Общая папка windows 2000

Безопасность и аудит

Общий доступ к данным позволяет удаленным пользователям обращаться к сетевым ресурсам: файлам, папкам и дискам. Когда вы делаете общими папку/диск, все их файлы и вложенные папки становятся доступны другим пользователям. Управлять же доступом к определенным файлам и вложенным папкам в общей папке можно только на разделах файловой системы Windows NT (NTFS), списки управления доступом которых служат для предоставления/запрета доступа к файлам/папкам. Безопасность объекта относится ко всем ресурсам разделов NTFS. Она включает файлы, папки и объекты службы каталогов Active Directory, Обычно только администраторы вправе управлять объектами Active Directory, но вы можете делегировать пользователям полномочия управления объектами. При этом вь* открываете им доступ к информации в Active Directoryдля просмотра и изменения. Разрешения для пользователей задаются в списках управления доступом. Отслеживая доступ к объектам, вы можете тщательно контролировать сетевую активность и обеспечить доступ к ресурсам только авторизованным пользователям.

Общий доступ к папкам на локальных и удаленных системах

Общие ресурсы открыты для доступа удаленных пользователей. Разрешения для общих папок не распространяются на пользователей, регистрирующихся локально па сервере или на рабочей станции, где расположены эти общие папки.

• Для предоставления удаленным пользователям доступа к файлам в своей сети служа! стандартные разрешения доступа к папкам.

• Для предоставления удаленным пользователям доступа к файлам из Web применяется Web-доступ, реализуемый, только если на системе установлены службы Internet Information Services.

Просмотр имеющихся общих ресурсов

Вы можете увидеть общие папки на локальном/удаленном компьютере. 1. В консоли Computer Management (Управление компьютером) подключитесь к нужному компьютеру. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools (Системные средства) и Shared Folders (Общие папки), а затем выберите Shares (Общие ресурсы), Будут отбражены текущие общие ресурсы системы (рис. 13-1).

3. В правой панели содержится такая информация:

• Shared Folder (Общая папка) — имя общей папки;

• Shared Path (Общий путь) — полный путь к папке на локальной системе;

• Туре (Тип) — тип компьютера, который может использовать этот ресурс;

Примечание Запись «Windows» означает, что все клиенты Microsoft Windowsмогут обращаться к ресурсу так же, как другие разрешенные клиенты, например пользователи Macintosh. Запись «Macintosh» означает, что к этому ресурсу могут обращаться только клиенты Macintosh.

• # Client Redirections (Количество перенаправлений клиентам) — количество клиентов, имеющих доступ к ресурсу в данный момент;

• Comment (Комментарий) — описание ресурса.

Создание общих папок

Microsoft Windows 2000 обеспечивает два способа открытия общего доступа: к локальным папкам (через Проводник Windows) или к локальным и удаленным папкам (через консоль Computer Management). Computer Management позволяет управлять общими ресурсами с любого компьютера сети. Для создания общих папок на Windows 2000 SERVERвы должны входить в группы Administrators (Администраторы) или SERVEROperators (Операторы сервера). Чтобы создать общую панку на Windows 2000 Workstation, нужно быть членом групп Administrators или Power Users (Опытные пользователи).

Общая папка в Computer Management создается так. 1. Щелкните правой кнопкой Computer Management в дереве консоли и выберите Connect To Anoffier Computer (Подключиться к другому компьютеру). Затем выберите нужный компьютер в окне Select Computer (Выбор: Компьютер). 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Shares. Будут показаны текущие общие ресурсы системы. 3. Щелкнув правой кнопкой Shares, выберите New File Share (Новый общий файл). Откроется мастер Create Shared Folder (Создание общей папки) (рис. 13-2). 4. В ноле Folder To Share (Общая папка) наберите локальный путь к папке, к которой вы хотите открыть доступ. Путь должен быть полным, например C:\Data\CorpDocuments. Если вы не знаете полного пути, щелкните Browse (Обзор) и в окне Browse For Folder (Обзор папок) найдите нужную папку.

Совет Если требуемого пути не существует, мастер может создать его. Щелкните Yes (Да), когда появится предложение создать нужную папку.

5. Введите имя ресурса. Это имя папки, к которой будут обращаться пользователи. Имена ресурсов должны быть уникальными для каждой системы. Примечание Компьютеры с MS-DOS и Windows3.1 могут получить доступ только к ресурсам, имена которых соответствуют стандарту 8.3. Чтобы обеспечить для них доступность ресурса, вы должны соблюдать правило именования 8.3. Например, вместо PrimaryShare лучше использовать имя PRIMARY.SHR или что-то подобное. О правилах именования см. главу 12. 6. Вы можете ввести описание ресурса. Впоследствии, когда вы будете просматривать общие ресурсы на каком-то компьютере, описание будет показано в Computer Management. 7. Дополнительно можно определить типы клиентов, которые будут иметь доступ к компьютеру:

• Microsoft Windows;

• Novell Netware;

• Apple Macintosh. Примечание Ресурсы для Apple Macintosh и Novell Netware должны быть созданы на NTFS. File SERVERFor Macintosh — это служба, которая делает файлы доступными пользователям Macintosh. Эти службы нужно установить и запустить, если вы хотите открыть доступ к общим ресурсам пользователям этих систем. Настроить компьютер как файловый сервер позволяет программа Configure Your SERVER(Настройка сервера): установить дополнительные компоненты поможет мастер. 8. Если в качестве типа клиента выбран Apple Macintosh, »ы можете изменить имя ресурса по умолчанию для пользо нате лей Macintosh, набрав новое имя в поле Macintosh Share Name (Имя ресурса Macintosh). 9. Щелкните Next (Далее), а затем настройте базовые разрешения доступа к ресурсу (рис. 13-3); см. раздел «Управление разрешениями доступа к общему ресурсу». Вам доступны следующие параметры.

• АИ Users Have Full Control (Все пользователи имеют полный доступ) дает пользователям полный доступ к ресурсу, т. с. они могут выполнять любые действия с общими файлами/папками: создавать, изменять и удалять их. На разделах NTFSэто также дает пользователям право менять разрешения доступа и становиться владельцами файлов/лапок.

• Administrators Have Full Control; Other Users Have Read-Only Access (Администраторы имеют полный доступ; остальные имеют доступ только для чтения) дает администраторам полный доступ к ресурсу. Остальные пользователи могут только просматривать файлы и читать данные, но не создавать, изменять или удалять файлы/папки.

• Administrators Have Full Control; Other Users Have No Access (Администраторы имеют полный доступ; остальные не имеют доступа) дает администраторам полный доступ к ресурсу, но запрещает доступ остальным пользователям. Используйте этот параметр, если хотите создать общий ресурс и предоставить пользевателям разрешения доступа позже или если хотите создать административный ресурс. Customize Share And Folder Permissions (Настроить общий ресурс и разрешения доступа к папке) позволяет настроить доступ для определенных пользователей и групп; обычно это лучший вариант. О настройке разрешений доступа к общему ресурсу см. раздел «Управление разрешениями доступа к общему ресурсу».

10. Щелкните Finish (Готово).Примечание Просматривая теперь общие папки в Проводнике Windows, вы увидите на значке папки руку, т. е. папка стала общей. Через Computer Management вы также можете просмотреть общие ресурсы — см. раздел «Общий доступ к папкам на локальных и удаленных системах».

Создание дополнительных общих ресурсов на базе существующего

Отдельным панкам можно сопоставить несколько ресурсов общего доступа, причем каждый может иметь свое имя и набор разрешений доступа. Создавая дополнительные ресурсы на базе существующего, следуйте инструкциям но созданию ресурса предыдущего раздела с такими изменениями:

• в п. 3: присваивая имя ресурсу, убедитесь, что оно отличается от других, ранее присвоенных;

• в п. 6: в описании ресурса объясните, для чего он используется (и чем отличается от других ресурсов для той же папки).

Создание Web-pecypca

Если в системе, на которой вы в данный момент зарегистрированы, установлены службы Internet Information Services (IIS), вы можете создать общие ресурсы, которые будут доступны из Web-обозревателей. 1. В Проводнике правой кнопкой щелкните локальную папку, к которой хотите открыть доступ, и выберите Properties (Свойства). 2. В окне свойств щелкните вкладку Web Sharing (Доступ через веб) (рис. 13-4).

3. В списке Share On выберите локальный Web-узел, на котором хотите открыть доступ к этой панке, 4. Если это первый общий ресурс для данной папки, щелкните Share This Folder (Предоставить совместный доступ к папке), чтобы открыть окно Edit Alias (рис. 13-5); иначе щелкните Add (Добавить).

5. В поле Alias (Псевдоним) введите псевдоним папки. Псевдоним — это имя, которое вы будете использовать для доступа к папке на Web-сервере. Оно должно быть уникальным и не должно конфликтоиать с существующими папками, используемыми Web-сервером. Скажем, если вы наберете псевдоним MyDir, вы сможете обращаться к папке по адресу htfp://loca!host/MyDir/. 6. Установите разрешения доступа для папки. Следующие флажки позволяют пользователям Web:

• Read (Чтение) — читать файлы в папке;

• Write (Запись) — записывать файлы в папку;

• Script Source Access (Доступ к тексту сценария) — получить доступ- к исходным текстам сценариев;

• DirectoryBrowsing (Обзор каталога) — просматривать папку и в;южеш-.ые в нее подпапки. 7. Установите разрешения для приложений и лапке. Вам доступны такие флажки:

• None (Отсутствуют) запрещает выполнение программ и сценариев;

• Scripts (Сценарии) позволяет запускать сценарии в этой папке из Web;

• Execute (Includes Scripts) [Выполнение (включая сценарии)] позволяет выполнять программы и сценарии в этой папке из Web.

