Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows 2000, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Обычно право доступа ассоциируется с объектом —_ файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.

Оснастка Локальные пользователи и группы (Local Users and Groups)

Оснастка Локальные пользователи и группы — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютерах. С ним можно работать на рабочих станциях и автономных серверах Windows 2000, как на изолированных, так и рядовых членах домена (member server). На контроллерах домена Windows 2000 инструмент Локальные пользователи и группы недоступен, поскольку все управление учетными записями и группами в домене выполняется с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Запускать оснастку Локальные пользователи и группы может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Опытные пользователи (Power Users).

Окно изолированной оснастки Локальные пользователи и группы выглядит аналогично показанному на рис. 11.1.

Рис. 11.1. Окно оснастки Локальные пользователи и группы (Local Users and Groups)

Папка Пользователи (Users)

Сразу после установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows 2000. Ниже даны описания свойств обеих встроенных учетных записей:

Папка Группы (Groups)

После установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит шесть встроенных групп. Они создаются автоматически при установке Windows 2000. Ниже описаны свойства всех встроенных групп:

Управление учетными записями

В качестве примера использования оснастки Локальные пользователи и группы для работы с учетными записями рассмотрим процедуру создания пользовательской учетной записи.

Создание учетной записи

Для создания учетной записи:

Имя пользователя должно быть уникальным для компьютера. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо:

" / \ I ]:; I =, + *?<>

Имя пользователя не может состоять целиком из точек и пробелов.

Изменение и удаление учетных записей

Изменять, переименовывать и удалять учетные записи можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо — меню Действие (Action) на панели меню оснастки Локальные пользователи и группы (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).

Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например, описание, полное имя пароля, членство в группах и т. д.

Управление локальными группами Создание локальной группы

Для создания локальной группы:

Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратного слэша (\).

Изменение членства в локальной группе

Чтобы добавить или удалить учетную запись пользователя из группы:

В локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер; или в доверяемых доменах.

Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений. Для управления средой пользователя предназначены следующие средства Windows 2000:

Профили пользователей

На изолированном компьютере с Windows 2000 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.

Профиль пользователя обладает следующими преимуществами:

Пользовательские профили можно применять следующим образом:

Настройки, хранящиеся в профиле пользователя

Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 11.1).

Таблица 11.1. Настройки профиля пользователя

Структура профиля пользователя

Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows 2000. Файл NTuser.dat, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows 2000. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

Папки профиля пользователя

Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папка All Users, находятся в папке Documents and Settings корневого каталога. В папке Default User находятся файл NTuser.dat и список ссылок на объекты рабочего стола. На рис. 11.2 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола.

В табл. 11.2 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое.

Таблица 11.2. Содержимое папки локального профиля пользователя

Рис. 11.2. Структура подпапок профиля пользователя

Папка All Users

Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп:

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Пуск. Группы этого типа на компьютерах, где работает Windows 2000, могут создавать только члены группы Администраторы.

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.

Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Папка профиля пользователя на локальном компьютере содержит файл NTuser.dat и файл журнала транзакций с именем NTuser.dat.LOG (рис. 11.2). Он нужен для обеспечения отказоустойчивости, позволяя Windows 2000 восстанавливать профиль пользователя в случае сбоя при модификации содержимого файла NTuser.dat.

Перемещаемые профили пользователя

Перемещаемые профили пользователя могут быть созданы тремя способами:

Имя сервера (это может быть любой сервер в сети), на котором будут находиться перемещаемые профили пользователей, указывается с помощью оснастки Локальные пользователи и группы и вкладки Профиль (Profile) окна свойств пользователя. В результате при завершении работы пользователя на компьютере его профиль сохраняется как на локальном компьютере, так и в папке на сервере, в соответствии с путем профиля. При следующей регистрации пользователя в сети дата копии профиля, находящейся на сервере, сравнивается с копией, расположенной локально на компьютере. Если они отличаются, информация берется из более свежей копии. Перемещаемый профиль находится в централизованном хранилище профилей в масштабах домена. Он может быть доступен только при условии работоспособности хранящего его сервера. В обратном случае используется локальная кэширо-ванная копия профиля пользователя. Если пользователь первый раз зарегистрировался в компьютере, создается новый профиль. В любом случае, если хранящийся централизованно профиль пользователя недоступен, он не обновляется при завершении работы. При следующей регистрации в компьютере пользователю придется напрямую указать копию профиля — более новую локальную или старую копию, находящуюся на сервере.

