Назначение сервера сценариев

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и JScript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.

Использование сценариев для выполнения административных задач также рассматривается в главе 11 "Управление системами Windows в корпоративной среде".

Компания Microsoft поставляет три среды, предназначенных для выполнения языков сценариев на платформах Windows:
 Internet Explorer;  Internet Information Server или WWW Server в составе служб Internet Information Services;  Windows Scripting Host.

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.
Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.
Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или в окне командной консоли, для этого не нужно встраивать их в документ HTML. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения неинтерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

Область действия настроек аудита

Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Auditing (Аудит) какая-нибудь строка в поле Auditing entries (Записи аудита) имеет значение, отличное от <not inherited> (не унаследовано), в столбце Inherited From (Наследовано от) и кнопка Remove (Удалить) недоступна, это значит, что данные настройки аудита унаследованы. В этом случае вы можете:
 изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами;  запретить наследование, сняв флажок Allow inheritable auditing entries from the parent to propagate to this object and all child objects (Переносить наследуемый от родительского объекта аудит на дочерние объекты);  добавить другие записи аудита для выбранного объекта, нажав кнопку Add. Эти настройки аудита могут, в свою очередь, наследоваться дочерними объектами этого объекта. В поле Auditing entries новые записи будут иметь значение <not ingerited> (не унаследовано) в столбце Inherited From.

Область действия аудита настраивается в окне Auditing Entry, где в раскрывающемся списке Apply onto можно выбрать "глубину" распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит также от того, установлен или нет флажок Apply these auditing entries to objects and/or containers within this container only. По умолчанию этот флажок снят. В табл. 10.8 и 10.9 показано, как настройки аудита действуют в случае, когда данный флажок соответственно снят и установлен. Как можно видеть, его состояние определяет значения последних двух столбцов этих таблиц: при установленном флажке никакие проверки не распространяются на содержимое вложенных папок.

Таблица 10.8. Действие настроек аудита при снятом флажке Apply these auditing entries to objects and/or containers within this container only

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

Отключение аудита файлов и папок

Для отключения аудита для некоторого файла или папки:
1. Откройте вкладку Auditing (Аудит) для требуемого файла или папки.
2. В окне Auditing entries (Элементы аудита) выберите нужную запись и нажмите кнопку Remove (Удалить). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен полностью.

Если кнопка Remove (Удалить) недоступна, это значит, что настройки аудита наследуются от родительской папки.

Отправка запроса по электронной почте

Если вы решили воспользоваться электронной почтой, введите адрес вашего коллеги (см. рис. 10.20) и щелкните по ссылке Continue. В следующем окне программы-мастера можно ввести произвольный текст, сопровождающий запрос (например, описание вашей проблемы). Далее, определите время действия приглашения и задайте пароль, если вы каким-то "безопасным" образом можете сообщить его вашему коллеге. Это весьма критичные параметры. Если вы оставите срок действия приглашения равным одному часу, а письмо будет получено через 2—3... часа, то рассчитывать на успех вам не придется. Пароль дополнительно защищает ваш запрос. После нажатия кнопки Create E-mail Invitation (Отправить приглашение) будет выполнено формирование и отправка почтового запроса.
Если вы послали просьбу о помощи по почте, ваш адресат получит письмо с заголовком YOU HAVE RECEIVED A REMOTE ASSISTANCE INVITATION (Приглашение с запросом об удаленной помощи), содержащее интернет-ссылку1. Он должен щелкнуть по этой ссылке, если согласен на диалог. (Браузер адресата должен быть настроен соответствующим образом, для чего на запрашиваемой веб-странице имеются соответствующие инструкции. У адресата должен также быть загружен и установлен элемент Remote Assistance Server Control, обеспечивающий удаленный доступ.) Теперь общение будет происходить в "реальном времени": начинается подключение к компьютеру — источнику запроса. С этого момента, когда появится запрос, показанный на рис. 10.21, все последующие действия партнеров одинаковы и не зависят от способа получения запроса на удаленную помощь. Отправитель должен разрешить вход на свой компьютер — в этом случае начнется сессия удаленного доступа.

Пакет Windows Server 2003 Support Tools

На дистрибутивных Дисках систем Windows Server 2003 имеется пакет чрезвычайно полезных утилит, которые в значительной мере облегчают поиск неисправностей в сетях и доменах на базе Windows 2000 Server и Windows Server 2003. (Многие их этих утилит упоминались в разных главах данной книги.)
Этот пакет называется Windows Server 2003 Support Tools и должен устанавливаться отдельно от самой системы. Для его установки нужно запустить файл Suptools.msi, находящийся в дистрибутиве в папке \SUPPORT\TOOLS. Кроме того, дистрибутив содержит мощнейшее средство миграции между доменами — Active Directory Migration Tool version 2.0 (ADMT), которое устанавливается из папки \I386\ADMT.
В табл. 10.10 перечислены основные административные утилиты и указаны области их применения.

Таблица 10.10. Назначение утилит из пакета Windows Server 2003 Support Tools

Папка All Users

Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп.
 Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.  Персональные программные группы. Они доступны только создавшему их пользователю.

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Start. Группы этого типа на компьютерах, где работает Windows Server 2003, могут создавать только члены группы Administrators.

