В 1999 г. корпорация Microsoft выпустила в свет две новые операционные системы: Windows Me и Windows 2000 (NT5). Первая должна была прийти на смену Windows 98, а вторая позиционировалась как продолжение ветви NT. Однако новая операционная система Windows Millenium основной массе пользователей пришлась не по вкусу, и перед ними встал выбор: остаться верными старой доброй «девяносто восьмой» или все-таки предпочесть Windows 2000. Выбравших последний вариант оказалось не так уж и мало. Но установка ОС — это всего лишь начало. Большое количество вопросов от бывших пользователей Windows 98, перешедших на новую ОС, привело к необходимости донести в массы хотя бы основные понятия, касающиеся администрирования Windows 2000. Да, это не самая молодая ОС, но ею по-прежнему активно пользуются, и для многих она стала практически единственной альтернативой. Им-то и предназначена данная статья, хотя большее из сказанного далее с успехом может быть отнесено и к управлению Windows XP, также построенной на ядре NT.
Отличия Windows 2000 от NT4 и Windows 98
В свое время (до выхода Windows 2000) трудно было представить себе домашний компьютер, работающий под управлением Windows NT. Смею предположить, что теперь ситуация изменилась: с выходом Windows 2000, основанной на архитектуре NT, количество домашних машин, функционирующих под управлением данной ОС, выросло колоссально. Так чем же привлекательна эта операционная система? Возможно, одной из причин стало заявление Microsoft о том, что Windows Me будет последней ОС в линейке 9x, т. е. традиционно «домашняя» Windows 98 совершенно официально сдает свои позиции.
Но, по-моему, широкое распространение Windows 2000 получила благодаря тому, что совмещает в себе комфортный интерфейс, характерный для Windows 98, и философию безопасности, в рамках которой создавалась NT. Впрочем, от линейки 9x был взят не один лишь интерфейс. Корпорация Microsoft создала ОС, рассчитанную не только на серверы, но и вполне пригодную для домашнего компьютера, где в основном играют, работают в Интернете, слушают музыку и смотрят фильмы. Ведь именно относительно сложная установка драйверов, не очень хорошая совместимость с DOS-приложениями и в дальнейшем прекращение поддержки мультимедийной части (DirectX, Media Player и других пакетов) определили роль NT4 как серверной ОС или в лучшем случае рабочей станции.
Короче говоря, NT5 унаследовала от Windows 98 дружелюбие к домашнему ПК. На этом сходство Windows 2000 с семейством 9x заканчивается.
А что было взято от NT4? Практически все остальное, включая архитектуру клиент—сервер, широкие возможности администрирования и акцент на безопасность. Система NT5 унаследовала все основные элементы «старушки» NT4. Некоторые из них изменились, добавилось что-то новое, но сама суть ОС осталась прежней.
По сравнению с предшественниками управление служебными компонентами в графическом интерфейсе унифицировалось при помощи MMC (Microsoft Management Console), благодаря чему стало легко настраивать устройства. Теперь значительно реже в процессе работы приходится перезагружаться. Что же касается файловой системы, то в Windows 2000 полностью реализуются возможности NTFS 3 (введены квоты — ограничение пространства диска для пользователя). Более удобными стали обновления: теперь их не надо переустанавливать всякий раз, когда добавляется новая служба или устройство, — ОС сама «понимает», что надо взять обновленный файл.
Что же нового дает NT5?
В Windows 2000 появилась поддержка ACPI (Advanced Configuration Power Interface). Кроме таких новшеств, как спящий режим и выключение питания посредством клавиатуры, ACPI позволяет предоставлять нескольким устройствам одно прерывание. Таким образом, проблема нехватки IRQ вроде бы решена. Но тут есть подводные камни — к сожалению, не все комплектующие способны нормально работать в таком режиме (особенно это касается дешевых, «noname», устройств). Я как-то наблюдал такую картину: сетевая, видео- и звуковая платы делят одно прерывание (кстати, свободных IRQ было как минимум три штуки). При интенсивном использовании каждой из них, например Quake III по сети, раз в несколько минут система зависала примерно на полсекунды. Потом опять все приходило в норму. Пришлось пожертвовать ACPI. Для этого при установке Windows 2000 можно отключить поддержку ACPI в BIOS системной платы или нажать клавишу на этапе проверки конфигурации компьютера (белая надпись «Setup is inspecting your computer?s hardware configuration» на черном фоне). Через некоторое время появится предложение выбрать ядро системы. По умолчанию установлено Advanced Configuration and Power Interface (ACPI) PC (ядро для однопроцессорных систем с поддержкой ACPI). Выберите ядро Standard PC.