Обязательный профиль представляет собой сконфигурированный заранее перемещаемый профиль, который недоступен пользователю для модификации. Пользователь может изменять настройки рабочего стола, но при завершении работы на компьютере изменения не заносятся в профиль. При следующей регистрации на компьютере загружается обязательный профиль пользователя, в котором не произошло никаких изменений. Профиль пользователя становится обязательным, когда вы переименовываете файл NTuser.dat в NTuser.man. В этом случае файл становится доступен только для чтения. Один обязательный профиль может быть использован большим количеством пользователей.

Указание пути к профилю пользователя в учетной записи

Добавить путь расположения профиля пользователя к учетной записи можно с помощью вкладки Профиль окна свойств пользователя, открытого для определенной учетной записи в. окне оснастки Локальные пользователи и группы (или Active Directory — пользователи и компьютеры). Перейдите на вкладку Профиль и добавьте путь к профилю пользователя (рис. 11.3).

В учетной записи следует указать полный путь к профилю пользователя:

\\серъер\имя_общего_ресурса\имя_профиля

В качестве общего ресурса может выступать любая папка, к которой следует организовать общий доступ для группы Все (Everyone). В качестве имени профиля следует указать имя папки профиля данного пользователя (это может быть любая папка на общем ресурсе, в которой будет храниться про-

филь). Путь профиля пользователя может указывать на любой сервер. Это не обязательно должен быть контроллер домена. Когда пользователь регистрируется в сети, Windows 2000 Server проверяет, указан ли в его учетной записи путь профиля. Если путь указан, система находит соответствующий профиль.

Рис. 11.3. Вкладка Профиль (Profile) окна свойств учетной записи

Копирование профиля пользователя на сервер

Для того чтобы сделать определенный профиль доступным для нескольких пользователей, скопируйте его, на сервер с помощью вкладки Профили пользователей окна Система, вызываемого из панели управления. Место, куда скопирован профиль, должно совпадать с путем профиля, указанным в учетных записях пользователей.

В окне диалога Свойства системы (System Properties) перейдите на вкладку Профили пользователей. Все профили пользователей, созданные на компьютере, появятся в списке Профили, хранящиеся на этом компьютере (Profiles stored on this computer).

Для копирования определенного профиля пользователя перейдите на вкладку Копировать и введите имя целевой папки. В качестве альтернативы можно выбрать целевую папку с помощью службы просмотра. На рис. 11.4 показан пример окна Свойства системы со списком созданных на компьютере профилей пользователя.

Рис. 11.4. Окно Свойства системы (System Properties) со списком созданных на компьютере профилей пользователя

Добавление пользователей и групп к списку разрешений перемещаемого профиля пользователя

С помощью окна Система вместе с профилем пользователя копируются и соответствующие разрешения. Поэтому пользователь автоматически получает доступ к своему профилю. Однако если вы хотите, чтобы к профилю получили доступ другие пользователи и группы, необходимо добавить их в список объектов, которым разрешено использовать данный профиль. Для этого в списке Профили, хранящиеся на этом компьютере выберите интересующий вас профиль и нажмите кнопку Копировать. Появится окно диалога Копирование профиля (Сору То) (рис. 11.5). В группе Разрешить использование (Permitted to use) показано, кто имеет разрешение на использование данного профиля. Для того чтобы добавить нового пользователя или группу к списку разрешений профиля пользователя, нажмите кнопку Изменить (Change).