Папка Groups

В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.
 Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.  Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.  Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.  Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.  Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.  Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.
 Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.  Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.  HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.
 Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).  Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.  Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.  TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Папка Users

Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи,  перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.
 Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.  Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.  SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Параметры службы Windows Time

Настройки службы синхронизации времени хранятся в ключе реестра  HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\W32Time. Перечислим некоторые наиболее важные параметры.
По умолчанию служба Windows Time функционирует в режиме синхронизации с внешним источником. При этом параметр Parameters\type имеет значение NTP. В случае подключения к домену этот параметр изменяет свое значение на Ntsos. To же самое происходит в случае повышения одиночного сервера Windows Server 2003 до контроллера домена.
Значение параметра Parameters \NtpServer определяет сервер NTP, с которым происходит синхронизация времени.
Чтобы запретить синхронизацию времени с внешним источником, можно очистить значение параметра Parameters\NtpServer и присвоить параметру parameters\Type значение NoSync. Если эту операцию выполнить на контролере — эмуляторе РОС корневого домена леса, все компьютеры этого леса будут, в конце концов, синхронизированы по часам этого контроллера.

Перемещаемые профили пользователей

Перемещаемый профиль по своей структуре идентичен локальному профилю, за исключением того, что в нем отсутствует папка Local Settings. Перемещаемый профиль определяется на уровне доменной учетной записи пользователя. Чтобы определить перемещаемый профиль, откройте вкладку Profile (Профиль) окна свойств объекта, ассоциированного с учетной записью пользователя (рис. 10.24). В поле Profile path необходимо указать путь к перемещаемому профилю пользователя.

Путь к профилю пользователя задается в следующем формате:  \\<сервер>\<общая_папка>\<имя_профиля>
Для размещения профилей можно использовать любую общую папку с полным доступом для группы Everyone (Все). Имя профиля может быть произвольным. Однако традиционно имя профиля совпадает с именем учетной записи пользователя.
Непосредственно создание профиля может быть осуществлено двумя способами. Первый способ предполагает автоматическое создание профиля в указанной папке при выходе пользователя из системы. Второй способ предполагает копирование в указанную папку приготовленного заранее профиля (например, можно скопировать один из локальных профилей пользователей).
Каждый раз, когда пользователь выходит из системы, текущие настройки рабочей среды сохраняются в локальном и перемещаемом профиле. В ходе регистрации пользователя в системе копия локального профиля сравнивается с копией перемещаемого профиля. Если копии различаются, используется более свежий профиль. Локальный профиль пользователя будет использован также в ситуациях, когда перемещаемый профиль окажется по каким-либо причинам недоступен (например, в случае отказа сервера, на котором он расположен). При этом по завершении работы пользователя система не будет предпринимать попыток сохранения изменений профиля на сервере.
Для придания перемещаемому профилю статуса обязательного необходимо переименовать файл NTUSER.DAT в файл NTUSER.MAN.

Получение информации о службе Windows Time

На компьютере, находящемся под управлением Windows XP или Windows Server 2003, администратор может получить информацию о функционировании службы синхронизации времени в домене при помощи команды, приведенной ниже.

C:\>w32tm /monitor /domain:khsu.ru root.khsu.ru *** PDC *** [192.168.1.1]:

ICMP: Oms delay. NTP: +0.0000000s offset from root.khsu.ru RefID: 'LOCI' [76.79.67.76]

store.khsu.ru [192.168.1.2]:

ICMP: Oms delay. NTP: -0.0100835s offset from root.khsu.ru

RefID: root.khsu.ru [192.168.1.1]

Профили пользователей

На изолированном компьютере с Windows Server 2003 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.
Профиль пользователя обладает следующими преимуществами:
 при регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы;  несколько пользователей могут работать на одном и том же компьютере в . индивидуальных средах (нельзя только иметь собственные параметры разрешения экрана и частоты развертки; здесь нужно применять профили оборудования);  при работе компьютера в домене профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile). Разновидностью перемещаемых профилей являются обязательные профили (mandatory profiles). Такой профиль пользователь не может изменять, и все изменения, сделанные в настройках системы, теряются при выходе из нее. В Windows XP и Windows Server 2003 обязательные профили поддерживаются только для совместимости, вместо них рекомендуется применять групповые политики.

Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!
Пользовательские профили можно применять различным образом:
 создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями;  назначать общие групповые настройки всем пользователям;  назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.

Разрешение удаленного доступа

Для управления режимом удаленного доступа (не путайте его с удаленным доступом через коммутируемое подключение!) используется вкладка Remote (Удаленное использование) окна свойств системы System Properties (рис. 10.9). (Для быстрого доступа к этому окну можно использовать клавиши <Win>+<Break>.)
Чтобы пользователи могли с других компьютеров обратиться к вашей системе, установите флажок Allow users to connect remotely to this computer. Нажав кнопку Select Remote Users, вы можете явно указать, каким пользователям разрешен удаленный доступ (рис. 10.10): эти пользователи будут включены в локальную группу Remote Desktop Users. По умолчанию только администраторы имеют удаленный доступ к компьютеру.
Использовать учетные записи без пароля для удаленного доступа нельзя. Если на компьютере имеются такие записи, то при установке флажка Allow users to connect remotely to this computer появится предупреждение, показанное на рис. 10.11.

