Отслуживший мне верой и правдой несколько месяцев Challenge вчера пал под напором ушлых спамеров. Снес, поставил на пробу SI CAPTCHA. Возмущает, что в тушке WordPress нет своего механизма защиты от спама. Не пора ли менять блог-движок?…
Первым делом напоминаю, что выполнение данной операции является нарушением лицензионного соглашения, которое вы приняли при установке Windows XP Home. Данная инструкция ни в коем случае не является руководством к действию, а всего лишь демонстрирует наличие возможности, как таковой.
1. Запускаем редактор реестра.
2. Находим раздел ControlSet с наибольшим номером (скорее всего, 003) в ветви HKEY_LOCAL_MASHINE\SYSTEM.
3. Далее следуем в ControlProductOptions.
4. Находим параметр ProductSuite и удаляем его.
5. Создаем новый параметр DWORD с названием Brand и значением 0.
6. Перезагружаемся, после прохождения POST-проверки нажимаем F8 и выбираем загрузку последней удачной конфигурации.
7. Перезагружаемся еще раз и наблюдаем метаморфозу Home в Professional.
Случается, возникает необходимость восстановить исходное состояние политик для домена и для контроллеров домена (например, настроить все заново проще, чем перестроить после предыдущего системного администратора; либо возникают ошибки при применении GPO, а RSoP не выявляет ошибочно настроенную политику). Для этого существует программа dcgpofix.
При ее запуске, будут утеряны все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy (даже в том случае, если они были переименованы). Отдельно восстановить политики по умолчанию для домена или для контроллеров домена можно, используя ключ /target с указанием параметра dc или domain. Для использования dcgpofix в среде с различными версиями Active Directory, следует использовать ключ /ignoreschema.
Перейдем к примерам. Восстановим исходное состояние политики контроллеров домена в среде с разными версиями AD:
Результат выполнения команды можно увидеть, запустив редактор объектов групповых политик и проверив «дефолтность» Default Domain Controllers Policy.
Профессионализм
• Я буду соблюдать профессиональные нормы на рабочем месте и не позволю личным чувствам или убеждениям заставлять меня относиться к людям несправедливо или непрофессионально.
Личная сознательность
• Я буду честным в своей профессиональной деятельности и стану позитивно воспринимать критику относительно моей компетенции и последствий моих ошибок. Когда потребуется, я обращусь за помощью к другим.
• Я буду по возможности избегать конфликтов интересов и убеждений. Когда у меня попросят совет и при этом имеется конфликт интересов и убеждений, я сообщу о последнем, если это уместно, и при необходимости откажусь от участия.
Неприкосновенность личной информации
• Я буду осуществлять доступ к личной информации в компьютерных системах, только когда это необходимо для выполнения моих технических обязанностей. Я буду поддерживать и защищать конфиденциальность любой информации, к которой у меня может быть доступ, вне зависимости от способа, которым я ее узнал.
Законы и политики
• Я буду изучать актуальные законы, нормы и политики, касающиеся выполнения моих обязанностей, и обучать им других.
Общение
• Я стану обсуждать с руководством, пользователями и коллегами компьютерные вопросы, если это будет в наших общих интересах.
• Я буду стараться выслушать и понять потребности всех сторон.
Целостность системы
• Я буду стараться обеспечить необходимую целостность, надежность и доступность систем, за которые отвечаю.
• Я буду разрабатывать и обслуживать каждую систему так, чтобы это максимально способствовало ее назначению в организации.
Образование
• Я буду улучшать и расширять свои технические знания и другие навыки, связанные с работой.
• Я буду делиться своими знаниями и опытом с другими.
Ответственность перед компьютерным сообществом
• Я буду сотрудничать с более крупным компьютерным сообществом, чтобы поддерживать целостность сетевых и компьютерных ресурсов.
Социальная ответственность
• Как информированный профессионал я буду способствовать написанию и принятию актуальных политик и правил, согласующихся с перечисляемыми здесь этическими принципами.
Нравственная ответственность
• Я постараюсь создать и поддерживать спокойную, здоровую и продуктивную рабочую обстановку.
• Я приложу все усилия для того, чтобы мои решения согласовывались с безопасностью, неприкосновенностью личной информации и благополучием моего сообщества и общества в целом, и буду оперативно выявлять факторы, которые могут представлять собой неизвестные риски или опасности.
• Я буду принимать честную критику моей технической работы и честно критиковать других, а также должным образом сообщать о заслугах других людей.
