Esistono tre metodi per connettere un utente remoto o una filiale di un'azienda alla LAN dell'azienda (Figura 9.4). Emulazione terminale è un metodo in cui un utente di un terminale remoto, utilizzando un software speciale, si connette su una rete globale a un altro computer, come nodo locale. Questo metodo viene spesso utilizzato su mainframe e minicomputer, ma non è ampiamente utilizzato sulle LAN. Telecomando è un metodo che consente a un utente remoto di assumere il controllo dei PC locali su una LAN aziendale (ovvero, controllare uno dei PC sulla LAN). La velocità della sessione e le sue capacità dipendono dalle caratteristiche del PC controllato, poiché è su di esso che vengono elaborati tutti i comandi di rete. I codici dei tasti premuti sul PC remoto vengono inviati al PC controllato e tutte le modifiche sullo schermo del PC controllato vengono visualizzate sullo schermo del PC remoto (Fig. 9.5.). I file e le applicazioni in uso non vengono scaricati sul PC remoto. Trasmissione modem a 2400-57600 bps. Svantaggio del metodo: due PC sono coinvolti in un lavoro. Il metodo del nodo remoto si basa sull'utilizzo di un server di accesso remoto, che agisce come una sorta di "controllore del traffico" e consente a un PC o LAN remoto separato di comunicare con una LAN centrale. Il software per PC remoto che implementa le funzioni del sito remoto gli consente di funzionare come un utente LAN a tutti gli effetti. Questo software può essere Windows 98, NT WorkStation. Una volta stabilita la connessione, le linee telefoniche diventano "trasparenti" e l'utente può lavorare con tutte le risorse di rete come se fosse seduto ad un PC connesso direttamente alla LAN. Il server di accesso remoto può essere implementato: -sotto forma di un modem con software speciale integrato; -oppure essere un server LAN che esegue i programmi del nodo remoto (Figura 9.6). È auspicabile che oltre al software del sistema di rete, il PC remoto contenga tutto il software applicativo necessario per la sessione di comunicazione: tutti i file eseguibili (* .exe); applicazioni Windows richieste. In caso contrario, dovranno essere trasmessi dal server di rete al canale di comunicazione. Poiché di solito hanno grandi quantità di dati, ciò richiederà una notevole quantità di tempo. Come ogni utente LAN a tutti gli effetti, il nodo remoto ha il proprio indirizzo di rete. Il sistema operativo di rete converte i pacchetti di rete che devono essere trasmessi tramite il modem da IP o IPX in un formato compatibile con lo standard seriale. Con l'avvento di sempre più programmi che supportano l'architettura client-server, la tendenza verso il software per siti remoti è in aumento, poiché tali programmi consentono di elaborare file di dati di grandi dimensioni su server LAN e trasferire solo i risultati dell'elaborazione su un PC remoto.
Disposizioni generali
L'accesso remoto è un concetto molto ampio che include vari tipi e opzioni per l'interazione di computer, reti e applicazioni. Esistono un numero enorme di schemi di interazione che possono essere chiamati accesso remoto, ma sono uniti dall'uso di canali globali o reti globali durante l'interazione. Inoltre, per l'accesso remoto, di regola, è caratteristica l'asimmetria dell'interazione, cioè, da un lato, c'è una grande rete centrale o un computer centrale e, dall'altro, c'è un terminale remoto separato, un computer o una piccola rete che deve accedere alle risorse informative della rete centrale. Negli ultimi due anni, il numero di aziende con reti aziendali distribuite geograficamente è cresciuto in modo significativo. Pertanto, una buona scalabilità e supporto per un gran numero di client remoti sono molto importanti per i moderni strumenti di accesso remoto.
Le principali tendenze nello sviluppo di strumenti di controllo remoto
Standardizzazione. Di recente sono state utilizzate soluzioni proprietarie per la gestione remota delle reti aziendali, che si distinguono per l'utilizzo di protocolli proprietari per il trasferimento dei dati su reti telefoniche e metodi proprietari per l'autenticazione degli utenti remoti, oltre che per metodi originali di fornitura delle risorse di rete centrale. Naturalmente, ciò ha causato alcuni problemi quando era necessario "unire" due reti, che in precedenza avevano configurazioni diverse degli strumenti di gestione della rete, e durante la formazione di specialisti e in altre situazioni. Oggigiorno sempre più componenti standard lavorano nei sistemi di controllo: protocollo di trasferimento dati PPP; "Gentleman's set" di strumenti di autenticazione - utilizzando Kerberos, Novell NDS o Microsoft Directory Services; fornitura di risorse informative a utenti remoti che utilizzano il servizio WWW o gli stessi servizi che funzionano nella rete locale. Questo processo semplifica la comunicazione dei server di accesso remoto con i client e i sistemi operativi di rete in esecuzione sulla rete locale. Sebbene sia ancora lontana dalla piena standardizzazione (è, come sempre, piuttosto un obiettivo), negli ultimi anni la situazione è cambiata radicalmente.
Maggiore velocità di accesso. I principali sforzi degli operatori di servizi di telecomunicazione oggi sono volti a superare il limite di 56,2 Kbps imposto dai modem analogici per l'utenza di massa. Inoltre, la trasmissione di informazioni tramite Internet è, per usare un eufemismo, non sicura. Pertanto, l'opzione ideale sarebbe creare una rete privata virtuale - VPN (puoi leggere di questa tecnologia in ComputerPress n. 5 "2001). Non ci soffermeremo sui problemi di connessione fisica di utenti o sottoreti, li considereremo solo in un volume minimo.
Il collegamento di una rete aziendale a Internet è giustificato se è necessario accedere ai servizi appropriati. Vale la pena utilizzare Internet come mezzo di trasmissione dati solo quando non sono disponibili altri metodi e quando le considerazioni finanziarie superano i requisiti di affidabilità e sicurezza.
Uno dei problemi più discussi nell'amministrazione remota è la sicurezza. Se è possibile controllare a distanza la tua rete, qualunque sia la tecnologia utilizzata, ci saranno una serie di problemi associati alla garanzia della sicurezza delle informazioni trasmesse sulla rete.
Quando può essere pericoloso
Abbiamo scritto in diverse occasioni sull'importanza di garantire la sicurezza durante la trasmissione di informazioni su una rete pubblica. Come dimostra la pratica, i casi di hacking di rete sono ancora abbastanza comuni. Ripetiamo ancora una volta quali pericoli possono minacciare una rete privata quando si utilizza questa o quella tecnologia di trasmissione dati. Prima di tutto, questa è l'intercettazione delle informazioni durante la trasmissione. È qui che possono aiutare gli strumenti di crittografia, che risolvono solo parzialmente il problema, poiché si applicano principalmente ai trasferimenti di posta e file. Le soluzioni che consentono di crittografare le informazioni in tempo reale con una velocità accettabile (ad esempio, quando si lavora direttamente con un database remoto o un file server) sono ancora inaccessibili e costose. Esiste, ovviamente, un mezzo di protezione contro l'accesso non autorizzato alla rete: Firewall (firewall). Tuttavia, non dovrebbe essere considerato una panacea: pensa a virus e programmi antivirus. Qualsiasi protezione può essere interrotta, soprattutto se le informazioni ricevute valgono il costo della violazione. Pertanto, raccomandare Internet come base per sistemi che richiedono affidabilità e privacy è possibile solo come ultima risorsa e utilizzando tutte le misure di sicurezza, inclusi firewall, crittografia dei canali e VPN. Inoltre, non dobbiamo dimenticare il fattore umano: i dipendenti “dentro” e “fuori” dalla rete aziendale. Ma questo è un argomento per un articolo separato.
Si noti che le tecnologie X.25 e Frame Relay possono essere utilizzate per organizzare l'accesso remoto, che forniscono una serie di possibilità molto interessanti. Il problema dell'accesso non autorizzato può essere risolto in modo abbastanza efficace anche tramite la rete stessa. Oggi esistono strumenti di crittografia progettati specificamente per le reti X.25 e Frame Relay e che consentono di lavorare a velocità ragionevolmente elevate. Tali apparecchiature sono prodotte da Racal, Cylink, Siemens. Ci sono anche sviluppi nazionali creati sotto gli auspici della FAPSI. Naturalmente, ci sono sviluppi per le reti basate su IP, di cui abbiamo scritto molte volte in articoli sulla sicurezza.