Сервер сценариев Windows (WSH)

Сервер сценариев Windows (Windows Script Host, WSH) не зависит от языка сценария и устанавливается в системах Windows 98/ME, Windows 2000/XP и Windows Server 2003 как стандартное средство. Также его можно установить в системах Windows 95 и Windows NT 4.0. Компания Microsoft разработала и поддерживает ядро сценариев как для Visual Basic, так и для JavaScript. В составе Windows XP и Windows Server 2003 поставляется WSH версии 5.6.

Сессия удаленного доступа

После того как пользователь, отправивший запрос к удаленному помощнику, подтвердил свой запрос, у помощника (в диалоговых окнах он называется Expert) открывается окно Remote Assistance, в котором он может видеть экран собеседника и вести с ним обмен сообщениями (рис. 10.22). При этом Expert может только наблюдать за экраном компьютера пользователя. Программа Remote Assistance запускается и у пользователя, только ее окно выглядит и иначе. (На рис. 10.22 можно видеть два окна Remote Assistance: "большое" отображается на компьютере помощника, и "маленькое", в центре рисунка — на компьютере пользователя.) При наличии соответствующей аппаратуры можно установить голосовую связь (кнопка Start Talking (Начать разговор)).
При необходимости Expert может запросить доступ к компьютеру, возможность управлять им (кнопка Take Control (Взять управление)). У пользователя при этом появится специальное сообщение, и он должен дать отдельное разрешение на управление своим компьютером — в этом случае рабочий стол становится доступным одновременно и для пользователя, и для помощника, у которого при получении разрешения тоже появляется предупреждение. В любой момент дистанционное управление компьютером может быть разорвано с любой стороны путем нажатия клавиши <Esc> или комбинации клавиш, включающих <Esc>.
При совместном управлении компьютером требуется согласовывать действия сторон и не пользоваться мышью и клавиатурой одновременно.
1 В системах Windows XP письмо содержало файл, который получатель должен был запустить на выполнение, подтверждая свое желание ответить на запрос. При этом не требовалось подключение к Интернету взаимодействующих сторон.

Синхронизация с внешним источником времени

В спецификациях стека протоколов TCP/IP предусмотрен специальный протокол NTP (Network Time Protocol, RFC 1119). Этот протокол позволяет выполнять синхронизацию системных часов компьютеров, соединенных через сеть TCP/IP. Клиент протокола NTP синхронизирует показания своих часов с показаниями часов службы сервера NTP. Администратор может синхронизировать системные часы компьютера с внешним источником при помощи двух утилит командной строки. В первом случае необходимо использовать утилиту командной строки net time: net time /SETSNTP:<имя_cepвepa_ntp>
Если вы имеете дело с клиентом Windows XP или Windows Server 2003, вы можете прибегнуть ко второму способу, заключающемуся в использовании утилиты w32tm: w32tm /config /manualpeerlist:<имя_сервера_ntp> /update

Следует заметить, что утилита w32tm, поставляемая в составе Windows 2000, отличается от одноименной утилиты, имеющейся в Windows XP и Windows Server 2003.

В качестве сервера NTP в обоих случаях может выступать некоторый контроллер домена. В случае контроллера корневого домена леса речь может идти о внешнем источнике синхронизации. По умолчанию клиенты, находящиеся под управлением операционных систем Windows XP и Windows Server 2003, синхронизируют свои системные часы с узлом Интернета time.windows.com.

Служба Windows Time

Использующийся в доменах Active Directory протокол Kerberos включает в аутентификаторы специальные временные метки, чтобы исключить возможность их перехвата. Эта мера имеет одно важное последствие. Чтобы механизм аутентификации успешно работал, необходимо, чтобы системные часы всех компьютеров находились в синхронизированном состоянии. Действительно, получая аутентификатор, подсистема аутентификации сравнивает время его создания с показаниями собственных часов. Если разница составляет больше пяти минут, аутентификатор будет отклонен.
Синхронизация системных часов компьютера осуществляется службой Windows Time. Принцип работы этой службы следующий. Клиентские компьютеры автоматически синхронизируют свои часы с контроллером домена, являющегося исполнителем специализированной роли эмулятора PDC (PDC Emulator). РОС Emulator синхронизирует показания своих системных часов с показаниями часов контроллера родительского домена (или корневого домена леса). Контроллер корневого домена леса может синхронизировать показания своих часов с некоторым внешним источником (например, службой точного времени). Как вариант возможна ситуация, когда синхронизация часов контроллера корневого домена не выполняется. В этом случае показания системных часов данного контроллера домена считаются эталонными.

Служба синхронизации времени реализована во всех операционных системах, использующих протокол аутентификации Kerberos — Windows 2000/XP и Windows Server 2003.

Сохранение и восстановление паролей пользователей

По требованиям безопасности локальные учетные записи системы должны защищаться паролями, что уменьшает вероятность того, что посторонний пользователь получит доступ к компьютеру. Однако в этом случае пользователи системы сами рискуют потерять доступ к системе, если забудут свой пароль. Кроме того, при принудительном изменении пароля можно потерять персональные настройки конфигурации компьютера. Системы Windows ХР и Windows Server 2003 предоставляют возможность создания так называемой "дискеты восстановления пароля" (Password Reset Disk), с помощью которой пользователь может установить новый пароль в случае утраты старого. Однажды созданная дискета позволяет войти в систему, даже если после этого текущий пароль менялся неоднократно.

