Планирование счетов, ресурсов и безопасности данных
Индивидуальные и групповые счета
Группы СПД
Вопросы для установки прав доступа
Вопросы по установке ресурсов сервера
Списки прав доступа
Работа с шаблонами СПД
Организация диска сервера
Стратегия обеспечения безопасности данных на
сервере
Мониторинг серверов
Использование контрольных журналов
Что читать дальше?
В этой главе рассказано как определить тип счетов пользователей и разделяемые
ресурсы для вашей сети. Кроме того, здесь описаны методы мониторинга серверов и
обеспечения безопасности данных в сети.
Пользователи LANtastic могут получать доступ к сетевым ресурсам на основе индивидуальных или групповых счетов.
Индивидуальные счета используются для установки прав доступа к сетевым ресурсам
отдельных пользователей сети. При входе в сеть с помощью программы NET пользователь
должен указать свое имя (имя счета). Работая в DOS, пользователь может набрать
команду типа NET LOGIN \\SERVER1 DEB SECRET. При работе в среде Windows имя пользователя и пароль вводятся в соответствующих полях окна Подключение
к серверу.
Групповые счета позволяют группе пользователей, имена которых имеют
одинаковый префикс, получить доступ к серверу на основе общего счета.
Например, вы можете создать групповой счет с именем SALES-* для доступа к серверу
всех сотрудников торгового отдела вашей фирмы. Пользователи VICTOR, PETR, MARIA
используют для подключения к серверу имена с префиксом SALES-
NET LOGIN \\SERVER1\ SALES-VICTOR SECRET
NET LOGIN \\SERVER1\ SALES-PETR SECRET
NET LOGIN \\SERVER1\ SALES-MARIA SECRET
Очевидно, что создание одного счета для группы пользователей более удобно,
нежели работа с индивидуальными счетами для каждого пользователя. Однако с
точки зрения безопасности данных в сети такой подход не всегда оправдан,
поскольку все пользователи, входящие в группу, получают доступ к серверу на
основании одного пароля.
Если вам нужно обеспечить конфиденциальный доступ к хранящимся на сервере
данным, целесообразно запретить доступ к серверу пользователей с произвольным
именем, удалив групповой счет с именем *. Этот счет автоматически создается
при инсталляции LANtastic и позволяет любому пользователю получить доступ к
серверу без пароля.
Группа СПД (список прав доступа) представляет собой набор индивидуальных или
групповых счетов с одинаковыми правами доступа к ресурсам сервера. Описание
работы со Списками прав доступа приведено в разделе "Использование СПД".
Как было сказано в предыдущем разделе, индивидуальные и групповые счета служат
для обеспечения доступа пользователей к ресурсам сервера. Группы СПД используются
для установки одинаковых прав доступа к ресурсам для группы счетов
(индивидуальных или групповых). Этот способ весьма удобен при задании
уровня доступа к ресурсам сервера, поскольку позволяет установить привилегии
для всей группы СПД и не делать это для каждого отдельного счета. Например, в
том случае, когда группе сотрудников бухгалтерии требуется одинаковый
уровень доступа к серверу, вы можете создать СПД-группу с именем ACCOUNTING и включить в нее счета всех сотрудников бухгалтерии. В группу можно включать как
индивидуальные, так и групповые счета:
ANDREW
GEORGY
ANNA
ACCT-*
При установке прав доступа к ресурсам сервера для группы СПД вам
потребуется описать лишь права для группы ACCOUNTING вместо установки
прав для каждого из четырех счетов группы. Стратегия работы с группами СПД описана в
разделе "Работа с шаблонами СПД". Детальная информация об установке
прав доступа для групп СПД приведена в гл. 7 (DOS) и 13 (Windows), рекомендации
по созданию групп приведены в гл. 6 (DOS) и 12 (Windows).
После того, как вы ответите на все приведенные в данном разделе вопросы,
прочтите главу 6 (DOS) и 12 (Windows), где приведены подробные инструкции
по реализации запланированных счетов.
