138019.aspx) в Москве.

На самом деле контроль учетных записей был создан для того, чтобы в системе можно было полноценно работать без прав администратора. Эту масштабную задачу необходимо было решать потому, что в Windows 2000/XP работа с административной учетной записью стала обычной практикой. В этом случае проникновение вредоносного кода в систему ведет к плачевным последствиям. Ситуация осложнялась тем, что многие разработчики программ совершенно не заботились об ограниченных учетных записях, всецело полагаясь на то, что установка их продуктов и работа с ними будут вестись с правами администратора. Получался замкнутый круг. Создатели UAC изменили модель контроля доступа, в результате чего была не только изменена работа учетных записей, но и реализована виртуализация файловой системы и реестра.

Для пользователей же контроль учетных записей фактически свелся к столь нелюбимым запросам UAC. Основное их назначение в том, чтобы уведомить пользователя, работающего с правами администратора, о попытках приложения внести в систему изменения, требующие полного административного доступа. Обычному пользователю, не имеющему прав на совершение действия, тут же предлагается ввести учетные данные администратора. Понятно, что разработчики должны планировать приложения таким образом, чтобы для работы с программой не требовалось административных прав. А если все программное обеспечение в системе может работать в контексте обычного пользователя, то уже нет необходимости в рутинной работе с полными правами администратора. Настройку системы можно производить от имени администратора или под его учетной записью, но это не каждодневная задача. И даже если вы работаете с правами администратора, UAC контролирует выполнение задач, требующих полных административных полномочий; он уведомляет пользователя в тех случаях, когда требуется подтверждение прав.

Таким образом, контроль учетных записей призван не предотвратить проникновение вредоносного кода (для этого существует брандмауэр и антивирусное/антишпионское программное обеспечение), а снизить наносимый им ущерб — ограничить его влияние правами обычного пользователя. Строго говоря, повышается не безопасность операционной системы, а ее устойчивость к несанкционированному доступу.

Кстати, значок щита в этом разделе статьи не случаен — именно его вы видите на кнопках, рядом со ссылками и в пунктах меню операционной системы, когда требуется повышение прав. Другими словами, если контроль учетных записей включен, обращение к элементу интерфейса, обозначенному щитом, сопровождается запросом UAC. Цветовая гамма щита изменилась по сравнению с Windows Vista, но это далеко не единственное изменение в интерфейсе.

Изменения в пользовательском интерфейсе

Доступ к параметрам функции контроля учетных записей упростился — их можно открыть из элементов панели управления «Центр поддержки» и «Учетные записи пользователей», а также из командной строки, запустив UserAccountControlSettings.exe (см. экран 1).

В настройках UAC вместо двух возможностей управления (включен/выключен) появилось четыре режима работы.

• «Уведомлять при установке программ или попытке внесения ими изменений, а также при изменении параметров Windows пользователем». Это максимальный уровень контроля учетных записей.
• «Уведомлять при установке программ или попытке внесения ими изменений». Этот уровень используется по умолчанию.
• «Уведомлять при попытке установки программ или попытке внесения ими изменений, но не затемнять рабочий стол». Затемнение рабочего стола (так называемый безопасный рабочий стол, Secure Desktop) — это своего рода подтверждение подлинности окна UAC, позволяющее визуально отличить поддельные запросы UAC от настоящих.
• «Не уведомлять ни при установке программ или попытке внесения ими изменений, ни при изменении параметров Windows пользователем». Контроль учетных записей отключен.

Помимо окна настроек, преобразились и диалоговые окна управления функцией контроля учетных записей. Изменения нацелены на то, чтобы пользователям была понятна суть запроса (см. экран 2).

Теперь в основном используются только два цвета:

• синий — для компонентов, имеющих цифровую подпись;
• желтый — для компонентов, не имеющих цифровой подписи.

Красный цвет используется только в тех редких случаях, когда программа или компонент заблокированы администратором. Кроме того, в запросах жирным шрифтом выделяется издатель программы. Для пользователей, озадаченных появлением запроса, в диалоговом окне предусмотрена ссылка «Помощь в принятии решения».