Schemi di controllo della rete remota
Passiamo ora agli schemi per la gestione della rete remota. Nella fig. 1 mostra i principali schemi di accesso remoto, che differiscono per tipologia di sistemi interagenti: 1 - "terminale-computer"; 2 - "computer-computer"; 3 - "rete di computer"; 4 - "rete-rete".
I primi tre tipi di accesso remoto sono spesso combinati sotto il concetto di accesso individuale e gli schemi di accesso da sito a sito sono talvolta divisi in due classi: ROBO (RegionalOffice / BranchOffice) e SOHO (SmallOffice / HomeOffice). La classe ROBO corrisponde al caso di connessione alla rete centrale di reti di medie dimensioni - reti di divisioni regionali dell'impresa, e la classe SOHO - al caso di accesso remoto di reti di piccoli uffici e reti domestiche.
Un posto speciale tra tutti i tipi di accesso remoto a un computer è occupato dal metodo in cui l'utente ha l'opportunità di lavorare in remoto con il computer nello stesso modo in cui lo controllava utilizzando un terminale connesso localmente. In questa modalità, può eseguire programmi su un computer remoto e vedere i risultati della loro esecuzione. Inoltre, questo metodo di accesso è solitamente suddiviso in accesso al terminale e controllo remoto. Sebbene si tratti di modalità operative simili, non è consuetudine combinarle in un'unica classe nella descrizione dei prodotti di accesso remoto. In genere, l'accesso al terminale è inteso come la modalità carattere di un utente con sistemi operativi multiutente remoti: UNIX, VAXVMS, sistema operativo mainframe IBM. La classe di controllo remoto include programmi per emulare lo schermo grafico del sistema operativo dei personal computer - principalmente diverse versioni di Windows, e recentemente questa classe include sistemi Linux, Solaris, ecc.
Molti produttori di sistemi operativi hanno fornito nei loro stack di protocolli mezzi di accesso dell'utente terminale ai computer sulla rete. Questi strumenti consentono a un utente che lavora su un computer connesso alla rete di trasformare lo schermo del monitor in un emulatore di terminale di un altro computer anch'esso connesso alla rete. Il più popolare di questo tipo è il protocollo telnet dello stack TCP / IP, che ha avuto origine nel sistema operativo UNIX e da allora è stato inestricabilmente collegato ad esso.
A differenza dei sistemi di accesso al terminale, che trasformano il computer dell'utente in un emulatore dello schermo del computer centrale, il supporto della modalità nodo remoto rende la macchina chiamante un collegamento a tutti gli effetti nella rete locale. Ciò è possibile grazie al fatto che il computer remoto esegue lo stesso stack di protocolli dei computer della rete locale centrale, ad eccezione del collegamento dati e dei protocolli del livello fisico. I protocolli modem (livello fisico) e i protocolli di collegamento punto-punto come SLIP, HDLC e PPP operano a questo livello invece dei tradizionali protocolli Ethernet o Token Ring. Questi protocolli vengono utilizzati per trasferire pacchetti di rete e altri protocolli di livello superiore sulle reti telefoniche. Pertanto, viene eseguita la comunicazione a tutti gli effetti del nodo remoto con il resto dei nodi di rete.
Il servizio del nodo remoto fornisce una connessione di trasporto alla rete locale, quindi, il nodo remoto può utilizzare tutti i servizi disponibili per i client della rete locale, ad esempio, il servizio file NetWare, il servizio telnet o X-Window del sistema operativo UNIX e l'amministrazione di Windows NT.
Le maggiori difficoltà sono causate dal controllo remoto dei popolari sistemi operativi desktop della famiglia Windows, OS / 2, ecc. Questo perché non esiste un protocollo di emulazione terminale standard per questi sistemi come telnet o X-Window per UNIX o LAT per VAXVMS. Inoltre, questi sistemi operativi sono più familiari all'utente finale e sarebbe molto conveniente per lui utilizzare la familiare interfaccia grafica di Windows durante la gestione di un host remoto. Pertanto, il resto di questo articolo si concentrerà sugli strumenti di gestione remota incorporati nei sistemi operativi UNIX, Windows e NetWare, nonché su quelli creati da fornitori di terze parti.
Strumenti di amministrazione remota integrati nei sistemi operativi
Famiglia UNIX
UNIX può essere definito un sistema operativo adatto per le attività di amministrazione del sistema e della rete, ma molto peggio per le applicazioni da ufficio. Trattandosi di un sistema di amministrazione remota, non di un sistema desktop, possiamo dire che grazie ai servizi telnet, qualsiasi utente autorizzato può gestire la rete da qualsiasi parte del mondo avviando un terminale remoto sul proprio computer. L'unico grave inconveniente di questo approccio sono gli elevati requisiti per le qualifiche dell'amministratore: deve essere bravo con le utilità della riga di comando. Naturalmente, gli amministratori inesperti hanno grandi difficoltà e gli utenti ordinari semplicemente si fanno prendere dal panico alla vista di uno schermo nero con un cursore della riga di comando lampeggiante.
Recentemente, questa situazione è cambiata in meglio: sono apparse applicazioni client-server che consentono l'amministrazione remota dei sistemi UNIX / Linux in modalità grafica. Un esempio è VNC Server per Suse Linux. Queste applicazioni meritano di essere oggetto di un articolo a parte.
Ora concentriamoci su telnet. È uno degli standard, che conta da tre dozzine a un migliaio e mezzo di materiali ufficiali consigliati sulla rete, chiamato RFC (Request For Comments).
Inizialmente, telnet indicava una triade composta da: interfaccia utente telnet, processo telnet e protocollo telnet.
Questa triade fornisce una descrizione e implementazione di un terminale di rete per accedere alle risorse di un computer remoto.
Telnet è costruito come un protocollo applicativo sul protocollo di trasporto TCP. Quando si stabilisce una connessione telnet, un programma che funziona con un dispositivo terminale reale e il processo di manutenzione di questo programma utilizza un terminale virtuale di rete (NVT) per scambiare informazioni, una descrizione standard delle funzionalità più utilizzate dei dispositivi terminali fisici reali. NVT consente di descrivere e convertire in metodi standard di input e output di informazioni. Il programma terminale (utente) e il processo (server) che lavorano con esso trasformano le caratteristiche dei dispositivi fisici nella specifica NVT, che consente di garantire il principio di compatibilità dei dispositivi con capacità diverse. Le caratteristiche del dialogo sono dettate dal dispositivo meno capace.
Il principio delle opzioni o dei comandi contrattuali consente di concordare le possibilità di emissione di informazioni sui dispositivi terminali. NVT è il set di parametri minimo richiesto che consente anche ai dispositivi più antidiluviani di funzionare tramite telnet. I dispositivi moderni realmente utilizzati hanno capacità di output di informazioni molto maggiori e il principio dei comandi contrattuali consente di utilizzare queste capacità.
L'interazione sul protocollo telnet è simmetrica, il che consente al programma utente e al programma server di scambiarsi di posto durante una sessione. Questo distingue fondamentalmente la comunicazione telnet dal tradizionale schema client-server. Se stiamo parlando dello scambio di informazioni tra due programmi terminali in modalità "terminale-terminale", allora ciascuna delle parti può avviare un cambiamento nei principi di presentazione delle informazioni e allo stesso tempo un'altra caratteristica del protocollo telnet si manifesta qui. Il protocollo non utilizza il principio "richiesta-conferma", ma il principio "azione diretta". Ciò significa che se il programma terminale vuole espandere le possibilità di presentare informazioni, lo fa (ad esempio, inserisce sequenze Esc nel flusso di informazioni) e se in risposta riceve informazioni in una nuova rappresentazione, allora questo indica un tentativo riuscito, altrimenti si verifica tornare allo standard NVT.
