СЕТЬ НА БАЗЕ WINDOWS 2000 PROFESSIONAL

В ней сочетаются лучшие качества таких ОС, как Windows NT Workstation и Windows 98, и реализованы многие новые возможности. В распоряжении пользователя Windows 2000 имеются, к примеру, функции совместной работы с файлами и принтерами, а также функция Internet Connection Sharing (ICS), позволяющая нескольким системам подключаться к Internet с помощью одного соединения. Прибавьте к этому реализованную в Windows 2000 систему управления учетными записями пользователей и правами доступа в стиле Windows NT, и станет ясно, что новая ОС представляет собой довольно мощное средство для организации сетей. К тому же Windows 2000 Professional обладает замечательными характеристиками по обратной совместимости. Так, эту систему можно спокойно включить в одноранговую сеть из клиентов Windows 9x или, наоборот, подключить клиентов Windows 98 в установленную сеть Windows 2000 Pro.

Windows 2000 Professional допускает использование NetBEUI и других применявшихся ранее протоколов, поэтому можно свободно формировать сети из клиентов Windows разных поколений. Обычно в одноранговых сетях Windows в качестве основного транспортного протокола применяется TCP/IP, но, чтобы иметь возможность использовать имена компьютеров Windows, придется установить протокол NetBEUI.

Организовать простую одноранговую сеть Windows 2000 Pro - без использования сервера - совсем несложно.

Многие известные поставщики средств для создания малых сетей, в том числе компании Farallon и D-Link, предпринимают шаги к обеспечению совместимости своих изделий с системой Windows 2000 Pro. На рынке уже появился ряд недорогих и простых в применении решений, специально предназначенных для организации небольших сетей.

Выбор средств подключения

При планировании одноранговой сети первым делом нужно выбрать тип аппаратных компонентов для объединения компьютеров. В сфере бизнеса стандартной технологией соединения является технология Ethernet, предполагающая использование сетевых интерфейсных плат и прокладку специальных кабелей. Кроме того, для создания сетей Ethernet требуются концентраторы, обеспечивающие сетевое взаимодействие.

Неплохие концентраторы Ethernet выпускают многие компании, в том числе 3Com, Intel, Linksys и D-Link. Как правило, потребителю предлагаются комплекты, состоящие из набора сетевых интерфейсных плат и концентратора. Такие комплекты предназначены для домашних и малых офисов (SOHO). Кстати, если перспектива вскрытия корпусов компьютеров для установки внутренних плат не устраивает, можно приобрести внешние сетевые платы USB: они просто подсоединяются к соответствующему порту компьютера. Из базовых сетевых комплектов Ethernet нам больше всего понравились изделия компании NETGEAR (http://www.netgear.com).

Комплект начального уровня SB104 стоимостью 85 долларов включает в себя концентратор, несколько кабелей и две интерфейсные сетевые платы. Этих средств достаточно для организации сети из двух компьютеров. Комплект SB104 обеспечивает передачу данных со скоростью 10 Мбит/с. Несколько сложнее выпускаемый той же компанией NETGEAR набор FB104. Его цена (рекомендуемая изготовителем) составляет 89,99 долларов FB104 состоит из тех же компонентов, но позволяет передавать данные со скоростью 100 Мбит/с. Входящие в комплект поставки концентраторы оснащены четырьмя портами; если же планируется подключать к сети более четырех компьютеров, лучше покупать необходимые компоненты по отдельности, подбирая при этом концентраторы с числом портов более четырех.

Тем, кто предпочитает традиционную технологию Ethernet, потребуется оборудование стандарта 10 Mбит/с. Но все же лучше приобретать концентраторы 10/100BaseT, у которых каждый порт оснащен средствами автоматического определения скорости сети. Такие концентраторы стоят дороже, зато они позволяют задействовать разнородные компоненты. Реальная розничная цена типичного восьмипортового концентратора 10/100BaseT с автоматическим распознаванием скорости составляет порядка 170 долларов, но эти расходы вполне себя оправдывают.

