Аудит принтера

При помощи механизма аудита отслеживается использование принтера. Для конкретного принтера можно определить группы, пользователей и действия, которые требуется отслеживать. Можно отслеживать и успешные, и неудачные действия. Аудит можно вести как для принтера, так и для документов (индивидуально или вместе). Система сохраняет информацию, сгенерированную службой аудита в файле, который можно просматривать с помощью оснастки Event Viewer (Просмотр событий).

Чтобы выполнять аудит принтера, сначала нужно включить политику доступа к объектам (см. главу 21 "Использование групповых политик"), а затем в окне свойств выбранного принтера перейти на вкладку Security (см. рис. 9.21) и нажать кнопку Advanced (Дополнительно). В окне Advanced Security Settings (Дополнительные параметры безопасности) перейдите на вкладку Audit (Аудит). Нажмите кнопку Add (Добавить) и выберите пользователя или группу, для которых будет вестись аудит. В окне Auditing Entry (Элемент аудита) (рис. 9.22) установите флажки для тех операций доступа к принтеру, которые необходимо отслеживать.

Для отслеживания событий, производимых с принтером, нужно выбрать параметры аудита, показанные в табл. 9.6.

Рис. 9.22. В этом окне выбираются события аудита принтера

Таблица 9.6. События, связанные с печатью, для которых возможен аудит

Отслеживаемые события

Print (Печать)

Manage Printers (Управление принтерами)

Manage Documents (Управление документами)

Read Permissions (Чтение разрешений)

Change Permissions (Смена разрешений)

Take Ownership (Смена владельца)

Печать документов

Изменение предпочтений печати

Изменение свойств заданий на печать

Приостановка и продолжение печати, печать документов с начала и удаление документов

&nbsp-

Изменение параметров документов по умолчанию

Установка принтера в совместное использование

Изменение свойств принтера

Удаление принтера

Просмотр разрешений на принтер

Изменение разрешений на принтер

Получение прав владельца принтера

Безопасность принтера

Средства безопасности Windows Server 2003 позволяют управлять доступом к принтерам, отслеживать использование принтера и получение прав владельца, а также становиться его владельцем (take ownership).

По умолчанию все вновь созданные общие принтеры доступны всем пользователям сети. Чтобы ограничить доступ к принтеру, нужно изменить установки разрешения принтера для заданной группы или пользователя. Для этого необходимо быть владельцем принтера или пользователем, которому предоставлено разрешение на управление принтером. Эти свойства доступны на вкладке Security (Безопасность) окна свойств принтера (рис. 9.21); список имеющихся функций печати и основных разрешений приведен в табл. 9.5.

Рис. 9.21. Вкладка Security окна свойств принтера позволяет управлять доступом к нему

Таблица 9.5.Управление доступом к принтеру

&nbsp Функции печати, которые можно выполнять	Разрешения
Print (Печать)	Manage Documents (Управление документами)		Manage Printers (Управление принтерами)
Печатать документы	+		+		+
Приостанавливать, продолжать, перезапускать и отменять печать документа, принадлежащего пользователю	+		+		+
Устанавливать соединение с принтером	+		+		+
Управлять установками для всех заданий печати	&nbsp	+		+
Приостанавливать, перезапускать и удалять все документы	+	+
Выделять принтер в совместное использование		+
Изменять свойства принтера		+
Удалять принтер		+
Изменять разрешения принтера	&nbsp			+

По умолчанию на компьютерах под управлением Windows Server 2003, входящих в домен, разрешения Manage Printers и Manage Documents имеют только члены групп Administrators, Print Operators (Операторы печати) и Server Operators (Операторы сервера). Все остальные пользователи имеют разрешение Print (т. е. могут управлять собственными документами).

Службы печати

Общие сведения о службах печати Windows Server 2003

Использование форм печати

Модель печати Windows Server 2003 основана на понятии формы (form), в отличие от модели печати, основанной на понятии лотка (tray). В Windows Server 2003 администратор сервера печати конфигурирует сервер печати, определяя форму, загруженную в каждый источник бумаги (лоток). Форма задается с помощью следующих критериев: размер бумаги, границы печати принтера, имя формы. Выполняя Windows-приложения, каждый пользователь может выбирать желаемую форму печати. Это освобождает его от необходимости знать, какую форму содержит каждый лоток. Модули диспетчера очереди печати сервера печати Windows Server 2003 содержат назначения лотков и параметров форм и посылают команды устройству печати, чтобы оно выбрало правильный лоток.

Приложения Windows могут использовать различные формы печати в пределах одного документа: например, форму Envelope (Конверт) для первой страницы, форму Letterhead (Фирменный бланк) для второй страницы и Letter (Письмо) для третьей и последующих страниц.

Использование пула печати

Пул печати состоит из двух или более идентичных устройств печати, связанных с одним принтером. Чтобы установить пул, нужно создать принтер при помощи Мастера установки принтера (Add Printer Wizard) и назначить для него столько портов вывода, сколько имеется идентичных устройств печати. (Система не устанавливает никакого ограничения на число принтеров в пуле.) Если какое-либо устройство печати будет свободно, оно и получит следующий документ. Подобная схема максимизирует использование устройств печати и уменьшает время ожидания пользователем печати своего документа (рис. 9.15).

Рис. 9.15. Пул принтеров

Характеристики пула принтеров перечислены ниже.

Все устройства в пуле одной модели и функционируют как одно устройство. Все установки параметров печати относятся ко всему пулу.

Порты принтера могут быть одного или разных типов (параллельные, последовательные или сетевые).

Когда пул принтеров получает документ, диспетчер очереди печати проверяет состояние физических устройств печати, чтобы определить, которое из них свободно.

Если одно устройство внутри пула останавливает печать, например, когда в нем кончается бумага, это задержит только один документ, посланный на данное устройство печати. Другие документы продолжают печататься на других устройствах пула, в то время как задержанный документ ждет, пока нефункционирующее устройство не будет исправлено или пока он не будет послан на печать заново.

Невозможно предсказать, какой принтер пула получит определенный документ. Если активна служба сообщений Windows Server 2003 (Messenger Service), рабочая станция получит сообщение, которое указывает, что печать документов выполнена и сообщает порт вывода принтера. Если вы не хотите, чтобы пользователи следили за этими сообщениями и искали тот принтер, на котором реально распечатался документ, то желательно поместить устройства печати, объединенные в пул, в одном физическом месте.

Использование страниц-разделителей

Можно настроить принтер так, чтобы в начале каждого документа печаталась одна или больше страниц-разделителей. (Страницы-разделители обычно содержат информацию о том, кто отправил на печать данный документ, а также дату и время печати.)

Чтобы выбрать файл страницы-разделителя, нажмите кнопку Separator Page (Страница-разделитель) на вкладке Advanced (Дополнительно) окна свойств принтера. В открывшемся окне введите имя файла страницы-разделителя вручную или нажмите кнопку Browse (Обзор) и выберите файл. Можно использовать одну из четырех страниц-разделителей (файлы с расширением sep в папке %SystemRoot%/system32), поставляемых вместе с системой, или создать собственный файл страницы-разделителя.

В табл. 9.3 приведены имена четырех стандартных страниц-разделителей, указаны назначение каждой и тип принтера, с которым она является совместимой. Любую страницу-разделитель можно отредактировать. По умолчанию все файлы страниц-разделителей хранятся в папке %SystemRoot%\ system32.

Таблица 9.3.Стандартные страницы-разделители, поставляемые с Windows Server 2003

Имя файла	Назначение	Совместимость
pcl.sep	Переключает принтер в режим печати PCL и печатает страницу-разделитель перед каждым документом	PCL
pscript.sep	Переключает принтер в режим печати PostScript, но не печатает страницу-разделитель перед каждым документом	PostScript
sysprint.sep	Переключает принтер в режим печати PostScript и печатает страницу-разделитель перед каждым документом	PostScript
sysprtj.sep	Печатает страницу-разделитель перед каждым документом с указанием параметров задачи	PostScript

Изменение параметров планирования и очереди печати

На вкладке Advanced (Дополнительно) диалогового окна свойств принтера можно изменять параметры планирования документов и очереди печати (рис. 9.20 и табл. 9.2). Эти параметры можно разбить на несколько категорий:

диапазон времени, когда принтер доступен;

приоритет принтера;

опции очереди печати;

установки по умолчанию;

страница-разделитель.

Рис. 9.20. Параметры планирования и очереди печати

Таблица 9.2. Параметры планирования и спулинга

Параметр		Описание
Always available (Доступен всегда) и Available from ... То ... (Доступен с ... до ...)		Определяет, когда принтер доступен
Priority (Приоритет)		Устанавливает приоритет очереди печати (0-99); документы с более высоким приоритетом печатаются в первую очередь
Start printing after last page is spooled (Начинать печать после помещения в очередь всего задания)		Предотвращает задержки, когда сервер печати печатает страницы быстрее, чем клиент может их посылать
Start printing immediately (Начинать печать немедленно)		Предписывает печатать документы настолько быстро, насколько это возможно (значение по умолчанию)
Print directly to the printer (Печатать прямо на принтер (ускорение вывода на печать))		Посылает документы на устройство печати без предварительной записи их на жесткий диск сервера печати
Hold mismatched documents (Задерживать документы с неподходящими параметрами)		Предписывает сохранять документы, посланные в очередь, если они не соответствуют доступной форме. Эта опция разрешает пропускать другие документы, которые соответствуют форме, на печать до тех пор, пока не будет загружена правильная форма
Print spooled documents first (Первыми печатать документы из очереди)		Предписывает диспетчеру очереди печати печатать документы в порядке, в котором они находятся в очереди (по окончании передачи), а не в порядке, в котором они начинают посылаться в очередь. Используйте эту опцию вместе с опцией Start printing immediately
Keep printed documents (Сохранять документы после печати)		Разрешает пользователям повторно посылать документы из очереди печати вместо того, чтобы посылать их заново из прикладной программы
Enable advanced printing features (Включить дополнительные возможности печати)		Разрешает использование таких возможностей, как инвертирование очередности печати страниц, печать нескольких страниц на одном листе и др.

Мониторинг удаленных принтеров

Можно управлять локальным или удаленным сервером печати с любого клиента Windows в сети, если у пользователя имеется разрешение Manage Printers (Управление принтерами) на этом сервере печати. Выбирая принтер из сетевого окружения, можно дистанционно управлять параметрами принтера и создавать новые принтеры точно так же, как это делается локально. В Windows Server 2003 появилась также возможность дистанционного администрирования портов сервера печати.

Любой сетевой пользователь может проверять состояние удаленного принтера. Однако управлять документами, отличными от их собственных документов, могут только пользователи, имеющие разрешения Manage Printers (Управление принтерами) или Manage Documents (Управление документами) для принтера. Если нет соответствующего разрешения, некоторые опции недоступны. Также при попытке просмотра некоторых параметров на компьютерах, работающих с предыдущими версиями Windows NT, может появиться сообщение об ошибке.

Чтобы быстро обращаться к принтерам, которыми часто приходится управлять, создайте для них ярлыки на рабочем столе. Ссылка (ярлык) на принтер создается перемещением значка принтера из папки Printers and Faxes (Принтеры и факсы) или My Network Places (Сетевое окружение) на рабочий стол (во втором случае, если принтер не установлен, система предложит инсталлировать его). Система предложит создать ярлык для выбранного принтера — следует ответить утвердительно.

Настройка параметров сервера печати

Чтобы просмотреть и установить параметры сервера печати, нужно в окне Printers and Faxes из меню File выбрать команду Server Properties (Свойства сервера). С помощью диалогового окна Print Server Properties (Свойства сервера печати) можно:

создать пользовательские формы, доступные для всех принтеров на сервере;

изменить установки портов для всех портов на сервере (рис.9.24);

установить драйверы принтера для различных аппаратных платформ и операционных систем;

выбрать новое расположение файла спулинга, установить регистрацию ошибок диспетчера очереди печати и задать опции уведомления для всех принтеров на сервере.

Рис. 9.24. Вкладка окна свойств сервера печати, позволяющая настраивать порты печати

Настройка принтера

В любой момент в диалоговом окне свойств принтера (рис. 9.17) можно просматривать и устанавливать следующие параметры принтера:

общие параметры (драйвер принтера и установки страницы-разделителя);

порт и параметры порта;

параметры планирования документов и очереди печати;

имя общего ресурса принтера и имя каталога, а также его местоположение;

установки безопасности;

параметры, зависящие от устройства.

Рис. 9.17.Диалоговое окно свойств принтера

Чтобы вызвать диалоговое окно свойств принтера, откройте папку Printers and Faxes, выберите нужный принтер, а затем на боковой панели задач щелкните ссылку задачи Set printer properties (Установка свойств принтера) или выполните команду Properties в контекстном меню.

Нужно сказать, что службы печати

Нужно сказать, что службы печати семейств Windows XP и Windows Server 2003 претерпели немного изменений по сравнению с Windows 2000. Перечислим самые важные новинки и отличия для этих семейств.

Папка Printers (Принтеры) теперь называется Printers and Faxes (Принтеры и факсы) и содержит список всех принтеров и факсов — локальных и удаленных, к которым подключен данный пользователь. Она доступна из панели управления или непосредственно из меню Start (Пуск).Удобнее пользоваться новым (не-классическим) интерфейсом меню Start, т. к. он позволяет непосредственно обращаться к папке Printers and Faxes.

Больше не поддерживается протокол Data Link Control (DLC), используемый по умолчанию некоторыми устаревшими версиями серверов печати Jet Direct компании Hewlett-Packard. Рекомендуется обновить эти серверы печати на новые, поддерживающие протокол IP, и использовать стандартный монитор портов (обновленный в Windows Server 2003 и обеспечивающий большую производительность).

Обеспечивается совместное использование не только принтеров, но и факсов: вы можете с любого компьютера сети отправить или получить факс, пользуясь факс-модемом, подключенным к другому компьютеру. (Подробнее см. главу 14 "Коммуникационные службы".)

Клиенты компьютеров, работающих под управлением Windows XP и Windows Server 2003, могут изменять личные установки печати документов, заданные по умолчанию администратором.

Администраторы могут с помощью групповых политик управлять установкой на компьютеры драйверов печати, работающих в режиме ядра (kernel-mode drivers).

Кроме того, имеется новшество, касающееся кластерных систем под управлением Windows Server 2003: драйверы печати, установленные на одном узле кластера, автоматически копируются на другие узлы. Раньше эти драйверы нужно было устанавливать индивидуально на каждый узел кластера.