Tuttavia, Telnet ha degli svantaggi piuttosto seri: problemi di sicurezza. Se si consentono le connessioni telnet remote alle porte del server, è necessario prestare particolare attenzione al fatto che la persona che si connette alla macchina sta interagendo con uno dei programmi demone. Non ha alcun diritto di lettura / scrittura e non è identificato dal sistema UNIX (non è possibile rilevarlo con il comando who), ma può impartire comandi a questi daemon e, utilizzando errori nei programmi o nella configurazione, accedere alle informazioni memorizzate sul server.
Famiglia Windows
La complessità dell'amministrazione remota di un server Windows NT è sempre stata frustrante per gli amministratori di sistema che si trovavano a dover affrontare questa attività. Sebbene i più esperti abbiano imparato trucchi come l'utilizzo di RCMD (Remote Command Service, RCMD.EXE) in combinazione con regini o regedit, l'amministrazione remota di Windows NT è significativamente diversa dalla sua controparte locale. In questo caso, è necessario padroneggiare strumenti speciali, poiché i sistemi operativi dei personal computer sono sempre stati strettamente legati alla tastiera e al display locali. Infatti, fino a poco tempo fa, la maggior parte dei PC era offline e quindi non necessitava di interagire con altre tastiere o monitor.
Questa lacuna è colmata da una serie di prodotti di terze parti, che saranno discussi di seguito. Ma ci sono anche diversi pacchetti di gestione desktop basati su Windows creati da Microsoft.
Uno di questi è Systems Management Server (SMS) 2.0 (Fig. 2), che è strettamente integrato con Microsoft SQL Server e Crystal Reports e dispone di ampie capacità di gestione delle informazioni. Inoltre, la capacità di SMS di pianificare il processo di manutenzione del database è molto interessante. Come ci si potrebbe aspettare, l'area di diagnosi dei problemi di Windows è ottima.
Tra le carenze disponibili oggi in SMS ci sono le seguenti: nessun supporto per l'installazione dei driver della stampante; la funzione di blocco della configurazione del software sui computer client non è inclusa nella console del pacchetto; non esiste una protezione antivirus integrata.
Se hai solo bisogno di ottenere l'accesso terminale a un computer remoto e hai familiarità con telnet nei sistemi UNIX, è più conveniente utilizzare un prodotto come il server telnet integrato in Windows 2000 Professional.
Per impostazione predefinita, il server telnet è disabilitato a causa di un ovvio rischio per la sicurezza. Per avviare questo servizio, utilizzare il comando: net start telnet
Se hai un client telnet a portata di mano e il server ha un indirizzo IP permanente, puoi aprire una finestra del prompt dei comandi sul server da qualsiasi luogo e da qualsiasi parte del mondo per controllare in remoto il server utilizzando i comandi telnet standard.
Famiglia NetWare
Per gestire le workstation, il sistema operativo NetWare 5 include Z.E.N. funziona (Zero Effort Networking). Sebbene non sia possibile ottenere zero costi di rete, Z.E.N. works rende molto più semplice la gestione remota di più postazioni client. Confrontando Z.E.N. funziona 2.0 con la versione precedente, non si possono non notare le numerose funzionalità aggiuntive dell'ultima versione, ad esempio: distribuzione delle applicazioni in base al soddisfacimento di determinate condizioni, inventario del software della stazione di lavoro e controllo del suo utilizzo, generazione di report.
Per facilitare la gestione dei desktop Windows, Z.E.N. works è strettamente integrato con il servizio di directory NDS. Questo pacchetto è adatto anche per i centri di servizi dislocati geograficamente, i cui server possono memorizzare copie di partizioni NDS.
Con l'installazione di Z.E.N. funziona, hai le seguenti opzioni:
- Supporto per postazioni di lavoro. ZEN. works contiene un agente di registrazione della workstation che registra automaticamente le workstation se la workstation è stata aggiornata a Novell Client utilizzando Z.E.N. funziona o ha effettuato l'accesso alla rete almeno una volta. Dopo che le workstation sono state registrate con NDS, è possibile impostare il controllo remoto distribuendo gli agenti utente appropriati. Sono disponibili due opzioni per la distribuzione automatica dei programmi utente sulle workstation Windows: utilizzando programmi residenti nel terminale (TSR) e utilizzando NAL (Novell Application Launcher). Indipendentemente dallo schema scelto, gli utenti disporranno in ogni caso dei diritti NDS e del file system appropriati per accettare le istruzioni di gestione remota.
- Gestione desktop. L'amministratore di sistema può personalizzare il desktop dell'utente utilizzando due speciali criteri Z.E.N. funziona: criteri di sistema utente (nel pacchetto criteri utente) e criteri di sistema del computer (nel pacchetto criteri workstation). Di conseguenza, il criterio di sistema dell'utente consente di configurare le funzioni del desktop che saranno disponibili per un utente specifico e il criterio del computer consente di configurare le impostazioni di Windows di ciascuna workstation. Un grande vantaggio per Z.E.N. funziona è la capacità di configurare un ambiente di stampa personalizzato utilizzando NDS. È possibile scaricare automaticamente il driver di stampa richiesto per ogni utente quando si registra sulla rete. È anche possibile personalizzare i profili utente, ovvero le impostazioni del desktop come sfondo, salvaschermo e suoni possono essere standardizzate e distribuite a tutti gli utenti dell'azienda.
- Gestione delle candidature. ZEN. works contiene una versione speciale dell'Application Launcher (NAL) che consente di distribuire le applicazioni di rete alle stazioni di lavoro degli utenti e gestirle come oggetti nell'albero NDS. Sono state implementate soluzioni come la tolleranza agli errori e il bilanciamento del carico per garantire l'accesso degli utenti all'applicazione desiderata. Inoltre, se un utente elimina e quindi accede alle librerie dell'applicazione richiesta dal proprio disco rigido, NAL rileverà automaticamente i file mancanti e li ripristinerà.
Tuttavia, nonostante i suoi numerosi meriti, Z.E.N. funziona, ci sono alcuni inconvenienti, ad esempio: non è possibile creare automaticamente una procedura per la disinstallazione delle applicazioni installate e la funzione di controllo dell'utilizzo dell'applicazione non copre le applicazioni locali, il che rende impossibile controllare l'avvio del gioco e di altri programmi indesiderati sulle workstation.
Software di terze parti
I sistemi UNIX / Linux sono stati originariamente progettati per il controllo remoto. Accadde così che le prime macchine UNIX fossero costosi mini-computer, a cui molti terminali erano collegati tramite porte seriali. Anche oggi, con UNIX che introduce un'interfaccia grafica, stabilire una sessione di comunicazione rimane altrettanto semplice su una macchina remota o su una macchina locale (assumendo che l'utente abbia il permesso di avviare una sessione dall'host remoto). Pertanto, se per controllare un computer Linux situato in un altro paese è necessario collegarsi ad esso utilizzando il programma telnet, quindi per risolvere lo stesso problema con un server NT, sarà necessario recarsi in quel paese. Poiché di solito ciò non è possibile, gli amministratori di sistema Windows NT devono cercare il software per colmare questa lacuna.
Gli strumenti di amministrazione di rete forniti nella maggior parte dei sistemi Windows sono sufficienti a livello di utente e gruppo di lavoro. Tuttavia, sono inferiori nella varietà di funzionalità supportate rispetto ai prodotti di terze parti. Quindi, ad esempio, Windows NT Server è utile per amministrare il server e gli utenti in relazione alle risorse condivise, ma ignora molte altre attività, come il controllo delle licenze. Windows NT include un'applicazione di monitoraggio della rete per monitorare il numero di utenti o connessioni sulla rete rispetto al numero di licenze acquistate, ma non può fare lo stesso per altre applicazioni in esecuzione sul server o sulle workstation.
I tre prodotti di amministrazione di rete seguenti sono indicativi dei miglioramenti di NT: Norton Network Series di Symantec, LANDesk Management Suite di Intel e Desktop Management Suite (DMS) di Veritas Software.