Дискета Password Reset Disk фактически является ключом к компьютеру, поэтому необходимо обеспечить сохранность этой дискеты, равно как и ее недоступность для посторонних. Такие дискеты создаются индивидуально для каждой учетной записи.

Посмотрим, как создать Password Reset Disk для локальной учетной записи на автономном компьютере или компьютере, входящем в рабочую группу.
1. Зарегистрируйтесь в системе и, нажав клавиши <Ctrl>+<Alt>+<Del>, откройте окно Windows Security.
2. Нажмите кнопку Change Password (Изменить пароль).
3. После нажатия в окне Change Password кнопки Backup запустится мастер Forgotten Password Wizard. Следуйте его указаниям.
4. Вставьте дискету, на которую мастер запишет файл userk.ey.psw, содержащий в зашифрованном виде пароль текущей учетной записи.
5. Введите текущий пароль учетной записи. Когда мастер закончит работу (100% готовности), нажмите кнопки Next и Finish (Готово).
6. Закройте все открытые окна и сохраните дискету в надежном месте.
Теперь предположим, что вы забыли или ввели неправильно пароль для своего имени. Система предложит вам воспользоваться дискетой восстановления (рис. 10.2). Нажмите кнопку Reset (Сброс). Запустится мастер Password Reset Wizard, для работы которого, собственно говоря, и нужна дискета Password Reset Disk.

Мастер попросит вставить дискету Password Reset Disk и (если дискета опознана успешно) установить произвольный новый пароль (рис. 10.З). После  этого вы вернетесь в окно Log On to Windows и сможете войти в систему, пользуясь вновь созданным паролем.

Аналогичные операции можно выполнить и на компьютерах, являющихся членами домена. Помните, однако, что пароли доменных учетных записей хранятся централизованно на контроллерах домена, и для них дискеты восстановления не создаются.

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users, используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.
Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Создание локальной группы

Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).

2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной  черты (\).

Создание пользовательской учетной записи

Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).

2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).
4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).
Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.

Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо:  " / \ [ ]:; | =, + *?<>
Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Group Policy Object Editor сценарии входа назначаются соответствующему пользователю, компьютеру или объекту каталога Active Directory, если компьютер входит в домен. Поскольку действия групповых политик могут распространяться на группы объектов каталога, один сценарий может выполняться несколькими пользователями или компьютерами. В табл. 10.5 приведены примеры параметров, значения которых можно устанавливать с помощью сценария входа, и их описание.

Таблица 10.5. Параметры, устанавливаемые с помощью сценария входа

Структура нового профиля пользователя

Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows Server 2003. Файл NTUSER.DAT, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows Server 2003. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

Структура профиля пользователя

Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папки All Users, LocalService и NetworkService находятся в папке Documents and Settings корневого каталога на загрузочном томе. В папке каждого пользователя находятся файл NTUSER.DAT и список ссылок на объекты рабочего стола. На рис. 10.23 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола. Файл ntuser.dat.LOG представляет собой журнал транзакций, фиксирующий изменения профиля и позволяющий восстановить его в случае, когда происходит повреждение файла NTUSER.DAT.

В табл. 10.4 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое. Некоторые из этих подпапок являются скрытыми и могут быть не видны при обычном просмотре. Все указанные папки, кроме папки Local Settings, входят в перемещаемый профиль пользователя (при работе компьютера в составе домена). При использовании обычного профиля локальные папки Application Data, Desktop, My Documents, My Pictures и Start Menu можно переназначать на общие сетевые диски при помощи оснастки-расширения Folder Redirection (Перенаправление папки), входящей в оснастку Group Policy Object Editor (Групповая политика).

Таблица 10.4. Содержимое папки локального профиля пользователя

Типовые задачи администрирования

В этой главе мы рассмотрим стандартные задачи, которые администратор может выполнять в системе: конфигурирование учетных записей, настройка рабочей среды пользователя, аудит системных событий, планирование автоматического запуска задач и т. д. Кроме того, описываются два новых по сравнению с Windows 2000, весьма эффективных средства удаленного администрирования — Remote Desktop и Remote Assistance.

Удаленный доступ через Интернет

Чтобы обратиться к компьютеру через Интернет, в поле адреса браузера введите http://<имя_cepвepa>/TSWeb, где имя_сервера — DNS-имя веб- сервера (компьютера с установленными службами IIS) или его IP-адрес.

После соединения с сервером появится веб-страница "Remote Desktop Web Connection" (Интернет-подключение к удаленному рабочему столу) (рис. 10.16), где в поле Server (Сервер) вы должны указать имя или адрес того компьютера, к которому хотите подключиться, после чего нажмите кнопку Connect (Подключить). Обратите внимание на то, что имена веб-сервера и целевого компьютера могут различаться: т. е. вы "входите" в сеть через один компьютер, а подключаетесь к любому другому.

Чтобы описанный режим работал, в составе службы WWW (World Wide Web Service) на сервере должен быть установлен компонент Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу).

