Document 161790

Нижегородский Государственный Технический
Университет им. Р.Е.Алексеева
Кафедра «Вычислительные системы и технологии»
Лабораторная работа №1 по
дисциплине: «Программное обеспечение вычислительных сетей»
Одноранговые ЛВС
Выполнил:
студент группы 10-В-2
Кульнев Андрей
Нижний Новгород
2013 год
Цель работы: Изучить свойства, методы организации и особенности использования одноранговых
компьютерных сетей. Научиться выполнять установку, конфигурирование и управление ЛВС на базе
ОС Microsoft Windows.
План работы:
1.Выполнить настройку компонентов сетевых средств Windows.
2.Изучить свойства сетевых ресурсов Windows.
3.Изучить свойства учетных записей в Windows.
4.Рассмотреть и сравнить методы управления пользователями и ресурсами в одноранговой сети.
5.Ознакомиться с ролью реестра в конфигурировании сети.
6.Изучить возможности команды Net для конфигурирования и управления сетью.
7.Ознакомиться с назначением и спецификой применения среды команды netsh.
8.Восстановить исходную конфигурацию всех настроек в системе.
Выполнение работы:
1. Выполнить настройку компонентов сетевых средств Windows.
Определить состав и свойства установленных компонентов:
- клиент сетей Microsoft
- клиент сетей NetWare
- сетевой адаптер
- протокол IPX/SPX
- TCP/IP
- протокол NetBEUI
- служба доступа к файлам Microsoft
Назначить имя рабочей группы, имя компьютера. Сконфигурировать стек протоколов TCP/IP.
Проверить работоспособность сети по различным протоколам, меняя привязки сетевого
адаптера к протоколам и протоколов к клиентам и службам.
Выполнение:
Первым делом назначим имя узлам и рабочей группе.
Имя компьютера - это символическое имя, назначенное сетевому устройству, которое может быть
использовано для организации доступа к этому устройству различными способами.
Рабочая группа - это логическое объединение компьютеров, обычно не более 10, которые могут
разделять свои ресурсы.
Для задания имени компьютера и рабочей группы щелкаем правой кнопкой мыши на «Мой
компьютер» и заходим в свойства. Далее переходим на вкладку имя компьютера и нажимаем на
кнопку изменить. Прописываем в поле «имя компьютера» Andrew-v-1, выбираем «является членом
рабочей группы» и прописываем ее название как «andrewgroup».
Клиенты, протоколы, службы
Сетевой клиент – это компьютер или программное обеспечение, у которого есть доступ к услугам
сервера, а также получающее или обменивающееся с ним информацией. В операционных системах
Windows сетевые клиенты представляют собой компоненты программного обеспечения, которые
позволяют локальному компьютеру подключаться к сетям отдельных операционных систем. Наряду
со всеми подключениями по локальным сетям в системах Windows, сетевым клиентом по умолчанию
является компонент «Клиенты для сетей Microsoft». Данный компонент позволяет подключаться к
общим ресурсам на других компьютерах, оснащенных операционной системой Windows. По
умолчанию, данный сетевой клиент не нуждается в дальнейшей настройке. Для изменения настройки
клиента для сетей Microsoft, установленные по умолчанию, нужно выполнить следующие действия:
1. Открыть диалоговое окно свойств подключения к сети;
2. На вкладке «Общие», в списке «Отмеченные компоненты используются этим
подключением» выбираем службу «Клиент для сетей Microsoft» и нажимаем на
кнопку«Свойства»
3. В диалоговом окне «Свойства: Клиент для сетей Windows» можно изменить поставщика
службы имен и сетевой адрес для службы удаленного вызова процедур (Remote Procedure Call
(RPC)). RPC – это класс технологий, позволяющий компьютерным программам вызывать
функции или процедуры в другом адресном пространстве. Идея вызова удалённых процедур
состоит в расширении хорошо известного и понятного механизма передачи управления и
данных внутри программы, выполняющейся на одной машине, на передачу управления и
данных через сеть. Средства удалённого вызова процедур предназначены для облегчения
организации распределённых вычислений и создания распределенных клиент-серверных
информационных систем. Наибольшая эффективность использования RPC достигается в тех
приложениях, в которых существует интерактивная связь между удалёнными компонентами с
небольшим временем ответов и относительно малым количеством передаваемых данных.
Из раскрывающегося списка «Поставщик службы имен» доступны поставщики «Локатор Windows»,
который является поставщиком служб имен по умолчанию, а также «Служба каталогов ячеек DCE»,
которую нужно использовать только в том случае, если в сети используется программное
обеспечение компании The Open Group, например клиент или сервер DCE (Distributed Computing
Environment). В этом случае, вам нужно будет в поле «Сетевой адрес» ввести сетевой адрес
поставщика служб имен.
Допустим, я отключил клиент для сетей Microsoft. Теперь при попытке получения доступа к общему
каталогу на другом узле, ничего не произойдет. А при обратном включении, я снова смогу
обратиться к общему каталогу.
клиент сетей NetWare – обеспечивает данному компьютеру вход на серверы NetWare и доступ к их
ресурсам. Изначально у меня не был установлен данный клиент. Для установки клиента я зашел в
свойства подключения, нажал кнопку установить, выбрал из списка клиент и из списка клиентов
клиент сетей NetWare. После перезагрузки, я зашел в панель управления, где появился новый
элемент Клиент для сетей NetWare (CSNW) (рис.1)
Рис.1 Клиент для сетей NetWare
Данное окно состоит из трех разделов. Первый раздел определяет способ входа в сеть. Можно
выбрать поиск основного сервера или использовать дерево и контекст NDS. Второй раздел задает
опции печати. В третьем разделе вы указываете необходимость обработки сценария входа в систему.
Сетевые службы
Также как и сетевые клиенты, сетевые службы являются компонентами операционной системы.
Сетевые службы операционных систем Windows – это специальные процессы, которые создают
прослушивающий сокет и привязывают его к определенному порту, обеспечивающие
дополнительную функциональность для сетевых подключений. Системные службы запускаются
операционной системой автоматически в процессе загрузки компьютера или по мере необходимости
при выполнении стандартных операций. Понятное имя службы отображается в оснастке «Службы»,
а настоящее имя службы используется в программах с интерфейсом командной строки. По
умолчанию в операционных системах Microsoft ко всем локальным подключениям привязаны две
сетевые службы:
 Служба доступа к файлам и принтерам сетей Microsoft. Данная служба позволяет другим
компьютерам, расположенным в одной сети с вами, обращаться к ресурсам данного
компьютера по сети. О назначении общего сетевого доступа к своим папкам и файлам вы
узнаете из материала одной из следующих статей;
 Планировщик пакетов QoS. Эта служба содержит набор стандартов и механизмов,
предназначенных для обеспечения производительности для важных приложений. Обычно
механизм QoS используется для настройки приоритетов и управления скоростью отправки
исходящего сетевого трафика. Начиная с операционных систем Windows Vista и Windows
Server 2008, службы QoS настраиваются при помощи групповых политик. О настройке
планировщика пакетов QoS на основе политики вы также узнаете из материала следующих
статей.
Сетевые протоколы
Основной составляющей коммуникаций сетевых подключений являются протоколы. Протоколами
называются стандарты, на основе которых выполняются программы, которые осуществляют сетевые
коммуникации. Протоколы задают способы передачи сообщений и обработки ошибок в сети, а также
позволяют разрабатывать стандарты, не привязанные к конкретной аппаратной платформе. Разные
протоколы зачастую описывают лишь разные стороны одного типа связи. Сетевые протоколы
предписывают правила работы компьютерам, которые подключены к сети. Они строятся по
многоуровневому принципу и, несмотря на то, что каждый протокол предназначен для приема
конкретных входных данных и генерирования определенного результата, все протоколы в системе
можно заменять другими протоколами.
Для сетевых протоколов используется модель Open System Interconnection (OSI). Данная модель
состоит из семи уровней:
 Физический уровень. На данном уровне определяются физические характеристики линий
связи;
 Канальный уровень. На этом уровне определяются правила использования физического
уровня узлами сети
 Сетевой уровень. Этот уровень отвечает за адресацию и доставку сообщений;
 Транспортный уровень. Этот уровень обеспечивает контроль очередности прохождения
компонентов сообщения;
 Сеансовый уровень. Данный уровень предназначен для координации связи между двумя
прикладными программами, работающими на разных рабочих станциях;
 Представительский уровень. Этот уровень служит для преобразования данных из
внутреннего формата компьютера в формат передачи;
 Прикладной уровень. Текущий уровень обеспечивает удобный интерфейс связи сетевых
программ пользователя.
протокол IPX/SPX - Internetwork Packet Exchange/Sequenced Packet Exchange (Протокол обмена
пакетами/Последовательный обмен пакетами, IPX/SPX) — протокол, изначально предназначенный
для сетей на базе Novell NetWare. В среде Windows компьютер должен использовать (помимо
протокола IPX/SPX) редиректор (redirector) для NetWare, чтобы получить доступ к ресурсам Novell
NetWare. На компьютерах под управлением Windows 2000 Professional и выше этот редиректор
называется Client Service for NetWare (CSNW, Клиентская служба для NetWare).
В свойствах протокола можно назначить номер внутренний сети. Он определяет внутреннюю сеть
локального компьютера. Программы, выполняющиеся на компьтер, идентефицируют себя по
отношению у виртуальной сети, а не к физической, определяемой номером внешней сети. Для
пользователя каждая виртуальная сеть представляется отдельной сетью. По умолчанию внутренней
сети присаевается значение 00000000. Номер внутрений сети упрощает маршрутизацию в системах с
несколькими интерфейсами, а также в системах, в которых на одном сетевом адаптере используется
несколько типов кадров.
Можно также задать автоопределение типа кадра. Позволяет ОС автоматически определить тип
кадра. Ручное определение типа кадра, позволяет вручную задавать тип кадра или настроить
использование нескольких типов кадров. Для каждого типа кадра определяется номер внутренней
сети.
Стек IPX/SPX
На физическом и канальном уровнях в сетях Novell используются все популярные протоколы этих
уровней (Ethernet, Token Ring, FDDI и другие).
На сетевом уровне в стеке Novell работает протокол IPX, а также протоколы обмена маршрутной
информацией RIP и NLSP (аналог протокола OSPF стека TCP/IP). IPX является протоколом,
который занимается вопросами адресации и маршрутизации пакетов в сетях Novell. Маршрутные
решения IPX основаны на адресных полях в заголовке его пакета, а также на информации,
поступающей от протоколов обмена маршрутной информацией. Например, IPX использует
информацию, поставляемую либо протоколом RIP, либо протоколом NLSP (NetWare Link State
Protocol) для передачи пакетов компьютеру назначения или следующему маршрутизатору. Протокол
IPX поддерживает только дейтаграммный способ обмена сообщениями, за счет чего экономно
потребляет вычислительные ресурсы. Итак, протокол IPX обеспечивает выполнение трех функций:
задание адреса, установление маршрута и рассылку дейтаграмм.