Norton Network Series di Symantec include una varietà di prodotti come Norton Administrator Suite (NAS) ed Expose. Lo strumento NAS gestisce l'inventario hardware e software, la distribuzione del software, l'utilizzo del software con licenza, la protezione antivirus e la gestione della configurazione del desktop. Il NAS funziona con un'ampia gamma di piattaforme, inclusi Windows NT Server, NetWare, Banyan VINES e altri. Expose monitora il sistema in tempo reale e invia avvisi per problemi sui server NetWare, NT e VINES. Supporta la console di amministrazione NAS e anche SNMP.
LANDesk di Intel è molto simile all'SMS di Microsoft, di cui si è parlato in precedenza in questo articolo. In pratica, LANDesk dovrebbe essere utilizzato su una rete NetWare con più server Windows NT, mentre SMS dovrebbe essere utilizzato su una rete NT con più server NetWare. LANDesk fornisce supporto per DMI (Desktop Management Interface), oltre a molti altri servizi, incluso l'inventario delle risorse software e hardware, il monitoraggio dell'uso del software con licenza e la distribuzione del software. Inoltre, LANDesk supporta la gestione della stampante per workstation e Norton AntiVirus di Symantec, installato con l'agente di gestione. Infine, il prodotto include strumenti di monitoraggio della rete per monitorare l'utilizzo della rete, identificare i guasti e inviare allarmi ai sistemi di gestione sui server NetWare e Windows NT. Il servizio di gestione della workstation remota viene utilizzato per organizzare l'help desk.
LANDesk dispone di un potente sistema di scripting integrato per la distribuzione del software e per la creazione di un ambiente di programmazione comune per la configurazione della rete. Desktop Manager consente all'amministratore di rete di configurare un ambiente comune per tutte le workstation da una posizione centrale.
Va detto che il metodo di ricerca delle workstation con Common Base Agent implementato nel pacchetto presenta uno svantaggio piuttosto grave. Questo perché LANDesk utilizza le trasmissioni dirette per rilevare le workstation su una sottorete specifica e i router che non le trasmettono tra le sottoreti possono interrompere il processo di rilevamento della stazione di lavoro. In particolare, ciò può accadere se l'amministratore di rete ha disabilitato la funzione di trasmissione diretta sul router.
Veritas produce uno dei pacchetti di gestione dei sistemi più completi, DMS, che fa di tutto, dalla distribuzione del sistema operativo al controllo dell'utilizzo del software. La distribuzione delle applicazioni in base all'adempimento delle condizioni nel pacchetto DMS viene eseguita tramite una finestra di dialogo, non un gruppo di richieste. Gli strumenti di gestione delle informazioni includono una serie di report e modelli di query che è possibile utilizzare per generare query sull'intero database del prodotto. Inoltre, è molto piacevole che DMS comunichi all'amministratore gli eventi relativi all'installazione delle applicazioni tramite i protocolli SMTP e SNMP.
Oltre alle modalità di accesso alle postazioni solo con il permesso dei propri utenti o senza di esso, i client DMS possono essere configurati in modo tale da chiedere il permesso agli utenti, e se dopo un po 'di tempo non c'è risposta, allora essi stessi hanno consentito la sessione di controllo remoto.
Il problema principale quando si lavora con DMS è la mancanza di una gestione remota centralizzata. Il controllo di un gran numero di workstation senza la funzione di controllo remoto è semplicemente impensabile e la presenza di password individuali per le workstation complica notevolmente questo processo.
ComputerPress 7 "2001
Al giorno d'oggi anche per i cani ha inventato il telecomando .
Tornando al ciclo "Sinossi dell'amministratore", vorrei parlare delle opzioni per l'esecuzione di programmi eseguibili su computer remoti. Questo articolo sarà di interesse per coloro che non dispongono ancora di sistemi di gestione centralizzati, ma hanno già una comprensione della noiosità di bypassare manualmente workstation e server. O chi non è interessato a soluzioni “chiavi in \u200b\u200bmano” perché antisportive.
Per quanto riguarda il motivo per cui è necessario un tale lancio di programmi, si può citare la recente isteria con Petya \\ Not-Petya, quando tutti si sono precipitati a controllare / disabilitare e scaricare gli aggiornamenti. Sì, ed è anche possibile eseguire un inventario o installare una patch urgente utilizzando questo metodo.
C'era una volta un lavoro in un'organizzazione durante l'epidemia di Kido \\ Conficker. Il modo più semplice per scoprire se tutto va bene nell'IP dell'azienda è stato uno strumento glorioso di Kaspersky chiamato Kido Killer, che ha verificato la presenza di un virus e lo ha eliminato. Non era divertente eseguire manualmente il programma su un centinaio di macchine, quindi ho dovuto familiarizzare con l'automazione.
Se nei sistemi operativi * nix SSH viene solitamente utilizzato per l'avvio remoto, Windows ha modi per avviare programmi e script veramente come la sabbia nel deserto. Esaminerò le opzioni principali, sia note che esotiche. Non toccherò cose così ovvie come un server telnet, soprattutto perché Microsoft lo ha già rimosso dai sistemi operativi moderni.
I metodi sono vecchi, collaudati nel tempo
Psexec
Forse questa è la prima cosa che viene in mente quando si tratta di eseguire programmi in remoto. L'utilità di Mark Russinovich è stata utilizzata sin dai tempi di Windows NT ed è ancora in uso. Oltre alla funzione principale, è possibile utilizzarlo sia come Runas che per eseguire programmi in una sessione utente di un terminal server. Psexec consente inoltre di specificare i core del processore su cui verrà eseguito il programma e la sua priorità nel sistema.
Ad esempio, vediamo se è stato installato un aggiornamento che copre la sensazionale vulnerabilità SMB nell'elenco dei computer:
psexec @ computers.txt / u USER / p PASS cmd.exe / v / c "" info di sistema | trova "KB4012212" || echo! nomecomputer! \u003e\u003e \\\\ server \\ condividi \\ log.txt "" "
Il file computers.txt contiene un elenco di computer. Puoi utilizzare \\\\ * per eseguire l'intero dominio. Il file \\\\ server \\ share \\ log.txt visualizzerà i nomi delle workstation o dei server senza aggiornarli. Se ci sono computer con * nix a bordo nel dominio o non c'è accesso alla risorsa di rete amministrativa Admin $ - il comando non verrà eseguito su questa macchina, ma l'elaborazione continuerà. Per evitare che lo script si blocchi a ogni tentativo di connessione, è possibile impostare un timeout utilizzando il tasto -n.
Se il computer è spento, non lo sapremo. Pertanto, è meglio controllare preventivamente la disponibilità delle macchine o raccogliere informazioni sull'esito positivo o negativo in un file.
Per contro Psexec può essere attribuito al fatto che è spesso utilizzato dagli autori di virus per la sua praticità e popolarità. Pertanto, i sistemi antivirus possono rilevare l'utilità come una minaccia di amministrazione remota.
Per impostazione predefinita, il processo sulla macchina remota viene eseguito come l'utente che ha avviato Psexec. Se necessario, il nome utente e la password possono essere impostati esplicitamente oppure è possibile utilizzare l'account SYSTEM.
WMIC
WMI (Windows Management Instrumentation), un'implementazione dello standard di gestione orientato agli oggetti WBEM, viene spesso utilizzato per gestire i sistemi Windows utilizzando varie utilità grafiche. È possibile utilizzare wbemtest.exe come utilità GUI per lavorare con WMI.
Per lavorare con WMI dalla console, creato wmic.exe... Ad esempio, invece del costrutto inquietante dell'esempio precedente, puoi utilizzare un semplice comando per verificare la presenza di aggiornamenti installati:
wmic / node: "servername" qfe ottiene hotfixid | trova "KB4012212"
È inoltre possibile utilizzare l'elenco dei computer con il comando /node:"@computers.txt ".
Puoi anche eseguire programmi utilizzando WMI: la sintassi è estremamente semplice:
wmic / node: chiamata al processo "servername" crea "cmd / c somecommands"
Sfortunatamente, a differenza di Psexec, non sarai in grado di ottenere l'output nella console: dovrai inviare i risultati del comando in un file.