Изменения в работе

Безусловно, в Windows 7 и Windows Server 2008 R2 работа целенаправленно велась с акцентом на уменьшение количества запросов UAC — именно этот аспект вызвал наибольшее недовольство пользователей Windows Vista среди всех претензий к операционной системе.

Уменьшено количество запросов

Используемый по умолчанию уровень контроля — это новая возможность Windows 7 и Windows Server 2008 R2. Такой уровень невозможно было настроить в Windows Vista с помощью пользовательского интерфейса, политики безопасности или реестра. Работа операционной системы была изменена для того, чтобы, не снижая уровень безопасности, реализовать автоматическое повышение прав для выполнения распространенных административных задач, вызывавших около половины запросов UAC. Это имело смысл сделать потому, что по статистике 9 из 10 таких запросов пользователи все равно одобряли.

Что же касается уровня, позволяющего отключить безопасный рабочий стол, то его появление в пользовательском интерфейсе обусловлено желанием продемонстрировать максимальную совместимость UAC с аппаратным обеспечением. В некоторых случаях затемнение рабочего стола приводило к задержкам в работе операционной системы, чему мог быть причиной, например, драйвер видеокарты. В Windows Vista имелась политика, позволяющая отключить безопасный рабочий стол, однако большинство пользователей о ее существовании даже не подозревали.

Если сравнивать количество запросов UAC в Windows 7 и Windows Vista, то даже при максимальном уровне контроля учетных записей количество запросов в новой версии уменьшилось. A уровень контроля, используемый теперь по умолчанию, еще больше должен способствовать достижению столь необходимого баланса между безопасностью и навязчивой заботой операционной системы. В таблице 1 сравнивается количество запросов двух верхних уровней контроля учетных записей в новых операционных системах и Windows Vista SP1.

Изменена работа компонентов

Многие компоненты новых операционных систем были переработаны, чтобы уменьшить количество запросов UAC и сделать работу пользователей более комфортной. Положительные изменения произошли в работе как обычных пользователей, так и локальных администраторов (см. таблицу 2).

Административные учетные записи

Изменения, затронувшие встроенную учетную запись «Администратор», касаются в основном работы в безопасном режиме. Однако, прежде чем перейти к ним, я бы хотел рассказать о различиях между встроенной и другими административными учетными записями.

Согласно одному из распространенных заблуждений о контроле учетных записей, встроенная учетная запись «Администратор» имеет больше прав, чем обычная. Это не так. На самом деле отличие лишь в том, что права встроенной учетной записи автоматически повышаются до максимальных при выполнении всех задач, поэтому запрос UAC для нее не выводится (см. экран 3).

Все остальные административные учетные записи работают в режиме одобрения администратором (Admin Approval Mode): контроль учетных записей запрашивает подтверждение действий, если требуется повышение прав. А если не требуется, задачи выполняются с правами обычного пользователя.

Незнание этой тонкости нередко сбивает пользователей с толку. Например, запуск командной строки администратором выполняется с правами обычного пользователя, поскольку само по себе это действие не подразумевает внесения важных изменений в систему. Для того чтобы выполнить задачу с полными правами, необходимо запустить ее от имени администратора — соответствующий пункт имеется в контекстном меню проводника. В этом случае выводится запрос UAC (см. экран 4).

Поскольку запуск осуществлен администратором, учетные данные вводить не требуется — нужно лишь подтвердить действие. Кроме того, наряду с предложением помощи в принятии решения, для администраторов в диалоговом окне имеется ссылка «Изменить при появлении этого уведомления», открывающая параметры контроля учетных записей. Продолжая пример с командной строкой, легко определить, с какими правами она была запущена (см. экран 5).

Можно настроить политику безопасности таким образом, чтобы у административных учетных записей происходило повышение прав без запроса UAC — достаточно будет лишь запустить задачу от имени администратора. Поэтому нет никакой необходимости в повседневной работе со встроенной учетной записью «Администратор».