Рис. 11.5. Окно диалога Копирование профиля (Сору То)

Изменение типа профиля пользователя для подключения по медленной линии

Пользователи, присоединяющиеся к сети по медленной линии, например, при использовании службы удаленного доступа, могут работать со своим локальным профилем, а не загружать его с сервера по сети, что значительно ускоряет процесс регистрации. В таком случае при регистрации появляется окно, в котором пользователь может указать, какой профиль должен быть загружен.

Если вы уже зарегистрировались в сети, с помощью кнопки Сменить тип (Change Type) на вкладке Профиль окна свойств системы можно изменить тип профиля пользователя с перемещаемого на локальный и наоборот. Новые настройки останутся неизменными до их следующей модификации. При изменении профиля пользователя с перемещаемого на локальный кэшированная локально копия вашего профиля будет загружаться при каждой регистрации в компьютере. При каждом завершении работы все изменения также будут записываться в локальную копию профиля.

Если клиент работает по медленной линии, то для ускорения входа в систему можно установить на компьютере групповую политику, при которой будет использоваться кэшированный профиль, а не загружаемый с сервера. Имеется также групповая политика, с помощью которой можно определить, какая линия будет считаться "медленной".

Подготовка заранее настроенных перемещаемых и обязательных профилей пользователя

Хотя для создания заранее сконфигурированного перемещаемого или обязательного профиля можно использовать любую учетную запись, часто удобнее иной подход. Например, если вы хотите создать три различных заранее настроенных перемещаемых или обязательных профиля для трех отделов предприятия, сначала следует создать и настроить три различные базовые учетные записи. Затем необходимо зарегистрироваться с помощью каждой

из созданных учетных записей и тем самым создать три профиля пользователя для трех отделов. После этого опять зарегистрироваться с помощью учетной записи администратора и, используя оснастку Локальные пользователи и группы, назначить созданные профили индивидуальным пользователям или группам. Затем с помощью вкладки Профили пользователей окна Система панели управления скопируйте созданные профили на соответствующий сервер.

Работа пользователей с различными конфигурациями оборудования

Следует помнить, что профили могут применяться на компьютерах, отличающихся по конфигурации оборудования, особенно типами мониторов и видеоадаптеров.

Профиль пользователя может определять положение и размер окон, поэтому тип оборудования экрана в значительной степени влияет на качество работы профиля. Например, параметры окна, выводимого на экране типа Super VGA, могут быть неверны при выводе того же изображения на экране с типом VGA. Для предотвращения подобных проблем:

Удаление профиля пользователя

Если вы больше не хотите использовать перемещаемый или обязательный профиль, назначенный пользователям, с помощью оснастки Локальные пользователи и группы удалите путь к нему в учетных записях соответствующих пользователей. Сам профиль пользователя, находящийся на сервере, можно удалить с помощью кнопки Удалить на вкладке Профили пользователей окна Система.

Настройка рабочей среды пользователя при помощи сценариев входа

Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем с программным обеспечением Windows 2000. Хотя чаще всего сценарий входа представляет собой командный файл с расширением bat или cmd, в качестве сценария может быть использован и исполняемый файл (*.ехе).

Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Локальные пользователи и группы (Local Users and Groups) сценарии входа назначаются соответствующим пользователям. Кроме того, один сценарий может быть назначен нескольким пользователям. В табл. 11.3 приведены параметры, значения которых можно устанавливать с помощью сценария входа и их описания.

Таблица 11.3. Параметры, устанавливаемые с помощью сценария входа

Назначение сценариев входа учетным записям пользователей и групп

Для того чтобы назначить сценарий входа учетным записям пользователей и групп, с помощью оснастки Локальные пользователи и группы (или Active

Directory - пользователи и компьютеры — если компьютер входит в домен) указывается путь к сценарию. Если при регистрации пользователя с помощью определенной учетной записи среди ее параметров указан путь к сценарию входа, соответствующий файл сценария открывается и выполняется.