Per impostazione predefinita, il processo sulla macchina remota viene eseguito come l'utente che ha avviato wmic. Se necessario, il login e la password possono essere impostati esplicitamente.
Criteri di gruppo e script
Se le opzioni precedenti non richiedevano un ambiente di dominio, in questo caso è richiesto un dominio. Gli script sono supportati quando un utente accede e esce dal sistema, nonché quando si accende e si spegne. Dal momento che ogni amministratore di Windows li ha incontrati, non descriverò in dettaglio come usarli - ti ricorderò solo dove trovarli.
Script che vengono eseguiti all'avvio e all'arresto del sistema.
Script che vengono eseguiti quando un utente accede e si disconnette.
Gli script configurati nella sezione utente vengono eseguiti per conto dell'utente e nella sezione computer - sotto l'account SYSTEM.
Attività pianificate
Un modo piuttosto interessante che merita il diritto alla vita. Le attività pianificate possono essere create dalla riga di comando utilizzando l'utilità schtasks.exe, eseguili, quindi elimina. Maggiori dettagli sulla sintassi possono essere trovati nella documentazione, ma analizzerò un esempio di utilizzo di attività pianificate in un ambiente di dominio. Supponiamo di dover eseguire un comando il più rapidamente possibile, indipendentemente dal fatto che il computer sia spento o meno. Questa operazione viene eseguita utilizzando le cosiddette preferenze dei criteri di gruppo.
Cercare l'installazione delle attività pianificate nella configurazione del computer o dell'utente - "Impostazioni - Impostazioni del pannello di controllo - Attività pianificate".
Crea una nuova attività pianificata.
Per eseguire un comando o uno script ASAP, sarà necessario creare un "Attività immediata (Windows 7 e versioni successive)". Se all'improvviso ci sono macchine che eseguono Windows XP nell'infrastruttura, allora "L'attività successiva (Windows XP)" andrà bene.
Vale la pena creare diversi criteri con filtri WMI appropriati o creare due diverse attività pianificate in un criterio di destinazione, ad esempio utilizzando lo stesso filtro WMI. Ciò consentirà di evitare conflitti in un ambiente eterogeneo con Windows vecchio e nuovo.
Un esempio di un filtro WMI per applicare il criterio solo ai computer che eseguono Windows XP:
SELEZIONA * DA Win32_OperatingSystem WHERE Version LIKE "5.1%" AND ProductType \u003d "1"
Il resto della procedura per creare un'attività pianificata è banale. L'unica cosa, non dimenticare di contrassegnare la voce "Applica una volta e non riapplicare" se l'attività non richiede il riavvio.
Iniziamo l'attività immediata solo una volta.
Con queste attività pianificate, il programma verrà avviato non appena il computer riceverà un aggiornamento di Criteri di gruppo. Questo è comodo: non è necessario verificare la disponibilità dei computer nel caso di Psexec e wmic e obbligare gli utenti a riavviare i propri computer, come nel caso degli script di Criteri di gruppo. Se necessario, è possibile copiare il file di script in locale nella sezione Impostazioni - Configurazione di Windows - File.
Le attività pianificate consentono di impostare esplicitamente il nome utente per l'avvio del programma, incluso per SYSTEM.
Attraverso il registro
La modifica del registro sulle macchine degli utenti è un'opzione strana, solo in caso di emergenza. Puoi usare i rami Run o RunOnce. Maggiori informazioni su di loro nella documentazione. La stessa modifica del registro può essere eseguita tramite criteri di gruppo o dalla riga di comando, ad esempio con il seguente comando:
reg aggiungi \\\\ COMPUTER \\ HKLM \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ RunOnce / v script / t Reg_SZ / d "script.cmd"
A seconda del ramo del registro, il processo verrà eseguito con l'utente che ha effettuato l'accesso al sistema o con l'account SYSTEM.
Esistono altri modi, come modificare i collegamenti nella cartella Avvio o aggiungerli a un collegamento a un programma popolare && script.cmd, ma questi metodi sono già della serie "è possibile, ma non necessario".
Ora passiamo ai nuovi strumenti.
Nuovi metodi o dove senza PowerShell
PowerShell, fedele al suo nome, può connettersi a computer remoti utilizzando WMI, RPC e WS-Management (WSMan). L'utilizzo di quest'ultimo metodo richiede una configurazione preliminare.
I cmdlet che non richiedono la preconfigurazione hanno in genere un parametro ComputerName, ma nessun parametro Session. È possibile visualizzare un elenco di tali cmdlet con il comando:
Get-Command | dove ($ _. parameters.keys -contains "ComputerName" -e $ _. parameters.keys -noncontains "Session")
Per configurare WSMan, in generale, è sufficiente eseguire il comando Abilita-PSRemoting-Force. Avvierà il servizio di gestione remota WinRM e registrerà le eccezioni nel firewall: in linea di principio, ciò può essere fatto per l'intero dominio utilizzando i criteri di gruppo. La configurazione è descritta in maggior dettaglio nella documentazione.
Dopo che tutti i computer sono pronti ad accettare le richieste, possiamo connetterci utilizzando i cmdlet di PowerShell appropriati. Per testare la connettività, utilizzare il cmdlet Test-WSMan.
Verifica della connettività.
Per eseguire un comando o uno script specifico, utilizzare il cmdlet Invoke-Commandcon la seguente sintassi:
Richiama-Command -ComputerName COMPUTER -ScriptBlock (COMMAND) -credential USERNAME
Dove COMPUTER è il nome del computer, COMMAND - è il nome del comando e USERNAME è il nome utente, se applicabile.
Esaminiamo il contenuto del disco da un computer remoto.
Se abbiamo bisogno di ottenere una console a tutti gli effetti, non per motivi di automazione, ma per controllare un computer specifico, allora possiamo utilizzare il cmdlet Enter-PSSession.
Lavoriamo nella console di un computer remoto.
Permettimi di ricordarti che con l'aiuto puoi limitare i cmdlet disponibili a tale sessione o dare accesso a quelli necessari senza diritti di amministratore.
Naturalmente, oltre agli strumenti incorporati e alle piccole utilità, ci sono molti programmi per la gestione della struttura. Oltre a soluzioni mature, strumenti di monitoraggio come Zabbix e persino la console di controllo di Kaspersky Anti-Virus possono essere utilizzati per gestire configurazioni come Chef, Ansible e MS SCCM.
In un periodo di strutture eterogenee, sarebbe bello poter gestire Windows e Linux in modo unificato. Questo può essere fatto usando PowerShell, che di per sé è degno di un articolo a parte: ne vale la pena o è troppo?
Gli amministratori di rete Windows conoscono meglio le carenze degli strumenti di gestione remota incorporati nel sistema operativo. Nonostante alcuni progressi nel loro sviluppo in termini di miglioramento delle utilità della riga di comando e di accesso remoto ai server tramite un'interfaccia grafica (Windows 2000 Server Terminal Services), le funzionalità e la sicurezza limitate che forniscono lasciano ampio spazio agli sviluppatori indipendenti.
A loro volta, i pacchetti di gestione remota come Timbuktu di Netopia o pcAnywhere di Symantec hanno requisiti hardware relativamente elevati per mantenere i livelli di prestazioni richiesti. È noto che nel processo di scambio di informazioni con una macchina remota, la parte del leone della larghezza di banda del canale viene spesa per la trasmissione del traffico associato al funzionamento della shell grafica di Windows. Inoltre, tali programmi sono piuttosto costosi e con l'aumento del numero di posti di lavoro, il prezzo aumenta. In queste condizioni, il Remote Administrator (RAdmin) di Famatech sembra essere una vera manna dal cielo.
Inizio del lavoro
Il programma è sorprendentemente poco impegnativo per l'hardware: vengono dichiarati computer basati su processore Intel 386, dotati di 8 MB di RAM, con Windows 95 installato come configurazione minima Il protocollo TCP / IP deve funzionare nella rete. Se utilizzi Windows NT 4.0, installa SP4 o un pacchetto di hotfix successivo. Per l'installazione, l'utente deve disporre dei diritti di amministratore (Windows NT / 2000).