В Windows Server 2003 также повышена производительность печати (по сравнению с Windows 2000) за счет оптимизации работы диспетчера печати (спулера).

Отсрочка печати документов

Один из способов оптимизации работы устройств печати состоит в том, чтобы распределить время печати. Например, если нагрузка на принтер велика в течение дня, можно откладывать печать менее важных документов, направляя их на принтер, который печатает только в более свободное время.

Для этого на вкладке Advanced (Дополнительно) (см. рис. 9.20) диалогового окна Properties (Свойства) принтера нужно задать время, в течение которого принтер может печатать документы. Когда указывается время печати, диспетчер очереди печати принимает документы в любое время, но не отправляет их на целевое устройство печати до обозначенного времени начала печати. По достижении времени окончания периода печати диспетчер очереди печати останавливает отправку документов на устройство печати и сохраняет любые остающиеся документы, пока не настанет время нового периода печати (рис. 9.13).

Рис. 9.13. Отсрочка печати документов

Печать через Интернет

В системах Windows Server 2003 доступ к сетевым принтерам можно получать через корпоративные интрасети и через Интернет. Печать через Интернет работает так же, как и традиционная сетевая печать. Документы для печати можно отправлять непосредственно на URL сетевого принтера и устанавливать драйверы принтеров из URL. Более того, сервер печати, организованный на основе Windows Server 2003, можно посетить точно так же, как и веб-узел, используя адрес типа http://<имяСервера>/<имяПринтера> или http://<имяСервера>/<общийРесурс>.

Для администраторов HTTP-принтер выглядит так же, как и любой другой общедоступный принтер. Сначала создается принтер на сервере, как описано ниже в этой главе. Затем, чтобы получить возможность веб-просмотра, необходимо установить службу WWW, входящую в состав служб Internet Information Services (рис. 9.9).

Рис. 9.9. Печать через Интернет

Пользовательские страницы-разделители

Чтобы создать страницу-разделитель, можно переименовать и изменить один из поставляемых файлов-разделителей. Табл. 9.4 содержит команды, которые можно включать в файл страницы-разделителя. Система заменяет эти команды-разделители соответствующими данными, которые будут посланы непосредственно на принтер.

Команды-разделители всегда начинаются со специального символа и заканчиваются символом или номером. Первая строка пользовательской страницы-разделителя должна содержать только команду-разделитель.

Таблица 9.4. Команды, применяемые в страницах-разделителях

Команда		Функция
\		Первая строка файла-разделителя состоит из одного символа. Интерпретатор файлов разделителей считает его командой-разделителем для всего файла-разделителя. Здесь таким символом считается обратный слэш (\)
\N		Печатает имя пользователя, который послал документ на печать
\I		Печатает номер документа
\D		Печатает дату, когда документ был напечатан. Представление даты соответствует установкам утилиты "Язык и региональные стандарты" (Regional Options) на панели управления
\Т		Печатает время, когда документ был напечатан. Представление времени соответствует установкам утилиты "Язык и стандарты на панели управления"
\Lxxxx		Печатает все символы, идущие после него (хххх), пока встретится другая команда-разделитель или пока не достигнута ширина страницы-разделителя (см. команду \wnn)
\Fpathname		Печатает содержимое файла, определяемого параметром pathname, начиная с пустой строки. Содержание этого файла копируется непосредственно на принтер без обработки
\Hnn		Посылает специфическую для принтера управляющую последовательность, где nn— шестнадцатеричный код ASCII, посылаемый непосредственно на принтер. Конкретные значения см. в руководстве принтера
\Wnn		Устанавливает ширину страницы-разделителя в символах (по умолчанию — 80; максимальная ширина — 256). Любые печатаемые символы вне этой ширины усекаются
\B\S		Печатает текст блочными символами одиночной ширины, пока не встретится команда \и
\E		Прогоняет страницу. Используйте этот код, чтобы начать новую страницу разделителя или закончить файл страницы-разделителя. Если принтер выдает дополнительную пустую страницу-разделитель при печати, нужно удалить этот код из файла страницы-разделителя
\n		Пропускает n строк (от 0 до 9). При n = 0 продолжает печать на следующей строке
\B\M		Печатает текст блочными символами двойной ширины, пока не встретится команда \и
\U		Выключает блочные символы

с документом, посланным на принтер

Приведем краткий перечень операций (рис. 9.8), производимых с документом, посланным на принтер с клиента Windows, для которого Windows Server 2003 используется как сервер печати (некоторые процессы для клиентов с системами, отличными от Windows, будут немного другими).

1. Пользователь на компьютере-клиенте Windows запрашивает печать документа из приложения.

2. Если документ послан из Windows-приложения, приложение обращается к графическому интерфейсу устройства (GDI), который вызывает драйвер принтера, связанный с целевым принтером. На основе информации о документе GDI и драйвер принтера формируют задание на печать на языке управления принтером, а затем передают его клиентскому диспетчеру очереди печати. Если клиент работает под управлением операционной системы, отличной от Windows, или приложение не является Windows-приложением, то для выполнения подобной задачи используется какой-либо другой компонент.

3. Клиентский компьютер поставляет задание по выводу на печать серверу печати. Для клиентов Windows NT 4.0/2000/XP/Server 2003 клиентский диспетчер очереди печати выполняет удаленный вызов процедуры (RPC) на стороне серверного диспетчера очереди печати, который использует маршрутизатор, чтобы вызвать провайдер удаленной печати на клиентской стороне. Провайдер удаленной печати инициализирует другой вызов RPC к диспетчеру очереди печати на сервере, который принимает по сети задание на печать.

Рис. 9.8. Процесс печати в Windows Server 2003

4. На сервер печати задания от клиентов Windows NT 4.0/2000/XP/Server 2003 поступают в формате расширенный метафайл (extended metafile, EMF). Большинство He-Windows-приложений используют тип данных RAW ("сырой", готовый к печати).

5. Маршрутизатор на сервере передает задание на печать локальному провайдеру печати на сервере (компонент диспетчера очереди печати), который помещает его в очередь (записывает на диск).

6. Локальный провайдер печати вызывает монитор печати, который опознает тип данных задания и принимает задание на печать, преобразуя его согласно типу данных.

7. Если целевой принтер задан на клиентском компьютере, служба печати на сервере решает, должен ли диспетчер очереди печати сервера преобразовать задание или назначить другой тип данных. Затем задание передается локальному провайдеру печати, который записывает его на диск.

8. Управление заданием на печать переходит к процессору страниц-разделителей, который добавляет к началу задания страницу-разделитель, если она задана.

9. Затем задание передается монитору печати. Монитор печати может состоять из монитора языка (language monitor) и монитора порта (port monitor). Для двунаправленных принтеров монитор языка обеспечивает двустороннюю связь между компьютером и принтером, а затем передает задание на печать на монитор порта. Если принтер не является двунаправленным, задание на печать идет непосредственно на монитор порта, который посылает его на принтер (или на другой сетевой сервер печати).

10. Принтер принимает задание на печать, преобразует каждую страницу в растровый формат и печатает ее.

Службы печати

Операционные системы из семейства Windows NT всегда предоставляли широкие функциональные возможности для печати. В системах Windows 2000 эти возможности были существенно расширены, а в Windows ХР и Windows Server 2003, можно сказать, достигли логического завершения в своем развитии. (С точки зрения пользователя, возможности печати в системах семейства Windows Server 2003 практически не отличаются от тех, которые предоставляют системы Windows XP.)

Эта глава содержит основные сведения по установке и совместному использованию принтеров в сети на базе систем Windows Server 2003. Установка принтеров сама по себе проста, однако требуется достаточно много времени, чтобы изучить различные способы конфигурирования принтеров, особенно при их работе в сети. Тщательно планируя доступ к принтерам, можно оптимизировать работу каждого из них и в то же время избежать больших задержек при печати.

Системы Windows 2000, Windows XP и Windows Server 2003 поддерживают самые разные режимы печати, включая печать через Интернет. Технология Plug and Play, веб-интерфейс для управления принтерами и возможность поиска в каталоге Active Directory максимально упрощают установку, поиск и подключение принтера, а также управление заданиями печати.

Совместное использование и публикация принтеров

На вкладке Sharing (Доступ) окна свойств принтера (рис. 9.18) можно разрешить общий доступ к принтеру. Для этого выберите переключатель Share this printer (Общий ресурс), а затем введите имя общего ресурса (принтера) в поле ввода.

Рис. 9.18. Управление доступом и драйверами

Хотя можно создавать принтеры с длинными именами, содержащими пробелы и специальные символы, некоторые клиенты не распознают такие имена или обрабатывают их неправильно. Если в сети есть клиенты с различными операционными системами, желательно, чтобы длина общего имени принтера не превышала 12 символов, которые не содержат пробелов или специальных символов.

Клиент Windows Server 2003 может устанавливать соединение с принтером, используя или имя принтера, или имя общего ресурса принтера. Клиент, работающий под управлением другой операционной системы, устанавливает соединение с принтером с указанием имени общего ресурса принтера. Если принтеры совместно используются в сети с компьютерами под управлением MS-DOS, имя общего ресурса должно иметь длину не более 8 символов, за которыми могут следовать точка и от 1 до 3 символов, имя также не должно содержать пробелы.

Чтобы печатать из приложений MS-DOS под Windows Server 2003 на серверах печати Windows Server 2003, нужно сначала выполнить команду net use из командной строки Windows Server 2003. Для получения более подробной информации об использовании этой команды выполните команду net use /? в командной строке.

На вкладке Sharing можно также разрешить публикацию принтера в каталоге Active Directory (флажок List in the directory). Заданное по умолчанию имя в каталоге — \\server_name\share_name.

Создание пользовательских форм

Любой пользователь, имеющий для принтера разрешение Manage Printers, может определить новую форму. Например, можно создать форму, которая использует формат бумаги Letter и нестандартные отступы для специальных бланков. Можно также создать несколько форм, имеющих один и тот же размер бумаги или одинаковые отступы в соответствии со специфическими потребностями пользователя.

Рис. 9.25. Назначение лотку принтера формы "A4-Special", созданной пользователем

Например, можно создать формы, которые имеют уникальные имена, но общие размер бумаги и область печати, чтобы различать фирменные бланки разных отделов.

Новые определения форм добавляются в базу данных сервера печати и сохраняются в ней, а не на принтере. Для создания новой формы нужно использовать вкладку Forms (Формы) в окне свойств сервера печати. Формы назначаются конкретному устройству печати и лотку при помощи вкладки Device Settings (Параметры устройства) диалогового окна свойств принтера (рис. 9.25).

Создание принтеров

После принятия решения о том, как пользователи будут совместно использовать сетевые принтеры, необходимо подключить устройства печати к сети. Совместно используемые устройства печати могут быть подключены к параллельным или последовательным портам компьютера-сервера печати или непосредственно к сети, если они имеют встроенную плату сетевого адаптера.

При создании принтера требуется:

выбрать порт принтера (если используется пул принтеров, выбрать несколько портов);

указать изготовителя принтера и модель;

задать имя принтера;

определить имя общего ресурса принтера для доступа к нему сетевых пользователей (если имеются клиенты Windows 3.x или MS-DOS, которые будут обращаться к этому принтеру по сети, используется короткое имя — до 8 символов).

Когда подключается новый локальный принтер и мастер установки принтера спрашивает о выборе порта принтера, в списке существующих портов обычно выбирается один из параллельных портов (LPT). Однако некоторые устройства печати и графопостроители подключаются через последовательные порты (СОМ).

После задания общих характеристик принтера можно назначить принтеру некоторые зависящие от устройств параметры (шрифты, объем памяти принтера, возможность цветной печати и т. д.). От настройки параметров зависит то, как пользователи будут работать с устройством печати. Параметры принтера также определяют расписание работы, публикацию в каталоге и установки защиты. Если эти параметры не задавать, Windows Server 2003 использует установки по умолчанию.

Чтобы создать принтер на сервере печати, нужно зарегистрироваться на нем в качестве члена групп Administrators или Power Users.

В Windows Server 2003 мастер установки принтера по умолчанию разрешает совместное использование принтера и публикует его в Active Directory, если это не отменено во время установки в окне мастера. В дальнейшем эти установки можно изменять в любой момент.

Если в будущем понадобится совместно использовать принтер для клиентов, отличных от Windows 2000/XP или Windows Server 2003, нужно установить соответствующие (дополнительные) драйверы принтера для этих клиентов на сервере печати.

Срочность печати и уровни приоритета

Если требуется напечатать документ немедленно и обойти в очереди документы, ожидающие на устройстве печати, можно сделать это, создав принтеры с различными уровнями приоритета. (Приоритет печати устанавливается на вкладке Advanced окна Properties.) Если два принтера связаны с одним устройством печати, первыми будут печататься документы, направленные на принтер с самым высоким уровнем приоритета (самый большой номер) (рис. 9.14).

Рис. 9.14. Установка уровней приоритетов печати

Чтобы использовать преимущества такой системы приоритетов, необходимо создать несколько принтеров, которые привязаны к одному устройству печати. Нужно назначить каждому принтеру уровень приоритета, а затем создать группу пользователей, которые привязываются к каждому принтеру. Например, пользователи в группе Group 1 могли бы иметь права доступа к принтеру с приоритетом 1, пользователи в группе Group2 — к принтеру с приоритетом 2 и т. д. Таким образом, можно располагать документы по приоритетам в соответствии с группами пользователей, посылающими на печать свои документы.

Терминология

В системах Windows NT (от Windows NT до Windows Server 2003) устройством печати (printing device) называется реальное физическое устройство, которое собственно и выполняет печать. Принтер (printer) — это программный интерфейс между операционной системой и устройством печати. (В некоторых других сетевых операционных системах этому понятию соответствует термин очередь печати.) Принтер определяет различные аспекты процесса печати, например, куда будет послан документ (в локальный порт, в файл или на удаленный общий ресурс печати), отправленный на печать. Когда пользователи устанавливают соединение с принтерами, они используют логическое имя принтера, которое может представлять одно или несколько устройств печати.

Драйвер принтера (printer driver) — программа, которая преобразует графические команды в специфический язык типа PostScript или PCL. Windows Server 2003 предоставляет драйверы для наиболее распространенных устройств печати. Когда принтер создается, устанавливается драйвер принтера и — факультативно — можно сделать принтер доступным по сети для совместного использования.