Еще один плюс ядра Standard PC — возможность вручную задавать ресурсы устройствам. Зайдите в настройки BIOS и поставьте опцию PNP OS installed в значение Disabled. Для всех современных плат в настройках присутствует задание прерываний конкретным PCI-разъемам. По окончании раздачи прерываний поставьте опцию Reset configuration data (может звучать несколько иначе) в значение Enabled. После перезапуска компьютера BIOS перезапишет область расширенных данных о конфигурации системы — ESCD, что позволит новым настройкам IRQ вступить в силу. Затем Windows 2000 назначит прерывания устройствам именно так, как вы указали это в BIOS. Естественно, при неправильной конфигурации ресурсов устройств возможны отдельные проблемы, но такова плата за свободу и самостоятельность.
Стала возможной программная реализация многоканальности звуковой платы. Никаких затруднений с данным новшеством замечено не было, так что этот пункт будет кратким.
Как вы, наверное, знаете, в NT4 и Windows 98(95) возможность проигрывать звуки одновременно несколькими программами зависит только от звуковой платы и драйверов к ней. Причем плата могла поддерживать лишь определенное число каналов. В Windows 2000 эти ограничения сняты — при любой звуковой плате многоканальность гарантирована.
При установке и настройке некоторых устройств перезагрузка перестала быть необходимым процессом (например, при настройке параметров локальной сети). Особенно это облегчает труд администраторов серверных версий Windows 2000, где из-за каждого простоя сервера у пользователей возникают вполне определенные проблемы. Конечно, очень хотелось бы конфигурировать систему, вообще не прибегая к перезагрузке... К сожалению, подобное пока невозможно. Но главное, первый шаг в этом направлении уже сделан.
Для применения изменений в настройках сетевой платы нужно нажать правой кнопкой мыши на Local Area Connection в окне Network and Dial-up Connections и выбрать пункт Disable. Потом в этом же контекстном меню выберите пункт Enable.
Сказанное ниже не очень важно, но все-таки это стоит отметить. Те, кто работал с NT4 длительное время, заметили, что разные по типу устройства имеют различный интерфейс для установки драйверов. Кое-где даже отсутствовала кнопка Browse для удобного выбора каталога с драйвером.
В Windows 2000 инсталлировать устройства стало намного проще, можно даже сказать, что слишком просто. При старте системы большинство новых плат обнаруживаются без участия пользователя. В дальнейшем можно запретить их применение или обновить драйвер. Интерфейс для установки драйвера теперь унифицирован: зайдите в свойства устройства, выберите закладку Driver, нажмите кнопку Update driver и выберите нужную версию. Есть еще более простой способ установки комплектующих: в панели управления нужно выбрать Add/Remove Hardware. Далее можно установить нужную плату или, наоборот, убрать ее из системы. Практически все действия происходят автоматически. Но учтите, что система сама только выделяет ресурсы устройствам. Настройку же их рабочей среды (разрешения, частоты обновления экрана, локальной сети и т.д.) вам придется производить самостоятельно, так как значения, установленные по умолчанию, далеко не всегда будут оптимальными.
Добавилась поддержка новых интерфейсов и устройств, например USB.
В общем, я привел здесь лишь краткий перечень основных новшеств Windows 2000 по сравнению с NT4.
Политика безопасности
Если вы действительно намерены сделать настройки безопасности более надежными, то примените файловую систему NTFS. Яркий пример: любой пользователь может запретить локальный вход кому угодно, включая членов группы администраторов, если системный диск отформатирован в системе FAT 16 или FAT 32. И все из-за того, что настройки безопасности хранятся в файлах.
Подумайте, какие действия будет совершать пользователь, работая на компьютере. И уже исходя из этого следует настраивать права доступа к каталогам, ветвям Реестра, общим ресурсам (если ваш ПК находится в локальной сети).