Il programma è costituito da due componenti: una parte server su ciascun computer gestito e un modulo di controllo sulla macchina dell'amministratore. Il programma può funzionare in modalità di servizio Windows NT, Windows 2000 e Windows 9x. Per installare, è necessario decomprimere l'archivio, eseguire il file Setup.exe e seguire le istruzioni. Al termine dell'installazione, nel menu del pulsante Start (Start) apparirà un gruppo con gli elementi per l'avvio delle parti server e client, l'accesso alle impostazioni e il file della guida.
Va tenuto presente che l'accesso simultaneo al driver di acquisizione video da più programmi può portare alla distruzione del sistema durante il processo di avvio. Pertanto, gli utenti di Windows NT che desiderano utilizzare il server RAdmin con un driver di acquisizione video devono disabilitare altri programmi di accesso remoto che utilizzano questa tecnologia (NetMeeting 3.0+, SMS, Timbuktu). Una soluzione alternativa è disabilitare il driver dalla riga di comando utilizzando l'opzione, ovvero: r_server.exe / uninstalldrv.
Installazione remota di RAdmin
L'amministratore di una rete di grandi dimensioni deve certamente essere in grado di installare il lato server del programma sulla rete. Questo processo è facile da automatizzare con uno script (vedi Listato 1 per un esempio). Lo script crea un'unità di rete temporanea, copia i file del server RAdmin nella cartella di sistema di Windows, installa RAdmin come servizio, salva le impostazioni nel registro e rimuove l'unità di rete.
Listato 1. Script per installare RAdmin sulla rete.
net use z: serverd copia "z: install admin _server.exe" "c: winntsystem32 _server.exe" copia "z: install admin addrv.dll" "c: winntsystem32 addrv.dll" copia "z: install adminadmdll.dll" "c: winntsystem32admdll.dll" c: winntsystem32 _server.exe / install / silence regedit.exe /sz:installsettings.reg net use z: / deletePer un'applicazione specifica, è sufficiente sostituire i valori reali dei percorsi ai file. Quando si esegue questo script in Windows NT, l'utente deve disporre dei diritti di amministratore. Il file settings.reg contiene le impostazioni necessarie. Per generare un file di questo tipo, è necessario eseguire le seguenti operazioni: impostare i valori delle impostazioni necessari su uno dei computer (ulteriori informazioni sulle impostazioni verranno descritte di seguito) utilizzando la voce "Impostazioni server RAdmin" nel menu "Start", quindi esportarle utilizzando regedit.exe nel file delle impostazioni .reg per riferimento futuro. Le impostazioni si trovano nella sezione HKEY_LOCAL_MACHINESYSTEMRAdminv2.1Server e il loro scopo esatto è descritto nella documentazione del programma.
Opzioni di connessione
Se viene utilizzato il protocollo TCP / IP, non importa se i computer sono collegati da una rete locale ad alta velocità, collegati alla rete locale tramite modem o tramite Internet. Nel secondo caso RAdmin funziona non con un modem, ma con una connessione TCP / IP, che si configura tramite il modulo "Accesso Remoto". Sul lato server è installato un server di accesso remoto e sul lato client è installata una connessione di rete tramite una connessione remota configurata per funzionare tramite il protocollo TCP / IP. Una volta stabilita la connessione, per il client RAdmin viene utilizzato l'indirizzo IP del server remoto dalle proprietà di connessione (o dal "Monitoraggio connessione" nel "Pannello di controllo"). Per stabilire una connessione su Internet, è sufficiente conoscere l'indirizzo IP del computer remoto. Se l'ISP ha assegnato un indirizzo statico, è possibile utilizzarlo. Se l'indirizzo viene assegnato dinamicamente, ci sono due opzioni: scomodo: determina l'indirizzo dopo la connessione a Internet (dovresti usare ipcofig.exe o la descrizione comando dell'icona RAdmin) e trasferirlo sul computer client, e conveniente - usa i servizi DNS dinamici (ad esempio, dns2go .com). Il principio di questi servizi è associare un ip mutevole a un nome DNS fisso assegnato dal servizio.
Stabilire una connessione
Stabilire una connessione è facile. È necessario eseguire il server RAdmin sul computer remoto; l'icona apparirà nella barra delle applicazioni della barra delle applicazioni (se si desidera nasconderla, è necessario selezionare la modalità appropriata nelle impostazioni, come mostrato in Figura 1). Oltre al fatto che l'icona ti permette di scoprire se RAdmin è caricato, facendo doppio clic su di esso si apre un elenco di connessioni correnti e un suggerimento mostra l'indirizzo IP del computer.
Finalmente è arrivato il momento per il quale è stata scritta la parte precedente dell'articolo: è possibile controllare una macchina remota da un computer locale. Quali opportunità si stanno aprendo per noi?
È possibile visualizzare lo schermo del computer remoto in una finestra (vedere Schermo 3) o espanderlo a schermo intero. La finestra può essere ridimensionata, il che consente di disporre più finestre sullo schermo in modo che non si sovrappongano e di controllare più computer quasi contemporaneamente. Confesso che la sorpresa più grande in questo momento è la velocità del lavoro. Anche senza alcuna modifica, con le impostazioni predefinite, lavorare con il programma in modalità a schermo intero può essere fuorviante, poiché si ha la sensazione completa di lavorare su un computer locale (quando si utilizza la tecnologia di acquisizione video in Windows NT, la frequenza di aggiornamento dello schermo può raggiungere diverse centinaia di fotogrammi al secondo) ... L'alta velocità di lavoro non è certo fine a se stessa, ma indubbiamente aumenta la produttività del lavoro.
Una certa comodità risiede nella possibilità di cambiare la modalità di output tra le modalità a schermo intero e in finestra direttamente al volo. Utilizzare il tasto F12 per scorrere le modalità normale, scalabile e a schermo intero. Ovviamente, quando lo schermo del computer remoto è più grande di quello locale, la modalità di visualizzazione normale (scala 1: 1) non è adatta - dovresti usare l'output sulla finestra o sullo schermo intero del computer locale. Se le modalità impostate nelle impostazioni di visualizzazione delle macchine locali e remote sono le stesse, l'immagine in miniatura nella finestra ha un aspetto peggiore rispetto all '"immagine" a schermo intero. Inoltre, l'assenza della necessità di ridimensionare l'immagine ha un effetto positivo sulla velocità di lavoro. L'influenza di altri fattori che influenzano la velocità è descritta nella barra laterale "Trapped by Speed".
RAdmin ti consente di scambiare file con un computer remoto utilizzando un'interfaccia simile a Windows Explorer (vedi. Schermo 4). La finestra di trasferimento file supporta le tecniche di trascinamento della selezione e tutta la manipolazione dei file di base. È possibile rinominare o eliminare un file, creare una cartella, visualizzare le proprietà degli oggetti. Gli utenti che inviano e ricevono spesso file apprezzeranno la funzione di trasferimento automatico della ripresa (introdotta nella versione 2.1). Il processo di trasferimento di grandi quantità di dati viene opportunamente monitorato da una barra di avanzamento. Viene fornita la scelta delle consuete modalità di ordinamento e visualizzazione.
Se si configura una stampante locale per l'uso pubblico su una rete Microsoft e la si installa su un computer remoto, è possibile inviare lì i lavori di stampa dal computer remoto dalle applicazioni avviate con RAdmin.
Vengono forniti il \u200b\u200briavvio remoto e lo spegnimento del computer, la fine e l'inizio di una nuova sessione (le ultime due opzioni sono possibili se il server RAdmin è in esecuzione come servizio).
Un altro vantaggio del client RAdmin è che può essere utilizzato per trasferire i tasti di scelta rapida a un computer remoto senza problemi, comprese le chiavi di sistema. Ad esempio, se è necessario inviare la sequenza Ctrl-Alt-Canc al computer remoto, è necessario utilizzare il comando Invia Ctrl-Alt-Canc nella finestra di connessione. Tieni presente che questa funzione funzionerà solo se connesso in modalità di controllo completo e quando il server RAdmin è in esecuzione in modalità servizio di sistema in Windows NT.
