V pátém dílu seriálu se dostáváme k problému, který nutně řeší všechny školy – k zabezpečení stanic. To můžeme jednoduše rozdělit na systémové a doplňující. V prvním případě se u nás snažíme maximálně využít možností, které nabízí operační systém Windows 2000 Professional, v druhém se spoléháme především na fyzické blokování nevhodných dat.
Ještě před Windows 2000 Professional jsme používali Windows NT 4 Workstation. Je pravda, že tyto systémy jsou trochu náročnější na výkon počítače než Windows 9x, ale jejich robustnost, stabilita a hlavně zabezpečení je na úplně jiné úrovni.
Pamatuji doby, kdy jsme měli jednu učebnu s pár počítači, propojenými do sítě, které pracovaly pod MS-DOS, později Windows 3.1. Neustále jsme řešili problém, že nějaký počítač buď vůbec nenastartoval, nebo nefungovala síť, na každém počítači byly jinak nastavené programy, zápasili jsem s viry atd. A tak učitel v hodině nejprve musel řešit problémy se zprovozněním stanic a pak teprve mohla začít vlastní výuka. Proto jsme se ani nepokoušeli provozovat učebnu pod W9x.
Postupem času jsme vychytali některé drobnosti a dnes máme učebny, v nichž až na případ nějaké poruchy běží všechny stanice celý rok (i déle) bez nutnosti reinstalace. Jen občas provedu úklid disků.
Pokusím se shrnout několik výhod (a důvodů) používání Windows 2000:
1) Souborový systém NTFS – používáme na všech strojích v učebnách. Jeho hlavní výhodou (alespoň pro nás) je možnost nastavení přístupových práv k souborům a složkám na lokálních discích podobně jako k síťovým diskům. Běžný uživatel tak může zapisovat pouze do určitých oblastí disku, které jsou nutné pro běh programů (pro jejich pracovní a dočasné soubory), ale kořenová složka, Program Files a složky s instalacemi dalších programů jsou pouze pro čtení. Kromě správce nemůže nikdo ani omylem vymazat nebo přesunout nějaké soubory či složky, ani tam žádná data ukládat. Tím z větší části eliminujeme možnost zavirování počítačů.
Samozřejmě že do určitých složek, do nichž musí být povolen i zápis (některé složky Windows), se může něco schovat. Výhodou NTFS však zůstává, že je možné přesně zjistit nejen kdy, ale hlavně kdo tam příslušný soubor uložil. Takže v Řádu počítačové učebny máme, co lze na počítačích dělat, a co je naopak zakázáno (například ukládat spustitelné soubory, porno a protizákonné věci).
Jednou za čas pak procházím disky stanic, kontroluji obsah, čistím je a v případě porušení řádu mohu adresně postihnout viníky. V těchto systémech totiž není možné pracovat bez přihlášení jako ve W9x. Navíc máme v „log“ souborech evidováno, kdo se kde přihlásil do sítě. Potom stačí jen zkontrolovat určité části disku, a nikoli celý obsah (stačí třeba jen „mrknout“ na velikost složky Windows).
2) Administrátorské sdílení – neboli možnost přístupu k lokálním diskům jednotlivých stanic z jiného počítače. I když zásadně všichni uživatelé v naší škole ukládají svá data na server (domovské adresáře mají na Novellu), je potřeba občas přistupovat i na lokální disky stanic odjinud. Já tímto způsobem řeším např. kontrolu obsahu jednotlivých disků z administrátorské (nebo jiné) stanice.
V systému W9x sice můžete nastavit sdílení složek a případně i heslo pro čtení nebo zápis. Vše ale musíte dělat ručně a výsledné zabezpečení, ale i individuální nastavení přístupových práva není dostatečné.
Zato v systému W2000 (i ve WNT) je automaticky po jeho instalaci nastaveno tzv. administrátorské sdílení k lokálním diskům, což znamená, že sdílené disky nejsou vidět a přístup k nim má pouze uživatel s administrátorským oprávněním. Tomu stačí na jiném počítači vybrat příkaz Připojit síťovou jednotku a v názvu uvést \\jmeno_pocitace\c$. „Jmeno_pocitace“ je název konkrétní stanice v síti a „c“ je označení lokálního disku. Symbol $ říká, že se jedná o skryté sdílení (nezobrazuje se ve sdílených zdrojích při procházení sítě). Takže bez jakéhokoli nastavování mám jako správce odkudkoli a kdykoli přístup ke každému počítači na učebně (pokud je alespoň zapnutý). Podobně si mohu vytvořit i svoje skryté sdílení určitých složek tím, že za název sdílení přidám symbol $.
