9462
.pdf-Анализи создание настроек безопасности сети;
-Управление диспетчером авторизации и различных устройств;
-Отслеживание локальных пользователей и группы сети;
-Управление локальными службами, которые могут загружаться на сервере вместе с запуском системы или определенного приложения;
-Управление сервером на базе системы, построение шаблонов безопасности, создание общих папок в сети;
-Обеспечение централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением системы.
2.Администратор платформы. Предоставляется доступ для администрирования клиентов только в рамках платформы техникума. Его задачи:
- Использование служб SQLсервера для добавления и удаления пользователей платформы;
- Управление диспетчером авторизации для упрощения процедур регистрации и активации пользователей;
-Отслеживание локальных пользователей и группы сети; - Использование просмотра событий для получения информации о сбоях
программ и системных событиях; - Подключение оснастки «ссылка на веб ресурс» - веб-страницы, которые
могут быть полезны для приложений и систем с управлением на основе вебинтерфейса.
- Создание резервных копий платформы помощью оснастки «TM»;
3.Бухгалтер. Доступно ограниченное управление пользователями в рамках заданных групп – анализ финансов, изменение персональных настроек группы, управление печатью, т.е. все операции, доступные в мониторе работы:
- Использование служб SQLсервера для добавления данных в 1С;
- Управление локальными принтерами и удаленными серверами печати; - Отслеживание локальных пользователей и группы сети;
- Настройка системы цифровых сертификатов для подтверждения личности внутри группы пользователей;
- Управление устройствами компьютера, а также контрольсостояния.
4.Директор. Предоставляется доступ для контроля, отслеживания и добавления новых задач для определенной группы пользователей:
- Назначение различных заданий, которые будут производиться в определенное время или при возникновении определенных событий;
- Просмотр журналов системы, в котором производится регистрация всех основных событий, которые происходят в системе;
- Отслеживание локальных пользователей и группы сети Таблица 1 «Делегирование полномочий администратора»
Администратор |
Консоль |
3.4. Настройка дисковых квот
Дисковая квота - способ ограничения размера дискового пространства на томе для использования каждым пользователем. Дисковые квоты позволяют заранее отследить и ограничить использование дискового пространства. Возможно установить квоты на любом NTFS-отформатированном томе, включая локальные, сетевые тома и съемные носители.
Так же дисковые квоты позволяют администраторам сети контролировать использование дискового пространства и определение, кто потребляет свободное место; что не требует ограничения дискового потребления.
Можно выделить следующие сценарии использования дисковых квот:
-Мониторинг использования дисков – просмотр статистики использования пользователями места на диске сервера;
-Мониторинг и оповещение – в дополнении к первому сценарию, при превышении квоты в Event Viver записывается событие с информацией о пользователе и квоте.
-Контроль использования диска — при превышении квоты пользователь не может сохранять новые файлы.
Принято выделять два вида квот:
-Жесткие квоты. Пользователи не могут превышать допустимый объем пространства на диске.
-Свободные квоты. Пользователям разрешается превышать их квоты, но при этом отслеживается использование пространства на диске, чтобы администратор мог решить, каким пользователям следует снизить объем используемого пространства.
1. Настройка дисковых квот для бухгалтера.
Главный бухгалтер является администратором для домена buh.nntos.ru.Так как бухгалтер работает с данными техникума , используя программу 1С, то оптимальным объемом памяти на диске будет 200 ГБ. Был выбран такой объем памяти , поскольку программа 1С очень требовательна к количеству выделенной памяти на диске для корректной работы ее самой и компонентов. Для пользователя бухгалтер будет поставлена жесткая квота с ограниченным объемом памяти на диске, который нельзя превышать без вмешательства администратора.
Рис.4 – Создание квоты для бухгалтера
Рис.5 – Параметры квоты для бухгалтера 2. Настройка дисковых квот для заместителя директора по УПР.
В обязанности заместителя директора по учебно-производственной работе входят организация и планирование деятельности учебного заведения, координация работы преподавателей, контроль качества учебного процесса и многое другое. Для такого пользователя так же следует выделить достаточное количество памяти на диске – 150 ГБ, с жесткой дисковой квотой.
Рис. 6 – Создание квоты для заместителя директора по УПР
Рис.7 – Параметры квоты для заместителя директора по УПР
3.5. Создание пользователей и групп пользователей
Основополагающим компонентом доменных служб в каждой организации являются принципалы безопасности (оригинальное название - Security Principal), которые предоставляют пользователей, группы или компьютеры, которым требуется доступ к определенным ресурсам в сети.