Транспортному уровню модели OSI в стеке Novell соответствует протокол SPX, который
осуществляет передачу сообщений с установлением соединений.
На верхних прикладном, представительном и сеансовом уровнях работают протоколы NCP и
SAP. Протокол NCP (NetWare Core Protocol) является протоколом взаимодействия сервера NetWare
и оболочки рабочей станции. Этот протокол прикладного уровня реализует архитектуру клиентсервер на верхних уровнях модели OSI. С помощью функций этого протокола рабочая станция
производит подключение к серверу, отображает каталоги сервера на локальные буквы дисководов,
просматривает файловую систему сервера, копирует удаленные файлы, изменяет их атрибуты и т.п.,
а также осуществляет разделение сетевого принтера между рабочими станциями.
SAP (Service Advertising Protocol) - протокол объявления о сервисе - концептуально подобен
протоколу RIP. Подобно тому, как протокол RIP позволяет маршрутизаторам обмениваться
маршрутной информацией, протокол SAP дает возможность сетевым устройствам обмениваться
информацией об имеющихся сетевых сервисах.
Серверы и маршрутизаторы используют SAP для объявления о своих сервисных услугах и сетевых
адресах. Протокол SAP позволяет сетевым устройствам постоянно корректировать данные о том,
какие сервисные услуги имеются сейчас в сети. При старте серверы используют SAP для оповещения
оставшейся части сети о своих услугах. Когда сервер завершает работу, то он использует SAP для
того, чтобы известить сеть о прекращении действия своих услуг.
В сетях Novell серверы NetWare 3.x каждую минуту рассылают широковещательные пакеты SAP.
Пакеты SAP в значительной степени засоряют сеть, поэтому одной из основных задач
маршрутизаторов, выходящих на глобальные связи, является фильтрация трафика SAP-пакетов и
RIP-пакетов.
Особенности стека IPX/SPX обусловлены особенностями ОС NetWare, а именно ориентацией ее
ранних версий (до 4.0) на работу в локальных сетях небольших размеров, состоящих из
персональных компьютеров со скромными ресурсами. Поэтому Novell нужны были протоколы, на
реализацию которых требовалось минимальное количество оперативной памяти (ограниченной в
IBM-совместимых компьютерах под управлением MS-DOS 640 Кбайтами) и которые бы быстро
работали на процессорах небольшой вычислительной мощности. В результате, протоколы стека
IPX/SPX до недавнего времени хорошо работали в локальных сетях и не очень - в больших
корпоративных сетях, так как слишком перегружали медленные глобальные связи
широковещательными пакетами, которые интенсивно используются несколькими протоколами этого
стека (например, для установления связи между клиентами и серверами).
протокол NetBEUI
Протокол NetBEUI (NetBIOS Enhanced User Interface) широко использовался на компьютерах под
управлением операционных систем Windows 95/98, которые устанавливались в небольших сетях
формата малого офиса/домашнего офиса.
Для использования протокола NetBEUI достаточно было установить его на каждом сетевом адаптере
и подключить компьютер к сети. Таким образом, протокол оказывался самым простым решением для
связывания компьютеров в рабочую группу в небольшом офисе.
Операционная система Windows XP не поддерживает протокол NetBEUI (NetBIOS Extended User
Interface). Поскольку перевод сетевого окружения на использование нового сетевого протокола
требует значительных затрат времени, то организации, планирующие заменять операционную
систему своих компьютеров полной розничной версией системы Windows XP, могут установить в
операционной системе Windows XP протокол NetBEUI, который находится на компакт-диске
Windows XP в папке Valueadd.
Для установки протокола NetBEUI на компьютере под управлением Windows XP необходимы
файлы Netnbf.inf и Nbf.sys. Чтобы установить протокол NetBEUI, выполним следующие действия.
1. Вставим компакт-диск Windows XP в дисковод и перейдем в папку
Valueadd\MSFT\Net\NetBEUI данного диска.
2. Скопируем файл Nbf.sys в папку %SYSTEMROOT%\System32\Drivers.
3. Скопируйем файл Netnbf.inf в скрытую папку %SYSTEMROOT%\Inf.
Теперь можно установить протокол NetBEUI на нужный адаптер. Путем открытия его свойств, затем
установить-> протокол-> NetBEUI.
Основным недостатком NetBEUI является невозможность маршрутизации протокола, что
ограничивает применение до связи компьютеров в одной подсети.
Протоколы TCP/IP и конфигурация стека протоколов TCP/IP.
Протоколы TCP/IP — это два протокола нижнего уровня, являющиеся основой связи в сети
Интернет. Протокол TCP (Transmission Control Protocol) разбивает передаваемую информацию на
порции и нумерует их. С помощью протокола IP (Internet Protocol) все части передаются получателю.
Данные протоколы основаны на модели OSI и функционируют на более низком уровне, чем
прикладные протоколы. Концепция уровней модели TCP/IP (многослойной сетевой модели)
позволяет заменять отдельные протоколы на одном уровне другими протоколами, совместимыми на
соседних уровнях протоколами. На следующей иллюстрации отображен стек (совокупность
протоколов) протоколов TCP/IP:
Рис. 2. Уровни модели стека TCP/IP
Рассмотрим подробно каждый из четырех уровней модели TCP/IP:
Уровень сетевого интерфейса (уровень 2). Данный уровень содержит протоколы, которые
обеспечивают передачу данных между узлами связи, физически напрямую соединенными друг с
другом. Другими словами, осуществляют коммуникацию для сетевых адаптеров и физических
(MAC) адресов, которые назначены для этого адаптера, концентраторов, коммутаторов и пр.
Существующие стандарты определяют, каким образом должна осуществляться передача данных
семейства TCP/IP с использованием этих протоколов. К этому уровню относятся протоколы Ethernet,
маркерное кольцо Token Ring, SLIP, PPP и прочее.
Уровень Интернета (уровень 3). Этот уровень обеспечивает доставку информации от сетевого узла
отправителя к сетевому узлу получателя без установления виртуального соединения с помощью
датаграмм и не является надежным. Основным протоколом данного уровня является IP (Internet
Protocol). Вся информация, поступающая к нему от других протоколов, оформляется в виде IPпакетов данных (IP datagrams). На этом уровне был реализован стек TCP/IP. На уровне 3 в стеке
TCP/IP используются две версии протокола Интернета:
 IPv4. В современной сети Интернет используется IP четвёртой версии, также известный как
маршрутизируемый сетевой протокол IPv4. В протоколе IP этой версии каждому узлу сети
ставится в соответствие IP-адрес длиной 32 байта (т.е. 4 октета по 4 байта). При этом
компьютеры в подсетях объединяются общими начальными битами адреса. В связи с тем, что
количество адресов ограничено, вскоре может быть дефицит IPv4 адресов.
 IPv6. Шестая версия протокола — IPv6 позволяет адресовать значительно большее
количество узлов, чем IPv4. Протокол Интернета версии 6 отличается повышенной
разрядностью адреса и использует 128-разрядные адреса, и может определить значительно
больше адресов.
Также на данном уровне оперирует физическое устройство – маршрутизатор, который блокирует
физическое широковещание сообщений сети, вычитывает программный адрес, а затем
перенаправляет этот адрес по соответствующему пути.
Транспортный уровень (уровень 4). Транспортный уровень модели TCP/IP предназначен для
отправки и получения данных. В набор данного уровня входят два протокола – TCP и UDP.
Рассмотрим подробно каждый из них:
 TCP. Реализует потоковую модель передачи информации с прикладного уровня, а также ее
обработку побайтно. Получившиеся байты группируются TCP в пронумерованные сегменты
последовательности для доставки на сетевой хост. Протокол TCP обеспечивает проверку
контрольных сумм, передачу подтверждения в случае правильного приема сообщения,
повторную передачу пакета данных в случае неполучения подтверждения в течение
определенного промежутка времени, правильную последовательность получения
информации, полный контроль скорости передачи данных.
 UDP. Данный протокол наоборот, является способом связи ненадежным, ориентированным на
передачу сообщений (датаграмм). Данный протокол позволяет быстро транспортировать
датаграммы, поскольку в нем не предусмотрены такие компоненты надежности, как гарантии
доставки и подтверждение последовательности передачи. В связи с этим, данные для
приложений доставляются гораздо быстрее.
Прикладной уровень (уровень 7). Данный, последний, уровень модели TCP/IP осуществляет
упаковку и передачу данных через порты транспортного уровня. К этому уровню можно отнести
протоколы TFTP (Trivial File Transfer Protocol), FTP (File Transfer Protocol), Telnet, SMTP (Simple
Mail Transfer Protocol), HTTP, DNS, POP3 (Post Office Protocol 3) и другие, которые поддерживаются
соответствующими системными утилитами.
Настроим протокол TCP/IP для адаптера. Для этого заходим в свойства адаптера, далее свойства
протокола TCP/IP. Выбираем «Использовать следующий IP-адрес». В поле IP-адрес прописываем
192.168.26.101. В поле сетевая маска прописываем 255.255.255.0.
Поле «Основной шлюз» оставляем пустым. В этом поле прописывается адрес локального IPмаршрутизатора, находящегося в одной сети с данным компьютером, который используется для
перенаправления трафика по адресам за пределами локальной сети. Шлюз- это маршрутизатор,
который соединяет отдельные сегменты IP-сети. Поля для указание DNS серверов также оставляем
пустыми.
Те же операции я проделаю на других узлах, назначая им другие IP-адреса. (192.168.26.102,
192.168.26.103).
Теперь проверим связь между уздами с помощью команды ping. Введем узле Andrew-v-1 ping
192.168.26.103.
Результат выполнения команды будет положительным. Рис 3
Рис. 3 Результат проверки соединения
сетевой адаптер
Сетевой адаптер (Network Interface Card, NIC) - это периферийное устройство компьютера,
непосредственно взаимодействующее со средой передачи данных, которая прямо или через другое
коммуникационное оборудование связывает его с другими компьютерами. Для отображения и
изменения свойств сетевого адаптера нужно зайти в свойства сетевого подключения, а затем нажать
на кнопку настроить. В открывшимся окне во вкладке «Общие» можно посмотреть информацию об
устройстве, его состояние, произвести диагностику, а также включить и отключить адаптер.
Во вкладке дополнительно можно задать значения свойствам адаптера (рис. 4).
Рис. 4 Свойства сетевого адаптера
Например мы можем задать значение сетевого адреса 08002768E632. И воспользоваться командой
ipconfig /all, чтобы убедиться в том, что адрес был изменен (Рис. 5).
Рис. 5 Результат изменения физического адреса адаптера
Во вкладке «Драйвер» можно узнать информацию о драйвере, откатить драйвер к прежней
версии, если произошло неудачное обновление, удалить драйвер.