В терминологии Windows NT, очередь (queue) — группа документов, ждущих печати. В ОС NetWare и OS/2 очереди — первичный программный интерфейс между приложением и печатающим устройством: пользователи посылают документы в очередь. Однако в системах линейки Windows NT этим интерфейсом является принтер, и документ посылается на принтер, а не в очередь.

Спулер (spooler) печати, или диспетчер очереди печати — набор динамических библиотек (DLL), которые получают, обрабатывают, планируют и распределяют документы.

Спулинг (spooling) — процесс записи содержимого документа в файл на диске. Этот файл называется файлом спулинга (spool file) или файлом очереди печати.

Сервер печати (print server) — любой компьютер, который получает документы от клиентов и имеет подключенное локально устройство печатное разрешенным общим доступом.

Компьютеры под управлением Windows XP также могут выполнять функции сервера печати, хотя они имеют ряд ограничений: они не поддерживают печать для платформ Macintosh или NetWare, число клиентских подключений по локальной сети ограничено 10.

Устройства печати с сетевым интерфейсом (network-interface print devices) — устройства печати, имеющие собственные сетевые платы; они не соединяются физически с сервером печати, т. к. подключены к сети непосредственно.

печать на локально подключенное устройство

Можно рассматривать два способа "удаленной" печати:

печать на локально подключенное устройство печати, имеющее собственную сетевую плату;

печать на сервер печати (имеющий физически подключенное устройство печати или локально подключенное и предоставленное в общее пользование устройство печати с сетевым интерфейсом).

В первом случае необходимо устанавливать драйверы печати на каждый компьютер сети; при этом пользователи имеют свои настройки и очереди печати и не могут контролировать работу устройства печати (поскольку очереди не зависят друг от друга).

Во втором — предпочтительном — случае устройство печати используется совместно, при этом сервер печати управляет общей очередью. Это дает следующие преимущества:

параметрами принтера управляет только сервер печати:

общая очередь печати позволяет пользователям контролировать очередность заданий;

общие для всех пользователей сообщения об ошибках позволяют им видеть истинное состояние принтера;

часть работы по обеспечению печати переходит от клиента к серверу печати;

администратор легко может контролировать принтер и централизованно выполнять аудит.

Windows Server 2003 обеспечивает все возможности удаленного сервера печати. Когда клиенты Windows NT/2000 и Windows 9x/ME соединяются с правильно настроенным сервером печати Windows Server 2003 (рис. 9.7), драйвер принтера автоматически устанавливается на клиентском компьютере. Если на сервере установлен более новый драйвер принтера, компьютеры-клиенты Windows NT 4.0 и 2000/ХР загружают его автоматически. Однако если на сервере устанавливается новый драйвер для клиентов Windows 9х/МЕ, эти клиенты должны обновить его вручную.

Рис. 9.7. Удаленная печать в Windows Server 2003

Управление доступом к принтерам

Перед установкой принтеров на сервере нужно определить параметры конфигурации, которые могут улучшить гибкость и эффективность сетевой печати. Затем можно переходить в папку Printer and Faxes для установки и конфигурирования принтеров.

В среде Windows Server 2003 не нужно иметь взаимно однозначную связь между принтерами (программными средствами) и устройствами печати (физическим оборудованием). Соединяя принтеры и устройства печати различными способами, можно гибко использовать средства печати (рис. 9.10— рис. 9.12; под изображениями принтеров показаны их логические имена).

Рис. 9.10. Один принтер — одно устройство печати

Возможность назначать несколько принтеров одному устройству печати обеспечивает пользователям гибкость при печати документов. Например, два принтера, связанные с одним устройством печати, могут поддерживать различные параметры печати: один может печатать страницы-разделители, а другой — нет. Возможно, один принтер может задерживать документы и печатать их ночью, в то время как другой обрабатывает документы 24 часа в сутки.

Рис. 9.11. Несколько принтеров — одно устройство печати

Рис. 9.12. Один принтер — несколько устройств печати

Управление очередью печати

Все непосредственное управление принтерами и документами происходит с помощью папки Printers and Faxes. Некоторые опции управления очередью управляют всей очередью печати, другие управляют одним документом в очереди.

При управлении очередью можно:

просмотреть список документов для каждого установленного принтера;

приостановить или продолжить печать;

удалить документы, ожидающие печати, т. е. очистить очередь.

При управлении документами можно:

приостановить или продолжить печать документа;

перезапустить печать документа;

удалить документ из очереди;

просмотреть и (необязательно) изменить различные установки документа (например, приоритет документа и имя пользователя, который будет оповещен об окончании печати документа). Можно просматривать (но не изменять) тип формы, источник бумаги, ориентацию страницы и число копий

В табл. 9.7 перечислены права, которые имеют пользователи групп Administrators и Power Users (групп Administrators, Print Operators и Server Operators — при работе в домене), а также обычные пользователи, при управлении очередями печати.

Таблица 9.7. Стандартные права пользователей печати по управлению заданиями

Задача	Пользователи с административными правами	Обычные пользователи
Просмотр всех заданий	+	+
Приостановка и возобновление работы принтера	+	-
Приостановка, отмена, диспетчеризация и перенаправление любых заданий	+	-
Приостановка, отмена, диспетчеризация и перенаправление своих заданий	+	+
Запуск задания с начала	+	+
Просмотр и изменение параметров задания	+	+
Просмотр форм, источников и ориентации бумаги, числа копий	+	+

Установка дополнительных параметров сервера

При помощи вкладки Advanced (Дополнительные параметры) в окне свойств сервера печати можно (рис. 9.27):

указать местоположение папки очереди печати (каталога спулинга);

разрешить регистрацию событий очереди печати;

сконфигурировать сервер печати так, чтобы он подавал звуковой сигнал в случае ошибок при посылке документов на печать;

сконфигурировать сервер печати так, чтобы он сообщал клиенту, когда удаленный документ закончил печать.

Если задается каталог спулинга, размещенный в файловой системе NTFS, пользователи должны иметь разрешение Change (Изменять) для того, чтобы осуществлять печать.

Если разрешена регистрация событий диспетчера очереди печати, Windows Server 2003 регистрирует ошибки в журнале System. Чтобы просмотреть файл регистрации системных событий, используйте оснастку Event Viewer (Просмотр событий).

Рис. 9.27. Дополнительные настройки сервера печати

Установка драйверов принтера для различных платформ

Различные аппаратные платформы и операционные системы требуют своих драйверов принтера (рис. 9.26).

Рис. 9.26. Настройка драйверов принтера для различных платформ

Например, чтобы использовать принтер, подключенный к компьютеру с Windows Server 2003, клиенту, который работает под Windows 4.0, требуется соответствующий драйвер принтера. Драйвер может быть установлен локально или на компьютере-сервере печати (предпочтительный вариант).

Если в сети имеются компьютеры с разными версиями Windows и на различных типах процессоров (Intel-совместимых или Itanium), устанавливать драйверы принтера для них лучше на каждом сервере печати. Это гарантирует, что документы, полученные от клиента Windows NT/2000 или Windows 9x/ME, работающего на процессоре любого типа, могут выводиться на всех устройствах печати. Вот полный список поддерживаемых драйверов: Intel-совместимые платформы (Windows 9x/ME, Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003), Itanium (Windows XP и Windows Server 2003).

Сервер печати Windows Server 2003 определяет, с каких систем и компьютеров выполняется обращение и автоматически посылает соответствующий драйвер клиенту.

Чтобы добавить поддержку для других платформ и систем, можно также использовать окно свойств принтера — вкладка Sharing, кнопка Additional Drivers (Дополнительные драйверы) (см. рис. 9.18).

Установка локального принтера

Проще всего установить принтер для локального устройства печати. Подключите физически устройство печати к компьютеру и включите их. Если устройство печати соответствует стандарту Plug and Play, то система автоматически распознает новое устройство и установит нужный драйвер. После этого вам необходимо лишь будет проверить выбранное для принтера имя и разрешить общий доступ к нему, если это требуется.

При возникновении проблем с установкой или если принтер не распознается автоматически, драйвер можно установить вручную. Перечислим основные шаги.

1. Откройте папку Printers and Faxes и выберите задачу Add a printer (Установка принтера) на панели Printer Tasks (Задачи), чтобы запустить мастер установки принтера.

2. Установите переключатель Local Printer attached to this computer (Локальный принтер) и сбросьте флажок Automatically detect and install my Plug and Play printer (Автоматическое определение и установка принтера Plug and Play).

3. Выберите порт, к которому подключено устройство. Обычно это порт LPT1.

4. Укажите производителя и модель устройства печати.

5. Введите имя принтера и укажите, будет ли он использоваться по умолчанию.

6. Укажите режим совместного использования принтера и введите его общее имя, если принтер будет использоваться совместно.

После того как драйвер принтера будет установлен, проверьте его работу, распечатав пробную страницу.

Процедура локальной установки устройства с сетевым интерфейсом будет несколько отличаться. Отличия начинаются на шаге 3 процедуры, описанной выше.

1. При подключении к устройству печати по протоколу TCP/IP установите переключатель Create a new port (Создать порт) и в списке Type of port (Тип порта) выберите значение Standard TCP/IP Port. Запустится мастер Add Standard TCP/IP Printer Port Wizard, который поможет вам создать новый порт.

2. На странице мастера Add Port (рис. 9.16) достаточно ввести IP-адрес устройства печати, при этом имя порта формируется автоматически. Это устройство должно быть включено и доступно!

Рис. 9.16. Создание нового порта принтера TCP/IP

Дальнейшая установка принтера происходит точно так же, как было описано выше.

Установка параметров памяти принтера

Поскольку постранично печатающие устройства должны хранить в памяти всю страницу, они требуют относительно больших объемов памяти. Если используется подобное устройство, например лазерный принтер, необходимо удостовериться, что объем памяти, имеющейся в устройстве (параметр Total Printer Memory (Память принтера)), соответствует значению, указанному на вкладке Device Settings (Параметры устройства) в окне свойств принтера. Если это значение не соответствует реальному, то производительность печати может снизиться, возможно также возникновение сбоев. Например, система может ошибочно загрузить в принтер больше шрифтов, чем тот в состоянии обработать. (При самотестировании принтер обычно сообщает объем установленного ОЗУ.)

Установка параметров, зависящих от устройства

Зависящие от устройства параметры принтера описывают физическую конфигурацию устройства печати: какие бумажные лотки установлены, сколько памяти имеет устройство и т. п. Эти параметры изменяются от устройства к устройству. При создании принтера используйте вкладку Device Settings (Параметры устройства) окна свойств принтера (рис. 9.23), чтобы удостовериться, соответствуют ли значения параметров, зависящих от устройства, установкам устройства печати. Хотя значения по умолчанию работают для многих конфигураций печати, некоторые специальные опции печати (например, для драйверов PostScript-принтера) требуют настройки.

Рис. 9.23. Параметры, зависящие от устройства печати

Большинство перечисляемых ниже возможностей были

Большинство перечисляемых ниже возможностей были реализованы уже в системах Windows 2000. В системах Windows XP и Windows Server 2003 отличия имеются преимущественно в пользовательском интерфейсе. Хотя ниже упоминается только семейство Windows Server 2003, перечисленные возможности распространяются и на Windows 2000, и на Windows XP.

Печать с использованием технологий Интернета. Архитектура печати Windows Server 2003 интегрирована со службами Интернета (Internet Information Services, IIS). Клиент может обращаться к сетевым принтерам через корпоративные интрасети или через Интернет. После того как принтер создан и разрешено его совместное использование, он появляется в HTML-папке принтеров.

Печать с применением URL (Uniform Resource Locator)

Пользователи клиентских компьютеров могут отправлять задания на серверы печати под управлением Windows Server 2003, используя формат URL: http: //<имя_сервера>/<имя_общего_ресурса>. Например, для вывода документа на печать можно использовать строку http://Finance/Ljet4si. Также возможна печать через брандмауэры Интернета. Например, чтобы послать факс группе технической поддержки Microsoft, необходимо указать адрес http://Fax.Support.Microsoft.com/FaxMe.

Просмотр состояния принтера

Если на компьютере установлены службы IIS, автоматически генерируются HTML-страницы, отображающие состояние принтеров и очередей печати (рис. 9.1 и 9.2). Клиент может использовать любой браузер на любой платформе, чтобы приостановить, продолжить или удалить свои задания печати. Администраторы также при помощи браузера могут просматривать состояния принтеров и изменять статус заданий печати.

Рис. 9.1. Просмотр состояния устройств печати на сервере печати

Установка принтеров

Принцип "укажи и печатай" ("point and print") позволяет клиентам одним щелчком мыши (в окне, показанном на рис. 9.1) установить общий принтер и выводить на него документы.

Установка драйверов с веб-сервера

При отсутствии драйверов на локальном компьютере и на сервере печати или для обновления драйверов предусмотрена возможность получения драйверов напрямую через Интернет от Microsoft или фирмы — изготовителя принтера. По умолчанию эта возможность сервера печати отключена из соображений безопасности.

Рис. 9.2. Просмотр состояния принтера, управление принтером и очередью печати с помощью веб-браузера

Стандартный монитор порта. Новый стандартный монитор порта соединяет сервер печати и принтеры, имеющие сетевой адаптер и использующие протокол TCP/IP. Он заменяет утилиту LPRMON для принтеров TCP/IP, связанных непосредственно с сетью или через сетевой адаптер. Для принтеров, подключенных к хостам UNIX или VAX, утилита LPRMON все еще необходима.

Мониторинг очереди печати. Работу локальных и удаленных принтеров можно контролировать при помощи системного монитора (System Monitor). Для ряда критериев производительности могут быть установлены счетчики, например, Bytes Printed/sec (Печатаемых байт/сек), Job Errors (Ошибок заданий) и Total Pages Printed (Всего напечатано страниц). Кроме того, по умолчанию все сообщения о напечатанных документах и ошибках печати регистрируются В журнале System (Event Type: Information; Event Source: Print; Event ID: 10 И 13).

Улучшенный пользовательский интерфейс. Интерфейс пользователя стал более удобным. Многие управляющие функции основаны на веб-интерфейсе. Новые средства перечислены ниже.

Новый веб-интерфейс папки Printers and Faxes и очередей печати со ссылками для получения дальнейшей информации и технической поддержки (рис. 9.3). Для отображения меню задач нужно в свойствах папок (значок Folder Option на панели управления) установить флажок Show common tasks in folders (Отображать общие задачи в папках).