Недостаток технологии Ethernet в том, что ее реализация связана с прокладкой специальных кабелей. Многие домашние пользователи выбирают более экономичное и удобное сетевое решение, основанное на использовании телефонных линий. Компьютеры объединяются в сеть с помощью действующей телефонной линии. Специальные сетевые платы обеспечивают «внедрение» компьютерных данных в передаваемый по линии голосовой сигнал. Согласование параметров передачи данных берут на себя все те же сетевые платы, поэтому концентратор для такой сети не требуется. Соответственно, необходимость в приобретении и установке кабеля тоже отпадает.

Нас часто спрашивают, как мы относимся к разработанному корпорацией Intel популярному и простому в использовании продукту AnyPoint Home Network. Все дело в том, что вариант AnyPoint для Windows 2000 изготовитель пока не выпускает и, по всей видимости, не намерен этого делать и в будущем. Однако расстраиваться не стоит, поскольку это решение имеет одно существенное ограничение. Пользователям AnyPoint приходится выбирать: задействовать телефонную линию для работы сети или для обычных переговоров - совмещать и то и другое нельзя. Другая, более современная технология позволяет одновременно осуществлять обмен данными и пользоваться телефоном как обычно.

У сетевой технологии на базе телефонных линий тоже есть недостаток: она позволяет передавать данные со скоростью до 10 Мбит/с, тогда как большинство телефонных линий обеспечивают скорость передачи не выше 1 Мбит/с. Со временем быстродействие сетей на основе телефонных линий возрастет, но сети Ethernet всегда будут производительнее и мощнее. Поэтому для тех, кто намеревается работать дома с потоковой информацией, стандарт Ethernet, безусловно, предпочтительнее.

Тем, кто планирует развернуть сеть на базе телефонных линий, стоит внимательнее присмотреться к пакету начального уровня DHN-910 компании D-Link (119 долларов, http://www.dlink.com). Это мощное решение, обеспечивающее передачу данных со скоростью до 10 Мбит/с. В комплект входят две сетевые интерфейсные платы для телефонных линий, телефонные провода и компакт-диск с играми.

Компания Farallon (http://www.farallon.com) поставляет решения для телефонных линий, комплекты для сетей Ethernet и даже наборы для создания беспроводных сетей. На момент подготовки статьи к печати более подробных данных у нас не было, поскольку специалисты компании пока не обеспечили совместимость своих изделий с Windows 2000. Впрочем, тем владельцам домашних компьютеров, которые собираются «впрячь» в одну сеть машины Mac и PC, не стоит упускать эту корпорацию из поля зрения. Кросс-платформенные сети - это, что называется, «конек» компании Farallon. Ее специалисты уже разработали пакет, обеспечивающий совместное использование соединения с Internet для машин Mac и PC. Но если проблемы межплатформенной совместимости не волнуют, лучше остановить свой выбор на другом продукте: быстродействие сетей Farallon на базе телефонных линий не превышает отметки 1 Мбит/с.

FAT32 или NTFS?

В системах Win9x используется FAT32, старшая из двух наиболее известных файловых систем Windows. Если говорить об одноранговых сетях, главное преимущество более новой системы - NTFS - в том, что она обеспечивает дополнительные параметры безопасности для папок и файлов. Чтобы определить, какая файловая система применяется на диске, надо дважды щелкнуть на значке My Computer, затем правой клавишей мыши - на соответствующем накопителе, и в раскрывшемся меню выбрать пункт Properties. Среди прочей информации на закладке General будет отображена и используемая файловая система.