8. Закончив, щелкните ОК. 9. Для дальнейшего ограничения доступа к содержимому общей папки на разделе NITFS настройте разрешения файла/папки (см. раздел «Разрешения доступа к файлам и папкам»). Примечание Управление доступом к Web-ресурсам осуществляется Web-сервером и Windows 2000. Если у вас проблемы с доступом к ресурсу, проверьте разрешения Webсервера, а затем разрешения доступа к файлам и папкам Windows 2000.

Управление разрешениями доступа к общему ресурсу

Разрешения доступа устанавливают максимально возможные действия в общей папке. По умолчанию при создании общего ресурса любой пользователь сети имеет полный доступ к содержимому этого ресурса. На разделах NTFSможно задать разрешения доступа к файлам/папкам внутри общей панки для дополнительного ограничения доступа к объектам внутри общей папке и к ней самой. На разделах FATдоступ регулируют только разрешения для самого ресурса. Виды разрешений доступа к общим ресурсам Ниже перечислены разрешения доступа к ресурсам но степени ограничения от более жестких к менее.

• No Access (Нет доступа) — доступ к этому ресурсу запрещен.

• Read (Чтение) — с этим разрешением пользователь может:

• видеть имена файлов и нанок;

• иметь доступ к поднапкам общего ресурса;

• читать данные и атрибуты файлов;

• запускать на выполнение программы,

• Change (Изменение) — пользователям разрешено читать данные из папки, а также:

• создавать файлы и подпапки;

• изменять файлы;

• изменять атрибуты файлов и нодпапок;

• удалять файлы и подпапкн.

Full Control (Полный доступ) — пользователи имеют разрешения чтения/изменения, а также дополнительно получают в разделах NTFSвозможность:

• изменять разрешения доступа к файлам/папкам;

• становиться владельцами файлов/папок. Примечание Только на разделах NTFSможно установить разрешения доступа к файлам/папкам и права владения файлами/папками. Вы можете назначить разрешения доступа к общим ресурсам пользователям/группам. Можно назначить разрешения доступа даже неявным группам. О неявных группах см. главу 7.

Просмотр разрешений доступа к общему ресурсу

Вы можете просмотреть разрешения доступа к общему ресурсу. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан общий ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Shares.

3. Правой кнопкой щелкните ресурс, который хотите посмотреть, и выберите Properties. 4. В окне свойств щелкните вкладку Share Permissions (Разрешения для общего ресурса) (рис. 13-6). Теперь вы видите, какие пользователи и группы имеют доступ к этому ресурсу и тип этого доступа.

Настройка разрешений доступа к общему ресурсу

В консоли Computer Management можно добавить разрешения доступа пользователя, компьютера и группы к ресурсу. 1. Правой кнопкой щелкните ресурс, которым хотите управлять, и выберите Properties. 2. В окне свойств щелкните вкладку Share Permissions. 3. Выберите Add. Откроется окно Select Users, Contacts, Computers, .Or Groups (Выбор: Пользователи, Контакты, Компьютеры или Группы) (рис. 13-7). Параметры этого окна таковы.

• Look In (Искать в) — список, позволяющий получить доступ к учетным записям в других доменах. Щелкните Look In для просмотра списка текущего домена,

доверенных доменов и других ресурсов, к которым вы имеете доступ. Выберите Entire Directory(Вся панка) для просмотра всех учетных записей в папке. Примечание В список Look In попадают только домены, с которыми установлены доверительные отношения. Поскольку в Windows 2000 используется транзитивное доверие, это обычно означает, что все домены в дереве или лесу будут присутствовать в списке.

• Name (Имя) — перечень доступных учетных записей в выбранном домене/ресурсе.

• Add (Добавить) — кнопка добавляет выбранные имена в список выбора.

• Check Names (Проверить имена) — кнопка подтверждает правильность имен пользователей и групп, внесенных в список выбора. Это полезно, если вы вводили имена вручную и хотите убедиться, что они существуют. 4. Щелкните ОК. Пользователи и группы будут добавлены в список имен для общего ресурса. 5. Настройте разрешения доступа для каждого пользователя, контакта, компьютера и группы, выбирая учетную запись и предоставляя/запрещая нужные разрешения. Помните: вы задаете максимально возможные разрешения для конкретного пользователя, контакта, компьютера или группы. 6. Щелкните ОК. О назначении дополнительных разрешений безопасности па томе NTFSсм. раздел «Разрешения доступа к файлам и панкам».

Изменение существующих разрешений доступа к общему ресурсу

Вы можете изменить разрешения доступа к общему ресурсу, которые ны назначили пользователю, контакту, компьютеру или группе, в окне Share Permissions. В консоли Computer Management сделайте так. 1. Правой кнопкой щелкните ресурс, которым хотите управлять, и выберите Properties. 2. В окне Share Properties щелкните вкладку Share Permissions.

3. В списке Name (Имена) выберите пользователя, контакт, компьютер или группу, разрешения доступа которых вы хотите изменить. 4. Используйте поля в области Permissions (Разрешения) для предоставления/запрета разрешений доступа. 5. Повторите эти действия для других пользователей, контактов, компьютеров или групп; щелкните ОК, когда закончите.

Удаление разрешений доступапользователей и групп к общему ресурсу

Удалить разрешения доступа к общему ресурсу, назначенные пользователям, контактам, компьютерам и группам, можно в окне Share Permissions. Б консоли Computer Management сделайте так. 1. Праиой кнопкой щелкните ресурс, которым хотите управлять, и выберите Properties. 2. В окне Share Properties щелкните вкладку Share Permissions. 3. В списке Name выберите пользователя, контакт, компьютер или группу, ‘разрешения доступа которых вы хотите удалить, и выберите Remove (Удалить). 4. Повторите эти действия для других пользователей, конгактои, компьютеров или групп, и щелкните ОК.

Управление существующими общими ресурсами

Администратору часто придется управлять общими папками. Понятие о специальных ресурсах Когда вы устанавлинастс Windows 2000. ОС автоматически создает специальные ресурсы. Их также называют административными и скрытыми. Эти ресурсы призваны облегчить системное администрирование. Вы не можете настроить разрешения доступа к специальным ресурсам — Windows 2000 назначает их сама. Однако вы можете удалить специальные ресурсы, если какие-то из них вам не нужны. Доступность специальных ресурсов определяют параметры системы. Ниже приведен список и правила использования специальных ресурсов (табл. 13-1).

Табл. 13-1. Специальные ресурсы, используемые в Windows 2000. Имя специального ресурса Описание Использование ADMINS На рабочих станциях и серверах доступ к этому ресурсу имеют члены групп Administrators и Backup Operators (Операторы архива). На контроллерах домена к ним добавляются члены группы SERVEROperators. Используется клиентами службы FAX при отсылке факсов. Используется программами во время удаленного администрирования и ири просмотре общих ресурсов. Используется службой Net Logon при обработке запросов на регистрацию в домене. Все пользователи имеют доступ на чтение. Используется File SERVERFor Macintosh и Print SERVERFor Macintosh. Используется общими принтерами. Все пользователи имеют доступ на чтение. Члены групп Administrators, SERVEROperators и Printer Operators (Операторы печати) имеют полный доступ. SYSVQL Поддерживает Используется для хранения данных и объектов Active Directory. DriveletterS Позволяет админигт- На рабочих станциях и серверах доступ к этому ресурсу имеют члены групп Administrators и Backup Operators. На контроллерах домена к ним добавляются члены группы SERVEROperators. FAX$ IPCS NETLOGON Microsoft t’AM Volume PRINTS Поддерживает сетевые факсы. Поддерживает именованные каналы во время удаленного 1РС-доступа. Поддерживает службу Net Logon, Поддержинает службы файлов и печати Macintosh Поддерживает общие принтеры, обеспечивая доступ к драйверам принтеров. Active Directory. администраторам подключаться к корневой папке диска. Эти ресурсы отображаются, как С$. DS, ES и т. д.

Подключение к специальным ресурсам

Имена специальных ресурсов заканчиваются символом «$». Хотя эти ресурсы и не отображаются в Проводнике Windows, администраторы и некоторые операторы могут подключаться к ним. Чтобы подключиться к специальному ресурсу, сделайте так. 1. В Проводнике в меню Tools (Сервис) выберите Map Network Drive (Подключить сетевой диск). Откроется диалоговое окно (рис. 13-8). 2. В поле Drive (Диск) выберите свободную букву диска. Эта буква будет служить для доступа к специальному ресурсу. 3. В поле Folder наберите UNC-путь к нужному ресурсу, Например, для доступа к ресурсу С$ на сервере Twiddle нужно ввести \\TWIDDLE\CS. 4. Щелкните ОК.

После подключения к специальному ресурсу вы получаете доступ к нему, как к любому другому диску. Поскольку специальные ресурсы защищены, вам не нужно беспокоиться, что обычные пользователи получат доступ к этому ресурсу. Когда вы подключаетесь к ресурсу впервые, вам может быть предложено ввести имя и пароль пользователя.

Просмотр сеансов пользователей и компьютеров

Консоль Computer Management может отследить все подключения к общим ресурсам в системе Windows 2000. Как только пользователь/компьютер подключаются к общему ресурсу, подключение отображается в узле Sessions (Сеансы). Вот как просмотреть подключения к общим ресурсам. 1. В консоли Computer Management подключитесь к компьютеру, на котором 1юздан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Sessions. 3. Вы можете видеть подключенных к ресурсу пользователей/компьютеры (рис. 13-9).

Узел Sessions дает важную информацию о подключениях пользователей и компьютеров:

• User (Пользователь) — имена пользователей/компьютеров, подключенных к общим ресурсам; имена компьютеров показаны с суффиксом «$», чтобы отличить их от имен пользователей.

• Computer (Компьютер) — IP-адрес, используемый компьютером;

• Туре (Тип) — тип используемого компьютера;

• Open Files (Открытые файлы) — количество файлов, с которыми пользователь активно работает; более подробную информации вы найдете в узле Open Files;

• Connected Time (Время подсоединения) — время, прошедшее с начала соединения;

• Idle Time (Время простоя) — время, прошедшее с момента, когда соединение использовалось и последний раз;

• Guest (Гость) — регистрировался ли пользователь как гость.

