Лабораторная работа 7. Группы безопасности и управление доступом к сетевым ресурсам доменов Windows 2003
Цели
После завершения данной лабораторной работы вы сможете планировать и создавать группы в структуре многодоменного леса Windows 2003, управлять их доступом к сетевым ресурсам.
Необходимое оснащение работы
Таблица 7.1
| Среда, действие | Требуемые средства |
| 1. Операционная система | Windows 2003 Server |
| 2. Роль компьютера в домене | Контроллер |
| 3. Регистрация | Локальная на контроллере домена |
| 4. Иерархия домена в дереве | Дочерний первого уровня |
| 5. Диагностические утилиты | Windows 2000 Resource Kit Tools Windows 2000 Support Tools |
Внимание!
Все описываемые действия по использованию основных оснасток, служб и диагностических утилит в дереве доменов Windows 2003 доступны только членам локальной группы Администраторы домена. Поэтому регистрацию на контроллере домена для выполнения работы следует выполнять с именем и паролем по указанию преподавателя.
В случае появления сообщений об ошибке при использовании оснасток, диагностических и тестовых утилит сообщите об этом преподавателю и действуйте согласно его указаниям.
Введение. Работа в среде виртуальной машины
1. Стартуйте Пуск\Программы\Microsoft Virtual PC. При этом стартует консоль виртуальной машины.
2. Нажмите Settings на консоли виртуальной машины. В списке установок проверьте наличие установки Undo disks – Enabled, в противном случае установите флажок Enable Undo disks и нажмите OK.
3. Выберите ОС Windows Server 2003 и нажмите Start.
4. После загрузки гостевой ОС Windows Server 2003 пользуйтесь следующими клавишами для работы в Virtual PC, где Host key – это правая Alt:
| Комбинация клавиш | Описание |
| Host key+L | Восстановление Virtual PC Console из значка на панели задач. |
| Host key+ENTER | Переключение из полноэкранного режима в режим окна и обратно. |
| Host key+DELETE | Посылка CTRL+ALT+DELETE виртуальной ОС. |
| Host key+P | Пауза или восстановление виртуальной машины. |
| Host key+R | Перезапуск виртуальной машины. |
| Host key+C | Копирование выделенного объекта. |
| Host key+V | Вставка скопированного объекта. |
| Host key+A | Выделить все. |
| Host key+E | Открыть установки виртуальной машины. |
| Host key+DOWN ARROW | Свернуть окно виртуальной машины. |
| Host key | Освободить курсор виртуальной машины. |
Задание 1. Подготовка контроллера домена к выполнению работы и его идентификация
Определите имя компьютера и принадлежность к домену в дереве доменов. Для этого
На рабочем столе щелкните правой кнопкой на значке Сетевое окружение и выберите пункт Свойства.
В окне Сеть и удаленный доступ к сетивыберите вкладкуСетевая идентификация(иначе: щелкните правой кнопкой по значку Мой компьютер, в контекстном меню выберите Свойства).
В окне Свойства системы на вкладке Сетевая идентификация выпишите полное имя компьютера и его принадлежность к домену.
– Какой домен является родительским (корневым) по отношению к данному домену?
– Можно ли воспользоваться кнопкой Свойства для изменения идентификации компьютера?
– Какую роль играет данный компьютер в доменной структуре?
– Закройте окно свойств.
Проверьте режим работы домена: Стартуйте команду Пуск|Программы|Администрирование| Active Directory - пользователи и компьютеры, в открывшемся окне щелкните правой клавишей по значку корневого домена и в контекстном меню выберите Свойства.В нижнем поле окна должна быть надпись: Основной режим (без пред-Windows 2000 контроллеров домена). Если домен в другом режиме, обратитесь к преподавателю.
Задание 2. Создание учетных записей пользователей домена.
1. Стартуйте команду Пуск|Программы|Администрирование| Active Directory- пользователи и компьютеры.
2. В левой части окна в структуре подразделений домена создайте подразделение ФИЛИАЛ. Для этого выделите узел своего домена и выполните Действие|Создать|Подразделение.
3. Создайте 6 учетных записей пользователей домена и разместите их в подразделении ФИЛИАЛ. Чтобы видеть их имена подряд в списке, имя каждого рекомендуется начинать с одной и той же буквы, например, mick, masha, misha, marina, molly, и т. д. Для этого:
3.1 Выделите подразделение ФИЛИАЛ и выполните Действие|Создать|Пользователь.
3.2 В окне Новый объект-Пользователь введите одно и то же имя в полях Имя и Имя входа пользователя. Нажмите Далее.
