Администрирование в информационных системах

 

Рисунок 1 - Процесс печати в Windows Server 2003

 

3.2 СОЗДАНИЕ ОБЩИХ ПРИНТЕРОВ

 

После принятия решения о том, как пользователи будут совместно использовать сетевые  принтеры, необходимо подключить устройства печати к сети. Совместно используемые устройства печати могут быть подключены к параллельным или последовательным портам компьютера-сервера печати или непосредственно к сети, если они имеют встроенную плату сетевого адаптера.

При создании принтера требуется:

• выбрать порт принтера (если используется пул принтеров, выбрать несколько портов);
• указать изготовителя принтера и модель;
• задать имя принтера;
• определить имя общего ресурса принтера для доступа к нему сетевых пользователей (если имеются клиенты Windows 3.x или MS-DOS, которые будут обращаться к этому принтеру по сети, используется короткое имя — до 8 символов).

Когда подключается новый локальный принтер и  мастер установки принтера спрашивает о выборе порта принтера, в списке существующих портов обычно выбирается один из параллельных портов (LPT). Однако некоторые устройства печати и графопостроители подключаются через последовательные порты (СОМ).

После задания  общих характеристик принтера можно  назначить принтеру некоторые зависящие  от устройств параметры (шрифты, объем  памяти принтера, возможность цветной печати и т. д.). От настройки параметров зависит то, как пользователи будут работать с устройством печати. Параметры принтера также определяют расписание работы, публикацию в каталоге и установки защиты. Если эти параметры не задавать, Windows Server 2003 использует установки по умолчанию.

Чтобы создать  принтер на сервере печати, нужно  зарегистрироваться на нем в качестве члена групп Administrators или Power Users.

В Windows Server 2003 мастер установки принтера по умолчанию  разрешает совместное использование принтера и публикует его в Active Directory, если это не отменено во время установки в окне мастера. В дальнейшем эти установки можно изменять в любой момент.

Если в будущем  понадобится совместно использовать принтер для клиентов, отличных от Windows 2000/XP или Windows Server 2003, нужно установить соответствующие (дополнительные) драйверы принтера для этих клиентов на сервере печати.

Организация общего доступа к принтеру.

Подключив принтер  к компьютеру Windows Server 2003 и убедившись в его работоспособности, можно организовать коллективный доступ к нему. Для этого нужно сделать следующее:

1. Запустить модуль «Принтеры и факсы» в Панели управления, щелкнуть правой клавишей мыши на имени принтера и выбрать «Свойства».
2. Открыть вкладку «Доступ» и установить переключатель в позицию «Общий доступ».
3. Ввести имя общего принтера. Старайтесь давать простые для понимания имена, например отражающие местоположение и выполняемую функцию. Убедитесь, что окно List in the directory отмечено.
4. Нажмите OK, чтобы закрыть диалоговое окно.
5. Вновь щелкните правой клавишей на имени принтера и нажмите «Переименовать».
6. Введите имя, аналогичное указанному выше, в качестве имени принтера общего доступа.

Следует помнить, что имя общего принтера не аналогично представленному в списке AD, даже если при работе в диалоговом окне создается впечатление, что это так. В списке AD указано имя, назначаемое принтеру в группе «Принтеры и факсы главного компьютера Windows Server 2003. Если в каталоге не удается обнаружить принтер, для которого только что был организован общий доступ, проверьте имя, назначенное ему в группе «Принтеры и факсы». Желательно стремиться к обеспечению соответствия этих имен во избежание путаницы.

Настройка принтера

В любой момент в диалоговом окне свойств принтера можно просматривать и устанавливать следующие параметры принтера:

• общие параметры (драйвер принтера и установки страницы-разделителя);
• порт и параметры порта;
• параметры планирования документов и очереди печати;
• имя общего ресурса принтера и имя каталога, а также его местоположение;
• установки безопасности;
• параметры, зависящие от устройства.

Чтобы вызвать  диалоговое окно свойств принтера, откройте папку  Printers and Faxes, выберите нужный принтер, а затем на боковой панели задач щелкните ссылку задачи  Set printer properties (Установка свойств принтера) или выполните команду  Properties в контекстном меню.

 

3.3 УПРАВЛЕНИЕ  ДОСТУПОМ К ПРИНТЕРАМ С ИСПОЛЬЗОВАНИЕМ  РАЗРЕШЕНИЙ

 

Средства безопасности Windows Server 2003 позволяют управлять доступом к принтерам, отслеживать использование принтера и получение прав владельца, а также становиться его владельцем (take ownership).