На вкладке Профиль окна свойств учетной записи вы можете назначить сценарий входа, введя в поле Сценарий входа (Logon Script) имя файла (и, возможно, относительный путь к нему). При регистрации сервер, аутентифицирующий пользователя, находит файл сценария (если таковой существует) с помощью указанного в учетной записи имени и пути (на контроллерах домена, как правило, сценарии хранятся в общей папке NETLOGON — %SystemRoot%\SYSVOL\sysvol\DNS-имя-домена\scripts). Если перед именем файла указан относительный путь, сервер ищет сценарий входа в подкаталоге основного локального пути сценариев.

Данные поля Сценарий входа определяют только имя файла и относительный путь, но не содержат сам сценарий входа. После создания файл сценария с определенным именем помещается в соответствующий реплицируемый (если компьютеры объединены в домен) каталог.

Сценарий входа можно поместить в локальный каталог компьютера пользователя. Но подобный подход, как правило, применяется только при администрировании учетных записей, существующих на одиночном компьютере, а не в домене. В этом случае вы должны поместить файл сценария в соответствии с локальным путем к сценариям входа в компьютер.

Помимо оснастки Локальные пользователи и группы, сценарии входа могут быть назначены пользователям или компьютерам и с помощью оснастки Групповая политика (Group Policy).

Переменные среды

Изменение системных и пользовательских переменных среды

Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows 2000 и прикладные программы требуют определенной информации, называемой переменными среды системы и пользователя. Их можно просмотреть на вкладке Дополнительно (Advanced) окна Система, нажав кнопку Переменные среды (Environment Variables). Эти переменные похожи на переменные, которые устанавливались в операционной системе MS-DOS, например path

И TEMP.

Системные переменные среды определяются в Windows 2000 независимо от того, кто зарегистрировался на компьютере. Если вы зарегистрировались как член группы Администраторы, то можете добавить новые переменные или изменить их значения.

Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. Сюда включаются любые переменные среды, которые вы хотите определить, или переменные, определенные вашим приложением, например путь к файлам приложения.

После изменения переменных среды их новые величины сохранятся в реестре, после чего они становятся доступны ("видны") при закрытии окна Переменные среды.

Если между переменными среды возникает конфликт, он разрешается следующим способом:

Использование переменных среды в профилях пользователей, именах домашних каталогах и сценариев входа

При управлении множеством учетных записей пользователей и групп часто возникает необходимость одновременно выполнить одинаковые изменения в нескольких учетных записях. Вместо конкретных имен или меток в сценарий входа вводится одна общая переменная среды, замещаемая реальными данными в процессе выполнения сценария.

Значение любой переменной среды компьютера клиента, где работает программное обеспечение Windows 2000, может быть подставлено в путь профиля, задаваемого в учетной записи пользователя, путь сценария входа, путь домашнего каталога и в сам сценарий входа. Для этого системную переменную среды следует заключить в знаки процента (%). Например, для того чтобы использовать в пути профиля пользователя переменную среды servername, в поле Путь к профилю (Profile Path) окна учетной записи следует ввести \\%servername%\scripts.

Подобный подход очень удобен при работе с профилями пользователя в сетях, включающих каналы WAN. Особенно, если ваши пользователи работают с обеих сторон этого канала. Предположим, что сеть состоит из двух площадок, разделенных глобальным каналом. На каждом из компьютеров, работающих на одной стороне канала, переменная servemame устанавливается в соответствии с именем контроллера домена данной площадки. На другой стороне канала переменная servemame устанавливается аналогичным образом, но ее значение соответствует имени контроллера домена этой площадки. Теперь в пути сценария вх"ода каждой учетной записи пользователя домена используется %servername%. Когда пользователь регистрируется в сети, его сценарий входа загружается с сервера, определяемого переменной среды и расположенного локально относительно глобального канала.

