Administrare Windows

Administrare Windows

In acest document incerc sa identific caile si facilitatile pe care le ai pentru a administra un sistem de operare Windows din seria NT/2000/XP. Fara a intra in amanunte dar macar sa iti ofer un numar de puncte de plecare de unde sa sapi mai departe.

Modulele de administrare se gasesc in Comtrol Panel - [Performance and Maintenance] - Administrative Tools, una din cele mai utilizate aplicatii fiind Computer Management.

De ce NT/2000/XP?

Seria de sisteme de operare Windows se imparte in doua mari ramuri: 95/98/Me si NT/2000/XP.

Pe langa diferente legate de kernel, de modul de gestionare al memoriei, de drivere, de interfata grafica, de asezarea fisierelor sistem pe disc si altele, diferentele cu adevarat notabile pe care le vad eu intre aceste doua serii sunt serviciile [services] si securitatea. Mai departe seria NT/2000/XP se imparte in server si workstation (la NT4 si 2000) si Home si Professional (la XP), dar diferentele tin mai mult de pachetele de aplicatii incluse in kit decat de structura si functionalitate asa incat in cele ce urmeaza le voi ignora cu totul.

Servicii

Serviciile nu sunt altceva decat tot programe Win32 care ruleaza pe sistem, dar care sunt pornite automat de catre sistemul de operare Windows la bootare si sunt facute in asa fel incat sa ruleze indiferent daca si ce utilizator se logheaza la consola si independent de actiunea utilizatorului (adica ruleaza in background). Scopul acestor programe invizibile pentru utilizator este de a asigura anumite servicii, cum ar fi serviciul de server de web si ftp accesibil de catre alti utilizatori prin retea.

Pentru ca serviciul isi face treaba singur deservind [si] alti utilizatori decat cel conectat la consola, nu are de ce sa il deranjeze pe utilizator cu amanunte despre functionarea lui, toata comunicatia despre functionarea lui desfasurandu-se nu prin ferestre pe ecran ci prin fisiere pe disc. Adica serviciul afla ce are de facut (optiuni, setari) din fisiere de configurare si raporteaza ce a facut in fisiere de tip log. Unde anume se afla acestea pe disc si in ce format, depinde evident de serviciu si de modul lui de implementare de catre autor. Ca exemplu serverul de web/ftp al Windows, care se numeste IIS (Internet Information Service) isi face aceste fisiere log in %WinDir%SYSTEM32LogFilesW3SVC1 si MSFTPSVC1, unde %WinDir% desemneaza folderul in care este instalat Windows (de obicei fie C:WINDOWS fie C:WINNT sau C:WTSRV). Pentru a usura configurarea, se obisnuieste dezvoltarea unei aplicatii separate, bazata pe ferestre pentru a putea fi usor de utilizat, care sa creeze si modifice fisierele de configurare pe care le citeste serviciul.

Lista seviciilor instalate, modul de operare, statusul se administreaza din aplicatia Services care se gaseste atat in Administrative Tools cat si in Cimputer Management.

Securitate

Seria de sisteme de operare Windows NT/2000/XP are implementat in plus fata de 95/98/Me mai multe feluri de securitate, legate de: politici de securitate la nivel de sistem de operare, securitate la nivel de sistem de fisiere si securitate in retea. In cele ce urmeaza le voi lua pe rand si descrie sumar pe fiecare, explicand ce inseamna, la ce e foloseste si de unde se poate seta.

Crearea utilizatorilor si grupurilor

Toata securitatea sistemului Windows se bazeaza pe alocarea de drepturi pe utilizator sau grup de utilizatori, si evident ca pentru ca aceasta sa fie eficienta trebuie ca fiecarui utilizator sa-i fie creat un username si o parola. Aceasta se poate face din Computer Management - Local Users and Groups (Sau la NT User Manager).

In mod implicit, un utilizator nou este introdus in grupul Users, care are drepturi suficiente pentru a putea rula aplicatiile instalate pe calculator. Daca un anumit utilizator are nevoie de drepturi in plus, i se pot aloca separat sau poate fi introdus intr-un grup privilegiat (dublu click pe user-ul respectiv si MemberOf).

Nota: Windows XP se instaleaza implicit cu Control Panel in modul 'Category view' in care exista o aplicatie User Manager care poate crea si modifca cateva proprieati de baza ale conturilor utilizatorilor, mai ales proprietati legate de noul mod de conectare la consola (Welcome Screen).

