Разное

Вход в качестве пакетного задания: 404 — Содержимое не найдено

01.08.2005

Содержание

Групповые настройки

Ответ

·  
Как разрешить пользователю выполнять только одну определенную программу?

Можно заставить пользователя запускать одну определенную программу, а при ее закрытии, выкидывать его из системы:

1. Создайте командный файл, подобный следующему:
<Программа, которую необходимо запустить>
Logout
2. Создайте обязательный профиль (mandatory profile) для пользователя.
3. Удалите все группы, кроме autostart, из этого профиля.
4. В эту группу поместите файл, созданный на 1 этапе.

Файл Logout.exe просто выкидывает пользователя. Также, для ограничения запуска пользовательских приложений, можно использовать Policy Editor. Используя его, можно выбрать приложения, которые разрешено запускать определенному пользователю (обязательно разрешите запуск Explorer’а!)

Кроме того, Microsoft создала Zero Administration Kit (ZAK) который тоже позволяет пользователям запускать только одно приложение. Или несколько, из созданного Вами списка.

 

 

·  
Где должны быть расположены сценарии логинов (Login Scripts)?

В директории WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS

 

 

·  Что должно быть в Login Script`ах?

Их содержание очень различается, но обычно, login script синхронизирует время рабочей станции с сервером (подразумевается, что время на сервере выставлено правильно), и, возможно, соединяет с пользовательским разделом (который выставляется, используя User Manager). Например, login script может быть таким:

@echo off
net time \\winfaqserver /set /yes
net use p: /home

 

 

·  
Какие есть утилиты для написания login script`ов?

В NT Resource Kit входит утилита KIX, которая помогает создавать различные сценарии входов в систему. Также можно использовать бесплатную утилиту KixTart.

Microsoft создала так называемый Windows Scripting Host, который применяется при написании любых сценариев, включая login scripts. WSH включен в NT5 (W2K) и может быть скачан с http://www.microsoft.com/management/wsh.htm.

 

 

·  
Как выполнять операции в зависимости от членства в группах пользователей?

В resource kit for NT, Вы можете найти программу IFMEMBER, которую можно использовать при применении login script`ов. Важно знать, что IFMEMBER проверяет членство в группе и возвращает ERRORLEVEL, поэтому необходимо применять связку IF… THENS..

Например, рассмотрим следующую ситуацию:
groupa groupb groupc
winfaq Y Y N

Если Вы введете команду

ifmember group1 group2

,то вернется errorlevel для group2. Поэтому используйте следующий формат:

ifmember groupa
if %errorlevel%==1 <command>

 

 

·  
Как ограничить дисковое пространство, доступное пользователям?

NT server не имеет встроенных средств ограничения дискового пространства, тем не менее, для этого можно использовать ПО третьих фирм:

* Quota Server из http://www.northern.se/
* Quota Manager из http://www.softshelf.com/winnt/qm/so02003.htm
* Disk Guard из http://www.spaceguard.com/
* QuotaAdvisor из http://www.wquinn.com/

 

 

·  
Какие переменные можно использовать при написании сценариев login’ов?

Ниже представлен список переменных, которые можно использовать при написании login script`ов и других командных файлов. Они используются только в NT client/servers.
%COMPUTERNAME% Имя компьютера
%HOMEDRIVE% Обозначение локального диска пользователя

%HOMEPATH% Полный путь к пользовательской домашней области (home area)
%HOMESHARE% Общий ресурс, содержащий пользовательскую домашнюю область (home area)
%LOGONSERVER% Имя компьютера, проверяющего правильность входа пользователя
%OS% Операционная система, к которой подключен текущий пользователь
%PROCESSOR% например, 486 (используется в login script`ах для отсечения пользователей с 386 и ниже процессорами)
%USERDOMAIN% Домен, содержащий Users Account
%USERNAME% Имя пользователя

 

 

·  Как добавить учетные записи пользователей из базы данных?

Для этого можно использовать утилиту ADDUSERS.EXE из resource kit, которая может получать данные из файла базы данных (например из таблицы Excel ) и добавлять их в группы пользователей.

 

 

·  Какая утилита показывает подключенных (вошедших) пользователей?

Resource kit содержит утилиту WHOAMI.EXE, которая показывает домен/рабочую группу и имя пользователя. Также можно нажать Ctrl+Alt+Del и все подключенные пользователи будут показаны.

Альтернативный метод состоит в простом отображении переменных %userdomain% и %username%. Например:

C:\> echo %userdomain%\%username%

 

 

·  
Как изменить переменные среды из командной строки?

Используйте утилиту SETX.EXE из resource kit. Она позволяет пользователю изменять параметры настройки переменных сред, например:
setx winfaqvariable 1
setx winfaqvariable -k HKEY_LOCAL_MACHINE\…\DefaultDomainName

 

 

·

  
Как скрыть от пользователей логические диски?

Это можно сделать, используя утилиту TWEAKUI, вкладка «My Computer»: снимите галочки со всех дисков, которые Вы хотите скрыть. Или отредактируйте реестр вручную: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NODRIVES (DWORD). Последние 26 бит определяют буквы дисков от A до Z (отсчет справа налево). Диск виден при установленном 0 и скрыт при значении 1.

Диск A представлен правой последней цифрой при двоичном представлении.

Например, значение 00000000000000000000010101(0x7h)

скрывает диски A, C, и E

Диски скрытые с помощью параметра NODRIVES недоступны из Проводника, окна My Computer и диалоговых окон File -> Open\Save 32bit Windows приложенй. На File Manager и командную строку эти установки не влияют.

 

 

·  Как запускать графическую оболочку до окончания выполнения logon’а?

Измените значение
HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon\RunLogonScriptSync
в 0.

При этом, запуск графической оболочки будет осуществляться во время прохождения Вами процедуры авторизации в системе, что позволит сократить время вхождения в систему. Если значение приведенного выше параметра равно 1, то графическая оболочка Windows начнет свою загрузку только после прохождения Вами процедуры авторизации.

 

 

·  Как создать профиль перемещающегося пользователя?

Если Вы работаете только на локальном компьютере, то все Ваши индивидуальные настройки хранятся в %systemroot%/profiles/<username>. Например,d:\winnt\profiles\winfaq

Если пользователь работает на разных машинах сети (таких и называют перемещающимися пользователями), то необходимо, чтобы его настройки хранились на сетевом диске, доступном с тех машин, на которых он работает. При входе в систему, настройки копируются на локальную машину. При завершении работы, настройки сохраняются на сетевом диске и на локальной машине.

Чтобы сконфигурировать профиль перемещающегося пользователя, выполните следующее:

1. Откройте User Manager for Domains (Start — Programs — Administrative Tools — User Manager for Domains)
2. Даблкликните на пользователе
3. Нажмите кнопку Profiles
4. В User Profile Path введите сетевое расположение профиля пользователя. Формат:
\\<servername>\<share name>\<user name>

Например, \\winfaq\profiles\andrey
5. OK

Сделайте конфигурацию обязательной (т.е. пользователь не сможет ее изменить), переименовав ntuser.dat (располагается в папке профиля) в ntuser.man.

Как было отмечено выше, профили кэшируются на локальных машинах. Чтобы запретить это, выполните следующее:

1. Откройте редактор реестра (regedit.exe)
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3. Создайте параметр DeleteRoamingCache типа DWORD (Edit — New — Dword)
4. Установите его значение в 1

 

 

·  Как создать список всех пользовательских записей?

Есть несколько способов создать всех пользовательских записей домена (или локальной машины):

1. Наилучшим способом является использование утилиты ADDUSERS.EXE из Resource Kit, которая обычно используется только для добавления пользователей в систему:
addusers /d <file name>
Например: addusers /d winfaqlis.csf
Примечание: при ошибочном вводе ключа /e вместо /d, будут удалены все учетные записи пользователей и групп! Со всеми вытекающими последствиями.
2. С помощью утилиты USRSTAT.EXE, входящей в состав NT Server Resource Kit. Эта утилита выдает информацию о всех пользователях данного домена, включая время и дату последнего логина:
usrstat <domain>
Например: usrstat winfaq
3. C помощью утилиты SHOWMBRS.EXE, входящей в состав Resource Kit. Эта утилита показывает всех пользователей данной группы:
showmbrs «<domain>\domain users»
Например: showmbrs «winfaq\domain users»
Для вывода результатов в файл, нужно добавить «> <имя файла>»
Например: showmbrs «kukaracha\domain users» > allusers.list
4. Если у Вас нет resource kit`a, для просмотра всех пользователей домена можно использовать команду NET
net user /domain
При этом будут показан список всех пользователей текущего домена. Для вывода результата в файл, добавьте ключ «> <имя файла>». Вы можете получить больше информации о каждом пользователе, введя следующее:
net user <username> /domain
Например: net user andrey /domain.

 

 

·  Как добавлять пользователей из командной строки?

Есть простой ответ на этот вопрос — использовать net user <username> <password> /add (/domain). Но часто дело осложняется тем, что нового пользователя нужно включить в определенную группу и задавать другие настройки. Все это можно автоматизировать при помощи командного файла:

addnew.bat

net user %1 password /add /homedir:\\<server>\users\%1 /scriptpath:login.bat /domain
net localgroup «<local group>» %1 /add
повторить для локальных групп
net group «<groups>» %1 /add /domain
повторить для глобальных групп
xcopy \\<server>\users\template \\<server>\users\%1\ /e
cacls \\<server>\users\%1 /e /r Everyone
удалить разрешения для Everyone’а с пользовательской директории
cacls \\<server>\users\%1 /g %1:F /e
cacls \\<server>\users\%1 /g Administrators:F /e

 

 

·  
Как переместить пользователя с одной машины на другую?

Используйте утилиту addusers.exe из resource kit:

1. Войдите как Administrator на машину, с которой Вы хотите перенести записи
2. Выполните команду
addusers /d <имя файла>
Этим Вы создадите файл с детальной информацией о всех группах и учетных записях пользователей.
3. Вам не понадобится информация о глобальных и локальных группах. Поэтому, отредактируйте полученный файл, удалив секции [Global] и [Local].
4. Скопируйте файл на машину, на которую Вы хотите перенести запись (или на сетевой диск).
5. Зайдите как Administrator на машину, куда запись должна быть перенесена. Если это запись доменная, то на PDC.
6. Выполните команду
addusers /c <имя файла>
При этом, файл будет прочитан, пользователь добавлен.
7. Удалите запись на машине, с которой она перенесена:
addusers /e <имя файла>

 

 

·  
Как предоставлять пользовательские права из командной строки?

Обычно пользовательские права назначаются, используя User Manager. Если Вы хотите делать это из командной строки (для написания командных файлов и т.д.), используйте утилиту NTRIGHTS.EXE из Windows NT Resource Kit Supplement Two.

Эта программа использует для предоставления пользовательских прав серию кодовых слов:
Кодовое слово Пользовательские права
SeNetworkLogonRight Доступ к компьютеру из сети.
SeTcbPrivilege Работа в режиме операционной системы.
SeMachineAccountPrivilege Добавление станций к домену.
SeBackupPrivilege Архивирование файлов и директорий.
SeChangeNotifyPrivilege Обход перекрестной проверки.
SeSystemtimePrivilege Изменение системного времени.
SeCreatePagefilePrivilege Создание свопа.
SeCreateTokenPrivilege Создание маркерного объекта.
SeCreatePermanentPrivilege Создание постоянных объектов совместного пользования.
SeDebugPrivilege Отладка программ.
SeRemoteShutdownPrivilege Принудительное удаленное завершение.
SeAuditPrivilege Создание журналов безопасности.
SeIncreaseQuotaPrivilege Увеличение квот.
SeIncreaseBasePriorityPrivilege Увеличение приоритета диспетчирования.
SeLoadDriverPrivilege Загрузка и выгрузка драйверов устройств.
SeLockMemoryPrivilege Закрепление страниц в памяти.
SeBatchLogonRight Вход в качестве пакетного задания.
SeServiceLogonRight Вход в качестве службы (сервиса).
SeInteractiveLogonRight Локальный вход в систему.
SeSecurityPrivilege Управление аудитом и журналом безопасности.
SeSystemEnvironmentPrivilege Изменение параметров среды оборудования.
SeProfileSingleProcessPrivilege Профилирование одного процесса.
SeSystemProfilePrivilege Профилирование загруженности системы.
SeUnsolicitedInputPrivilege Чтение непредусмотренных вводов с терминального устройства.
SeAssignPrimaryTokenPrivilege Замена маркера уровня процесса.
SeRestorePrivilege Восстановление файлов и директорий.
SeShutdownPrivilege Завершение работы системы.
SeTakeOwnershipPrivilege Овладение файлами и директориями.

Для предоставления прав выполните следующее:

ntrights +r SeInteractiveLogonRight -u Winfaq\andrey

Этим Вы предоставляете пользователю andrey право локального входа в домене Winfaq. Для предоставления прав на удаленном компьютере используется ключ -m

ntrights +r SeInteractiveLogonRight -u Winfaq\andrey -m \\<имя компьютера>

 

 

·  Как сконфигурировать систему на использования всеми пользователями единой папки favourites?

Выполните следующее:

1. Выберите сервер, на котором будет находиться папка Favourites для всех пользователей и, собственно, создайте эту папку.
2. Установите необходимые уровни доступа для пользователей и убедитесь, что эта папка общедоступна для записи.
3. Заполните папку необходимыми линками и т.д.
4. На PDC отредактируйте записи в реестре для каждого пользователя (regedit.exe), изменив параметр Favorites в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders», на необходимый путь. Например, \\pdcmain\favourites, OK

 

 

·  
Как изменить локальные пароли Administrator`ов на удаленных машинах?

Как Вы возможно уже знаете, пароли Администраторов можно изменить из командной строки при помощи команды net user. Если Вы совместите ее с командой at, то сможете настроить машину на автоматическую смену паролей по расписанию. Формат запуска:

at \\<имя компьютера> <time> cmd /c net user Administrator всечтохотите
Пример: at \\winfaq 18:00 cmd /c net user Administrator mypass

Параметр /c после cmd говорит о том, что окно программы должно быть закрыто при завершении выполнения команды. Альтернативой команде at является команда soon:

soon \\<имя компьютера> cmd /c net user Administrator пароль

 

 

·  Как изменить мой собственный пароль?

Выполните следующее:

1. Ctrl-Alt-Delete
2. Нажмите на кнопке «Change Password»
3. Дважды введите старый и новый пароли и нажмите OK

Или измените свой пароль из командной строки, используя команду net user:

net user <username> <password> (/domain)

Для изменения из программы, воспользуйтесь вызовом NetUserChangePassword() .

 

 

·  Как узнать, какой SID, какому пользователю соответствует?

1. Откройте редактор реестра
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
3. Выберите SID и посмотрите ProfileImagePath. В конце строки найдете имя пользователя

Если знаете SID и хотите узнать имя пользователя, то можно использовать утилиту REG.EXE (из Resource Kit Supplement 2). Формат использования:

reg query «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ProfileImagePath»
Например: reg query «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath»

Будет показан ProfileImagePath и Вы сможете увидеть искомое имя.

 

 

·  
Как сконфигурировать NT Server 4.0 на запрещение входа пользователей при недоступности их обязательных профилей?

# Запустите User Manager for Domains на PDC
# Выберите пользователя и нажмите кнопку Profile
# Посмотрите путь к папке профиля пользователя «User Profile Path»
# Запустите Explorer, найдите папку пользователя и добавьте к концу ее имени .man. Например, andrey.man
# Вернитесь в User Manager и добавьте .man, т.е.
\\<server>\<share>\andrey.man
# Закройте User Manager for Domains

 

 

·  Как автоматически отключать клиентов через n минут простоя?

В ветвь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters добавьте новый параметр (Edit — New — Dword value) Disc. Установите его значение в максимальное время простоя в минутах. Некоторые сетевые программы постоянно контактируют с сервером (например, почтовые клиенты), поэтому данный способ не всегда работает. Более надежно использовать winexit.scr из resource kit.

 

 

·  Как отключить Alt-Tab?

