2. В лівій частині консолі керування відкрийте наступні гілки дерева керування: “Computer Management (Local)”®”System Tools”®”Local Users and Groups”®”Users”. У правій частині консолі Ви побачите перелік облікових записів, що заведений в локальному домені. Оберіть пункт меню “Action”, а в ньому оберіть команду “New User…”. З’явиться діалог створення нового облікового запису користувача.
3. В поле “User name” впишіть ім’я, яке буде використовуватись SDS для приєднання до FTP-серверу. Нехай, наприклад, це буде ім’я term_user_1.
4. В поле “Description” введіть опис цього користувача. Ви можете ввести, наприклад, такий текст “Запис для з’єднання з терм. серв.”.
5. В поле “Password” введіть пароль користувача, а в “Confirm password” повторіть пароль для підтвердження.
6. Зніміть відмітку “User must change password at next logon”, та встановіть відмітки “User cannot change password” і “Password never expires”.
7. Натисніть кнопку “Create”, зачекайте декілька секунд, поки система створить обліковий запис, а потім закрийте вікно діалогу.
Зараз Ви маєте побачити, що до списку користувачів системи додався тільки що заведений вами користувач term_user_1. Тепер цей запис буде використовуватись для того, щоб користувач, наприклад, С мав можливість зі свого комп’ютера з’єднатись через термінальний клієнт з сервером, на якому розташована клієнтська частина АСЕДО і працювати так, начебто АСЕДО встановлено у нього на ПК.
За умовчанням новий користувач системи потрапляє в групу “Users”. Далі для того, щоб користувач міг віддалено працювати з АСЕДО, зробіть наступне:
1. Запустіть системну консоль керування комп’ютером “Computer Management”. Перейдіть до гілки керування користувачами та групами.
2. Зробіть даного користувача членом групи “Power Users”, та видаліть його із групи “Users”.
3. У вікні властивостей користувача перейдіть на вкладку “Environment”, поставте позначку “Start the following program at logon”, в поле “Program file name” введіть повний путь на сервері до файлу _run_asedo. cmd. Наприклад, C:\Program Files\Atlas\Asedo\client\_run_asedo. cmd. В поле “Start in” введіть робочу папку. В нашому випадку це C:\Program Files\Atlas\Asedo\client.
Підсумок: настройки, що Ви зробили в цьому розділі, відносяться до облікового запису під яким конкретний користувач буде під’єднуватись к термінальному серверу. Ви також встановили, що при під’єднанні автоматично буде запускатись АСЕДО.
Увага: У разі необхідності різних прав доступу різним користувачам ви повинні зробити й налагодити стільки облікових записів, скільки є користувачів. Кожен з них буде з’єднуватись із сервером під особистим записом. На відміну від цього, при роботі з ПЗ на основі ДЕВС, достатньо завести одного користувача, бо права, зовнішній вигляд та інші властивості ПЗ зберігаються для кожного користувача не операційної системи, а ПЗ на основі ДЕВС!
5.4.6 Налагодження безпеки системи при роботі через термінали.
Для того щоб користувачі могли працювати віддалено з ПЗ на основі ДЕВС, вони повинні бути членами групи “Power Users”. Але ця група має забагато прав, при хибному використанні яких, можна пошкодити систему. Тому зараз Ви маєте за допомогою системних політик обмежити права таких користувачів.
5.4.6.1 Формування файлу політик безпеки.
1. Натисніть кнопку “Start” та оберіть команду “Run…”. Введіть “poledit” та натисніть Ok. Запуститься редактор системних політик.
2. В меню “File” оберіть команду “New Policy”.
3. У новій політиці видалите “Default Computer” та “Default User”. Для цього оберіть їх та натисніть на клавішу Delete на клавіатурі.
4. В меню “Edit” оберіть команду “Add User…”. В діалозі вибору користувачів натисніть кнопку “Browse…” та оберіть всі облікові записи, що були заведені для доступу к АСЕДО через термінал.
5. Двічі клацнете на першому значку. З’явиться вікно властивостей користувача. Оберіть гілку “Shell” ® ”Restrictions” та відмітьте “Remove Shut Down command from Start menu”. Цім Ви забороните користувачам виконати перезавантаження серверу. Далі оберіть гілку “Systems” ® ”Restriction”, та поставте позначку “Run only allowed Windows applications”, потім натисніть кнопку “Show…”. З’явиться вікно з переліком додатків що користувачу допускається запускати. Натисніть на “Add…” та введіть “_run_asedo. cmd”. Тобто Ви дозволили користувачам терміналу запускати тільки АСЕДО. Нарешті оберіть гілку “Windows NT System”, та відмітьте “Disable Logoff”, “Disable Task Manager”, “Disable Lock Workstation” та “Disable Change Password”. Це не дозволить користувачам викликати менеджер задач та виконувати деякі системні операції.
Повторіть крок 5 для всіх користувачів, що Ви додали на 4-му кроці.7. Оберіть команду “File” ® “Save As…”, та збережіть створений Вами файл політик безпеки на диску. Наприклад, в папці C:\WINNT з ім’ям term_sec. pol.
Проміжний результат: зараз Ви у вигляді файлу зберегли політики безпеки, що мають бути застосовані до відповідних облікових записів, завдяки якім користувачі отримуватимуть доступ до АСЕДО через термінальні клієнти.