Управление сеансами и общими ресурсами

Прежде чем вы отключите сервер или приложение, работающее на нем, желательно отключить пользователей от общих ресурсов. Вам также может понадобиться отключить пользователей, когда вы собираетесь изменить разрешения доступа или совсем удалить общий ресурс. Еще одна причина отключения пользователей — снятие блокировки файлов. Пользователь отключается от общих ресурсов путем завершения относящихся к нему сеансов. Завершение отдельных сеансов. Вот как отключить отдельных пользователей от общих ресурсов. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Sessions. 3. Правой кнопкой щелкните нужный пользовательский сеанс и выберите Close Session (Отключить сеанс). 4. Щелкните ОК для подтверждения действия. Завершение всех сеансов. Чтобы отключить от общих ресурсов всех пользователей, сделайте так. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Sessions. 3. Выбрав Disconnect All Sessions (Отключить все сеансы), щелкните ОК для подтверждения действия. Примечание Помните: вы отключаете пользователей от общих ресурсов, а не от домена. Вы можете заставить пользователей завершить сеанс после их входа в домен,только ограничив разрешенное время работы или средствами групповой политики. Так что отключение пользователей от общего ресурса не отключает их от сети.

Управление открытыми ресурсами

Пока пользователь подключен к общему ресурсу, отдельные файлы и объекты ресурса, с которыми он активно работает, отображаются в узле Open Files (Открытые файлы). Узел Open Files может показать файлы, которые пользователь открыл, но не редактирует R данный момент. Вот как получить доступ к узлу Open Files. 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Open Files. Будет показан узел Open Files (рис. 13-10).

Узел Open Files даст следующую информацию об использовании ресурса:

• Open File (Открытый файл) — путь к открытому файлу/ папке на локальной системе; может также быть именованным каналом, например \PIPE\spools для буферизации печати;

• Accessed By (Пользователь) — имя пользователя, открывшего файл;

• Туре (Тип) — тип используемого компьютера;

• # Locks (Блокир.) — количество блокировок ресурса;

• Open Mode (Режим открытия) — использовавшийся при открытии ресурса режим доступа: чтения, записи или чтения-записи. Закрыть открытый файл в ресурсах компьютера можно так. 1. В «консоли Computer Management подключитесь к компьютеру, с которым хотите работать. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Open Files. 3. Правой кнопкой щелкните открытый файл и выберите Close Open File (Закрыть открытый файл). 4. Щелкните ОК для подтверждения действия. Закрыть все открытые файлы в ресурсах компьютера можно так. 1. В консоли Computer Management подключитесь к компьютеру, с которым хотите работать. 2. В дереве консоли раскройте последовательно узлы SYSTEMTools и Shared Folders, а затем выберите Open Files. 3. Выбрав Disconnect All Open Files (Отключить все открытые файлы), щелкните ОК для подтверждения действия. Прекращение общего доступа к файлам и папкам 1. В консоли Computer Management подключитесь к компьютеру, на котором создан ресурс и раскройте узел Shares. 2. Правой кнопкой щелкните ресурс, который хотите удалить, и выберите Stop Sharing (Прекратить общий доступ). Щелкните ОК для подтверждения действия. Внимание! Никогда не удаляйте папку, содержащую общие ресурсы, без предварительного прекращения доступа к этим ресурсам. Если вы забудете прекратить доступ, Windows 2000 попытается восстановить доступ при следу-ющем запуске компьютера, результатом чего будет запись об ошибке в системном журнале.

Подключение к сетевым дискам

Пользователи могут подключаться к сетевым дискам и общим ресурсам, доступным и сети. Эти соединения выглядят как сетевые диски, к которым пользователи обращаются так же, как к другим дискам и своих системах, Примечание Когда пользователи подключаются к сетевым дискам, на них действует не только набор разрешений доступа к общим ресурсам, но и разрешения доступа к файлам/папкам Windows 2000. Различия в этих наборах разрешений обычно являются причиной того, что пользователи не могут получить доступ к отдельным файлам/подпапкам на сетевом диске.

Подключение сетевого диска

В Windows 2000 подключение к сетевому диску осуществляется путем проекции. Для этого применяются процедуры, зависящие от конкретной ОС. Вот как подключиться к общему ресурсу Windows 2000. 1. После регистрации пользователя запустите Проводник на его компьютере. 2. В меню Tools (Сервис) выберите Map Network Drive (Подключить сетевой диск). Откроется диалоговое окно Map Network Drive. 3. В поле Drive (Диск) можно создать сетевой диск для общего ресурса. Выберите свободную букву диска для создания сетевого диска, к которому можно будет обращаться через Проводник, и папку My Computer (Мой компьютер). Можно выбрать None для создания сетевого диска без назначения буквы. Этот диск открывается и собственном окне Проводника Windowsи недоступен через My Computer. 4. В поле Folder наберите UNC-путь к нужному ресурсу. Например, для доступа к ресурсу DOCS на сервере ROMEO нужно ввести \\ROMEO\DOCS. Если вы не знаете точного места размещения ресурса, щелкните Browse (Обзор) для поиска доступных ресурсов.

5. Если вы хотите, чтобы сетевой диск автоматически подключался в последующих сеансах, выберите Reconnect At Logon (Автоматически подключать при входе в систему). Иначе снимите этот флажок и дважды щелкните сетевой диск, который хотите подключить. 6. Для подключения от имени пользователя, отличного от того, под которым вы регистрировались и системе, щелкните Different User Name (под другим именем) и введите имя пользователя и пароль. 7. Щелкните ОК. /TV Совет В других ОС, например Novell Netware, можно использовать UNC из командной строки: Net Use К: \\SERVER1\Public Если хотите сделать это подключение постоянным, добавьте /Persistences в конце: Net Use К: \\SERVER1\Public /Persistent:yes Тогда система будет пытаться получить доступ к папке Public на сервере SERVERl при каждом входе в систему.

Отключение сетевого диска

Сетевой диск отключается так. 1. После регистрации пользователя запустите Проводник Windowsна компьютере пользователя. 2. Б меню Tools выберите Disconnect Network Drive (Отключить сетевой диск). Откроется диалоговое окно Disconnect Network Drive. 3. Выберите нужный диск и щелкните ОК.

Управление объектами,правами владения и наследованием

В Windows 2000 реализован объектный подход к описанию ресурсов и управлению разрешениями доступа. Объекты, описывающие ресурсы, определяются в разделах NTFSи в Active Directory. На разделах NTFSможно настраивать разрешения доступа к файлам/папкам, а средствами Active Directory— разрешения доступа к другим объектам, таким как пользователи, контакты, компьютеры и группы.

Объекты и диспетчеры объектов

Независимо от того, где определен объект: в разделе NTFSили в Active Directory, — у каждого типа объектов свой диспетчер и базовые средства управления. Диспетчер объектов управляет параметрами объекта и разрешениями доступа к нему. Базовые средства управления — предпочтительные инструменты работы с объектами. Объекты, их диспетчеры и средства управления перечислены ниже (табл. 13-2). Табл. 13-2. Объекты Windows 2000. Тип объекта Файлы и папки Общие ресурсы Записи реестра Службы Принтеры Диспетчер объекта NTFSСлужба SERVERРеестр WindowsКонтроллеры служб Спулер печати Средство управления Проводник Проводник, консоль Computer Management Редактор реестра (regedit) Набор средств настройки безопасности (Security Configuration Tool Set) Папка Printers (Принтеры) в Control Panel (Панель управления)

Владение и передача объектов

В Windows 2000 владелец объекта не обязательно является его создателем, но именно владелец объекта полностью управляет им. Владелец объекта может разрешать доступ и давать другим пользователям право становиться владельцами объекта. Администратор вправе завладеть любыми объектами в сети. За счет этого для авторизованных администраторе» нельзя заблокировать файлы, папки, принтеры и другие ресурсы. Но став владельцем файлов, вы (в большинстве случаев) не можете вернуть их предыдущему владельцу. Это предотвращает возможность администратора получить доступ к файлу, а затем скрыть этот факт. Порядок назначения прав владения изначально определяется местом размещения создаваемого ресурса. Обычно группа Administrators является текущим владельцем объекта, а его действительный создатель имеет право стать владельцем. Передать владение можно такими способами.

• Если администраторы изначально назначаются владельцами, создатель объекта может стать владельцем при условии, что он сделает это прежде, чем кто-либо другой станет владельцем. > Текущий владелец может предоставить разрешение Take Ownership (Смена владельцем) другим пользователям, разрешив им становиться владельцами объекта.

• Администратор может стать владельцем объекта, взяв его под свое управление.

Вот как сменить владельца объекта.

1. Запустите средство управления этим объектом. Например, если хотите работать с файлами/папками, запустите Проводник. 2. Правой кнопкой щелкните объект, владельцем которого хотите стать. 3. Выберите Properties, а затем в окне свойств — вкладку Security (Безопасность). 4. Щелкнув кнопку Advanced (Дополнительно), откройте диалоговое окно Access Control Settings (Параметры управления доступом). Затем выберите вкладку Owner (Владелец) (рис. 13-11).

5. Выберите имя нового владельца к списке Change Owner То (Изменить владельца на), а затем — ОК.