Рис. 9.3. Папка Printers and Faxes

Имеется удобный мастер установки принтера (Add Printer Wizard), который позволяет пользователю искать принтер не только в сети, но и в каталоге Active Directory.

Улучшенное диалоговое окно свойств принтера — Printer Properties, с которым удобно работать, и теперь в нем есть возможность получения информации о принтере из каталога Active Directory (если компьютер входит в домен и принтер опубликован в каталоге).

Новый мастер дополнительных драйверов принтера для установки дополнительных драйверов принтера для клиентов Windows 9x/ME и Windows NT 4.0 или платформ Itanium (рис. 9.4). (Запускается при нажатии на кнопку Add (Добавить)) на вкладке Drivers (Драйверы) (см. рис. 9.26) в окне Print Server Properties (Свойства сервера печати). Свойства драйвера, появляющиеся при нажатии кнопки Properties (Свойства) для выбранного из списка драйвера, также доступны администраторам для просмотра из этого окна.) Дополнительные драйверы можно также устанавливать из окна свойств принтера после нажатия на кнопку Additional Drivers (см. рис. 9.18).

Рис. 9.4. Установка драйверов для различных компьютерных платформ

Улучшенный дизайн стандартного диалогового окна вывода на печать (рис. 9.5) позволяет устанавливать новый принтер, выполнять печать на любом имеющемся принтере (включая факс-принтеры), а также выполнять поиск принтера в каталоге Active Directory (кнопка Find Printer (Найти принтер)) с его последующей установкой.

Рис. 9.5. Стандартное диалоговое окно печати

Использование службы каталогов. Все общие принтеры, устанавливаемые на компьютерах в домене, могут быть представлены в виде объектов каталога Active Directory. Публикация (publishing) принтеров в Active Directory позволяет быстро обнаружить наиболее удобные ресурсы для печати. Пользователь может проводить поиск по различным атрибутам (например, возможность цветной печати или быстродействие) или по расположению принтера (например, указать конкретный этаж в здании (location)). Как только нужный принтер найден, к нему можно сразу же подключиться (метод "point and print") и использовать, как и любой другой общий сетевой принтер.

Клиенты могут подключать принтеры, доступные в сети Windows, двумя способами: просматривая сетевое окружение (в папке My Network Places (Мое сетевое окружение)) или — предпочтительный способ! — выполняя поиск в Active Directory. Однажды установленные принтеры перечисляются в папке принтеров и, что более удобно, в диалоговом окне Print (Печать) (см. рис. 9.5).

При любом способе вызова функции поиска принтеров (из меню Start или из окна Print) пользователь видит окно, в котором можно указать атрибуты принтеров (критерии поиска), а также область поиска — весь каталог, конкретный домен или подразделение (рис. 9.6).

Рис. 9.6. Поиск принтеров в Active Directory

Клиенты могут искать в сети серверы печати, работающие под управлением других операционных систем, например, LAN Manager 2.x, и устанавливать соединение с общими ресурсами-принтерами на этих серверах. Если соответствующий драйвер принтера еще не установлен, Windows Server 2003 запросит о необходимости его локальной установки.

Удаленное администрирование. Администратор может с любого компьютера под управлением Windows Server 2003 дистанционно управлять серверами печати, портами, принтерами, документами и драйверами принтеров.

Администратору не нужно устанавливать драйверы принтеров на клиентских компьютерах, которым требуется доступ к серверу печати Windows Server 2003. Если клиенты печати работают под управлением Windows NT/2000/XP или Windows 9x/ME, то необходимо установить драйверы принтера только в одном месте — на сервере печати.

Для управления локальными или удаленными серверами и устройствами печати, а также очередями могут использоваться утилиты командной строки и административные сценарии (см., например, файлы prn*.vbs в папке %SystemRoot%/system32).

Выбор и конфигурирование порта

В табл. 9.1 перечислены типы портов, драйверы для которых поставляются в Windows Server 2003. Обратите внимание, что некоторые порты могут не отображаться в списке доступных портов, пока связанная с ними служба не будет установлена на компьютере. Например, порт LPR требует установки служб печати для UNIX.

Таблица 9.1. Типы портов принтера

Дополнительный порт	Дает возможность клиенту печатать	Доступен
AppleTalk Printing Devices (Устройство печати AppleTalk)	На устройствах печати AppleTalk	Когда протокол AppleTalk установлен
Local Port (Локальный порт)	На устройствах печати, подключенных к параллельному или последовательному портам, в файл, на устройствах с именем в формате UNC или в NUL-порт	По умолчанию
LPR Port (Порт LPR)	Из приложения LPR на принтерах Windows Server 2003	Когда установлены службы Print Service for Unix
Standard TCP/IP Port (Стандартный порт TCP/IP)	На устройствах печати, подключенных непосредственно к сети	По умолчанию

Управление портами осуществляется на вкладке Ports (Порты) в окне свойств принтера (рис. 9.19).

Рис. 9.19. Управление портами принтеров

Административные утилиты

Системы Windows Server 2003 содержат множество утилит командной строки: одни из них выполняют те же действия, что и различные административные оснастки, только позволяют работать в окне консоли или создавать командные файлы, автоматизирующие типовые операции; другие утилиты могут оказаться незаменимым инструментом администратора при выполнении специфических задач по управлению компьютерами, пользователями и сетями.

Администраторы сетей, где используются системы Windows XP и Windows Server 2003, обязательно должны познакомиться с разделом справочной системы "Command-line reference A-Z" (об этом уже говорилось в разд. "Служебные программы" главы 5 "Конфигурирование системы и встроенные приложения"). Многие утилиты, ранее входившие в состав пакета Windows 2000 Resource Kit, теперь являются стандартными элементами этих систем — мы еще раз обращаем на них внимание администраторов.

Назовем лишь некоторые из утилит командной строки (частично они упоминаются в других главах книги):

Defrag.exe — выполняет дефрагментацию дисковых томов;

Diskpart.exe — позволяет управлять дисками и томами;

Eventcreate.exe — позволяет администратору создавать события в системных журналах;

Eventtriggers.exe — настраивает триггеры событий, т. е. определенных действий, выполняемых на компьютере;

Fsutil.exe — позволяет управлять дисковыми системами (например, управлять квотами);

Gpupdate.exe — обновляет установки групповых политик, применяемые к компьютеру и пользователю;

Openfiles.exe — отображает открытые файлы;

Schtasks.exe — планировщик задач, значительно более мощный, чем команда AT;

Shutdown.exe — выключение и перезагрузка локального или удаленного компьютера;

Systeminfo.exe — полезная информация о системе, которую иначе искать довольно долго;

Tasklist.exe — отображает список выполняющихся приложений, служб и процессов;

Taskkill.exe — завершает задачи или процессы;

Typeperf.exe — записывает значения счетчиков производительности в окно консоли или в журнал.

Активизация аудита

Процедура активизации аудита одинакова для любых систем. На контроллерах домена нужно пользоваться оснасткой Domain Controller Security Policy. Для активизации аудита на изолированном компьютере:

1. Запустите оснастку Local Security Settings. Можно также воспользоваться оснасткой Group Policy Object Editor (введите в командной строке gpedit .msc).

2. В окне структуры откройте узел Local Policies | Audit Policy (Локальные политики | Политика аудита) (рис. 10.26).

Рис. 10.26. Настройка аудита на локальном компьютере

3. На правой панели появится список политик аудита. По умолчанию большинство из них имеет значение No auditing (Нет аудита). Для включения аудита следует изменить значения нужных параметров. Выполните двойной щелчок на устанавливаемой политике аудита. Появится диалоговое окно, с помощью которого можно разрешить аудит (см. рис. 10.26). В группе Audit these attempts (Вести аудит следующих попыток доступа) установите флажки Success (Успех) или Failure (Отказ), или оба.

4. Нажмите кнопку ОК.

Подобную операцию следует повторить для тех политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, флажки Success и Failure следует снять.

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security) можно просмотреть с помощью оснастки Event Viewer (Просмотр событий). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

Настройка аудита может выполняться как в один, так и в два приема:

1. Сначала его следует активизировать с помощью оснастки Local Security Settings (Локальная политика безопасности) или Group Policy Object Editor (Редактор объектов групповой политики). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.

2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (ACL). Для разных объектов — файлов, реестра или объектов каталога Active Directory — используемый при этом пользовательский интерфейс будет непринципиально различаться.

Для того чтобы иметь возможность настраивать аудит, необходимо иметь права администратора.

В автономных системах Windows Server 2003 по умолчанию включен аудит событий регистрации в системе (logon events). На контроллерах домена под управлением Windows Server 2003 по умолчанию включен аудит большинства системных событий, за исключением доступа к объектам и процессам, а также событий использования привилегий.

Типовые задачи администрирования

Управление локальными группами

Использование команды RunAs

Как правило, большинство системных инструментов требует наличия у запускающего их пользователя административных привилегий. Таким образом, чтобы иметь возможность выполнения операций по управлению системой, администратор должен зарегистрироваться в системе под учетной записью, обладающей соответствующими правами. Однако правила безопасности требуют от администратора не пользоваться для постоянной работы в системе подобными учетными записями.

Команда RunAs позволяет администратору выполнять всю работу по управлению системой, зарегистрировавшись в ней с использованием учетной записи рядового пользователя с весьма ограниченными правами. При помощи данной команды администратор может запускать любые утилиты от имени "уполномоченного" пользователя (при этом может быть задействована либо учетная запись администратора, либо учетная запись пользователя, обладающего необходимыми правами).

Для работы команды RunAs необходимо, чтобы была запущена служба Secondary Logon. Поэтому, в случае возникновения проблем с работой данной команды необходимо в первую очередь убедиться в том, что указанная служба действительно запущена. Чтобы убедиться в этом, можно использовать оснастку Services.

Команда RunAs может быть использована для установки и проверки пользовательских разрешений на доступ к файлам или объектам Active Directory. Для задания пользователю разрешений необходимо запустить соответствующую утилиту с административными привилегиями. Одновременно можно запустить требуемое приложение в контексте полномочий рассматриваемого пользователя и проверить результирующие разрешения. Таким образом, задача может быть решена (и, что главное, проверена) без необходимости повторных регистрации в системе под разными учетными записями.

Команда RunAs может использоваться в двух режимах.

Запуск утилит из контекстного меню. Запуск утилиты или оснастки с необходимыми полномочиями происходит путем использования контекстного меню. Администратор выбирает соответствующий пункт меню и предоставляет информацию о своих полномочиях. Данный режим идеально подходит для запуска графических утилит.

Запуск утилит из командной строки. В режиме командной строки администратор вводит команду со всеми необходимыми параметрами. Этот режим может использоваться для запуска утилит командной строки. Другим преимуществом этого режима является возможность отображения сведений о результатах процесса запуска (в том числе информация о возникающих ошибках).

Рассмотрим особенности использования каждого из режимов более подробно.

Изменение членства в локальной группе

Чтобы добавить или удалить учетную запись пользователя из группы:

1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).

2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.

3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).

На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.

Изменение и удаление учетных записей

Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).

Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например: описание, полное имя, пароль, членство в группах и т. д. Поскольку S1D уникален, нельзя после удаления пользователя или группы создать новую учетную запись со "старыми" свойствами. Поэтому иногда учетные записи пользователей просто временно блокируют.

Изменение системных и пользовательских переменных среды

Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows Server 2003 и прикладные программы требуют определенной информации, называемой переменными среды (environment variables) системы и пользователя. Их можно просмотреть на вкладке Advanced (Дополнительно) окна свойств системы (System Properties), нажав кнопку Environment Variables (Переменные среды) (рис. 10.25). Эти переменные похожи на переменные, которые устанавливались в операционной системе MS-DOS, например PATH и TEMP.

Рис. 10.25. Окно настроек переменных среды для пользователя и системы

Системные переменные среды определяются в Windows Server 2003 независимо от того, кто зарегистрировался на компьютере. Если вы зарегистрировались как член группы Administrators, то можете добавить новые переменные или изменить их значения.

Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. Сюда включаются любые переменные среды, которые вы хотите определить, или переменные, определенные вашим приложением, например путь к файлам приложения.

После изменения переменных среды их новые величины сохранятся в реестре, после чего они становятся доступны ("видны") при закрытии окна Environment Variables.

Если между переменными среды возникает конфликт, он разрешается следующим способом:

1. Устанавливаются системные переменные среды.

2. Устанавливаются переменные, определенные в файле Autoexec.bat (за исключением переменных PATH). Они перезаписывают системные переменные.

3. Устанавливаются переменные среды пользователя, определенные в окне Environment Variables. Они перезаписывают как системные переменные, так и переменные файла Autoexec.bat.

4. Устанавливаются переменные PATH файла Autoexec.bat.

Настройки пути (PATH), в отличие от других переменных среды, кумулятивны. Полный путь (который вы видите как результат выполнения в командной строке команды path) создается присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определенным в окне Environment Variables.

Настройка и просмотр параметров аудита для папок и файлов

Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок:

1. В окне программы Windows Explorer установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Properties (Свойства). В окне свойств папки или файла перейдите на вкладку Security (Безопасность).

Напомним, что аудит возможен только на томах NTFS.

2. На вкладке Security нажмите кнопку Advanced (Дополнительно) и затем перейдите на вкладку Auditing (Аудит) (рис. 10.27).

Рис. 10.27. В этом окне можно настроить параметры аудита для выбранной папки

3. Если вы хотите проводить аудит для пользователя или группы, на вкладке Auditing нажмите кнопку Add (Добавить). Появится диалоговое окно Select Users, Computers, or Groups (см. рис. 4.6). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно Auditing Entry (Элемент аудита) (рис. 10.28).

Рис. 10.28. В этом окне задаются события, аудит которых будет вестись для выбранного пользователя или группы

Здесь вы сможете установить все требуемые параметры аудита. В списке Apply onto (Применять) укажите, где следует выполнять аудит (этот список доступен только для папок). В окне Access (Доступ) необходимо указать, какие события нужно отслеживать: окончившиеся успешно (Successful!, Успех), неудачно (Failed, Отказ) или оба типа событий. Флажок Apply these auditing entries to objects and/or containers within this container only (Применять этот аудит к объектам и контейнерам только внутри этого контейнера) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся только в выбранной папке (по умолчанию флажок не установлен). В противном случае установите этот флажок (или выберите в списке Apply onto опцию This folder only (Только для этой папки)). Это позволит не выполнять аудит для тех дочерних объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все диалоговые окна.