Securitatea sistemului de fisiere

Pentru a implementa securitatea la nivel de fisier, este evident ca a trebuit sa fie modificata structura sistemului de fisiere fata de versiunile anterioare folosite de Windows si MSDOS (FAT si FAT32). Si asa a aparut sistemul NTFS (de la NT file sistem) care are o serie de atribute in plus pe fisier sau folder, cum ar fi in principal ownerul (proprietarul fisierului) si atributele ACL (access control list). Proprietarul unui fisier este evident utilizatorul care a creat acel fisier, si este util de memorat pentru ca putem da drepturi speciale proprietarului, de exemplu putem da drepturi de creare de fisiere spool (pentru tiparire la imprimanta) grupului Everyone, dar de modificare/stergere numai proprietarului fisierului, asigurand astfel posibilitatea ca orice utilizator sa initieze o tiparire la imprimanta dar sa nu poata interveni peste tiparirile celorlalti utilizatori.

Orice utilizator cu dreptul de Modify alocat pe un fisier sau folder, poate seta (modifica) drepturile pe acel fisier/folder. Aceasta se face din fereastra Properties asociata acelui fisier/folder accesand optiunea Security. Alocarea de drepturi se face prin asocierea lor la un nume de utilizator sau de grup. Grupurile sunt liste de utilizatori care au aceleasi drepturi de baza si au aparut tocmai din necesitatea de a seta mai usor drepturile atunci cand exista multi utilizatori dar care pot fi impartiti in putine clase de drepturi. Aceste grupuri se creaza/asigneaza odata cu crearea utilizatorilor din aplicatia Computer Management din Control Panel.

Tipurile de drepturi care se pot aloca unui fisier/folder depind de versiunea de Windows, dar cele esentiale sunt:

Full Control se da de obicei Administratorului si asa cum ii spune si numele ii da toate drepturile asupra fisierelor si folderelor, inclusiv dreptul de a schimba ownrerul;

Write/Change este dreptul normail asignat unui utilizator care poare citi/crea/modifica acel fisier sau crea/redenumi/sterge fisiere in acel folder

Read/Execute este dreptul restrans care se da utilizatorilor care au numai drept de citire sau rulare de programe, de exemplu in folderul C:Program Files pentru grupul Users;

List/Traverse este drpetil cel mai limitat si care permite numai traversarea si listarea continutului unui folder, fara a putea cit/scrie fisiere in acel folder. Acest drept este important atunci cand utilizatorului respectiv vrem sa-i dam drepturi intr-un folder propriu derivat dintr-un folder global in care nu are drepturi (decat de traversare).

Mostenire (inherit)

Mostenirea este proprietatea unui fisier de a primi limplicit setul de drepturi alocat pentru folderul in care se afla, si a unui folder de a primi implicit drepturile alocate folderului anterior (parinte). Aceasta inseamna ca daca aplicam un singur set de drepturi in radacina discului, de exemplu C:, toate folderele si toate fisierele de pe disc vor capata automat acest set de drepturi. Si mai inseamna ca setarea de drepturi se face asignand un minim de drepturi pe radacina discului, suficiente pentru ca toti utilizatorii sa poate accesa programele instalate in mod 'read' si sa aiba acces 'write' numai unde este strict necesar (in profilul propriu, in recyler, in folderele temporare si spooler etc) si apoi setarea de drepturi suplimentare utilizatorilor privilegiati.

Mostenirea este un mecanism esential pentru simplificarea dramatica a procesului de administrare a drepturilor in sistemul de fisiere, dar poate fi si intrerupta intr-un punct prin debifarea optiunii 'Inherit from parent'.

Drepturile efective pe care le are un utilizator pe un fisier sau folder se calculeaza in functie de mai multe setari, enumerate in ordine descrescatoare a prioritatii:

restrictia de drepturi (Deny) are prioritate absoluta fata de orice drept (Allow), asta inseamna ca daca aloci un deny unui grup, nu poti face exceptie dand allow unui utilizator din acel grup, pentru ca deny este mai puternic;

drepturile date direct pe utilizator (Allow);

drpeturile date direct pe grup de utilizator (Allow);

drepturile mostenite de la folderul parinte (Allow).

Nota: La instalarea unui sistem Windows XP fresh pe partitie NTFS, isi asigneaza un set de drepturi minimal bine pozitionat pentru ca toti utilizatorii sa aiba accesul necesar, numai ca adauga si grupul Everyone cu Full Acces pe tot discul ceea ce suprascrie acel set de drepturi mai restrans cu unul maximal. Pentru renuntarea la acest set maximal de drepturi, trebuie sters dreptul Full Control din radacina discului.