Чтобы настроить права на использование файлов на разделе NTFS, щелкните в контекстном меню нужной вам папки или файла на Properties. Далее перейдите на закладку Security. Здесь можно добавлять и удалять пользователей, выставлять им нужные права. Учтите, что запрет (Deny) имеет приоритет над разрешением (Allow). Так, в случае, когда группе Everyone, куда входят все пользователи, запись запрещена, то, даже если сделать ее доступной для кого-либо из членов группы, последний не сможет воспользоваться этим разрешением.
По умолчанию управляемый объект наследует все настройки прав от родительских объектов (стоящих выше каталогов). Чтобы убрать наследование, снимите галочку около Allow inheritable permissions from parent to propagate to this object, причем права будут либо скопированы, либо удалены в зависимости от того, что вы выбрали в диалоговом окне. Для более тонкой настройки прав нажмите кнопку Advanced. В появившемся окне будут доступны более детальные настройки прав, аудита и смены владельца объекта, которому всегда разрешено изменение настроек прав, даже если явно выставлен запрет на любое действие с объектом. После настройки аудита необходимо будет также выбрать в Local Security Policy из папки Administrative Tools нужные события для аудита (Audit Object Access — для аудита доступа к файлам и папкам).
Для настройки прав доступа к общим ресурсам компьютера (Sharing — ресурсы, которые будут доступны другим пользователям вашей локальной сети) выберите пункт Properties контекстного меню нужной папки и перейдите на закладку Sharing. Если общий ресурс находится в разделе NTFS, то сначала надо настроить права пользования этим объектом и лишь потом доступ к ресурсу из сети, так как при настройках по умолчанию любой пользователь сможет изменить права доступа, даже если сетевой ресурс ему открыт только для чтения. Для ограничения числа пользователей, которым разрешено одновременно использовать данный ресурс, надо заполнить поле User Limit. Но количество подключений не может превышать десяти для версии Windows 2000 Professional или быть больше, чем указано в лицензии на применение серверной версии Windows 2000.
В семействе ОС Windows существуют скрытые общие ресурсы, их можно создать, поставив последним символом «$». Они не будут показаны в списке ресурсов пользователю, зашедшему на ваш компьютер по сети. Но это является только соглашением, которого придерживаются создатели файловых менеджеров. Например, в менеджере FAR присутствует настройка, позволяющая показывать скрытые ресурсы.
В завершение описания настроек общих ресурсов следует сказать, что по умолчанию в любой версии Windows NT имеются общие скрытые системные ресурсы, которые используются группой администраторов для доступа к любому разделу жесткого диска. Такие ресурсы можно запрещать.
Чтобы исключить ситуацию подбора пароля, необходимо указать число неправильно набранных паролей в Local Security Policy папки Administrative Tools, после чего учетная запись блокируется до снятия запрета администратором или истечения заданного срока. Также было бы разумным запретить вход по сети встроенной учетной записи Administrator. Вообще, повседневная работа с компьютером под паролем, имеющим администраторские права, — признак дурного тона.
Следующий шаг обеспечения безопасности — раздача прав на ветви Реестра. В Windows 2000, в отличие от NT4, настройки по умолчанию вполне продуманы. Но бывает, что требуется установить специальные права, просто необходимые для запуска некоторых игр под непривилегированной учетной записью. Это поможет сделать программа regedt32.exe. Если вы выберете в меню Security пункт Permissions..., то попадете в то же самое меню, что и при настройке прав доступа к файлам, поскольку ветвь Реестра, и папка, и файл — объекты ОС. Раздача прав, аудита, выбор владельца объекта происходят точно таким же способом.
Интересная возможность, введенная в Windows 2000, — квоты. Что это такое? Квоты — определение максимального объема дискового пространства на разделе NTFS, доступного пользователю. Войдите в пункт Properties контекстного меню логического диска. Перейдите на закладку Quota. Как видите, в окне кроме ограничения объема пространства присутствует еще поле Set warning level to. Отметьте нужное галочками внизу окна, чтобы добиться полного контроля за состоянием квоты пользователя. В журнале событий может быть сделана запись о достижении предела выделенного пространства и о достижении предупредительного порога, что позволит администратору следить за состоянием отведенного пользователю объема диска. Но в данном окне все настройки относятся только к учетным записям, которые будут добавлены в систему после установки параметров квотирования. Чтобы настроить квоты для каждого конкретного пользователя, нажмите на кнопку Quota Entries... В новом окне всегда присутствует встроенная запись о квотировании членов группы администраторов. Для этой записи доступна настройка лишь предупредительного порога, ограничение для администраторов дискового пространства не имеет смысла.