• Я буду следовать примеру, поддерживая высокие нравственный стандарт и степень профессионализма в выполнении всех своих обязанностей. Я буду поощрять коллег и сослуживцев следовать этому этическому кодексу.
(с) Интернет
По умолчанию, для хранения профиля администратора, Windows использует директорию C:\Documents and Settings\Administrator. Стандартные процедуры обеспечения безопасности предусматривают переименование учетной записи Administrator в произвольный пользовательский вариант. Скажем, в root. Однако при смене имени пользователя, директория с его профилем не переименовывается, что создает некоторые неудобства. Это не фатально, все можно исправить руками:
1. Входим в систему учетной записью root, создаем директорию root в Documents and Settings;
2. Копируем данные профиля из Administrator в root.
3. Запускаем редактор реестра, идем в ветку HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.
4. Отыскиваем соответствующую профилю Administrator ветку, меняем в ней значение ключа ProfileImagePath на C:\Documents and Settings\root.
После перезагрузки компьютера, учетная запись root будет использовать вышеустановленный путь для данных профиля. Старый каталог с профилем администратора можно будет удалить.
Система сертификации ITIL v3 содержит 4 уровня сертификации:
1. Foundation (базовый). Это начальный уровень сертификации, который означает, что человек, достигший его, понял общую концепцию библиотеки, ознакомился с основными процессами, функциями, с моделью жизненного цикла сервиса в общих чертах.
Требований для допуска к сдаче экзамена по ITIL Foundation нет.
Формат экзамена – тест из 40 вопросов с возможностью выбора одного варианта из 3-4; длительность экзамена – 60 минут, если английский язык не является родным для сдающего, то 75 минут. Для успешной сдачи требуется ответить верно минимум на 26 вопросов. Успешная сдача экзамена дает 2 балла в копилку ITIL.
2. Intermediate (промежуточный). Подразделяется на 2 направления:
— Lifecycle
— Capability
Требуется углубленное понимание практик управления сервисами.
Модуль Lifecycle состоит из пяти экзаменов, покрывающих по одному изданию ITIL:
— Service Strategy
— Service Design
— Service Transition
— Service Operation
— Continual Service Improvement
Для допуска к экзаменам требуется прослушивание соответствующего курса и сертификат ITIL Foundation.
Формат экзамена – мультивариантный тест, основанный на сценариях, с градиентной оценкой. За наиболее полный верный ответ дается максимум баллов, за “в целом верный” – меньше. Длительность экзамена 90 или 120 минут, в зависимости от того, является ли английский язык родным для сдающего. Для успешной сдачи требуется набрать 65% верных ответов. За 75% выдается знак отличия.
Успешная сдача каждого экзамена дает 3 балла. За все 5 экзаменов получается 15 баллов.
Модуль Capability представлен четырьмя экзаменами. По темам разбивается так:
Planning, Protection and Optimization
— Availability Management
— Capacity Management
— IT Service Continuity Management
— Demand Management
— Risk Management
— Information Security Management
Service Offerings and Agreements
— Service Portfolio Management
— Service Level Management
— Service Catalogue Management
— Demand Management
— Supplier Management
— Financial Management
Release, Control and Validation
— Change Management
— Service Release and Deployment Management
— Service Validation and Testing
— Service Asset and Configuration Management
— Knowledge Management
— Request Fulfillment
— Service Evaluation
Operational Support and Analysis
— Event Management
— Incident Management
— Request Fulfillment
— Problem Management
— Access Management
— Service Desk Technical Management
— IT Operations Management
— Application Management
Условия экзамена аналогичны Lifecycle. Успешная сдача каждого из экзаменов дает 4 балла. В сумме за 4 экзамена получаем 16 баллов.
3. Expert (эксперт). Это предпоследняя ступень сертификации ITIL v3. Такой статус говорит о том, что его носитель является экспертом в области управления IT.
Для доступа к экзамену необходимо прослушать курс и иметь в своей копилке ITIL 17 баллов.
Сам экзамен называется Managing Across The Lifecycle, и за его сдачу начисляется 5 баллов. Экзамен этот проводится по тому же принципу, что и Immediate Lifecycle/Capability.
4. Master (матер). Этот уровень сертификации пока находится на стадии разработки и будет оценивать способность кандидата к применению концепции ITIL в новых областях.