1. Откройте редактор реестра (regedit.exe)
2. HKEY_CURRENT_USER\Control Panel\Desktop
3. Даблкликните на Coolswitch
4. Установите его значение в 0 и нажмите OK
5. Закройте редактор реестра
6. Перезагрузите компьютер

 

 

·  
Как конфигурировать окно Alt-Tab?

1. Откройте редактор реестра (regedit.exe)
2. HKEY_CURRENT_USER\Control Panel\Desktop
3. Даблкликните на CoolSwitchColumns для изменения числа показываемых колонок и на CoolSwitchRows, для изменения числа показываемых строк.
4. Закройте редактор реестра
5. Перезагрузите компьютер

 

 

·  Как запретить во время входа в систему запуск программ из папки Автозагрузка?

Удерживайте нажатой клавишу Shift во время входа в систему.

Для отключения этой возможности и принудительного запуска программ, помещенных в папку Автозагрузка, добавьте ключ IgnoreShiftOveride типа String в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и установите его значение в 1.

 

 

·  Как удалить пользователя?

Можно попробовать удалить из командной строки:

net user <имя пользователя> /delete [/domain]

Если это не получается, то попробуйте переименовать запись и затем удалить:

1. Запустите User Manager (for domains)
2. Выберите пользователя, которого хотите удалить
3. В меню User выберите Rename
4. Введите новое имя и нажмите OK
5. Теперь выберите новое имя пользователя и нажмите DEL. OK для подтверждения удаления.

 

 

·  Как запретить пользователю подключение \ отключение сетевых дисков?

Обычно для этого используют Policy Editor. При его отсутствии можно отредактировать реестр вручную:

1. Откройте редактор реестра (regedit.exe)
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3. В меню Edit выберите New — DWORD
4. Введите имя NoNetConnectDisconnect и нажмите Enter
5. Установите значение в 1
6. Для вступления изменений в силу выполните «log off » и «log on»

 

 

·  Как отключить группу пользователей?

Прямого механизма не существует, но можно сделать с помощью следующих двух команд:

Первая команда использует утилиту SHOWMBRS.EXE (из resource kit) c выводом в файл:

C:\>showmbrs <domain>\<group> > users.txt
например C:\>showmbrs winfaqtech\sales > users.txt

Вторая команда просматривает файл и выполняет net user <username> /active:no /domain

C:\>for /f «skip=2» %I in (users.txt) do net user %I /active:no /domain
Если Вы хотите создать сценарий, включите в dsblgrp.bat следующее:

dsblgrp <имя группы>
например dsblgrp winfaqtech\sales

REM
REM dsblgrp <имя группы>
REM by Andrey Harchenko, 20th July 1999
REM
showmbrs %1 > users.txt
for /f «skip=2» %%I in (users.txt) do net user %%I /active:no /domain

Удостоверьтесь, что перед I стоит именно %%, иначе работать не будет.

Ранние версии showmbrs.exe показывают только группы, в которых менее 7 пользователей. Для устранения этого ограничения, скачайте обновленную версию: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/nt40/i386/Shombrs.exe

 

 

·  Как из командной строки удалить пользователя из группы?

Если группа локальная, то выполните следующее:

C:\> net localgroup <имя группы> <пользователь> /delete
например C:\> net localgroup Administrators andrey /delete

Если группа входит в домен:

C:\> net group <имя группы> <пользователь> /delete /domain

 

 

·  Как удалить знак «:», разделяющий отображение часов и минут?

# Откройте редактор реестра (regedit.exe)
# HKEY_CURRENT_USER\Control Panel\International
# Даблкликните на sTimeFormat
# Удалите «:» из HH:mm
# OK
# Закройте редактор реестра и перезагрузитесь

 

 

·  Как переименовать пользователя из командной строки?

Используйте утилиту RENUSER.EXE. Формат использования:

C:\> renuser <старое имя пользователя> <новое имя пользователя> [<имя домена>]
например, C:\> renuser andreyold andreynew winfaqdomen

 

 

·  Почему профиль перемещающегося пользователя может не сохраняться на сервере?

Если пользователь является членом группы Domain Guests, то изменения его профилей не будут сохраняться. Поэтому, сделайте так, чтобы все такие пользователи не входили в группу Domain Guests.

 

 

·  Почему после скрытия совместных ресурсов, к ним не получается подключиться?

«Скрытие» совместных ресурсов производится добавлением в конец значка «$».
Например, \\server\share$.

Поэтому, если в предыдущих сценариях входа в систему использовалась команда

net use f: \\<сервер>\%имя пользователя%

то теперь для подключения нужно изменить ее, следующим образом:

net use f: \\<сервер>\%имя пользователя%$

 

 

·  Как заставить пользователей выполнять определенные операции перед завершением работы?

1.

Запретите завершение работы, внеся изменения в реестр.
2.

Создайте командный файл Выход из Windows.bat, содержащий перечень операций, которые пользователь должен выполнить перед завершением работы и команду выключения компьютера. Например, если нужно выполнить резервное копирование, содержание командного файла будет примерно таким (утилита SHUTDOWN.EXE поставляется в составе resource kit):

call «Мое лучшее средство для резервного копирования.bat»
shutdown /l /y /c /t:2
3.

Скопируйте его в C:\Winnt\Profiles\Forgetful and silly User\Главное меню\

В итоге: После перезагрузки внизу исчезнет пункт меню — Завершение работы, зато в верхней части появится пункт Выход из Windows.

 

 

·  Как автоматически выводить имя пользователя в подписи к My Computer?

Для облегчения администрирования системы удобно выводить имя пользователя и имя компьютера в подписи к My Computer.

Для того, чтобы реализовать это в Windows NT, проделайте следующее:

1. Запустите редактор реестра (Regedt32.exe)
2. Найдите ветку HKEY_CLASSES_ROOT\CLSID\{20D04FE0……
3. В правом окне редактора найдите ключ (оно содержит текущую подпись My Computer) и удалите его
4. В меню Edit выберите Add Value
5. Оставьте поле Value Name пустым и выберите тип REG_EXPAND_SZ
6. Нажмите OK
7. В поле String напишите одну из следующих строк (вы можете также составить свою собственную строку, используя любые переменные окружения, например %UserDomain%):

%UserName% %ComputerName%
или
Пользователь %UserName% на %ComputerName%

8. Закройте редактор реестра
9. Обновите экран или заново войдите в систему для вступления изменений в силу

В Windows 2000 нужно также добавить (или изменить существующий) ключ LocalizedString типа REG_EXPAND_SZ и установить его значение следующим образом:

@C:\WINNT\system32\shell32.dll,[email protected],Пользователь %UserName% на %ComputerName%

Для того, чтобы посмотреть список объявленных переменных окружения, используйте команду SET из командной строки.

 

⚡Домашний сервер на Windows 8 Pro | Интернет | Новости

Приветствую! Данную статью я уже публиковал на Хабрахабре, но так же хочу поделиться ей с вами, камрады.

Наверное, каждому хотелось бы иметь свой домашний сервер, который не только выполнял бы роль медиа-сервера, но и позволял использовать его как файловое хранилище, хранилище Backup’ов и принт-сервер.

В один из чудесных осенних дней меня тоже посетила эта мысль. Дело в том, в доме «развелось» слишком много устройств, которые захотелось объединить во что-то структурированное. Было принято решение поднять домашний сервер. В качестве ОС сначала хотелось использовать Windows Server 2012 Essentials, в состав которого вошли такие продукты, как Windows Home Server и Windows Small Business Server, но после нескольких часов работы с ней я понял, что использовать Windows Server 2012 в домашних условиях слишком «жирно». Тогда я решил использовать ОС попроще, а именно Windows 8 Pro, лицензия на которую лежала без дела.

Предупреждение. Я прекрасно понимаю, что поднять домашний сервер на Unix-подобных ОС, возможно, было бы и проще, но в данном материале я хочу рассказать, как поднять такой сервер на клиентской ОС Windows 8 Профессиональная обычному пользователю ПК (ну, или почти обычному), который никогда не имел опыта общения с Unix.

Вот моя история…

Все домашние устройства были объединены в такую сеть (надеюсь, нарисовал понятно):

За основу для домашнего сервера был взят старый ПК, с такими характеристиками:

• Процессор: AMD Athlon 64 X2 5200+, 2.7 ГГц

• Материнская плата: Asus M2N-E (Gigabit LAN)

• Блок питания: FSP ATX-350PNR, 350 Ватт

• Wi-Fi адаптер TP-Link TL-WN851ND;

• ОЗУ: 2 ГБ

• HDD: Western Digital WD2500JS, 250 ГБ

• Видеокарта: ATI Radeon X1600XT, 256 МБ

Были докуплены следующие комплектующие:

• HDD x2: Western Digital Caviar Green WD20EZRX, 2 ТБ

• Видеокарта: NVIDIA GeForce 210, с пассивным охлаждением

Видеокарта была заменена по причине неимоверной шумности уже имевшейся.

После установки в корпус и подключении к материнской плате новых комплектующих, была произведена инсталляция Windows 8 Pro на жесткий диск размером 250 ГБ. Хранить на этом жестком диске планировалось только ОС и некоторое ПО.

Инсталляция производилась в абсолютно штатном режиме. На этапе начальной настройки системы было указано имя компьютера HOMESERVER, создана учетная запись администратора (admin) со сложным паролем, а после учетная запись с правами обычного пользователя (user), на которую так же был установлен пароль.

Настройка будет производиться под учетной записью user, с вводом пароля администратора при изменении системных параметров. Так безопаснее.

В Windows 8 появилась замечательная функция Storage Spaces (в русской версии Дисковые пространства), которая, в какой-то степени, является программным аналогом RAID-массива.

Storage Spaces предлагает объединить физические накопители с интерфейсами USB, SATA, SAS, SCSI (причем в любых комбинациях) в пулы, а сами пулы в дисковые пространства, которые выглядят для пользователя обычными логическими дисками.

Также с помощью Storage Spaces можно обеспечить сохранность данных с помощью зеркалирования и функции контроля четности. Об этом я расскажу немного позже.

Чтобы создать пул и дисковое пространство, перейдите в Панель управления > Система и безопасность > Дисковые пространства и выберите пункт Создать новый пул и дисковое пространство.

Откроется окно, в котором нужно выбрать физические накопители для создания пула. Отображаются как форматированные, так и неформатированные накопители, а также с хранящимися данными и без. Системный диск выбрать нельзя.

Внимание! При добавлении в пул диска с данными, все они будут удалены.

В моем случае имеется два диска емкость 2 ТБ, их я и выделю. Далее нажимаем Создать пул.

Windows подготовит диски и объединит их в пул. Неформатированные накопители будут отформатированы, форматированные будут переформатированы заново.

После создания пула будет предложено создать дисковое пространство (или несколько), указать его имя и ассоциировать с ним букву диска.

В разделе устойчивость нужно выбрать тип устойчивости. Я выбрал Двухстороннее зеркало. С этим типом устойчивости Windows будет хранить копию данных на каждом из накопителей.

Для справки, Windows предлагает выбрать четыре типа устойчивости:

Простой. Хранимая информация распределяется по всем дискам в пуле последовательно. Общая емкость пространства в этом случае равна общему объему всех накопителей, включенных в него. Данный тип является аналогом RAID 0. Отказоустойчивости не обеспечивает – в случае выхода из строя одного из накопителей, вся информация теряется.

Двухстороннее зеркало. Запись осуществляется одновременно на каждый накопитель. Для данного типа устойчивости требуется минимум два диска. В случае выхода из строя одного з накопителей, информация не теряется. Общая емкость пространства равна половине от общего объема накопителей. Данный тип устойчивости является аналогом RAID 1.

Трехстороннее зеркало. Запись осуществляется одновременно на три накопителя. Данные сохраняются при отказе сразу двух дисков. Требуется минимум 5 дисков. Данная схема имеет максимальную надежность, но снижает скорость чтения и записи. Общая емкость пространства равна ¼ от общей емкости всех дисков. Прицеп работы напоминает RAID 1E, но я не уверен. Вашими соображениями по этому поводу прошу поделиться в комментариях.

Четность. Может задействоваться от 3 до 8 накопителей. На все накопители, кроме одного записываются данные, а на последний записывается информация о четности (блок контрольных сумм, вычисляемы по алгоритму XOR). В случае отказа одного из накопителей, недостающие данные могут быть вычислены. По надежности аналогично двухстороннему зеркалу, но количество избыточных данных равно 1/N (количество накопителей), а у двухстороннего зеркала всегда ½. То есть количество пространства, доступного для записи полезных данных в случае использования четности, больше. Но так как требуется рассчитывать контрольные суммы, скорость записи существенно меньше.

Одним из параметров пространства, который можно установить, является его размер. В моем случае при использовании двухстороннего зеркала, Windows предлагает установить его размер, равные половине общей емкости используемых дисков. Вроде бы логично, но в пространствах можно использовать диски разного объема, но «по умолчанию» система снова предложит половину от общего объема, хотя используемы накопители были бы не равны. Более того, можно указать любой размер, на функционировании пространства это не скажется… До поры до времени. Как только будет заполнен меньший накопитель, пространство демонтируется и восстановить его работоспособность можно будет только добавлением в соответствующий пул новых накопителей.

Как я уже говорил, после настройки, использование дисковых пространств абсолютно прозрачно для пользователя.

Следующим этапом будет перемещение расположения стандартных библиотек Музыка, Изображения, Документы и Видео на созданное Дисковое пространство. Мы же не хотим потерять много гигабайт Lossless-музыки, ценных семейных видео и фотографий в случае сбоя системного диска?

Для начала создадим папки в корне дискового пространства. Мной были созданы папки Музыка, Видео, Изображения и Документы. Что будет храниться в каждой из них, думаю очевидно. Далее щелкните правой кнопкой мыши на одной из библиотек Windows (в правой панели проводника) и выберите пункт Свойства.

В открывшемся окне щелкните кнопку Добавить и выберите созданную папку в корне дискового пространства.

Теперь осталось только удалить стандартные расположения выбранной библиотеки. Тоже самое нужно выполнить с остальными библиотеками.

Потоковая передача мультимедиа позволяет проигрывать мультимедиа-файлы на устройствах, имеющих поддержку DLNA. Среди устройств, которые имеют поддержку данной технологии, есть телевизоры, различные стационарные DVD и Blu-Ray проигрыватели, смартфоны, игровые консоли, компьютеры и даже холодильники!

Для этого запустите Проигрыватель Windows Media и выполните начальную настройку. Я выбрал рекомендуемые параметры. Далее нужно перейти в библиотеку проигрывателя и щелкнуть по выпадающему списку Поток. В списке нужно выбрать пункт Включить потоковую передачу мультимедиа.

В открывшемся окне нужно щелкнуть кнопку Включить потоковую передачу мультимедиа.

Следующим открывшемся окном будет окно параметров потоковой передачи мультимедиа. Здесь нужно указать имя библиотеки мультимедиа, выбрать параметры показа устройствам файлов с определенными оценками, а также выбрать сами устройства, которые будут иметь доступ к мультимедиа библиотеки.

По заполнении параметров нужно щелкнуть ОК.

Возможно вы спросите, для чего это нужно. Все дело в том, что именно библиотека Windows Media используется для потоковой передачи мультимедиа на другие устройства. Как же будет обновляться эта библиотека при добавлении новых файлов, если Windows Media не запущен?

Этот вопрос мы решим с помощью Планировщика заданий. Кстати, очень полезный инструмент с широким спектром параметров запуска и выполнения заданий. Сама Windows тоже постоянно использует Планировщик для выполнения определенных задач, например, для запуска автоматического обслуживания компьютера в период бездействия пользователя.

Приступим. Перейдите в Панель управления > Система и безопасность > Администрирование и запустите Планировщик заданий от имени администратора.

В правой части окна щелкните Создать задачу. Откроется окно создания задачи. Введите имя для задачи, советую использовать такое наименование, которое позволяет определить, что делает данная задача без открытия ее подробностей. Я указал Windows Media Autostart. Описание задачи не является обязательным, но неплохо бы и его заполнить.

Нельзя забыть изменить учетную запись, под которой будет выполняться задача, а следовательно и запускаться Проигрыватель Windows Media.