Какие имена будут даны каждому пользователю и группе на каждом сервере?
Одинаковый префикс для имен всех пользователей в группе упрощает установку СПД. Вы можете также создавать счета для СПД-групп. Это дает возможность обеспечения конфиденциальности доступа пользователей и групп к ресурсам серверов и упрощает
установку СПД для разделяемых ресурсов.
Какие счета будут использоваться - индивидуальные, групповые или обоих типов?
Как было описано выше, LANtastic поддерживает два различных типа счетов - групповые и индивидуальные. Индивидуальным счетом не может пользоваться несколько
человек. Такие счета обеспечивают более высокую надежность хранения данных в
сети, поскольку пароль каждого счета известен лишь одному пользователю.
В качестве имен индивидуальных счетов целесообразно задавать имена пользователей.
Вы можете также добавить к имени пользователя тот или иной префикс,
связанный, например, с подразделением, в котором данный сотрудник работает.
Использование префиксов имен упрощает установку прав доступа для СПД.
Подробное описание работы с СПД приведено в разделе "Списки прав
доступа". и в главах 6 (DOS) и 12 (Windows).
Групповые счета позволяют нескольким пользователям подключаться к серверу на
основании общего счета. Каждый пользователь, входящий в группу, должен знать
пароль для использования группового счета. Примерами имен групповых счетов могут
служить SALES-* или MKGT-*. Имена всех групповых счетов должны заканчиваться символом *, говорящим, что после общего префикса может быть введено любое имя. Для подключения
к ресурсам сервера пользователь просто вводит взамен звездочки свое имя,
например: SALES-DMITRY или MKGT-PETR. Групповые счета несколько
снижают уровень безопасности данных в сети, однако значительно упрощают и ускоряют
процесс создания счетов.
Требуется ли установка пароля для каждого счета?
Если обеспечение безопасности данных в сети не имеет для вашей организации
существенного значения, вы можете разрешить доступ пользователей в сеть без
пароля. Если же вопросы обеспечения конфиденциальности доступа к данным важны
для вас, пароли нужно обязательно установить. Для обеспечения должного
уровня безопасности данных пароли не следует записывать, кроме того, их
следует регулярно менять.
Будут ли использоваться временные счета?
LANtastic позволяет задать для любого счета срок его действия. Такая
возможность полезна при организации временного доступа в сеть гостей и
сотрудников, принятых на временную работу.
В какое время суток пользователи могут работать с ресурсами сервера?
Если вы не заинтересованы в использовании серверов после окончания рабочего дня,
вы можете задать время доступа к серверам. Можно, к примеру, запретить
какой бы то ни было доступ к серверам в выходные дни и по вечерам. Такое
ограничение дает возможность работать с ресурсами серверов только в
течение рабочего дня. Если же в вашей организации многосменная
работа или, вы можете держать серверы включенными постоянно, не заботясь о
том, что кто-либо будет иметь доступ к серверу в те часы, когда ему это не дозволено.
Если вас не заботит ограничение времени доступа к серверам, вы можете не
использовать эту возможность (т.е. разрешить доступ в любое время суток). При
установке LANtastic программа INSTALL устанавливает круглосуточный доступ к
серверам.
Как часто пользователи должны менять свои пароли?
Если вы организовали индивидуальные счета, пользователи не должны знать
паролей для работы с чужими счетами. LANtastic позволяет задать независимо
для каждого счета период смены пароля. Такой подход позволяет существенно
повысить безопасность данных в сети. Задание режима смены паролей описано в гл. 6 (DOS) и 12 (Windows).
Какие привилегии будут установлены для пользователей?
Задание привилегий для счета позволяет предоставить пользователю (или группе)
этого счета некоторые дополнительные возможности использования сетевых
ресурсов или управления ими. Вы можете предоставить каждому пользователю любую
комбинацию перечисленных ниже привилегий. Администратор сети обычно имеет полный
набор привилегий, остальные пользователи - только часть (можно не
давать пользователю никаких привилегий). Отметим, что привилегии A и S вместе
включают в себя все остальные привилегии.