3) Doménový model – v naší škole máme dva servery W2000, které mají funkci řadičů domény. K čemu je to dobré? Na serveru zadám jednotlivé uživatele a nastavím jejich vlastnosti. Při přihlašování se ověřuje každý uživatel pro síť Novell a zároveň i pro síť Microsoft. Podle nastavení jednotlivých uživatelů jsou pak nastavena (mimo jiné) i přístupová práva k jednotlivým složkám či souborům, a to nejen pro síťové disky, ale i pro lokální disky jednotlivých stanic.
Samozřejmě neprovádím nastavení individuálně pro každého uživatele. Ty je možné přiřazovat do jednotlivých organizačních jednotek (OU) nebo skupin a práva se nastavují pro tyto celky, takže uživatelé v OU učitelé mohou mít jiná práva než žáci. Mně osobně se osvědčilo mít pro každou třídu samostatnou OU (podobně i v Novellu) – tím mohu jednoduše nastavovat práva i odlišně pro různé třídy a hlavně je to přehlednější. Také není nutné zadávat uživatele na jednotlivých počítačích, neboť při přihlašování uživatele ověřuje server – Domain Controler.
Dva doménové řadiče máme jednak z důvodu rozdělení sítě ve více budovách, jednak z důvodů zálohy. Oba servery jsou totiž v jedné doméně, vzájemně spolu komunikují a provádějí automaticky synchronizaci Active Directory (kde jsou uložena nastavení uživatelů a další důležité informace).
4) Systémové politiky – v systému WNT bylo možné použít Policy Editor pro nadefinování některých omezení a nastavení systému. Ve W2000 je toto dále podstatně vylepšeno. V nástrojích pro správu můžete najít moduly Zásady zabezpečení domény a řadičů domény, kde je možné nastavovat chování systému i případná omezení.
K čemu je to dobré? Například pro nastavení proxy serveru. Tím, že zadám v modulu Zásad nastavení připojení v MS Internet Exploreru konkrétní hodnoty příslušného serveru proxy, jednotliví uživatelé (ve W2000) již tyto hodnoty nastavovat nemusí, ani je nemohou měnit.
A podobně jdou nastavit i jiné parametry. Dříve nám žáci občas nastavili nevhodné rozlišení (nebo obnovovací frekvenci) monitoru a i přes varování systému jej potvrdili. Objevila se černá obrazovka – a problém. Teď to máme jednoduše ošetřené: v Zásadách je zakázaná záložka Nastavení pro vlastnosti zobrazení, čili žák nemůže tyto parametry změnit. Stejně lze nastavit například přístup k registrům, spořič obrazovky, pozadí a další. Nebo zakázat některé položky nabídky Start.
Vidíme tedy, že jde o mohutný a užitečný nástroj. Navíc flexibilní, protože jeden uživatel může mít po přihlášení odlišné možnosti než jiný uživatel (například učitel) na stejném stroji.
5) Profily – byla další užitečná možnost ve WNT. Tím, že použijete síťové profily, nastavení prostředí stanice se „stěhuje“ za uživatelem. Musíte jen specifikovat, na které místo na serveru se má profil uložit, a ten se pak (při přihlášení uživatele ke stanici) zkopíruje na místní disk i s veškerým nastavením; při odhlášení se opět zaktualizuje síťová kopie. Uživateli je tedy jedno, u kterého počítače pracoval minule, dokonce zda v té nebo jiné učebně či budově – jeho nastavení „přijde“ za ním. Tento princip funguje i ve W2000, i když některé věci je možné udělat lépe pomocí nastavení Zásad.
Systém W2000 má samozřejmě i svoje nevýhody: vyšší nároky na výkon počítače, provoz některých aplikací (hlavně starších MS-DOS) není zaručen, nutnost vyladit přístupová práva pro některé programy a podobně.
Jan Nymš
0 komentářů:
Okomentovat