В отличие от Windows Server 2008 R2, встроенная административная учетная запись в Windows 7 отключена. Если это единственная активная учетная запись в группе «Администраторы» при обновлении Windows XP до Windows 7, она переводится в режим одобрения.

Изменения, касающиеся работы отключенной учетной записи «Администратор» в безопасном режиме, отражены в таблице 3.

Настройка UAC с помощью политик безопасности

Имея права локального администратора, вы можете управлять параметрами контроля учетных записей с помощью локальной политики безопасности. Политики UAC можно задать как в оснастке «Локальная политика безопасности» (secpol.msc) в узле «Локальные политики», «Параметры безопасности», так и в разделе системного реестра HKLMSOFTWARE
MicrosoftWindowsCurrentVersion PoliciesSystem (см. экран 6).

Основная политика, определяющая состояние контроля учетных записей и всех остальных его политик, не изменилась, что отражено в таблице 4.

Изменения же коснулись двух политик, определяющих поведение запросов контроля учетных записей для локальных администраторов и обычных пользователей. Наряду с имевшимися ранее вариантами, теперь вы можете указать, будет ли использоваться безопасный рабочий стол, если для продолжения работы UAC требует подтвердить действие или ввести учетные данные (см. таблицы 5 и 6).

Помимо перечисленных выше политик безопасности, имеются и другие, позволяющие более гибко настроить работу контроля учетных записей. С их назначением можно ознакомиться в свойствах политики на вкладке «Объяснение», а соответствующие им параметры реестра документированы в MSDN.

Новое лицо UAC

Контроль учетных записей в Windows 7 и Windows Server 2008 R2 подвергся существенной переработке. В первую очередь, снизилось количество запросов UAC, излишняя навязчивость которых вызывала справедливую критику пользователей Windows Vista. Улучшить работу UAC удалось за счет изменений в работе новых операционных систем наряду с введением нового уровня контроля учетных записей. Этот уровень, используемый по умолчанию, осуществляет автоматическое повышение прав при выполнении наиболее распространенных административных действий. Оформление запросов контроля учетных записей также изменилось — тона смягчились, а информация подается более четко. Эти нововведения должны способствовать более благосклонному восприятию UAC конечными пользователями.

Доступ к параметрам контроля учетных записей упростился за счет размещения ссылок на него в различных элементах панели управления. Все доступные параметры UAC можно также настроить с помощью локальных политик безопасности или соответствующих им параметров системного реестра. Кроме того, политики безопасности предоставляют в распоряжение системных администраторов возможности более тонкой настройки поведения запросов UAC для административных и обычных учетных записей.

Вадим Стеркин (vadim.sterkin@gmail.com) — занимается развитием компьютерного информационного портала OSZone.net. Имеет звание Microsoft MVP в категории Windows Desktop Experience

---

Таблица 1. Количество запросов в Windows 7 и Windows Server 2008 R2 по сравнению с Windows Vista SP1

Таблица 2. Запросы UAC для обычного пользователя и администратора

Таблица 3. Работа в безопасном режиме при отключенной учетной записи «Администратор»

Таблица 4. Политика «Контроль учетных записей: все администраторы работают в режиме одобрения администратором»

Таблица 5. Политика «Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором»

Таблица 6. Значения политики «Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей»

Экран 6. Политики безопасности контроля учетных записей

Пользователь ESET Антон Севостьянов подготовил руководство по развертыванию и администрированию сети на основе выделенного сервера.

---

Сегодня хочу рассказать о настройке Windows Server 2008 R2 в условиях, приближенных к боевым (то есть в виртуальной среде). Такой подход позволит в домашних условиях протестировать и изучить все возможности данной технологии.

В статье рассматриваются следующие вопросы:

• настройка DNS сервера;
• установка Active Directory;
• взаимодействия учетных записей в рабочей группе и в домене;
• подключение компьютеров к домену;
• создание доменных пользователей;
• управление доступом к ресурсам;
• настройка DHCP сервера;
• подключение сети к интернет;
• настройка групповой политики;

Для начала вам понадобится 64-разрядная операционная система Windows и программа управления виртуальными машинами (например, VMWare). Минимальные системные требования: 6 Гб ОЗУ и 70 Гб свободного места на жестком диске.