Скорее всего, экзамен будет представлен в виде комбинации тестовых вопросов, симуляций, и сочинения. Для успешной сдачи потребуется опыт практического применения знаний ITIL.
Иногда бывает полезно скрыть программу от глаз и рук пользователя, особенно ее деинсталлятор. Чтобы программа пропала из списка «Установка и удаление программ», необходимо сделать следующее:
1. Открыть редактор реестра, пройти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
2. Отыскать в списке нужную программу
3. Переименовать строковый параметр DisplayName в QuietDisplayName.
Даже специалисты службы технической поддержки Cisco признают, что по сайту Cisco нужно писать отдельный мануал. Я возьму на себя задачку попроще: напишу, как привязать сервисный контракт SmartNet к своей учетной записи на сайте Cisco. Такая привязка даст вам возможность получить доступ к определенным ресурсам сайта, для обычных пользователей недоступным.
Итак, начнем. Заходим на http://cisco.com, логинимся под своим аккаунтом и входим в его настройки, нажав “Account” в правом верхнем углу страницы:
Далее следуем в Profile Manager:
В меню сверху выбираем “Additional Access”:
Сообщаем, что у нас есть желание добавить номер сервисного контракта в профиль, нажатием следующей ссылки:
Ну и, наконец, вводим номер сервисного контракта в соответствующее поле и жмем “Submit”:
После этого вы автоматически попадете в Profile Manager, в котором появится такое уведомление:
Обычно сервисный контракт добавляется к вашему профилю в течении 2-3 часов. После того, как это случится, в Profile Manager появится следующее:
Теперь вы – полноценный Service Contract Owner.
Рано или поздно любой сервер заканчивает свой активный жизненный цикл и до самого списания переезжает на корпоративное кладбище оборудования. Предусмотрительный системный администратор знает, когда это произойдет, и заранее готовит отходящему на покой серверу преемника. Проблема в том, что обычно нельзя перенести все сервисы единовременно на новый сервер (причины бывают самые разные, зачастую это просто пересмотр топологии сервисов и отказ от их совмещения на одном сервере), и какое-то время оба сервера работают в сети вместе. Таким образом возникает препятствие: назвать новый сервер именем старого невозможно, так как возникнет конфликт имен, а сервисы перенести необходимо. Но при этом придется вручную перенастраивать программное обеспечение пользователей на новое имя сервера, что накладно по времени, да и не всегда возможно (обязательно найдутся запертые кабинеты по причине отпусков и больничных).
Чтобы избежать таких проблем, составьте список сетевых ресурсов (например, почта, файловый сервер, сервер баз данных) и определите на них alias’ы (псевдонимы) в DNS. Например, псевдонимом для почтового сервера может послужить mail, для сервера баз данных — db, для файлового сервера — file. И при переносе какого-либо ресурса или сервиса на новый сервер, вам понадобится внести всего одно исправление в DNS (скажем, старый файл-сервер назывался fs1, новый вы назвали fs2; меняем значение alias’a file на fs2), и миграция сервиса произойдет абсолютно прозрачно для пользователей.
Пожалуй, пришло время появиться новой рубрике, в которой будут публиковаться короткие рекомендации по организации труда системного администратора. Рекомендации будут на самые что ни на есть разные тематики: от методов ведения бумажного ежедневника с учетом специфики профессии, до автоматизации управления промышленными базами данных.
Уровень 1
Эмоциональность: высокая. Требования личной преданности от сотрудников, поиски врагов, предателей.
Уровень цинизма: широкий диапазон: от романтизма в молодых организациях до цинизма в старых.
Уровень знаний: низкий, знания отрывочны.
Самооценка: завышенная.
Стиль общения с сотрудниками: неформальный. Преобладает “застольный” стиль.
Оценка неудач компании: поиски виноватых и врагов.
Совещания: нечто вроде восточного базара. Иногда напоминают массовые казни времен Ивана Грозного.
Накопление опыта: отсутствует. Десятилетний опыт сводится к десятикратному повторению однолетнего.
Принятие решений: спонтанное, эмоциональное.
Выдача заданий сотрудникам: длительные, путанные разговоры. Руководитель в процессе разговора пытается понять, что же он хочет поручить сотруднику.
Формализованное планирование: отсутствует.
Стратегия: отсутствует.
Уровень 2
Эмоциональность: высокая. Требования личной преданности от сотрудников, поиски врагов, предателей.
Уровень цинизма: высокий, формальные правила используются для оправдания.