5.4.6.2 Застосування файлу політик безпеки.
Зараз потрібно налагодити процес розпізнання користувачів, щоб їм застосувались ці політики при з’єднанні. Отже:
1. В редакторі системних політик poledit оберіть меню “File” ® “Open Registry”. З’явиться поточна модель політик безпеки.
2. Двічі натисніть на значку “Local Computer”. З’явиться вікно властивостей комп’ютера.
3. Оберіть гілку “Network” ® ”System policies update” та поставте позначку “Remote update”. В полі “Update mode” оберіть “Manual (use specific path)”, а в поле “Path for manual update” введіть повний путь до файлу політик, що був Вами сформований в пункті 4.4.6.1. В нашому прикладі це: C:\WINNT\term_sec. pol.
4. Оберіть меню “File” ® “Save”, щоб зберегти зміни.
Результат: тепер система сконфігурована таким чином, що при з’єднанні із сервером обрані Вами користувачі зможуть запускати АСЕДО і не зможуть нашкодити системі.
5.4.7 Фізичні та логічні обмеження при застосуванні політик безпеки.
5.4.7.1 Вирішення логічних обмежень.
Для забезпечення повнофункціональної роботи користувачів з АСЕДО Ви повинні розуміти існування деяких обмежень, що виникають при застосуванні політик безпеки. Зверніть увагу, що на 5 кроці пункту 4.4.6.1. Ви обмежили всіх користувачів термінального доступу запуском лише файлу “_run_asedo. bat”. Тобто всі користувачі терміналів зможуть запускати АСЕДО і працювати в його середовищі. Але, якщо, наприклад, користувач терміналу буде в АСЕДО працювати з браузером файлів, то йому, можливо, знадобиться запускати програми-переглядачі та редактори файлів. То можуть бути програми для перегляду та редагуванню графічних файлів, документів Word, Excel та інші. Тому, для зняття обмежень на запуск цих програм Ви маєте для певних користувачів терміналів, що потребують роботи з ними, надати права на їх запуск.
5.4.7.2 Рекомендації щодо фізичних обмежень.
Наполегливо рекомендується використовувати сервер терміналу виключно для віддаленого доступу к АСЕДО. Не розташовуйте на ньому сервер БД! Крім того, Ви можете скористатися політиками доступу для заборони окремим користувачам доступу до об’єктів на сервері, що їм не потрібні.
5.4.8 Формування клієнтської частини термінальних служб. Інсталяція у користувача.
На цьому етапі Ви повинні створити дискети з інсталяцією клієнтської частини для розповсюдження її серед віддалених користувачів АСЕДО.
1. Запустіть майстер створення клієнтських частин “Terminal Services Client Creator”. Він знаходиться в інструментарії адміністратора “Administrative Tools”.
2. У вікні “Create Installation Disk(s)” оберіть “Terminal Services for 32-bit x86 windows”, якщо Ви плануєте встановлювати цю клієнтську частину на Windows 9x, або вище, та “Terminal Services for 16-bit windows”, якщо нижче Windows 9x. У першому випадку Вам знадобиться 2 дискети, у другому – 4.
3. Виконуйте інструкції, що з’являються на екрані. По закінчені буде створена належна кількість дискет з інсталяцією клієнтської частини термінальних служб.
Тепер на комп’ютері кожного з віддалених користувачів встановіть термінального клієнта. Для цього з першої дискети запустіть програму “setup. exe” та виконуйте інструкції інсталятора. По закінчені в меню “Start” в розділі “Programs” буде створено папку “Terminal Services Client”, де розташовані особисто термінальний клієнт та менеджер клієнтських з’єднань.
5.4.9 Налагодження доступу.
Це – останній етап підготовки для віддаленого використання комплексу. Ви повинні кожному віддаленому користувачу зробити ярлик з’єднання із сервером терміналів. Для цього у кожного користувача зробіть наступне:
1. Запустіть менеджер клієнтських з’єднань (“Start” ® “Programs” ® “Terminal Services Client” ® “Client Connection Manager”).
2. В меню “File” оберіть “New Connection…”. З’явиться майстер створення з’єднань.
3. В поле “Connection name” введіть ім’я з’єднання. Наприклад “Запуск АСЕДО”. В поле “Server name or IP address” введіть ім’я термінального сервера, або його IP адресу.
4. Поставте позначку “Log on automatically with this information” та для кожного користувача вкажіть параметри облікових записів, що Ви заводили для них для термінального доступу.
5. Вкажіть бажану роздільну здатність екрану, але не менш 800х600. Поставте позначку “Full Screen”.
6. В діалозі вибору програмної групи вкажіть групу, куди буде поміщений значок з’єднання.
7. Вручну скопіюйте цей значок на робочий стіл користувача.
Підсумок: в результаті цих дій у кінцевого користувача на робочому столі буде розташований значок, двічі натиснувши на який, відбудеться з’єднання з термінальним сервером під обліковим записом, що Ви вказали в пункті 4.4.9. та автоматично буде запущено АСЕДО. Це Ви вказали в пункті 4.4.5, коли заповнювали вкладку “Environment” властивостей користувача. При виході з АСЕДО, з’єднання буде автоматично розірвано.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