В NT4 отсутствие квот было действительно проблемой, теперь же, как видим, она решена.
Настройка профилей в многопользовательском режиме
В Windows 2000 существует два типа локального входа в систему: при первом нужно ввести имя пользователя и пароль, при втором происходит автоматический вход с учетной записью, указанной в Users and Passwords панели управления.
Профиль пользователя включает в себя всю ветвь Реестра HKEY_CURRENT_USER, т. е. настройки рабочего стола, пунктов главного меню, клавиатуры и мыши, а также параметры программ.
По-моему, автоматический вход в систему оправдан лишь при одном пользователе, постоянно работающем на компьютере. И дело не только в разделении прав, но и в настройках рабочего места. Всегда хочется трудиться более комфортно, не задумываясь о том, как переключить язык клавиатуры или о том, где находится нужный вам ярлык.
Для управления профилями зайдите в System панели управления и перейдите на закладку User Profiles. При нажатии на кнопку Change Type... будут предложены на выбор Roaming profile и Local Profile. С последним, думаю, все понятно. А что такое блуждающий профиль? Иногда пользователь постоянно не работает за одним и тем же компьютером. Согласитесь, начинать каждый рабочий день с настройки интерфейса и нужных вам программ не очень приятно. Здесь-то и поможет такой профиль. Все настройки в этом случае хранятся на сервере, и при входе в систему с любой машины, имеющей доступ к нему, пользователь видит свой привычный рабочий интерфейс.
Если вы хотите скопировать профиль, то воспользуйтесь кнопкой Copy to... Впоследствии вы сможете изменить путь до профиля в разделе Local Users and Groups окна Computer Management из раздела Administrative Tools. Там же позволительно указывать скрипт (набор команд Visual Basic или просто bat-файл), автоматически выполняющийся при входе пользователя в систему. Обычно это подсоединения сетевых дисков и синхронизация времени с сервером. По умолчанию скрипты располагаются в последовательности %Systemroot% System32ReplImportScripts .
Рекомендации по настройке Windows 2000 и решению возможных проблем
Переменные окружения постоянно находятся в памяти и применяются в любом приложении Windows. Например, стандартная переменная %PATH% задает те пути, где будет происходить поиск файла, если он не найден в текущем каталоге. Нажмите правой кнопкой мыши на значке My Computer, выберите пункт меню Properties. В появившемся окне перейдите на закладку Advanced и нажмите кнопку Environment Variables... Вы увидите окно с двумя списками переменных: в верхнем содержатся переменные пользователя (применяются только в сессии конкретного пользователя), в нижнем — глобальные переменные (годятся в любой сессии).
При совпадении имен пользовательские переменные имеют приоритет над глобальными. По умолчанию у каждого пользователя присутствуют переменные %TMP% и %TEMP% (задают путь %UserProfile%Local SettingsTemp для вр?еменных файлов), они же входят и в глобальные настройки. Применять эти пользовательские переменные целесообразно тогда, когда вы не хотите, чтобы неудаленные временные файлы любого пользователя были доступны и остальным при условии, что файловая система — NTFS. Если удалить переменные %TEMP% и %TMP%, то можно убить сразу двух зайцев. Во-первых, станет проще чистить временную директорию, так как можно будет задать одну общую для всех папку временных файлов через глобальную переменную. Во-вторых, удастся избежать ряда проблем, связанных с установкой программ. При инсталляции файлы записываются во временную директорию, но отдельные программы до сих пор не понимают длинных путей и, наткнувшись на что-то вроде C:Documents and SettingsUser Local SettingsTemp, просто зависают или некорректно заканчивают свое выполнение.