Наследование объектов

Объекты определяются с использованием структуры родитель — потомок. Родительский объект — объект верхнего уровня. Дочерний определяется в иерархии ниже родительского. Например, папка С:\ является родительской для папок C:\data и C:\backups. Любые подпапки, созданные в C:\data или C:\hackup.s являются дочерними для этих папок и внучатыми для С:\. Дочерние объекты могут наследовать разрешения от родительских объектов. Фактически псе объекты Windows 2000 по умолчанию создаются с разрешением наследования. Это значит, что дочерние объекты автоматически наследуют разрешения родительских, поэтому разрешения родительского объекта управляют доступом к дочернему. Чтобы изменить разрешения дочернего объекта:

• отредактируйте разрешения родительского объекта;

• остановите наследование разрешений от родительского объекта, а затем назначьте разрешения для дочернего;

• выберите противоположное значение разрешения для перекрытия унаследованного, например, если родитель предоставляет какое-то разрешение, запретите его для дочернего объекта. Вот как запустить/остановить наследование разрешений от родительского объекта. 1. Запустите средство управления для данного объекта. Например, если хотите работать с файлами/папками, запустите Проводник. 2. Правой кнопкой щелкните объект, с которым хотите работать. 3. В меню выберите Properties, а затем в окне свойств вкладку Security. 4. Щелкнув кнопку Advanced, откройте диалоговое окно Access Control Settings. 5. На вкладке Permission (Разрешения) установите/снимите флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект),

Разрешения доступа к файлам и папкам

В разделах NTFSвы можете настраивать разрешения безопасности для файлов и папок. Эти разрешения позволяют/ запрещают доступ к файлам/папкам. Разрешения безопасности можно просмотреть. 1. В Проводнике правой кнопкой щелкните файл/папку, с которыми хотите работать. 2. В меню выберите Properties, а затем и окне свойств вкладку Security. 3. В списке Name выберите пользователя, контакт, компьютер и группу, разрешения которых вы хотите видеть. Если разрешения затенены, они наследуются от родительского объекта.

Понятие разрешений доступа к файлам и папкам

Ниже приведены базовые разрешения, которые вы можете назначить файлу и папке (табл. 13-3). Разрешения файла: Full Control (Полный доступ). Modify (Изменение), Read & Execute (Чтение и выполнение), Read (Чтение) и Write (Запись). Разрешения папки: Full Control, Modify, Read & Execute, List Folder Contents (Список содержимого папки), Read и Write. Когда иьт работаете с разрешениями файлов/папок, учтите:

• Read — единственное разрешение, необходимое для выполнения сценариев. Разрешение Execute (Выполнение) не требуется;

• Read требуется для доступа к ярлыкам и их целевым объектам;

• предоставляя пользователю разрешение записи в файл, но не его удаления, нельзя предотвратить удаление пользователем содержимого файла — пользователь по-прежнему может удалить содержимое файла;

• имея полный доступ к папке, пользователь может удалять файлы в ней независимо от разрешений на сами эти файлы. Базовые разрешения создаются комбинацией специальных разрешений в логических группах. Ниже показаны специальные разрешения, используемые при создании базовых разрешений для файлов (табл. 13-4). Используя дополнительные параметры разрешения, вы можете назначать специальные разрешения индивидуально. При изучении специальных разрешений учтите следующее.

• Доступ пользователю должен быть предоставлен явно, иначе доступ ему запрещен.

• Действия, которые может выполнять пользователь, являются суммой всех разрешений, назначенных ему и всем группам, членом которых он является. Например, пользователь GeorgeJ имеет доступ на чтение, кроме того, он является членом группы Techies, которая имеет право изменения. В итоге GeorgeJ будет иметь право изменения. Если Techies будут включены в группу Administrators, которая имеет полный доступ, GeorgeJ также получит полный доступ к этому файлу. Табл. 13-3. Разрешения файлов и папок в Windows 2000. Разрешение Позволяет для папок Позволяет для файлов Read (Чтение) Write (Запись) Read & Execute (Чтение и выполнение) List Folder Contents (Список содержимого нанки) Modify (Изменение) Full Control (Полный доступ) Просмотр и получение списка файлов и поднапок Добавление файлов и нодпанок. Просмотр и получение списка файлов и Подлипок, а также исполнение файлов (наследуется файлам! и папками) Просмотр и получение списка файлов и подпапок, а также исполнение файлов (наследуется только папками) Чтение и запись файлов и подпапок. удаление папки Чтение, запись, изменение и удаление файлов и подпапок Просмотр/доступ к содержимому файла Запись в файл Просмотр/доступ к содержимому файла, а также исполнение файла Чтение, запись и удаление файла Чтение, запись, изменение и удаление файла Ниже перечислены специальные разрешения, используемые для создания базовых разрешений для папок{табл. 13-5). При изучении специальных разрешений учтите следующее.

• Устанавливая разрешения для родительской папки, вы можете заставить все файлы и подпайки внутри этой папки унаследовать ее разрешения: выберите Reset Permissions On All Child Objects And Enable Propagation Of Inheritable

Permissions (Сбросить разрешения всех дочерних объектов и разрешить перенос наследуемых разрешений).

• Файлы, создаваемые в папках, наследуют некоторые параметры разрешения. Эти параметры показаны как стандартные разрешения файла. Табл. 13-4. Специальные разрешения для файлов. Специальные Разрешения Full Read & Control Modify Execute Read Write Обзор папок / Выполнение файлов Получение списка содержимого папки / Чтение данных Чтение атрибутов Чтение расширенных атрибутов Создание файлов / Запись данных Создание папок / Добавление данных Запись атрибутов Запись расширенных атрибутов Удаление подпапок и файлов Удаление Разрешения на чтение Разрешения на изменение Смена владельца X \ \ \ X \ X \ X \\ X X X X X X X X X X X \ \ \ X X X X X X X X X \ X X Табл. 13-5. Специальные разрешения для папок. Специальные Разрешения Обзор папок / Получение списка содержимого пайки / Чтение данных Чтение атрибутов Чтение расширенных атрибутов Создание файлов / Запись данных Создание папок / Добавление данных Full Control X \ X X X X Modify X \ X X X X Read & Execute X X X X List Folder Contents X X X X Read Write X X X X X

Табл. 13-5. (продолжение) Специальные Разрешения List Full Read & Folder Control Modify Execute Contents Read Write Запись атрибутов Запись расширенных атрибутов Удаление подпапок и файлов Удаление Разрешения па чтение Разрешения на изменение Смена владельца X X

Настройка разрешений для файла и папки

1. В Проводнике пралой кнопкой щелкните файл/папку, с которыми хотите работать. 2. В появившемся меню выберите Properties, а затем в окне свойстн — вкладку Security (рис. 13-12).

3. Пользователи/группы, которые уже имеют доступ к файлу/папке, перечислены в списке Name. Вы можете изменить разрешения для этих пользователей/групп:

• выберите пользователя/группу, разрешения которых хотите изменить;

• в списке Permissions предоставьте/запретите разрешения доступа. Совет Наследуемые разрешения затенены. Если вы хотите перекрыть наследуемое разрешение, выберите противоположное значение. 4. Чтобы задать разрешения доступа для дополнительных пользователей, контактов, компьютеров/групп, щелкните Add. Появится диалоговое окно Select Users, Computers, Or Groups (рис. 13-13).

В этом окне имеются следующие поля.

• Look In — этот список позволяет получить доступ к учетным записям в других доменах. Щелкните Look In для просмотра списка текущего домена, доверенных доменов и других ресурсов, к которым вы имеете доступ. Выберите Entire Directory(Вся папка) для просмотра всех учетных записей в Active Directory.

• Name — здесь перечислены учетные записи в выбранном домене/ресурсе.

• Add — эта кнопка добавляет выбранные имена в список выбора.

• Check Names — эта кнопка подтверждает правильность имен пользователей и групп, внесенных в список выбора. Это удобно, если вы вводили имена вручную и хотите убедиться, что они существуют. 6. В списке Name выберите нужных пользователя, компьютер или группу, а затем используйте поля в области Permissions для предоставления/запрета разрешений доступа. Повторите для других пользователей, компьютеров или групп. 7. Щелкните ОК, когда закончите.

Аудит системных ресурсов

Аудит — лучший способ проследить, что случилось с вашей системой Windows 2000. Вы можете применять аудит для сбора информации по использованию ресурсов, такой как доступ к файлам, регистрация в системе и изменения системных настроек. Как только произойдет событие, которое вы настроили для аудита, оно будет записано в системный журнал безопасности, где вы сможете увидеть его. Журнал безопасности доступен и консоли Event Viewer. Примечание Для большей части изменений аудита вам понадобится регистрироваться под учетной записью из группы Administrators i/ли иметь разрешение Manage Auditing And Security Log (Управление аудитом и журналом безопасности) в групповой политике.

Настройка политик аудита

Политики аудита — важный фактор обеспечения безопасности и целостности системы. Почти каждая компьютерная система в сети должна быть настроена для протоколирования определенных параметров безопасности. Политики аудита настраиваются с применением групповой политики: вы можете задать политики аудита для лсего сайта, домена или организационного подразделения (ОП). Вы также можете настроить политики для отдельной рабочей станции/сервера. Открыв контейнер групповой политики, настройте политику аудита. 1. Доступ к узлу Audit Policy (Политика аудита) можно получить, последовательно спускаясь по дереву консоли (рис. 13-14). Раскройте поочередно Computer Configuration (Конфигурация компьютера), WindowsSettings (Конфигурация Windows), Security Settings (Параметры безопасности) и Local Policies (Локальные политики). Затем выберите Audit Policy.

Параметры аудита перечислены ниже.

• Audit Account Logon Events (Аудит регистрации учетных записей в системе) отслеживает события, относящиеся к регистрации и окончанию работы пользователя в системе.

• Audit Account Management (Аудит управления учетными записями) отслеживает управление учетными записями посредством Active DirectoryUsers And Computers. События генерируются каждый раз, когда учет создаются, изменяются или удаляются.

• Audit DirectoryService Access (Аудит доступа к службе каталогов) отслеживает доступ к Active Directory. События генерируются каждый раз, когда пользователи/коми ьютеры получают доступ к каталогу.

• Audit Logon Events (Аудит событий входа в систему) отслеживает события, связанные с регистрацией пользователя, окончанием сеанса работы и удаленными соединениями с сетевыми системами.