Для этого в группе Параметры безопасности щелкните кнопку Изменить. Откроется окно, в котором нужно написать имя пользователя. Напишите user и нажмите ОК.

Также в этой группе установите перключатель в положение Выполнять для всех пользователей, что нужно для того, чтобы задача запускалась, даже если ни один пользователь не вошел в систему.

Теперь перейдите во вкладку Триггеры. Щелкните кнопку Создать и, в открывшемся окне, выберите из выпадающего списка Начать задачу выберите пункт При запуске.

Щелкните ОК и перейдите во вкладку Действия. Нажмите кнопку Создать.

Отобразится окно Создание действия. Убедитесь, что в пункте Действие выбрано Запуск программы. В поле ввода Программа или сценарий нужно ввести путь до программы. Щелкните кнопку Обзор и выберите файл wmplayer.exe, который находится в C:Program Files (x86)Windows Media Player в 64-битной версии Windows или C:Program FilesWindows Media Player в 32-битной. Остальные поля заполнять не требуется.

Щелкните кнопку ОК и перейдите во вкладку Условия. Снимите галочку с пункта Запускать только при питании от электросети, хотя это не обязательно. На ваш вкус.

Перейдите в последнюю вкладку Параметры. Снимите галочку с пункта Останавливать задачу, выполняемую дольше: 3 дн.

Нажмите кнопку ОК и введите пароль от учетной записи user.

После ввода пароля и нажатия кнопки ОК, планировщик заданий сообщит, что учетная запись должна иметь права «Вход в качестве пакетного задания».

Нажмите ОК и закройте Планировщик заданий.

Откройте Локальную политику безопасности (находится также в администрировании) от имени администратора.

В открывшемся окне дважды щелкните Локальные политики, затем Назначение прав пользователя, и в завершение Вход в качестве пакетного задания.

Щелкните кнопку Добавить пользователя или группу, также, как и в Планировщике заданий, введите имя пользователя и нажмите ОК. Проверьте, появился ли новый пункт с именем пользователя в списке, и нажмите ОК. Теперь Локальные политики безопасности можно закрыть.

Следующим этапом будет открытие общего доступа к папкам на дисковом пространстве. Это нужно для того, чтобы пользователи сети имели возможность читать и записывать файлы в определенные папки. Открывать общий доступ будем к папкам Музыка, Видео, Изображения, Документы, Резервные копии и Другое (последние две нужно создать).

Щелкните правой кнопкой мыши на папки и выберите пункт Свойства. Перейдите во вкладку Доступ.

Нажмите кнопку Общий доступ. Откроется следующее окно:

Введите имя пользователя (user) и нажмите кнопку Добавить. Затем в списке ниже, у user установите Уровень разрешений в Чтение и запись. Осталось только щелкнуть Общий доступ в нижней части окна, ввести пароль администратора и нажать Готово.

Повторите эти действия для остальных папок.

Здесь все, весьма, просто. На клиентской машине нужно открыть папку с сетевыми компьютерами (Сеть в Windows Vista/7/8 или Сетевое окружение в Windows XP). Дважды щелкните по имени созданного сервера. Откроется окно, в котором нужно ввести имя пользователя и пароль.

Нужно ввести учетные данные, хранящиеся на сервере. Верно, это user и его пароль. Поставьте галочку Запомнить учетные данные и нажмите ОК.

Теперь на этом компьютере можно читать и записывать файлы, находящиеся в папках на сервере.

Наверное, на каждом компьютере в доме есть важные файлы. В Windows имеется великолепная функция Архивация данных, которая создает резервную копию самой ОС и папок с файлами, которые были указаны при настройке. Данная функция позволяет хранить копии на другом жестком диске или в сетевом расположении. Предлагаю настроить последнее, так как надежность хранения данных на сервере несколько выше, потому что на нем настроено зеркалирование данных на второй жесткий диск.

Начнем. Откройте Панель управления, выберите просмотр всех элементов панели управления и дважды щелкните по Восстановление файлов Windows 7 (в Windows 8 точно такое же название). Будет открыто окно Архивации или восстановления файлов.

Будет открыто окно для выбора расположения архива.

Так как мы хотим сохранить архивную копию на сервере, то нужно нажать кнопку Сохранить в сети.

Храниться архивы будут в созданной выше папке Резервные копии, общий доступ с запись уже открыт. С помощью кнопки Обзор указываем путь до папки или пишем вручную. В поле Пользователь нужно записать user, а в Пароль соответствующий учетной записи пароль.

Нажмите ОК. В следующем окне нужно выбрать, предоставить Windows выбрать файлы для архивирования или нет. Я решил предоставить выбор себе, потому что мне не требуется образ системы.

Нажмите Далее.

Так как мне образ системы не требуется, галочку я снял. Так же в этом окне можно выбрать дополнительные папки для архивирования. Щелкните Далее.

В следующем окне проверьте указанные параметры архивации и по желанию измените расписание. Для себя я указал еженедельную архивацию в воскресенье в 3:00.

Еще раз проверьте все данный и нажмите Сохранить параметры и запустить архивацию.

Возможно у вас в доме имеется всего один принтер, при этом пользоваться его услугами хотят сразу несколько человек. Решить эту проблему очень просто! Достаточно подключить принтер к домашнему серверу и открыть к нему общий доступ. После этого все компьютеры в доме смогут печатать на данном принтере.

Первое, что нужно сделать – это подключить принтер к серверу и установить драйвер. Я использовал МФУ Samsung SCX-4100. После установки драйвера откройте Панель управления, выберите отображение всех элементов, затем перейдете в раздел Устройства и принтеры.

Найдите установленный вами принтер и откройте его контекстное меню. Выберите Свойства принтера.

Перейдите во вкладку Доступ.

Установите галочку на пункте Общий доступ к данному принтеру. Далее введите имя для принтера, которое будет видно другим компьютерам в сети.

Если в вашей сети имеются компьютеры как с 32-разрядной, так и с 64-разрядной версией Windows, то рекомендую нажать в этом окне кнопку Дополнительные драйверы.

В следующем окне нужно выбрать, драйвер для какой разрядности до установить. Так как у меня уже установлен драйвер для 64-разрядной версии Windows, я ставлю галочку у x86 (32-разрядная). В вашем случае все может быть наоборот, но это не суть важно.

После установки галочки нажмите ОК. Откроется окно, в котором нужно указать путь до драйвера. Если драйверы для вашего принтера поставляются в виде одного установочного файла (*.exe), то попытайтесь извлечь из него файлы с помощью архиватора, или, возможно, установщик самостоятельно их извлекает в папку Temp, к примеру.

Укажите путь к драйверу нужной разрядности и нажмите ОК. Дождитесь установки драйвера и закройте Свойства принтера, нажав на кнопку ОК.

Теперь попробуем подключить принтер на сетевом компьютере. Откройте папку, в которой указаны все устройства в вашей сети, затем откройте свой сервер. Помимо открытых сетевых папок, появился принтер с именем, который был указан выше. Откройте его контекстное меню и выберите пункт Подключить.

Windows спросит, доверяете ли вы принтеру.

Нажмите кнопку Установить драйвер. После этого Windows автоматически загрузит необходимый драйвер с сервера и установит его.

Готово! Теперь можно печатать на принтере с другого компьютера, при этом принтер не подключен к нему напрямую.

Так как это сервер, то ему не требуется монитор, клавиатура и мышь (иначе, получился бы обычный ПК). Но как же выполнять дополнительную настройку без всего это? Для этой цели будет использоваться Подключение к удаленному рабочему столу.

Приступим к настройке. Откройте Панель управления > Система и безопасность > Система, затем в левой части окна выберите Настройка удаленного доступа.

Установите переключатель в положение Разрешить удаленные подключения к этому компьютеру, а также проверьте, что установлена галочка под переключателем.

Далее требуется разрешить пользователю user подключаться через удаленный рабочий стол. Нажмите кнопку Выбрать пользователей.

В открывшемся окне нажмите Добавить. В новом окне введите user и нажмите ОК.

Проверьте, что в списке появилось имя user. Нажмите ОК. Также закройте окно Свойства системы кнопкой ОК.

После установки этих параметров вы можете подключиться к серверу с любого домашнего ПК с помощью программы Подключение к удаленному рабочему столу или с помощью другого RDP-клиента.

При подключении нужно будет ввести имя сервера, имя пользователя (user) и его пароль. Затем вы увидите рабочий стол сервера и сможете настраивать его удаленно.

Это один из важнейших пунктов. Так как на сервере используется Windows, то это значит, что сервер имеет опасность заражения вирусами, коих развелось неимоверно много. Как же обезопасить сервер?

Включите автоматическое обновления Windows!

Microsoft на постоянной основе выпускает обновления безопасности для Windows, которые закрывают бреши в системе безопасности (и иногда открывают новые). Если установлены все обновления, безопасность компьютера находится на более высоком уровне.

Откройте Центр обновления Windows, затем в левой части окна выберите Настройка параметров. Убедитесь, что в выпадающем списке выбран пункт Устанавливать обновления автоматически (рекомендуется). Выберите этот пункт, если не выбран, и нажмите ОК.

Антивирусная защита

Для более полной защиты компьютера (сервера, в нашем случае), нужно иметь антивирус.

Windows 8 имеет встроенную комплексную систему защиты Windows Defender, в состав которого вошел прекрасный продукт Microsoft Security Essentials. Windows Defender работает в Windows 8 сразу после установки системы и не требует ручной активации и запуска.

Если вы захотите установить антивирус другой компании, то встроенный в Windows 8 автоматически отключится.

Windows Defender автоматически обновляет свои вирусные базы сразу после того, как они становятся доступны (обычно несколько раз в день). Запускать обновление вручную не требуется.

Учетная запись с обычным правами

Сразу после установки была создана учетная запись администратора и обычного пользователя. Для работы с сервером клиенты используют последний вариант. Это не позволит изменить критические параметры сервера и получить доступ к системным файлам без знания учетных данных администратора.

Статья получилась довольно объемной, подробной, и, надеюсь, интересной. Я постарался поделиться с вами своими знаниями, рассказал, как поднять домашний сервер на Windows 8 Профессиональная и настроить компьютеры для работы с ним. Я буду очень рад, если помог кому-то этой статьей.

Прошу поделиться в комментариях своим мнением, дополнениями, замечаниями и другими полезными вещами.

С вами был Роман Гладких.

До встречи!

Защита административных учетных записей в сети Windows

22.09.2017

В этой статье я постарался собрать основные организационные и технические правила использования учетных записей администраторов в организации, направленные на повышение безопасности в домене Windows. Использование данных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком Petya, одной из техник распространения которого между компьютерами домена (помимо уязвимости в SMBv1) был удаленный доступ с помощью полученных из памяти учетных данных администраторов (с помощью утилиты аналогичной Mimikatz). Возможно некоторые из рекомендаций спорные или неприменимые для конкретных случаев, но к ним все-таки нужно стремиться.

Итак, в предыдущей статье мы рассмотрели основные методики защиты от извлечения паролей из памяти с помощью Mimikatz. Однако все эти технические меры могут быть бесполезными, если в домене Windows не применяются базовые правила обеспечения безопасности административных учетных записей.

Основное правило, которым следует пользоваться – максимальное ограничение административных привилегий, как для пользователей, так и администраторов. Нужно стремится к тому, что предоставлять пользователям и группам поддержки только те права, которые необходимы для выполнения повседневных задач.

Базовый список правил:


  • Учетные записи администраторов домена/организации должны использоваться только для управления доменом и контроллерами домена. Нельзя использовать эти учетные записи для доступа и управления рабочими станциями. Аналогичное требование должно предъявляться для учетных записей администраторов серверов

  • Для учетных записей администраторов домена желательно использовать двухфакторную аутентификацию

  • На своих рабочих станциях администраторы должны работать под учетными записями с правами обычного пользователя

  • Для защиты привилегированных учетных записей (администраторы домена, Exchange, серверов) нужно рассмотреть возможность использования группы защищенных пользователей (Protected Users)

  • Запрет использования обезличенных общих административных аккаунтов. Все аккаунты администраторов должны быть персонифицированы

  • Нельзя запускать сервисы под учетными записями администраторов (а тем более администратора домена), желательно использовать выделенные учетные записи или Managed Service Accounts .

  • Запрет работы пользователей под правами локального администратора

Естественно, нужно политиками обеспечить достаточную длину и сложность пароля как для пользователей, так и для администраторов и условия блокировки. Я говорю о политиках раздела Computer Configuration -> Windows Settings -> Security Settings -> Account Policies


  • Password Policy

  • Account Lockout Policy

Можно сделать более жёсткие требования к длине и хранимой истории паролей для администраторов с помощью Fine-Grained Password Policies.
Касательно встроенной учетной записи на компьютерах пользователей. Нельзя использовать одинаковые пароли локального администратора на всех ПК. Желательно вообще отключить (или хотя бы переименовать) локальную учетку administrator. Для регулярной смены пароля этой учетной записи на уникальный на каждом компьютере в сети можно использовать LAPS.

Доступ по сети с помощью локальных учетных записей и удаленных вход по RDP нужно запретить групповыми политиками . Данные политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.


  • Deny access to this computer from the network – Отказать в доступе к этому компьютеру из сети

  • Deny log on through Remote Desktop Services – Запретить вход в систему через службы удаленных рабочих столов

  • Deny log on as a batch job – Отказать во входе в качестве пакетного задания


  • Deny log on as a service — Отказать во входе в качестве службы

После окончания административного сеанса (установка ПО, настройка системы и т.д. ) компьютер пользователя лучше перезагрузить. А на RDS серверах принудительно завершать приостановленные сессии с помощью политик в разделе Computer Configuration->Policies->Administrative Templates->Windows Components->Remote Desktop Services->Remote Desktop Session Host->Session Time Limits.

В домене с Windows Server 2016 для временного предоставления административных прав можно использовать новую фичу Temporary Group Membership

В этой я описал первоочередные правила, которые помогут вам повысить уровень защиты административных аккаунтов в вашем домене Windows. Конечно, это статья не претендует на полноценных гайд по защите и ограничению прав учетных записей администратора, но вполне может стать вашей отправной точкой по построению безопасной инфраструктуры. Для дальнейшего изучения темы рекомендую начать с изучения документации Microsoft: Best Practices for Securing Active Directory.

Рекомендации:

Предположим, что у нас доменная сеть и есть админ Сергей. Тогда у нас будут такие учётки входящие в такие группы:
1. sergey-dadmin (входит в группу Domain Admins)
2. sergey-ladmin (входит в группы Domain Users, Local Admins*)
3. sergey (входит в группу Domain Users)

Группа «Local Admins» включена (через Group Policy) в группу локальных администраторов на рабочих станциях, но НЕ на серверах.

Эти учётки используются так:
1. Для администрирования AD и серверов
2. Для администрирования рабочих станций
3. Для работы на личном компе админа

Это конечно не единственно возможный вариант. Можно пойти дальше и, например, разграничить учётки для отдельного администрирования AD и серверов. Т.е. создать еще одну учётку которая будет иметь права локального администратора на серверах, но не будет иметь прав доменного админа. Можно автоматически назначать и менять с периодичностью пароль на каждую рабочую станцию и сервер отдельно (на этом сайте есть описание) и вообще не использовать учётку, имеющую администраторские права на нескольких машинах. В общем вариантов масса и зависит всё от степени паранойи и юзабилити выстроенной системы. Ведь не секрет, что удобство обратно пропорционально безопасности.
Приведённый пример использую лично я. Т.е. для себя я нашел в этом варианте приемлемый баланс безопасности/удобства.


Администраторы (Administrators) — находится в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы (Administrators) в корневом домене леса может изменять членство в группах Администраторы предприятия (Enterprise Admins), Администраторы Схемы (Schema Admins) и Администраторы домена (Domain Admins). Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.

Защита административных учетных записей в сети Windows

В этой статье я постарался собрать основные организационные и технические правила использования учетных записей администраторов в организации, направленные на повышение безопасности в домене Windows. Использование данных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком Petya, одной из техник распространения которого между компьютерами домена (помимо уязвимости в SMBv1) был удаленный доступ с помощью полученных из памяти учетных данных администраторов (с помощью утилиты аналогичной Mimikatz). Возможно некоторые из рекомендаций спорные или неприменимые для конкретных случаев, но к ним все-таки нужно стремиться.