A - Неограниченный доступ | Если в сети установлен ограниченный доступ к серверам, привилегия А позволяет преодолеть это ограничение. Список прав доступа (СПД) позволяет ограничить доступ к дискам, принтерам и почтовым очередям. Информация о СПД приведена в гл. 6 (DOS) и 12 (Windows). |
Q - Управление принтерными очередями | Позволяет просматривать все задания, помещенные в принтерную
очередь и управлять ими, независимо от того, чьи это задания. Эта
привилегия также позволяет управлять буферизацией печати на сервере. Предоставляйте привилегию Q только тем пользователям, которым по роду их деятельности требуется просмотр принтерных очередей и управление
буферизацией печати. |
M - Управление почтой | Позволяет управлять всеми сообщениями, хранящимися в почтовой очереди. При работе с программой Artisoft Exchange Mail привилегия M не имеет значения. Если абонент почты LANtastic не имеет привилегии
M, он может работать только со своими сообщениями (отправленными
и полученными). Привилегия M весьма полезна администратору сети,
поскольку предоставляет возможность удаления старой почты из очередей.
Инструкции по работе с почтой LANtastic вы сможете найти в Руководстве
пользователя. |
U - Контроль за действиями пользователей | Привилегия U предоставляет ее обладателю возможность использовать команду NET AUDIT для создания записи в
журнале контроля доступа к серверу. Будьте осторожны, предоставляя эту
привилегию, поскольку неразумное пользование ею приведет к быстрому заполнению всего диска журналами контроля. Кроме того, неаккуратное
использование режима контроля может сильно замедлить доступ пользователей
к серверу. Подробную информацию о контроле за доступом пользователей к серверам вы можете найти в разделе "Мониторинг серверов", а также в гл. 7 (DOS) и 13 (Windows). |
S - Системный диспетчер | Дает пользователю возможность выполнять такие операции, как перезагрузка удаленных серверов, отключение пользователей от сервера, вызов
команды NET RUN, а также позволяет управлять принтерными очередями и буферизацией печати. |
O - Оператор | Обладатель
этой привилегии будет получать от принтера уведомления в тех случаях, когда
требуется вмешательство человека (например, отсутствие бумаги). |
D - Управление буферизацией | Привилегия D позволяет удалять задания из принтерной очереди, используя специальную программу удаленного управления буферизацией
печати, входящую в состав LANtastic. |
N - Администратор сети | Обеспечивает доступ ко всей статистике, хранящейся на сервере. |
Важное замечание: Не обязательно устанавливать какие-либо привилегии
для каждого счета. Если пользователь имеет корректный счет, он может работать с
ресурсами сервера без каких-либо специальных привилегий.
Если вы будете работать в DOS и не уверены, что можете создать счета для
пользователей, прочтите раздел "Пример счетов" в главе 6.
Описание работы со счетами пользователей в среде Windows вы сможете получить из
справочной системы LANtastic, выбрав команду Как сделать? в меню Справки окна LANtastic Network Manager. В списке тем справочного окна
выберите Управление счетами, а в выведенном после этого окне - Создание
счетов. Перемещаясь в этом окне вниз, вы найдете образец счета.
Несмотря на то, что при инсталляции LANtastic автоматически создаются ресурсы для
всех дисков сервера, может возникнуть потребность создания специальных ресурсов для
отдельных пользователей или групп. Приведенные в этом разделе вопросы помогут вам
понять, какие ресурсы нудно сделать разделяемыми и как организовать конфиденциальный
доступ к ним. В разделе "Организация дисков сервера" приведена диаграмма, показывающая структуру ресурсов на диске. После того, как модель организации
ресурсов будет определена, прочтите гл. 3 (DOS) и 13 (Windows), где даны рекомендации по организации каталогов на диске сервера.
