Текст книги "Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270"

You are the desktop administrator for your company. The network environment includes a Windows 2000 domain, and client computers run Windows 2000 Professional or Windows XP Professional. Users need to run applications that are not certified for Windows 2000. Which actions can you take? (Choose two. Each answer is a unique solution.)

A. Add the users to the Users group.

B. Add the users to the Power Users group.

C. Apply the Compatwsinf security template.

D. Apply the Setup securityinf security template.

Вы системный администратор компании. Сетевое окружение состоит из домена Windows 2000 и клиентских компьютеров, работающих под управлением Windows 2000 Professional или Windows XP Professional. Пользователям необходимо работать с приложениями, которые не сертифицированы для Windows 2000. Какие действия вы можете предпринять? (Выберите два. Каждый ответ является самостоятельным решением.)

A. Поместить пользователей в группу Пользователи.

B. Поместить пользователей в группу Опытные пользователи.

C. Применить шаблон безопасности Compatwsinf.

D. Применить шаблон безопасности Setup securityinf.

Правильные ответы: В, С.

Предоставить пользователям возможность запускать устаревшие приложения, не сертифицированные для Windows 2000, можно двумя способами. Во-первых, можно поместить всех пользователей в группу Опытные пользователи. Эта группа обладает достаточным набором прав и разрешений, чтобы запускать несертифицированные приложения. Однако эта группа имеет и другие права, которые будут излишними в том случае, если требуется просто разрешить пользователям работу с устаревшими приложениями. Чтобы не предоставлять этих лишних прав, можно не пользоваться группой Опытные пользователи, а применить шаблон безопасности Совместимый (Compatws.ini), разработанный специально для таких случаев. Правильные ответы В и С.

Шаблон безопасности Setup security.inf используется для установки тех параметров безопасности, которые применяются по умолчанию при "чистой" установке Windows ХР Professional, а по умолчанию обычные пользователи не могут работать с несертифицированными приложениями. Ответ D неверен.

Помещать пользователей в группу Пользователи не требуется, так как они состоят в этой группе по умолчанию. Тем более, члены этой группы при установках по умолчанию не могут работать с устаревшими приложениями. Ответ А неправильный.

Однако следует заметить, что если бы в задании было сказано, что каждый из вариантов ответа является частью решения, этот вариант был бы одним из составляющих ответов: следовало бы поместить все учетные записи в группу Пользователи и применить шаблон безопасности Compatwsinf.

You are the administrator of 25 Windows XP Professional computers. The computers are not members of a domain. You want to delegate some of the administration of Windows XP Professional computers to members of the Power Users group on the computers. You modify the permissions on specific files, folders, and Registry entries to allow the Power Users group to administer the Windows XP Professional computers. However, members of the Power Users group report that they are not able to specify auditing options for individual files and folders. How should you resolve the problem?

A. Grant the Power Users group Allow – Full Control permission on the %systemroot%System32Confιg folder.

B. Assign the Generate security audits user right to the Power Users group.

С. Assign the Manage auditing and security log user right to the Power Users group.

D. Configure the Audit object access policy setting to log success and failure events.

Вы администрируете 25 компьютеров, работающих под управлением Windows ХР Professional. Компьютеры не входят в домен. Бы хотите делегировать некоторые административные полномочия, чтобы члены группы Опытные пользователи могли управлять своими компьютерами с Windows ХР Professional. Бы изменяете разрешения для файлов, папок и ключей системного реестра, чтобы позволить членам группы Опытные пользователи выполнять администрирование Windows ХР Professional. Тем не менее, эти пользователи сообщают, что они не могут выполнять аудит файлов и папок. Что вы должны сделать, чтобы решить эту проблему?

A. Предоставить группе Опытные пользователи полный доступ для папки %systemroot%System32Confιg.

B. Предоставить группе Опытные пользователи привилегию Создание журналов безопасности.

C. Предоставить группе Опытные пользователи привилегию Управление аудитом и журналом безопасности.

D. В локальной политике безопасности настроить Аудит доступа к объектам,чтобы разрешить аудит успехов и отказов.

Правильный ответ: D.