Итак, в предыдущей статье мы рассмотрели основные методики защиты от извлечения паролей из памяти с помощью Mimikatz. Однако все эти технические меры могут быть бесполезными, если в домене Windows не применяются базовые правила обеспечения безопасности административных учетных записей.

Основное правило, которым следует пользоваться – максимальное ограничение административных привилегий, как для пользователей, так и администраторов. Нужно стремится к тому, что предоставлять пользователям и группам поддержки только те права, которые необходимы для выполнения повседневных задач.

Базовый список правил:

  • Учетные записи администраторов домена/организации должны использоваться только для управления доменом и контроллерами домена. Нельзя использовать эти учетные записи для доступа и управления рабочими станциями. Аналогичное требование должно предъявляться для учетных записей администраторов серверов
  • Для учетных записей администраторов домена желательно использовать двухфакторную аутентификацию
  • На своих рабочих станциях администраторы должны работать под учетными записями с правами обычного пользователя
  • Для защиты привилегированных учетных записей (администраторы домена, Exchange, серверов) нужно рассмотреть возможность использования группы защищенных пользователей (Protected Users)
  • Запрет использования обезличенных общих административных аккаунтов. Все аккаунты администраторов должны быть персонифицированы
  • Нельзя запускать сервисы под учетными записями администраторов (а тем более администратора домена), желательно использовать выделенные учетные записи или Managed Service Accounts .
  • Запрет работы пользователей под правами локального администратора

Естественно, нужно политиками обеспечить достаточную длину и сложность пароля как для пользователей, так и для администраторов и условия блокировки. Я говорю о политиках раздела Computer Configuration -> Windows Settings -> Security Settings -> Account Policies (см статью https://winitpro.ru/index.php/2018/10/26/politika-parolej-uchetnyx-zapisej-v-active-directory/):

  • Password Policy
  • Account Lockout Policy

Можно сделать более жёсткие требования к длине и хранимой истории паролей для администраторов с помощью Fine-Grained Password Policies.
Касательно встроенной учетной записи на компьютерах пользователей. Нельзя использовать одинаковые пароли локального администратора на всех ПК. Желательно вообще отключить (или хотя бы переименовать) локальную учетку administrator. Для регулярной смены пароля этой учетной записи на уникальный на каждом компьютере в сети можно использовать LAPS.

Доступ по сети с помощью локальных учетных записей и удаленных вход по RDP нужно запретить групповыми политиками . Данные политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

  • Deny access to this computer from the network – Отказать в доступе к этому компьютеру из сети
  • Deny log on through Remote Desktop Services – Запретить вход в систему через службы удаленных рабочих столов
  • Deny log on as a batch job – Отказать во входе в качестве пакетного задания
  • Deny log on as a service — Отказать во входе в качестве службы

После окончания административного сеанса (установка ПО, настройка системы и т.д. ) компьютер пользователя лучше перезагрузить. А на RDS серверах принудительно завершать приостановленные RDP сессии с помощью политик в разделе Computer Configuration->Policies->Administrative Templates->Windows Components->Remote Desktop Services->Remote Desktop Session Host->Session Time Limits.

В домене с Windows Server 2016 для временного предоставления административных прав можно использовать новую фичу Temporary Group Membership

В этой я описал первоочередные правила, которые помогут вам повысить уровень защиты административных аккаунтов в вашем домене Windows. Конечно, это статья не претендует на полноценных гайд по защите и ограничению прав учетных записей администратора, но вполне может стать вашей отправной точкой по построению безопасной инфраструктуры. Для дальнейшего изучения темы рекомендую начать с изучения документации Microsoft: Best Practices for Securing Active Directory.

windows — Невозможно запустить пакетный запуск Excel как запланированное задание

У меня есть следующий скрипт, который ранее запускался вручную:

set DIR="X:\SYSTEM\MAKROS"
X:
cd %DIR%
start /wait EXCEL.EXE /e-GENERATE_REPORTS BSYSTEM.XLA

При ручном запуске это работает просто отлично. BSYSTEM.XLA является частью системы управления проектами на основе Excel, поэтому я не могу экспортировать файл в другой формат файла.

Теперь мне нужно запускать этот скрипт ежедневно. При создании запланированного задания для запуска этого .bat файла оно просто не работает. Задание завершается в течение нескольких секунд (выполнение сценария обычно занимает около 10 минут) с кодом результата последнего запуска 0x1 и история задания не показывает ничего полезного:

Я уже пытался создать задачу, которая непосредственно запускает "C:\Program Files (x86)\Microsoft Office\Office16\EXCEL.EXE" /e-GENERATE_REPORTS BSYSTEM.XLA но это просто ошибки, которые отображаются в истории :

Планировщику не удалось запустить действие «C:\Program Files (x86)\Microsoft Office\Office16\EXCEL.EXE» в экземпляре «{1fbeadd0-605b-4fe0-8d96-621281c53519}» задачи «\Allgemein\TMG Bericht». Дополнительные данные: Значение ошибки: 2147942667.

Я также пробовал скрипт VBS, как это:

set xlApp = CreateObject("Excel.Application")
xlApp.Visible = True
set xlBook = xlApp.Workbooks.Open("X:\SYSTEM\MAKROS\BSYSTEM.XLA")
xlApp.Run "GENERATE_REPORTS"
xlBook.Close
xlApp.Quit

Но таким образом я получаю ошибку The macro can not be executed. The 'GENERATE_REPORTS' macro may not be available in this workgroup, or all macros have been disabled , что неверно, так как он работает нормально, когда скрипт obove вызывается вручную. Сетевой диск, с которого создается файл, считается «надежным местом».

Как ни странно, когда я открываю BSYSTEM.XLA я не вижу никаких листов, просто файл Excel, в котором почти все элементы выделены серым цветом, кроме кнопки «Макро», и при попытке взглянуть на макросы я их не вижу. Вот почему я изо всех сил пытаюсь понять, что start /wait EXCEL.EXE /e-GENERATE_REPORTS BSYSTEM.XLA даже делает ..

Я не мог найти ничего полезного в переключателях командной строки Excel, кроме этих двух документов:

Что я могу сделать, чтобы предоставить доступную для сценариев альтернативу вышеуказанному сценарию btach, чтобы я мог выполнить эту команду как запланированное задание, или что я могу сделать, чтобы исправить vbs?

Установка DV 3.5 на контроллер домена и интеграция с MS Exchange

Установка RasterDesk/RasterDesk Pro 11

Установка RasterDesk/RasterDesk Pro 11 под AutoCAD CSoft Development 2013 1 Установка RasterDesk/RasterDesk Pro Установка программы должна производиться под профилем пользователя. На момент установки необходимо

Подробнее

Установка Spotlight / Spotlight Pro 11

Установка Spotlight / Spotlight Pro 11 CSoft Development 2013 1 Установка Spotlight/Spotlight Pro Установка программы должна производиться под профилем пользователя. На момент установки необходимо наличие

Подробнее

Руководство по инсталляции

Общество с ограниченной ответственностью «Уральский центр систем безопасности» Руководство по инсталляции Екатеринбург 2015 ОГЛАВЛЕНИЕ 1. Введение… 3 2. Системные требования… 3 2.1. Требования к программному

Подробнее

Руководство по инсталляции

Общество с ограниченной ответственностью «Компания информационных технологий» Руководство по инсталляции Екатеринбург 2017 ОГЛАВЛЕНИЕ 1. Введение… 3 2. Системные требования… 3 2.1. Требования к программному

Подробнее

Acronis Privacy Expert Corporate

Acronis Privacy Expert Corporate Руководство по установке Copyright Acronis, Inc., 2000-2005. All rights reserved. Windows и MS-DOS зарегистрированные товарные знаки Microsoft Corporation. Все остальные

Подробнее

DR. BOB DAVIDOV Интернет-клиент MasterSCADA

DR. BOB DAVIDOV Интернет-клиент MasterSCADA Цель работы: Изучить технологии удаленного доступа к документам SCADA систем Задача работы: рассмотрение схемы работы Интернет-клиента MasterSCADA. Приборы и

Подробнее

МЕХАНИЗМ ГРУППОВЫХ ПОЛИТИК

МЕХАНИЗМ ГРУППОВЫХ ПОЛИТИК ЦЕЛЬ Овладеть навыками: создания объектов групповой политики; применения групповых политик; управления системы безопасности службы каталога; управления приложениями при помощи

Подробнее

Руководство пользователя

HV Manager Руководство пользователя 2017 AprelTech, llc. All rights reserved 1 ОГЛАВЛЕНИЕ Введение… 3 Установка и конфигурация… 4 Системные требования… 4 Установка… 5 Конфигурация… 6 Настройка

Подробнее

Руководство по установке

Руководство по установке Программный Комплекс БАРС Имущество. Комплект документации. Руководство по установке. Версия 1.0. ЦИТ «БАРС», 1992-2017. Все права защищены. Издательство: Центр Информационных

Подробнее

Инструкция по установке

Инструкция по установке 2 Оглавление Системные требования… 3 Пробная версия… 4 Коммерческая версия… 4 Подготовка к установке… 5 Установка… 10 Работа с PrintStat и получение поддержки… 16 3

Подробнее

Руководство Пользователя

Руководство Пользователя Введeние…………………………………………… 3 Общее описание подсистемы Analytics Pack…………………….. 3 3. Установка, удаление и восстановление подсистемы

Подробнее

Практическая работа 5

Практическая работа 5 Тема: «Аудит ресурсов и событий» Цель: 1. получить навыки по планированию аудита, определив какие события необходимо отслеживать; 2. научиться настраивать аудит для файлов, папок

Подробнее

Asana для bpm’online. Руководство пользователя

Asana для bpm’online Руководство пользователя Содержание Основные функции 3 Установка 4 Лицензирование 6 Настройка интеграции 8 Настройка служб приложения 8 Регистрация приложения для синхронизации с Asana

Подробнее

Средство защиты информации от несанкционированного доступа «Блокхост-сеть 2.0» Руководство по инсталляции. Контроль реестра

198096, г. Санкт -Пет ербург, ул. Кроншт адт ская, д.10, лит. А, т ел.: (812) 677-20-50, факс: (812) 677-20-51 Почт овый адрес: 198096, г. Санкт -Пет ербу рг, а/я 59, e-mail: [email protected], www.gaz-is.ru

Подробнее

УСТАНОВКА ИНФРАМЕНЕДЖЕР

УСТАНОВКА НОВОГО РЕЛИЗА СИСТЕМЫ ИНФРАМЕНЕДЖЕР РЕКОМЕНДАЦИИ 14 декабря 2015 г. ОГЛАВЛЕНИЕ Рекомендации… 1 Установка серверных компонент (компоненты базы данных, компоненты Web-интерфейса)… 3 Общие рекомендации…

Подробнее

Раздел 8. Управление сервером

Раздел 8. Управление сервером Упражнение. Консоль управления (Microsoft Management Console). Получить управления сервером с помощью консоли MMC, а также создания собственных консолей. контроллерами домена

Подробнее

Логи IIS — очистка — blog.bissquit.com

Веб-сервер IIS в процессе своей работы генерирует достаточно большие объемы log-файлов. Все бы ничего, но по умолчанию логи IIS располагаются на системном диске, которому обычно не предоставляют большой объем. Хорошо, если у вас виртуальная машина и вы можете просто не обращать внимание на нехватку диска C:\, увеличивая его объем по необходимости, благо функционал виртуальных машин Hyper-V второго поколения позволяет увеличивать размер даже системного диска без выключения сервера, прямо налету. А если у вас такой возможности нет? В таком случае разрастание логов может стать для вас серьезной проблемой.

В статье я расскажу как обращаться с log-файлами IIS и автоматизировать процесс удаления.


Если вам интересна тематика Windows Server, рекомендую обратиться к тегу  Windows Server  на моем блоге.


Логи IIS

По умолчанию логи IIS располагаются в каталоге %SystemDrive%\inetpub\logs\LogFiles. Сигналом для их очистки может служить истощающееся быстрыми темпами свободное место системного диска. В этом случае системные администраторы начинают искать что же занимает столько места и благополучно пропускают папку inetpub, поскольку по умолчанию она практически ничего не весит:

Но почему? Дело в том, что изначально вы не имеете разрешений на вложенные папки, следовательно не можете увидеть их реальный объем:

Попробуйте зайти в каждую подпапку каталога %SystemDrive%\inetpub\logs\LogFiles, соглашаясь с назначением необходимых разрешений и в итоге увидите, что реальный объем папок не так уж и мал:

Разумеется у меня приведены в пример скриншоты с тестового сервера. Объем логов серверов в продакшене может достигать десятков и сотен гигабайт совершенно спокойно.

Итак, проблема найдена, пора заняться очисткой. Теоретически её можно проводить и вручную, но в этом нет никакого смысла и проще все сделать скриптами, в некоторых случаях достаточно даже одной команды PowerShell. В одной из статей по Exchange 2013 (см. Очистка папки Logging Exchange 2013) я уже рассматривал вопрос автоматизации процесса очистки логов, но не помешает напомнить о нем и в этой статье.

Команда для очистки log-файлов в нашем случае будет выглядеть следующим образом:

gci ‘C:\inetpub\logs\LogFiles’ -Include ‘*.log’ -Recurse | ? LastWriteTime -LT (Get-Date).AddDays(-3) | Remove-Item

gci ‘C:\inetpub\logs\LogFiles’ -Include ‘*.log’ -Recurse | ? LastWriteTime -LT (Get-Date).AddDays(-3) | Remove-Item

В командлете (Get-Date).AddDays(-3) вместо значения -3 задайте свое. -3 говорит о том, что будут удалены все файлы старше трех дней. Для меня это оптимальное значение, для вас оно может отличаться. В продакшене рекомендую оставлять минимум неделю истории, а если позволяет свободное место, то и целый месяц не будет лишним.

Создадим отдельную учетную запись, администратором её делать не нужно:

Дадим учетной записи права Вход в качестве пакетного задания (через оснастку управления политиками gpedit.msc):

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Дальше необходимо выдать пользователю права на каталог %SystemDrive%\inetpub\logs\LogFilesДостаточно прав на чтение + права на удаление файлов и папок:

Снова открываем окно назначения прав и заменяем разрешения всех дочерних элементов родительскими (без этого работать не будет, ведь на этом каталоге отключено наследование):

Следующий шаг — создание запланированного задания (в аргументах вставьте команду, о которой речь шла выше):

Не забудьте проверить задание — выполните вручную и если все прошло хорошо (см. журнал задания), поставьте выполнение через 2-3 минуты от текущего времени, чтобы проверить как оно работает при автоматическим запуске. При этом убедитесь, что старые файлы действительно удалились.

comments powered by HyperComments

Войдите в систему как пакетное задание

  • Статья
  • 3 минуты на чтение

В этой статье

 

Применяется к: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

В этом справочном разделе политики безопасности для ИТ-специалистов описаны рекомендации, расположение, значения, управление политиками и соображения безопасности для этого параметра политики.

Артикул

Этот параметр политики определяет, какие учетные записи могут входить в систему с помощью средства пакетной очереди, такого как служба планировщика заданий. Когда администратор использует мастер добавления запланированных задач для планирования выполнения задачи под определенным именем пользователя и паролем, этому пользователю автоматически назначается право «Вход в систему как пакетное задание» . Когда наступает запланированное время, служба планировщика заданий регистрирует пользователя как пакетное задание, а не как интерактивного пользователя, и задача выполняется в контексте безопасности пользователя.

Этот параметр политики обеспечивает совместимость со старыми версиями Windows.

Этот параметр политики поддерживается в версиях Windows, указанных в списке Применимо к в начале этого раздела.

Константа: SeBatchLogonRight

Возможные значения

Лучшие практики

  1. Будьте осмотрительны при назначении этого права конкретным пользователям из соображений безопасности. Настройки по умолчанию достаточны в большинстве случаев.

