КНИГА |
15.05.01
|
Сертификационный экзамен Microsoft
Cтатья была опубликована на сайте www.rusdoc.ru
Глава 5. Управление ресурсами в Windows NT
Термины, необходимые для понимания материала:
Приемы и знания, которыми вы должны овладеть:
Основное назначение сети — совместное использование ресурсов. В Windows NT управление ресурсами организовано на интуитивно понятном уровне. В этой главе мы посмотрим, что необходимо знать для сдачи экзамена Microsoft в области управления ресурсами. Сначала вы узнаете, как осуществляется управление учетными записями пользователей, в ходе которого назначаются права доступа для конкретных пользователей. Затем мы перейдем к рассмотрению доменов, контроллеров доменов, а также локальных и глобальных групп. При дальнейшем изучении управления ресурсами мы расскажем о политиках пользователей, профилях и сценариях входа, предназначенных для специфических потребностей пользователей. В конце главы мы обратимся к темам, связанным с работой серверов, — репликации, управлению общими ресурсами и настройке клиентов.
Управление пользователями и учетными записями
В большинстве сетей управление на уровне отдельных пользователей связано с множеством затруднений. Для упрощения задач администрирования Windows NT 4 содержит специальную программу — User Manager For Domains (вызывается из меню Start — Start > Programs > Administrative Tools (Common) > User Manager For Domains). В User Manager For Domains администраторы создают учетные записи пользователей и групп, а также работают с ними. Когда вы освоитесь с этой программой, User Manager For Domains станет вашим основным инструментом для управления доступом на уровне пользователей и групп.
Для упрощения работы (и экономии вашего времени) управление пользователями основано на концепции группового администрирования. Вместо того чтобы заниматься отдельными пользователями, намного удобнее распределить их по группам и назначать права сразу для целой группы. Как только пользователь включается в группу, он наследует все права и ограничения доступа, присвоенные данной группе.
Чтобы и далее упростить процесс управления пользователями, Microsoft предусмотрительно создает встроенные группы (как локальные, так и глобальные). Обратите внимание — встроенные группы нельзя удалить или переименовать. Обычно эти группы оказываются удобными для администрирования прав и ограничений пользователей. Кроме того, некоторые пользователи включаются в эти встроенные группы по умолчанию. Пользователей можно включать или удалятьиз этих групп по своему усмотрению. Основные концепции групп, а также встроенные локальные и глобальные группы NT рассматриваются далее в этой главе.
Работа с User Manager For Domains
User Manager For Domains — основной инструмент для управления правами пользователей. Ниже перечислены основные функции и задачи User Manager For Domains:
Создание новых пользователей и групп
Чтобы создать в User Manager For Domains новую учетную запись пользователя или группы, выполните следующие действия:
Кроме четырех флажков в нижней части диалогового окна находятся шесть кнопок. Они управляют многими возможностями, доступными для данного пользователя:
Модификация существующих учетных записей
Создание учетных записей пользователей является одной из самых распространенных задач сетевых администраторов. Новые пользователи часто занимают место уже существующих — переименовать учетную запись работника, переведенного на другое место, проще, чем создавать новую. Для этого достаточно выполнить команду User > Rename в User Manager For Domains. He забудьте предупредить нового работника о том, чтобы он сменил пароль при первом входе, потому что среди прочих параметров будет сохранен и старый пароль.
К сожалению, учетные записи пользователей довольно часто удаляются случайно. Единственный выход из положения — заново создать учетную запись с тем же именем, правами и ограничениями. Сделать это проще, чем кажется, потому что вы можете создать шаблоны прав пользователей для отделов и групп. Затем из меню User вы копируете шаблон, переименовываете его для нового пользователя и продолжаете действовать с этой точки, если вам потребуется задать дополнительные права или ограничения.
Если для пользователя были изменены права доступа, этот пользователь должен завершить работу и войти заново — лишь тогда новые права вступят в силу.
Домены и контроллеры
Домен представляет собой совокупность сетевых рабочих станций и серверов, которая управляется как единая группа. В Windows NT для каждого домена должен существовать контроллер, занимающийся администрированием прав пользователей этого домена. Первый сервер NT, установленный в домене, назначается основным контроллером домена (PDC, Primary Domain Controller). Данный сервер отвечает за проверку пользователей домена во время входа в систему, потому что на PDC находится информация об учетных записях пользователей и безопасности, касающаяся всего домена. Следующий устанавливаемый сервер принимает на себя роль резервного контроллера домена (BDC, Backup Domain Controller). На BDC хранится копия информации об учетных записях пользователей и безопасности домена (через заданные интервалы времени эта копия синхронизируется с PDC). Если PDC по какой-либо причине перестает работать, BDC автоматически не начинает выполнять функции PDC, но пользователи по-прежнему могут входить в сеть. Хотя наличие BDC необязательно, оно в высшей степени желательно.