Во вкладке «Ресурсы» можно узнать информацию о ресурсах используемых адаптером.
Порядок привязки протоколов
Интерфейс сетевых драйверов NDIS позволяет использовать несколько сетевых протоколов
поверх разнообразных типов сред и сетевых адаптеров. Это становится возможным благодаря
механизму "привязки" (binding) протоколов к имеющимся сетевым адаптерам. Привязка протокола к
сетевому адаптеру фактически означает то, что данный протокол будет прослушиваться системой на
указанном сетевом адаптере. В ситуации, когда к одному сетевому адаптеру привязано несколько
протоколов, значимым является порядок их привязки. Так, для достижения наилучшей
производительности первым в списке должен идти наиболее часто используемый протокол.
Поскольку на прослушивание каждого стека протоколов затрачивается некоторая часть
системных ресурсов, рекомендуется устанавливать на компьютер только те сетевые протоколы, что
действительно необходимы для работы.
Для изменения порядка привязки протоколов необходимо в меню Дополнительно выбрать пункт
Дополнительные параметры. На вкладке Адаптеры и привязки (рис. 6) необходимо выбрать
конфигурируемое подключение и в окне Привязка для...)указать протокол, который требуется
переместить в списке выше или ниже, и щелкнуть на кнопке со стрелкой вверх или вниз.
Рис. 6 Адаптеры и привязки
Дополнительно администратор может определить порядок, в соответствии с которым сетевые
службы будут получать доступ к сети. Для этого необходимо перейти на вкладку Порядок служб
доступа (рис. 7).
Рис. 7 Порядок служб доступа
Службы будут использоваться в порядке их перечисления. Выбрав поставщика, которого
требуется переместить в списке выше или ниже, необходимо щелкнуть на кнопке со стрелкой вверх
или вниз. Для изменения порядка привязки протоколов необходимы полномочия локального
администратора.
Для примера рассмотрим следующую ситуацию. Допустим, для некоторого сетевого подключения
установлены служба клиента сети Novell NetWare и служба клиента сети Microsoft Windows,
использующих соответственно стеки протоколов IPX/SPX и TCP/IP. Допустим также, что
рассматриваемое соединение наиболее часто используется для взаимодействия с сетью Microsoft
Windows посредством стека протоколов TCP/IP. В этом случае службу клиента сети Microsoft
необходимо поместить в начало списка служб. Необходимо также переместить в начало списка и
привязку стека протоколов TCP/IP для компонента Служба доступа к файлам и принтерам сетей
Microsoft.
Проверим работоспособность сети по различным протоколам
Проверку будем осуществлять, путем получения удаленного доступа к расшаренному каталогу
Sh_Dir1 расположенному на узле Andrew-v-1, из узла Andrew-v-3. Для начала заходим на узле
Andrew-v-1 в «Адаптеры и привязки» и в «подключение по локальной сети 2» снимаем галочки
напротив всех протоколов, связанных со службой «Служба доступа к файлам и принтерам сетей
Microsoft». Теперь на машине Andrew-v-3 нажимаем выполнить и прописываем \\andrew-v1\Sh_Dir1.
В результате, спустя некоторое время вылезает сообщение об ошибке (Рис. 8).
Рис. 8 Сообщение об ошибке
Теперь будем ставить галочку напротив одного из протоколов (TCP/IP, NetBEUI, IPX/SPX) и
смотреть произойдет ли доступ.
В результате происходит открытие расшаренного каталога (Рис. 9), когда стоит галочка напротив
хотя бы одного протокола, а значит проверка работоспособности сети по разным протоколам прошла
успешно.
Рис. 9 Результат выполнения \\andrew-v-1\Sh_Dir1
2. Изучить свойства сетевых ресурсов в Windows.
Пользуясь административной учетной записью, описать разделяемые файловые ресурсы с
различным доступом. Изучить и опробовать разные способы подключения сетевых ресурсов
других компьютеров. Описать получение информации о сетевом окружении. Опробовать
применение административных сетевых ресурсов для удаленного доступа.
Выполнение:
В Windows XP можно реализовать совместное использование файлов, каталогов, принтеров и
других сетевых ресурсов. С этими ресурсами могут работать либо другие пользователи локального
компьютера, либо пользователи находящиеся в сети.
Создадим на одном узле каталог Dir1 (этот каталог использовался в предыдущем пункте), который
в дальнейшем сделаем разделяемым ресурсом.
Прежде всего, необходимо настроить систему для того, чтобы доступ к компьютеру из сети стал
возможен. Заходим в свойства брандмауэра, используя соответствующий пункт «Панели
управления» и отмечаем чекбокс "Общий доступ к файлам и принтерам" как показано на рис 10.
Этим мы разрешаем доступ к портам TCP 139 и 445, а также UDP 137-138. Вообще, при открытии
сетевого доступа к разделяемым ресурсам, брандмауэр настраивается автоматически. Мы проделали
эту операцию, дабы совершенно точно знать, что возможные проблемы не связаны с политиками
брандмауэра.
Рис. 10 Исключение Общий доступ к файлам и принтерам
Также необходимо убедиться в том, что задействована "Служба общего доступа к файлам и
принтерам". Проверить это можно в свойствах сетевого соединения. По умолчанию данная служба
включена (Рис.11).
Рис. 11 Проверка включенности Службы доступа к файлам и принтерам Microsoft
Теперь необходимо определиться с методом доступа к компьютеру из сети. В Windows XP
предусмотрены две модели доступа: "Гостевая" и "Обычная". Гостевой доступ упрощает управление
разделяемыми ресурсами, но существенно ограничивает возможности, такие как удаленное
администрирование, аудит и разделение ресурса между пользователями по правам доступа т.п. При
выборе этой модели, все пользователи, которые пытаются подключиться к компьютеру из сети,
автоматически признаются гостями операционной системы.
Гостевая модель доступа.
Чтобы воспользоваться данной моделью доступа, а она активирована в Windows по умолчанию,
достаточно просто включить учетную запись "Гость" в оснастке управления компьютером, либо
через панель управления и разрешить ему доступ из сети в политике безопасности.
Учетная запись «Гость» включается следующим: Заходим в оснастку «управление компьютером».
Переходим к категории «Локальные пользователи и группы», затем выбираем «Пользователей»,
дважды щелкаем по учетной записи “Гость” и снимаем флажок в чекбоксе "Отключить учетную
запись". Затем нажимаем "Применить" и "ОК".
Переходим в оснастку редактора групповых политик – нажимаем "Пуск", выбираем "Выполнить",
вводим GPEDIT.MSC и нажимаем "ОК". В открывшейся оснастке находим ветвь "Назначение прав
пользователя", затем - пункт "Отказ в доступе к компьютеру по сети", дважды щелкаем по нему,
подсвечиваем «Гостя», нажимаем "Удалить", "Применить", "ОК".
Есть одна особенность. Некоторые изменение в политике безопасности применяются через
полтора часа (90 мин.) по умолчанию. Принудительно применить параметры можно двумя
способами: осуществив перезагрузку ОС, либо используя принудительное обновление групповой
политики. Сделать это можно следующим образом: "Пуск", "Выполнить", вводим “gpupdate /force” и
нажимаем "ОК".
Обычная модель доступа.
Теперь рассмотрим вариант с “Обычной” моделью доступа, которую еще называют «Классической».
Сначала нам требуется отключить простой общий доступ. Это можно сделать двумя способами.
Первый и самый простой: Открыть диалог «Свойства папки». Достаточно снять галочку и простой
общий доступ будет выключен .
Второй способ через политики безопасности (рис.12). Вводим команду GPEDIT.MSC в окошко
«Выполнить» меню «Пуск», мы попадаем в окно оснастки редактора групповых политик. Далее,
следуя по дереву консоли, находим пункт «Сетевой доступ: модель совместного доступа и
безопасности…». Но обратите внимание, как называется данный пункт. "Сетевой доступ: модель
совместного доступа...".
Рис. 12 Выбор модели доступа через политики безопасности
Модель сетевого доступа выбрана «Обычная». Это значит, что все пользователи, пытающиеся
попасть на компьютер из сети, перестают автоматически быть гостями. При этом Windows начнет
производить проверку их верительных данных на предмет совпадения с хранящимися на локальном
компьютере учетными записями, а также проверку полномочий доступа, предоставленных этим
пользователям. В этом случае имеется возможность создавать локальных пользователей и задавать
им права доступа к папкам и подпапкам. Это пригодится, когда надо открыть доступ к определенной
папке одному пользователю, но закрыть другому. При простом общем доступе сделать это
невозможно, поскольку все клиенты используют одну учетную запись – «Гость».
В политиках безопасности существует пункт, регламентирующий использование пустых паролей.
По умолчанию использование пустых паролей допускается только для консольного входа. Если ктото из пользователей, кроме «Гостя» должен попадать в систему с пустым паролем, то значение
данного пункта надо перевести в положение «Отключен». Тем самым разрешается доступ к
компьютеру по сети учетным записям, имеющим пустой пароль. Но что тем самым открывается
доступ с пустыми паролями и к так называемым «административным» разделяемым ресурсам, что
совсем не безопасно.
Рис. 13 Использование пустых паролей
Есть в «Обычной» модели сетевого доступа и недостаток, когда пользователи оставляют пароль
администраторов пустым или ставят «12345» или qwerty. Если пустой пароль «Администратора» это
принципиально, то тогда надо его либо переименовать, либо отключить, либо запретить ему доступ
по сети, добавив его к имеющим такой запрет.
Авторизация при выбранной «Обычной» модели сетевого доступа происходит следующим
образом. Вначале Windows проверяет связку логин - пароль (верительные данные) на предмет
совпадения с локальными учетными записями. Если верительные данные совпали и учетная запись
имеет соответствующие права, то доступ разрешается. Если совпал только логин, то доступ
запрещается и выдается ошибка 5. Если же таких верительных данных нет в локальной базе, то
пользователь считается "Гостем" и дальнейшие действия производятся в зависимости от состояния
этой учетной записи (включена или отключена) и прав доступа, в т.ч. и доступа по сети. В этом
случае, если «Гость» отключен или ему запрещен доступ по сети, а также в случае если происходит
попытка авторизоваться с пустым паролем, но подобные действия запрещены политикой
безопасности, то тогда Windows пошлет «ident» запрос и пользователь увидит окно с предложением
ввести правильные имя пользователя и пароль.
Создание разделяемого ресурса.
Создаем разделяемый ресурс - общую папку Dir1 в корневом каталоге диска C на узле с именем
Andrew-v-1. Я буду использовать обычную модель доступа. Щелкаем по этой папке правой кнопкой
мыши и выбираем пункт "Свойства". Переходим на вкладку "Доступ" (Рис. 14). Переключаем
переключатель в положение "Открыть общий доступ к этой папке". Если в конце названия общего
ресурса проставить знак доллара - $, то папка будет не видна из сети, это так называемый скрытый
разделяемый ресурс и обратиться к ней можно только указав полный путь, например: "Пуск",
"Выполнить", \\mycomp\sharing$, “OK”. Можно добавить примечание. Если общих папок много, это
может быть полезным. Имя общего ресурса не обязательно должно совпадать с именем общей папки,
оно может быть задано произвольно. Зададим имя Sh_Dir1. Предельное число пользователей
оставляем на максимально возможное.