Местоположение

Имя_объекта групповой политики \Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию этот параметр предназначен для администраторов, операторов резервного копирования и пользователей журнала производительности на контроллерах домена и на автономных серверах.

В следующей таблице перечислены фактические и действующие значения политики по умолчанию для самых последних поддерживаемых версий Windows. Значения по умолчанию также перечислены на странице свойств политики.

Тип сервера или GPO

Значение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Операторы резервного копирования

Пользователи журнала производительности

Настройки по умолчанию для автономного сервера

Администраторы

Операторы резервного копирования

Пользователи журнала производительности

Действующие настройки контроллера домена по умолчанию

Администраторы

Операторы резервного копирования

Пользователи журнала производительности

Действующие параметры рядового сервера по умолчанию

Администраторы

Операторы резервного копирования

Пользователи журнала производительности

Клиентский компьютер Действующие настройки по умолчанию

Администраторы

Различия версий операционной системы

В Windows Server 2008 R2 группа пользователей журнала производительности была добавлена ​​в качестве группы по умолчанию для этого параметра политики.Никаких других изменений в способе работы этого параметра политики между поддерживаемыми версиями Windows, указанными в списке «Применяется к » в начале этого раздела, не вносилось.

Управление политикой

В этом разделе описаны функции, инструменты и рекомендации, которые помогут вам управлять этой политикой.

Чтобы этот параметр политики вступил в силу, перезагрузка компьютера не требуется.

Любое изменение в назначении прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи.

Групповая политика

Планировщик заданий автоматически предоставляет это право, когда пользователь планирует задание. Чтобы переопределить это поведение, используйте параметр Запретить вход в качестве параметра назначения прав пользователя для пакетного задания.

Параметры групповой политики применяются в следующем порядке, который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики OU

Вопросы безопасности

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.

Уязвимость

Право пользователя Вход в качестве пакетного задания представляет собой уязвимость с низким уровнем риска. Для большинства организаций достаточно настроек по умолчанию. Члены локальной группы администраторов имеют это право по умолчанию.

Контрмеры

Вы должны разрешить компьютеру автоматически управлять этим правом пользователя, если хотите разрешить выполнение запланированных задач для определенных учетных записей пользователей. Если вы не хотите использовать планировщик заданий таким образом, настройте право пользователя «Вход в качестве пакетного задания» только для учетной записи локальной службы.

Для серверов IIS эту политику следует настроить локально, а не с помощью параметров групповой политики на основе домена, чтобы можно было гарантировать, что локальные учетные записи IUSR_ и IWAM_ имеют это право пользователя.

Потенциальное воздействие

Если настроить параметр Вход в качестве пакетного задания с помощью параметров групповой политики на основе домена, компьютер не сможет назначать права пользователя учетным записям, которые используются для запланированных заданий в планировщике заданий.Если вы устанавливаете дополнительные компоненты, такие как ASP.NET или IIS, вам может потребоваться назначить это право пользователя дополнительным учетным записям, которые требуются для этих компонентов. Например, IIS требует назначения этого права пользователя группе IIS_WPG и учетным записям IUSR_ , ASPNET и IWAM_ . Если это право пользователя не назначено этой группе и этим учетным записям, IIS не сможет запускать некоторые COM-объекты, необходимые для правильной работы.

См. также

Назначение прав пользователя

Предоставление «Вход в систему как пакетное задание»

Что такое «Вход в систему как пакетное задание»?

Я помню, когда впервые столкнулся с этой ошибкой:

«Ошибка входа в систему: пользователю не предоставлен запрошенный тип входа на этом компьютере.»

Вот как решается проблема. RPM Remote Print Manager® («RPM») — это системная служба Windows. Как и любой другой сервис, он имеет специальные разрешения на вашем локальном компьютере.

Из соображений безопасности корпорация Майкрософт решила запретить службам Windows одинаково работать в сети. Так, например, RPM не может использовать общие принтеры или общие папки напрямую, потому что они находятся в вашей сети, а не на вашем локальном компьютере.

С другой стороны, обычный пользователь, вошедший в систему, может легко использовать общие принтеры и папки.У вас есть это право как часть вашего профиля пользователя.

Такая служба, как RPM, решает эту проблему, выдавая себя за вошедшего в систему пользователя при печати или открытии файла. Это одно из разрешений, которое есть у служебной программы. Таким образом, когда вы настраиваете действие для использования учетных данных обычного пользователя для входа в принтер или папку, вы выполняете это с помощью пользовательского интерфейса RPM.

Второе требование состоит в том, что этот пользователь должен иметь разрешения «Вход в систему как пакетное задание» в своем профиле. Установка этого разрешения не позволяет хакеру злонамеренно создавать учетные записи пользователей, чтобы делать все, что он хочет.Только администратор, вошедший в систему, может назначить это разрешение профилю пользователя.

Подводя итог, вот таблица, на которой представлена ​​проблема:

Пользователь Разрешения
Служба Windows Можно использовать локальные принтеры и папки
Зарегистрированные пользователи Можно использовать локальные и общие принтеры и папку
Олицетворенные пользователи В профиле должен быть установлен «вход в систему как пакетное задание»

Как мы впервые столкнулись с этой проблемой

Давайте настроим этот сценарий.Клиент использовал RPM Remote Print Manager® (RPM) с действием «Архивировать в папку», используя учетную запись службы домена для записи файлов в папки на сетевом ресурсе. Учетная запись пользователя имеет правильные учетные данные.

Когда пользователь в следующий раз обрабатывает задание на печать с помощью этого действия, он получает следующую ошибку.

«Ошибка 1385 — Ошибка входа: пользователю не предоставлен запрошенный тип входа на этом компьютере».

Причина, по которой мы никогда не сталкивались с этой ошибкой, заключается в следующем.Когда я писал и тестировал эту функцию в RPM, я использовал свою учетную запись (поскольку мы не делимся паролями в компании). В моем обычном профиле пользователя есть «Вход в систему как пакетное задание», потому что я являюсь одним из пользователей-администраторов.

У обычного пользователя этого не будет; следовательно, ошибка.

Что делать с «Входом в систему в качестве пакетного задания»?

В этих инструкциях предполагается, что вы используете Windows 10 или аналогичную версию.

  1. Перейдите в нижний левый угол главного экрана, чтобы появилась панель поиска.
  2. Как показано в примере ниже, введите «secpol.msc», указанный красной стрелкой.
  3. Пока не нажимайте Enter; ищите меню, чтобы появиться. Обратите внимание на четыре опции справа; вы хотите, чтобы выделенная опция «Запуск от имени администратора»

  4. В приложении «Локальная политика безопасности» перейдите в «Параметры безопасности»/«Локальные политики»/«Администрирование прав пользователей». Это сворачивающиеся меню, которые вы открываете, нажимая стрелку «>» по одному.
  5. Прокрутите вниз до «Войти в систему как пакетное задание» и дважды щелкните эту запись.

В форме «Выбрать пользователей» можно добавить пользователя, которого вы настроили для RPM-архива, к операции с общей папкой.

Обратите внимание, что я представил себя в этой форме: BROOKS\Dave

Однако вы могли заметить, что политика безопасности уже включает этого пользователя. Если бы вы добавляли пользователя, вы бы сделали это здесь.

Ничего не помешает нажать «Проверить имена», если вы никогда раньше этого не делали. Скорее всего, если вы правильно ввели домен и имя пользователя, у вас не возникнет проблем.

Зачем RPM Remote Print Manager требуется «Вход в систему как пакетное задание»

RPM Remote Print Manager® — это программное обеспечение сервера печати и виртуальный принтер с возможностью обработки заданий на печать в качестве конкретного пользователя Windows .Как вы хорошо знаете, иногда это необходимо из-за разрешений; например, если вы хотите

  • запись в общую папку
  • распечатать общий принтер
  • запустить программу в интерактивном режиме.

Мы рады сделать эту страницу доступной для вас. Помощь нашим пользователям делает нас всех успешными, и мы рады поделиться информацией с сообществом.

Если вам нужен сервер печати или виртуальный принтер, загрузите бесплатную пробную версию сегодня! И удачи с вашими проблемами «вход в систему как пакет» с этого момента.

Как дать пользователю логин в качестве прав на пакетное задание? – Raiseupwa.com

Как предоставить пользователю права входа в систему в качестве прав на пакетное задание?

Вот как это включить:

  1. Перейти в меню «Пуск».
  2. Выполнить.
  3. Тип секпол. msc и нажмите Enter.
  4. Откроется диспетчер локальной политики безопасности.
  5. Перейдите в раздел «Настройки безопасности» — «Локальные политики» — «Назначение прав пользователя».
  6. Дважды щелкните Войти как пакетное задание справа.
  7. Нажмите Добавить пользователя или группу…
  8. Выберите пользователя и нажмите OK.

Что такое вход в качестве прав пакетного задания?

Этот параметр политики определяет, какие учетные записи могут входить в систему с помощью средства пакетной очереди, такого как служба планировщика заданий. Когда вы используете мастер добавления запланированных задач, чтобы запланировать запуск задачи под определенным именем пользователя и паролем, этому пользователю автоматически назначается право входа в качестве пользователя пакетного задания.

Где находится вход в качестве пакетного задания в групповой политике?

В диалоговом окне «Редактор управления групповыми политиками» разверните узел «Конфигурация компьютера» слева и перейдите в раздел «Политики» → «Параметры Windows» → «Параметры безопасности» → «Локальные политики».Справа дважды щелкните политику назначения прав пользователя. Найдите политику «Вход в качестве пакетного задания» и дважды щелкните ее.

Как вы назначаете пакет прав на работу?

База знаний

  1. Перейти в меню «Пуск».
  2. Тип secpol.msc. и нажмите Enter.
  3. Откроется диспетчер локальной политики безопасности.
  4. Перейдите в раздел «Настройки безопасности» — «Локальные политики» — «Назначение прав пользователя».
  5. Дважды щелкните Войти как пакетное задание справа.
  6. Нажмите Добавить пользователя или группу…
  7. Выберите пользователя.
  8. Нажмите OK.

Что такое Запретить вход в систему как пакетное задание?

Право пользователя «Запретить вход в систему в качестве пакетного задания» определяет учетные записи, которым запрещен вход в систему в качестве пакетного задания, например планировщик заданий. Группа «Гости» должна быть назначена для предотвращения доступа без проверки подлинности.

Как войти в систему в качестве пакетного задания?

Что такое задание в пакетной обработке?

Проще говоря, пакетное задание — это запланированная программа, запускаемая на компьютере без дальнейшего взаимодействия с пользователем.Пакетные задания часто ставятся в очередь в рабочее время, а затем выполняются вечером или в выходные дни, когда компьютер простаивает.

Как получить доступ к входу в качестве службы?

Войдите с правами администратора на компьютер, с которого вы хотите предоставить разрешение на вход в качестве службы учетным записям. Перейдите в «Администрирование», нажмите «Локальная политика безопасности». Разверните «Локальная политика», нажмите «Назначение прав пользователя». На правой панели щелкните правой кнопкой мыши Вход в качестве службы и выберите Свойства.

Как настроить вход в качестве службы?

Назначение учетной записи пользователя Вход в качестве прав службы

  1. Откройте панель управления Windows.
  2. Открыть инструменты администрирования.
  3. Открыть локальную политику безопасности.
  4. На левой панели щелкните Параметры безопасности ►Локальные политики►Назначения прав пользователя.
  5. В правой панели найдите политику Вход в качестве службы.

Что такое пакетный пользователь?

Как предоставить права на вход в качестве пакетного задания?

Разверните узел «Конфигурация компьютера» > «Параметры Windows» > «Параметры безопасности» > «Локальные политики» > «Назначение прав пользователя»; Дважды щелкните Войти как пакетное задание; Нажмите кнопку «Добавить пользователя или группу» и добавьте пользователя своей учетной записи службы; Нажмите ОК .Предоставьте права «Вход в качестве службы» с помощью PowerShell

Как запретить вход в систему в качестве пакетного задания?

Планировщик заданий автоматически предоставляет это право, когда пользователь планирует задание. Чтобы переопределить это поведение, используйте параметр Запретить вход в качестве параметра назначения прав пользователя для пакетного задания. Параметры групповой политики применяются в следующем порядке, который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:

Когда входить в систему как пакетный пользователь?

Например, когда пользователь отправляет задание с помощью планировщика задач, планировщик задач регистрирует этого пользователя как пакетного пользователя, а не как интерактивного пользователя.По умолчанию: администраторы и операторы резервного копирования.

Как добавить пользователя в пакетное задание?

Перейти в меню «Пуск». Пробег. Введите secpol.msc и нажмите Enter. Откроется диспетчер локальной политики безопасности. Перейдите в раздел «Параметры безопасности» — «Локальные политики» — узел «Назначение прав пользователя». Дважды щелкните Войти как пакетное задание справа. Щелкните Добавить пользователя или группу…. Выберите пользователя и нажмите ОК.

Как войти в систему с правами пакетного задания? – Руньонканьон-Лосангелес.ком

Как войти в систему с правами пакетного задания?

Вот как это включить:

  1. Перейти в меню «Пуск».
  2. Выполнить.
  3. Тип секпол. msc и нажмите Enter.
  4. Откроется диспетчер локальной политики безопасности.
  5. Перейдите в раздел «Настройки безопасности» — «Локальные политики» — «Назначение прав пользователя».
  6. Дважды щелкните Войти как пакетное задание справа.
  7. Нажмите Добавить пользователя или группу…
  8. Выберите пользователя и нажмите OK.

Что означает Вход в качестве пакетного задания?

Этот параметр политики определяет, какие учетные записи могут входить в систему с помощью средства пакетной очереди, такого как служба планировщика заданий. Когда вы используете мастер добавления запланированных задач, чтобы запланировать запуск задачи под определенным именем пользователя и паролем, этому пользователю автоматически назначается право входа в качестве пользователя пакетного задания.

Как назначить права пакетного задания объекту групповой политики?

Как назначить пользователю «Права пакетного задания» через GPO

  1. Нажмите ПУСК и введите Групповая политика.
  2. Щелкните Управление групповыми политиками.
  3. Либо отредактируйте существующий объект групповой политики, который содержит существующее НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ (вероятно, политику домена по умолчанию), либо щелкните правой кнопкой мыши и СОЗДАЙТЕ И ИЗМЕНИТЕ новую политику.

Что такое Запретить вход в качестве пакетного задания?

Право пользователя «Запретить вход в систему в качестве пакетного задания» определяет учетные записи, которым запрещен вход в систему в качестве пакетного задания, например планировщик заданий. Группа «Гости» должна быть назначена для предотвращения доступа без проверки подлинности.

Что означает запрет доступа к этому компьютеру из сети?

Право «Запретить доступ к этому компьютеру из сети» определяет учетные записи, которым запрещен вход в сеть из сети. Локальным учетным записям в системах, присоединенных к домену, также необходимо назначить это право, чтобы снизить риск горизонтального перемещения в результате атак с целью кражи учетных данных.

Как установить для пользователя права на вход в систему в качестве пакетного задания?

Дважды щелкните политику Вход в качестве пакетного задания, в открывшемся окне нажмите кнопку Добавить пользователя или группу, выберите учетную запись пользователя, для которой вы хотите установить права входа в качестве пакетного задания, и нажмите кнопку ОК, а затем нажмите кнопку Применить для завершения.

Как запретить вход в систему в качестве пакетного задания?

Любое изменение в назначении прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи. Планировщик заданий автоматически предоставляет это право, когда пользователь планирует задание. Чтобы переопределить это поведение, используйте параметр Запретить вход в качестве параметра назначения прав пользователя для пакетного задания.

Как добавить вход в систему как пакетное задание?

Нажмите «Управление групповыми политиками». Либо отредактируйте существующий объект групповой политики, который содержит существующее НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ (вероятно, политику домена по умолчанию), либо щелкните правой кнопкой мыши и СОЗДАЙТЕ И ИЗМЕНИТЕ новую политику.Разверните узел Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя. Дважды щелкните Войти как пакетное задание.

Как войти в систему с правами пакетного задания для планировщика заданий?