4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Edit (Изменить). Опять появится окно Auditing Entry. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений закройте все окна свойств.

Настройка индивидуальных свойств сценария. Файл с расширением wsh

С помощью страницы свойств модуля Wscript.exe можно установить глобальные параметры, касающиеся сразу всех сценариев, выполняемых на локальной машине. Однако также можно настроить индивидуальные параметры отдельно взятого сценария, позволяющие осуществлять жесткий контроль его выполнения. Свойства конкретного сценария сохраняются в файле с расширением wsh. Для его создания просто установите указатель мыши на файле сценария в окне программы Windows Explorer и нажмите правую кнопку. В появившемся контекстном меню выберите команду Properties (Свойства). На вкладке Script (Сценарий) измените стандартные свойства сценария, например максимальное время исполнения, и нажмите кнопку ОК. В результате в каталоге, где находится сценарий, будет создан файл с расширением wsh, имя которого совпадает с именем сценария. Он содержит индивидуальные настройки сценариев для WSH. Функции этого файла сходны с функциями файла PIF 16-разрядных приложений.

Чтобы запустить сценарий, для которого создан файл с расширением wsh, следует дважды щелкнуть мышью на файле *.wsh в окне программы Windows Explorer или использовать этот файл в качестве параметра для программы Wscript.exe или Cscript.exe в командной строке. Например: С:\>cscript Myscript.wsh

Поскольку в файле с расширением wsh хранятся значения параметров, используемых сценарием при выполнении, системный администратор может создать несколько версий файла с параметрами, ориентированных на различные группы пользователей внутри организации. Набор файлов с расширением wsh, относящийся к одному сценарию, может быть использован следующим образом.

Администратор может создать отдельный файл *.wsh для определенной группы пользователей внутри организации. Это позволит осуществлять индивидуальный контроль определенных сценариев, выполняющихся в течение дня.

Администратор может создать индивидуальные файлы *.wsh для конкретных пользователей внутри организации. Это позволяет осуществлять полный контроль ряда сценариев, используемых внутри организации.

Индивидуальные файлы с расширением wsh могут быть созданы для сценариев входа пользователей в систему. Это позволяет администратору осуществлять индивидуальный контроль над рядом свойств сценариев, выполняемых на клиентских машинах при регистрации пользователя в системе.

Файл с расширением wsh представляет собой простой текстовый файл, формат которого сходен с форматом файла с расширением inf. Ниже приведен пример содержимого файла *.wsh.

[ScriptFile]

Path=C: \WINNT\ Samples \WSH\ showprop. vbs

[Options] Timeout=0 DisplayLogo=l BatchMode=0

Параметр Path в разделе [ScriptFile] определяет местоположение файла сценария, с которым связан данный файл *.wsh. Параметры, значения которых устанавливаются в разделе [Options], соответствуют настройкам вкладки Script (Сценарий) окна Properties (Свойства).

После двойного щелчка мышью на файле с расширением wsh или выполнения его в командной строке программа Cscript.exe или Wscript.exe считывает его и определяет специфические параметры, которые следует использовать при выполнении соответствующего сценария. В результате сценарий будет выполняться с необходимыми параметрами, заданными в файле *.wsh. Обратите внимание, что при запуске файла с расширением wsh требуется присутствие соответствующего ему сценария. Если выполнение сценария посредством файла *.wsh закончилось неудачно, проверьте запись path=. Она должна указывать на тот сценарий, который вы хотите выполнить.

WSH 5.6 позволяет также использовать файлы Windows script files (*.wsf), содержащие код на языке Extensible Markup Language (XML). Эти файлы просты, очень эффективны и значительно расширяют возможности применения сценариев в среде Windows XP. За более подробной информацией рекомендуем обратиться к веб-документу "Using Windows Script Files (.wsf)" по адресу:

http://msdn.microsoft.com/library/default.asp?url=/library/ en-us/script56/html/wsadvantagesoftvs.asp?frame=true.

Настройка рабочей среды пользователя при помощи сценариев

Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем под управлением систем Windows 2000/XP или Windows Server 2003; подобным образом сценарии могут выполняться при выходе из системы. Также сценарии могут запускаться при загрузке системы и по окончании работы. Хотя сценарии входа чаще используются в доменах, их можно применять и на компьютерах — членах рабочей группы (а любой автономный компьютер также является членом группы). Для назначения сценариев используется оснастка Group Policy Object Editor (см. разд. "Сценарии"главы 21 "Использование групповых политик").

Хотя чаще всего сценарий входа представляет собой командный файл с расширением bat или cmd, в качестве сценария входа может быть использован сценарий VBScript/JScript или исполняемый файл (*.ехе).

Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.

Профили пользователя могут в процессе регистрации восстанавливать существовавшие ранее соединения с сетью, но они не могут быть использованы для создания новых соединений.

Настройки, хранящиеся в профиле пользователя

Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 10.3).

Таблица 10.3. Настройки профиля пользователя

Объект		Соответствующие ему параметры
Windows Explorer		Все настройки, определяемые самим пользователем, касающиеся программы Windows Explorer
Панель задач		Все персональные группы программ и их свойства, все программные объекты и их свойства, все настройки панели задач
Настройки принтера		Сетевые соединения принтера
Панель управления		Все настройки, определенные самим пользователем, касающиеся панели управления
Стандартные		Настройки всех стандартных приложений, запускаемых для конкретного пользователя
Приложения, работающие в операционной системе Windows Server 2003		Любое приложение, специально созданное для работы в среде Windows Server 2003, может обладать средствами отслеживания своих настроек относительно каждого пользователя. Если такая инсрормация существует, она хранится в профиле пользователя
Электронная подсказка		Любые закладки, установленные в справочной системе Windows Server 2003
Консоль управления Microsoft		Индивидуальный файл конфигурации и текущего состояния консоли управления

Назначение сервера сценариев

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и JScript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.

Использование сценариев для выполнения административных задач также рассматривается в главе 11 "Управление системами Windows в корпоративной среде".

Компания Microsoft поставляет три среды, предназначенных для выполнения языков сценариев на платформах Windows:

Internet Explorer;

Internet Information Server или WWW Server в составе служб Internet Information Services;

Windows Scripting Host.

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.

Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.

Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или в окне командной консоли, для этого не нужно встраивать их в документ HTML. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения неинтерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

Область действия настроек аудита

Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Auditing (Аудит) какая-нибудь строка в поле Auditing entries (Записи аудита) имеет значение, отличное от <not inherited> (не унаследовано), в столбце Inherited From (Наследовано от) и кнопка Remove (Удалить) недоступна, это значит, что данные настройки аудита унаследованы. В этом случае вы можете:

изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами;

запретить наследование, сняв флажок Allow inheritable auditing entries from the parent to propagate to this object and all child objects (Переносить наследуемый от родительского объекта аудит на дочерние объекты);

добавить другие записи аудита для выбранного объекта, нажав кнопку Add. Эти настройки аудита могут, в свою очередь, наследоваться дочерними объектами этого объекта. В поле Auditing entries новые записи будут иметь значение <not ingerited> (не унаследовано) в столбце Inherited From.

Область действия аудита настраивается в окне Auditing Entry, где в раскрывающемся списке Apply onto можно выбрать "глубину" распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит также от того, установлен или нет флажок Apply these auditing entries to objects and/or containers within this container only. По умолчанию этот флажок снят. В табл. 10.8 и 10.9 показано, как настройки аудита действуют в случае, когда данный флажок соответственно снят и установлен. Как можно видеть, его состояние определяет значения последних двух столбцов этих таблиц: при установленном флажке никакие проверки не распространяются на содержимое вложенных папок.

Таблица 10.8. Действие настроек аудита при снятом флажке Apply these auditing entries to objects and/or containers within this container only

Значения в списке Apply onto	Выполняется аудит текущей папки		Выполняется аудит дочерних папок текущей папки		Выполняется аудит файлов в текущей папке		Выполняется аудит всех дочерних папок		Выполняется аудит файлов во всех дочерних папках
This folder only (Только для этой папки)	+		&nbsp	&nbsp	&nbsp	&nbsp
The folder, subfolders and files (Для этой папки, ее подпапок и файлов)	+		+		+		+		+
This folder and subfolders (Для этой папки и ее подпапок)	+		+		&nbsp	+		&nbsp
This folder and files (Для этой папки и ее файлов)	+		&nbsp	+		&nbsp	+
Subfolders and files only (Только для подпапок и файлов)	&nbsp	+		+		+		+
Subfolders only (Только для подпапок)	&nbsp	+		&nbsp	+		&nbsp
Files only (Только для файлов)	&nbsp	&nbsp	+		&nbsp	+

<
/p> Таблица 10.9. Действие настроек аудита при установленном флажке Apply these auditing entries to objects and/or containers within this container only

Значения в списке Apply onto	Выполняется аудит текущей папки	Выполняется аудит дочерних папок текущей папки	Выполняется аудит файлов в текущей папке	Выполняется аудит всех дочерних папок	Выполняется аудит файлов во всех дочерних папках
This folder only (Только для этой папки)	+	&nbsp	&nbsp	&nbsp	&nbsp
The folder, subfolders and files (Для этой папки, ее подпапок и файлов)	+	+	+	&nbsp	&nbsp
This folder and subfolders (Для этой папки и ее подпапок)	+	+	&nbsp	&nbsp	&nbsp
This folder and files (Для этой папки и ее файлов)	о	&nbsp	+	&nbsp	&nbsp
Subfolders and files only (Только для подпапок и файлов)	&nbsp	+	+	&nbsp	&nbsp
Subfolders only (Только для подпапок)	&nbsp	+	&nbsp	&nbsp	&nbsp
Files only (Только для файлов)	&nbsp	&nbsp	+	&nbsp	&nbsp

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).

Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management

Отключение аудита файлов и папок

Для отключения аудита для некоторого файла или папки:

1. Откройте вкладку Auditing (Аудит) для требуемого файла или папки.

2. В окне Auditing entries (Элементы аудита) выберите нужную запись и нажмите кнопку Remove (Удалить). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен полностью.

Если кнопка Remove (Удалить) недоступна, это значит, что настройки аудита наследуются от родительской папки.

Отправка запроса по электронной почте

Если вы решили воспользоваться электронной почтой, введите адрес вашего коллеги (см. рис. 10.20) и щелкните по ссылке Continue. В следующем окне программы-мастера можно ввести произвольный текст, сопровождающий запрос (например, описание вашей проблемы). Далее, определите время действия приглашения и задайте пароль, если вы каким-то "безопасным" образом можете сообщить его вашему коллеге. Это весьма критичные параметры. Если вы оставите срок действия приглашения равным одному часу, а письмо будет получено через 2—3... часа, то рассчитывать на успех вам не придется. Пароль дополнительно защищает ваш запрос. После нажатия кнопки Create E-mail Invitation (Отправить приглашение) будет выполнено формирование и отправка почтового запроса.

Если вы послали просьбу о помощи по почте, ваш адресат получит письмо с заголовком YOU HAVE RECEIVED A REMOTE ASSISTANCE INVITATION (Приглашение с запросом об удаленной помощи), содержащее интернет-ссылку1. Он должен щелкнуть по этой ссылке, если согласен на диалог. (Браузер адресата должен быть настроен соответствующим образом, для чего на запрашиваемой веб-странице имеются соответствующие инструкции. У адресата должен также быть загружен и установлен элемент Remote Assistance Server Control, обеспечивающий удаленный доступ.) Теперь общение будет происходить в "реальном времени": начинается подключение к компьютеру — источнику запроса. С этого момента, когда появится запрос, показанный на рис. 10.21, все последующие действия партнеров одинаковы и не зависят от способа получения запроса на удаленную помощь. Отправитель должен разрешить вход на свой компьютер — в этом случае начнется сессия удаленного доступа.

Пакет Windows Server 2003 Support Tools

На дистрибутивных Дисках систем Windows Server 2003 имеется пакет чрезвычайно полезных утилит, которые в значительной мере облегчают поиск неисправностей в сетях и доменах на базе Windows 2000 Server и Windows Server 2003. (Многие их этих утилит упоминались в разных главах данной книги.)

Этот пакет называется Windows Server 2003 Support Tools и должен устанавливаться отдельно от самой системы. Для его установки нужно запустить файл Suptools.msi, находящийся в дистрибутиве в папке \SUPPORT\TOOLS. Кроме того, дистрибутив содержит мощнейшее средство миграции между доменами — Active Directory Migration Tool version 2.0 (ADMT), которое устанавливается из папки \I386\ADMT.

В табл. 10.10 перечислены основные административные утилиты и указаны области их применения.

Таблица 10.10. Назначение утилит из пакета Windows Server 2003 Support Tools

Административная задача		Используемые инструменты
Просмотр и редактирование объектов Active Directory		ADSIEdit.msc, Ldp.exe, DsMod.exe, DsMove.exe, DsRm.exe, AdsVw.exe, ModifyUsers.vbs
Запросы к каталогу Active Directory		DsQuery.exe, DsGet.exe, Ldp.exe, Search.vbs, UserAccount.vbs, EnumProp.exe
Миграция и реструктуризация; работа с объектами Active Directory		ADMT, MoveTree.exe, NetDom.exe, ClonePrincipal, DsAdd.exe, AddUsers.exe, GrpCpy.exe
Экспорт/импорт, пакетные операции		CSVDE.exe, LDIFDE.exe, AddUsers.exe, CreateUsers.vbs
Диагностика и обслуживание базы данных Active Directory		NTDSutil.exe
Диагностика сети		NetDiag.exe, NSIookup.exe, DCdiag.exe, NLtest.exe, DNSCmd.exe, RPCPing
Репликация каталога Active Directory		RepAdmin.exe, ReplMon.exe, DsaStat.exe, NTFRSutl.exe
Безопасность Active Directory		ACLDiag.exe, DsACLs.exe, SDCheck.exe, KerbTray.exe, KList.exe
Безопасность системных объектов (файлов, общих ресурсов, реестра и т. д.)		SIDWalker, SublnACL.exe, ADMT
Групповые политики		GPOTool.exe, GPResult.exe, Group Policy Management Console (GPMC)

Папка All Users

Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп.

Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.

Персональные программные группы. Они доступны только создавшему их пользователю.