При первом выполнении описанной процедуры с сервера загрузится компонент ActiveX, который нужно установить на локальном компьютере. Его окно показано на рис. 10.17. Нажмите кнопку Yes (Да).

После этого выполняется подключение к выбранному (целевому) компьютеру и появляется традиционное окно регистрации. На рис. 10.18 для примера показано окно браузера Internet Explorer, в котором отображается сессия работы на удаленном компьютере. Обратите внимание, что в окне адреса указан IP-адрес одного компьютера (через который мы вошли в сеть), а подключение выполнено к другому компьютеру — его адрес указан в нижней части экрана. Напомним, что такую картинку можно получить в любой операционной системе, где установлен Internet Explorer версии 4.0 и выше. В полноэкранном режиме работы панели браузера не отображаются совсем, и мы увидим только рабочий стол удаленного компьютера.

Удаленный доступ к рабочему столу (Remote Desktop)

В предыдущих серверных версиях Windows для удаленного управления сервером администратор должен был использовать службы терминалов. Минусом подобного решения являлась необходимость развертывания службы терминалов даже в том случае, когда администратору требовалось только одно удаленное подключение с целью выполнения рутинных административных задач. В системах Windows XP и Windows Server 2003 имеется стандартный механизм Remote Desktop for Administration, или просто Remote Desktop, который позволяет подключаться удаленно и выполнять необходимые операции по управлению сервером. Этот механизм в своей основе использует службы терминалов и поддерживает два одновременных удаленных подключения (в Windows XP — одно). Администратор может с любого рабочего места администрировать все серверы, находящиеся под управлением Windows Server 2003, подключаясь к ним удаленно.

Механизм Remote Desktop for Administration no своей сути аналогичен режиму Remote Administration, который поддерживали службы терминалов Windows 2000. В Windows Server 2003 задача удаленного администрирования балы отделена от служб терминалов и реализована в рамках отдельного механизма. Отделение механизма удаленного администрирования от служб терминалов позволило свести нагрузку на сервер к минимуму в ситуации, когда необходимо только управление сервером с другого компьютера.

В системах Windows XP и Windows Server 2003 имеется также функция Remote Assistance, позволяющая пользователю инициировать доступ к своему компьютеру и получить помощь в сложных ситуациях (см. след, раздел).

По умолчанию функции Remote Desktop и Remote Assistance отключены.

Кроме этого, если на некотором компьютере под управлением Windows XP или Windows Server 2003 установлен веб-сервер в составе служб Internet Information Services (IIS), то через этот компьютер можно осуществлять удаленный доступ к любой системе Windows XP или Windows Server 2003, находящейся в той же локальной сети, из веб-браузера (Internet Explorer 4.0 и выше), работающего в любой операционной системе. Такая возможность позволяет, например, на маломощном компьютере под управлением Windows 95 запустить браузер и, введя имя удаленной системы Windows Server 2003 на базе какого-нибудь мощнейшего процессора, работать на ней в полноэкранном режиме.
Все сессии удаленного доступа шифруются, чтобы исключить несанкционированный доступ к данным и системам: протокол RDP, использующийся при этом, шифруется с помощью алгоритма RC4.

Удаленный помощник (Remote Assistance)

Средство Remote Assistance (Удаленный помощник) по сути реализовано так же, как и описанная в предыдущем разделе функция Remote Desktop.
Для использования Remote Assistance обе системы должны работать под управлением Windows ХР или Windows Server 2003. Включить/выключить это средство можно на вкладке Remote (Удаленное использование) (см. рис. 10.9) (по умолчанию оно выключено). Нажав на этой вкладке кнопку Advanced (Подробнее), можно настроить некоторые параметры удаленного помощника (рис. 10.19). Обратите внимание на то, что при включении Remote Assistance по умолчанию разрешено и удаленное управление компьютером. Это не должно вас пугать, поскольку для управления компьютером всегда требуется дополнительное, явное разрешение с вашей стороны во время сеанса работы удаленного помощника. Если вы не измените срок действия запроса (по умолчанию 30 дней), то в течение этого времени ваше приглашение будет действительным, т. е. помощник сможет запрашивать доступ к вашему компьютеру. Всякий раз при этом от вас потребуется отдельное разрешение на его подключение.

Работа с удаленным помощником не вызывает затруднений (поскольку осуществляется с помощью программы-мастера), поэтому мы опишем процедуру инициализации сеанса совместной работы в целом.
1. Откройте окно Help and Support Center (Центр справки и поддержки) и в группе ссылок Support Tasks (Поддержка) щелкните по ссылке Remote assistance (Приглашение на подключение для Удаленного помощника).
2. В следующем окне щелкните по ссылке Invite someone to help you (Отправить приглашение); здесь же вы можете просматривать состояние своих запросов и управлять ими — для этого выберите ссылку View invitation status (Показать состояние отправленных приглашений).
Передать запрос можно с помощью встроенной программы Windows Messenger (самый простой и оперативный вариант!) или посредством электронной почты (оба варианты могут быть реализованы даже в локальной сети). Поэтому рассмотрим каждый вариант отдельно.

Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.
Для управления средой пользователя предназначены следующие средства систем Windows 2000/XP и Windows Server 2003.
 Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды системы, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в папке, имя которой для вновь установленной системы выглядит следующим образом: %SystemDrive%\Documents and 8е11т£5\<имя_полъзователя>.  Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.  Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не нужно встраивать в документ HTML.

Управление учетными записями

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 "Администрирование доменов"). Управление локальными учетными записями на контроллерах домена невозможно.

Вход в систему

После загрузки системы Windows Server 2003 появляется обычный экран регистрации в системе — традиционный способ входа в Windows NT и Windows 2000 (рис. 10.1, сверху). Системы Windows Server 2003 не поддерживают имеющиеся в Windows XP средства входа в систему: экран приветствия Welcome screen и сервис Fast User Switching (Быстрое переключение пользователей).
Для входа в систему требуется одновременно нажать клавиши <Ctd>+ +<Alt>+<Delete> и в окне Log On to Windows (рис. 10.1, снизу) ввести имя учетной записи и пароль. Если компьютер подключен к домену, в списке Log on to можно выбрать домен. Если для регистрации указывается основное имя пользователя (user principal name), например, Aieksey@net.dom, то домен не указывается.
Для блокировки компьютера можно использовать быстрые клавиши <Win>+<L>: при этом все рабочие окна закрываются (текущее состояние системы и программ не меняется) и на рабочем столе появляется окно Computer Locked.

Выход из сеанса

При работе в сеансе удаленного доступа к компьютеру администратор имеет три возможности завершения сеанса (в любом случае он должен открыть меню Start (Пуск) и нажать кнопку Shut Down (Конец работы)):
 можно выключить компьютер, выбрав в окне Shut Down Windows опцию Shut down;  можно выйти из системы, выбрав опцию Log off;  можно прервать текущий сеанс, выбрав опцию Disconnect — при этом при повторном подключении к этому компьютеру с ранее использованным именем администратор получит ту же рабочую среду (открытые окна и запущенные программы), которую он "оставил" при отключении от сеанса.

Выполнение заданий по расписанию (Task Scheduler)

В дополнение к командам AT системы Windows XP и Windows Server 2003 располагают новым средством — планировщиком заданий (Task Scheduler). (Присутствует также новая утилита командной строки — Schtasks.exe, имеющая значительно больше функциональных возможностей по сравнению с AT.) С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором определяются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.
Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.
Служба Task Scheduler (имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. Управление этой службой может осуществляться интерактивно из окна Scheduled Tasks (Назначенные задания), которое доступно из панели управления или по команде Start | АН Programs | Accessories | System Tools | Scheduled Tasks. При помощи меню Advanced (Дополнительно) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда View Log (Просмотр журнала)), в котором также фиксируются все ошибки, возникшие при запуске заданий.
Среди особенностей планировщика можно отметить:
 удобный графический пользовательский интерфейс;  возможность программного доступа ко всем возможностям планировщика, включая страницы свойств;  создание новых заданий при помощи операции перетаскивания (drag-and-drop) или мастера Scheduled Task Wizard (Мастер планирования заданий);  средства безопасности.

Графический интерфейс планировщика заданий (рис. 10.29) не требует знания ключей и параметров программы (как это нужно для использования команды AT), он интегрирован в операционную систему и доступен из панели управления. Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Run (Выполнить) в контекстном меню выбранного задания). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.

Мастер Scheduled Task Wizard (запускаемый при выборе команды Add Scheduled Task (Добавить задание)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. На рис. 10.30 приведен пример расписания для программы Outlook Express, запускающейся по рабочим дням, 3 раза в день. Установив флажок Show multiple schedules (Показывать несколько расписаний), можно задать несколько расписаний для запуска любой программы.

Благодаря наличию набора интерфейсов API (планировщик задач позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь о поддержке и надежности этих служб. Возможность доступа к страницам свойств задачи (см. например, рис. 10.30) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.
В среде Windows Server 2003 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания (обратите внимание на наличие вкладки Security (Безопасность), рис. 10.30).

При перемещении файла *.job в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows.

При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

Запрос с использованием программы Windows Messenger

В данном случае вы должны предварительно выполнить вход в систему мгновенных сообщений. Если программа Windows Messenger запущена и вход выполнен, то вы получите экран, аналогичный показанному на рис. 10.20. Выберите доступного собеседника и щелкните по ссылке Invite this person (Пригласить этого человека).

После процедуры передачи запроса и его подтверждения выбранным собеседником нужно разрешить его доступ (рис. 10.21) — только в этом случае начнется процесс подключения удаленного пользователя к вашему компьютеру. В противном случае приглашение считается аннулированным.

Возможно, еще проще отправить запрос непосредственно из окна программы Windows Messenger — в этом случае не нужно открывать окно Help and Support Center. Выполните вход в программе Windows Messenger, выберите доступного собеседника и в контекстном меню выполните команду Ask for Remote Assistance (Обратиться к удаленному помощнику). У выбранного собеседника откроется диалоговое окно, в котором он может обменяться с вами предварительной информацией и принять запрос.

Запуск и конфигурирование сеанса удаленного доступа

Для инициализации сеанса удаленного доступа служит утилита Remote Desktop Connection (она запускается из подменю Start | All Programs | Accessories | Communications или же при помощи команды mstsc из командной строки). Введите имя или IP-адрес удаленного компьютера и нажмите кнопку Connect (рис. 10.12) — и через несколько мгновений вы увидите окно, приглашающее зарегистрироваться в удаленной системе!