По умолчанию  все вновь созданные общие  принтеры доступны всем пользователям сети. Чтобы ограничить доступ к принтеру, нужно изменить установки разрешения принтера для заданной группы или пользователя. Для этого необходимо быть владельцем принтера или пользователем, которому предоставлено разрешение на управление принтером. Эти свойства доступны на вкладке  Security (Безопасность) окна свойств принтера; список имеющихся функций печати и основных разрешений приведен на рисунке 2.

 

Рисунок 2 - Управление доступом к принтеру

 

 По умолчанию  на компьютерах под управлением  Windows Server 2003, входящих в домен, разрешения Manage Printers и Manage Documents имеют только члены групп Administrators, Print Operators (Операторы печати) и Server Operators (Операторы сервера). Все остальные пользователи имеют разрешение Print (т. е. могут управлять собственными документами).

По умолчанию  все пользователи домена могут посылать задания на печать на принтер общего доступа. Часто требуется выполнить  настройку, обеспечивающую возможность  вывода на печать на указанные принтеры только для заданных групп. Например, может понадобиться сделать так, чтобы принтером общего доступа в офисе секретаря могли пользоваться только директор и его секретарь. У каждого принтера общего доступа существует три основных разрешения печати.

Печать —  это разрешение позволяет пользователю или группе посылать задания на принтер общего доступа.

Управление  принтерами — это разрешение позволяет  пользователю или группе изменять свойства принтера общего доступа, включая разрешения печати.

Управление  документами — пользователи или группы, обладающие этим разрешением, могут приостанавливать, перезапускать или удалять любые документы в очереди принтера, независимо от их принадлежности. По умолчанию пользователи обладают разрешением «Управление документами» по отношению к собственным заданиям печати.

Чтобы настроить  разрешения принтера общего доступа, нужно  сделать следующее:

1. Запустить модуль «Принтеры и факсы» в Панели управления, щелкнуть правой клавишей мыши на имени принтера и выбрать «Свойства».
2. Открыть вкладку «Безопасность». В списке имен групп и пользователей выбрать группу «Все» и нажать «Удалить».
3. Нажать «Добавить» для добавления группы или пользователей, которые будут обладать разрешениями вывода на печать на данный принтер общего доступа.

 

3.4 ТЕХНОЛОГИЯ РАЗРЕШЕНИЯ ИМЕН

 

Для разрешения имен в сетях на базе Windows Server 2003 используются два механизма: DNS и NetBIOS. DNS имеет  приоритет перед NetBIOS (DNS более масштабируема, безопасна и совместима с Интернетом, используется в подавляющем большинстве  случаев при организации сети, NetBIOS применяется в качестве вспомогательного механизма для быстрой организации связи компьютеров внутри одного сегмента сети). В отличие от NetBIOS пространство имен DNS выстроено в иерархию, основанную на полных доменных именах (FQDN). NetBIOS-имя должно быть уникальным в пределах всей сети, DNS-имя – в пределах домена. При установке операционной системы компьютеру необходимо присвоить имя. По умолчанию это имя считается DNS-именем, а его первые 15 символов – NetBIOS-именем.

Методы разрешения имен в DNS и NetBIOS также различны. DNS использует два метода: поиск имени в кэше DNS-клиента (имена кэшируются при более ранних запросах или загружаются из файла Hosts, находящегося в папке Windows\System32\Drivers\ITC) и запрос DNS-сервера. NetBIOS использует 4 метода: поиск имени в кэше NetBIOS-имен, запрос WINS-сервера, широковещательные запросы в сегменте, поиск имени в файле LMhosts из той же самой папки, что и в прошлый раз.

В ряде случаев использование  той или иной системы разрешения имен обязательно. DNS обязательно при построении сети на основе доменов Windows 2000 или Windows Server 2003, для выхода в Интернет или иную внешнюю сеть. NetBIOS обязательно в сети на основе доменов Windows NT или рабочих групп, а также при использовании в сети старых приложений, использующих протокол NetBT, а также для любителей функции Обозреватель компьютеров, позволяющая активировать функцию Мое сетевое окружение.

Однако, в Windows Server 2003 NetBIOS включена по умолчанию. Возможность широковещания  в сети сильно подрывает безопасность последней, т.к. NetBIOS хранит информацию обо всех сетевых ресурсах сегмента и предоставляет ее любому в ответ на широковещательный запрос без идентификации опрашивающего. Поэтому в сетях, где нет нужды во взаимодействии с системами младше Windows 2000, механизм NetBIOS должен быть отключен. Чтобы отключить NetBIOS необходимо в свойствах TCP/IP, привязанного к сетевому подключению, открыть свойства WINS-сервера и установить галочку напротив параметра Отключить NetBIOS через TCP/IP.