Oltre alle operazioni sui file, esiste un'altra procedura che può essere utile quando si lavora con un computer remoto: lo scambio di dati tra le applicazioni sulle macchine locali e remote tramite gli appunti. Per eseguire tale operazione, è necessario selezionare il frammento di interesse nella finestra del computer locale o remoto e copiarne il contenuto negli appunti nel solito modo (ad esempio, premere Ctrl + C o utilizzare la voce corrispondente nel menu di modifica). Quindi, a seconda della direzione in cui è necessario trasferire i dati, è necessario selezionare il comando "Imposta buffer" (trasferisce i dati al computer remoto) o "Ottieni buffer" (riceve i dati dal computer remoto). Il contenuto degli appunti è stato trasferito. Ora puoi usarlo come al solito, cioè vai all'applicazione desiderata e incolla (ad esempio, usando il comando Ctrl + V).
Se si utilizza Windows NT o 2000 sul server, è possibile l'accesso telnet (sfortunatamente, a causa delle limitazioni del sistema stesso, è impossibile accedere tramite telnet a un computer con Windows 95/98).
Altri casi di connessione
Se non è possibile connettersi direttamente al computer desiderato, è possibile utilizzare la modalità "Connetti tramite ..." nella stessa finestra di connessione (vedere la Figura 2). È necessario abilitare la modalità e selezionare dall'elenco l'indirizzo host che dispone di una connessione TCP / IP al computer desiderato. Ovviamente, il server RAdmin deve essere installato e in esecuzione sul computer intermedio. La tecnica descritta può essere utilizzata se la connessione alla rete avviene tramite un computer e deve essere amministrata un'altra macchina. Un altro esempio è una rete locale in cui solo un computer ha accesso diretto a Internet. È sufficiente installare il server RAdmin su questo computer e puoi collegarti via Internet e ad altri computer della rete locale. Quando si lavora tramite un server proxy o un firewall, aprire la porta per le richieste RAdmin (per impostazione predefinita, la porta 4899). Se per qualche motivo non è possibile aprirlo, è necessario provare a selezionare un numero di porta diverso per la connessione, che è aperto sul server proxy. Gli indirizzi, i numeri di porta e le modalità che è possibile specificare come parametri della riga di comando sono descritti nella barra laterale "Alcune opzioni della riga di comando".
La sicurezza è l'argomento del giorno
Il miglior software di controllo remoto non toccherà il cuore di un amministratore esperto quando viola la sicurezza della tua rete. Qual è il caso di RAdmin? Gli sviluppatori erano consapevoli che un programma che offre ampie opportunità di lavorare con un computer remoto può rendere automaticamente il sistema più vulnerabile. Questo è il motivo per cui RAdmin 2.1 supporta la sicurezza di Windows NT / 2000. È possibile assegnare esplicitamente i diritti di accesso remoto a un solo utente o gruppo di utenti. Per abilitare la protezione di Windows NT / 2000, è necessario abilitare la modalità Usa protezione NT nella finestra di configurazione del server Remote Administrator, quindi fare clic sul pulsante Autorizzazioni. Nella finestra "Autorizzazioni utente" impostare i diritti di accesso
alla connessione RAdmin. È possibile consentire o negare diversi tipi di connessioni in base alla politica di sicurezza di NT. Sono disponibili cinque opzioni di accesso tra cui scegliere: "Reindirizza", telnet, "Sovrascrittura file", "Controllo completo" e "Sfoglia" (è consentita solo la visualizzazione).
Se il supporto per la sicurezza di Windows NT è disabilitato, l'accesso al computer remoto è protetto da password. L'autenticazione viene eseguita utilizzando lo schema di richiesta di conferma (lo stesso metodo viene utilizzato in Windows NT, ma la lunghezza della chiave utilizzata in RAdmin è maggiore). Tutti i dati trasmessi tra computer (screenshot, movimenti del mouse, sequenze di tasti) sono crittografati con una chiave generata in modo casuale. A causa dell'elevata velocità di questo algoritmo, la diminuzione della velocità di trasmissione è quasi impercettibile (gli sviluppatori la stimano al 5%). Se abiliti la registrazione, tutte le azioni dell'utente verranno scritte nel file di registro. Per limitare l'accesso dall'esterno, il server RAdmin utilizza la tabella degli indirizzi IP. In questa tabella, è necessario specificare solo gli indirizzi degli host o delle sottoreti per i quali si desidera consentire l'accesso. E, infine, il tocco finale: i moduli software RAdmin sono dotati di protezione contro la modifica (infezione) basata sull'autotest del codice.
Corso parallelo
Prima della fine di questo articolo, una versione nuova e migliorata di Remote Administrator 3.0 era nelle fasi finali di sviluppo. Secondo i piani degli sviluppatori, includerà un driver di acquisizione video per Windows 2000 / XP e altre innovazioni: ad esempio, la funzione di blocco della tastiera e spegnimento dello schermo, oltre alla chat audio. Gli utenti registrati delle versioni precedenti potranno aggiornare gratuitamente le loro copie del programma.
Georgy Filyagin è uno sviluppatore di software, scrive articoli e recensioni per riviste di computer. Puoi contattarlo a: [email protected].
Catturato dalla velocità
La velocità di un programma di amministrazione remota è uno degli indicatori oggettivi che riflette la comodità del suo utilizzo quotidiano. Ovviamente, un programma che introduce un ritardo minimo tra le azioni sulla macchina locale e la loro implementazione su un computer remoto viene percepito come più veloce. Questo è il motivo per cui l'utilizzo degli strumenti della riga di comando per l'amministrazione è preferibile rispetto ai normali strumenti GUI in altri campi. Voglio dare qualche consiglio nel caso qualcuno non sia soddisfatto della velocità di RAdmin in condizioni specifiche.
La velocità massima si ottiene se il computer remoto esegue Windows NT con il driver di acquisizione video installato. Un ulteriore vantaggio in questo caso è una significativa riduzione del carico del processore della macchina remota. Se il driver di acquisizione video non viene utilizzato per qualsiasi motivo, è necessario eseguire l'ottimizzazione. Innanzitutto, è necessario impostare il valore degli aggiornamenti al minuto, diciamo 30-40 (per una connessione modem - 10). Quindi è necessario rimuovere lo sfondo dal desktop della macchina remota, impostare il numero minimo di colori - 16 per la finestra in cui viene visualizzato il desktop remoto. Ridurre la risoluzione selezionata sulla macchina remota aiuterà. Dovresti passare (almeno per il periodo di lavoro intenso) a una modalità ridotta, diciamo 800x600x16. Va tenuto presente che molti adattatori video moderni funzionano più velocemente a colori a 16 bit che a 8 bit, ovvero la modalità 800x600x16 probabilmente darà risultati migliori rispetto a 800x600x8.
Alcune opzioni della riga di comando
/ copyphonebook - convertire la rubrica della vecchia versione
/ connetti: xxxxx: nnnn - connettersi al server xxxxx, porta nnnn
/ fino a: xxxxx: nnnn - connettersi tramite server intermedio xxxxx, porta nnnn
La modalità di connessione predefinita è "Controllo completo" (vedere lo schermo remoto, controllare il mouse e la tastiera).
Per impostare altre modalità di connessione, utilizzare i comandi:
/ noinput - modalità di visualizzazione
/ spegnimento - modalità di spegnimento del computer remoto
/ file - modalità di trasferimento file
/ telnet - modalità telnet
Nelle modalità "Controllo completo" e "Visualizza" sono importanti i seguenti tasti:
/ a schermo intero - selezionare la modalità di visualizzazione a schermo intero;
/ hicolor - selezionare la modalità colore a 16 bit;
/ locolor - selezionare la modalità colore a 4 bit;
/ aggiornamenti: nn - impostare il numero massimo di aggiornamenti al minuto.