1 Перейдите в меню «Пуск» 2 «Выполнить» 3 Введите secpol.msc и нажмите «Ввод» 4 Откроется диспетчер локальной политики безопасности 5 Перейдите в раздел «Параметры безопасности» — «Локальные политики» — узел «Назначение прав пользователя» 6 Дважды щелкните «Войти как пакетное задание» с правой стороны 7 Нажмите «Добавить пользователя или группу…» 8 Выберите пользователя и нажмите «ОК».

Выполнение заданий в системах CARC

В этом руководстве описывается, как резервировать вычислительные ресурсы, а также запускать и отслеживать задания в кластерах высокопроизводительных вычислений (HPC) CARC, включая кластер Discovery общего назначения и кластер кондо Endeavour, с помощью Slurm. планировщик заданий.

Видео по управлению заданиями Slurm

Отправка заданий в CARC Systems видео

В этом руководстве описывается, как запускать и отслеживать задания с помощью командной строки. Задания также можно запускать и отслеживать с помощью CARC OnDemand, веб-точки доступа к системам CARC. Дополнительную информацию см. в руководстве пользователя «Начало работы с CARC OnDemand».

Что такое работа?

Задание состоит из всех данных, команд, сценариев и программ, которые будут использоваться для получения результатов.

Задания могут быть либо пакетными заданиями , либо интерактивными заданиями , но оба типа состоят из двух основных компонентов:

  • Запрос вычислительных ресурсов
  • Набор действий для выполнения на этих вычислительных ресурсах

Распространенная ошибка для новых пользователей кластеров высокопроизводительных вычислений — выполнять тяжелые рабочие нагрузки непосредственно на узле входа (т.g., discovery.usc.edu или endeavour.usc.edu ). Если вы не запускаете только небольшой тест, , убедитесь, что ваша программа запущена как задание . Процессы, оставшиеся запущенными на узлах входа, могут быть завершены без предупреждения.

Что такое планировщик заданий?

Кластер Discovery является общим ресурсом общего пользования, а разделы кластера кондоминиумов Endeavour являются общими ресурсами для определенной исследовательской группы. Чтобы обеспечить справедливый доступ, мы используем планировщик заданий для управления всеми запросами на вычислительные ресурсы.В частности, мы используем планировщик заданий Slurm (простая Linux-утилита для управления ресурсами) с открытым исходным кодом, который выделяет вычислительные ресурсы в кластерах для поставленных в очередь пользовательских заданий. Он выполняет следующие функции:

  • Планирует отправленные пользователем задания
  • Распределяет запрошенные пользователем вычислительные ресурсы
  • Обрабатывает отправленные пользователем задания

Когда пользователи отправляют задания с помощью Slurm, доступные вычислительные ресурсы распределяются между текущей очередью заданий с использованием алгоритма справедливого распределения.Использование Slurm означает, что ваша программа будет выполняться как задание на вычислительном узле (узлах), а не непосредственно на узле входа в кластер.

Задания также зависят от ассигнований учетной записи проекта, и каждое задание будет вычитаться из выделенных основных часов проекта. Вы можете использовать команду myaccount , чтобы просмотреть доступные учетные записи и учетные записи по умолчанию, а также использование каждой из них:

  [[email protected] ~]$ myaccount

     Учетная запись пользователя Def Acct QOS
---------- -------------------- -------------------- --------------------
  троян ttrojan_123 ttrojan_123 нормальный
----------

             Аккаунт GrpCPUMins QOS
-------------------- ------------------------------ -
         ttrojan_123 1200000 нормальный

-------------------------------------------------- ------------------------------
Использование кластера/учетной записи/пользователя 2020-06-15T00:00:00 - 2021-06-14T23:59:59 (31536000 сек)
Использование указано в минутах ЦП
-------------------------------------------------- ------------------------------
  Вход в учетную запись кластера Имя собственное Используемая энергия
--------- --------------- --------- --------------- -- ------ --------
открытие ttrojan_123 ttrojan ttrojan 687085 0  

Слерма команды

В следующей таблице приведена сводка команд Слерма:

Категория Команда Назначение
Информация о Кластер sinfo Дисплей вычислений информация о разделе и узле
Отправка заданий sbatch Отправка сценария задания для удаленного выполнения
srun Запуск параллельных задач (т.e., job steps) (обычно для работ MPI)
Salloc Выделите ресурсы для интерактивной работы
Свид. Информация о приоритете работы
Scancel Отменить в ожидании или рабочих местах
Мониторинг. seff Отображение информации об эффективности прошлых заданий
Прочее scontrol Отображение или изменение конфигурации и состояния Slurm

для конкретной команды или смотрите официальную Sl ур документация.

Команды CARC

В следующей таблице перечислены пользовательские команды CARC (на основе команд Slurm):

9. Отображение информации об очереди заданий (фильтрация по разделам и/или пользователям)

Цель
MyQueue Отображайте пользователь
jobhist Отображение компактной истории заданий пользователя с основной информацией job
nodeinfo Отображение информации об узлах по разделам, моделям CPU/GPU и состоянию

Пакетные задания

Пакетное задание — это набор действий, выполняемых удаленно на одном или нескольких вычислительных узлах.Пакетные задания реализуются в сценариях заданий, которые представляют собой особый тип сценария Bash, в котором указываются запрашиваемые ресурсы и набор действий для выполнения. Основное преимущество пакетных заданий заключается в том, что они не требуют ручного вмешательства для правильного выполнения. Это делает их идеальными для программ, которые выполняются в течение длительного времени.

Ниже приведен типичный рабочий процесс пакетного задания:

  1. Создать сценарий задания
  2. Отправить сценарий задания с помощью sbatch
  3. Проверить состояние задания с помощью myqueue
  4. Если задание завершилось неудачно
  5. изменить задание и повторно отправить (вернуться к шагу 1)
    • Проверить информацию о задании с помощью jobinfo , если необходимо
  6. Если задание выполнено успешно, проверить информацию о задании с помощью jobinfo
    • Если возможно, использовать меньше ресурсов в следующий раз для аналогичного задания

Ниже приведен пример сценария пакетного задания, который запускает сценарий Python:

  #!/bin/bash

#ДОПОЛНИТЕЛЬНО --nodes=1
#ДОПОЛНИТЕЛЬНО --ntasks=1
#SBATCH --cpus-per-task=8
#ПОДБАТЧ --mem=16 ГБ
#ДОПОЛНИТЕЛЬНЫЙ --time=1:00:00
#SBATCH --account=

продувка модуля
модуль загрузки gcc/8.3.0
модуль загрузки python/3.9.2

python3 script.py  

Верхняя строка:

  #!/bin/bash  

указывает, какой интерпретатор оболочки использовать при запуске вашего скрипта. Указан интерпретатор bash , поэтому все в сценарии задания должно быть в синтаксисе Bash.

Следующий набор строк:

  #SBATCH --nodes=1
#ДОПОЛНИТЕЛЬНО --ntasks=1
#SBATCH --cpus-per-task=8
#ПОДБАТЧ --mem=16 ГБ
#ДОПОЛНИТЕЛЬНЫЙ --time=1:00:00
#SBATCH --account=  

используйте параметры Slurm, чтобы указать запрошенные ресурсы для вашей работы.

Убедитесь, что вы используете правильную учетную запись для своих заданий ( ). Без параметра --account будет использоваться ваша учетная запись проекта по умолчанию. Это нормально, если у вас есть только одна учетная запись проекта. Идентификаторы ваших проектов можно найти на пользовательском портале на странице распределения. Идентификаторы проектов имеют форму _ , где — это имя пользователя главного исследователя проекта (PI), а — это 2- или 3-значный идентификационный номер проекта (т.г., ttrojan_123).

Следующий набор строк:

  продувка модуля
загрузка модуля gcc/8.3.0
загрузка модуля python/3.9.2  

загружает необходимые программные модули ( загрузка модуля ... ).

Последняя строка:

  python3 script.py  

— это команда, запускающая скрипт Python. В более общем смысле эти последние строки будут командой или набором команд, необходимых для запуска вашей программы или нескольких программ.

Чтобы отправить пакетное задание, используйте команду Slurm sbatch при входе в кластер Discovery или Endeavor:

  sbatch my.job  

, где аргументом команды является имя файла сценария задания (например, my.job ).

Отправленные задания отправляются в планировщик заданий, помещаются в очередь, а затем обрабатываются удаленно, когда запрошенные ресурсы становятся доступными. Процесс задания записывается и записывается в выходной файл в том же каталоге, в котором хранится ваш сценарий задания. По умолчанию этот выходной файл называется slurm-.out . Это обычный текстовый файл, поэтому вы можете просмотреть его с помощью команды less :

  less slurm-.out  

Для выхода введите q .

Если вы отправляете задания в кластер кондо Endeavour ( endeavour.usc.edu ), вам нужно будет указать имя раздела кондоминиума вместе с соответствующим идентификатором проекта. Это можно сделать с помощью параметров --partition и --account в сценарии задания:

  #SBATCH --partition=
#SBATCH --account=  

Если вы столкнулись с ошибкой, похожей на:

  Указана неверная учетная запись или комбинация учетной записи/раздела  

при отправке задания, дважды проверьте, правильно ли вы ввели имя раздела и ID проекта или свяжитесь с нами по адресу [email protected], чтобы получить правильную комбинацию.

Slurm также может отправлять уведомления по электронной почте о начале и завершении вашей работы. Включите уведомления, добавив следующие параметры в сценарий задания:

  #SBATCH --mail-type=all
#SBATCH --mail-user=<адрес электронной почты>  

Интерактивные задания

Интерактивное задание регистрирует вас на одном или нескольких вычислительных узлах, где вы можете работать в интерактивном режиме. Все действия выполняются в командной строке. Основное преимущество интерактивных заданий заключается в том, что вы получаете немедленную обратную связь, и задание не будет завершено (и не потеряет ваши вычислительные ресурсы), если ваша команда, сценарий или программа обнаружит ошибку и завершится.Это особенно полезно для разработки сценариев и программ, а также для отладки.

Используйте команду Slurm salloc для резервирования ресурсов на узле:

  [[email protected] ~]$ salloc --time=2:00:00 --cpus-per-task=8 --mem=16GB - -account=<идентификатор_проекта>
salloc: Ожидание распределения работы 324316
salloc: задание 324316 поставлено в очередь и ожидает ресурсов
salloc: для задания 324316 были выделены ресурсы
salloc: Предоставлено распределение работы 324316
salloc: Ожидание конфигурации ресурса
salloc: узлы d17-03 готовы к работе  

Обязательно измените запросы ресурсов ( --time=2:00:00 --cpus-per-task=8 --mem=16GB --account= часть после вашей команды salloc ) по мере необходимости, например, требуемое количество ядер и памяти.Также не забудьте заменить на идентификатор вашего проекта.

После предоставления ресурсов и входа в вычислительный узел вы можете начать вводить команды (например, загружать программные модули):

  [[email protected] ~]$ module load usc python/3.9.2
[[email protected] ~]$ python --версия
Питон 3.9.2
[[email protected] ~]$  

Обратите внимание, что приглашение оболочки изменилось с [email protected] на [email protected] , чтобы указать, что вы сейчас находитесь на вычислительном узле (т.г., д17-03 ).

Чтобы выйти из узла и освободить ресурсы задания, введите в оболочке exit . Это вернет вас к узлу входа:

  [[email protected] ~]$ выход
выход
salloc: отказ от распределения рабочих мест 324316
[[email protected] ~]$  

Обратите внимание, что вычислительные узлы не имеют доступа к Интернету, поэтому любая загрузка данных или установка программного обеспечения должны выполняться на узлах входа или передачи либо до интерактивного задания, либо одновременно в отдельном сеанс оболочки.

Запросы ресурсов

Slurm позволяет указать множество различных типов ресурсов. В следующей таблице описываются наиболее распространенные варианты запроса ресурсов и их значения по умолчанию:

-EXCLUISI и GPU на узлах
ресурсов Значение по умолчанию Описание
--nodes = <число> 1 Количество узлы использовать
--ntasks = <номер> 1 число процессов для запуска
--ntasks-за узла = <номер> 1 Количество процессов для запуска (на узел)
--cpus-per-task=<число> 1 Количество ядер на задачу
--mem=<число> /A Общая память (за узел)
-MEM-Per-CPU = <число> 2GB Память на процессор
-PARTITION = основной Узлы запроса в определенном разделе
--constraint= Н/Д Узлы запроса с определенными функциями (например,г., -4116 Xeon )
--nodelist = <узлы> N / A Request специфические узлы (например, e09-18, e23-02 )
-exclude = <узлы> N/A Исключите конкретные узлы (например, E09-18, E23-02 )
-Exclize 3
--time= 1:00:00 Максимальное время выполнения
--account4= --account4 учетная запись проекта по умолчанию Учетная запись для начисления ресурсов

Если параметр ресурса не указан, будет использоваться значение по умолчанию.

Вычислительные узлы CARC имеют разное количество ядер и объем памяти. Дополнительные сведения о спецификациях узла см. в обзоре ресурсов Discovery или обзоре ресурсов Endeavor.

Узлы, задачи и процессоры

Значение по умолчанию для параметра --nodes равно 1. Это число обычно следует увеличить, если вы выполняете параллельное задание с использованием MPI, но в остальном оно должно оставаться неизменным. Значение по умолчанию для --ntasks также равно 1, и его обычно следует увеличить при выполнении параллельного задания с несколькими узлами.

Параметр --cpus-per-task относится к логическим процессорам. На вычислительных узлах CARC обычно имеется два физических процессора (сокета) на узел с несколькими ядрами на процессор и одним потоком на ядро, так что 1 логический ЦП = 1 ядро ​​= 1 поток. Эти термины могут использоваться взаимозаменяемо. Узлы основного раздела имеют различное количество ядер (16, 20, 24, 32). Этот параметр следует изменить в зависимости от характера вашей работы. Для последовательных заданий требуется только 1 ядро, значение по умолчанию.Кроме того, для однопоточных заданий MPI требуется только 1 ядро ​​на задачу. Для многопоточных заданий любого типа значение следует увеличивать по мере необходимости, чтобы использовать преимущества нескольких ядер.

Для получения дополнительной информации о заданиях MPI см. руководство пользователя Использование MPI.

Память

Опция #SBATCH --mem=0 указывает Slurm зарезервировать всю доступную память на каждом запрошенном вычислительном узле. В противном случае можно указать максимальный объем памяти ( #SBATCH --mem= ) или максимальный объем памяти на ЦП ( #SBATCH --mem-per-cpu= ).

Обратите внимание, что часть памяти на каждом узле зарезервирована для системных служебных данных. Вот сценарий, в котором вы можете забыть о накладных расходах памяти:

Вычислительный узел, состоящий из 24 ЦП со спецификациями, указывающими 96 ГБ общей памяти, на самом деле имеет ~92 ГБ полезной памяти. Вы можете занести в таблицу «96 ГБ / 24 ЦП = 4 ГБ на ЦП» и добавить #SBATCH --mem-per-cpu=4GB в сценарий задания. Slurm может предупредить вас о неправильном запросе памяти и не отправить задание.

В этом случае установка #SBATCH --mem-per-cpu=3GB или #SBATCH --mem=0 или значение менее 92 ГБ решит эту проблему.

GPU

Чтобы запросить GPU в разделе GPU Discovery, добавьте следующую строку в сценарий задания Slurm:

  #SBATCH --partition=gpu  

Сценарий задания Slurm для запроса типа и количества графических процессоров, которые вы хотите использовать:

  #SBATCH --gres=gpu:  

или

  #SBATCH --gres=gpu: :<число>  

, где:

  • <число> — количество GPU на запрошенный узел, а
  • — одно из следующих значений: k40, p100 или v100.

Дополнительные сведения см. в руководстве пользователя Использование графических процессоров.

Время ожидания

Как правило, если вы запрашиваете много ресурсов или очень специфические, ограниченные ресурсы, вы можете ожидать, что Slurm будет дольше ждать, пока Slurm назначит ресурсы для вашей работы. Кроме того, если кластер Discovery или раздел кластера многоквартирных домов особенно активны, вы также можете ожидать, что Slurm будет дольше ждать, пока Slurm назначит ресурсы для вашей работы.