Уровень знаний: низкий, знания формальны, отрывочны. Пройдены отдельные тренинги, но их результаты зачастую приносят вред, так как способствуют завышению самооценки.
Самооценка: завышенная, с трудом корректируется.
Стиль общения с сотрудниками: сочетание формального с “застольным”.
Оценка сотрудников: выделены формальные критерии оценки, однако их применение субъективно, на основе эмоционального восприятия. Объективная оценка не производится, формальные оценки “высосаны из пальца”. Зарплата устанавливается по принципу “наибольшей близости к руководителю”, но для объяснения приводятся доводы основанные на формальных принципах. Реорганизации и перестановки сотрудников являются нормой. Преобладают оценки личных качеств сотрудников, а не их профессиональных знаний и умений. Недооценивается роль организационных структур.
Оценка неудач компании: поиски виноватых и врагов, формальные оценки и выводы.
Совещания: зачастую напоминают массовые казни времен Ивана Грозного, но с применением формальных ритуалов.
Накопление опыта: в виде преданий корпоративной мифологии.
Принятие решений: эмоциональное, с учетом неформализованного опыта.
Выдача заданий сотрудникам: длительные, путанные разговоры с использованием манипуляций с формальными понятиями. Руководитель в процессе разговора пытается понять, что же он хочет поручить сотруднику.
Формализованное планирование: присутствует, но скорее в комичной форме, на грани абсурда. Работает принцип “победа разума над смыслом”.
Стратегия: попытки построения стратегии только на основе прежнего опыта.
Уровень 3
Эмоциональность: нормальная, не зависимо от личной преданности от сотрудников. При неудачах анализ, а не поиски врагов, предателей.
Уровень цинизма: адекватный.
Уровень знаний: средний, стандартизованы требования к знаниям сотрудников, однако знания отрывочны. Информация об эффективности использования знаний не собирается.
Самооценка: реалистичная. Руководитель понимает, что неудачи в достижении целей являются недостатком знаний и неумением работать в команде.
Стиль общения с сотрудниками: ровный, стабильный.
Оценка сотрудников: объективная, но с определенным воздействием эмоционального восприятия. Определены роли и ответственности. Объективная оценка производится в соответствии со стандартами. Зарплата устанавливается на основе общих стандартов. Стандарты стабильны и работают вне зависимости от настроения руководителя.
Оценка неудач компании: производится анализ с учетом прежнего опыта. Учитывается опыт подобных организаций.
Совещания: проводятся в соответствии со стандартами, но форма не всегда соответствует содержанию.
Накопление опыта: имеются базы данных, однако их содержимое не анализируется.
Принятие решений: на основе формальных принципов, но без анализа их эффективности.
Выдача заданий сотрудникам: метко сформулированные указания, которые иногда отменяются из-за несовершенства планирования.
Формализованное планирование: формальные методы используются, однако не всегда проводятся измерения их эффективности.
Стратегия: формальные модели без глубокого анализа их эффективности.
Уровень 4
Эмоциональность: нормальная, независимо от личной преданности сотрудников. При неудачах проводится анализ, а не поиски врагов, предателей.
Уровень цинизма: адекватный
Уровень знаний: средний, стандартизованы требования к знаниям сотрудников, однако знания отрывочны. Информация об эффективности использования знаний не собирается.
Самооценка: реалистичная.
Стиль общения с сотрудниками: ровный, стабильный, в соответствии с корпоративными стандартами поведения и общения сотрудников.
Оценка сотрудников: объективная, измерение проводится в соответствии с корпоративными стандартами. Зарплата устанавливается на основе общих стандартов. Стандарты стабильны и работают не зависимо от настроения руководителя. Проводится постоянный мониторинг эффективности и совершенствование
Оценка неудач компании: на основе объективных критериев и измерений показателей деятельности компании.
Совещания: проводятся в соответствии со стандартами, измеряется их эффективность.
Накопление опыта: имеются базы данных, однако их содержимое не анализируется.
Принятие решений: на основе формальных принципов, но без анализа их эффективности. Выдача заданий сотрудникам: четко сформулированные указания, которые иногда отменяются из-за несовершенства планирования.
Формализованное планирование: формальные методы используются, однако не всегда проводятся измерения их эффективности.
Стратегия: формальные модели без измерения их эффективности.
Уровень 5
Эмоциональность: низкая, отношения с сотрудниками ровные и, если сотрудник существенно нарушает установленные правила, его наказывают в соответствии с принятыми правилами.