• Audit Object Access (Аудит доступа к объектам) отслеживает использование системных ресурсов; файлов, каталогов, общих ресурсов, принтеров и объектов Active Directory.

• Audit Policy Change (Аудит изменений политики) отслеживает изменения разрешений доступа пользователей, аудита и доверительных отношений.

• Audit Privilege Use (Аудит использования привилегий) отслеживает применение разрешений доступа и принилегий пользователя типа права резервного копирования файлов и каталогов. Примечание Политика аудита привилегий не отслеживает события, относящиеся к системному доступу, такие как использование права интерактивного входа/разрешения доступа к компьютеру из сети. Эти события отслеживаются аудитом регистрации пользователя.

• Audit Process Tracking (Аудит отслеживания ПРОЦЕССов) отслеживает системные ПРОЦЕССы и ресурсы, ими используемые.

• Audit SYSTEMEvents (Аудит системных событий) отслеживает запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности. 3. Для настройки политики аудита дважды щелкните се элемент или щелкните его правой кнопкой и выберите Security. Откроется окно свойств этой политики. 4. Выберите Define These Policy Settings, а затем пометьте флажок Success (Успех) либо Failure (Отказ) или оба сразу. Включение Success протоколирует успешные события,

такие как удачные попытки входа и систему. Failure события отказа, такие как неудачные попытки входа. 5. Щелкните ОК, когда закончите. Аудит файлов и папок Если вы настроили групповую политику, включив параметр Audit Object Access (Аудит доступа к объектам), вы можете задать уровень аудита для отдельных папок/файлов. Аудит этого типа доступен только на томах NTFS. Аудит файла/пайки настраивается так. 1. В Проводнике щелкните правой кнопкой файл/папку, для которых нужно включить аудит, и выберите Properties. 2. На вкладке Security щелкните Advanced. 3. В окне Access Control Settings выберите вкладку Auditing (рис. 13-15).

4. Если вы хотите наследовать параметры аудита от родительского объекта, выберите Allow Inheritable Auditing Entries From Parent To Propagate To This Object (Персносить наследуемые от родительского объекта элементы аудита на этот объект). 5. Если вы хотите, чтобы дочерние объекты текущего объекта наследовали его параметры, выберите Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries (Сброс элементов аудита всех дочерних объектов и разрешение переноса наследуемых элементов аудита). 6. В списке Auditing Entries (Элементы аудита) выберите пользователей, группы или компьютеры, чьи действия вы желаете отслеживать с помощью аудита. Чтобы удалить учетную запись, выберите ее в списке Auditing Entries и щелкните Remove (Удалить). 7. Чтобы добавить определенные учетные записи, щелкните Add, а затем в окне Select Users, Contacts, Computers, Or Groups укажите имя учетной записи. Щелкнув OK, вы увидите диалоговое окно Auditing Entry For (Элемент аудита для) (рис.13-16).

Примечание Для отслеживания с помощью аудита действий всех пользователей служит специальная группа Everyone. Иначе выберите группы пользователей или отдельных пользователей, к которым хотите применить аудит. 8. В списке Apply Onto (Применять) можно определить, где применять аудит объектов. 9. Выберите флажки Successful (Успешное), Failed (Неудачное) или оба сразу, для каждого из событий, к которым хотите применять аудит. Successful протоколирует успешные события, типа успешного чтения файла, Failed неудачные события, например неудавшееся удаление файла. События, для которых вы можете использовать аудит, — те же, что и специальные разрешения (табл. 13-5), за исключением того, что нельзя отслеживать средствами аудита синхронизацию автономных файлов и панок. 10. Выберите ОК, когда закончите. Повторите описанный ПРОЦЕССдля аудита других пользователей, групп или компьютеров.

Аудит объектов Active Directory

Если в групповой политике включен параметр Audit DirectoryService Access (Аудит доступа к службе каталогов), вы можете задать уровень аудита для объектов Active Directory. Это позволяет точно управлять наблюдением за использованием объекта. Аудит объекта настраивается так. 1. В консоли Active DirectoryUsers And Computers найдите контейнер объекта. 2. Правой кнопкой щелкните объект, для которого будет применяться аудит, и выберите Properties. 3. На вкладке Security щелкните Advanced. 4. В окне Access Control Settings выберите вкладку Auditing. Если вы хотите наследовать параметры аудита от родительского объекта, выберите Allow Inheritable Auditing Entries From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта элементы аудита на этот объект).

5. В списке Auditing Entries можно выбрать пользователей, группы или компьютеры, чьи действия вы желаете отслеживать с помощью аудита. Чтобы удалить учетную запись, выберите ее в списке Auditing Entries и щелкните Remove. 6. Чтобы добавить определенные учетные записи, щелкните Add, а затем в окне Select Users, Contacts, Computers, Or Groups укажите имя учетной записи. Когда вы нажмете ОК, появится диалоговое окно Audit Entry For (Элемент аудита для). 7. Используйте список Apply Onto, чтобы указать, где применять аудит объектов. 8. Выберите флажки Successful, Failed или оба сразу для каждого из событий, которые хотите отслеживать. 9. Щелкните ОК, когда закончите. Повторите описанный ПРОЦЕССдля аудита других пользователей, групп или компьютеров.

В ней сочетаются лучшие качества таких ОС, как Windows NT Workstation и Windows 98, и реализованы многие новые возможности. В распоряжении пользователя Windows 2000 имеются, к примеру, функции совместной работы с файлами и принтерами, а также функция Internet Connection Sharing (ICS), позволяющая нескольким системам подключаться к Internet с помощью одного соединения. Прибавьте к этому реализованную в Windows 2000 систему управления учетными записями пользователей и правами доступа в стиле Windows NT, и станет ясно, что новая ОС представляет собой довольно мощное средство для организации сетей. К тому же Windows 2000 Professional обладает замечательными характеристиками по обратной совместимости. Так, эту систему можно спокойно включить в одноранговую сеть из клиентов Windows 9x или, наоборот, подключить клиентов Windows 98 в установленную сеть Windows 2000 Pro.

Windows 2000 Professional допускает использование NetBEUI и других применявшихся ранее протоколов, поэтому можно свободно формировать сети из клиентов Windows разных поколений. Обычно в одноранговых сетях Windows в качестве основного транспортного протокола применяется TCP/IP, но, чтобы иметь возможность использовать имена компьютеров Windows, придется установить протокол NetBEUI.

Организовать простую одноранговую сеть Windows 2000 Pro — без использования сервера — совсем несложно.

Многие известные поставщики средств для создания малых сетей, в том числе компании Farallon и D-Link, предпринимают шаги к обеспечению совместимости своих изделий с системой Windows 2000 Pro. На рынке уже появился ряд недорогих и простых в применении решений, специально предназначенных для организации небольших сетей.

Выбор средств подключения

При планировании одноранговой сети первым делом нужно выбрать тип аппаратных компонентов для объединения компьютеров. В сфере бизнеса стандартной технологией соединения является технология Ethernet, предполагающая использование сетевых интерфейсных плат и прокладку специальных кабелей. Кроме того, для создания сетей Ethernet требуются концентраторы, обеспечивающие сетевое взаимодействие.

Неплохие концентраторы Ethernet выпускают многие компании, в том числе 3Com, Intel, Linksys и D-Link. Как правило, потребителю предлагаются комплекты, состоящие из набора сетевых интерфейсных плат и концентратора. Такие комплекты предназначены для домашних и малых офисов (SOHO). Кстати, если перспектива вскрытия корпусов компьютеров для установки внутренних плат не устраивает, можно приобрести внешние сетевые платы USB: они просто подсоединяются к соответствующему порту компьютера. Из базовых сетевых комплектов Ethernet нам больше всего понравились изделия компании NETGEAR (http://www.netgear.com).

Комплект начального уровня SB104 стоимостью 85 долларов включает в себя концентратор, несколько кабелей и две интерфейсные сетевые платы. Этих средств достаточно для организации сети из двух компьютеров. Комплект SB104 обеспечивает передачу данных со скоростью 10 Мбит/с. Несколько сложнее выпускаемый той же компанией NETGEAR набор FB104. Его цена (рекомендуемая изготовителем) составляет 89,99 долларов FB104 состоит из тех же компонентов, но позволяет передавать данные со скоростью 100 Мбит/с. Входящие в комплект поставки концентраторы оснащены четырьмя портами; если же планируется подключать к сети более четырех компьютеров, лучше покупать необходимые компоненты по отдельности, подбирая при этом концентраторы с числом портов более четырех.

Тем, кто предпочитает традиционную технологию Ethernet, потребуется оборудование стандарта 10 Mбит/с. Но все же лучше приобретать концентраторы 10/100BaseT, у которых каждый порт оснащен средствами автоматического определения скорости сети. Такие концентраторы стоят дороже, зато они позволяют задействовать разнородные компоненты. Реальная розничная цена типичного восьмипортового концентратора 10/100BaseT с автоматическим распознаванием скорости составляет порядка 170 долларов, но эти расходы вполне себя оправдывают.

Недостаток технологии Ethernet в том, что ее реализация связана с прокладкой специальных кабелей. Многие домашние пользователи выбирают более экономичное и удобное сетевое решение, основанное на использовании телефонных линий. Компьютеры объединяются в сеть с помощью действующей телефонной линии. Специальные сетевые платы обеспечивают «внедрение» компьютерных данных в передаваемый по линии голосовой сигнал. Согласование параметров передачи данных берут на себя все те же сетевые платы, поэтому концентратор для такой сети не требуется. Соответственно, необходимость в приобретении и установке кабеля тоже отпадает.