Если вам по техническим причинам потребуется отключить PDC, BDC можно повысить до PDC вручную. Однако это необходимо сделать до отключения PDC, иначе могут быть потеряны данные учетных записей, которые еще не были скопированы между контроллерами. Изменение роли BDC выполняется с помощью программы Server Manager (Start >• Programs >• Administrative Tools (Common) >• Server Manager):
(доверяющий) предоставляет домену Engineering (доверенному) право доступа к общему каталогу Share, домен Production не получает никаких дополнительных прав доступа к домену Engineering, если они не были определены в диалоговом окне Trust Relationships. Двусторонние доверительные отношения представляют собой совокупность двух односторонних отношений.
Управление локальными и глобальными группами
Без группового администрирования управление пользователями было бы довольно сложной задачей. Основная идея — присваивать права доступа только группам, а затем управлять правами отдельных пользователей, включая или удаляя их из различных групп по мере необходимости. Если следовать этому принципу, вам почти не придется задавать права доступа к ресурсам для отдельных пользователей. Учетным записям пользователей практически не назначаются никакие права — все они наследуются от групп, к которым принадлежат пользователи.
Хороший подход к реализации безопасности пользователей в NT заключается в том, чтобы создать группу для каждого ресурса в сети. Для каждого ресурса будет существовать группа, управляющая доступом к нему. После создания таких групп вам придется в основном управлять группами и их членами, а не конкретными ресурсами.
В Windows NT существует два вида групп: локальные и глобальные. Локальные группы доступны лишь в локальном домене; глобальные группы распространяются за пределы доменов. Вы должны хорошо понимать это принципиальное отличие. Другое важное отличие заключается в том, что локальные группы могут содержать и пользователей, и другие группы, тогда как глобальные группы содержат только пользователей. Никакие локальные или глобальные группы не могут входить в другую глобальную группу.
Итак, если вы хотите предоставить домену Engineering доступ к цветному принтеру в домене Marketing, следует создать глобальную группу (например, EngnrPrint) и разрешить ей доступ к принтеру. Снова обратите внимание: тот факт, что домен Marketing доверяет глобальной группе EngnrPrint доступ к цветному принтеру, вовсе не означает, что один домен обладает какими-либо дополнительными правами для ресурсов другого домена, если такие права не были специально заданы.
Как упоминалось выше, в NT существует несколько встроенных локальных и глобальных групп, которым по умолчанию назначаютсяопределенные привилегии. В табл. 5.1 перечислены эти группы (локальные и глобальные) вместе со стандартными членами и описаниями.
Таблица 5.1. Встроенные группы в NT
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Кроме того, каждая группа обладает определенным типом доступа на уровне каталогов:
Совет
Когда пользователь принадлежит нескольким группам домена, приоритетным является право с минимальными ограничениями. Например, если пользователь имеет полный доступ для одной группы и право чтения — для другой, то в результате он будет иметь привилегии полного доступа. Кстати говоря, отсутствие доступа означает ПОЛНОЕ ОТСУТСТВИЕ ДОСТУПА!
О политиках, профилях и сценариях входа
Существует несколько способов определения параметров сетевых пользователей. Настройка такого рода в Windows NT осуществляется с помощью различных политик, профилей и сценариев входа, описанных в следующих разделах.
Системные политики
Системная политика определяет состояние окружения и возможные действия пользователя. Для создания и администрирования системных политик используется программа System Policy Editor (Start >• Programs >• Administrative Tools (Common) >• System Policy Editor).
С помощью System Policy Editor можно выбрать программы, отображаемые в панели управления пользователя, настроить вид его рабочего стола, указать сетевые параметры, определить параметры входа в сеть и права доступа, а также настроить содержимое меню Start для данного пользователя.
Вы можете определить стандартную системную политику для всех пользователей домена или же назначить разные политики для отдельных пользователей, компьютеров и групп. При создании системных политик изменяется содержимое системного реестра для компьютеров или пользователей — точнее, реестр изменяется для текущего пользователя и локального компьютера.