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Start. Группы этого типа на компьютерах, где работает Windows Server 2003, могут создавать только члены группы Administrators.

Папка Groups

В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.

Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.

Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.

Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.

Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.

Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.

Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.

HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.

Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).

Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.

Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.

TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Папка Users

Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.

Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.

Для работы с локальными пользователями можно использовать утилиту командной строки net user.

Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Параметры службы Windows Time

Настройки службы синхронизации времени хранятся в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\W32Time. Перечислим некоторые наиболее важные параметры.

По умолчанию служба Windows Time функционирует в режиме синхронизации с внешним источником. При этом параметр Parameters\type имеет значение NTP. В случае подключения к домену этот параметр изменяет свое значение на Ntsos. To же самое происходит в случае повышения одиночного сервера Windows Server 2003 до контроллера домена.

Значение параметра Parameters \NtpServer определяет сервер NTP, с которым происходит синхронизация времени.

Чтобы запретить синхронизацию времени с внешним источником, можно очистить значение параметра Parameters\NtpServer и присвоить параметру parameters\Type значение NoSync. Если эту операцию выполнить на контролере — эмуляторе РОС корневого домена леса, все компьютеры этого леса будут, в конце концов, синхронизированы по часам этого контроллера.

Перемещаемые профили пользователей

Перемещаемый профиль по своей структуре идентичен локальному профилю, за исключением того, что в нем отсутствует папка Local Settings. Перемещаемый профиль определяется на уровне доменной учетной записи пользователя. Чтобы определить перемещаемый профиль, откройте вкладку Profile (Профиль) окна свойств объекта, ассоциированного с учетной записью пользователя (рис. 10.24). В поле Profile path необходимо указать путь к перемещаемому профилю пользователя.

Рис. 10.24. Назначение перемещаемого профиля

Путь к профилю пользователя задается в следующем формате: \\<сервер>\<общая_папка>\<имя_профиля>

Для размещения профилей можно использовать любую общую папку с полным доступом для группы Everyone (Все). Имя профиля может быть произвольным. Однако традиционно имя профиля совпадает с именем учетной записи пользователя.

Непосредственно создание профиля может быть осуществлено двумя способами. Первый способ предполагает автоматическое создание профиля в указанной папке при выходе пользователя из системы. Второй способ предполагает копирование в указанную папку приготовленного заранее профиля (например, можно скопировать один из локальных профилей пользователей).

Каждый раз, когда пользователь выходит из системы, текущие настройки рабочей среды сохраняются в локальном и перемещаемом профиле. В ходе регистрации пользователя в системе копия локального профиля сравнивается с копией перемещаемого профиля. Если копии различаются, используется более свежий профиль. Локальный профиль пользователя будет использован также в ситуациях, когда перемещаемый профиль окажется по каким-либо причинам недоступен (например, в случае отказа сервера, на котором он расположен). При этом по завершении работы пользователя система не будет предпринимать попыток сохранения изменений профиля на сервере.

Для придания перемещаемому профилю статуса обязательного необходимо переименовать файл NTUSER.DAT в файл NTUSER.MAN.

Получение информации о службе Windows Time

На компьютере, находящемся под управлением Windows XP или Windows Server 2003, администратор может получить информацию о функционировании службы синхронизации времени в домене при помощи команды, приведенной ниже.

C:\>w32tm /monitor /domain:khsu.ru

root.khsu.ru *** PDC *** [192.168.1.1]:

ICMP: Oms delay. NTP: +0.0000000s offset from root.khsu.ru

RefID: 'LOCI' [76.79.67.76]

store.khsu.ru [192.168.1.2]:

ICMP: Oms delay.

NTP: -0.0100835s offset from root.khsu.ru

RefID: root.khsu.ru [192.168.1.1]

Профили пользователей

На изолированном компьютере с Windows Server 2003 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.

Профиль пользователя обладает следующими преимуществами:

при регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы;

несколько пользователей могут работать на одном и том же компьютере в . индивидуальных средах (нельзя только иметь собственные параметры разрешения экрана и частоты развертки; здесь нужно применять профили оборудования);

при работе компьютера в домене профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile). Разновидностью перемещаемых профилей являются обязательные профили (mandatory profiles). Такой профиль пользователь не может изменять, и все изменения, сделанные в настройках системы, теряются при выходе из нее. В Windows XP и Windows Server 2003 обязательные профили поддерживаются только для совместимости, вместо них рекомендуется применять групповые политики.

Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!

Пользовательские профили можно применять различным образом:

создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями;

назначать общие групповые настройки всем пользователям;

назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.

Разрешение удаленного доступа

Для управления режимом удаленного доступа (не путайте его с удаленным доступом через коммутируемое подключение!) используется вкладка Remote (Удаленное использование) окна свойств системы System Properties (рис. 10.9). (Для быстрого доступа к этому окну можно использовать клавиши <Win>+<Break>.)

Чтобы пользователи могли с других компьютеров обратиться к вашей системе, установите флажок Allow users to connect remotely to this computer. Нажав кнопку Select Remote Users, вы можете явно указать, каким пользователям разрешен удаленный доступ (рис. 10.10): эти пользователи будут включены в локальную группу Remote Desktop Users. По умолчанию только администраторы имеют удаленный доступ к компьютеру.

Использовать учетные записи без пароля для удаленного доступа нельзя. Если на компьютере имеются такие записи, то при установке флажка Allow users to connect remotely to this computer появится предупреждение, показанное на рис. 10.11.

Рис. 10.9. Окно управления функциями Remote Desktop и Remote Assistance

Рис. 10.10. Пользователям, указанным в данном окне, будет разрешен удаленный доступ к рабочему столу компьютера

Рис. 10.11. Напоминание о том, что учетные записи без пароля нельзя использовать для удаленного доступа к компьютеру

Сервер сценариев Windows (WSH)

Сервер сценариев Windows (Windows Script Host, WSH) не зависит от языка сценария и устанавливается в системах Windows 98/ME, Windows 2000/XP и Windows Server 2003 как стандартное средство. Также его можно установить в системах Windows 95 и Windows NT 4.0. Компания Microsoft разработала и поддерживает ядро сценариев как для Visual Basic, так и для JavaScript. В составе Windows XP и Windows Server 2003 поставляется WSH версии 5.6.

Сессия удаленного доступа

После того как пользователь, отправивший запрос к удаленному помощнику, подтвердил свой запрос, у помощника (в диалоговых окнах он называется Expert) открывается окно Remote Assistance, в котором он может видеть экран собеседника и вести с ним обмен сообщениями (рис. 10.22). При этом Expert может только наблюдать за экраном компьютера пользователя. Программа Remote Assistance запускается и у пользователя, только ее окно выглядит и иначе. (На рис. 10.22 можно видеть два окна Remote Assistance: "большое" отображается на компьютере помощника, и "маленькое", в центре рисунка — на компьютере пользователя.) При наличии соответствующей аппаратуры можно установить голосовую связь (кнопка Start Talking (Начать разговор)).

При необходимости Expert может запросить доступ к компьютеру, возможность управлять им (кнопка Take Control (Взять управление)). У пользователя при этом появится специальное сообщение, и он должен дать отдельное разрешение на управление своим компьютером — в этом случае рабочий стол становится доступным одновременно и для пользователя, и для помощника, у которого при получении разрешения тоже появляется предупреждение. В любой момент дистанционное управление компьютером может быть разорвано с любой стороны путем нажатия клавиши <Esc> или комбинации клавиш, включающих <Esc>.

При совместном управлении компьютером требуется согласовывать действия сторон и не пользоваться мышью и клавиатурой одновременно.

1 В системах Windows XP письмо содержало файл, который получатель должен был запустить на выполнение, подтверждая свое желание ответить на запрос. При этом не требовалось подключение к Интернету взаимодействующих сторон.

Рис. 10.22. Окно программы Remote Assistance позволяет видеть экран пользователя, запросившего помощь, и вести обмен текстовыми сообщениями

Синхронизация с внешним источником времени

В спецификациях стека протоколов TCP/IP предусмотрен специальный протокол NTP (Network Time Protocol, RFC 1119). Этот протокол позволяет выполнять синхронизацию системных часов компьютеров, соединенных через сеть TCP/IP. Клиент протокола NTP синхронизирует показания своих часов с показаниями часов службы сервера NTP. Администратор может синхронизировать системные часы компьютера с внешним источником при помощи двух утилит командной строки. В первом случае необходимо использовать утилиту командной строки net time: net time /SETSNTP:<имя_cepвepa_ntp>

Если вы имеете дело с клиентом Windows XP или Windows Server 2003, вы можете прибегнуть ко второму способу, заключающемуся в использовании утилиты w32tm: w32tm /config /manualpeerlist:<имя_сервера_ntp> /update

Следует заметить, что утилита w32tm, поставляемая в составе Windows 2000, отличается от одноименной утилиты, имеющейся в Windows XP и Windows Server 2003.

В качестве сервера NTP в обоих случаях может выступать некоторый контроллер домена. В случае контроллера корневого домена леса речь может идти о внешнем источнике синхронизации. По умолчанию клиенты, находящиеся под управлением операционных систем Windows XP и Windows Server 2003, синхронизируют свои системные часы с узлом Интернета time.windows.com.

Служба Windows Time

Использующийся в доменах Active Directory протокол Kerberos включает в аутентификаторы специальные временные метки, чтобы исключить возможность их перехвата. Эта мера имеет одно важное последствие. Чтобы механизм аутентификации успешно работал, необходимо, чтобы системные часы всех компьютеров находились в синхронизированном состоянии. Действительно, получая аутентификатор, подсистема аутентификации сравнивает время его создания с показаниями собственных часов. Если разница составляет больше пяти минут, аутентификатор будет отклонен.

Синхронизация системных часов компьютера осуществляется службой Windows Time. Принцип работы этой службы следующий. Клиентские компьютеры автоматически синхронизируют свои часы с контроллером домена, являющегося исполнителем специализированной роли эмулятора PDC (PDC Emulator). РОС Emulator синхронизирует показания своих системных часов с показаниями часов контроллера родительского домена (или корневого домена леса). Контроллер корневого домена леса может синхронизировать показания своих часов с некоторым внешним источником (например, службой точного времени). Как вариант возможна ситуация, когда синхронизация часов контроллера корневого домена не выполняется. В этом случае показания системных часов данного контроллера домена считаются эталонными.

Служба синхронизации времени реализована во всех операционных системах, использующих протокол аутентификации Kerberos — Windows 2000/XP и Windows Server 2003.

Сохранение и восстановление паролей пользователей

По требованиям безопасности локальные учетные записи системы должны защищаться паролями, что уменьшает вероятность того, что посторонний пользователь получит доступ к компьютеру. Однако в этом случае пользователи системы сами рискуют потерять доступ к системе, если забудут свой пароль. Кроме того, при принудительном изменении пароля можно потерять персональные настройки конфигурации компьютера. Системы Windows ХР и Windows Server 2003 предоставляют возможность создания так называемой "дискеты восстановления пароля" (Password Reset Disk), с помощью которой пользователь может установить новый пароль в случае утраты старого. Однажды созданная дискета позволяет войти в систему, даже если после этого текущий пароль менялся неоднократно.

Дискета Password Reset Disk фактически является ключом к компьютеру, поэтому необходимо обеспечить сохранность этой дискеты, равно как и ее недоступность для посторонних. Такие дискеты создаются индивидуально для каждой учетной записи.

Посмотрим, как создать Password Reset Disk для локальной учетной записи на автономном компьютере или компьютере, входящем в рабочую группу.

1. Зарегистрируйтесь в системе и, нажав клавиши <Ctrl>+<Alt>+<Del>, откройте окно Windows Security.

2. Нажмите кнопку Change Password (Изменить пароль).

3. После нажатия в окне Change Password кнопки Backup запустится мастер Forgotten Password Wizard. Следуйте его указаниям.

4. Вставьте дискету, на которую мастер запишет файл userk.ey.psw, содержащий в зашифрованном виде пароль текущей учетной записи.

5. Введите текущий пароль учетной записи. Когда мастер закончит работу (100% готовности), нажмите кнопки Next и Finish (Готово).

6. Закройте все открытые окна и сохраните дискету в надежном месте.

Теперь предположим, что вы забыли или ввели неправильно пароль для своего имени. Система предложит вам воспользоваться дискетой восстановления (рис. 10.2). Нажмите кнопку Reset (Сброс). Запустится мастер Password Reset Wizard, для работы которого, собственно говоря, и нужна дискета Password Reset Disk.

Рис. 10.2. Если вы забыли свой пароль, воспользуйтесь дискетой Password Reset Disk

Мастер попросит вставить дискету Password Reset Disk и (если дискета опознана успешно) установить произвольный новый пароль (рис. 10.З). После этого вы вернетесь в окно Log On to Windows и сможете войти в систему, пользуясь вновь созданным паролем.

Рис. 10.3. В этом окне можно установить новый пароль для своей учетной записи

Аналогичные операции можно выполнить и на компьютерах, являющихся членами домена. Помните, однако, что пароли доменных учетных записей хранятся централизованно на контроллерах домена, и для них дискеты восстановления не создаются.

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users, используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.

Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Создание локальной группы

Для создания локальной группы:

1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).

Рис. 10.8. Создание локальной группы

2. В поле Group name (Имя группы) введите имя новой группы.

3. В поле Description (Описание) можно ввести описание новой группы.

4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.

5. Для завершения нажмите кнопку Create и затем — Close.

Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты (\).

Создание пользовательской учетной записи

Для создания учетных записей пользователей:

1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).

Рис. 10.6. Создание новой локальной учетной записи

2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.

3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).

4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).

Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.

Рис. 10.7. Окно свойств локальной учетной записи пользователя

Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: " / \ [ ]:; | =, + *?<>

Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Group Policy Object Editor сценарии входа назначаются соответствующему пользователю, компьютеру или объекту каталога Active Directory, если компьютер входит в домен. Поскольку действия групповых политик могут распространяться на группы объектов каталога, один сценарий может выполняться несколькими пользователями или компьютерами. В табл. 10.5 приведены примеры параметров, значения которых можно устанавливать с помощью сценария входа, и их описание.