Чтобы выполнять аудит каких-либо событий, необходимо сначала в настройках политики безопасности разрешить выполнение этого аудита. В описываемой ситуации необходимо включить аудит успехов и отказов доступа к объектам. Чтобы это выполнить, нужно открыть оснастку Групповая политика и в разделе Конфигурация компьютераКонфигурация Windows Параметры безопасности Политика аудита установить требуемые параметры. Правильный ответ D.

Предоставлять пользователям какие-либо привилегии или разрешения на полный доступ к системным папкам при этом не требуется.

You are the desktop administrator for Contoso, Ltd. The Company's network contains 10 000 Windows XP Professional computers, which are members of a single Active Directory domain. The computers hard disks are formatted as NTFS. The company's software developers release a new custom application. The application uses a DLL file named AppLib.dll, which is installed in a folder named Program FilesContosoOpsApp. The company's help desk technicians report that several users experience problems when they use the application because the AppLib.dll file deleted on their client computers. The company's software developers recommended that you modify the file permissions on AppLib.dll so that uses have only Read permission on the file. You need to ensure that all users have only Read permission on the AppLib.dll file on all 10 000 Windows XP Professional computers. What should you do?

A. Write a logon script that moves the AppLib.dll into the %systemroot% System32 folder. Ensure that Windows File Protection is enabled on all 10,000 Windows XP Professional computers. Apply the logon script to all domain user accounts.

B. Use the Security Configuration and Analysis console to create a new security template that modifies the file permissions on AppLib.dll. Use Active Directory Group Policy to import and apply the template to all 10,000 Windows XP Professional computers.

C. Repackage the custom application in a Windows installer package. Ask a domain administrator to create a Group Policy object (GPO) that advertises the package to all domain user accounts.

D. Write a Microsoft VBScript file named Modify.vbs that modifies the file permissions on AppLib.dll. E-mail Modify.vbs to all company employees and instruct them to double-click the file in order to run it.

Вы системный администратор компании Contoso, Ltd. Сеть компании содержит 10 000 компьютеров Windows XP Professional, которые являются членами одного домена Active Directory. Жесткие диски компьютеров отформатированы в NTFS. Разработчики программного обеспечения компании выпускают новое приложение. Это приложение использует DLL-файл, названный AppLib.dll. Этот файл устанавливается в папку Program FilesContosoOpsApp. Специалисты службы технической поддержки компании сообщают, что у некоторых пользователей возникли проблемы при работе с новым приложением, потому что файл AppLib.dll удален с их компьютеров. Разработчики программного обеспечения рекомендуют изменить разрешения NTFS для файла AppLib.dll, чтобы пользователи имели только возможность его чтения. Вы должны применить к файлу AppLib.dll на всех 10 000 компьютерах Windows XP Professional необходимые разрешения. Что вы должны сделать?

A. Написать сценарий входа, который перемещает файл AppLib.dll в папку %systemroot%System32. Включить защиту файлов Windows на всех 10 000 компьютерах. Применить сценарий входа ко всем учетным записям пользователей.

B. Использовать консоль Анализ и настройка безопасности, чтобы создать новый шаблон безопасности, который изменяет разрешения файла AppLib.dll. Использовать групповую политику Active Directory для импорта и применения этого шаблона ко всем 10 000 компьютерам.

C. Создать установочный пакет Windows Installer, который будет устанавливать созданное приложение. Попросить администратора домена создать объект групповой политики, который будет применять установочный пакет для всех учетных записей пользователя домена.

D. Создать сценарий VBScript, названный Modify.vbs, который будет изменять разрешения файла AppLib.dll. Разослать файл Modify.vbs по электронной почте всем служащим компании и проинструктировать их, чтобы они запустили этот файл на своих компьютерах.

Правильный ответ: В.

Выполнить требуемую задачу можно разными способами, но нужно выбирать тот, который позволит решить проблему с минимальными усилиями. Можно было бы, например, вручную установить разрешения для файла на каждом компьютере. Но ведь компьютеров десять тысяч! Точно так же можно отправить пользователям десять тысяч писем, а потом проверять, запустил ли каждый из пользователей VBS-файл, чтобы изменить разрешения. Но это будет, мягко говоря, очень нерациональным решением. Ответ D не подходит.