Чтобы определить системную политику в качестве стандартной, сохраните ее в каталоге \WinNT\System32\Repl\Export\Scripts под именем NTCONFIG.POL. Файлы этого каталога дублируются на другие NT-серверы и рабочие станции, участвующие в репликации. Скопированные файлы хранятся в каталоге \WinNT\System32\Repl\Import\ Scripts. При определении системной политики в System Policy Editor выбирается один из двух режимов: режим реестра (Registry mode) или файловый режим (Policy File mode). Для этого сделайте следующее:
Совет
Непосредственная модификация реестра грозит нарушить целостность системы. При повреждении некоторых областей реестра NT перестает загружаться. Перед тем как вносить изменения в реестр, всегда создавайте его резервную копию и действуйте очень осторожно.
Профили
Профили пользователей применяются для создания и управления нестандартными конфигурациями рабочего стола отдельных пользователей. В профиль пользователя входят такие параметры, как тип заставки, сетевые соединения, оформление рабочего стола, настройки мыши и программные группы. Профили могут создаваться как для пользователей, так и для групп. Профили пользователей находятся в каталогах ЛУтп1\Ргоп^\<ИМЯ-ПОЛЬЗОВАТЕЛЯ>.
Профили защищают ваши сетевые ресурсы от пользователей, а пользователей — от самих себя. Профили пригодятся в тех случаях, когда сетевые пользователи удаляют или перемещают команды меню и группы. Заставляя пользователей держаться в рамках профиля, вы создаете неизменяемый, последовательный пользовательский интерфейс; это сокращает затраты на сопровождение и бережет нервы пользователей.
Вы можете заставить пользователя использовать конкретный профиль — для этого следует создать обязательный профиль пользователя (Mandatory User Profile), который не может быть изменен или сохранен пользователем. Чтобы создать обязательный профиль, создайте перемещаемый профиль, скопируйте его в общий каталог, предоставьте доступ к нему соответствующим пользователям, переименуйте файл NTUSER.DAT в NTUSER.MAN и введите UNC-путь к профилю в диалоговом окне User Profile Path, которое вызывается из окна User Environment Profile для каждого пользователя.
Иногда при сбоях PDC пользователь при входе в систему не получает обязательного профиля. Когда это происходит, Windows NT находит последний локальный кэшированный профиль данного пользователя или стандартный профиль, присвоенный его рабочей станции. Локальный кэшированный профиль используется в том случае, если пользователь в прошлом успешно регистрировался в домене. Если же пользователь никогда не регистрировался в домене, используется стандартный профиль.
Перемещаемый профиль создается так:
В профиль пользователя также можно включить выбор основного каталога пользователя. Чтобы сделать это для существующей учетной записи, которая в данный момент имеет локальный основной каталог, необходимо выполнить следующие действия:
Если ваши пользователи часто и/или неразумно меняют свою конфигурацию, создайте профили и заставьте пользователей придерживаться заданных параметров. Хотя такие ограничения могут раздражать пользователей, это лучший способ оградить всех от неприятностей.
Сценарии входа
Если задуматься над тем, сколько разнообразных средств и возможностей пользовательской конфигурации существует в Windows NT, существование сценариев входа выглядит довольно странно. Тем не менее по нескольким причинам сценарии входа необходимы для обеспечения обратной совместимости. Во-первых, профили пользователей работают только на компьютерах с NT, а для DOS-клиентов используют сценарии входа для обеспечения последовательных сетевых соединений. Кроме того, если в вашей сети все еще остались старые серверы LAN Manager, сценарии входа обеспечивают совместимость с этими серверами для всех клиентов.
Кроме того, параметры подключения пользователя к сети или сетевому принтеру можно задать и без тщательно спланированной системы профилей. Если вы определили личные профили пользователей и хотите добавить к ним единые параметры сетевых соединений, сценарии входа справятся и с этой задачей. Наконец, если вы не хотите тратить время на разработку сложной последовательной системы профилей, сценарии входа являются простой и удобной альтернативой.
Сценарии входа помогают настроить окружение пользователя, не управляя всеми его аспектами. Для сохранности вы должны экспортировать сценарии входа с PDC на все BDC сети. В этом случае при выходе из строя PDC копия сценариев останется на BDC и будет доступна пользователям при входе. Сценарии входа не требуется экспортировать на каждую рабочую станцию. Экспортируемые файлы всегда следует помещать в подкаталоги каталога Winnt\System32\Repl\ Export. По умолчанию для экспортирования сценариев входа на PDC используется каталог Winnt\System32\Repl\Export\Scripts.