Уровень цинизма: адекватный
Уровень знаний: высокий, знания системные.
Самооценка: реалистичная, подвергаемая постоянной проверке.
Стиль общения с сотрудниками: формализован, “застолья” используются для отдыха, а не решения производственных проблем.
Оценка сотрудников: объективная, на основе процедур процесса “Управление Ресурсами”. Зарплата устанавливается в соответствии с разработанными процедурами процесса “Управление Ресурсами”.
Оценка неудач компании: в соответствии с процессом «Управление рисками».
Совещания: проходят в соответствии с формализованными процедурами. Постоянно проверяется их эффективность и совершенствование.
Накопление опыта: работает процесс “Управление знаниями”, который постоянно анализируется и совершенствуется.
Принятие решений: в соответствии с процессом «Управление принятием решений»
Выдача заданий сотрудникам: краткие, четкие, понятные, с использованием определенных терминов. Устное указание по времени не должно превышать 3 минуты, письменное – 1 лист формата А4.
Формализованное планирование: проводится в соответствии с процедурами процесса “Управление Ресурсами”, учитывающими “человеческий фактор”.
Стратегия: построены процессы выработки и принятия стратегических решений и постоянной коррекции стратегии с учетом собственного опыта, а также передового опыта других организаций.
Такая модель зрелости руководителя представляет собой метрику организации и дает возможность делать объективные оценки для дальнейшего развития. Например, высокий уровень зрелости руководителя ИТ подразумевает, что им не будут допущены ошибки, скажем, при закупке оборудования или ПО, значит деньги не будут потрачены в пустую.
(с) Интернет (edited)
Чтобы добиться работоспособности ПО, требующего для запуска права администратора, под учетной записью пользователя, можно воспользоваться следующим алгоритмом:
— Зайти в систему под учетной записью администратора.
— Установить на директорию с исполняемым файлом программы права на модификацию файлов и каталогов для нужного пользователя.
— Установить на ветки реестра HKLM\Software\Раздел-Нужной-Программы и HKCU\Software\Раздел-Нужной-Программы полные права для нужного пользователя.
— Экспортировать модифицированные ветви рееста в reg-файл.
— Зайти в систему под учетной записью пользователя.
— Импортировать ранее выгруженные файлы реестра.
— Перезагрузить компьютер.
Рецепт работает в 99.9% случаев.
По статистике, самая популярная программа для работы с электронной почтой — это MS Outlook. Хорошо, когда пользователи используют Outlook только как интерфейс для работы с почтой, хранящейся на сервере Exchange (то бишь подключаются через MAPI). И плохо, когда Outlook выступает в роли POP3-загрузчика и хранилища данных. Oulook хранит почтовые сообщения в собственном формате, в PST-файле. Механизм хранения данных в PST несовершенен, и его использование — это своего рода гарант возникновения проблем.
Целостность PST-файлов часто нарушается, особенно если речь идет о больших файлах (от 1 Гбайт). Достаточно случайного выключения компьютера во время сеанса загрузки Outlook’ом почты. Если такое произойдет, то испорченный PST-файл не всегда удается восстановить даже с помощью специализированных утилит. Частичная потеря данных практически неизбежна.
PST-файлы, мало того, что ненадежны, так еще и небезопасны. Большинство антивирусов не могут удалять вредоносное ПО из PST-файлов. Некоторые могут, но их неделикатный способ обращения с файлом также может привести к нарушению его целостности. Хищение PST-файлов — тоже не редкость. Благо, для его копирования на съемный носитель не нужно знать пароль от учетной записи пользователя на почтовом сервере, достаточно получить доступ к вашему компьютеру. PST можно импортировать в Outlook на другой компьютер, и вся хранившаяся в нем переписка предстанет как на ладони.
Запоминаем: PST — это плохо!
Пару лет назад подвернулась мне небольшая халтурка: организация принт- и файл-сервера и интернет-шлюза с биллингом в офисе на 10 человек. Офис, в основном, состоял из проектировщиков, втыкающих в мониторы с диагоналями от 30 дюймов и расходующих тонны бумаги и тонера с чернилами на печать своих произведений. Кроме сервера, попросили также купить им недорогой струйный принтер формата А3, на котором они могли бы в черновом варианте печатать свои проекты. Итак, работы окончены, акты подписаны, деньги переданы; довольные с заказчиком друг другом, тепло расстаемся.