Также можно создать новый установочный пакет, чтобы приложение установилось с нужными разрешениями. Но ведь требуется только изменить разрешения для одного файла, а не переустанавливать приложение целиком. Ответ С не является подходящим решением.

Зачем перемещать файл AppLib.dll в системную папку, если требуется только изменить разрешения? Ответ А неправильный.

Самым простым решением в данном случае будет создание нового шаблона безопасности, который будет изменять разрешения для файла AppLib.dll, и применить этот шаблон ко всем компьютерам с помощью групповой политики. Лучший вариант решения – ответ В.

You are the desktop administrator for your company. Your company's network consists of 100 Windows XP Professional computers which are members of a single Active Directory domain. You want to use Windows Installer service to deploy software applications on the Windows XP Professional client computers. How should you configure Group Policy so that users couldn't delete the applications?

A. Write a logon script that installs the applications. Apply the logon script to all domain user accounts.

B. Use the Security Configuration and Analysis console to create a new security template that modifies the file permissions on the Program Files folder to Deny-Delete permissions. Use Active Directory Group Policy to import and apply the template to all Windows XP Professional computers. Instruct users to install required applications.

C. Publish applications to all users.

D. Assign applications to all users.

Вы системный администратор компании. Сеть компании включает 100 компьютеров с установленной на них Windows XP Professional. Все компьютеры состоят в одном домене Active Directory. Бы хотите использовать Установщик Windows, чтобы установить программное обеспечение на все клиентские компьютеры. Как вы должны настроить групповую политику, чтобы пользователи не смогли удалить установленные приложения?

A. Написать сценарий входа, который будет устанавливать приложения. Применить этот сценарий ко всем пользователям домена.

B. Используя оснастку Анализ и настройка безопасности, создать новый шаблон безопасности, который будет изменять разрешения для папки Program Files таким образом, чтобы запретить удаление объектов из этой папки. С помощью групповой политики применить созданный шаблон безопасности ко всем клиентским компьютерам. Проинструктировать пользователей, чтобы они установили требуемые приложения.

C. Опубликовать приложения для пользователей.

D. Назначить приложения пользователям.

Правильный ответ: D.

Для того чтобы пользователи не могли "избавиться" от приложения, которое требуется им для работы, следует назначить (assign) необходимое приложение этим пользователям. Правильный ответ D. Если приложение будет опубликовано, его значок не появится на рабочем столе или в главном меню пользователя, и пользователь может просто не знать о существовании этого приложения. Кроме того, опубликованное приложение можно удалить. Ответ С неверен. Решение, предлагаемое вариантом В, требует много лишней работы, не предоставляет возможности устанавливать приложения без участия пользователей и, кроме того, выполняет не совсем то, что нужно. Ответ В неправильный. Действия, предлагаемые вариантом А, приведут к тому, что приложение будет устанавливаться каждый раз, когда пользователь входит в систему. Такое решение совсем нерационально: зачем каждый раз устанавливать приложение, которое, скорее всего, уже установлено? Ответ А неправильный.

Глава 8
Управление хранением данных

Управление хранением данных является важным аспектом администрирования системы. На начальном этапе развертывания Windows ХР Professional, как и любой другой операционной системы, необходимо выяснить, какой объем дискового пространства достаточен для удовлетворения нужд системы и пользователей, какое количество физических дисков будет использовано и как будут организованы разделы и тома на имеющихся физических дисках.

Для обеспечения поддержки системы администратор должен владеть инструментами обслуживания дисков, такими как программы дефрагментации и проверки дисков на наличие ошибок, а также уметь распознавать возникшие неполадки и устранять их причины и последствия.

В этой главе будут рассмотрены принципы управления дисками с помощью оснастки Управление дисками, использование утилит для работы с дисками, а также такие возможности файловой системы NTFS, как дисковые квоты, сжатие файлов и шифрование данных с помощью EFS (Encrypting File System, Шифрованная файловая система).