Репликация
В Windows NT существует быстрый и удобный способ зеркального копирования структуры каталогов между серверами в ходе процесса, называемого репликацией каталогов. Основная цель репликации системных файлов — распределение нагрузки по регистрации и проверки подлинности пользователей между PDC и BDC. В ходе репликации этих файлов копируются последние версии сценариев входа, файлы системной политики и профили пользователей.
В центре службы репликации каталогов находится экспортирующий сервер, который предоставляет данные исходного каталога. Серверы, выбранные для импортирования, получают копию исходного каталога в своих каталогах.
Репликация сценариев входа, файлов системных политики профилей пользователей на все контроллеры домена позволяет добиться настоящего распределения загрузки. Проверка пользователя, регистрирующегося на домене, выполняется первым контроллером домена, который отвечает на аутентификационный запрос. Наличие копий системных файлов на этом контроллере домена позволяет ему проверить пользователя и обеспечить его вход в сеть без связи с другим сервером. Если бы системные файлы находились только на PDC, то BDC приходилось бы в случае необходимости запрашивать и получать с PDC копии всех системных файлов. Это привело бы к возрастанию сетевой загрузки.
Обратите внимание: только компьютеры с Windows NT Server могут быть настроены на экспортирование файлов в процессе репликации. Импортирование файлов в процессе репликации настраивается на компьютерах с Windows NT Server и Windows NT Workstation. Клиенты для MS-DOS и Windows 95 не поддерживают репликацию. Кроме того, важно понимать, что для службы репликации каталогов на экспортирующем сервере создается специальная учетная запись. Пароль этой учетной записи не должен иметь ограничений по сроку действия, а вход с нее должен быть разрешен в любое время. Экспортирующие серверы репликации хранят в системном реестре специальные данные, управляющие графиком экспортирования каталогов. Рабочие станции Windows NT, клиенты для Windows 95 и MS-DOS не могут быть настроены на выполнение функций экспортирующего сервера.
Наконец, сценарии входа должны передаваться только на контроллеры домена. Поскольку проверка пользователей может выполняться только этими серверами, репликация сценариев входа на другие компьютеры лишь создает излишний сетевой график.
Управление общими ресурсами
Стандартный подход к совместному использованию файлов, каталогов и ресурсов на компьютерах с Windows NT Server заключается в создании общих имен. Чтобы организовать общий доступ к ресурсу или каталогу, выполните следующие несложные действия:
На вкладке Sharing можно ограничить доступ к ресурсу, указывая максимальное количество пользователей. Ограничение количества пользователей позволяет избежать перегрузки медленного компьютера или обеспечить нормальную работу всех остальных серверных процессов. Если подобные ограничения не нужны, установите переключатель Maximum Allowed. Чтобы установить максимальное количество пользователей, установите переключатель Allow, и в поле Users появится некоторое число. Вы можете увеличить или уменьшить это число с помощью кнопок со стрелками или же ввести число непосредственно в поле Users.
Внимание
По умолчанию подкаталоги наследуют права доступа своих родительских каталогов.
После того как общее имя будет создано, для него можно назначить необходимые разрешения. Для этого нажмите кнопку Permissions или щелкните на вкладке Security. Обратите внимание — по умолчанию для вновь создаваемых имен всем предоставляется право полного доступа (Full Control). Существует четыре степени безопасности, ограничивающие доступ к общим ресурсам сервера: отсутствие доступа (No Access), право чтения (Read), право изменения (Change) и полный доступ (Full Control).
Совет
Всегда явно задавайте разрешения доступа для всех создаваемых общих имен. По умолчанию группе Everyone предоставляется полный доступ!
Для контроля над доступом к общим ресурсам также можно воспользоваться программой Server Manager:
Чтобы создать общее имя в Server Manager, выполните следующие действия:
Внимание
Для управления общими ресурсами в удаленном режиме пользуйтесь программой Server Manager, а не Windows NT Explorer.
Существует ряд административных общих ресурсов, скрытых от пользователей, но доступных для администратора. Имена этих общих ресурсов заканчиваются знаком доллара ($), благодаря чему они остаются скрытыми. В табл. 5.2 перечислены эти общие ресурсы и приведены их описания.