В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку «Active Directory – пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении.
Управление пользователями включает такие функции:
-Создание учетной записи для пользователя;
-Изменение пароля;
-Отключение/включение учетной записи;
-Удаление учетной записи пользователя.
Для каждого из доменов техникума ННТОС были созданы пользователи и группы пользователей. Для домена «buh.nntos.ru»были созданы два пользователя: бухгалтер и экономист, объединенные в глобальную группу на сервере «Бухгалтерия». Создание учетной записи пользователя проходит в несколько этапов:
1 этап. В диалоговом окне «Новый объект – Пользователь» находится следующая информация: поля «имя», «фамилия», «отчество». Поле «полное имя» используется для создания таких атрибутов создаваемого объекта, как основное имя (Common Name) CN и отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически, а изменять его стоит
лишь в случае необходимости. Поле «Имя входа пользователя» является обязательным и предназначено для имени входа пользователя в домен.
Рис. 8 – Создание пользователя (1 этап)
2 этап. На следующей странице мастера создания пользовательской учетной записи предстоит ввести начальный пароль пользователя в поле «Пароль» и подтвердить его в поле «Подтверждение». Помимо этого, можно выбрать атрибут, указывающий на то, что при первом входе пользователя в систему пользователь должен самостоятельно изменить пароль для своей учетной записи. Также есть такие настройки как «Запрет смены пароля», «Неограниченный срок действия пароля», «Отключение учетной записи».
Рис. 9 – Создание пользователя (2 этап)
3 этап. На последней странице мастера отображается сводная информация о введенных параметрах. Если информация внесена корректно, следует нажать на кнопку «Готово» для создания пользовательской учетной записи и завершения работы мастера.
Рис. 10 – Создание пользователя (3 этап)
Рис. 11 – Группа пользователей «Бухгалтерия»
Для домена «teach.nntos.ru» были созданы две пользовательских группы преподавателей, так как техникум имеет профильное разделение по направлениям
– ППСCЗС (программа подготовки специалистов среднего звена)и ППКРС (программа подготовки квалифицированных рабочих и служащих). В каждую группу добавлены преподаватели определенных направлений (технические, гуманитарные, здоровье формирующие науки и т.д.).
Рис. 12 – Создание группы «Преподаватели техн. ППССЗ» Создав определенных пользователей, необходимо объединить их в группу
пользователей, для дальнейшего удобства добавления прав для каждой группы.
Рис. 13 – Состав группы «Преподаватели ППССЗ»
Рис. 14 – Состав группы «Преподаватели ППКРС»
Для сервера «director.nntos.ru»также необходимо создать учетные записи пользователей для директора, заместителей директора по УПР, ВР и БХР, объединив всех заместителей в группу «Заместители директора».
Рис. 15 – Состав группы «Заместители директора» У определенных пользователей в группах есть некоторые обязанности в
области домена и в области своих групп, для этого существуют расширенные права пользователя и добавление этих пользователей в группу администраторы домена. Такими пользователями внутри своих групп являются главный бухгалтер, администратор платформы, директор.
Рис. 16 – Состав группы «Администраторы домена» Добавив определенным пользователям права администратора домена,
появилась возможность зайти на сервер под их именем и установленным паролем.
Рис. 17– Вход на сервер через пользователя «Администратор платформы»
3.6. Создание и настройка групповых политик
Групповая политика - это инструмент, доступный для администраторов, работающих с архитектурой ActiveDirectory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена ActiveDirectory. Также
позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Существует два компонента групповых политик - серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.
Серверный компонент - оснастка Microsoft Management Console (MMC),
которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения - это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Дляадминистрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.Оснастка Group Policy Object Editor
(Редактор объектов групповой политики) используется для редактирования параметров объектов групповой политики (grouppolicyobjects, GPO). Эта оснастка может использоваться для редактирования любых объектов GPO (как локальных, так и тех, что хранятся в каталоге).
Администратор может запустить оснастку Group Policy Object Editor из определенных административных оснасток. Кроме того, эта оснастка может быть добавлена непосредственно в пользовательскую консоль.
Для создания объекта групповой политики нужно перейти во вкладку Лес Домены<Домен ННТОС>Групповые политики. С помощью правой кнопки мыши открыть меню и выбрать Создать. После этого дать имя групповой политике.
Рис. 18 – Создание групповой политики После создания групповая политика будет отображена внутри выбранного
домена, а именно внутри домена nntos.ru