Рис. 14 Настройка общего доступа через свойства папки
Теперь нажимаем кнопку "Разрешения" и попадаем в окошко, изображенное на (Рис. 15). Здесь
задаются разрешения на сетевой доступ к папке. Если у вас файловая система FAT32, то разрешения
можно задать только здесь, используя кнопки "Добавить" и "Удалить".
Рис. 15 Разрешения для общего доступа
Для тех же, кто использует NTFS особого смысла добавлять кого-то нет. Стоит только определить
уровень доступа. Например, добавить право на изменение. Если же хотим еще добавить
пользователя или группу пользователей, нужно не запутаться, т.к. придется еще выставить права на
вкладке "Безопасность". Перейдя на вкладку "Безопасность", можно добавлять пользователей и
предоставлять им права доступа (Рис. 16).
Рис. 16 Вкладка Безопасность
Предоставим полные права для всех и попытаемся изменить текстовый документ в нашей папке с
другого узла (Andrew-v-3). Но для этого сначала выполним подключение сетевого ресурса разными
способами.
Сетевой диск – это раздел данных в операционной системе, который физически находится на
другом компьютере локальной сети. Использование сетевого диска ничем не отличается для
пользователя от использования собственного жесткого диска, но скорость чтения и записи данных
будет ниже (зависит от скорости передачи данных в локальной сети) и права доступа
устанавливаются реальным владельцем диска.
Способы подключения:
1) Подключение диска из "Мой компьютер" или из проводника
На значке «Мой компьютер» нажимаем правой клавишей мыши. В открывшемся контекстном меню
выбираем пункт «Подключить сетевой диск…». В открывшемся окне мастера подключения в поле
«Диск» выбираем букву английского алфавита(Z), которая будет назначена подключаемому диску. В
поле «Папка» необходимо указать путь к сетевому ресурсу. Удобно это сделать, нажав кнопку
«Обзор». В окне обзора папок заходим в сеть Microsoft, затем на нужный компьютер в локальной
сети и выбираем нашу папку. Нажимаем «Ок». Либо не нажимая «Обзор » в поле папка вводим
\\имя узла\ имя разделяемого ресурса или \\ip адрес узла\имя разделяемого ресурса. Нажимаем
готово. Результат отображен на рис. 17
Рис. 17 Результат подключения сетевого диска из «Мой компьютер»
2) Подключение диска из папки "Мое сетевое окружение"
Сетевой диск можно подключить, если зайти через сетевое окружение на другой компьютер в
локальной сети, найти на нем открытый на общий доступ ресурс (диск или папку), нажать на нем
правой кнопкой мыши и выбрать пункт «Подключить сетевой диск…». В этом случае полный путь
до сетевого места будет сразу заполнен и останется выбрать только букву для сетевого диска.
Результат отображен на рис. 18
Рис. 18 Результат подключения сетевого диска через «Мое сетевое окружение»
3) Подключение и отключение диска с помощью команды Net Use
Возможности команды Net буду подробнее рассмотрены в пункте 6. Здесь только выполним
подключение сетевого диска с ее помощью.
net use x: \\имя_компьютера\имя_ресурса, где x: — буква диска, которую нужно присвоить общему
ресурсу.
Также можно и отключить сетевой диск с использованием net use:
Нужно ввести: net use x: /delete, где x: — буква диска, присвоенная общему ресурсу.
Введем net use z:\\andrew-v-1\Sh_Dir1. Результат отображен на рис. 19
Рис. 19 Результат подключения сетевого диска через команду net
Изменение текстового файла text1 в разделяемом каталоге Dir1 на узле Andrew-v-3 прошло успешно,
т.к. ранее были предоставлены полные права всем, кто к нему подключается.
Сетевое окружение и получение информации о нем
Сетевое окружение — компонент операционной системы Windows, элемент рабочего стола. В
графическом виде отображаются компьютеры локальной сети (если сеть присутствует).
В операционной системе Windows XP Сетевое окружение разделено на группы:
1) Microsoft Windows Network
2) Web Client Network
3) Службы терминалов Microsoft
Компьютеры идентифицируются в зависимости от запущенного сервиса
Информация в сетевом окружении
В каждой подсети выбирается master browser подсети, который отвечает за построение сетевого
окружения - списка доменов/рабочих групп и компьютеров в нем в этой подсети. При этом
используется широковещательный протокол netbios (tcp/udp 135, 137, 138, 139), соответственно, для
того, чтобы машина могла стать мастер-браузером необходимо, чтобы работал и не был закрыт
межсетевым экраном общий доступ к файлам и служба Обозреватель компьютеров (Computer
Browser). Кроме основного браузера подсети выбирается еще 2 резервных, и они синхронизируют
между собой списки доменов и компьютеров. Без всяких настроек это обеспечивает
негарантированное построение списка в сетевом окружении.
Если на компьютере, выбранном мастер-браузером, в настройках tcp/ip сетевой платы указан
работающий и доступный WINS-сервер, возможно построение сетевого окружения из всех
доступных подсетей, при этом каждый мастер-браузер подсети связывается с wins-сервером, где
работает самый главный мастер-браузер, регистрируется на нем и отдает ему свой список
доменов/рабочих групп и компьютеров в них, а взамен получает обобщенный список со всеми
доменами/рабочими группами. Общий список поддерживается в оперативной памяти wins-сервера.
Таким образом, возможна работа общего сетевого окружения даже в разделенной на подсети сети
предприятия. Однако эта работа не гарантирована, т.к. в случае если мастер-браузер подсети не
настроен на использование wins-сервера или не может с ним связаться, эта подсеть выпадет из
общего сетевого окружения.
Административные сетевые ресурсы
При установке операционных систем windows на компьютер, системой создаются скрытые
административные ресурсы (ADMIN$, C$, D$ и.т.д). доступные через сеть. Они предназначены для
администратора компьютера и представляют полный доступ ко всем жестким дискам. Особенностью
этих ресурсов то, то их невозможно закрыть стандартными способами (т.е. через вкладку доступ
диалогового окна свойств объекта).
Например, мне нужно получить доступ к диску C узла Andrew-v-1 с узла Andrew-v-3. Я являюсь
администратором сети. На обоих узлах присутствует учетная запись Администратор с одинаковыми
паролями. Я жму «Пуск», «Выполнить» и ввожу: \\adnrew-v-1\c$. Появляется окно ввода
пользователя и пароля. Ввожу администратор и пароль. Результат рис. 20
Рис. 20 Результат запроса на доступ к \\adnrew-v-1\c$
3. Изучить свойства учетных записей пользователей в Windows.
Создать в системе непривилегированного пользователя с именем userN и паролем userN, где N
– номер рабочего места. Рассмотреть назначение и свойства профиля пользователя, задачу
управления каталогами профиля, задачу защиты и восстановления данных пользователя.
Профиль пользователя содержит настройки компьютера для конкретного пользователя, включая
личные параметры интерфейса и пользовательской среды.
Профиль создается при первом входе пользователя на компьютер под управлением операционной
системы Windows . Профиль представляет собой ряд параметров и файлов, определяющих
пользовательскую среду при входе в систему. В него входят настройки приложений, сетевые
подключения и принтеры, настройки мыши, а также оформление и расположения окон.
Можно хранить данные пользователей на жестком диске или настроить перемещение данных
вслед за пользователем, обеспечивая доступ к ним на любом компьютере локальной сети. В
пользовательские данные входят ярлыки к исполняемым файлам, личные файлы и пользовательские
настройки (например, собственный словарь офисного приложения).
В зависимости от методов управления локальной сетью, настройки компьютера могут быть
заданы пользователем или системным администратором.
Следующие типы пользовательских профилей доступны в Windows 2003 Server, Windows XP
Professional и Windows 2000 Professional.
 Локальный профиль пользователя. Создается при первом входе пользователя в систему и
хранится на локальном жестком диске. Любые изменения, сделанные в локальном
пользовательском профиле, относятся только к компьютеру, на котором они были
произведены.
 Перемещаемый профиль пользователя. Копия локального профиля хранится на общем
ресурсе сервера. Профиль загружается при каждом входе пользователя на компьютер
локальной сети. Все изменения в перемещаемом профиле синхронизируются с копией на
сервере по завершении пользовательского сеанса.
 Обязательный профиль пользователя. ИТ специалисты могут использовать этот тип профиля,
чтобы задать определенные пользовательские настройки. Изменения в обязательный профиль
пользователя могут вносить лишь системные администраторы. Пользовательские изменения
сохраняются только до окончания текущего сеанса.
 Временный профиль пользователя. Временный профиль используется в тех случаях, когда изза ошибки не удается загрузить профиль пользователя. По завершении сеанса временный
профиль удаляется, и изменения, внесенные в настройки пользователя, не сохраняются.
Пользовательские профили призваны разделить обеспечить независимость данных и настроек для
каждого пользователя и локального компьютера. Разделение настроек дает следующие
преимущества:


«Обезличенный» компьютер. Компьютеры организации можно настроить для хранения
настроек на серверных ресурсах. Это существенно упрощает замену компьютера или
резервное копирование данных. Если возникнет необходимость в замене компьютера, то
достаточно будет просто установить новый. Все пользовательские настройки надежно
сохраняются в локальной сети и не привязаны к аппаратной конфигурации. Они будут
скопированы при первом же входе пользователя в систему на новом компьютере.
Перемещение пользовательских настроек от компьютера к компьютеру избавляет от
необходимости настраивать каждый компьютер под себя. При входе в систему на
компьютере, поддерживающем перемещаемые профили, пользователь видит свой рабочий
стол в точно таком же состоянии, в каком он был при завершении предыдущего сеанса.
Внедрение поддержки перемещаемых пользователей позволяет им работать на различных
компьютерах сети, сохраняя при этом собственный рабочий стол. Данную функциональность
поддерживают как перемещаемый, так и обязательный профили.
Создадим непривилегированного пользователя User6. Для этого запустим оснастку «Пользователи и
группы» командой lusrmgr.msc. Далее переходим в «Пользователи». Кликаем правой кнопкой мыши
и выбираем пункт «Создать пользователя». Далее заполняем данные и нажимаем «Создать».
Рис. 21 Создание нового пользователя
В результате в списке пользователей добавился новый пользователь User6 (Рис. 22).
Рис. 22 Новый пользователь User6
Рассмотрим свойства профиля (Рис. 23). Для этого кликаем правой кнопкой мыши по пользователю
(например по User6) и выбираем пункт контекстного меню свойства.