В системах Windows XP при входе в систему с помощью Remote Desktop текущий пользователь "выталкивается" из системы, при этом текущий сеанс не закрывается. Если удаленный пользователь входит с именем уже зарегистрированного пользователя, то он получает рабочую среду— открытые окна, запущенные программы — этого пользователя, который в свою очередь может снова войти в систему и вытолкнуть "пришельца". Только при использовании Remote Assistance возможна одновременная работа двух пользователей в одном сеансе. В Windows Server 2003 такого не происходит, поскольку в них для удаленного администрирования разрешены две сессии. Однако, если использовать команду mstsc /console, можно получить такой же режим работы, как и в Windows XP — т. е. с "выталкиванием".

В окне Remote Desktop Connection нажмите кнопку Options и внимательно просмотрите все вкладки, на которых определяются параметры удаленного подключения. Можно, например, устанавливать размер экрана, глубину цвета (до 24 бит), скорость подключения и пр. Обратите внимание на вкладку Local Resources (рис. 10.13).

По умолчанию звук с удаленного компьютера переназначается на локальный компьютер, и, работая на удаленном компьютере, можно выполнять печать на локальном принтере. Если установить флажок Disk drives, то можно одновременно пользоваться дисками обеих систем. Это очень удобно, например, для копирования файлов: "легким движением руки" в окне программы Windows Explorer (где будут отображаться диски обоих компьютеров) вы можете переписать любую информацию с удаленного компьютера на свой локальный диск.
Вкладка Experience (рис. 10.14) позволяет адаптировать сессию удаленного доступа к параметрам соединения: можно отключать некоторые возможности графики для низкоскоростных каналов и включать все возможности при соединении по локальной сети.

Параметры текущего подключения можно сохранить в файле и использовать в дальнейшей работе для быстрой настройки подключений.

Для переключения окна сессии из полноэкранного режима в экран фиксированного размера и наоборот используются клавиши <Ctrl>+<Alt>+<Pause/Break>.

В системах Windows Server 2003 для работы со службами терминалов используется оснастка Remote Desktops. Она может использоваться и для удаленного доступа к компьютерам. На рис. 10.15 для примера показано одновременное подключение к двум удаленным компьютерам (Remote Server и Domain Controller). Каждый сеанс предварительно создается и конфигурируется (см. корень оснастки и дерево сеансов удаленного доступа), после чего его можно легко инициировать, указав курсором в списке. Так же легко можно и переключаться между различными сеансами.

Запуск сценариев в среде Windows

Сценарий в среде Windows можно запустить тремя способами.
 Дважды щелкните на файле сценария или на соответствующем значке в окне My Computer (Мой компьютер), в окне программы Windows Explorer или в окне результатов команды Search (Поиск).  В окне Run (Выполнить) введите с клавиатуры полное имя (включающее путь и расширение) выполняемого сценария и нажмите кнопку ОК.  В окне Run (Выполнить) введите wscript.exe с указанием полного имени сценария и необходимых параметров сервера и сценария.

При запуске сценария с помощью WSH можно указать, какое приложение следует использовать — Cscript.Exe или Wscript.Exe. Приложение сервера, выбираемое по умолчанию, может быть установлено с помощью команды cscript //H:имя_сервера_сценариев.
Например, если вы устанавливаете в качестве приложения, выбираемого по умолчанию, Wscript.exe и выполняете сценарий с именем Chart.vbs, то Wscript.exe будет выбираться по умолчанию для всех файлов сценариев, имеющих расширение vbs.
Страница свойств сервера сценариев Windows позволяет устанавливать параметры, приведенные в табл. 10.7.

Таблица 10.7. Свойства сервера сценариев

Запуск сервера сценариев из командной строки

Для запуска сервера сценариев из командной строки используйте утилиту Cscript.exe в соответствии со следующим синтаксисом:  cscript имя_сценария [параметры_сервера_сценариев] [параметры_сценария], где
 имя_сценария — это имя файла сценария с расширением, например, Chart.vbs;  параметры_сервера_сценариев — включают и отключают различные средства сервера сценариев. Они всегда предваряются двумя слэшами (//);  параметры_сценария — передаются в сценарий. Они всегда предваряются одним слэшем (/).

Ни один из параметров не является обязательным. Однако нельзя указать параметры сценария без самого сценария. Если вы не указываете ни одного параметра, Cscript.exe выдает на экран синтаксис своего запуска и допустимые параметры сервера сценариев (табл. 10.6).

Таблица 10.6. Параметры сервера сценариев, поддерживаемые Cscript.exe

Запуск утилит из командной строки

При-помощи команды RunAs можно запускать из командной строки любые исполняемые файлы (имеющие расширение exe, com, cmd, bat, msc), ярлыки (lnk), а также элементы панели управления (cpl).

Существуют приложения и элементы, с которыми команда RunAs не может быть использована. Например, программа Windows Explorer, папка Printers и элементы рабочего стола.

Для запуска из командной строки утилит из пакета Windows Server 2003 Administrative Tools необходимо знать имена оснасток. В табл. 10.2 приводятся имена оснасток для наиболее часто используемых утилит из этого пакета.