3.3 В следующем окне введите пароль P@ssw0rd для нового пользователя и подтвердите его.
3.4 Снимите флажок Потребовать смену пароля при следующем входе в систему.
3.5 В следующем окне нажмите Готово.
Повторите те же действия для создания остальных 6 пользователей с тем же паролем P@ssw0rd.
Задание 3. Создание глобальных групп безопасности
1. Создайте 7 учетных записей глобальных групп домена и разместите их в подразделении ФИЛИАЛ. Имена групп:
– МЕНЕДЖЕРЫ(постоянные сотрудники);
СБЫТ (постоянные сотрудники);
ИТ (постоянные сотрудники);
БУХГАЛТЕРИЯ (постоянные сотрудники);
ПРОЕКТЫ (совместители и временные сотрудники);
ПАРТНЕРЫ;
ОФИС(будет использована для объединения групп с постоянными сотрудниками).
Для этого выполните следующие действия:
1.1 Выделите подразделение ФИЛИАЛ и выполните Действие|Создать|Группа.
1.2 В окне Новый объект-Группа введите имя группы, укажите область действия группы – Глобальная и тип группы – Группа безопасности. Нажмите ОК.
Повторите те же действия для создания остальных групп.
2. Включите по одной учетной записи пользователя в каждую из 7 глобальных групп (группу ОФИС оставьте свободной). Для этого:
2.1 Выделите учетную запись первого пользователя и выполните команду Действие|Добавить участников в группу.
2.2 В окне Выбор:Группа установите в списке Искать в свой домен и выберите имя первой глобальной группы (например, МЕНЕДЖЕРЫ) или введите его в поле Имя.
2.3 Повторите те же действия для включения остальных пользователей по одному в каждую из групп.
3. В сеансе командной строки выполните для контроля членства пользователей в «первичной» глобальной группе следующую команду
Net group Имя_группы
где Имя_группы - имя глобальной группы. Если имя группы составлено из нескольких слов, его следует заключить в кавычки.
Выполните команду для всех созданных вами групп с переадресацией листинга в файл протокола
net group Имя_группы >>a:\gmemb.txt
4. Включите в глобальную группу ОФИС следующие глобальные группы подразделения ФИЛИАЛ: МЕНЕДЖЕРЫ, СБЫТ, ИТ, БУХГАЛТЕРИЯ. Для этого:
3.1 Выделите учетную запись глобальной группы ОФИС и выполните команду Действие|Свойства.
3.2 Откройте вкладку Члены группы и выполните Добавить.
3.3 В окне Выбор откройте список учетных записей своего домена и выберите имя первой глобальной группы (например, МЕНЕДЖЕРЫ) и выполните Добавить. Затем выберите имя следующей глобальной группы (например, СБЫТ) и выполните Добавитьи т. д.
3.4 После добавления всех четырех глобальных групп они будут отображаться в нижней части окна. Нажмите два раза ОК.
Задание 4. Создание универсальных групп. Включение глобальных групп в универсальные группы. Объединение универсальных групп
1. Область действия универсальных групп простирается на весь лес доменов, а формально они привязаны к корневому домену леса. Для подключения к корневому домену выполните следующие действия:
1.1 Запустите утилиту Active Directory Users and Computers (Пуск|Программы|Администрирование| Active Directory - пользователи и компьютеры).
1.2 Выделите имя своего домена и выполните команду Действие|Подключение к домену. Откроется одноименное окно.
1.3 В поле Домен выберите корневой домен.
2. В структуре Active Directory корневого домена выделите подразделение Enterprise (контейнер должен быть пустым). Выполните Действие|Создать|Группа и создайте следующие универсальные группы:
– ПЕРСОНАЛ– постоянные сотрудники предприятия;
ИТЦЕНТР– постоянные сотрудники служб информационных технологий предприятия;
СОВМЕСТИТЕЛИ– совместители и временные сотрудники предприятия;
ДОГОВОРЫ– партнеры предприятия.
КАДРЫ- будет использована для объединения некоторых универсальных групп
3. Для включения глобальной группы ОФИС вашего домена в универсальную группу ПЕРСОНАЛ выполните следующие действия:
3.1 Выделите учетную запись универсальной группы ПЕРСОНАЛ и выполните команду Действие|Свойства.
3.2 Откройте вкладку Члены группы и выполните Добавить.
3.3 В окне Выбор откройте список учетных записей своего (дочернего) домена, выделите имя глобальной группы ОФИСи выполните Добавить. После добавления глобальной группы ОФИС она будут отображаться в нижней части окна. Нажмите два раза ОК.