Сервер сценариев Windows (WSH)

Сервер сценариев Microsoft Windows (Windows Scripting Host, WSH) не зависит от языка сценария и устанавливается во всех системах Windows 2000 как стандартное средство. Он предназначен для 32-разрядных операционных систем Windows. Компания Microsoft разработала ядро сценариев как для Visual Basic, так и для JavaScript. Предполагается, что будет также создано ядро сценариев ActiveX для таких языков, как Perl, TCL, REXX и Python. Сервер сценариев может быть запущен с помощью исполняемого файла для Windows (WSCRIPT.EXE) и с помощью директивы командной строки оболочки (CSCRIPT.EXE).

Назначение сервера сценариев

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и Jscript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.

Компания Microsoft поставляет три сервера, предназначенных для выполнения языков сценариев на платформах Windows:

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.

Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.

Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или на командной консоли, для этого не нужно встраивать их в документ HTML. Выполнение сценария на рабочем столе инициируется щелчком мыши на файле сценария. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения не интерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

Запуск сервера сценариев из командной строки

Для запуска сервера сценариев из командной строки используйте утилиту CSCRIPT.EXE в соответствии со следующим синтаксисом:

cscript [параметры сервера сценариев] имя сценария [параметры сценария]

Ни один из параметров не является обязательным. Однако нельзя указать параметры сценария без указания самого сценария. Если вы не указываете ни одного параметра, CSCRIPT.EXE выдает на экран синтаксис своего запуска и допустимые параметры сервера сценариев (табл. 11.4).

Таблица 11.4. Параметры сервера сценариев, поддерживаемые CSCRIPT.EXE

Дистрибутив сервера сценариев содержит несколько простых примеров сценариев. Их также можно скачать в пакете Sample Scripts по адресу http://msdn.microsoft.com/scripting/default.htm7/scripting/windowshost.

Например, для того чтобы запустить CHART.VBS:

В операционной системе Windows 2000 не обязательно указывать расширение сценариев: можно просто набрать с клавиатуры имя сценария или щелкнуть на нем мышью в окне Проводника.

Запуск сценариев в среде Windows

Сценарий в среде Windows можно запустить тремя способами:

При запуске сценария с помощью WSH можно указать, какое приложение следует использовать — CSCRIPT.EXE или WSCRIPT.EXE. Приложение сервера, выбираемое по умолчанию, может быть установлено с помощью

Команды cscript //Н: Имя_сервера_сценариев.

Например, если вы устанавливаете в качестве приложения, выбираемого по умолчанию, WSCRIPT.EXE и выполняете сценарий с именем CHART.VBS, то WSCRIPT.EXE будет выбираться по умолчанию для всех файлов сценариев, имеющих расширение vbs.

Страница свойств сервера сценариев Windows позволяет устанавливать параметры, приведенные в табл. 11.5.

Таблица 11.5. Свойства сервера сценариев

Настройка индивидуальных свойств сценария.

С помощью страницы свойств модуля WSCRIPT.EXE можно установить глобальные параметры, касающиеся сразу всех сценариев, выполняемых на локальной машине. Однако также можно настроить индивидуальные пара-

метры отдельно взятого сценария, позволяющие осуществлять жесткий контроль его выполнения. Свойства конкретного сценария сохраняются в файле с расширением wsh. Для его создания просто установите указатель мыши на файле сценария в окне Проводника и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. Настройте индивидуальные свойства сценария, например максимальное время исполнения, и нажмите кнопку ОК. В результате в каталоге, где находится сценарий, будет создан файл с расширением wsh, имя которого совпадает с именем сценария. Он содержит индивидуальные настройки сценариев для WSH. Функции этого файла сходны с функциями файла PIF 16-разрядных приложений. Чтобы запустить сценарий, для которого создан файл с расширением wsh, следует дважды щелкнуть мышью на файле *.wsh в окне Проводника или использовать этот файл в качестве параметра для программы WSCRIPT.EXE или CSCRIPT.EXE в командной строке. Например:

C:\>cscript Myscript.wsh

Поскольку в файле с расширением wsh хранятся значения параметров, используемых сценарием при выполнении, системный администратор может создать несколько версий файла с параметрами, ориентированных на различные группы пользователей внутри организации. Набор файлов с расширением wsh, относящийся к одному сценарию, может быть использован следующим образом:

Файл с расширением wsh представляет собой простой текстовый файл, формат которого сходен с форматом файла с расширением inf. Ниже приведен пример содержимого файла *.wsh:

[ScriptFile]

Path=C:\WINNT\Saraples\WSH\showprop.vbs

[Options]

Timeout=0

DisplayLogo=l BatchMode=0

Параметр Path в разделе [ScriptFile] определяет местоположение файла сценария, с которым связан данный файл *.wsh. Параметры, значения которых устанавливаются в разделе [Options], соответствуют настройкам вкладки Сценарий (Script) окна Свойства.

После двойного щелчка мышью на файле с расширением wsh или выполнения его в командной строке программа CSCRIPT.EXE или WSCRIPT.EXE считывает его и определяет специфические параметры, которые следует использовать при выполнении соответствующего сценария. В результате сценарий будет выполняться с необходимыми параметрами, заданными в файле *.wsh. Обратите внимание, что при запуске файла с расширением wsh необходимо присутствие соответствующего ему сценария. Если выполнение сценария посредством файла *.wsh закончилось неудачно, проверьте запись Path=. Она должна указывать на тот сценарий, который вы хотите выполнить.

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система Windows 2000 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить; кто предпринял попытку выполнения неразрешенного ему действия.

Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он снижает производительность системы.) После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.

Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Auditing) снять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

Активизация аудита с помощью оснастки Групповая политика (Group Policy)

Для активизации аудита на изолированном компьютере:

Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.

Настройка и просмотр аудита папок и файлов

Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок:

Область действия настроек аудита

Настройка аудита выполняется с помощью окна диалога Элемент аудита для, где с помощью поля Применять можно определить область распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят. В табл. 11.6 и 11.7 показано, как настройки аудита действуют в случае, когда этот флажок соответственно снят и установлен.

Таблица 11.6. Действие настроек аудита при снятом флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Таблица 11.7. Действие настроек аудита при установленном флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Отключение аудита файлов и папок

Для отключения аудита файла или папки:

Выполнение заданий по расписанию

В дополнение к команде at система Windows 2000 располагает новым средством — планировщиком заданий (Task Scheduler). С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором задаются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.

Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.

Служба планировщика заданий (Task Scheduler Service, MSTask.exe) инсталлируется вместе с системой и автоматически запускается при ее загрузке. При помощи меню Дополнительно (Advanced) планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий.

Среди особенностей планировщика можно отметить:

Графический интерфейс планировщика заданий (рис. 11.6) не требует знания ключей и параметров программы (как это нужно для использования команды at), интегрирован в операционную систему и доступен из панели управления (папка Назначенные задания (Scheduled Tasks)). Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Выполнить (Run) в контекстном меню). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.

Рис. 11.6. Главное окно программы Планировщик заданий (Task Scheduler) со списком запланированных заданий

Мастер планирования заданий (запускаемый при выборе команды Добавить задание (Add Scheduled Task)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. На рис. 11.7 приведен пример расписания для запуска программы NetMeeting, запускающейся по рабочим дням, 3 раза в день; Установив флажок Показывать несколько расписаний (Show multiple schedules), можно задавать несколько расписаний для запуска этой программы.

Благодаря наличию полного набора интерфейсов API (планировщик задач' позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь об поддержке и надежности этих служб. Возможность доступа к страницам свойств (рис. 11.7) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.

В среде Windows 2000 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания (обратите внимание на вкладку Безопасность (Security), рис. 11.7),

При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

Рис. 11.7. Вкладка Расписание (Schedule) для запланированного запуска программы NetMeeting