Нас часто спрашивают, как мы относимся к разработанному корпорацией Intel популярному и простому в использовании продукту AnyPoint Home Network. Все дело в том, что вариант AnyPoint для Windows 2000 изготовитель пока не выпускает и, по всей видимости, не намерен этого делать и в будущем. Однако расстраиваться не стоит, поскольку это решение имеет одно существенное ограничение. Пользователям AnyPoint приходится выбирать: задействовать телефонную линию для работы сети или для обычных переговоров — совмещать и то и другое нельзя. Другая, более современная технология позволяет одновременно осуществлять обмен данными и пользоваться телефоном как обычно.

У сетевой технологии на базе телефонных линий тоже есть недостаток: она позволяет передавать данные со скоростью до 10 Мбит/с, тогда как большинство телефонных линий обеспечивают скорость передачи не выше 1 Мбит/с. Со временем быстродействие сетей на основе телефонных линий возрастет, но сети Ethernet всегда будут производительнее и мощнее. Поэтому для тех, кто намеревается работать дома с потоковой информацией, стандарт Ethernet, безусловно, предпочтительнее.

Тем, кто планирует развернуть сеть на базе телефонных линий, стоит внимательнее присмотреться к пакету начального уровня DHN-910 компании D-Link (119 долларов, http://www.dlink.com). Это мощное решение, обеспечивающее передачу данных со скоростью до 10 Мбит/с. В комплект входят две сетевые интерфейсные платы для телефонных линий, телефонные провода и компакт-диск с играми.

Компания Farallon (http://www.farallon.com) поставляет решения для телефонных линий, комплекты для сетей Ethernet и даже наборы для создания беспроводных сетей. На момент подготовки статьи к печати более подробных данных у нас не было, поскольку специалисты компании пока не обеспечили совместимость своих изделий с Windows 2000. Впрочем, тем владельцам домашних компьютеров, которые собираются «впрячь» в одну сеть машины Mac и PC, не стоит упускать эту корпорацию из поля зрения. Кросс-платформенные сети — это, что называется, «конек» компании Farallon. Ее специалисты уже разработали пакет, обеспечивающий совместное использование соединения с Internet для машин Mac и PC. Но если проблемы межплатформенной совместимости не волнуют, лучше остановить свой выбор на другом продукте: быстродействие сетей Farallon на базе телефонных линий не превышает отметки 1 Мбит/с.

FAT32 или NTFS?

В системах Win9x используется FAT32, старшая из двух наиболее известных файловых систем Windows. Если говорить об одноранговых сетях, главное преимущество более новой системы — NTFS — в том, что она обеспечивает дополнительные параметры безопасности для папок и файлов. Чтобы определить, какая файловая система применяется на диске, надо дважды щелкнуть на значке My Computer, затем правой клавишей мыши — на соответствующем накопителе, и в раскрывшемся меню выбрать пункт Properties. Среди прочей информации на закладке General будет отображена и используемая файловая система.

Функционально NTFS богаче, чем FAT32, но, возможно, придется довольствоваться и последней. Дело в том, что, если не считать Windows 2000 и Windows NT, операционные системы — скажем Windows 9x, — не могут считывать данные с локальных дисков NTFS. Так, если система предусматривает возможность двойной загрузки (Windows 2000 и Windows 98), Windows 98 не будет «видеть» содержимого NTFS-диска системы. Кстати, это ограничение не касается совместного использования файлов в сети: компьютер Windows 2000 способен преобразовывать файлы NTFS-диска в форму, доступную для «понимания» Windows 9x. Но если две файловые системы используются в рамках одного компьютера, когда, скажем, один из накопителей машины с Windows 9x форматируется в системе NTFS, то эта машина не сможет считывать файлы с локального накопителя, поскольку формат NTFS для Windows 9x недоступен. Следовательно, если создается система с двойной загрузкой с использованием Windows 2000 и Windows 9x, то, скорее всего, все диски будут в стандарте FAT32.

Чтобы перейти к другой файловой системе, понадобится либо преобразовать все файлы соответствующего диска, либо переформатировать накопитель. Все зависит от того, в каком направлении осуществляется преобразование. Если идет переход от FAT32 к NTFS, то файловую систему можно просто изменить с помощью команды преобразования:

convert <диск>: /fs:ntfs [/v]

Параметр /v необязательный. Он обеспечивает контроль за процессом преобразования в режиме реального времени.

Переход от NTFS к FAT32 требует более сложных манипуляций. Сначала нужно выполнить резервирование диска, затем переформатировать его и восстановить данные с резервной копии. Чтобы переформатировать накопитель, следует открыть пункт Administrative Tools панели управления Control Panel и дважды щелкнуть на значке Computer Management. В левом окне консоли Computer Management нужно выбрать элемент Storage, а затем — Disk Management. В открывшемся окне следует щелкнуть правой клавишей мыши на накопителе, который требуется переформатировать, и в ниспадающем меню выбрать пункт Format. Если форматируется системный накопитель, нужно создать загрузочный диск и запустить утилиту FDISK. Все упомянутые процедуры подробно описаны в файлах справочно-консультационной системы Microsoft.

Основные этапы организации сети

Windows 2000 Pro позволяет с легкостью создавать одноранговые сети, объединяющие до 10 компьютеров (возможности подключения к одноранговой сети Windows 2000 Pro большего числа машин программные средства Microsoft не предусматривают). Процедура формирования сети состоит из нескольких этапов.

1. Установка и конфигурирование сетевых интерфейсных плат. Формирование сети Windows 2000 Pro начинается с инсталляции и настройки сетевых интерфейсных плат. Их установка выполняется в соответствии с прилагаемыми к платам инструкциями. Похоже, что специалистам Microsoft удалось-таки устранить недостатки в механизме Plug-and-Play (PnP), и при запуске Windows 2000 Pro система, скорее всего, сумеет распознать сетевую плату. Может быть, на установочном компакт-диске ОС даже окажется соответствующий драйвер. В противном случае нужно использовать драйвер, поставляемый с платой, или загрузить последнюю версию драйвера с Web-узла поставщика сетевой платы. Кстати, в последнее время многие драйверы поставляются в виде «самоустанавливающихся» исполняемых файлов. Если же механизм PnP не сработает и придется устанавливать драйвер вручную, нужно будет запустить приложение System в окне панели управления Control Panel, выбрать закладку Hardware и в ней щелкнуть на кнопке Device Manager, а затем отыскать нужное устройство и дважды щелкнуть на его значке. В открывшемся окне следует щелкнуть на закладке Driver, а затем — на кнопке Update или Install.

2. Подключение компьютеров. Следующий этап — физическое объединение компьютеров в сеть. В зависимости от выбранной технологии для этого используются либо концентратор и кабели, либо телефонная линия.

3. Объединение компьютеров в одну рабочую группу. В рамках простой одноранговой сети формировать домен необязательно. Чтобы указать рабочую группу, к которой принадлежит компьютер, нужно запустить модуль Network and Dial-Up Connections в Control Panel. Щелкнув на подсвеченной синим цветом текстовой ссылке Network Identification в левой панели следует выбрать одноименную закладку Network Identification. Затем нужно щелкнуть на элементе Network ID, чтобы активизировать программу — мастер сетевой идентификации Network Identification Wizard. Когда мастер предложит ответить на вопрос, являетесь ли вы деловым пользователем (business user) или домашним (home user), укажите, что относитесь к категории business user, но домены на предприятии не используются. В командной строке нужно ввести имя рабочей группы. Перечисленные действия следует повторить на каждом компьютере сети, причем во всех случаях указывать одно и то же имя рабочей группы. В примерах, которые приводятся в данной статье, в качестве имени рабочей группы будет использоваться имя Simpsons, а компьютеры будут именоваться Барт, Барри и Мэгги.

4. Создание пользовательских учетных записей на каждом компьютере. Доступ пользователей к другой входящей в сеть машине можно организовать двумя способами. Можно, например, завести на каждом компьютере учетную запись для незарегистрированных пользователей (так называемую «гостевую» запись, или guest account) и предоставить всем, кто работает в сети, пароли для «гостевых» учетных записей. И тогда всякий раз при обращении к другому входящему в сеть компьютеру, удаленная машина будет предлагать «гостю» ввести пароль. При такой организации каждый пользователь должен помнить различные пароли, действительные для всех компьютеров сети.

Другой, и более удобный способ управления учетными записями пользователей в одноранговой сети состоит в том, чтобы назначить каждому пользователю единое имя и пароль для доступа ко всем входящим в сеть компьютерам. Допустим, пользователь начинает сеанс работы со своим компьютером Барри и затем пытается получить доступ к машине Барт. В этом случае система Барри направляет системе Барт назначенные имя пользователя и пароль. И если на компьютере Барт заблаговременно заведена соответствующая учетная запись, Барт признает полномочия без дополнительной проверки.

Чтобы сформировать учетные записи пользователей на каждом компьютере, нужно первым делом задать для каждого пользователя имя и пароль. После этого на каждом входящем в сеть компьютере нужно открыть панель управления и щелкнуть на значке Users and Passwords. Имя пользователя и пароль вводятся с клавиатуры. Затем нужно нажать на кнопку Add и следовать указаниям программы-«мастера». При изменении пароля пользователя новый пароль следует ввести на всех машинах сети.

Есть еще один способ управления учетными записями пользователей в одноранговых сетях: пользователей можно объединять в группы. Для этого в окне Users and Passwords нужно выбрать закладку Advanced. Каждый пользователь может быть приписан к группе, а разрешения будут предоставляться по группам. Однако нужно иметь в виду, что в каждом компьютере имеется собственный список групп, поэтому имя каждого члена группы необходимо вводить в соответствующий список на каждом компьютере. Опыт показывает, что в условиях одноранговой сети вряд ли есть смысл пускаться на все эти ухищрения. Дело в том, что будь то по чистой случайности или по небрежности оператора, но в списках Groups на разных компьютерах легко могут возникнуть незначительные разночтения. И тогда придется иметь дело с постоянными «неадекватными реакциями» сети безо всяких, казалось бы, к тому оснований, причем на выявление и устранение неполадок уйдет масса времени.