/ annulla registrazione - eliminare tutte le chiavi RAdmin inserite in precedenza;
/? - mostra la finestra della guida.
Oltre a quanto sopra, ci sono chiavi per la gestione del server RAdmin dalla riga di comando, che possono essere trovate nella documentazione del programma.
Nome ufficiale:
Amministratore remoto
Versione: 2.1
Azienda manifatturiera: OOO Famatech.
Prezzo: 750 RUB su due computer (per i cittadini della CSI).
Un utente di un moderno sistema operativo Microsoft potrebbe aver bisogno di imparare come amministrare Windows per gestire il proprio PC.
Per fare ciò, il sistema operativo fornisce molti strumenti diversi che forniscono il controllo del computer sia con tastiera e mouse, sia tramite accesso remoto.
La maggior parte degli utenti ordinari che accendono un computer per eseguire un gioco o accedono a Internet non hanno bisogno di comprendere le funzionalità amministrative.
Tuttavia, se si utilizzano queste funzioni già integrate nel sistema, è possibile semplificare notevolmente la vita durante l'esecuzione di qualsiasi attività sul PC.
Accesso al menu di controllo del computer
Per eseguire gli strumenti di amministrazione di base, apri la scheda di gestione. Questo può essere fatto in due modi:
- Entrare nel menu "Start" e fare clic destro sulla voce "Computer" e selezionare "controllo";
- Premendo i tasti "Win" e "R", aprendo la finestra di esecuzione dei comandi e digitando compmgmtlauncher. Dopo il primo avvio, il comando verrà salvato e non sarà più possibile digitarlo ogni volta, ma scegliere dall'elenco a discesa.
Successivamente si apre la finestra di gestione del sistema, dove vengono presentati tutti gli strumenti principali che ti permetteranno di personalizzarlo completamente per le tue esigenze.
Gli stessi programmi e servizi possono essere lanciati separatamente (per i quali sono presenti comandi speciali) o tramite la voce "Amministrazione".
Spesso è necessario utilizzare strumenti per modificare il registro quando si verificano problemi con codici o programmi dannosi all'avvio.
Sarà anche utile quando si rimuovono le tracce di qualsiasi applicazione (inclusi i virus, anche se non necessari).
Puoi avviare l'editor aprendo la finestra di esecuzione (Win + R) e inserendo il comando regedit.
Quando lo modifichi, ricorda che vale la pena cambiare solo quegli elementi di cui l'utente è sicuro.
Altrimenti, puoi interrompere il tuo computer e persino portare alla necessità di reinstallare programmi, driver o l'intero sistema operativo.
Editor di gruppi e utenti locali
La possibilità di modificare sia i singoli utenti di PC che i loro gruppi non è prevista per tutte le versioni di Windows, solo per quelle professionali.
Ma con il suo aiuto, puoi configurare sia il sistema che la possibilità di accedervi per varie persone, consentendo loro di utilizzare alcuni programmi e impedendo ad altri di avviarsi.
Servizi
La scheda servizi fornisce l'accesso all'elenco. Tutti i servizi disponibili nel sistema operativo, inclusi quelli in esecuzione o disabilitati, sono elencati qui.
Alcuni di essi funzionano automaticamente e non dovresti interferire con il lavoro di questi processi senza particolari necessità.
Tuttavia, ci sono servizi che vengono controllati manualmente, ad esempio un programma o un'utilità per aggiornarlo.
Gestione del disco del computer
Non solo un utente esperto potrebbe aver bisogno di gestire i dischi del computer.
A volte alcuni dischi (specialmente quando si utilizzano più dischi rigidi o file system obsoleti come FAT32) dopo la reinstallazione del sistema diventano invisibili.
E per trovarli, devi andare in questo menu di controllo.
Utilizzando l'utilità di gestione del disco, è possibile abilitare e disabilitare varie partizioni su dischi rigidi collegati a un PC, modificarne i nomi e le lettere.
E puoi anche risolvere qui il problema con un'unità flash che non si apre senza utilizzare programmi di terze parti.
gestore dispositivi
Per installare nuovo hardware e risolvere i problemi del driver, non puoi fare a meno di utilizzare il gestore dispositivi integrato nel sistema.
Inoltre, mentre si lavora con l'elenco dei dispositivi, è possibile abilitarli e disabilitarli.
E anche per trovare informazioni su ciascuno, che potrebbero essere richieste, ad esempio, per verificare se la configurazione del computer soddisfa i requisiti del programma (gioco).
Task Manager
Il task manager ha parecchie funzioni.
Prima di tutto, risulta essere utile nella ricerca di programmi dannosi (virus) che avviano processi estranei che il computer deve eseguire.
Qui, su Windows 8 e 10, vengono configurate applicazioni che si caricano automaticamente con il sistema ("Avvio").
Eventi
Un'utilità per la visualizzazione degli eventi di sistema non è sempre utile anche per un utente esperto di PC e amministratore di un gruppo di tali computer.
Tuttavia, utilizzando questo strumento, puoi facilmente determinare la causa del problema.
È vero, il suo utilizzo richiede conoscenze speciali, senza le quali è meglio non intraprendere alcuna azione.
Windows fornisce una pianificazione sistematica per una serie di attività. Grazie a questa utility, puoi programmare, ad esempio, la deframmentazione periodica o il controllo del disco.
Sebbene sia utilizzato anche da alcuni programmi dannosi.
Quindi, quando ci si sbarazza dei virus, vale la pena controllare anche lo scheduler.
Monitor di sistema
Utilizzando l'utility "System Monitor", è possibile ottenere dati sul caricamento di alcuni componenti del PC: memoria, processore e file di paging.
E molte altre informazioni utili sul funzionamento del sistema.
Sorvegliante delle risorse
Alcuni dei dati di Windows sono disponibili direttamente dal Task Manager.
Tuttavia, Resource Monitor fornisce un quadro più completo dell'utilizzo delle risorse del PC da parte di tutti i processi nel sistema. A tale scopo, fare clic sul pulsante "Start".
Nella casella di ricerca, digita Monitoraggio risorse, quindi seleziona Monitoraggio risorse dall'elenco dei risultati.
Firewall
Un firewall standard è progettato per fornire la sicurezza della rete. La maggior parte degli antivirus non sarà efficace senza di essa.
Se si utilizzano le impostazioni aggiuntive dell'utilità, è possibile ridurre in modo significativo la probabilità di hackerare il PC e ricevere virus su di esso.
Importante! Tuttavia, l'uso di un firewall può anche interferire con l'avvio di altri programmi necessari che devono essere aggiunti al suo elenco di eccezioni.
Amministrazione remota
Il computer può essere amministrato direttamente dall'utente stesso, ma in alcuni casi diventa necessario prevedere il controllo remoto.
Il motivo è solitamente l'incapacità di affrontare in modo indipendente i problemi di sistema.
E, in modo che un utente esperto non debba essere fisicamente presente al computer, esiste la possibilità di amministrazione remota.
A volte questa opportunità è richiesta all'utente stesso, che lavora su un computer di casa da casa o viceversa.
Per fornire l'accesso a un PC da un altro, è necessario installare e configurare un programma speciale. L'utilizzo più comune per questo è l'applicazione TeamViewer.
Le capacità di questo popolare programma includono un semplice accesso remoto che anche un utente inesperto può gestire.
Inoltre, TeamViewer è facile da installare e ha un metodo di accesso relativamente facile.
È sufficiente inserire l'ID del computer e la sua password, dopodiché è possibile amministrare il sistema, che si trova fisicamente anche a diverse migliaia di chilometri di distanza.
conclusioni
L'utilizzo delle utilità di amministrazione del sistema Windows può essere una buona opzione per monitorare tutti i processi in corso sul computer.
Tuttavia, senza una conoscenza adeguata, non dovresti provare ad apportare modifiche al funzionamento del sistema operativo, poiché ciò può portare a gravi conseguenze.
Amministrazione in Windows 7
Comprensione della sezione Strumenti di amministrazione del Pannello di controllo di Windows 7