8.1. Управление дисками

Основным инструментом для управления дисками в Windows ХР Professional является оснастка Управление дисками (рис. 8.1). Эта служебная программа позволяет без перезагрузки компьютера и прерывания сеансов пользователей выполнять большинство задач по работе с дисками, используя удобную графическую оболочку. Пользователи, перешедшие на Windows ХР Professional с Windows 9х/МЕ, привыкшие работать с дисками при помощи утилит командной строки Fdisk и Format, смогут по достоинству оценить новый для них инструмент. Но при всех достоинствах оснастки Управление дисками, не стоит забывать про старые утилиты командной строки – в некоторых случаях без них не обойтись.

Рис. 8.1. Оснастка Управление дисками

С помощью оснастки Управление дисками можно выполнять следующие задачи по работе с дисками:

□ создавать и удалять разделы, логические диски и тома;

□ форматировать томов;

□ изменять буквы дисков, съемных устройств и приводов CD-ROM;

□ подключать диски как папки на томах NTFS;

□ назначать активный раздел;

□ просматривать свойства дисков, такие как состояние, емкость, свободное место, используемая файловая система;

□ вызывать сервисные программы дли дефрагментации диска, проверки диска на ошибки, архивации данных;

□ преобразовывать базовые диски в динамические и наоборот;

□ создавать составные и чередующиеся тома;

□ управлять дисками, подключенными к удаленному компьютеру. Для этого пользователь должен входить в группу Администраторы как локального, так и удаленного компьютеров. Кроме того, учетная запись пользователя и оба компьютера должны находиться в одном домене или в доверенном домене.

Для того чтобы запустить оснастку Управление дисками, в Панели управления откройте Администрирование, запустите консоль Управление компьютером и в группе Запоминающие устройства выберите нужный компонент. Оснастку управления дисками можно также запустить отдельно от консоли Управление компьютером, выполнив команду diskmgmt∙msc.

В терминологии Microsoft имеется два типа разделов диска, в зависимости от их роли относительно операционной системы. Используемые для типов разделов термины могут легко ввести пользователя в заблуждение. Вот их определения:

□ загрузочный раздел – раздел, содержащий файлы операционной системы, расположенные в папках %SystemRoot% и %SystemRoot%System32 (системные файлы);

□ системный раздел – раздел, содержащий файлы, необходимые для загрузки операционной системы, такие как Ntldr, Boot.ini, Ntdetect.com (загрузочные файлы).

Таким образом, системные файлы находятся в загрузочном разделе, а загрузочные файлы – в системном. Раздел может быть одновременно и системным, и загрузочным, либо эти функции могут выполняться двумя разными разделами. Если используются динамические диски, тогда говорят о загрузочном томе и системном томе соответственно.

Кроме того, используется термин активный раздел – это раздел, с которого выполняется загрузка компьютера с процессором х86. Активный раздел должен являться основным разделом на базовом диске. Если используется динамический диск, загрузка происходит с активного тома. Активный том должен являться простым томом, при этом не предусмотрено использование существующего динамического тома в качестве активного. Однако при конвертировании базового диска в динамический активный раздел становится активным томом.

Базовый диск (Basic Disk) – это физический диск, к которому может обращаться MS-DOS и все операционные системы семейства Windows. Базовый диск может содержать следующие структуры:

□ основной раздел (primary partition) – часть физического диска, которая рассматривается операционной системой как отдельное физическое устройство. На одном диске с основной загрузочной записью (MBR, Master Boot Record) можно создать до четырех основных разделов либо три основных раздела и один дополнительный раздел с несколькими логическими дисками. Базовые диски с таблицей разделов GPT (GUID Partition Table) могут содержать до 128 основных разделов. Основные разделы также называют базовыми томами;

Примечание

Таблица разделов GPT – новый формат разбиения дисков на разделы, использующийся на компьютерах, имеющих 64-разрядный процессор, работающих под управлением Windows ХР 64-bit Edition. GPT поддерживает тома размером до 18 экзабайт и до 128 разделов на диске, допускает наличие основной и резервной таблиц разделов, а также поддерживает уникальные коды дисков и разделов (GUID, Globally Unique Identifier).