5. Совместное использование дисков, папок или файлов. Windows 2000 Pro позволяет автоматически устанавливать в системе все компоненты, необходимые для совместной работы с файлами и принтерами, поэтому организовать использование разделяемых ресурсов не составляет труда. Достаточно на любом подключенном к сети компьютере выделить ресурс, который будет предоставлен для совместного использования. Это может быть файл, папка или даже весь диск (тем, кому приходится много работать с Internet, из соображений безопасности лучше воздержаться от предоставления в общее пользование всего диска). На значке файла, папки или диска нужно щелкнуть правой клавишей мыши, после чего выбрать пункт Sharing. На экране появится окно свойств, в котором настройку Do not share this folder следует заменить на Share this folder. Для пункта User limit мы рекомендуем установить параметр Maximum allowed. Поскольку речь идет об одноранговой сети, состоящей всего из 10 компьютеров, вероятность того, что машина подвергнется чрезмерным нагрузкам, невелика. Ну, а если чувствуется, что в случаях, когда с файлом или папкой работает несколько пользователей, система начнет «подтормаживать», можно изменить этот параметр, сократив тем самым число пользователей, которые могут одновременно работать с папкой.

Между прочим, не стоит забывать и о том, что пользователь имеет возможность ограничить круг лиц, имеющих доступ к той или иной папке. Кстати, самая типичная ошибка, совершаемая при организации одноранговых Windows-сетей, состоит в том, что папки, не предназначенные для посторонних глаз, вопреки воле их владельца делаются доступными для других пользователей. Чтобы избежать этой ошибки, нужно четко уяснить содержание таких понятий, как разрешения (permissions) и наследование (inheritance). Мы подробнее рассмотрим их чуть позже.

6. Совместное использование принтера. Механизм совместного использования принтеров практически идентичен механизму совместного использования папок. На компьютере, к которому подключен принтер, нужно выбрать Start/Settings/ Printers (Пуск/Настройка/Принтеры). Щелкнув правой клавишей мыши на значке принтера, следует выбрать пункт Properties, на закладке Sharing указать Shared As и затем нажать OK. Теперь принтером могут воспользоваться все, кто имеет доступ к сети. На других компьютерах, откуда будет осуществляться доступ к принтеру, нужно повторить ту же цепочку — щелкнуть на кнопках Start, Settings и Printers. Чтобы запустить программу-«мастер» Add Printer Wizard, следует дважды щелкнуть на значке Add Printer. Но в первом диалоговом окне нужно выбрать пункт Network printer, задав разделяемый принтер на локальной машине. После этого пользователь данного компьютера сможет работать с сетевым принтером так же, как если бы тот был подключен к его системе.

7. Организация доступа к разделяемым ресурсам. Чтобы получить доступ к совместно используемому файлу, нужно открыть значок My Network Places. Найдя в окне значок компьютера, на котором хранится нужный файл, следует дважды щелкнуть на нем мышью. На экране появится окно, в котором будет отображен корневой каталог совместно используемых файлов, содержащихся на диске данного компьютера. В этом каталоге все совместно используемые папки будут представлены значками. Пользователи, имеющие полный доступ к упомянутым папкам, могут выполнять над ними тот же набор операций, что и над папками, которые хранятся в их локальных системах (создавать новые подкаталоги, изменять содержимое, удалять файлы и т. д.).

Надо сказать, что при записи файлов на удаленных компьютерах и при доступе к таким файлам не все прикладные программы поддерживают стандарт именования файлов Uniform Naming Convention (UNC). Это создает проблему, решение которой рассматривается нами во врезке «Отображение сетевых папок в виде сетевых дисков».

Наследование и разрешения

Как уже отмечалось, самой распространенной ошибкой при работе в одноранговых сетях является непреднамеренное предоставление в совместное пользование тех папок, доступ к которым должен быть заблокирован. Избежать этой ошибки может только тот, кто хорошо усвоил правила наследования.

По умолчанию все папки и документы, хранящиеся в папке совместного доступа, наследуют параметры доступа, назначенные разделяемой папке. Иначе говоря, правила доступа к разделяемой папке распространяются на все папки и документы, которые в ней содержатся. Т. е., предоставив некий каталог для совместного использования, мы тем самым открываем для других пользователей содержимое всех подкаталогов данного каталога. По умолчанию, указанные для разделяемого каталога правила доступа распространяются на все его подкаталоги даже в том случае, если пользователь явно укажет, что некий конкретный подкаталог не должен быть доступен для других абонентов сети. На жестком диске NTFS доступ к папкам и документам, хранящимся в разделяемых папках, не может быть ограничен без изменения правил доступа, применяемых по умолчанию. Что же касается дисков с FAT32, то здесь изменения правил доступа по умолчанию вообще не допускаются, поэтому ограничение доступа к папкам и документам, хранимым в разделяемых папках, в этом случае невозможно принципиально.

Рассмотрим такой пример. Допустим, на компьютере Барри создается папка My Stuff, которая будет открыта для всех пользователей сети. В папке My Stuff создается другая общая папка с названием Private Things. В ней содержатся материалы, которые мы не хотели бы предоставлять другим пользователям. Итак, мы щелкаем правой клавишей мыши на значке My Stuff и выбираем пункт Sharing. В окне Properties нажимаем на кнопку Permissions, открывая тем самым диалоговое окно Permissions. Когда это окно открывается первый раз, принимаемые по умолчанию правила доступа выглядят как Everyone Full Control. Ну, а коль скоро все пользователи получают неограниченные права доступа, это означает, что любой из них, зарегистрировавшись на любой машине сети, может редактировать и удалять все файлы в совместно используемых папках. Значит, чтобы лишить всех пользователей (Everyone) неограниченных прав доступа к папке Private Things, нужно аналогичным образом открыть диалоговое окно Permissions папки Private Things и выбрать параметры Deny для пунктов Full Control, Change и Read.

На компьютере Мэгги следует дважды щелкнуть на значке My Network Places, затем на значке компьютера Барри, чтобы получить доступ к разделяемым файлам, которые хранятся на этой машине. На экране появляется корневой каталог разделяемых файлов компьютера Барри, содержащий, помимо прочего, папку My Stuff и конфиденциальную папку Private Things. Все еще находясь в корневом диалоге, выполняем двойной щелчок на папке Private Things и — как и следовало ожидать — получаем сообщение Acess Denied (Доступ закрыт).

Теперь нужно открыть папку My Stuff, предназначенную для всеобщего обозрения. На экране опять-таки появляется конфиденциальная папка Private Things. И вот если сейчас, находясь уже в каталоге My Stuff, выполнить двойной щелчок на папке Private Things, она раскроется, и мы получим доступ ко всем ее материалам. Такой вариант явно в наши планы не входил.

Всякий раз, когда пользователь явным образом устанавливает разрешения на доступ к папке, значок этой папки появляется непосредственно в корневом каталоге разделяемых ресурсов. Но если упомянутая папка сама размещается внутри разделяемой папки, то значок вложенной папки появляется и внутри той разделяемой папки, куда она была вложена. Разъясняя подобную ситуацию, один из авторов данной статьи охотно пользуется метафорой «тени». Под «тенью», или «призраком», папки (ghost) понимается отдельный экземпляр ее значка. Папку может представлять множество «теней». Если папка A помещена внутри папки B, которая находится внутри папки C, а та — в папке D, и мы явным образом устанавливаем или запрещаем доступ к содержимому каждой конкретной папки, папка A будет при этом представлена четырьмя «тенями». И что самое интересное, свойства этих «теней» могут отличаться от тех свойств, которыми обладает папка A, если ее открывают из корневого каталога.

Вернемся к нашему примеру. Конфиденциальная папка Private Things представлена у нас двумя «тенями»: одна размещается в корневом каталоге разделяемых ресурсов, а вторая — внутри разделяемой папки My Stuff. В соответствии с правилами наследования, принимаемыми по умолчанию в системе Windows 2000 Pro, эти «тени» ведут себя совершенно по-разному. «Призрак», обитающий в корневом каталоге, напрочь отвергает все попытки доступа к содержимому папки Private Things, тогда как «призрак» из папки My Stuff против такого доступа не возражает. Дело в том, что в соответствии с принимаемыми по умолчанию правилами наследования все «тени», находящиеся в разделяемой папке, имеют те же разрешения, что и содержащая их папка. Таким образом, «тень» папки Private Things в корневом каталоге разделяемых ресурсов выполняет инструкции, назначенные нами папке Private Things, т. е. запрещает доступ. Но «тень» той же папки, появляющаяся в папке My Stuff, ведет себя по инструкциям, данным нами папке My Stuff, т. е. разрешает доступ.

Картинка с сайта: www.osp.ru

Экран 1. Отключение наследования по умолчанию.

Если в машине Windows 2000 Pro используется файловая система NTFS, такой порядок можно изменить. Для этого нужно щелкнуть правой кнопкой мыши на папке Private Things, выбрать из появившегося меню пункт Properties и щелкнуть на закладке Security. При этом, как показано на Экране 1, в нижней части окна будет выставлен флажок Allow inheritable permissions from parent to propagate to this object («Применить к данному объекту наследуемые от родительского объекта правила доступа»). Когда такой флажок установлен, «тень» конфиденциальной папки Private Things, появляющаяся внутри папки My Stuff, подчиняется тем же правилам доступа, что и сама папка My Stuff. Если же этот флажок сбросить, на экране появится диалоговое окно Security. Если теперь щелкнуть на кнопке Remove, то наследование правил доступа для папки Private Things будет отменено, и она станет недоступна для других пользователей.