Мониторинг заданий

Существует несколько способов наблюдения за вашими заданиями с помощью Slurm или других инструментов.

Мониторинг задания с помощью Slurm

После отправки задания существует несколько различных способов отслеживать его выполнение с помощью Slurm. Первый — проверить очередь заданий с помощью команды squeue . Например, чтобы проверить свои задания:

  squeue --me  

Вывод будет выглядеть следующим образом:

  ЗАДАНИЕ РАЗДЕЛ ИМЯ ПОЛЬЗОВАТЕЛЬ ST ВРЕМЯ УЗЛЫ СПИСОК УЗЛОВ(ПРИЧИНА)
4822945 Основной тест TTROJAN PD 0:00 1 (Приоритет)  

Это содержит следующую информацию:

Выход Определение
JOBID
JOBID
JOBID
JOBID
JOBID
JOBID
. Раздел Раздел. За работой (см. Таблицу ниже)
Время СМЕР ВРЕМЕНИ. , список узлов, на которых выполняется задание.Если ожидается, причина, по которой задание находится в ожидании.

Столбец ST относится к состоянию задания. В следующей таблице приведены общие коды:

Код Государственный Значение
PD В ожидании Работа находится в ожидании (например, в ожидании запрашиваемых ресурсов)
R Running Работа работает
CG Комплектующие Работа завершается
CD завершено Работа завершила
CA отменено Работа была отменена

информация, которую возвращает squeue , может быть настроена; обратитесь к руководству squeue для получения дополнительной информации.CARC также предоставляет настраиваемый формат вывода с помощью команд myqueue и cqueue .

Во время выполнения задания можно использовать команду sstat , чтобы контролировать задание на наличие конкретных значений интереса во время ввода команды. Например, чтобы сосредоточиться на нескольких важных значениях, используйте следующую команду:

  sstat -o JobID,MaxRSS,AveCPUFreq,MaxDiskRead,MaxDiskWrite -j   

можно использовать команду sacct , чтобы получить учетную информацию о задании.Ввод sacct без параметров предоставит информацию о ваших заданиях, отправленных в текущий день, с форматом вывода по умолчанию. Чтобы сосредоточиться на значениях, аналогичных значениям из sstat после завершения задания, используйте следующую команду:

  sacct -o JobID,MaxRSS,AveCPUFreq,MaxDiskRead,MaxDiskWrite,State,ExitCode -j   

После завершения задания можно также использовать команду jobinfo для получения сведений о задании, включая сведения об эффективности ЦП и памяти.Например:

  jobinfo   
Мониторинг заданий из вывода

Большинство программ при запуске генерируют некоторую форму вывода. Это может быть в виде сообщений о состоянии, отправляемых на терминал, или вновь созданных файлов. При выполнении пакетного задания Slurm перенаправит вывод, предназначенный для терминала, в выходной файл вида slurm-.out . Просмотрите содержимое этого файла, чтобы увидеть выходные данные задания. При необходимости вы также можете запускать свои программы с помощью инструментов профилирования или мониторинга процессов, чтобы генерировать дополнительные выходные данные.

Мониторинг заданий на вычислительных узлах

Когда ваше задание активно выполняется, выходные данные очереди будут сообщать о вычислительных узлах, которые были выделены для вашего задания. Вы можете войти в эти узлы с помощью команды ssh с одного из узлов входа, а затем использовать инструмент мониторинга процессов, такой как top , htop , atop или iotop , чтобы проверить использование ЦП, памяти или операций ввода-вывода вашими рабочими процессами.

Коды завершения задания

Slurm предоставляет коды выхода после завершения задания. Код выхода 0 означает успех, а все, что не равно нулю, означает неудачу. Ниже приведено справочное руководство для интерпретации этих кодов выхода:

79 79

код . Неправильное использование Shell Buildins
3-124 Некоторые ошибки в работе Проверка программного обеспечения
125 из памяти
125 из памяти
125 из памяти
125 из памяти
.
127 Команда не найдена
128 Неверный аргумент для выхода
129-192 .Введите kill -l , чтобы получить список кодов сигналов, и введите man signal для получения дополнительной информации.

Переменные среды Slurm

Slurm создает набор переменных среды при выполнении заданий. Их можно использовать в сценариях задания или приложения для динамического создания каталогов, назначения количества потоков и т. д. в зависимости от спецификации задания. Некоторые примеры переменных:

Переменные Описание
SLURM_JOB_ID Идентификатор распределения рабочих мест
SLURM_JOB_NODELIST Список узлов, выделенных для работы
SLURM_JOB_NUM_NODES Общее количество узлов в распределении ресурсов в Иовом
SLURM_NTASKS Количество задач запрошенные
SLURM_CPUS_PER_TASK Количество процессоров запрашиваемую на задачу
SLURM_SUBMIT_DIR Каталог, из которого был вызван SBATCH
SLURM_ARRAY_TASK_ID script:

  export OMP_NUM_THREADS=$SLURM_CPUS_PER_TASK  

Ограничения заданий

Обнаружение — это общий ресурс, поэтому мы устанавливаем ограничения на размер и продолжительность заданий, чтобы каждый мог выполнять задания:

9 0073 168 часов
Раздел Максимальное время выполнения Максимальное количество одновременных процессоров Максимальное количество одновременных GPUs Максимальное количество одновременных памяти Максимальное количество одновременных заданий, запущенных Максимальное количество одновременных заданий в очереди
главной 48 часов 1200 36 --- 500 5000
epyc-64 48 ч 1200 --- --- 500 5000
GPU 48 часов 400 36 --- 36 100
одна неделя 208 --- --- 50 50
largemem 168 часов 64 --- 1000 GB 3 10
отладки 1 час 48 4 --- 5 5

Endeavor перегородка кондо также может быть сконфигурирована с помощью пользовательских ограничений по запросу.

Лимиты учетных записей

Задания в Discovery также зависят от распределения учетной записи вашего проекта, и каждое задание будет вычитаться из выделенных вашему проекту системных единиц (SU) в зависимости от типов запрашиваемых вами ресурсов:

Ресурс зарезервирован на 1 минуту АУ заряжена
1 CPU 1
1 Гб памяти 0,25
1 А100 или А40 ГПУ 8
1 V100 или Р100 GPU 4
1 Графический процессор K40 2

Обратите внимание, что плата за SU взимается на основе ресурсов, зарезервированных для вашей работы, а не ресурсов, которые фактически используются вашей работой.Например, если вы резервируете 8 ЦП для своего задания, но ваше задание в конечном итоге использует только 1 ЦП, вы все равно будете платить за 8 ЦП. Старайтесь не запрашивать больше ресурсов, чем на самом деле требует ваша работа.

Используйте команду myaccount , чтобы просмотреть доступные и используемые по умолчанию учетные записи и использование каждой из них.

Дополнительные ресурсы

Документация по Slurm
Краткое руководство пользователя Slurm
Учебные пособия по Slurm
Памятка по Slurm
Шаблоны сценариев заданий CARC Slurm
Материалы семинара CARC для управления заданиями Slurm

Пакетные задания — Руководство пользователя HPC 1 документация

Пакетная система

По состоянию на 21 сентября 2014 года мы используем Univa Grid Engine 8.2.0

Пакетные задания противоположны интерактивным заданиям в кластере. По сути, вы предоставляете скрипт кластеру, который содержит все необходимую среду и инструкции для выполнения вашей работы, а затем кластерная пакетная система отключается и находит свободные вычислительные ресурсы для запуска это на фоне. Выходные данные задания записываются в файлы журналов, которые вы можете проверить в любое время, чтобы увидеть, как продвигается ваша работа. Сюда задания могут выполняться часами, днями или даже неделями, что позволяет вам выйти из системы и займитесь другими делами, пока ждете результатов.

Существует два типа пакетных заданий,

  • Серийный номер : Они используют только одно ядро ​​ для процесса.
  • Параллельный : Они могут быть разных типов, но могут использовать несколько ядер на одном сервере. одной машине или даже нескольким ядрам на нескольких машинах.

Управление заданиями контролируется Univa Grid Engine.

Основы пакетной отправки

Основная команда, используемая для отправки задания в пакетную систему, qsub.Если у вас нет этой команды в $PATH, вам нужно запустить модуль загрузки sge, чтобы получить его — и вы должны добавить это в свой ~/.bashrc, чтобы он был у вас при каждом входе в систему.

qsub ожидает в качестве основного аргумента сценарий задания , который специальный сценарий оболочки, который может содержать как аргументы для qsub, так и также все необходимые шаги для настройки среды для вашей работы. выполнить его.

Чтобы попробовать отправить задание, сделайте копию шаблонов заданий кластера. папку в свой домашний каталог и введите команду batch_serial справочник,

 $ cp -r /cm/shared/examples/job_templates $HOME/
$ cd $ HOME/job_templates/batch_serial
$ лс -1
фибоначчи_массив.работа
fibonacci.job
fibonacci.py
 

Эта папка содержит 3 файла: скрипт python, fibonacci.py, который принимает единственный аргумент, который является количеством цифр Фибоначчи последовательность для создания, сценарий задания для этого сценария называется fibonacci.job и третий сценарий задания fibonacci_array.job, который будет обсуждаться в Работа с массивами .

Содержимое файла fibonacci.job,

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44 
 ############################################ ##########################
# Варианты пакетной системы
# Эти параметры не выполняются сценарием, а считываются
# пакетная система перед отправкой задания.Каждой опции предшествует '#$' для
# означает, что это для grid engine.
#
# Все эти параметры аналогичны флагам, которые вы можете передать qsub на
# в командной строке и может быть **переопределен** в командной строке. см. man qsub для
# все подробности
################################################### #####################
# -- Оболочка, используемая для интерпретации этого скрипта
#$ -S /bin/bash
# -- Выполнить это задание из текущего рабочего каталога.
#$ -cwd
# -- Вывод задания на stderr будет объединен со стандартным выводом.Удалите эту строку, если
# -- вы хотите иметь отдельные файлы журналов stderr и stdout
#$ -j у
#$ -o вывод/
# -- Отправлять электронное письмо, когда задание завершается, прерывается или приостанавливается
# #$ -м шт.
# #$ -M [email protected]

################################################### #####################
# Сценарий работы
# Здесь мы пишем в bash (поскольку выше мы установили bash в качестве нашей оболочки). Здесь ты
# следует настроить среду для вашей программы, скопировать все данные, которые
# нужно скопировать, а потом выполнить программу
################################################### #####################
# Мы можем передавать аргументы этому сценарию, как обычно.Здесь мы читаем в $1, если это
# доступно, в противном случае установите значение по умолчанию, ARG_DIGITS=10
ARG_DIGITS="${1:-10}"
# Здесь мы выполняем обычные команды оболочки, как и любой другой сценарий оболочки.
# вывод здесь будет отправлен на стандартный выход задания
echo "Выполняется скрипт задания"
# Мы можем настроить переменную окружения, которую будет видеть скрипт
export MY_ENV_VAR="Эта переменная экспортируется в среду процесса"
# Нам нужно убедиться, что мы настроили полную среду, необходимую для нашей работы,
# в этом случае просто загружаем модуль python
модуль загрузки python
# Наконец, мы запускаем наш исполняемый файл.Здесь мы передаем аргумент командной строки
# выше к скрипту
#/cm/shared/examples/job_templates/batch_serial/fibonacci.py $ARG_DIGITS
./fibonacci.py $ARG_DIGITS
echo "Завершенный скрипт задания"
 

Первый раздел файла Options для пакетной системы содержит несколько строки, похожие на: #$ -S /bin/bash. Это команда для пакетной системы и имеет специальный префикс #$, который указывает UGE интерпретировать его как опцию. Здесь можно использовать все стандартные опции, доступные для qsub.Выше содержит некоторые из самых основных.

Примечание

Если вы хотите, чтобы ваши задания отправляли вам электронное письмо, когда они заканчиваются, или начинаются, или aborted, затем раскомментируйте следующие строки в приведенном выше примере сценария:

 # -- Отправлять электронное письмо, когда задание завершается, прерывается или приостанавливается.
#$ - млн шт.
#$ -M [email protected]
 

И измените YOUR_USERNAME на свое имя пользователя ITS. Строка #$ -m eas указывает, когда отправлять электронную почту. e означает выход из задания, s означает приостановку, а значит прерывание.

Посмотрите в man qsub дополнительные параметры, которые можно указать, или спросите Служба поддержки, если вы хотите знать, как что-то сделать.

Чтобы запустить этот скрипт, просто выполните следующие действия:

 $ qsub fibonacci.job
Ваша работа 3978336 ("fibonacci.job") отправлена
 

После отправки задания вы получите результат, как показано выше, который содержит ваш идентификатор работы , так что выше это 3978336.

На этом этапе ваше задание добавлено в системную очередь пакетной обработки — все задания ждут очередь до тех пор, пока планировщик пакетной системы не найдет свободные ресурсы заданий на кластер на основе того, что они запрашивают.

Важно

Одной из наиболее важных опций qsub является -q queue1.q queue2.q ..., который указывает, какую пакетную систему ставит в очередь вы хотите, чтобы ваша работа выполнялась. Как показано выше, вы можете указать несколько очереди для вашего задания, и планировщик будет учитывать их все, когда пытаетесь запустить свою работу в кластере, особенно когда кластер занят, имеет смысл попытаться максимизировать свои шансы запустив, указав все очереди, в которых вы могли бы успешно работать. будьте осторожны, если ваша работа требует определенной среды или оборудования однако работать, поскольку очереди обращаются к разным подмножествам оборудования.Подробности смотрите в очередях.

Вы можете увидеть очередь, выполнив другую команду qstat,

 $ qstat
идентификатор задания предыдущее имя состояние пользователя отправка/запуск в очереди слоты jclass ja-task-ID
-------------------------------------------------- -------------------------------------------------- --------------------------------------------
 3812057 0.50224 BB_Na user343 r 22.09.2014 12:38:59 [email protected]см.кластер 4
 3812058 0.50013 QLOGIN user149 r 22.09.2014 12:39:25 [email protected] 1
 3812059 0.50357 BB_Na user343 r 22.09.2014 12:40:10 [email protected] 6
 3812062 0.50013 QLOGIN user789 r 22.09.2014 12:43:39 [email protected] 1
...
 3960079 0,50023 job_777003 user429 кв.м. 20.10.2014 11:37:10 1
 3959845 0.50023 job_777000 user429 неделя от 20.10.2014 11:28:28 1
 3959846 0,50023 job_777001 user429 кв.м. 20/10/2014 11:28:28 1
 3959967 0,50019 job_777004 user429 кв.м. 20.10.2014 11:32:46 1
 3959851 0,50005 job_777006 user429 кв.м. 20/10/2014 11:28:28 1
 3886523 0.50002 odin.sh user714 неделя 13.10.2014 11:32:26 1 2-20:1
 

Запуск qstat показывает все запущенные и поставленные в очередь задания вместе, поэтому вывод может быть длинным, поэтому я сократил его пополам.

Если вы просто хотите увидеть задания в очереди или только запущенные задания,

 # Все ожидающие задания
$ qstat -s p
# Все запущенные задания
$ qstat -s r
 

Чтобы разбить вывод выше по столбцам:

  • идентификатор задания: идентификатор задания
  • Prior : приоритет задания.Вот как упорядочиваются поставленных в очередь задания, с заданиями, имеющими более высокий приоритет, которые пытается запустить планировщик первый .
  • имя : имя задания. По умолчанию это имя вашего сценария работы, но можно указать qsub с опцией: -N your_custom_name
  • пользователь : имя пользователя
  • Состояние
  • : состояние, в котором находится задание. См. Просмотр эволюции задания для Детали.
  • submit/start at : время и дата отправки или начала задания
  • очередь: только для запущенных заданий, имя очереди и имя машины где работа выполняется.
  • jclass : какой класс работы использует задание
  • слотов: сколько слотов задание запросило/использует
  • ja-task-ID : идентификаторы задач массива заданий. См. Задания массива для подробнее об этом.