□ дополнительный раздел (extended partition) – используется для создания на одном базовом диске более четырех томов. В отличие от основных разделов, дополнительный раздел не требуется форматировать для файловой системы и назначать ему букву диска. Вместо этого на дополнительном разделе создается один или несколько логических дисков. Дополнительный раздел может быть только один;

□ логический диск – том, созданный на дополнительном разделе базового диска с основной загрузочной записью. Логические диски похожи на основные разделы за тем исключением, что на одном диске может быть не более четырех основных разделов, в то время как число логических дисков ограничено количеством возможных имен диска, которое равно количеству букв английского алфавита, за вычетом букв А и В, присваиваемых флоппи-дисководам.

Если на компьютере с Windows ХР Professional имеется двойная загрузка с одной из операционных систем – MS-DOS, Windows 9х/МЕ, Windows NT, Windows ХР Home Edition, следует использовать базовые диски, так как в этих операционных системах невозможна работа с динамическими дисками.

Динамический диск (dynamic disk) – это физический диск, предоставляющий возможности, не поддерживаемые базовыми дисками, доступные для операционных систем, начиная с Windows 2000. Том, расположенный на динамическом диске, называют динамическим томом (dynamic volume). Один физический жесткий диск может содержать несколько томов, а один динамический том может распространяться на несколько физических дисков. Существуют пять типов динамических томов:

□ простой том (simple volume) – включает дисковое пространство единственного динамического диска. Простой том может включать в себя один раздел или несколько связанных вместе разделов на одном диске. Простой том можно расширить в пределах одного диска или на дополнительные диски. При расширении простого тома на несколько дисков он становится составным. Простые тома не являются отказоустойчивыми, но на их основе можно создавать зеркальные тома;

□ составной том (spanned volume) – включает дисковое пространство нескольких физических дисков. Размер составного тома можно увеличить, расширив том на дополнительные динамические диски. Составные тома не являются отказоустойчивыми и для них не предусмотрено создание зеркальных томов;

□ чередующийся том (striped volume) – хранит данные в виде полос на нескольких физических дисках. Данные в таком томе равномерно размещаются на дисках чередующимися полосами. Чередующиеся тома обладают самым высоким быстродействием среди томов всех типов, доступных в Windows ХР Professional, однако они не являются отказоустойчивыми. Если хотя бы один диск в чередующемся томе станет неисправным, данные всего тома будут потеряны. Для таких томов не предусмотрено расширение или создание зеркальных томов;

□ зеркальный том (mirrored volume) – отказоустойчивый (fault tolerant) том, размещающий две копии данных на двух физических дисках. Зеркальный том обеспечивает избыточность данных путем использования двух идентичных томов (так называемых зеркал) для дублирования содержащихся на нем данных. Зеркала всегда располагаются на разных дисках. При сбое одного из физических дисков данные на этом диске становятся недоступными, но система продолжает работать, используя зеркало на оставшемся диске. Зеркальные тома нельзя создавать на дисках, используемых в Windows ХР Professional, эта возможность имеется только в операционных системах Windows серверного класса. Однако имеется возможность использовать Windows ХР Professional для удаленного создания таких томов на компьютерах, работающих под управлением серверных операционных систем;

□ том RAID-5 – отказоустойчивый том, содержащий обычные данные и данные четности, чередуемые полосами по трем и более физическим дискам. Данные четности – это расчетные значения, используемые для восстановления обычных данных при возникновении неисправности. Данные, находившиеся на неисправной области диска, могут быть восстановлены при помощи оставшихся данных и данных четности. Для этих томов не предусмотрено расширение или создание зеркальных томов. Тома RAID-5 нельзя создавать на дисках, используемых в Windows ХР Professional, эта возможность имеется только в операционных системах Windows серверного класса. Однако имеется возможность использовать Windows ХР Professional для удаленного создания таких томов на компьютерах, работающих под управлением серверных операционных систем.

В справочной системе Windows ХР Professional говорится, что независимо от используемой динамическим диском схемы разделов (MBR или ОРТ), допускается создание до 2000 динамических томов в каждой группе дисков, однако не рекомендуется создавать на одном диске более 32-х динамических томов.