Рис.23 Свойства профиля
Во вкладке «Общие» устанавливаются общие свойства такие как полное имя, описание.
Установленными флажками можно потребовать смену пароля при следующем входе в систему,
запретить смену пароля пользователем (может только член группы администраторы), срок действия
пароля не ограничен (если выставлен, то отменяется максимальный срок действия пароля),
отключить учетную запись. Заблокировать учетную запись выставив флажок нельзя. Блокировка
может произойти при определенном количестве попыток ввода пароля при входе в систему. Число
попыток может указывается в политике паролей. И только член группы администраторы может
разблокировать или включить учетную запись.
Во вкладке «Членство в группах» (рис.24) указывается группы членом, которых является
пользователь.
Рис. 24 Вкладка членство в группах
Принадлежность к группе предоставляет пользователю права и возможности для выполнения
различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:
Администраторы
Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и
возможность изменять собственные разрешения. Администраторы имеют полные, ничем
неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве
администратора делает систему уязвимой вредоносных программ, угрожающих безопасности.
Опытные пользователи
Эта группа поддерживается, в основном, для совместимости с предыдущими версиями для
выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой
группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка
несертифицированных приложений, конечные пользователи должны быть членами группы
"Опытные пользователи".
Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы
"Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут
выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы
"Администраторы".
Пользователи
Члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные
принтеры. Группа "Пользователи" предоставляет самую безопасную среду для выполнения
программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что
установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение
целостности операционной системы и установленных программ членами этой группы. Пользователи
не могут изменять параметры реестра на уровне системы, файлы операционной системы или
программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут
создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи
имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER).
Однако разрешения на уровне пользователя часто не допускают выполнение пользователем
устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только
сертифицированные для Windows приложения.
Операторы архива
Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех
разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать
работу компьютера, но не могут изменять параметры безопасности. Для архивирования и
восстановления файлов данных и системных файлов требуются разрешения на чтение и запись.
Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать
файлы, делают для них возможным использование разрешений группы для других целей, например
для чтения файлов других пользователей и установки программ с троянскими вирусами.
Гости
Члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной
записи "Гость", еще более ограниченной в правах.
Операторы настройки сети
Члены этой группы могут иметь некоторые административные права для управления настройкой
сетевых параметров.
Пользователи удаленного рабочего стола
Члены этой группы имеют право на выполнение удаленного входа в систему.
Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой
кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу. Более
подробную справку по выполнению этих и других задач, связанных с учетными записями
пользователей и групп, а также более полное описание учетных записей пользователей и групп
читайте в справке оснастки "Локальные пользователи и группы".
Во вкладке «Профиль» имеются следующие параметры:
Путь к профилю
Предоставляет поле ввода пути к профилю пользователя для данной учетной записи.
Чтобы включить перемещаемый или обязательный профиль пользователя для выбранной учетной
записи, введите сетевой путь в виде \\имя сервера\имя папки профилей\имя пользователя, например
\\ивановипартнеры\профили\иванп.
Чтобы включить обязательный профиль пользователя, введите сетевой путь в виде \\имя сервера\имя
папки профилей\имя пользователя, например \\ивановипартнеры\профили\иванп.
Кроме того, чтобы назначить обязательный профиль пользователя, необходимо скопировать
предварительно настроенный профиль пользователя в указанное место.
Сценарий входа
Предоставляет поле ввода имени сценария входа. Если сценарий входа сохранен в подкаталоге
каталога сценариев входа по умолчанию, добавьте перед именем файла относительный путь.
Например, чтобы указать сценарий входа Startup.bat, сохраненный в папке
\\ИмяКомпьютера\Netlogon\ИмяПапки, введите ИмяПапки\Startup.bat.
Локальный путь
Назначает локальный путь в качестве домашней папки. Например c:\пользователи\иванп.
Подключить
Назначает общую сетевую папку в качестве домашней папки данного пользователя. В меню
«выберите букву диска». Предоставляет поле ввода сетевого пути для домашней папки данного
пользователя. Например, можно выбрать букву диска J и ввести путь
\\ивановипартнеры\пользователи\иванп
4. Рассмотреть и сравнить методы управления пользователями и ресурсами в одноранговой
сети:
- полностью децентрализованное управление
- управление от имени одного административного лица
Реализовать доступ пользователей к сетевым ресурсам:
- с помощью персональной учетной записи userN
- с помощью одной общей учетной записи для всех пользователей student
- с помощью гостевой учетной записи
- с помощью скрипта регистрации пользователя, подготовленного администратором.
Сравнить метод сквозной и явной аутентификации пользователя при подключении по сети.
Составить и привести в отчете варианты схем сети с указанием конкретных узлов, сетевых
ресурсов и учетных записей.
Выполнение:
Компьютеры в одноранговых сетях могут выступать как в роли клиентов, так и в роли серверов. Так
как все компьютеры в этом типе сетей равноправны, одноранговые сети не имеют
централизованного управления разделением ресурсов. Любой из компьютеров может разделять свои
ресурсы с любым компьютером в той же сети.
Децентрализованное управление каждый пользователь в одноранговой сети является
одновременно сетевым администратором. Это означает, что каждый пользователь в сети управляет
доступом к ресурсам, расположенным на его компьютере. Он может дать всем остальным
неограниченный доступ к локальным ресурсам, дать ограниченный доступ, а может не дать вообще
никакого доступа другим пользователям. Каждый пользователь также решает, дать другим
пользователям доступ просто по их запросу или защитить эти ресурсы паролем. В сетях с
децентрализованным управлением нет единого центра управления взаимодействием рабочих
станций и единого компьютера для хранения данных.
Управление от имени одного административного лица - управление от единой учетной записи
администратора с максимумом полномочий (все вышеперечисленные полномочия в
децентрализованном управлении) через единую учетную запись администратора. Централизованно
управлять одноранговой сетью и защищать ее очень сложно, так как каждый пользователь
устанавливает ее (защиту) самостоятельно и “общие” ресурсы могут находиться на всех
компьютерах, а не только на центральном.
С ростом количества пользователей и ресурсов одноранговая сеть становится неработоспособной.
Это происходит не потому, что сеть не может функционировать правильно, а потому, что
пользователи не в состоянии справиться со сложностью сети. Когда каждый сетевой компьютер
может служить сервером, пользователям трудно отслеживать, на какой машине лежит интересующая
их информация.
Важно: децентрализация также затрудняет процедуру резервного копирования данных - вместо
копирования централизованного хранилища данных вам нужно осуществлять резервное копирование
на каждом сетевом компьютере, чтобы защитить разделенные данные.
Реализовать доступ пользователей к сетевым ресурсам:
Чтобы получить сетевой доступ к машине под управлением Windows XP нужно иметь на XP либо
учетную запись пользователя, который будет иметь доступ к общему ресурсу, либо знать имя
пользователя и пароль, которому разрешен доступ к этому общему ресурсу, либо воспользоваться
гостевым доступом, если он разрешен.
Самый простой способ предоставить в пользование общие ресурсы на Windows XP это включить
учетную запись Гость (она после установки Windows XP отключена по умолчанию). После этого ко
всем общим ресурсам, созданным на машине с Windows XP, все пользователи сети получат доступ.
Второй вариант более трудоемкий, но он позволяет более гибко управлять доступом к общим
ресурсам и более безопасен, чем открытие гостевого доступа. Этот вариант заключается в том, что на
машине с Windows XP, где ресурсы предоставляются в общее пользование, создается такое
количество учетных записей, которое соответствует количеству пользователей в сети, пользователей,
которые должны иметь доступ к ресурсам Windows XP. Имя и пароль учетной записи должны
совпадать с именем и паролем пользователя, который будет иметь доступ к общему ресурсу. Минус
этого варанта в том, что придется поддерживать актульность списков пользователей вручную, т.е.
если какой-то пользователь в сети на своей машине сменит, например, пароль, то для его учетной
записи на машине с Windows XP пароль так же должен быть изменен, иначе, он не получит доступ к
общим ресурсам.
Третий вариант это создание на машине одной учетной записи, имя которой и пароль будет
известен всем пользователям, которые имеют право на доступ к общим ресурсам на этой машине.
1) С помощью персональной учетной записи userN
Доступ к сетевому ресурсу будет реализован с помощью учетной записи User6. Для этого нужно
создать учетную запись User6 на узлах Andrew-v-1 и Andrew-v-2 и назначить им одинаковый пароль.
Теперь создадим каталог User6_dir на диске C на узле Andrew-v-1 и откроем к нему общий доступ.
При настройке общего доступа разрешим доступ (полные права) для пользователя User6 и удалим из
списков групп и пользователей «Все» (Рис.25).
Рис. 25
Теперь войдем в на узле Andrew-v-3 в систему под учетной записью User6 и попытаемся обратиться
к User6_dir. В результате попытка получения доступа будет удачной. Теперь войдем в систему на
узле Andrew-v-3 под учетной записью User4 и попытаемся получить доступ к каталогу User6_dir. В
результате выскакивает сообщение с ошибкой из-за отсутствия прав доступа.
2) С помощью одной общей учетной записи для всех пользователей student
В отличие от предыдущего случае, здесь нам не понадобиться создавать на узле учетную запись с
тем же именем и паролем, что и на узле, с которого мы хотим получить доступ к сетевому ресурсу,
т.к. это не целесообразно, если пользователей в системе много, т.к. придется для каждого создавать
локальную учетную запись. В этом случае можно создать локальную учетную запись student с
паролем student и определить права доступа для нее к общему сетевому ресурсу. Итак, я создаю
учетную запись student с паролем student. Теперь я создаю каталог st на узле Andrew-v-1 и открываю
для него общий доступ. При настройке общего доступа разрешим доступ (полные права) для
пользователя student и удалим из списков групп и пользователей «Все» (Рис. 26).
Рис. 26Разрешения для общего доступа к каталогу st
Во вкладке «Безопасность» тоже удаляю группу «Все» и добавляю пользователя student и
настраиваю ему полный доступ. Все готово. Теперь я, как бы, оповещаю всех пользователей, что
доступ к общему сетевому каталогу st, можно получить через учетную запись student с пароле
student. Попробуем обратиться к каталогу st с узла Andrew-v-3 на, котором работает пользователь
Andrew3. В результате выведется окно (рис.27), в котором нужно указать пользователя student и
пароль (Рис. ). После чего будет получен доступ к каталогу st с правами пользователя student. Если
ввести другого пользователя, то в доступе будет отказано.
Рис. 27 Окно ввода пользователя и пароля для подключения к Andrew-v-1
3) С помощью гостевой учетной записи
При осуществлении доступа пользователей к сетевым ресурсам с помощью гостевой учетной
записи все пользователи, которые пытаются подключиться к компьютеру из сети, автоматически
признаются гостями операционной системы.