Таблица 10.5. Параметры, устанавливаемые с помощью сценария входа

Параметр		Описание
%HOMEDRIVE%		Имя устройства локального компьютера, связанного с домашним каталогом пользователя
%НОМЕРАТН%		Полный путь к домашнему каталогу пользователя
%HOMESHARE%		Имя общего ресурса, где находится домашний каталог пользователя
%OS%		Операционная система компьютера пользователя
%PROCESSOR ARCHITECTURE%		Тип процессора (например, Pentium) компьютера пользователя
%PROCESSOR_LEVEL%		Уровень процессора компьютера пользователя
%USERDOMAIN%		Домен, в котором находится учетная запись пользователя
%USERNAME%		Имя пользователя

Структура нового профиля пользователя

Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows Server 2003. Файл NTUSER.DAT, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows Server 2003. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

Структура профиля пользователя

Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папки All Users, LocalService и NetworkService находятся в папке Documents and Settings корневого каталога на загрузочном томе. В папке каждого пользователя находятся файл NTUSER.DAT и список ссылок на объекты рабочего стола. На рис. 10.23 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола. Файл ntuser.dat.LOG представляет собой журнал транзакций, фиксирующий изменения профиля и позволяющий восстановить его в случае, когда происходит повреждение файла NTUSER.DAT.

Рис. 10.23. Структура подпапок профиля пользователя

В табл. 10.4 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое. Некоторые из этих подпапок являются скрытыми и могут быть не видны при обычном просмотре. Все указанные папки, кроме папки Local Settings, входят в перемещаемый профиль пользователя (при работе компьютера в составе домена). При использовании обычного профиля локальные папки Application Data, Desktop, My Documents, My Pictures и Start Menu можно переназначать на общие сетевые диски при помощи оснастки-расширения Folder Redirection (Перенаправление папки), входящей в оснастку Group Policy Object Editor (Групповая политика).

Таблица 10.4. Содержимое папки локального профиля пользователя

Подпапка		Содержимое
Application Data		Данные, относящиеся к конкретным приложениям, например, индивидуальный словарь. Разработчики приложений сами принимают решение, какие данные должны быть сохранены в папке профиля пользователя
Cookies		Служебные файлы, получаемые с просматриваемых вебсерверов
Desktop (Рабочий стол)		Объекты рабочего стола, включая файлы и ярлыки
Favorites (Избранное)		Ярлыки часто используемых программ и папок
Local Settings		Данные о локальных настройках, влияющих на работу программного обеспечения компьютера
My Documents (Мои документы)		Данные о документах и графических файлах, используемых пользователем
My Recent Documents (Недавно использовавшиеся документы)		Данные о документах и графических файлах, открытых пользователем в течение последнего времени
NetHood		Ярлыки обьектов сетевого окружения
PrintHood		Ярлыки обьектов папки принтера
Recent		Ярлыки недавно используемых объектов
SendTo		Ярлыки объектов, куда могут посылаться документы
Start Menu (Главное меню)		Ярлыки программ
Templates (Шаблоны)		Ярлыки шаблонов
UserData		Служебная информация

Типовые задачи администрирования

В этой главе мы рассмотрим стандартные задачи, которые администратор может выполнять в системе: конфигурирование учетных записей, настройка рабочей среды пользователя, аудит системных событий, планирование автоматического запуска задач и т. д. Кроме того, описываются два новых по сравнению с Windows 2000, весьма эффективных средства удаленного администрирования — Remote Desktop и Remote Assistance.

Удаленный доступ через Интернет

Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера введите http://<имя_cepвepa>/TSWeb, где имя_сервера — DNS-имя веб- сервера (компьютера с установленными службами IIS) или его IP-адрес.

Рис. 10.16. Окно интернет-подключения к удаленному компьютеру

После соединения с сервером появится веб-страница "Remote Desktop Web Connection" (Интернет-подключение к удаленному рабочему столу) (рис. 10.16), где в поле Server (Сервер) вы должны указать имя или адрес того компьютера, к которому хотите подключиться, после чего нажмите кнопку Connect (Подключить). Обратите внимание на то, что имена веб-сервера и целевого компьютера могут различаться: т. е. вы "входите" в сеть через один компьютер, а подключаетесь к любому другому.

Чтобы описанный режим работал, в составе службы WWW (World Wide Web Service) на сервере должен быть установлен компонент Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу).

При первом выполнении описанной процедуры с сервера загрузится компонент ActiveX, который нужно установить на локальном компьютере. Его окно показано на рис. 10.17. Нажмите кнопку Yes (Да).

Рис. 10.17. Предупреждение об установке ActiveX-компонента на локальном компьютере

После этого выполняется подключение к выбранному (целевому) компьютеру и появляется традиционное окно регистрации. На рис. 10.18 для примера показано окно браузера Internet Explorer, в котором отображается сессия работы на удаленном компьютере. Обратите внимание, что в окне адреса указан IP-адрес одного компьютера (через который мы вошли в сеть), а подключение выполнено к другому компьютеру — его адрес указан в нижней части экрана. Напомним, что такую картинку можно получить в любой операционной системе, где установлен Internet Explorer версии 4.0 и выше. В полноэкранном режиме работы панели браузера не отображаются совсем, и мы увидим только рабочий стол удаленного компьютера.

Рис. 10.18. Окно сессии удаленного доступа к рабочему столу Windows Server 2003 через Интернет

Удаленный доступ к рабочему столу (Remote Desktop)

В предыдущих серверных версиях Windows для удаленного управления сервером администратор должен был использовать службы терминалов. Минусом подобного решения являлась необходимость развертывания службы терминалов даже в том случае, когда администратору требовалось только одно удаленное подключение с целью выполнения рутинных административных задач. В системах Windows XP и Windows Server 2003 имеется стандартный механизм Remote Desktop for Administration, или просто Remote Desktop, который позволяет подключаться удаленно и выполнять необходимые операции по управлению сервером. Этот механизм в своей основе использует службы терминалов и поддерживает два одновременных удаленных подключения (в Windows XP — одно). Администратор может с любого рабочего места администрировать все серверы, находящиеся под управлением Windows Server 2003, подключаясь к ним удаленно.

Механизм Remote Desktop for Administration no своей сути аналогичен режиму Remote Administration, который поддерживали службы терминалов Windows 2000. В Windows Server 2003 задача удаленного администрирования балы отделена от служб терминалов и реализована в рамках отдельного механизма. Отделение механизма удаленного администрирования от служб терминалов позволило свести нагрузку на сервер к минимуму в ситуации, когда необходимо только управление сервером с другого компьютера.

В системах Windows XP и Windows Server 2003 имеется также функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получить помощь в сложных ситуациях (см. след, раздел).

По умолчанию функции Remote Desktop и Remote Assistance отключены.

Кроме этого, если на некотором компьютере под управлением Windows XP или Windows Server 2003 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удаленный доступ к любой системе Windows XP или Windows Server 2003, находящейся в той же локальной сети, из веб-браузера (Internet Explorer 4.0 и выше), работающего в любой операционной системе. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удаленной системы Windows Server 2003 на базе какого-нибудь мощнейшего процессора, работать на ней в полноэкранном режиме.

Все сессии удаленного доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам: протокол RDP, использующийся при этом, шифруется с помощью алгоритма RC4.

Удаленный помощник (Remote Assistance)

Средство Remote Assistance (Удаленный помощник) по сути реализовано так же, как и описанная в предыдущем разделе функция Remote Desktop.

Для использования Remote Assistance обе системы должны работать под управлением Windows ХР или Windows Server 2003. Включить/выключить это средство можно на вкладке Remote (Удаленное использование) (см. рис. 10.9) (по умолчанию оно выключено). Нажав на этой вкладке кнопку Advanced (Подробнее), можно настроить некоторые параметры удаленного помощника (рис. 10.19). Обратите внимание на то, что при включении Remote Assistance по умолчанию разрешено и удаленное управление компьютером. Это не должно вас пугать, поскольку для управления компьютером всегда требуется дополнительное, явное разрешение с вашей стороны во время сеанса работы удаленного помощника. Если вы не измените срок действия запроса (по умолчанию 30 дней), то в течение этого времени ваше приглашение будет действительным, т. е. помощник сможет запрашивать доступ к вашему компьютеру. Всякий раз при этом от вас потребуется отдельное разрешение на его подключение.

Рис. 10.19. Окно настройки параметров сервиса Remote Assistance

Работа с удаленным помощником не вызывает затруднений (поскольку осуществляется с помощью программы-мастера), поэтому мы опишем процедуру инициализации сеанса совместной работы в целом.

1. Откройте окно Help and Support Center (Центр справки и поддержки) и в группе ссылок Support Tasks (Поддержка) щелкните по ссылке Remote assistance (Приглашение на подключение для Удаленного помощника).

2. В следующем окне щелкните по ссылке Invite someone to help you (Отправить приглашение); здесь же вы можете просматривать состояние своих запросов и управлять ими — для этого выберите ссылку View invitation status (Показать состояние отправленных приглашений).

Передать запрос можно с помощью встроенной программы Windows Messenger (самый простой и оперативный вариант!) или посредством электронной почты (оба варианты могут быть реализованы даже в локальной сети). Поэтому рассмотрим каждый вариант отдельно.

Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.

Для управления средой пользователя предназначены следующие средства систем Windows 2000/XP и Windows Server 2003.

Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды системы, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в папке, имя которой для вновь установленной системы выглядит следующим образом: %SystemDrive%\Documents and 8е11т£5\<имя_полъзователя>.

Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не нужно встраивать в документ HTML.

Управление учетными записями

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 "Администрирование доменов"). Управление локальными учетными записями на контроллерах домена невозможно.

Вход в систему

После загрузки системы Windows Server 2003 появляется обычный экран регистрации в системе — традиционный способ входа в Windows NT и Windows 2000 (рис. 10.1, сверху). Системы Windows Server 2003 не поддерживают имеющиеся в Windows XP средства входа в систему: экран приветствия Welcome screen и сервис Fast User Switching (Быстрое переключение пользователей).

Для входа в систему требуется одновременно нажать клавиши <Ctd>+ +<Alt>+<Delete> и в окне Log On to Windows (рис. 10.1, снизу) ввести имя учетной записи и пароль. Если компьютер подключен к домену, в списке Log on to можно выбрать домен. Если для регистрации указывается основное имя пользователя (user principal name), например, Aieksey@net.dom, то домен не указывается.

Для блокировки компьютера можно использовать быстрые клавиши <Win>+<L>: при этом все рабочие окна закрываются (текущее состояние системы и программ не меняется) и на рабочем столе появляется окно Computer Locked.

Рис. 10.1. Окно входа в системы Windows Server 2003

Выход из сеанса

При работе в сеансе удаленного доступа к компьютеру администратор имеет три возможности завершения сеанса (в любом случае он должен открыть меню Start (Пуск) и нажать кнопку Shut Down (Конец работы)):

можно выключить компьютер, выбрав в окне Shut Down Windows опцию Shut down;

можно выйти из системы, выбрав опцию Log off;

можно прервать текущий сеанс, выбрав опцию Disconnect — при этом при повторном подключении к этому компьютеру с ранее использованным именем администратор получит ту же рабочую среду (открытые окна и запущенные программы), которую он "оставил" при отключении от сеанса.

Выполнение заданий по расписанию (Task Scheduler)

В дополнение к командам AT системы Windows XP и Windows Server 2003 располагают новым средством — планировщиком заданий (Task Scheduler). (Присутствует также новая утилита командной строки — Schtasks.exe, имеющая значительно больше функциональных возможностей по сравнению с AT.) С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором определяются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.

Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.

Служба Task Scheduler (имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. Управление этой службой может осуществляться интерактивно из окна Scheduled Tasks (Назначенные задания), которое доступно из панели управления или по команде Start | АН Programs | Accessories | System Tools | Scheduled Tasks. При помощи меню Advanced (Дополнительно) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда View Log (Просмотр журнала)), в котором также фиксируются все ошибки, возникшие при запуске заданий.

Среди особенностей планировщика можно отметить:

удобный графический пользовательский интерфейс;

возможность программного доступа ко всем возможностям планировщика, включая страницы свойств;

создание новых заданий при помощи операции перетаскивания (drag-and-drop) или мастера Scheduled Task Wizard (Мастер планирования заданий);

средства безопасности.

Графический интерфейс планировщика заданий (рис. 10.29) не требует знания ключей и параметров программы (как это нужно для использования команды AT), он интегрирован в операционную систему и доступен из панели управления. Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Run (Выполнить) в контекстном меню выбранного задания). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.

Рис. 10.29. Пример окна планировщика заданий с разными типами запуска

Мастер Scheduled Task Wizard (запускаемый при выборе команды Add Scheduled Task (Добавить задание)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. На рис. 10.30 приведен пример расписания для программы Outlook Express, запускающейся по рабочим дням, 3 раза в день. Установив флажок Show multiple schedules (Показывать несколько расписаний), можно задать несколько расписаний для запуска любой программы.

Рис. 10.30. Вкладка Schedule для запланированной задачи запуска программы Outlook Express

Благодаря наличию набора интерфейсов API (планировщик задач позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь о поддержке и надежности этих служб. Возможность доступа к страницам свойств задачи (см. например, рис. 10.30) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.

В среде Windows Server 2003 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания (обратите внимание на наличие вкладки Security (Безопасность), рис. 10.30).

При перемещении файла *.job в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows.

При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

Запрос с использованием программы Windows Messenger

В данном случае вы должны предварительно выполнить вход в систему мгновенных сообщений. Если программа Windows Messenger запущена и вход выполнен, то вы получите экран, аналогичный показанному на рис. 10.20. Выберите доступного собеседника и щелкните по ссылке Invite this person (Пригласить этого человека).

Рис. 10.20. В этом окне можно выбрать доступного удаленного помощника и послать ему приглашение

После процедуры передачи запроса и его подтверждения выбранным собеседником нужно разрешить его доступ (рис. 10.21) — только в этом случае начнется процесс подключения удаленного пользователя к вашему компьютеру. В противном случае приглашение считается аннулированным.

Рис. 10.21. Если вы действительно посылали запрос указанному человеку, нажмите кнопку Yes

Возможно, еще проще отправить запрос непосредственно из окна программы Windows Messenger — в этом случае не нужно открывать окно Help and Support Center. Выполните вход в программе Windows Messenger, выберите доступного собеседника и в контекстном меню выполните команду Ask for Remote Assistance (Обратиться к удаленному помощнику). У выбранного собеседника откроется диалоговое окно, в котором он может обменяться с вами предварительной информацией и принять запрос.