Внимание
Встроенные административные ресурсы NT невозможно удалить или переименовать.
Табл. 5.2. Скрытые административные общие ресурсы NT
Имя общего ресурса | Описание |
Admin$ | Каталог, в котором установлен NT Server (или Workstation), и каталог, используемый для удаленного администрирования NT |
Driveletter$ | Буква диска, на котором установлен носитель информации. Может использоваться в удаленном режиме членами следующих групп: администраторы (Administrators), операторы архива (Backup Operators) и операторы сервера (Server Operators) |
IPC$ | Сокращение IPC означает «Interprocess Communications» (взаимодействия между процессами). Ресурс предназначен для совместного использования интерфейса именованных каналов, необходимого для работы коммуникационных программ |
NETLOGON$ | Общий ресурс используется сервером входа, по умолчанию ему присваивается значение %SystemRoot%\System32\Repl\Import. Используется службой NETLOGON при обработке доменных запросов в NT Server |
Print$ | Используется при управлении общими принтерами |
Repl$ | Общий каталог экспортирования, используемый в процессе репликации. По умолчанию присваивается значение %SystemRoot%\System32\Repl\Export |
Установка приоритетов
Многозадачная среда NT требует, чтобы некоторые процессы обладали более высоким приоритетом по сравнению с остальными. Ядро системы присваивает определенный приоритет каждому процессу и может увеличить или уменьшить его, чтобы повлиять на выполнение процесса. Существует 32 уровня приоритета (от 0 до 31); процессыс высоким приоритетом выполняются раньше процессов с низким приоритетом. Хотя система может непосредственно использовать все 32 уровня, ваши возможности по изменению приоритетов ограничены. По умолчанию всем приложениям, запущенным пользователями и администраторами, присваивается базовый приоритет 8 (нормальный). Тем не менее пользователи также могут запускать приложения с приоритетом 4 (низкий) и 13 (высокий), а администраторы — с приоритетом 24 (приоритет реального времени). Для запуска приложений с альтернативными приоритетами используется следующий синтаксис командной строки:
start [/low ¦ /normal I /high ¦ /realtime] application
В NT существует два средства для изменения приоритета запущенных приложений. Первый — бегунок, управляющий быстродействием активного приложения (активным приложением называется процесс, работающий в активном окне экрана — обычно это окно отличается от других цветом заголовка). Этот бегунок находится на вкладке Performance приложения System в панели управления. По умолчанию максимальный приоритет активных приложений равен 10. Чтобы увеличить приоритет активных приложений, переместите бегунок вправо, а чтобы уменьшить его — влево (левая позиция = 8, средняя позиция ° 9, правая позиция •= 10).
Второе средство вызывается через Task Manager. Выбирая процессы на вкладке Process, можно назначить им низкий, нормальный, высокий или приоритет реального времени с помощью меню Set Priority, вызываемого правой кнопкой мыши. Однако приоритет реального режима может назначаться процессам лишь администраторами.
Управление Windows NT из клиентов
Windows NT Server содержит программу Network Client Administrator, которая упрощает установку некоторых программ и утилит NT Server. Эта программа находится в каталоге %systemroot%\system32 и вызывается из меню Start (Start >• Programs >• Administrative Tools (Common) >• Network Client Administrator).
Network Client Administrator содержит файлы для установки клиентов для Windows 95, Microsoft Network Client for MS-DOS 3.0, LAN Manager for MS-DOS 2.2c, LAN Manager for OS/2 2.2c, Remote Access Client for MS-DOS l.la и TCP/IP-32 for Windows for Workgroups.
С помощью Network Client Administrator можно скопировать каталоги и файлы с NT Server CD на сетевой сервер. Client Administrator помогает эффективно устанавливать сетевые клиентские программы посредством создания набора установочных дисков или диска сетевой установки. В зависимости от того, какую программу вы собираетесь устанавливать, можно определить тип диска, создаваемого Client Administrator (см. табл. 5.3).
Воспользуйтесь Network Client Administrator и скопируйте файлы и каталоги в каталог \CLIENTS на NT Server CD. Чтобы избежать излишних расходов дискового пространства, удалите ненужные каталоги. При этом не удаляйте каталог \CLIENTS\MSCLIENT\NETSETUP -находящиеся в нем файлы необходимы для создания дисков сетевой установки для Windows 95, Windows for Workgroups и Microsoft Client for MS-DOS.