Осуществим доступ к каталогу guest_dir с использованием гостевой учетной записи. Для этого
надо сперва произвести ряд действий:
1. Заходим
в раздел «Локальная политика безопасности», для этого открываем
строку «Выполнить» и прописываем secpol.msc и нажимаем Enter. Находим «Локальные
политики» раскрываем, выбираем «Назначение прав пользователя». Справа, находим
строчку «Отказ в доступе к компьютеру из сети» открываем его, выбираем «Гость» нажимаем
«Удалить». Теперь находим справа «Доступ к компьютеру из сети» открываем,
нажимаем «Добавить пользователя или группу» -> «Дополнительно» -> «Поиск». Снизу
находим «Гость» выбираем его, подтверждаем.
2. Находим слева «Параметры безопасности». Внизу находим «Учетные записи: Состояние
учетной записи 'Гость'», открываем ставим точку напротив «Включить», нажимаем ОК и
закрываем папку.
3. Теперь правой кнопкой мыши по значку Мой компьютер выбираем Управление далее
переходим Локальные пользователи-Пользователи выбираем пользователя Гость-Свойства где
снимаем галку Отключить учетную запись. Правой кнопкой на «Гость».
4. Открываем свойства этой папки guest_dir, переходим в «Доступ» Ставим точку на
против «Открыть общий доступ к этой папке» Далее нажимаем «Разрешения» –> «Добавить» >«Дополнительно» –>«Поиск» Находим «Гость», выделяем его, нажимаем ОК. (Рис. 28)
Рис. 28 Добавление разрешения для учетной записи Гость
Нажимаем на кнопку «Добавить» Повторяем всю процедуру, которую мы только что сделали с
пунктом «Доступ». Вот и все. Пытаемся зайти с узла Andrew-v-3 и создать внутри каталога guest_dir
папку. В результате все открывается и все создается. Попробуем теперь отключить учетную запись
Гость и опять попытаться получить доступ к guest_dir. В результате в доступе будет отказано, это
подтверждает, что при входе использовалась уч. зап. Гость.
Аутентификация:
Аутентификацией называется обеспечение возможности для доказательства одного объекта или
субъекта своей идентичности другому объекту или субъект.
Аутентификация - процедура проверки подлинности, например: проверка подлинности
пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей
Один из способов аутентификации в компьютерной системе состоит во вводе пользовательского
идентификатора, называемого «логином», и паролем
Краткое описание:
Получив введенный пользователем логин и пароль, ОС сравнивает их со значением, которое
хранится в специальной базе данных и, в случае совпадения, пропускает пользователя в систему.
В компьютерах Windows NT/2000/XP такая база данных называется SAM Security Account Manager Диспетчер защиты учетных записей). База SAM хранит учетные записи пользователей, включающие
в себя все данные, необходимые системе защиты для функционирования.
Процедуру аутентификации применяют и компьютеры при общении друг с другом, используя при
этом весьма сложные криптографические протоколы, обеспечивающие защиту линий связи от
прослушивания.
В сетях Windows 2000/XP для аутентификации применяется протокол Kerberos, обеспечивающий
передачу между компьютерами данных, необходимых для взаимной аутентификации, в
зашифрованном виде.
Работу всей системы защиты Windows 2000/XP обеспечивает служба SRM (Security Reference Monitor
- Монитор защиты обращений). Монитор SRM работает в режиме ядра системы Windows 2000/XP,
т.е. невидимо для пользователя.
• Диспетчер LSA (Local Security Authority - Локальные средства защиты), проверяющий, имеет ли
пользователь разрешения на доступ к системе согласно политике безопасности, хранимой в
специальной базе данных LSA.
• Диспетчер SAM (Security Account Manager - Диспетчер учетных записей системы защиты), который
поддерживает работу с учетными записями локальных пользователей и групп. Эти учетные записи
необходимы для аутентификации пользователей, которые далее авторизуются диспетчером LSA.
• Служба AD (Active Directory - Активный каталог), которая поддерживает базу данных AD с
учетными записями пользователей и групп домена. Эти учетные записи необходимы для
аутентификации пользователей, далее авторизуемых диспетчером LSA.
• Процедура регистрации, которая получает от пользователя введенный логин и пароль, после чего
выполняет проверку.
В простейшей одноранговой сети нет службы, которая интегрирует в себе описания пользователей
на всех сетевых ресурсах распределенных на разных объектах сети (серверах). Она есть в
современных серверных ОС (AD, NDS). В случае ее присутствия необходимо зарегистрировать
сетевые объекты в ней, а затем возможна сквозная аутентификация (компьютер, включаемый в
домен, может распределять свои ресурсы не только среди локальных пользователей данного
компьютера, но среди объектов (пользователей, групп и др.) описанных в AD).
Вначале контроллер домена передает клиентскому компьютеру запрос - случайное число, для
которой клиент подсчитывает значение одной очень важной криптографической функции,
называемой хэш-функцией, или просто хэшем, используя при этом пароль пользователя в качестве
аргумента. Настоящую хэш-функцию очень просто вычислить по значению аргументов, но вот
наоборот, вычислить значения аргументов по значению хэш-функции почти невозможно, поскольку
это требует нереальных вычислительных ресурсов. Вот что это дает системе защиты.
Подсчитанную хэш-функцию клиент передает обратно контроллеру домена, и контроллер снова
подсчитывает эту же хэш-функцию для тех же аргументов -переданного клиенту значения
случайного числа и пароля пользователя, который хранится в базе AD. Если оба значения хэшфункции совпадают - пользователь аутентифицирован, поскольку такого совпадения практически
невозможно достичь без знания аргументов - такова природа хэш-функций. Преимущества такой
аутентификации очевидны - пароль по сети не передается, а использование случайного числа
гарантирует невозможность повторных использований перехваченных запросов и ответов для
прохождения сетевой регистрации.
Составить и привести в отчете вариант схемы сети с указанием конкретных узлов,
сетевых ресурсов и учетных записей.
Вариант схемы сети я буду составлять для небольшой школы, в которой имеется небольшая
учительская, с некоторым количеством компьютеров для учителей, кабинет директора, бухгалтерия
и комната администратора сети. Директор должен иметь возможность, просматривать всевозможные
документы связанные с бухгалтерией, возможность просматривать успеваемость учеников. Учителя
должны вести отчет об успеваемости учеников, о различных взносах учеников (охрана, питание). Эта
информация должна храниться на сетевом диске, к которому можно получить доступ с любого узла.
Учителя должны иметь возможность редактирования отчетов. Бухгалтер должен иметь возможность
только просмотра, например, узнать информацию кто сдал деньги за охрану, а кто нет. Ну и
администратор должен заниматься администрированием и настройкой сети. Вариант схемы
представлен на рис. 29
Рис. 29 Схема модели сети для небольшой школы
В моей схеме доступ к сетевым ресурсам осуществляется с помощью персональной учетной записи.
Т.е. например, если директор хочет просмотреть отчет об успеваемости учеников, то для того, чтобы
он мог получить доступ к сетевому ресурсу, расшаренному на узле Учитель_1, должна на этом узле
должна быть создана локальная учетная запись Директор с тем же паролем, что и на узле Директор.
Права доступа к сетевому ресурсу на узле Учитель_1 для директора определены как право на чтение,
т.к. ему достаточно только просматривать информацию. Также только права на чтение
предоставлено и бухгалтеру, т.к. ему нужно только смотреть информацию о том, кто сдал или не
сдал деньги на охрану, еду и т.д. Права на запись и чтение предоставлены всем учителям, т.к. они
должны иметь возможность записывать оценки и другую информацию об учениках. Локальные
учетные записи созданы на всех узлах для учителей для того, чтобы имелась возможность создания
новых сетевых ресурсов, к которым должен быть открыт доступ для других пользователей сети.
Также в сети присутствует еще один разделяемый ресурс, расположенный на узле Бухгалтер. На нем
Бухгалтер ведет свои отчеты. Он имеет право на их изменение. Доступ к этому ресурсу может
получить и директор, с правами только на чтение, для контроля различных отчетов связанных с
делами школы. Ну и на каждом узле имеется учетная запись Администратор, для возможности
администрирования сети.
5. Ознакомиться с ролью реестра в конфигурировании сети.
С помощью редактора реестра REGEDIT найти ключи реестра, связанные с конфигурацией
сетевых средств, описанием установленных пользователей, описанием текущего пользователя.
5.1 Ключи реестра связанные с конфигурацией сетевых средств
Ключ реестра HKEY_LOCAL_MACHINE\system\currentcontrolset\services представляет собой
регистрационную область для сервисов (в т. ч. и для сетевых сервисов), где содержится информация,
используемая при их загрузке в память. Ключи реестра, расположенные в составе этого ключа,
содержат сведения, необходимые для загрузки сервиса, в том числе местоположение исполняемого
файла, тип сервиса, критерии его запуска и т. д.
Некоторые сетевые компоненты фактически представляют собой не один сервис, а целый их
набор. Каждый из таких сервисов имеет собственный вложенный ключ в составе ключа реестра
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlset\services. Как правило, в составе такого
сетевого компонента имеется так называемый "главный" сервис, от которого зависят все остальные
сервисы набора.
Пример некоторых протоколов, которые используют данные о конфигурации из подключей этого
ключа: TCP/IP, HTTP, NetBIOS, NetBT и т.д.
Рассмотрим некоторые параметры для конфигурировая TCP/IP (Рис. 30)
Рис. 30 Отображение параметров TCP/Ip в реестре
Все параметры TCP/IP являются значениями реестра, расположенными в одном из двух разных
подразделов
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Tcpip\Parameters
Tcpip\Parameters\Interfaces\код_адаптера
код_адаптера – это адаптер сети, к которому привязан протокол TCP/IP.
Стандартные параметры TCP/IP, настраиваемые с помощью редактора реестра
При установке компонентов TCP/IP с помощью средства «Сеть» панели управления со значениями
по умолчанию устанавливаются следующие параметры. Их можно изменять с помощью редактора
реестра.
DatabasePath
Раздел: Tcpip\Parameters
Тип параметра: REG_EXPAND_SZ – строка символов
Допустимые значения: допустимый путь к файлу Windows NT
По умолчанию: %SystemRoot%\System32\Drivers\Etc
Описание: данный параметр задает путь к стандартным файлам баз данных Интернета (HOSTS,
LMHOSTS, NETWORKS, PROTOCOLS). Он используется интерфейсом Windows Sockets.
ForwardBroadcasts
Раздел: Tcpip\Parameters
Тип параметра: REG_DWORD – логическое
Допустимые значения: 0 или 1 (False или True)
По умолчанию: 0 (False)
Описание: передача широковещательных пакетов не поддерживается. Этот параметр игнорируется.
UseZeroBroadcast
Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера
Тип параметра: REG_DWORD – логическое
Допустимые значения: 0 или 1 (False или True)
По умолчанию: 0 (False)
Описание: если для этого параметра задано значение 1 (True), протокол IP будет использовать
пакеты общей широковещательной рассылки (0.0.0.0), а не ограниченной (255.255.255.255).