Не далее как через неделю позвонили. Из трубки – мат-перемат, угрозы кровавой расправы и требования явиться сей момент пред очи звонящего. Что ж, явился. Демонстрируют: из вышеупомянутого принтера вылезают листы бумаги, на которых изображена… гнусная мазня. Пачкает принтер! Объясняю, что на такие случаи есть гарантийные документы на принтер, договорные отношения с поставщиком расходных материалов и прочие юридические факторы, способные призвать к ответу лиц ответственных, но принтер открываю и на взгляд диагностирую. Поизвлекал и осмотрел картриджи, поводил внутри салфеткой (для уверенности, что чернила не протекли в механизм протяжки бумаги), на всякий случай запустил очистку сопел… мазня! Беру в руку лист и поражаюсь: чистый гибрид туалетной бумаги и кальки! Тонкая и мягкая. Удивительно, где вообще такую отыскали. Спрашиваю, есть ли нормальная бумага. Есть, но в дефиците. Дают один листочек. Запускаю документ на печать – на выходе отпечаток идеального качества. Показываю заказчику, объясняю, что от типа бумаги вид отпечатанных документов зависит не меньше, чем от качества принтера. И что на их бумаге капля чернил из сопла картриджа просто растекается по окружности, в то время как должна оставаться на месте. Консенсус достигнут, напутствую не экономить деньги в ущерб качеству и нервам, по-доброму прощаемся, уже навсегда.
С тех пор я никогда не забываю предупреждать людей о том, что на струйных принтерах можно печатать только на качественной бумаге. Чревато.
Все нижеописанное относится к Windows 2003, являющейся членом домена Active Directory. Итак, по умолчанию в ней существуют следующие группы безопасности:
1) Administrators (Администраторы) — члены группы обладают полным доступом ко всем ресурсам системы. По умолчанию содержит встроенную учетную запись Administrator.
2) Backup Operators (Операторы архива) — члены этой группы имеют право архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Backup Operators могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
3) Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
4) Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. По умолчанию пуста.
5) Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
6) Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций. Могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITYAuthenticated Users (S-1-5-11) и NT AUTHORITYINTERACTIVE (S-1-5-4).
7) Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
8) Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым разрешен удаленный доступ к рабочему столу.
9) HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.
10) Performance Log Users (Пользователи журналов производительности) — члены этой группы могут просматривать журналы производительности. По умолчанию содержит служебную учетную запись NT AUTHORITYNETWORK SERVICE (S-l-5-20).
11) Performance Monitor Users (Пользователи системного монитора) — группа, члены которой могут выполнять мониторинг производительности системы. По умолчанию пуста.
12) Print Operators (Операторы принтеров) — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
13) TelnetClients (Клиенты telnet) — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.
Одна из самых непротиворечивых концепций безопасности гласит, что без крайней необходимости работать под учетной записью администратора не следует. Особенно под учетной записью администратора домена. Однако, решение административных задач, требующих повышенных привилегий, эта концепция не отменяет. Удаленный доступ к серверу через Remote Desktop – это лишние телодвижения, да и, опять же, небезопасно. Наиболее подходящий путь – локальный запуск нужных оснасток управления с использованием команды RunAs, которая позволяет администратору выполнять любые задачи в системе, зарегистрировавшись в ней с использованием учетной записи рядового пользователя.
Для управления удаленными серверами Windows я использую пакеты Administrative Tools для своей клиентской ОС. Они доступны для загрузки с сайта Microsoft:
Windows Server 2003 Administration Tools Pack: http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en
Microsoft Remote Server Administration Tools for Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en
Remote Server Administration Tools for Windows 7: http://www.microsoft.com/downloads/details.aspx?FamilyID=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en
Установив соответствующий вашей системе пакет администрирования, вы получите доступ прямо со своего компьютера к большинству оснасток управления серверами, таких как Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers, Distributed File System, DNS, Group Policy Editor, DHCP и пр.
Для запуска любой из оснасток с привилегиями доменного администратора, применим команду RunAs. Например, запустим оснастку Active Directory Users and Computers от имени пользователя admin, принадлежащего к домену domain.ru:
Синтаксис RunAs достаточно прост, чаще всего с ней используются следующие ключи:
1) /user – имя пользователя;
2) /netonly – использование полномочий только для доступа к удаленным ресурсам;
3) /env – использование текущего окружения, без создания окружения, характерного для указанного ключем /user пользователя;
4) /profile – загрузка профиля пользователя;
5) /noprofile – загрузка профиля пользователя не будет осуществляться.