Таблица 10.2. Имена оснасток для некоторых утилит пакета Windows Server 2003 Administrative Tools

*Оснастки, не отображаемые в меню Administrative Tools. Однако их можно найти в папке %SystemRoot%\system32
Команда RunAs имеет следующий формат:

runas [ [/noprofile | /profile] [/env] [/savecred | /netonly]]
 /user:<имя_пользователя> приложение

Ключевые слова имеют следующий смысл:
 /noprofile — в процессе запуска утилиты не будет осуществляться загрузка профиля пользователя. Благодаря этому приложения запускаются быстрее. Однако приложения, использующие информацию, размещенную в профиле пользователя, могут не работать;  /profile — загружается профиль пользователя. Данный режим выбирается по умолчанию;  /env — использовать текущее окружение, вместо того, чтобы создавать окружение, характерное для конкретного пользователя;  /savecred — использовать полномочия предыдущего пользователя;  /netonly — использовать полномочия исключительно для доступа к удаленным ресурсам;  /user — учетная запись пользователя.

Ниже приводится пример запуска оснастки Active Directory Users and Computers с полномочиями пользователя lex:  c:\runas /user:lex@khsu.ru "mmc domain.msc"
В приведенном примере утилита запускается для управления доменом, к которому принадлежит текущий пользователь. Если необходимо запустить утилиту с полномочиями пользователя, принадлежащего к другому домену, используется другой формат команды. Ниже приводится пример запуска оснастки Active Directory Users and Computers с полномочиями пользователя kaizer, принадлежащего к домену kit.khsu.ru (NetBIOS-имя домена — KIT):  c:\runas /netonly /user:KIT\kaizer "mmc domain.msc"
В приведенном примере используется формат NetBIOS для предоставления информации о домене, к которому принадлежит пользователь (домен\ пользователь). Однако допускается и использование основных имен пользователя (UPN).

Запуск утилит из контекстного меню

Администратор может запускать утилиты и оснастки любым способом — из главного меню, с рабочего стола, из программы Windows Explorer. При этом механизм административных утилит не требует, чтобы утилита запускалась на контроллере домена. Более того, чтобы не снижать производительность контроллера домена, рекомендуется использовать для управления системой специально выделенную рабочую станцию. Чтобы иметь на этой рабочей станции возможность осуществлять управление сетью, администратор должен предварительно установить на нее необходимые административные утилиты (как из набора Windows Server 2003 Administrative Pack, так и из вспомогательных пакетов Windows Server 2003 Support Tools и Resource Kit).
В случае если речь идет об установке определенных утилит для пользователей, которым делегированы полномочия на выполнение определенных операций, нет необходимости устанавливать весь пакет утилит. Можно установить на рабочую станцию только одну или несколько утилит из пакета Windows Server 2003 Administrative Tools. Для этого следует скопировать необходимые оснастки (файлы с расширением msc) и связанные с ними DLL-библиотеки из папки %SystemRoot%\system32 контроллера домена в любую папку на рабочей станции. Перейдя в указанную папку на рабочей станции, требуется зарегистрировать скопированные DLL-библиотеки. Для этого в режиме командной строки необходимо выполнить:  regsvr32 <имя_DLL-библиотеки>
В табл. 10.1 приведены имена DLL-библиотек для некоторых, наиболее важных административных утилит.

Таблица 10.1. DDL-библиотеки, необходимые для работы некоторых административных утилит

Оснастка Active Directory Schema не инсталлируется автоматически. После того как файл schmmgmt.dll скопирован на рабочую станцию и зарегистрирован, пользователь должен добавить оснастку в управляющую консоль (ММС) и сохранить под некоторым именем.

Чтобы при помощи команды RunAs запустить утилиту с необходимыми полномочиями, вызовите контекстное меню утилиты, щелкнув по ее имени или пиктограмме правой кнопкой мыши. В меню выберите пункт Run as (Запустить как). В открывшемся окне (рис. 10.4) надо определить способ запуска утилиты — либо с полномочиями текущего пользователя (переключатель Current user), либо с полномочиями другого пользователя (переключатель The following user). В последнем случае необходимо предоставить сведения об имени учетной записи и сопоставленном ей пароле. Следует также указывать имя домена, к которому принадлежит учетная запись.

Запуская утилиту в контексте текущего пользователя, можно защитить систему (прежде всего данные) от несанкционированных действий со стороны запущенного приложения. Подобные действия могут иметь место в случае, если приложение заражено компьютерным вирусом или является своего рода "троянским конем". Для этого необходимо установить флажок Run this program with restricted access.
В контекстном меню отдельных утилит имеется пункт Author, выбор которого позволяет запустить оснастку в авторском режиме. Авторский режим дает возможность модифицировать параметры оснастки.

Если утилита должна всегда запускаться в рамках полномочий другого пользователя, необходимо соответствующим образом сконфигурировать ярлык утилиты. Вызвав окно свойств ярлыка утилиты, на вкладке Shortcut (Ярлык) нужно щелкнуть по кнопке Advanced (Дополнительно). В открывшемся окне установите флажок Run with different credentials (Запускать с другими полномочиями).

---