Большинство систем используют ограниченную широковещательную рассылку, однако некоторые
системы на основе реализации BSD используют общую широковещательную рассылку. Системы,
использующие разные широковещательные пакеты, не будут правильно взаимодействовать в одной
и той же сети.
Параметры, настраиваемые из окна свойств сетевого подключения
Перечисленные ниже параметры создаются и изменяются автоматически из окна свойств сетевого
подключения в соответствии с данными, представленными пользователем. Их не нужно настраивать
в реестре.
DefaultGateway
Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера
Тип параметра: REG_MULTI_SZ – список IP-адресов в десятичном формате с точками
Допустимые значения: любой набор допустимых IP-адресов
По умолчанию: Отсутствует
Описание: этот параметр задает список шлюзов, которые должны использоваться для
маршрутизации пакетов, не адресованных в ту подсеть, к которой непосредственно подключен
компьютер, и для которых не заданы конкретные маршруты. Этот параметр имеет приоритет над
параметром DhcpDefaultGateway.
Domain
Раздел: Tcpip\Parameters
Тип параметра: REG_SZ – строка символов
Допустимые значения: любое допустимое DNS-имя домена
По умолчанию: Отсутствует
Описание: этот параметр задает доменное имя DNS для данной системы. Он используется
интерфейсом Windows Sockets.
EnableDhcp
Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера
Тип параметра: REG_DWORD – логическое
Допустимые значения: 0 или 1 (False или True)
По умолчанию: 0 (False)
Описание: если данный параметр имеет значение 1 (True), то служба клиента DHCP будет пытаться
настроить конфигурацию первого интерфейса IP на адаптере с помощью DHCP.
Hostname
Раздел: Tcpip\Parameters
Тип параметра: REG_SZ – строка символов
Допустимые значения: любое допустимое DNS-имя узла
По умолчанию: Имя компьютера
Описание: этот параметр задает DNS-имя системы, которое будет возвращаться с помощью
команды hostname.
IPAddress
Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера
Тип параметра: REG_MULTI_SZ – список IP-адресов в десятичном формате с точками
Допустимые значения: любой набор допустимых IP-адресов
По умолчанию: Отсутствует
Описание: этот параметр задает IP-адреса интерфейсов IP, которые должны быть связаны с
адаптером. Если первый адрес в списке равен 0.0.0.0, то основной интерфейс адаптера будет
настроен с помощью DHCP. Система, имеющая несколько IP-интерфейсов для адаптера, называется
«логически подключенной к нескольким сетям». Для каждого IP-адреса, указанного в параметре
SubnetMask, должно быть задано допустимое значение маски подсети.
IPEnableRouter
Раздел: Tcpip\Parameters
Тип параметра: REG_DWORD – логическое
Допустимые значения: 0 или 1 (False или True)
По умолчанию: 0 (False)
Описание: установка для этого параметра значения 1 (True) приводит к выполнению системой
маршрутизации IP-пакетов между сетями, к которым она подключена.
NameServer
Раздел: Tcpip\Parameters
Тип параметра: REG_SZ – список отделенных пробелом IP-адресов в десятичном формате с точками
Допустимые значения: любой набор допустимых IP-адресов
По умолчанию: Отсутствует (пустая строка)
Описание: этот параметр задает DNS-имя сервера, которое запрашивается интерфейсом Windows
Sockets для разрешения имен.
SearchList
Раздел: Tcpip\Parameters
Тип параметра: REG_SZ – список суффиксов DNS-имени домена с разделителями
Допустимые значения: любой набор допустимых суффиксов DNS-имени домена
Допустимые значения: любой набор допустимых суффиксов DNS-имени домена
По умолчанию: Отсутствует
Описание: этот параметр задает список суффиксов имени домена, которые добавляются к имени,
разрешаемому через DNS в тех случаях, когда не удается получить разрешение для имени без
суффикса. По умолчанию добавляется только значение параметра Domain. Данный параметр
используется интерфейсом Windows Sockets.
SubnetMask
Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера
Тип параметра: REG_MULTI_SZ – список IP-адресов в десятичном формате с точками
Допустимые значения: любой набор допустимых IP-адресов
По умолчанию: Отсутствует
Описание: этот параметр задает маски подсети, которые должны использоваться интерфейсами IP,
связанными с данным адаптером. Если первая маска в списке равна 0.0.0.0, то основной интерфейс
адаптера будет настроен с помощью DHCP. Для каждого IP-адреса, указанного в параметре
IPAddress, необходимо наличие допустимого значения маски подсети.
В Windows 2000/XP имеются вложенные ключи регистрации программного обеспечения для всех
установленных на компьютере карт сетевых адаптеров. Эти ключи находятся по адресу
HKEY_LOCAL_ MACHINE\SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\NetworkCards\
Netcard#
HKEY_LOCAL_MACHINE\SYSTEM\ CurгentControlSet\Class\<ClаssGUID>. В составе этого ключа
системные инсталляторы устройств хранят информацию о каждом конкретном классе устройств,
соответствующем этому классу, инсталляторе класса и о вспомогательных инсталляторах (если они
имеются). Для каждого установленного драйвера в составе этого ключа существуют вложенные
ключи типа "0000", "0001", .... которые содержат информацию о данном драйвере, в том числе строку
его описания, путь к INF-файлу, сведения о поставщике драйвера и т. д.
5.2 Ключи реестра связанные с описанием установленных пользователей
Ключи профилей пользователей содержаться в HKEY_USERS \<SID> (рис. 31). Внутри все, что связано с
пользователем, идентифицируется по Security ID. Система генерирует уникальный SID для каждой учетной
записи. Ключ .Default содержит профиль по умолчанию, который копируется во вновь создаваемый профиль.
Рис. 31 Содержимое раздела HKU
Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList содержит
список пользовательских профилей профилей зарегистрированных в системе (Рис.32).
Рис. 32 SIDы пользователей зарегистрированных в системе
5.3 Ключи реестра связанные с описанием текущего пользователя
Ключ HKEY_CURRENT_USER (HKCU)
Эта ветвь реестра хранит настройки персональной оболочки пользователя, совершающего вход в
операционную систему (меню «Пуск», рабочий стол и т. д.). В ее подразделах находится информация о
переменных окружения, группах программ данного пользователя, настройках Рабочего стола, цветах экрана,
сетевых соединениях, принтерах и дополнительных настройках приложений. Эта информация берется из
подраздела Security ID (SID) ветви HKEY_USERS для текущего пользователя. Фактически, в данной ветви
собраны все сведения, относящиеся к профилю пользователя, работающего с Windows в настоящий момент.
Таблица Стандартные подключи HKEY_CURRENT_USER
Ключ
Описание
AppEvents
Вложенные ключи, определяющие события, связанные с приложениями,
включая sound scheme, набор взаимосвязей между действиями
пользователя и звуковой реакцией компьютера на эти действия
Environment
Параметры, которые соответствуют настройке переменных среды для
пользователя, на текущий момент зарегистрированного в системе. Эти
значимые элементы содержат информацию, которая на компьютерах MSDOS хранилась в файле Autoexec.bat. Установку этих значений следует
осуществлять с помощью утилит Панели управления (Control Panel)
Console
Данный подключ, в свою очередь, содержит вложенные ключи, которые
определяют опции и размер окна для консоли. Консоль представляет
собой интерфейс между приложениями режима пользователя и
приложениями, работающими в символьном режиме. Сюда же входят и
параметры настройки сеанса работы с командной строкой в Windows
NT/2000/XP. Все эти параметры (определяющие цвет окна, размер
курсора, размер шрифта и стиль) можно изменить непосредственно в окне,
содержащем командную строку. Можно также указать, будут ли эти
параметры использоваться в каждом или же только текущем сеансе
ControlPanel
Вложенные ключи соответствующих параметров, настройка которых
осуществляется средствами Панели управления (Control Panel). Сюда
входит и информация, которая в ранних версиях Windows, работавших
совместно с MS-DOS, хранилась в файле Win.ini
Printers
Вложенные ключи, описывающие принтеры, установленные на
компьютере и доступные зарегистрировавшемуся на текущий момент
пользователю. Чтобы изменить значимые элементы, задающие параметры
принтеров, нажмите кнопку Пуск (Start), выберите
опцию Настройка (Settings), затем укажите на папку Принтеры (Printers)
Windows 3 . 1
Migrations
Status
Этот ключ содержит данные только в том случае, если на компьютере
производилось обновление версии операционной системы с Windows З.Аx
до Windows NT 4.0. Он содержит вложенные ключи, которые определяют,
успешно ли прошел процесс преобразования файлов программных групп
(файлы GRP) и мни-циализационных файлов (файлы INI) в формат
Windows NT 4.0. Если этот ключ удалить, то при следующей перезагрузке
Windows NT/2000/XP опять попытается выполнить это преобразование.
Подключ Windows 3.1 Migration Status для отслеживания статуса
преобразования файлов INI и Reg.dat в формат Windows NT 4.0
существует и в составе подключа HKEY_LOCAL MACHINEXSoftware
UNICODE
Program
Groups
Этот ключ не использовался уже в Windows NT 4.0. Если на компьютере
было произведено обновление версии операционной системы (с одной из
более ранних версий Windows NT до Windows NT 4.0), то в этом ключе
могут содержаться некоторые старые подключи с данными в двоичном
формате. Однако ни в самом этом ключе, ни в его вложенных ключах и
параметрах нет данных, необходимых для работы Windows NT
4.0/Windows 2000 или Windows XP
Keyboard
Layout
Вложенные ключи, определяющие язык, используемый для текущей
раскладки клавиатуры
Software
Вложенные ключи, описывающие конфигурируемые параметры
настройки установленного на компьютере программного обеспечения, с
которым зарегистрировавшийся на текущий момент пользователь имеет
право работать. Эта информация имеет ту же структуру, что и ключ
HKEY_LOCAL MACHINE\SOFTWARE.
Сюда входит информация о приложениях, которая ранее хранилась в
файле Win.ini или отдельных файлах инициализации, которые активно
использовали ранние версии Windows, работавшие совместно с MS-DOS
6. Изучить возможности команды Net для конфигурирования и управления сетью.
Использовать команду NET для управления сетевыми соединениями.
Утилита NET.EXE существует во всех версиях Windows и является одной из самых используемых
в практической работе с сетевыми ресурсами. Позволяет подключать и отключать сетевые диски,
запускать и останавливать системные службы, добавлять и удалять пользователей, управлять
совместно используемыми ресурсами, устанавливать системное время, отображать статистические и
справочные данные об использовании ресурсов и многое другое.
Рассмотрим некоторые команды утилиты NET.EXE, сгруппировав их по разделам, и опробуем
некоторые из них.