Требования к ресурсам вашего ПК зависят от того, сколько машин будет в виртуальной сети и какие на них установлены ОС.


Установка клиентских машин с ОС Windows 7, 8.1 и 10

В нашем примере будет 4 компьютера под управлением Windows Server 2008 R2, 7, 8.1 и 10. Таким образом, 4 Гб оперативной памяти понадобится только для работы виртуального полигона.

Начинаем с установки и настройки DNS-сервера. С помощью программы VMWare создаем серверную и клиентские виртуальные машины:

Файл Новая виртуальная машина Выборочный Указываем установочный образ системы Windows 2008 R2 Путь к виртуальной машине D:VirtualMashinDomain 2008R22008R2 1Гб Использовать только сеть для узла Создать виртуальный диск: 40 Гб, хранить в одном файле Готово

Затем устанавливаем ОС Windows Server 2008 R2:

• Запускаем виртуальную машину
• 
  Открываем BIOS (клавиша F2) и проверяем правильность настроек для загрузки с виртуального привода. Нужно убедиться, что у виртуального привода установлен высший приоритет. Если это не так, меняем соответствующие настройки в BIOS

Аналогичным образом создаем виртуальные машины для клиентских операционных систем.

Перед настройкой DNS-сервера, переименовываем его в server, чтобы назначение компьютера в сети было понятно:

Мой компьютер ПКМ Свойства Имя компьютера Изменить параметры Изменить server ОК Перезагрузка

Теперь назначаем сетевой карте статический IP-адрес, так как у сервера IP-адрес меняться не должен:

Центр управления сетями и общим доступом Подключение по локальной сети Свойства Протокол интернета версии 4

Устанавливаем значения:

IP: 192.168.0.1

Mask: 255.255.255.0

Теперь переходим настройке DNS-сервера:

Пуск Администрирование Диспетчер сервера Роли Добавить роли Далее DNS-сервер Далее Далее Установить Закрыть

Далее сконфигурируем DNS-сервер:

Пуск Администрирование Диспетчер сервера Роли DNS-сервер DNS Server ПКМ Настроить DNS Создать зоны прямого и обратного просмотра

Зона прямого просмотра — преобразование имени в адрес, зона обратного просмотра —– преобразование адреса в имя. Выбираем «Да, создать зону прямого просмотра», затем «Основная зона», то есть зона будет храниться и обновляться на сервере. Дополнительная зона создается в ситуации, когда основная хранится на другом сервере, а на текущем сервере сохраняется копия. Это нужно для распределения нагрузки на основной сервер:

Имя зоны: office.local Создать новый файл зоны Динамическое обновление зоны


Создание файла office.local

Записи в DNS необходимо регулярно обновлять. Если у компьютера изменится IP-адрес, он должен быть изменен в записи, относящийся к доменному имени этого ПК, чтобы другие компьютеры знали, к какому IP-адресу нужно обращаться. Если записи не соответствуют действительности, то компьютер просто не сможет получить доступ к сети.

Существует несколько вариантов динамического обновления зоны DNS:

• Разрешить только безопасные динамические обновления. Рекомендуется использовать этот способ. Однако опция будет недоступна до создания домена, пока не установлена служба Active Directory.
• Разрешать любые динамические обновления — эту настройку лучше не использовать, так как данные могут быть недостоверны
• Запретить динамическое обновление — записи придется обновлять вручную. Выбираем этот способ, пока динамические обновления неактивны. После поднятия домена просто изменяем настройки

В нашем примере сервер будет всего один, поэтому пересылка запросов не потребуется:

Серверы пересылки Нет, не пересылать запросы Готово

---

Надеюсь, статья пригодилась. Пишите замечания в комментариях!

Антон Севостьянов

системный администратор, www.sys-team-admin.ru