Чтобы успешно разрешить возникающие проблемы, стоит убрать галочку около Automatically Reboot на экране Control Panel>System>закладка Advanced>Startup and Recovery... Это позволит при крахе системы увидеть тип ошибки на BSoD (Blue Screen of Death). Если же галочку не убрать, то система при фатальной ошибке просто перезагрузится, что, конечно, имеет смысл, но лишь тогда, когда вы сумеете правильно проанализировать информацию, выдаваемую BSoD.
В Windows 2000 появилось новшество — WFP (Windows File Protection). Его смысл заключается в сохранении системных файлов неизменными. Таким образом, преодолевается знаменитый DLL Hell, когда любая программа могла заменить системную библиотеку на свою «дополненную и улучшенную». При помощи утилиты sfc.exe (консольное приложение, управляемое через указанные в командной строке параметры) можно либо задать тип сканирования системных файлов и кэш, отведенный под резервирование библиотек (находится в %Systemroot%system32dllcache), либо отключить WFP. Последнее делать не рекомендуется, поскольку увеличивается риск сбоя системы.
При нехватке дискового пространства можно включить динамическое сжатие дисков (доступно только для NTFS). Нажмем правой кнопкой мыши на логический диск в Explorer, выберем Properties из появившегося контекстного меню и в новом окне поставим галочку рядом с Compress drive to save disk space.
Можно сжимать не весь диск, а только выбранные папки и файлы, причем скорость доступа к данным на диске несколько повышается, т. е. длительность операций со сжатыми данными будет больше, чем с обычными. Для сжатия папки или файла щелкните на нем правой кнопкой мыши, выберите Properties, в появившемся окне нажмите кнопку Advanced и в новом окне поставьте галочку напротив Compress contents to save disk space.
Как и в NT4, в Windows 2000 можно жестко привязать буквы логических дисков, причем это бывает особенно полезно при частом подключении других жестких дисков, так как при присоединении носителя буквы могут измениться.
Иногда при подключении «винчестера» идентификатор системного носителя, записанный в главную загрузочную запись (MBR), не совпадает со значением в Реестре, и Windows 2000 не может назначить букву системному диску, что делает загрузку системы невозможной. Чтобы устранить проблему, надо загрузиться в DOS, например с системной дискеты, и запустить программу fdisk.exe с ключом /mbr. Эта команда перепишет загрузочный код MBR, уничтожив тем самым идентификатор загрузочного диска. При отсутствии идентификатора Windows 2000 сама его заново запишет и назначит букву «C» загрузочному разделу.
Основные службы Windows 2000 и их менеджмент
Набор служб в Windows 2000 по сравнению с NT4 значительно расширился. Если вы хотите грамотно настроить службы, то должны знать, что означает «зависимость». Зависимость сервисов — возможность работы одной службы при условии работы другой, т. е. если от сервиса А зависит сервис Б, то, запретив запуск А, мы автоматически запретим и запуск Б. Следовательно, если от Б зависит сервис В, то В зависит и от А.
Чтобы управлять службами, откройте папку Administrative Tools панели управления и выберите пункт Services.
Нажмите правой кнопкой на любой службе и выберите пункт Properties — появится окно настройки службы.
На первой закладке можно остановить, запустить, приостановить или возобновить работу службы (две последние опции доступны не для всех служб), установить параметры запуска, изменить описание и видимое пользователем имя службы (внутреннее имя изменить нельзя), задать тип запуска: автоматически (Automatic — служба автоматически запускается при старте системы), вручную (Manual — служба запускается, когда потребуется, в процессе работы системы) или отключен (Disabled — служба не может стартовать, пока не изменится тип ее запуска).
На второй закладке, Lon on, можно выбрать учетную запись, под которой будет запускаться служба. (Если служба должна пользоваться сетевыми ресурсами, то надо обязательно указать учетную запись, имеющую доступ к нужным сетевым ресурсам; учетная запись LocalSystem к сетевым ресурсам доступа не имеет.) Не путайте сетевые службы со службами, работающими с сетевыми ресурсами. Опция Allow service to interact with desktop позволяет службе взаимодействовать с графическим интерфейсом пользователя, если учетная запись, под которой она работает, имеет значение LocalSystem. Для стандартных служб изменять учетные записи крайне не рекомендуется (по умолчанию — LocalSystem). Если у вас больше одного профиля настроек системы, то можно задать, в каком профиле служба будет доступна, а в каком — нет.