Какие программы будут использоваться в сети?
Если разные пользователи будут работать с одними и теми же программами
(например, текстовыми процессорами или электронными таблицами), целесообразно
будет приобрести сетевые версии этих программ и установить их на сервер
для совместного использования. Такой подход дает возможность нескольким
пользователям работать с одной копией программы и, кроме того, избавит от
излишних расходов на приобретение большого числа копий одинаковых
программ. При установке прикладных программ в сети убедитесь, что их
совместное использование не нарушает лицензионных соглашений.
Какие имена будут даны ресурсам, связанным с каталогами приложений?
Выбирайте для ресурсов такие имена, которые позволят пользователям догадаться,
какая программа связана с данным ресурсом. Например, для каталога, в котором
хранятся файлы программы Lotus 1-2-3, разумно в качестве имени выбрать Lotus или 123.
С какими файлами будут работать пользователи?
Кроме ресурсов, связанных с прикладными программами, вы можете создать
каталоги для хранения данных и объявить эти каталоги сетевыми ресурсами.
Часто бывает полезно создать на диске сервера отдельный каталог для файлов
каждого пользователя или группы. В этот каталог вы можете поместить все
требующиеся для работы файлы и закрыть этому пользователю или группе доступ к
каталогам с данными других пользователей. Такой подход повышает надежность
хранения данных и делает работу пользователей в сети более эффективной.
Как правило имеет смысл не создавать ресурсов, обеспечивающих доступ
пользователей к диску целиком (как это сделано в устанавливаемых по умолчанию ресурсах LANtastic). Если же вы используете такие ресурсы, отредактируйте
списки прав доступа таким образом, чтобы ко всему диску имели доступ лишь те пользователи, которым это необходимо для работы. Если этого не сделать, некоторые
пользователи начнут использовать разделяемый диск вместо созданных специально
для них каталогов и это быстро приведет к беспорядку на диске и сильно снизит
надежность хранения данных на сервере.
Замечание: Если для вас важно обеспечение безопасности данных в управляющем
каталоге, закройте всякий доступ пользователей к связанному с этим каталогом ресурсу
сервера.
Какие имена будут даны ресурсам, связанным с наборами файлов?
Как и в случае с каталогами прикладных программ, целесообразно давать таким ресурсам осмысленные имена, позволяющие пользователям догадаться, какие файлы
связаны с данным ресурсом.
Какие принтерные ресурсы вы хотите установить?
Можно установить различные режимы работы для ваших принтеров и с каждым режимом
связать отдельный ресурс. Например, для лазерного принтера можно создать два ресурса для разной ориентации страниц, назвав их скажем @PRTRAIT и @LANDSCP.
Будут ли в сети использоваться другие ресурсы?
Вы можете включить в число сетевых ресурсов диски CD-ROM или WORM. Если ваш
компьютер имеет доступ к дискам NetWare или OS/2, вы также можете установить
эти диски в качестве сетевых ресурсов LANtastic. Остальные компьютеры сети в этом
случае будут иметь к таким дискам установленные вами права доступа.
Какой тип доступа будет иметь каждый пользователь или группа к каждому ресурсу?
Вы можете установить права доступа пользователей к ресурсу сервера или привилегии
раздельно для каждого счета (группового или индивидуального). Для каждого ресурса вы
можете установить режим обеспечения безопасности данных. Можно, например,
разрешить чтение файлов на диске и запретить их редактирование или удаление. Уровни
привилегий описаны в предыдущем разделе, Списки прав доступа (СПД) - в следующем.
Будет ли сервер использоваться для загрузки бездисковых рабочих станций?
Если в сети установлены компьютеры, не имеющие собственного винчестера, вы можете
организовать для них режим загрузки с диска сервера. Рекомендации по загрузке
бездисковых станций вы можете прочесть вдокументации LANtastic Boot PEROM.
Назад | Содержание | Вперед