Чтобы создать диск сетевой установки для NT Server, NT Workstation или Windows for Workgroups, создайте необходимые подкаталоги в каталоге CLIENTS и затем скопируйте в них нужные файлы. Конкретные инструкции по копированию файлов приведены в файле README.TXT в каталоге Clients\Support установочного диска NT Server.
Внимание
Диски сетевой установки применяются только на компьютерах семейства х86 или Pentium; они не могут использоваться для компьютеров Alpha, MIPS или Power PC.
Вопросы для подготовки к экзамену
Question 1
What is the difference between local and global groups?
Вопрос 1
Чем локальные группы отличаются от глобальных?
Правильный ответ — А. Глобальные группы помогают организовать логическое распределение пользователей домена, а локальные группы определяют разрешения и права пользователей для ресурсов домена. Глобальные группы могут создаваться только на контроллерах доменов, тогда как локальную группу можно создать на любой рабочей станции или сервере домена. Глобальные группы могут содержать только учетные записи пользователей домена.
Question 2
Mary is leaving the company and David is her replacement. What is the best way to give David the same access to all of the resources previously used by Mary?
Вопрос 2
Мэри увольняется из фирмы, а Дэвид занимает ее место. Как лучше всего предоставить Давиду тот же уровень доступа к ресурсам, которыми раньше пользовалась Мэри?
Чтобы предоставить Давиду те же права доступа, которыми пользовалась Мэри, следует переименовать учетную запись Мэри в User Manager For Domains и распорядиться, чтобы Дэвид сменил пароль, следовательно, правильный ответ — В. Server Manager не используется для работы с учетными записями, поэтому ответы А и С неправильны. Хотя создание новой учетной записи на базе уже существующей тоже возможно, в настоящее время Microsoft не считает этот способ оптимальным. В тексте ответа D говорится, что учетная запись удаляется после копирования. Если действовать таким образом, нет смысла предварительно копировать учетную запись — намного проще было бы просто переименовать ее. Еще одна альтернатива, отсутствующая в списке, заключается в том, чтобы сохранить старую учетную запись на случай возможного возвращения пользователя или для аудита системы безопасности. Так как ответ D требует излишней работы и не изменяет пароля учетной записи, он считается неправильным.
Question 3
Which of the following built-in groups, otherthan Administrators, have the default right to log on locally to a Windows NT Server?
Вопрос 3
Каким из перечисленных ниже встроенных групп, кроме группы администраторов (Administrators), по умолчанию разрешается локальный вход на сервер Windows NT?
Право локального входа в Windows NT Server по умолчанию предоставляется следующим встроенным группам: операторы сервера (Server Operators), операторы учетных записей (Account Operators), операторы архива (Backup Operators) и операторы печати (Print Operators). Следовательно, правильный ответ — С.
Question 4
How do you demote a BDC to a file server?
Вопрос 4
Как понизить BDC до уровня выделенного сервера?
Хотя Server Manager позволяет повысить BDC до уровня PDC, понижение контроллера домена до рядового сервера потребует переустановки Windows NT Server. Сказанное относится и к обратному преобразованию, следовательно, правильный ответ — С. В приведенном примере вам придется переустановить Windows NT Server, а когда система потребует задать роль данного сервера — выбрать Stand-Alone or Member Server (автономный или выделенный сервер).
Question 5
Bill used to belong to the Production group. Now he has been reassigned to Engineering. Because of this change, he must be able to access program source files in the \Source directory on the file server. The Engineering and Administrators groups have Full Control permissions to the \Source directory. The Production group has No Access permission. After logging on as a member of the Engineering group. Bill notices that he still cannot access the files in the \Source directory on the file server. What is the best way for Bill's domain administrator to grant him the required access to the \Source directory?
Вопрос 5
Прежде Билл входил в группу Production, а сейчас он переведен в группу Engineering. После перевода он должен получить доступ к исходным текстам программ, находящимся в каталоге \Source на файловом сервере. Группы Engineering и Administrators обладают правом полного доступа (Full Control) к каталогу N^ource. Для группы Production доступ к каталогу запрещен (No Access). Билл входит в систему как член группы Engineering и замечает, что он не может получить доступ к файлам каталога \Source на файловом сервере. Каким оптимальным способом администратор домена, к которому принадлежит Билл, может предоставить ему необходимый доступ к каталогу \Source? О А. Удалить учетную запись пользователя Билла из группы Administrators. О В. Удалить учетную запись пользователя Билла из группы Production. О С. Предоставить учетной записи пользователя Билла право доступа к каталогу \Source. О D. Включить учетную запись пользователя Билла в группу Administrators.