По аналогии можно запускать любую из оснасток, входящих в состав Administration Tools:
Active Directory Domains and Trusts — domain.msc
Active Directory Sites and Services — dssite.msc
Active Directory Users and Computers — dsa.msc
Computer Management — compmgmt.msc
Distributed File System — dfsgui.msc
DNS — dnsmgmt.msc
DHCP – dhcpmgmt.msc
Group Policy Editor — gpedit.msc
Local Security Settings — secpol.msc
Routing and Remote Access — rrasmgmt.msc
Само собой, оснастки для управления локальными ресурсами, которые по умолчанию установлены в любой Windows-системе, начиная с Windows XP, можно использовать и для администрирования удаленных систем. Приведу список самых используемых:
Services – services.msc
Device Manager — devmgmt.msc
Disk Management — diskmgmt.msc
Local Users and Groups — lusrmgr.msc
Shared Folders — fsmgmt.msc
Напоследок напомню, что для работы RunAs необходимо, чтобы была запущена служба Secondary Logon.
В большинстве организаций, даже прошедших путь оптимизации бизнес-процессов и автоматизации документооборота, до сих пор активно используются файловые серверы, служащие хранилищами важной корпоративной информации. Системный администратор, ответственный за сохранность данных на файл-серверах, должен позаботиться не только о развертывании надежной системы резервного копирования, но и о максимальном сокращении времени простоев. Я рассмотрю самый что ни на есть частный случай: организацию, размещенную в разных корпусах гипотетического делового центра, с сетью филиалов.
Итак, исходные данные: головной офис с размещением сотрудников в двух разных корпусах, один филиал. Файл-серверы установлены в обоих корпусах головного офиса и в филиале. Между корпусами лежит оптика, с филиалом установлен VPN-канал из первого корпуса головного офиса.
Задача: обеспечить гипотетическому сотруднику максимальную доступность данных вне зависимости от его местонахождения.
Для решения данной задачи мы будем использовать технологию компании Microsoft, метко названную Distributed File System (DFS). DFS была разработана для упрощения доступа к данным и управления ими. В Windows Server 2003 R2 к ней был добавлен механизм репликации, получивший вполне прогнозируемое название DFSR (Distributed File System Replication). Если вкратце описать схему работы DFS, то это будет выглядеть примерно так:
На рисунке условно изображены 3 файл-сервера, каждый из которых служит хранилищем разных общих директорий. Сервер DFS образует корень из этих директорий и открывает к ним общий доступ под именем Summary Data. Клиенты, в свою очередь, имея необходимость использовать данные со всех трех серверов, обращаются только к DFS, который обеспечивает им централизованный доступ к нужным ресурсам. Вполне логично: ни к чему пользователю помнить UNC-пути к отдельно взятым файл-серверам, он должен везде и всегда иметь привычную, удобную рабочую среду.
Вернемся к нашей задаче. Пока наша схема сети выглядит примерно так:
Для наведения порядка в этом бедламе нам потребуется установить службы DFS на серверах. В Windows 2003 это делается через оснастку Add/Remove Windows Components:
В Windows 2008 – через мастер добавления ролей:
После установки служб DFS, запускаем оснастку Distributed File System. Она работает в стандартной среде MMC, слева в меню жмем правой кнопкой мыши (далее – ПКМ) единственный пункт и выбираем New Root. Запустится мастер настройки корня DFS. Он может быть доменным, либо изолированным:
Выбираем доменный, после чего выбираем домен, в котором будет размещено дерево логических имен DFS:
После этого нам останется только выбрать сервер, на котором будет размещен корень…
…и мы приступим непосредственно к его созданию:
Свой корень я назову Corporate FS (сокращение от Corporate File Server) и помещу его в директорию C:Corporate FS
Корень готов. Приступим к присоединению к нему файл-серверов и установке реплик. На корневом DFS-сервере я создал на диске C: общую директорию Main Office Documents с данными, на сервере SRV2 – такую же, но пустую, и на сервере SRV3 директорию Branch Office Documents, тоже с данными.