Система DNS представляет собой  древовидную структуру с одним  корнем, имеющим не ограниченное число  поддоменов, в свою очередь каждый из поддоменов может иметь неограниченное число дочерних поддоменов. Верхним  корневым доменом является пустая строка «». Этот домен имеет, например, поддомен первого уровня «.ru», который в свою очередь имеет массу поддоменов второго уровня, например «yandex.ru». Каждый компьютер в системе DNS идентифицируется при помощи FQDN, однозначно определяющего положение компьютера по отношению к корневому домену. Буквально FQDN состоит из записанных слева направо через точку имени компьютера и имен всех доменов и поддоменов вплоть до корневого. FQDN всегда заканчивается завершающей точкой, как бы отделяющей значащее имя от корневого домена – пустой строки. Также существуют домены с обратными именами – это специальные домены, использующиеся для преобразования IP-адресов в имена компьютеров (обратного просмотра). Их имена принадлежат домену in-addr.arpa. Организации, не пользующиеся Интернетом вправе организовывать частные пространства DBS-имен, задавать там иерархию и конкретные имена доменов и поддоменов администраторы вольны сами. Таким образом, внутри своей организации легко можно организовать домен Microsoft.com. Для правильного функционирования DNS необходимо настроить DNS-серверы, зоны, записи ресурсов и распознаватели.

DNS-сервер – это компьютер  с запущенной службой DNS-сервера,  поддерживающий базу данных имен  и обрабатывающий запросы на  их разрешение от DNS-клиентов. При  размещении зону на DNS-сервере он является полномочным для этой зоны, если выполняет роль основного или дополнительного DNS-сервера. Полномочные сервера используют только записи ресурсов, а не информацию из кэша. DNS-серверы могут быть полномочными и для нескольких уровней доменной иерархии. Зона DNS – это единая часть пространства имен, обслуживаемая полномочным сервером. Сервер может обслуживать несколько зон, а зона может содержать несколько доменов. Файлы зон содержат записи ресурсов зон, в которых сервер является полномочным. Это, как правило, текстовые файлы, а на контроллерах доменов - это часть базы данных Active Directory. Записи ресурсов – это информация, используемая для ответов на запросы DNS-клиентов. Буквально это тип и имя сетевого узла и сопоставленный ему IP-адрес. Распознаватель DNS – это служба, использующая протокол DNS для запросов информации у DNS-сервера. Windows Server 2003 – это служба DNS-клиент.

Существует несколько  способов разрешения DNS-запросов. Первый способ - клиент обращается к DNS-серверу, который сам разрешает запрос, используя собственную базу данных записи ресурсов (DNS-клиент направляет запрос предпочтительному серверу, указанному в настройках TCP/IP. Получив запрос сервер проверяет записи локальных зон, а потом собственный кэш. Если нужная информация найдена, то она пересылается клиенту, а если нет – сервер выполняет рекурсию или клиент выполняет итеративные запросы). Или клиент просто обращается к своему кэшу без обращения к серверу (в кэш попадают все записи из файла hosts при включении компьютера или при изменении файла hosts, также в кэш попадают ответы, полученные на предыдущие DNS-запросы). Второй – рекурсия (этот метод используется по умолчанию): DNS-сервер от имени клиента обращается к другим DNS-серверам. Получив от них ответ, DNS-сервер пересылает его клиенту. Третий способ – итерация (используется на DNS-сервере, если запрещена рекурсия): DNS-клиент для разрешения вопроса сам обращается к дополнительным DNS-серверам, направляя дополнительные запросы на основе ссылок, предоставленных DNS-серверами.

Корректное разрешение имен Интернета обеспечивается существованием так называемых корневых ссылок. Это  список записей ресурсов, содержащих адреса полномочных серверов в корне  доменного дерева глобальной DNS. Файл корневых ссылок Cache.dns находится в папке Windows\System32\DNS. Его содержимое загружается в память сервера при старте системы. На корневом DNS-сервере наличие корневых ссылок не допускается. На таких серверах файл с корневыми ссылками удаляется автоматически. DNS-сервер направляет клиентам ответы разных типов: полномочный ответ (ответ с записью ресурса с удостоверением, что он получен от полномочного сервера), положительный ответ (ответ с записью ресурса), ответ-ссылка (ответ означает, что DNS-сервер не может разрешить запрос и на нем запрещена рекурсия. Полученную ссылку DNS-клиент использует для следующего итеративного запроса), отрицательный ответ (либо сообщение полномочного сервера о том, что запрашиваемое имя не существует в указанном пространстве DNS либо сообщение об отсутствии указанного в запросе типа записи ресурса).