Но если при форматировании диска компьютера использовалась файловая система FAT32, закладки Security в пункте меню Properties просто не будет. Это означает, что правила наследования изменить нельзя, и разрешения на доступ к материалам папки Private Things будут определяться исключительно параметрами папки My Stuff. В этом случае у пользователя в сущности нет выбора: он может иметь одну разделяемую версию папки My Stuff и одну конфиденциальную. Если нужно уберечь от постороннего глаза материалы папки Private Things, ее придется переместить из папки My Stuff. Таким образом, при использовании файловой системы FAT32 следует позаботиться о том, чтобы эта папка, содержимое которой конфиденциально, не хранилась внутри папки, предназначенной для совместного использования.

Картинка с сайта: www.osp.ru

Экран 2. Установка пользовательских разрешений.

В Windows 200 Pro существует возможность устанавливать разные уровни доступа для разных пользователей. Предположим, у меня имеется бухгалтерская программа. Я хочу, чтобы у моей жены Мэгги был доступ к этой программе, но подпускать к ней сына Барта считаю нецелесообразным. В окне Permissions я могу выделять имена пользователей и устанавливать для них различные правила доступа. Итак, я вызываю меню Sharing для соответствующей папки и щелкаю на кнопке Permissions. По умолчанию правила доступа применяются ко всем пользователям (Everyone). Затем я выбираю настройку Everyone и щелкаю на кнопке Remove (см. Экран 2). Потом я щелкаю на пункте Add, и появляется окно Select Users, Computers, or Groups. Я щелкаю на имени Мэгги, затем на кнопке Add и предоставляю Мэгги необходимые права доступа. Напомню, что, если на каждом компьютере сети хранятся одни и те же имена пользователей и пароли, в диалоговом окне Permissions можно назначать любому пользователю все определенные для него параметры доступа, при этом неважно, с какого именно компьютера он будет входить в сеть.

Internet Connection Sharing

Эта функция позволяет работающим на различных компьютерах сети пользователям выходить в Internet через единственное имеющееся соединение. Таким соединением может быть и абонентская цифровая линия (Digital Subscriber Line, DSL), и кабельный модем, и обычное коммутируемое соединение. Благодаря модулю ICS пользователь компьютера Мэгги может покупать в Internet акции и оплачивать счета в интерактивном режиме в то время, как пользователь системы Барри разбирается со своей электронной почтой, а пользователь Барт болтает с приятелями в режиме диалога. Повторю: все это происходит через единственное соединение с Internet, которое установлено лишь для одного из компьютеров сети. Можно сказать, что ICS в Windows 2000 Pro — это в сущности миниатюрная версия сервера-посредника.

В роли Internet-шлюза выступает подключенный к сети компьютер, имеющий соединение с Internet. Чтобы превратить компьютер в такой шлюз, нужно запустить систему, открыть значок Network and Dial-Up Connections и щелкнуть правой клавишей мыши на соединении с Internet, которое будет доступно для всех пользователей сети. В открывшемся меню следует выбрать пункт Properties и установить на закладке Sharing флажок Enable Internet connection sharing for this connection («Использовать это соединение с Internet как разделяемый ресурс»).

Для того чтобы Internet-шлюзом могли пользоваться и другие компьютеры сети, их нужно сконфигурировать как клиенты машины, выступающей в роли шлюза. Затем следует открыть на клиентской машине Network and Dial-Up Connections, щелкнуть правой клавишей мыши на сетевом соединении и выбрать пункт Properties. В списке Components checked are used by this connection («Отмеченные компоненты используются данным соединением») нужно выбрать протокол Internet Protocol (TCP/IP), щелкнуть на пункте Properties и установить флажок Obtain an IP address automatically. Кстати, если требуется назначить машинам сети постоянные IP-адреса, следует иметь в виду, что для успешной работы модуля ICS необходимо, чтобы IP-адреса клиентов не выходили за границы определенного диапазона. Более подробно этот вопрос рассматривается в справочно-информационной системе Windows 2000 Pro.

Затем нужно настроить Web-браузер компьютера. Возьмем для примера Microsoft Internet Explorer (IE). В меню Tools следует выбрать пункт Internet Options, щелкнуть на закладке Connections, установить переключатель Never dial a connection («Не устанавливать соединение по коммутируемым линиям») и затем выбрать пункт LAN Settings.

В списке Automatic configuration нужно сбросить флажки Automatically detect settings («Автоматическое определение параметров») и Use automatic configuration script («Автоматический запуск сценария конфигурации»), а в разделе Proxy server — флажок Use a proxy server.

Интересно, что в одноранговой сети можно задействовать даже функцию подключения по запросу (on-demand dialing). Эта функция позволяет клиентской машине подключаться к Internet даже в такие моменты, когда компьютер-шлюз не имеет соединения с провайдером. Предположим, что мы задействовали функцию подключения по запросу в сети, где роль шлюза выполняет машина Барта. Пользователю компьютера Мэгги, достаточно дважды щелкнуть на значке браузера Netscape Navigator, и Барт автоматически установит соединение с провайдером, предоставив тем самым клиенту Мэгги выход в Internet через локальную сеть. При этом шлюз Барта должен быть включен, однако присутствие оператора необязательно. Подключение функции соединения по запросу осуществляется следующим образом. На шлюзовом компьютере нужно открыть Network and Dial-Up Connections; правой клавишей мыши щелкнуть на значке LAN connection, выбрать пункт Properties и установить флажок Enable on-demand dialing.

Меры предосторожности

Тем, кто использует средства постоянного подключения к Internet (абонентские цифровые линии или кабельные модемы), мы рекомендуем установить в сети ту или иную систему сетевой защиты. Такие системы, иначе именуемые брандмауэрами, защищают сети от несанкционированного доступа. Известно, что сеть может стать объектом атаки злоумышленников в то время, когда она соединена с Internet, поэтому в защите нуждаются прежде всего такие сети, которые постоянно подключены к Глобальной сети. Если все компьютеры подключены к сети, а сеть всегда соединена с Internet и при этом не защищена, злоумышленник может проникнуть в нее и по своему усмотрению распорядиться файлами, хранящимися на любом подключенном к сети компьютере.

В категории программных брандмауэров для домашних сетей стоит упомянуть такие продукты, как WinGate Home 3.0 (http://wingate.deerfield.com, стоимость лицензии на трех пользователей 39,95 долларов), Sybergen SyGate for Home Office 3.11 (http://www.sybergen.com/products/gate_ov.htm, стоимость лицензии на трех пользователей 39,95 долларов) и Network ICE?s BlackICE Defender (http://www.networkice.com, стоимость 39,95 долларов). Программы WinGate Home и Sybergen SyGate for Home Office представляют собой ICS-изделия с функциями сетевой защиты. BlackICE Defender — это «чистый» брандмауэр, получивший наилучшие отзывы прессы в категории программных решений. Эти средства ограждают сеть от внешних вторжений, извещают пользователей о попытках проникнуть в систему и выполняют другие базовые функции по обеспечению безопасности. Данные программы создавались специально для малых/домашних офисов, и пользоваться ими относительно просто. Sybergen SyGate for Home Office и WinGate Home полностью совместимы с Windows 2000 Pro. Версия BlackICE Defender для этой операционной системы находится в стадии разработки.

Сетевую защиту можно организовать и с помощью других средств — специализированных аппаратных решений, таких, как WatchGuard SOHO компании WatchGuard Technologies (http://www.watchguard.com/products/soho.html) или SonicWALL SOHO 10 (http://www.sonicsys.com). Эти устройства размещаются между ПК и линией связи, соединяющей его с внешним миром. Они обеспечивают надежную защиту, но и цены на них довольно высоки. Самое дешевое устройство такого рода стоит порядка 275 долларов.

Пользователям, чьи компьютеры подключены к Internet через абонентскую цифровую линию, прежде чем приобретать средства сетевой защиты, стоит обязательно посоветоваться с провайдером. Возможно, что в DSL-маршрутизаторе провайдера реализованы встроенные функции брандмауэра.

Перспективы

Сообщения о выпуске той или иной компанией новых сетевых комплектов для малых и домашних офисов поступают чуть ли не ежедневно. Скорее всего, их поток быстро не иссякнет. Поначалу большинство изделий будет предназначаться для систем Windows 9x, но многие из них будут совместимы и с Windows 2000 Pro, а в конце концов рынок переориентируется на Windows 2000 Pro. Так или иначе, откладывать дело в долгий ящик не стоит. Уже сегодня ОС Windows 2000 Pro обладает всеми функциональными возможностями, которые могут потребоваться современному пользователю.

Отображение сетевых папок в виде сетевых дисков

Если вам приходится хранить файлы в папках общего доступа, размещенных на других подключенных к сети компьютерах (эти папки именуются также «сетевые»), в какой-то момент может возникнуть желание иметь на своей машине прикладную программу, которая могла бы непосредственно обращаться к этим файлам. Некоторые приложения с легкостью справляются с такой задачей; для обращения к сетевым папкам они используют имена разделяемых ресурсов в стандарте Uniform Naming Convention (UNC). Синтаксис для введения подобных имен таков: Имя_компьютераИмя_Разделяемой_Папки.

Иными словами, если файлы размещены в папке общего доступа, именуемой Data, которая хранится на компьютере Kafka, нужно известить прикладную программу о том, что данные файлы следует искать по адресу: kafkadata.

Но беда в том, что не все приложения распознают имена разделяемых ресурсов в формате UNC. К счастью, непонятливые приложения можно «перехитрить», заставив Windows 2000 отображать сетевую папку как локальный диск. Например, если отобразить ту же папку kafkadata как логический накопитель G, при сохранении файла на диске G прикладная программа фактически будет записывать его в папку kafkadata.

Чтобы сетевая папка отображалась в виде локального накопителя, нужно открыть окно My Computer и в меню Tools выбрать пункт Map Network Drive. После того как программа-«мастер» запросит имя локального диска, следует указать неиспользуемую букву накопителя. Так, если на жестком диске выделены разделы C и D, а буква F зарезервирована для обозначения CD-ROM, можно использовать букву G. И, наконец, нужно указать UNC-имя папки совместного доступа, которая будет отображаться в виде диска G.