Если пользователь принадлежит группе, для которой установлено отсутствие доступа к каталогу, то ему будет отказано в доступе к каталогу NTFS, потому что запрет доступа всегда обладает наибольшим приоритетом. Даже если включить Билла в группу Administrators, он все равно не сможет получить доступ к файлам каталога \Source. Единственный способ предоставить Биллу полный доступ к каталогу \Source — удалить его учетную запись пользователя из группы Production, следовательно, правильный ответ — В.
Question б
You want to modify user logon scripts to ensure that users have access to the latest shared resources. What is the best way to do this?
Вопрос б
Вы хотите изменить сценарии входа пользователей так, чтобы они всегда имели доступ к новейшим общим ресурсам. Как лучше всего выполнить эту задачу?
Сценарии входа должны экспортироваться с PDC на все BDC, отвечающие за проверку подлинности пользователей в сети. По умолчанию для сценариев входа на PDC используется экспортирующий каталог C:\Winnt\System32\Repl\Export\Scripts; следовательно, ответ Аправилен. Служба репликации обрабатывает лишь файлы из подкаталогов, находящихся в иерархии ниже каталога ...\Export\Scripts. Включение этого подкаталога в ответ А делает его однозначно правильным.
Question 7
What is the most efficient method for installing client administration tools on your network clients?
Вопрос 7
Какой самый эффективный способ установки клиентских средств администрирования на ваших сетевых клиентах?
Network Client Administrator — лучшее средство для совместного использования установочных файлов, находящихся на NT Server CD, следовательно, правильный ответ — С. Client Administrator позволяет эффективно установить программное обеспечение сетевого клиента посредством создания набора установочных дисков или диска сетевой установки.
Question 8
Which of the following is the best application to use to create a new shared directory on a domain server from your Windows NT workstation computer?
Вопрос 8
Какая из перечисленных ниже программ лучше всего подходит для создания нового общего каталога на сервере домена с рабочей станции Windows NT?
Пользователи создают общие ресурсы на удаленных компьютерах с помощью программы Server Manager, следовательно, правильный ответ — В. Все остальные программы не справятся с этой задачей, поэтому ответы А, С и D неверны.
Question 9
Which of the following types of computers can be configured to export files during replication? [Check all correct answers]
Вопрос 9
Какие из следующих типов компьютеров могут быть настроены на экспортирование файлов в процессе репликации? [Пометьте все правильные ответы]
Только компьютеры, работающие под управлением Windows NT Server (выделенные серверы, а также основные и резервные контроллеры доменов), могут быть настроены на экспортирование файлов в процессе репликации, следовательно, правильные ответы — А и В.
Question 10
You want to force John to use the same user profile on any workstation; how do you do this?
Вопрос 10
Вы хотите, чтобы Джон принудительно использовал один и тот же профиль пользователя на любой рабочей станции; как это сделать?
Чтобы создать перемещаемый профиль, необходимо сначала скопировать профиль пользователя с его рабочей станции в общий каталог. Для этого следует выделить файл профиля с компьютера пользователя на вкладке User Profiles приложения System из панели управления, выбрать команду Сору То и ввести UNC-путь к серверу, на котором будет находиться профиль. Затем в поле User Profile Path в диалоговом окне User Environment Profile водится полный UNC-путь к скопированному профилю пользователя. Следовательно, правильный ответ — D.
Дополнительная информация
Найдите на компакт-диске TechNet (или в его электронной версии на www.microsoft.com) ключевые выражения «user management», «replication», «domain controllers» и «groups».
The Windows NT Server Resource Kit содержит много полезной информации по общим ресурсам и правам доступа. Кроме того, попробуйте поискать на компакт-диске TechNet или на диске, прилагаемом к Resource Kit, слова «shares», «resource management» и «user management».
Дополнительную информацию Вы можете получить в компании Interface Ltd.
Отправить
ссылку на страницу по e-mail
Обсудить на форуме Microsoft
Interface Ltd. Отправить E-Mail http://www.interface.ru |
|
Ваши замечания и предложения
отправляйте автору По техническим вопросам обращайтесь к вебмастеру Документ опубликован: 15.05.01 |