Работа с системными службами
Данный режим использования NET.EXE , в некоторой степени, является не характерным для
основного предназначения утилиты, и начиная с Windows XP, для управления системными службами
используется специальная утилита командной строки SC.EXE. Тем не менее, NET.EXE в среде
любой версии операционных систем Windows может быть использована для запуска и остановки
системных служб (сервисов). Согласно справочной информации, список служб, которыми можно
управлять с помощью net.exe можно получить используя следующую команду: net help services
Но это не совсем верно, и на самом деле, с помощью net.exe можно запустить или остановить
практически любую системную службу, и в том числе, не представленную в списке , отображаемом
при выполнении данной команды . Для остановки используется параметр stop, а для запуска параметр start:
Например, остановим службу службу dhcp-клиент:
Введем net stop dhcp. Теперь если мы освободим ip адрес командой ipconfig /release, а затем
попытаемся получить новый ip адрес, введя ipconfig /renew, то вылезет сообщение «Произошла
ошибка при обновлении интерфейса Подключение по локальной сети: Неизвестный интерфейс».
Теперь запустим службу dhcp-клиент. Введем: net start dhcp. И снова попытаемся получить ip адрес
командой ipconfig /renew. Теперь получение ip адреса успешно выполняется.
Возможно использование как короткого, так и полного имени ("Dnscache" - короткое, "DNS-клиент"
- полное имя службы). Имя службы, содержащее символы русского алфавита и пробелы заключается
в двойные кавычки.
Для приостановки некоторых системных служб или продолжения работы ранее приостановленной
службы используются команды NET PAUSE и NET CONTINUE :

Работа с сетевыми дисками
Отобразим список сетевых дисков подключенных на узле Andrew-v-3. Для этого введем команду net
use. Результат отображен на рис 32. Подключение я выполнял ранее в данной работе.
Рис. 32 Список подключенных сетевых дисков
В колонке "Локальный" отображается буква сетевого диска, а в колонке "Удаленный" - имя
удаленного сетевого ресурса в формате UNC
UNC - это Общее соглашение об именах (Uniform Naming Convention) или универсальное
соглашение об именовании (universal naming convention), соглашение об именовании файлов и
других ресурсов, дающее определение местоположения ресурса .
Имя, соответствующее UNC - полное имя ресурса в сети, включающее имя сервера и имя совместно
используемого (разделяемого, сетевого ) ресурса (принтера, каталога или файла). Синтаксис UNCпути к каталогу или файлу следующий:
\\Сервер\СетевойКаталог[\ОтносительныйПуть]
Сервер - сетевое имя компьютера, СетевойКаталог - это сетевое имя общего каталога на этом
компьютере, а необязательный ОтносительныйПуть - путь к каталогу или файлу из общего
каталога.
СетевойКаталог не обязательно называется так же, как ассоциированный с ним каталог на сервере,
имя даётся в ходе открытия общего доступа к каталогу в файловой системе компьютера
UNC-пути можно использовать и для локальной машины, только в этом случае вместо имени
"Сервер" нужно подставлять знак "?" или ".", а путь к файлу указывать вместе с буквой диска.
Например так: "\\?\C:\Windows\System32\file.exe" .
Для отключения сетевого диска воспользуемся командой net use с ключом /del :
net use Z: / del

Работа с файлами и каталогами
NET SHARE - эта команда позволяет выделить ресурсы системы для сетевого доступа . При запуске
без других параметров, выводит информацию обо всех ресурсах данного компьютера, которые могут
быть совместно использованы . Для каждого ресурса выводится имя устройства или путь и
соответствующий комментарий.
net share - получить список разделяемых в локальной сети ресурсов данного компьютера.
Пример списка (рис. 33)
Рис. 33 Список разделяемых ресурсов
Допустим нам нужно узнать где на компьютере располагается разделяемый ресурс Sh_Dir1. Для
этого выполним команду net share Sh_Dir1, и в строке «путь» будет указано расположение
разделяемого ресурса (рис. 34).
Рис. 34 Результат команды net share Sh_Dir1
Добавим новый разделяемый каталог под именем Sh_VIDEO с максимальным числом одновременно
подключающихся пользователей равным 5 и укажем краткое описание (Видео для всех).
Для этого пропишем: net share Sh_VIDEO="C:\VIDEO " /users:5 /remark:”Видео для всех”/
Теперь, если ввести команду net share Sh_VIDEO, то в строках «Заметки» и «Макс. Число
пользователей» можно увидеть соответствующую информацию (рис.35).
Рис. 35 Результат команды net share Sh_VIDEO="C:\VIDEO " /users:5 /remark:”Видео для всех”/
Теперь удалим разделяемый ресурс Sh_VIDEO. Воспользуемся командой
net share Sh_VIDEO /DELETE .
Удаление выполняется только для имени разделяемого ресурса и не затрагивает каталог локального
диска, связанный с данным именем.
Теперь получим информацию о списке компьютеров рабочей группы с разделяемыми ресурсами.
Отобразим список компьютеров в сетевом окружении, введя команду net view (Рис. 36)
Рис. 36 Результат команды net view
Отправка сообщений по локальной сети
Для отправки сообщений в локальной сети используется команда NET SEND
Для того, чтобы получить сообщение, должна быть запущена "Служба сообщений" (MESSENGER).
Имена пользователей, компьютеров и текст сообщений на русском языке должны быть в DOSкодировке.
Перечень доступных активных имен на данном компьютере и состояние службы сообщений можно
получить с использованием команды net name без параметров. По всему списку имен,
отображаемому в результате выполнения данной команды возможна отправка сообщений. Примеры
использования:
Запустим службу сообщений на узлах Andrew-v-1 и Andrew-v-3 и отправим сообщение от узла
Andrew-v-1 к Andrew-v-3 (Рис.37).
Рис. 37 Результат отправки сообщения командой net send
7. Ознакомиться с назначением и спецификой применения среды команды netsh.
Использовать команды для получения статистики работы сетевой подсистемы и назначения
IP-адреса.
Утилита сетевой оболочки NETSH (NETwork SHell) - наиболее полное и функциональное
стандартное средство управления сетью с использованием командной строки в среде Windows XP и
старше. Набор внутренних команд сетевой оболочки пополняется с появлением новых версий
операционной системы, что необходимо учитывать при работе в локальной сети с различными ОС.
Так, например, команда уровня wlan ( netsh wlan - управление беспроводной сетью) может
использоваться на компьютерах под управлением Windows Vista и старше и отсутствует в Widows
XP. Синтаксис используемых команд и параметров также может различаться в разных операционных
системах семейства Windows.
При запуске NETSH.EXE без параметров на экран выводится приглашение к вводу внутренних
команд оболочки. Набор команд представляет собой многоуровневую структуру, позволяющую
выполнять необходимые действия в выбранном контексте. При вводе знака вопроса ? можно
получить краткую справку по доступному перечню команд на данном уровне. Ввод команды данного
уровня со знаком вопроса вызовет отображение справки по ее использованию. Аналогичную справку
можно получить, введя определенную команду и, после перехода на уровень ее выполнения, ввести
знак вопроса. При необходимости, можно выполнить нужное действие без использования
интерактивного режима, указав в качестве параметров командной строки последовательный набор
внутренних команд NETSH и необходимых параметров.
Например: netsh advfirewall show global последовательно выполняется команда первого
уровня advfirewall, в ее контексте, команда следующего уровня show с параметром global
Команды NETSH можно выполнить и на удаленном компьютере с использованием подключения по
локальной сети. Netsh также предоставляет возможность выполнения сценариев, представляющих
собой группу команд в текстовом файле, выполняемых в режиме очередности на определенном
компьютере. В целом, возможности NETSH настолько обширны, что трудно найти сетевую задачу,
которую невозможно было бы решить с использованием данной утилиты.
Синтаксис:
NETSH.EXE [-a AliasFile] [-c Context] [-r RemoteMachine] [-u [DomainName\]UserName] [-p Password |
*] [Command | -f ScriptFile]
-a AliasFile - не завершать работу а перейти к приглашению ввода команд после выполнения
AliasFile. AliasFile - имя текстового файла, в котором содержатся одна или несколько команд netsh .
-c Context - изменить контекст (уровень) команд netsh.
-r RemoteMachine - выполнять команды netsh на удаленном компьютере. В качестве RemoteMachine
может использоваться имя или IP-адрес.
[-u DomainName\]UserName - имя пользователя для подключения к удаленному компьютеру. Если
не задано, то используется текущее имя пользователя.
-p Password пароль для подключения к удаленному компьютеру.
Command - команда оболочки netsh , которую необходимо выполнить.
-f ScriptFile - аналогично ключу -a, но после выполнения команд файла сценария Scriptfile, работа
netsh завершается.
Произведем отображение настроек TCP/IP с помощью утилиты netsh.exe:
Введем netsh interface ip show config
Результат отображен на рисунке 38
Рис. 38 Результат команды netsh interface ip show config
Произведем изменение сетевой конфигурации с помощью утилиты netsh.exe:
netsh interface ip set address name="Подключение по локальной сети" source=static addr=192.168.0.10
mask=255.255.255.0
name - имя сетевого подключения
source - static - статический IP-адрес. Возможно значение DHCP, если адрес назначается
автоматически сервером DHCP.
addr - значение IP-адреса
mask - значение маски сети.
Но можно и обойтись без лишних имен:
Введем netsh interface ip set address “Подключение по локальной сети 2” static 192.168.0.10
255.255.255.0
Результат отображен на рисунке 39:
Рис. 39 Результат команды netsh interface ip set address “Подключение по локальной сети 2” static
192.168.0.10 255.255.255.0
адрес IP в системной конфигурации устанавливается для Подключение по локальной сети 2 в
192.168.0.10, маска подсети — 255.255.255.0.
Включим использование динамических адресов с помощью утилиты netsh.exe:
Введем netsh interface ip set address “Подключение по локальной сети 2” dhcp
Результат отображен на рисунке 40:
Рис. 40 Результат команды netsh interface ip set address “Подключение по локальной сети 2” dhcp
Сохраним текущую конфигурацию в файл с помощью утилиты netsh.exe:
Введем netsh interface dump > mcnfg.dat.
И если нам вдруг понадобиться эта конфигурация или мы, что-то нечаянно изменили, тогда можно
применить сохраненную конфигурацию. Для этого нужно прописать netsh exec mycnfg.dat
Команда Netsh Exec обрабатывает файл сценария Netsh.
8. Восстановить исходную конфигурацию всех настроек в системе.
Удалить созданных пользователей и их профили. Удалить сетевые ресурсы. Завершить работу
Windows.
После выполнения всех описанных выше действий необходимо восстановить исходную
конфигурацию всех настроек в системе.
Так как я работал одновременно на 3-х виртуальных машинах, то необходимо выполнить все
действия трижды. Нужно проделать следующее:
1) Деинсталлировать все установленные протоколы и клиенты, а также восстановил старые имена
рабочей группы и компьютера.
2) Удалить созданные профили пользователей.
3) Удалить все созданные сетевые ресурсы