Запуск и конфигурирование сеанса удаленного доступа

Для инициализации сеанса удаленного доступа служит утилита Remote Desktop Connection (она запускается из подменю Start | All Programs | Accessories | Communications или же при помощи команды mstsc из командной строки). Введите имя или IP-адрес удаленного компьютера и нажмите кнопку Connect (рис. 10.12) — и через несколько мгновений вы увидите окно, приглашающее зарегистрироваться в удаленной системе!

Рис. 10.12. Из этого окна можно инициировать сеанс работы с удаленным компьютером

В системах Windows XP при входе в систему с помощью Remote Desktop текущий пользователь "выталкивается" из системы, при этом текущий сеанс не закрывается. Если удаленный пользователь входит с именем уже зарегистрированного пользователя, то он получает рабочую среду— открытые окна, запущенные программы — этого пользователя, который в свою очередь может снова войти в систему и вытолкнуть "пришельца". Только при использовании Remote Assistance возможна одновременная работа двух пользователей в одном сеансе. В Windows Server 2003 такого не происходит, поскольку в них для удаленного администрирования разрешены две сессии. Однако, если использовать команду mstsc /console, можно получить такой же режим работы, как и в Windows XP — т. е. с "выталкиванием".

В окне Remote Desktop Connection нажмите кнопку Options и внимательно просмотрите все вкладки, на которых определяются параметры удаленного подключения. Можно, например, устанавливать размер экрана, глубину цвета (до 24 бит), скорость подключения и пр. Обратите внимание на вкладку Local Resources (рис. 10.13).

Рис. 10.13. Вкладка, управляющая переназначением локальных устройств

По умолчанию звук с удаленного компьютера переназначается на локальный компьютер, и, работая на удаленном компьютере, можно выполнять печать на локальном принтере. Если установить флажок Disk drives, то можно одновременно пользоваться дисками обеих систем. Это очень удобно, например, для копирования файлов: "легким движением руки" в окне программы Windows Explorer (где будут отображаться диски обоих компьютеров) вы можете переписать любую информацию с удаленного компьютера на свой локальный диск.

Вкладка Experience (рис. 10.14) позволяет адаптировать сессию удаленного доступа к параметрам соединения: можно отключать некоторые возможности графики для низкоскоростных каналов и включать все возможности при соединении по локальной сети.

Рис. 10.14. Настройка параметров удаленного доступа в зависимости от скорости коммуникационного канала

Параметры текущего подключения можно сохранить в файле и использовать в дальнейшей работе для быстрой настройки подключений.

Для переключения окна сессии из полноэкранного режима в экран фиксированного размера и наоборот используются клавиши <Ctrl>+<Alt>+<Pause/Break>.

В системах Windows Server 2003 для работы со службами терминалов используется оснастка Remote Desktops. Она может использоваться и для удаленного доступа к компьютерам. На рис. 10.15 для примера показано одновременное подключение к двум удаленным компьютерам (Remote Server и Domain Controller). Каждый сеанс предварительно создается и конфигурируется (см. корень оснастки и дерево сеансов удаленного доступа), после чего его можно легко инициировать, указав курсором в списке. Так же легко можно и переключаться между различными сеансами.

Рис. 10.15. Окно оснастки Remote Desktops с двумя одновременными сеансами удаленного доступа

Запуск сценариев в среде Windows

Сценарий в среде Windows можно запустить тремя способами.

Дважды щелкните на файле сценария или на соответствующем значке в окне My Computer (Мой компьютер), в окне программы Windows Explorer или в окне результатов команды Search (Поиск).

В окне Run (Выполнить) введите с клавиатуры полное имя (включающее путь и расширение) выполняемого сценария и нажмите кнопку ОК.

В окне Run (Выполнить) введите wscript.exe с указанием полного имени сценария и необходимых параметров сервера и сценария.

При запуске сценария с помощью WSH можно указать, какое приложение следует использовать — Cscript.Exe или Wscript.Exe. Приложение сервера, выбираемое по умолчанию, может быть установлено с помощью команды cscript //H:имя_сервера_сценариев.

Например, если вы устанавливаете в качестве приложения, выбираемого по умолчанию, Wscript.exe и выполняете сценарий с именем Chart.vbs, то Wscript.exe будет выбираться по умолчанию для всех файлов сценариев, имеющих расширение vbs.

Страница свойств сервера сценариев Windows позволяет устанавливать параметры, приведенные в табл. 10.7.

Таблица 10.7. Свойства сервера сценариев

Свойство

Применение

Эквивалент параметра команды

cscript

Stop scripts after specified number of seconds (Останавливать сценарий после указанного числа секунд)

Максимальное количество секунд, в течение которых можно выполнять сценарий. (По умолчанию ограничение не устанавливается.)

//T:nn

Display logo when scripts executed in command console

(Отображать на консоли сведения о программе во время выполнения сценария)

Отображать заставку. (Обратное параметру //nologo. Устанавливается по умолчанию.)

//logo или //nologo

Запуск сервера сценариев из командной строки

Для запуска сервера сценариев из командной строки используйте утилиту Cscript.exe в соответствии со следующим синтаксисом: cscript имя_сценария [параметры_сервера_сценариев] [параметры_сценария], где

имя_сценария — это имя файла сценария с расширением, например, Chart.vbs;

параметры_сервера_сценариев — включают и отключают различные средства сервера сценариев. Они всегда предваряются двумя слэшами (//);

параметры_сценария — передаются в сценарий. Они всегда предваряются одним слэшем (/).

Ни один из параметров не является обязательным. Однако нельзя указать параметры сценария без самого сценария. Если вы не указываете ни одного параметра, Cscript.exe выдает на экран синтаксис своего запуска и допустимые параметры сервера сценариев (табл. 10.6).

Таблица 10.6. Параметры сервера сценариев, поддерживаемые Cscript.exe

Параметр		Описание
//B		Пакетный режим. Не отображает на экране сообщений об ошибках и приглашения пользователей
//D		Активизирует функцию отладки
//E=engine		Задает ядро, используемое для выполнения сценария
//H:Cscript или Wscript		Устанавливает Cscript.exe или Wscript.exe в качестве приложения, выбираемого по умолчанию для выполнения сценариев. По умолчанию установлен Wscript.exe
//I		Интерактивный режим (выбирается по умолчанию; режим, обратный задаваемому параметром / /в)
//Job: xxx		Выполняет задание WSF
//Logo		Отображает на экране заставку (выбирается по умолчанию; режим, обратный задаваемому параметром //NoLogo)
//NoLogo		Запрещает вывод заставки
//S		Сохраняет текущие параметры командной строки для этого пользователя
//T:nn		Время ожидания в секундах. Максимальное время, в течение которого может выполняться сценарий. (По умолчанию ограничение не устанавливается.)
&nbsp	Этот параметр используется для предотвращения слишком длительного выполнения сценариев. Устанавливается специальный таймер. Когда время выполнения превышает установленное значение, CSCRIPT прерывает работу ядра сценариев и завершает процесс
//X		Задает выполнение сценария в среде отладчика
//U		Использует кодировку Unicode для перенаправленного консольного ввода/вывода
//?		Показывает параметры и синтаксис команды Cscript.exe

Примеры простых сценариев можно скачать в виде пакета Sample Scripts no адресу http://msdn.microsoft.com/scripting/ default.htm7/scripting/windowshost.

Например, для того чтобы запустить сценарий Chart.vbs:

1. В меню Start (Пуск) выберите команду Run (Выполнить).

2. В командной строке выполните следующие команды: cscript "устройство:"\"/Саталог"\chart.vbs //logo или cscript "устройство:"\"Каталог"\chart.vbs //nologo

В системах Windows XP и Windows Server 2003 не обязательно указывать расширение сценариев: можно просто набрать с клавиатуры имя сценария или щелкнуть по нему мышью в окне программы Windows Explorer.

Запуск утилит из командной строки

При-помощи команды RunAs можно запускать из командной строки любые исполняемые файлы (имеющие расширение exe, com, cmd, bat, msc), ярлыки (lnk), а также элементы панели управления (cpl).

Существуют приложения и элементы, с которыми команда RunAs не может быть использована. Например, программа Windows Explorer, папка Printers и элементы рабочего стола.

Для запуска из командной строки утилит из пакета Windows Server 2003 Administrative Tools необходимо знать имена оснасток. В табл. 10.2 приводятся имена оснасток для наиболее часто используемых утилит из этого пакета.

Таблица 10.2. Имена оснасток для некоторых утилит пакета Windows Server 2003 Administrative Tools

Утилита		Имя оснастки
Active Directory Domains and Trusts		domain. msc
Active Directory Schema		должна быть создана администратором вручную
Active Directory Sites and Services		dssite.msc
Active Directory Users and Computers		dsa.msc
Computer Management		compmgmt.msc
Distributed File System		dfsgui.msc
DNS		dnsmgmt.msc
Domain Controller Security Settings		dcpol.msc
Domain Security Settings		dompol.msc
Group Policy		gpedit.msc
Local Security Settings		secpol.msc
Routing and Remote Access		rrasmgmt.msc
Services		services, msc
Device Manager*		devmgmt.msc
Disk Management*		diskmgmt.msc
Local Users and Groups*		lusrmgr.msc
Shared Folders*		fsmgmt.msc

*Оснастки, не отображаемые в меню Administrative Tools. Однако их можно найти в папке %SystemRoot%\system32

Команда RunAs имеет следующий формат:

runas [ [/noprofile | /profile] [/env] [/savecred | /netonly]]

/user:<имя_пользователя> приложение

Ключевые слова имеют следующий смысл:

/noprofile — в процессе запуска утилиты не будет осуществляться загрузка профиля пользователя. Благодаря этому приложения запускаются быстрее. Однако приложения, использующие информацию, размещенную в профиле пользователя, могут не работать;

/profile — загружается профиль пользователя. Данный режим выбирается по умолчанию;

/env — использовать текущее окружение, вместо того, чтобы создавать окружение, характерное для конкретного пользователя;

/savecred — использовать полномочия предыдущего пользователя;

/netonly — использовать полномочия исключительно для доступа к удаленным ресурсам;

/user — учетная запись пользователя.

Ниже приводится пример запуска оснастки Active Directory Users and Computers с полномочиями пользователя lex: c:\runas /user:lex@khsu.ru "mmc domain.msc"

В приведенном примере утилита запускается для управления доменом, к которому принадлежит текущий пользователь. Если необходимо запустить утилиту с полномочиями пользователя, принадлежащего к другому домену, используется другой формат команды. Ниже приводится пример запуска оснастки Active Directory Users and Computers с полномочиями пользователя kaizer, принадлежащего к домену kit.khsu.ru (NetBIOS-имя домена — KIT): c:\runas /netonly /user:KIT\kaizer "mmc domain.msc"

В приведенном примере используется формат NetBIOS для предоставления информации о домене, к которому принадлежит пользователь (домен\ пользователь). Однако допускается и использование основных имен пользователя (UPN).

Запуск утилит из контекстного меню

Администратор может запускать утилиты и оснастки любым способом — из главного меню, с рабочего стола, из программы Windows Explorer. При этом механизм административных утилит не требует, чтобы утилита запускалась на контроллере домена. Более того, чтобы не снижать производительность контроллера домена, рекомендуется использовать для управления системой специально выделенную рабочую станцию. Чтобы иметь на этой рабочей станции возможность осуществлять управление сетью, администратор должен предварительно установить на нее необходимые административные утилиты (как из набора Windows Server 2003 Administrative Pack, так и из вспомогательных пакетов Windows Server 2003 Support Tools и Resource Kit).

В случае если речь идет об установке определенных утилит для пользователей, которым делегированы полномочия на выполнение определенных операций, нет необходимости устанавливать весь пакет утилит. Можно установить на рабочую станцию только одну или несколько утилит из пакета Windows Server 2003 Administrative Tools. Для этого следует скопировать необходимые оснастки (файлы с расширением msc) и связанные с ними DLL-библиотеки из папки %SystemRoot%\system32 контроллера домена в любую папку на рабочей станции. Перейдя в указанную папку на рабочей станции, требуется зарегистрировать скопированные DLL-библиотеки. Для этого в режиме командной строки необходимо выполнить: regsvr32 <имя_DLL-библиотеки>

В табл. 10.1 приведены имена DLL-библиотек для некоторых, наиболее важных административных утилит.

Таблица 10.1. DDL-библиотеки, необходимые для работы некоторых административных утилит

Оснастка	Имя файла оснастки	Имя DLL-библиотеки
Active Directory Domain and Trusts	domain, msc	domadmin.dll
Active Directory Users and Computers	dsa.msc	dsadmin.dll
Active Directory Sites and Services	dssite.msc	dsadmin.dll
Active Directory Schema	-	schmmgmt.dll

Оснастка Active Directory Schema не инсталлируется автоматически. После того как файл schmmgmt.dll скопирован на рабочую станцию и зарегистрирован, пользователь должен добавить оснастку в управляющую консоль (ММС) и сохранить под некоторым именем.

Чтобы при помощи команды RunAs запустить утилиту с необходимыми полномочиями, вызовите контекстное меню утилиты, щелкнув по ее имени или пиктограмме правой кнопкой мыши. В меню выберите пункт Run as (Запустить как). В открывшемся окне (рис. 10.4) надо определить способ запуска утилиты — либо с полномочиями текущего пользователя (переключатель Current user), либо с полномочиями другого пользователя (переключатель The following user). В последнем случае необходимо предоставить сведения об имени учетной записи и сопоставленном ей пароле. Следует также указывать имя домена, к которому принадлежит учетная запись.

Рис. 10.4. Запуск программы с полномочиями другого пользователя

Запуская утилиту в контексте текущего пользователя, можно защитить систему (прежде всего данные) от несанкционированных действий со стороны запущенного приложения. Подобные действия могут иметь место в случае, если приложение заражено компьютерным вирусом или является своего рода "троянским конем". Для этого необходимо установить флажок Run this program with restricted access.

В контекстном меню отдельных утилит имеется пункт Author, выбор которого позволяет запустить оснастку в авторском режиме. Авторский режим дает возможность модифицировать параметры оснастки.

Если утилита должна всегда запускаться в рамках полномочий другого пользователя, необходимо соответствующим образом сконфигурировать ярлык утилиты. Вызвав окно свойств ярлыка утилиты, на вкладке Shortcut (Ярлык) нужно щелкнуть по кнопке Advanced (Дополнительно). В открывшемся окне установите флажок Run with different credentials (Запускать с другими полномочиями).