4. Повторите те же действия п.3 для включения следующих глобальных групп вашего домена в универсальные группы:
– глобальная группаИТ– в универсальную группуИТЦЕНТР;
глобальная группа ПРОЕКТЫ– в универсальную группу СОВМЕСТИТЕЛИ;
глобальная группаПАРТНЕРЫ– в универсальную группу ДОГОВОРЫ.
5. Для включения универсальных групп ПЕРСОНАЛ, СОВМЕСТИТЕЛИ, ДОГОВОРЫв универсальную группу КАДРЫ выполните следующие действия:
5.1 Выделите учетную запись универсальной группы КАДРЫ и выполните команду Действие|Свойства.
5.2 Откройте вкладку Члены группы и выполните Добавить.
5.3 В окне Выбор откройте список учетных записей корневого домена, выделите имя универсальной группы ПЕРСОНАЛи выполните Добавить.
5.4 После добавления универсальной группы ПЕРСОНАЛона будут отображаться в нижней части окна. Добавьте универсальные группыСОВМЕСТИТЕЛИ, ДОГОВОРЫв универсальную группу КАДРЫ. Нажмите два раза ОК.
Задание 5. Создание доменных локальных групп. Назначение доступа к сетевым ресурсам
Доменные локальные группы служат для назначения прав доступа к сетевым ресурсам домена. При включении глобальных учетных записей (пользователей и/или групп), а также универсальных групп в доменную локальную группу им даются права доступа к ресурсу, назначенные данной доменной локальной группе.
1. В оснастке Active Directory - пользователи и компьютеры выделите имя корневого домена и выполните команду Действие|Подключение к домену. Откроется одноименное окно. В поле Домен выберите свой домен.
2. Создайте 9 учетных записей локальных групп домена и разместите их в подразделении ФИЛИАЛ. Назовите их так:
– Имена групп, которым будет назначен доступ к папке PUBLIC: RPUB, CPUB, FPUB;
Имена групп, которым будет назначен доступ к папке PROJECT: CPROJ, FPROJ;
Имена групп, которым будет назначен доступ к папке PART: CPART, FPART;
Имена групп, которым будет назначен доступ к папке FOREST: RFOREST, FFOREST;
Для этого выполните следующие действия:
1.1 Выделите подразделение Филиал и выполните Действие|Создать|Группа.
1.2 В окне Новый объект-Группа введите имя группы, укажите область действия группы – Локальная в домене и тип группы – Группа безопасности. Нажмите ОК.
Повторите те же действия для создания остальных групп.
3. В окне Проводника создайте папку \LABOS, а в ней создайте папки с именами PUBLIC, PROJECT, PART, FOREST для предоставления им различного сетевого доступа.
4. Щелкните по папке PUBLIC правой кнопкой и в контекстном меню выберите команду Доступ. Установите переключатель Открыть общий доступ к этой папке. Нажмите кнопку Разрешения. В окне Разрешения дляPUBLIC удалите группу Всеи добавьте группуRPUB.Установите для нее в столбце Разрешить только флажок Чтение. Добавьте разрешения для PUBLIC остальным группам:
– CPUB - право доступа Изменение;
FPUB - право Полный доступ.
Нажмите ОК. Обратите внимание, что при объявлении ресурса разделяемым его значок будет представлен иначе - с рукой, удерживающей папку снизу.
5. Повторите те же действия для назначения общими папок:
– PROJECT – с разрешениями для групп
CPROJ – Изменение;
FPROJ – Полный доступ.
– PART – с разрешениями для групп
– CPART – Изменение;
FPART – Полный доступ.
– FOREST – с разрешениями для групп
– RFOREST – Чтение;
FFOREST – Полный доступ.
6. Для записи сведений о созданных на сервере общесетевых папках выполните
net view \\servername >>a:\shares.txt
где servername - имя сервера вашего домена.
Задание 6. Включение глобальных и универсальных групп в доменные локальные группы
В задании необходимо определить, в какую доменную локальную группу следует включить глобальную или универсальную группу, чтобы назначить им разрешение на доступ к общей папке. Требования для назначения доступа к общим папкам:
Доступ к PUBLIC:
– Чтение – для глобальной группы ОФИС ;
Изменение – для глобальной группы СБЫТ;
Полный доступ - для универсальной группы ИТЦЕНТР;
Доступ к PROJECT:
– Изменение – для глобальной группы МЕНЕДЖЕРЫ и универсальной группы СОВМЕСТИТЕЛИ;
Полный доступ – для универсальной группы ИТЦЕНТР;
Доступ к PART:
– Изменение – для глобальной группы МЕНЕДЖЕРЫ и универсальной группы ДОГОВОРЫ;
Полный доступ – для универсальной группы ИТЦЕНТР;
Доступ к FOREST:
– Чтение – для универсальной группы КАДРЫ;
Полный доступ – для универсальной группы ИТЦЕНТР.