Securitatatea in retea

Securitatea sistemelor Windows in retea este iarasi unul din capitolele la care exista diferente majore intre seriile 95/98/Me si NT/2000/XP. Daca prima serie se bazeaza pe o securitate de tip 'share', care cere pentru autentificare numai una din cele doua parole setate pe folder, una de Read-only si a doua pentru Full-access, securitatea la seria NT/2000/XP se face in mod login, cu autentificare completa, bazata pe username si password, dupa care se poate aloca un set mai larg de drepturi, asemanator securitatii locale a sistemului de fisiere.

Aceasta inseamna ca pentru a putea accesa o resursa Windows 95/98/Me prin retea este suficient sa cunosti o parola de pe unul din share-urile de pe calculatorul destinatie, in timp ce pentru a accesa o resursa share-ata pe un calculator din seria NT/2000/XP, trebuie neaparat sa fii declarat utilizator valid in sistemul local de securitate al calculatorului destinatie. De aici deriva si o serie de incompatibilitati intre accesarea resurselor share-ate in retea de la o serie de sisteme la celalalt. Pentru a rezolva aceasta problema exista si posibilitatea de a slabi securitatea sistemului NT/2000/XP (nerecomandata insa) prin activarea utilizatorului Guest (existent inca de la instalare dar inactiv) fara parola, ceea ce are ca efect posibilitatea conectarii prin retea fara a fi autentificat ca user local si accesarea resurselor share-ate si cu drepturi asignate pentru userul Guest sau grupul Guests.

O facilitate in plus la seria NT/2000/XP [care pare] interesanta este setarea a doua share-uri cu nume diferite si seturi de drepturi diferite pe acelasi folder. Aaa, la ce poate fi utilizata practic ramane de vazut

Politici de securitate

Politicile de securitate sunt seturi de reguli si restrictii care pot fi utile in protejarea calculatorului sau itilizatorilor la atacuri sau violari ale securitatii, nu intru in detalii pentru ca nu le-am folosit decat extrem de rar, dar te poti uita prin listele de setari si retine ce pare util din ele Accesul la aceste politici si restrictii se face tot din Control Panel - Administrative Tools.
Domenii de securitate

Atunci cand ai de administrat o retea mare de calculatoare Windows pe care lucreaza un numar mare de utilizatori, si care mai si vor sa utilizeze unul resursele celuilalt, asa cum avem de exemplu la noi la Administratia UMF, cand doresc sa tipareasca la imprimanta calculatorului din biroul alaturat, observam repede ca va trebui sa creem cam toti userii pe toate calculatoarele. Nu cred ca trebuie sa insist prea mult asupra gradului de complexitate la care se poate ajunge, e o formula cu factoriale si combinari de n calculatoare luate de cate k useri Pentru rezolvarea acestei probleme, altfel decat renuntand la securitate prin activarea Guest-ului (explicata mai sus la Securitatea in retea), s-a dezvoltat conceptul de domeniu de securitate.

Un domeniu de securitate este un fel de workgroup gestionat de un server local de securitate care asigura verificarea autentificarilor centralizat pentru toata reteaua. Aceasta inseamna ca in loc ca fiecare calculator sa-si verifice local username/password-ul la conectarea unui utilizator (fie de la consola, fie prin retea), va apela la un server specializat care va fi singurul pe care vor fi definite toate conturile utilizatorilor. Acest server sa numeste Domain Controller si nu poate fi instalat decat pe variantele server ale Windows NT si 2000/2003.

Aici apare o diferenta notabila intre serverele NT si 2000/2003, in sensul ca la Windows NT aceasta optiune se alege la instalare si diferentele de administrare sunt minore (apare aplicatia User manager for Domains in loc de User Manager, apera aplicatia Server Manager etc) in timp ce la Windows 2000/2003 se instaleaza o aplicatie separata numita Active Directory care inlocuieste aplicatiile de securitate locala descrise mai sus.

Este evident ca dupa setarea acestui domeniu si al serverului (sau serverelor, poate exista un domain master controller si mai multe domain backups de rezerva pentru cazul ca sistemul master cade) care gestioneaza acest domeniu, fiecare statie din retea va trebui conectata la acest domeniu de catre administratorul de retea, ceea ce se poate face din Control Panel - System de la Computer Name.

Dupa crearea tuturor conturilor utilizatorilor pe server, orice utilizator se va putea conecta la orice sistem su propria parola si va putea folosi orice resurse la care are asignate drepturi. Din acest moment va incepe munca de restictionare a consolelor la care se poate conecta fiecare utilizator, de asignare a eventualelor drepturi suplimentare pentru utilizatorii privilegiati etc.

Pentru cazul retelelor extrem de mari, inpartite in mai multe retele locale interconectate, exista posibilitatea gestionarii centralizate alor printr-o conectare arborescenta sau orizontala a acestor domenii intre ele. dar mai departe lucrurile se complica asa ca ma opresc aici.