Теперь жмем на наш корень ПКМ и выбираем New Link. Первым линком будет наш общий ресурс Main Office Documents:
Аналогично добавляем \Srv3Branch Office Documents. В конце концов мы получаем следующую DFS-структуру:
Чуть позже мы ее протестируем. Но пока мы еще не решили задачу резервирования данных. Я продемонстрирую простейшую схему репликации: данные из общей папки с SRV1 будут копироваться на SRV2. Полную репликацию всех сетевых ресурсов и корня DFS рассматривать не будем, так как настраивается она аналогичным образом. Одного примера будет вполне достаточно.
Жмем ПКМ на линк Main Office Documents и выбираем New Target. В появшившемся диалоговом окне выбираем сетевой ресурс с таким же именем на SRV2, ставим галочку в чекбоксе Add this target to the replication set и жмем Ок:
Появится окно с предложением сразу же сконфигурировать репликацию. Нажимаем Ок и попадаем в мастер настройки репликации. На первом этапе нам предложат выбрать директории для хранения временных файлов репликации:
Оставляем по умолчанию и жмем Next. На следующем шаге нам будет предложено выбрать топологию репликации. Вариантов всего 4:
— Ring (кольцо) – реплика будет обмениваться информацией с двумя соседними;
— Hub and spoke (звезда) — выделяется основная реплика, с которой обмениваются информацией все остальные;
— Full mesh (полносвязная сеть) — все реплики обмениваются информацией друг с другом;
— Custom (пользовательская) – каждая пара реплик настраивается вручную.
Мы создаем схему резервирования, при которой, в случае выхода из строя оптического канала связи между корпусами головного офиса, сотрудники из второго здания не потеряют доступ к файловым ресурсам, и результаты их трудов за время ремонта оптики тоже не пропадут, поэтому нам подходят полносвязная и кольцевая топологии. Выберем полносвязную, нажмем Ок и убеждаемся, что настойка применена:
Для наглядной проверки репликации я создал на сервере SRV1 в C:Main Office Documents несколько папок и файлов:
По умолчанию репликация происходит раз в 15 минут. По прошествии этого времени данные благополучно появились без моего вмешательства и на SRV2:
Можно выполнить принудительную репликацию командой:
Осталось опубликовать DFS в Active Directory и протестировать его доступность. Для публикации кликаем ПКМ по корню DFS, выбираем Properties и в открывшемся окне переходим на вкладку Publish:
Обратите внимание: так как наш корень DFS доменный, а не изолированный, при обращении к нему может использоваться конструкция UNC только с названием домена, без уточнения имени сервера. Кстати говоря, DFS с точки зрения клиентской ОС – не более чем обычная общая папка, то есть доступна по UNC и может быть подмонтирована как сетевой диск. Нажимаем Ок.
В качестве тестера может выступить любой доменный клиент. Я воспользуюсь сервером SRV3:
В корне Corporate FS, как и предполагалось, ссылки на файл-серверы головного офиса и филиала. Впрочем, по ссылкам мы попадаем туда же, куда и задумывали. Система работает, алиллуйя.
Итак, что же дает нам DFS?
1. Логическое представление общих ресурсов, находящихся на разных серверах/рабочих станциях, работающих под управлением разных ОС. Для администратора это рай: и централизованное управление, и упрощенное представление для пользователей, а значит меньше инструктажей и головной боли.
2. Организацию отказоустойчивых схем хранения информации. Для каждого общего ресурса DFS позволяет создать почти неограниченно много реплик, что не только снижает риск потери данных, но и обеспечивает горячее резервирование, когда выход из строя целого сервера никоим образом не отражается на работе пользователей: они просто переключаются на другой сервер, даже не подозревая об этом.
3. Балансировку нагрузки. В основном, на сетевые интерфейсы.
4. Прозрачность соответствия логического представления данных и их физического расположения. Сотрудник из офиса деревни Ольховка Кировской области может работать с файл-сервером, расположенном на Барбадосе, также, как если бы он стоял у него в соседнем кабинете. Впрочем, сотрудник наверняка и так в этом будет уверен, глядя на DFS.
Айс, не правда ли?
Для завершения работы (перезагрузки, завершения сеанса и пр.) Server Core используется команда shutdown. Справка по ней достаточно объемна, я вкратце опишу только перезагрузку и выключение сервера.
Итак, для перезагрузки сервера, выполним
Ключ r завершает работу сервера и отправляет его в перезагрузку, ключ t определяет задержку в секундах перед завершением работы, и может принимать значения от 0 до 600.
Для выключения сервера, используется команда
Ключ s завершает работу сервера и выключает его.