План включения глобальных и универсальных групп в доменные локальные группы оформите в таблице 7.2.
Таблица 7.2
| Глобальная/ Универсальная группа | Доменная локальная группа | Имя общей папки | Разрешения доступа |
| МЕНЕДЖЕРЫ | |||
| СБЫТ | |||
| ОФИС | |||
| ИТЦЕНТР | |||
| СОВМЕСТИТЕЛИ | |||
| ДОГОВОРЫ | |||
| КАДРЫ |
Выполните включения глобальных и универсальных групп в одну из доменных локальных групп, для которой будет обеспечен требуемый доступ к сетевому ресурсу.
В сеансе командной строки выполните для контроля членства в локальных группах следующую команду:
net localgroup groupname
где groupname – имя локальной группы. Если имя группы составлено из нескольких слов, его следует заключить в кавычки.
Выполните команду для каждой созданной вами локальной группы с переадресацией листинга в файл протокола
net localgroup groupname >>a:\lg.txt
В сеансе командной строки выполните для контроля членства пользователя в «первичной» глобальной и в локальных группах следующую команду
net user username
где username - имя пользователя.
Выполните команду для всех созданных вами пользователей с переадресацией листинга в файл протокола
net user username >>a:\users.txt
Попытайтесь добавить локальную доменную группу, например, СОВМЕСТИТЕЛИ в глобальную, например, МЕНЕДЖЕРЫ. Получилось? – Нет, т.к. добавление локальной группы в глобальную невозможно.
Завершите сетевой сеанс.
Задание 7. Выполнение доступа к сетевому ресурсу
1. Зарегистрируйтесь в своем домене с учетной записью пользователя глобальной группы МЕНЕДЖЕРЫ. Выполните сетевой доступ к общим папкам PUBLIC, PROJECT, PART, FOREST и определите права доступа к ним.
2. Смените сетевой сеанс и повторите действия п.1 для учетной записи пользователя другой глобальной группы, например, СБЫТ и т. д.
3. Результаты проверки доступа для разных пользователей (групп) сведите в таблицу 7.3, где в каждой ячейке укажите разрешение доступа: N (запрет доступа), R (чтение), C (Изменение) или F (Полный доступ).
Разрешения доступа к общим папкам
Таблица 7.3
| Группа\Сетевой ресурс | PUBLIC | PROJECT | PART | FOREST |
| МЕНЕДЖЕРЫ | ||||
| СБЫТ | ||||
| ИТ | ||||
| БУХГАЛТЕРИЯ | ||||
| ПРОЕКТЫ | ||||
| ПАРТНЕРЫ |
Содержание отчета
1. Таблицы 7.2 и 7.3.
2. Распечатку файла gmemb.txt со сведениями о созданных в домене глобальных группах и их членах.
3. Распечатку файла users.txt со сведениями о членстве пользователей в глобальных и локальных группах.
4. Распечатку файла lg.txt со сведениями о созданных в домене локальных группах и их членах.
5. Распечатку файла shares.txt со сведениями о созданных на сервере общесетевых папках PUBLIC, PROJECT, PART, FOREST.
6. Схему включения глобальных групп в глобальные, универсальные и локальные, универсальных групп в локальные, локальные группы – в разрешения для общих папок.
Список литературы
1. Бормотов С. В., Бондаренко С. В. Системное администрирование на 100 %. - СПб: Питер, 2006. - 256 с.
2. Компьютерные сети: Учебное пособие по администрированию локальных и объединенных сетей/А.В.Велихов, К.С.Строчников, Б.К.Леонтьев. – 4-е изд. – М.: ЗАО «Новый издательский дом», 2008. – 304 с.
3.Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. 4-е издание. - СПб: Питер, 2010. - 918 с.
4. Столингс В. Компьютерные сети, протоколы и технологии Интернета. – СПб.: БХВ-Петербург, 2007. – 832с.: ил.
5.Танненбаум Э. Компьютерные сети. 4-е издание. - СПб: Питер, 2010. - 992 с.
6. Хассел Дж. Администрирование MS Windows Server 2003. Мастер-класс. - СПб: Питер, 2006. - 576 с.
7. Шиндер Д.Л. Основы компьютерных сетей. – М.: Издательский дом «Вильямс», 2002. – 656 с.: ил.