Если вы просто хотите посмотреть, как выполняются ваши задания,

 # Только ваша работа
$ qstat -u $ПОЛЬЗОВАТЕЛЬ
 

Подробности смотрите в man qstat.

Наконечник

Иногда вы хотите посмотреть, что происходит, когда ваши задания быстро продвигаются через различные состояния (в очереди -> выполняется -> завершено).Ты сможешь достичь этого, выполнив:

 смотреть -d "qstat -u $USER"
 

И вы будете получать непрерывное обновление статуса каждые 2 секунды. CTRL-C для выхода.

Просмотр эволюции вашей работы

Существует ряд состояний, через которые задание проходит до завершения (или нет). Примерный жизненный цикл выглядит следующим образом:

 поставлен в очередь/ожидание (qw) ---> передача (t) ---> выполняется (r) ---> завершено
                    | |
                    | |
                    ---> ошибка (Eqw) ---> приостановлено (s)
 

скобки представляют, как состояния отображаются в выводе qstat.

Когда задание отправлено, оно будет находиться в очереди/состоянии ожидания. Если возникает ошибка, когда пакетная система пытается запустить задание, тогда job будет находиться в состоянии Eqw. Чтобы выяснить, что пошло не так, возьмите посмотрите на вывод qstat для задания,

 $ qstat -j 3960079
================================================== ============
номер_работы: 3960079
jкласс: НЕТ
exec_file: job_scripts/3960079
submit_time: 20.10.2014 11:37:10.138
владелец: user429
...
причина ошибки 1: 20.10.2014 11:37:10 [3799:24236]: невозможно stat() "/mnt/lustre/admin/output.log" как stdout_path: Отказано в доступе KRB5CCNAME=none uid=3799 gid =3799 3799 55760 60166 60176 60317 60497 60526 161009 1048576
информация о планировании: (сбор информации о заданиях планировщика отключен)
 

в поле причина ошибки будет показано, что это была за ошибка, которую вы можете либо интерпретируйте сами, либо будет полезно оказать поддержку команда.

Состояние передается так же, как сценарий задания и любые данные, необходимо промежуточное размещение на вычислительных узлах. бег — это я объяснительный.

Когда задание приостановлено, ему отправляется сигнал SIGSTOP и приостанавливается на узле, где он выполняется. Это останется тем путь, пока он либо не возобновится, либо не будет убит. Это может произойти за ряд причин. Администратор может приостановить задание, если оно вызывает проблемы на узле для других заданий. Или работа может быть приостановлена, если она выполняется в подчиненной очереди, а другая работа с более высоким приоритетом должна запустить в этой очереди.

Завершенные или прерванные задания не отображаются в qstat. К просмотреть окончательные сведения о задании, включая время работы/процессора и другие используемые ресурсы, вы можете использовать инструмент qacct, чтобы просмотреть задания журналы учета,

 $qacct-j 3978336
================================================== ============
qname серийный номер.q
имя хоста node052.cm.cluster
группа mb325_g
владелец mb325
проект НЕТ
отдел по умолчаниюотдел
имя задания fibonacci.job
номер задания 3978336
идентификатор задачи не определен
аккаунт sge
приоритет 0
cwd /home/m/mb/mb325/projects/hpc/job_templates/batch_serial
submit_host Фейнман.см.кластер
submit_cmd qsub fibonacci.job
qsub_time 21.10.2014 11:38:31.275
start_time 21.10.2014 11:38:31.562
время окончания 21.10.2014 11:38:31.687
grant_pe НЕТ
слоты 1
не удалось 0
удалено_от НЕТ
выход_статус 0
ru_wallclock 0.125
ru_utime 0.037
ru_stime 0.037
ru_maxrss 5336
ru_ixrss 0
ru_ismrss 0
ru_idrss 0
ru_isrss 0
ru_minflt 9080
ru_majflt 0
ru_nswap 0
ru_inblock 0
ru_oublock 192
ru_msgsnd 0
ru_msgrcv 0
ru_nsignals 0
ru_nvcsw 207
ru_nivcsw 14
процессор 0.074
память 0.000
ио 0.000
0,000
максвпамять 0.000
макс.рсс 0.000
макспсс 0.000
сухой неопределенный
jc_name НЕТ
 

Обратите внимание, что ru_wallclock здесь сообщает время стены (в секундах) ваша работа длилась — полезно, если вы хотите иметь представление о том, как долго вы работа занимает. Здесь также есть статистика по памяти, процессору и прочему. используемые ресурсы, которые могут быть очень полезны для профилирования вашей работы потребности.

Более простой способ устранения неполадок в задании — найти такую ​​информацию, как node,qname,submit_cmdetc , с помощью команды (например,грамм. искать используемый узел) qacct -j JOBID | grep-узел .

Чтобы иметь возможность включить больше строк, используйте, например. qacct -j ID | grep -A 5 -B 5 node Это будет включать 5 строк до (B) и после (A) найденного шаблона (узла). .

Может случиться так, что ваша работа получит состояние ошибки Eqw . В некоторых случаях это может зависеть от того, что на узле не было работающего файлового сервера или ресурса. Нередко ошибка может быть временной; в этом случае вы можете попытаться удалить ошибку с помощью qmod -cj JOBID .Будет предпринята попытка запустить задание С ТЕМ ЖЕ ЗАДАНИЕМ. Если ошибка повторяется, устраните неполадки с помощью qacct.

Если вы обнаружите, что некоторые узлы не работают должным образом, вы можете отправить задание и попросить их избегать. Например, если node010 и node020 не работают должным образом или у них нет того, что вы хотите, вы можете попросить планировщик НЕ использовать их с помощью команды вроде: qsub -l h='!node010&!node020' jobscript Где "! " говорит планировщику НЕ использовать их. Аналогичным образом для выбора конкретных узлов вы можете использовать: qsub -l h='node015&node025' (обратите внимание на отсутствие знака "!".

Убить свою работу

Вы можете завершить задание в любой момент его жизненного цикла с помощью команды

.
 qdel -j идентификатор задания




# Чтобы убить все ваши рабочие места
qdel -u $ПОЛЬЗОВАТЕЛЬ
 

Конечно, вы можете использовать это с другими утилитами для создания более избирательной команды,

 # Используйте qstat и другие утилиты, чтобы выбрать свои задания в состоянии «Eqw» и убить их.
qstat -u $ПОЛЬЗОВАТЕЛЬ | grep 'экв' | awk '{напечатать $1}' | xargs -I {} qdel -j {}
 

Иногда, когда вы пытаетесь убить свою работу, она не исчезает из qstat и остается в состоянии д-р сказать.Обычно это происходит из-за того, что sge_execd демон на вычислительном узле, где выполняется ваше задание, не отвечает (возможно, узел умер). Вы можете принудительно удалить, выполнив:

, и это должно очистить его.

Повторная отправка задания

Иногда вместо того, чтобы убить свою работу, вы просто хотите перезапустить ее снова. Возможно, ваше задание не удалось запустить, потому что выходной каталог задания не существует. Итак, у вас есть много рабочих мест в состоянии Eqw, и вы устранили проблему. Для этого можно использовать инструмент qresub.

Изменение приведенного выше примера,

 # Используйте qstat и другие утилиты, чтобы выбрать свои задания в состоянии «Eqw» и повторно отправить их.
qstat -u $ПОЛЬЗОВАТЕЛЬ | grep 'экв' | awk '{напечатать $1}' | xargs -I {} qresub {}
 

Это вернет задания в очередь кластера, новые задания будут новых уникальных идентификатора задания , они не сохранят старые идентификаторы, поэтому вы, вероятно, захотите затем qdel старые рабочие места еще.

Изменение вашей работы

Утилита qalter позволяет изменять параметры пакетной системы, предоставляемые твоя работа.Обычно вы хотели бы сделать это, пока работа находится в состояние очереди/ожидания, но некоторые параметры также могут работать с запущенными заданиями. слишком. Лучше всего прочитать справочную страницу или обратиться в службу поддержки, если вы хотите использовать это.

Например, вы можете изменить очередь, в которую вы отправили свое задание, например,

 # Изменить очередь заданий на serial.q
qalter -q serial.q идентификатор задания
 

9 советов по предотвращению неправомерного использования учетных записей службы Active Directory


С точки зрения безопасности всегда рекомендуется использовать специальные учетные записи служб для запуска служб приложений вместо системных учетных записей.Причина в том, что если учетная запись службы скомпрометирована, потери будут ограничены по сравнению с системной учетной записью. Однако любое нарушение данных (большое или маленькое) представляет собой угрозу для ИТ-безопасности, и если их можно так легко избежать, какой смысл ослаблять безопасность? Безопасность учетных записей служб в Active Directory важна, и вы можете сделать несколько простых вещей, чтобы обеспечить ее. Вот девять советов, как предотвратить неправомерное использование учетных записей служб и обеспечить их безопасность:

1. Устранить ненужные права доступа

При создании служебной учетной записи всегда помните, что она должна иметь только минимальные привилегии, необходимые для выполнения поставленной задачи.Например, несколько дополнительных привилегий, от которых вы можете отказаться, — это функции удаленного доступа, вход в службу терминалов, доступ к Интернету и электронной почте, а также права удаленного управления.

Все эти параметры можно легко настроить. На следующем изображении показан отказ в доступе к разрешениям на доступ к сети, которые доступны на вкладке «Dial-in».

Вы должны открыть «Пользователи и компьютеры Active Directory», получить доступ к контейнеру «Пользователи», щелкнуть правой кнопкой мыши учетную запись пользователя и получить доступ к ее свойствам. Перейдите на вкладку «Дозвон».

Рисунок 1: Отказ в ненужных привилегиях

2. Создайте сервисные учетные записи с нуля

В некоторых из прошлых случаев неправомерного использования учетных записей служб было обнаружено, что учетные записи имели дополнительные привилегии, поскольку они были созданы путем копирования старых учетных записей с высокими привилегиями. При создании новой служебной учетной записи путем копирования вы рискуете непреднамеренно назначить чрезмерные привилегии, поскольку роль старой учетной записи может отличаться от новой. Копирование облегчает административное бремя, но сопряжено с риском!

3.Не помещайте учетные записи служб во встроенные привилегированные группы

Назначение учетных записей служб во встроенных привилегированных группах, таких как локальные администраторы или группа администраторов домена, может быть рискованным. Все в группе будут знать учетные данные учетной записи службы, и эти учетные данные могут быть использованы не по назначению. Кроме того, отследить нарушителя будет сложно, поскольку учетные данные будут известны нескольким администраторам в этой группе.

Если по какой-либо причине вам необходимо назначить учетную запись службы в привилегированную группу, создайте пользовательскую группу и вместо этого добавьте в нее учетную запись службы.Затем явно запретите доступ к другим учетным записям этой группы. Такие меры исключат возможность неправомерного использования сервисного аккаунта.

4. Запретить доступ к сервисным учетным записям через ACL (DACL)

Чтобы защитить важные объекты, такие как файлы, папки, общие папки и объекты реестра, от неправомерного использования учетной записи службы, вы можете использовать ACL (список управления доступом)/DACL (дискреционный список управления доступом).

Вы можете использовать флажок «Запретить» на странице свойств объекта, чтобы запретить разрешения для учетной записи службы.Например, выполните следующие действия, чтобы запретить доступ к папке «Документы»:

  1. Щелкните правой кнопкой мыши папку «Документы» и выберите «Свойства».
  2. В свойствах папки перейдите на вкладку «Безопасность».
  3. Здесь нажмите кнопку «Дополнительно», чтобы получить доступ к дополнительным параметрам безопасности.
  4. На вкладке «Разрешения» «Дополнительных параметров безопасности» нажмите кнопку «Добавить». На экране появится окно «Ввод разрешения».
  5. Щелкните ссылку «Выбрать принципала», чтобы получить доступ к «Выбрать пользователей…»." чат.
  6. Введите имя учетной записи службы и нажмите «Проверить имена». После проверки имени он форматирует его как URL-адрес.
  7. Нажмите «ОК», чтобы вернуться в окно «Ввод разрешений».
  8. Здесь выберите «Запретить» в раскрывающемся меню «Тип».
  9. Нажмите «Полный доступ», чтобы запретить все разрешения.
  10. Нажмите «ОК», чтобы подтвердить свой выбор. Вы вернетесь в «Дополнительные параметры безопасности».
  11. Нажмите «Применить» и «ОК».

После выполнения описанных выше действий разрешения, унаследованные от родителя, переопределяются.Таким образом, даже если учетная запись службы будет скомпрометирована, жизненно важные ресурсы не будут доступны хакерам.

На следующем изображении показан ACL папки «Документы» (доступен на вкладке «Безопасность» в свойствах папки):

Рисунок 3: ACL папки «Документы»

5. Уберите лишние права пользователя

Проверьте и устраните ненужные права пользователя. Некоторые из общих прав пользователя, которые могут быть явно запрещены, — «Запретить доступ к этому компьютеру из сети» и «Запретить вход в систему как пакетное задание».

Чтобы реализовать это, создайте настраиваемый объект групповой политики (GPO) на уровне домена, который отказывает учетной записи службы в праве входа в систему через сеть или в качестве пакетного задания. Перейдите в «Панель управления» «Консоль управления групповыми политиками». Выберите политику и отредактируйте ее в «Редакторе управления групповыми политиками». В редакторе GPO вам нужно перейти в «Конфигурация компьютера», «Политики», «Параметры Windows», «Параметры безопасности», «Локальные политики», «Назначение прав пользователя».

Рисунок 4: Путь политики «Запретить доступ к этому компьютеру…»

Здесь выберите и измените политику «Запретить доступ к этому компьютеру из сети».Шаги показаны на следующем изображении:

Рисунок 5: Настройка политики «Запретить доступ к этому компьютеру…»

6. Используйте параметр «Вход в систему» ​​

Вы можете ограничить количество компьютеров, на которые может войти учетная запись службы, с помощью параметра «Вход в систему». Таким образом, учетные записи служб не смогут получить доступ к файловым серверам с конфиденциальными данными.

Для этого откройте «Пользователи и компьютеры Active Directory», перейдите в контейнер (или организационную единицу), где находится учетная запись службы, щелкните правой кнопкой мыши учетную запись службы и выберите «Свойства».Перейдите на вкладку «Учетная запись».

Рисунок 6: Вкладка «Учетная запись» в свойствах пользователя

Нажмите кнопку «Вход в систему», чтобы открыть следующее окно.

Рисунок 7: Добавление рабочих станций

Выберите параметр «Следующие компьютеры». Затем введите имя компьютера и нажмите «Добавить». Здесь вы можете добавить имена тех компьютеров, на которых может войти любой пользователь с выбранной учетной записью службы. Эта учетная запись службы не будет работать на других компьютерах, не перечисленных здесь.

7.Учетные записи служб должны быть ограничены для входа в установленное время

Учетные записи служб должны быть настроены для входа в систему только в определенное время дня. Вы можете реализовать этот план, используя опцию «Вход в часы», которая накладывает ограничения по времени и дням. Чтобы применить этот параметр, нажмите «Часы входа» на вкладке «Учетная запись» в свойствах пользователя, как показано ранее.

Рисунок 8. Настройка часов входа в систему

8. Защитите учетные записи служб, настроив пароль

Для защиты учетной записи службы можно использовать два варианта пароля: «Пользователь не может изменить пароль» и «Учетная запись конфиденциальна и не может быть делегирована».Первый вариант гарантирует, что никто, кроме администраторов, не будет контролировать пароль, второй вариант гарантирует, что никто не делегирует учетную запись за неправомерное использование ее привилегий для подключения к локальным или удаленным компьютерам. Оба параметра снова перечислены на той же вкладке «Учетная запись» свойств использования, как показано ранее.

9. Аудит счетов службы

Необходимо включить аудит для всех учетных записей служб и других связанных объектов. Эти параметры аудита можно настроить локально на системном уровне или через GPO на сетевом уровне.После включения аудита необходимо постоянно проверять журналы для защиты учетных записей служб.

 

Собственный аудит Active Directory имеет множество недостатков; включая шум в журналах событий и отсутствие предустановленных отчетов.

Добавить комментарий

Ваш адрес email не будет опубликован.