На третьей закладке, Recovery, конфигурируются действия, производимые системой в случае единичной, повторной или постоянной ошибки запуска службы. Они могут быть следующими: перезагрузить компьютер, перезапустить сервис и запустить программу. Также можно задать число неудачных попыток запуска службы, после чего этот счетчик сбрасывается, и паузу в минутах между повторными попытками запуска службы.
На четвертой закладке, Dependencies, можно увидеть зависимые от данного сервиса службы и сервисы, от которых зависит выбранная нами служба.
Будьте осторожны с управлением службами, и когда система отказывается стартовать, попробуйте загрузиться в режиме Last known good configuration.
Пользователю, не подключенному к локальной сети и не использующему модем, чтобы освободить часть ресурсов компьютера, разрешается отключать сервисы: Alerter, Automatic Updates, Background Intelligent Transfer Service, ClipBook, Computer Browser, DHCP Client, Distributed Link Tracking Client, DNS Client, Fax Service, Internet Connection Sharing, IPSEC Policy Agent, Messenger, Net Logon, NetMeeting Remote Desktop Sharing, Network Connections, Network DDE, Network DDE DSDM, QoS RSVP, Remote Access Auto Connection Manager, Remote Access Connection Manager, Remote Registry Service, Routing and Remote Access, Server, TCP/IP NetBIOS Helper Service, Telephony, Telnet и Workstation.
Если собираетесь экспериментировать, то будьте осторожны и действуйте так:
- Сначала скопируйте корректно работающий Hardware Profile (профиль оборудования), выполнив My ComputeroPropertiesoHardwareoHardware ProfilesoCopy. Теперь при старте ОС вам будет предложено выбрать один из профилей оборудования, который будет использовать операционная система при текущей загрузке. Проводите администрирование служб и других компонентов в одном профиле, а в случае сбоя или некорректной работы при измененных настройках вы всегда сумеете загрузить другой профиль, при котором ОС работает стабильно.
- Изменяйте за один раз настройки только одного сервиса, и если повседневно используемые вами приложения нормально функционируют, переходите к настройкам другой службы.
- Четко осознавайте, для чего вы отключаете/включаете службу и к чему это может привести.
- При работе ПК в составе локальной сети производите настройки особенно аккуратно.
Учитывайте, что на домашнем компьютере неправильное администрирование сервисов максимум приведет к переустановке ОС, а на рабочем компьютере такое решение проблемы зачастую неприемлемо. В этом случае настройку вашей рабочей станции лучше всего предоставить администратору локальной сети, а в случае его отсутствия примите настройки служб по умолчанию. Если же вы достаточно квалифицированны, то способны сами определить, нужно ли вмешиваться в работу служб, и здесь, надеюсь, приведенная в дополнение к статье таблица (см. «Мир ПК — диск») сможет вам помочь.
* * *
В статье лишь поверхностно описаны возможности администрирования некоторых компонентов ОС семейства Windows 2000. Естественно, что у вас будут возникать неординарные проблемы, и их решение просто невозможно описать на нескольких страницах.
Могу лишь посоветовать почаще заглядывать во встроенную справочную систему Windows. Всегда перед тем, как задать вопрос более опытному пользователю, полезно почитать FAQ (мне больше всего приглянулись сайты http://winfaq.com.ru, http://www.3dnews.ru/reviews/software/win2000_faq/). И не избегайте www.microsoft.com, потому что это, простите за тавтологию, просто неизбежно.
Также не забывайте устанавливать пакеты обновлений (Service Packs) и критические обновления, не вошедшие в последний сервис-пак.
Версии Windows 2000
Всего существует четыре версии Windows 2000:
- Windows 2000 Professional;
- Windows 2000 Server;
- Windows 2000 Advanced Server;
- Windows 2000 Datacenter Server (распространяется только через OEM-поставщиков).
Основные различия версий
Параметры | Professional | Server | Advanced Server | Datacenter Server |
Максимальное число процессоров | 2 | 4 | 8 | 32 |
Максимальный объем памяти, Гбайт | 4 | 4 | 8 | 32 |
В отличие от версии Professional число подключений в серверных версиях не ограничено, а в Advanced Server и Datacenter Server введены некоторые дополнительные функции.