Функционально NTFS богаче, чем FAT32, но, возможно, придется довольствоваться и последней. Дело в том, что, если не считать Windows 2000 и Windows NT, операционные системы - скажем Windows 9x, - не могут считывать данные с локальных дисков NTFS. Так, если система предусматривает возможность двойной загрузки (Windows 2000 и Windows 98), Windows 98 не будет «видеть» содержимого NTFS-диска системы. Кстати, это ограничение не касается совместного использования файлов в сети: компьютер Windows 2000 способен преобразовывать файлы NTFS-диска в форму, доступную для «понимания» Windows 9x. Но если две файловые системы используются в рамках одного компьютера, когда, скажем, один из накопителей машины с Windows 9x форматируется в системе NTFS, то эта машина не сможет считывать файлы с локального накопителя, поскольку формат NTFS для Windows 9x недоступен. Следовательно, если создается система с двойной загрузкой с использованием Windows 2000 и Windows 9x, то, скорее всего, все диски будут в стандарте FAT32.

Чтобы перейти к другой файловой системе, понадобится либо преобразовать все файлы соответствующего диска, либо переформатировать накопитель. Все зависит от того, в каком направлении осуществляется преобразование. Если идет переход от FAT32 к NTFS, то файловую систему можно просто изменить с помощью команды преобразования:

convert <диск>: /fs:ntfs [/v]

Параметр /v необязательный. Он обеспечивает контроль за процессом преобразования в режиме реального времени.

Переход от NTFS к FAT32 требует более сложных манипуляций. Сначала нужно выполнить резервирование диска, затем переформатировать его и восстановить данные с резервной копии. Чтобы переформатировать накопитель, следует открыть пункт Administrative Tools панели управления Control Panel и дважды щелкнуть на значке Computer Management. В левом окне консоли Computer Management нужно выбрать элемент Storage, а затем - Disk Management. В открывшемся окне следует щелкнуть правой клавишей мыши на накопителе, который требуется переформатировать, и в ниспадающем меню выбрать пункт Format. Если форматируется системный накопитель, нужно создать загрузочный диск и запустить утилиту FDISK. Все упомянутые процедуры подробно описаны в файлах справочно-консультационной системы Microsoft.

Основные этапы организации сети

Windows 2000 Pro позволяет с легкостью создавать одноранговые сети, объединяющие до 10 компьютеров (возможности подключения к одноранговой сети Windows 2000 Pro большего числа машин программные средства Microsoft не предусматривают). Процедура формирования сети состоит из нескольких этапов.

1. Установка и конфигурирование сетевых интерфейсных плат. Формирование сети Windows 2000 Pro начинается с инсталляции и настройки сетевых интерфейсных плат. Их установка выполняется в соответствии с прилагаемыми к платам инструкциями. Похоже, что специалистам Microsoft удалось-таки устранить недостатки в механизме Plug-and-Play (PnP), и при запуске Windows 2000 Pro система, скорее всего, сумеет распознать сетевую плату. Может быть, на установочном компакт-диске ОС даже окажется соответствующий драйвер. В противном случае нужно использовать драйвер, поставляемый с платой, или загрузить последнюю версию драйвера с Web-узла поставщика сетевой платы. Кстати, в последнее время многие драйверы поставляются в виде «самоустанавливающихся» исполняемых файлов. Если же механизм PnP не сработает и придется устанавливать драйвер вручную, нужно будет запустить приложение System в окне панели управления Control Panel, выбрать закладку Hardware и в ней щелкнуть на кнопке Device Manager, а затем отыскать нужное устройство и дважды щелкнуть на его значке. В открывшемся окне следует щелкнуть на закладке Driver, а затем - на кнопке Update или Install.

2. Подключение компьютеров. Следующий этап - физическое объединение компьютеров в сеть. В зависимости от выбранной технологии для этого используются либо концентратор и кабели, либо телефонная линия.

3. Объединение компьютеров в одну рабочую группу. В рамках простой одноранговой сети формировать домен необязательно. Чтобы указать рабочую группу, к которой принадлежит компьютер, нужно запустить модуль Network and Dial-Up Connections в Control Panel. Щелкнув на подсвеченной синим цветом текстовой ссылке Network Identification в левой панели следует выбрать одноименную закладку Network Identification. Затем нужно щелкнуть на элементе Network ID, чтобы активизировать программу - мастер сетевой идентификации Network Identification Wizard. Когда мастер предложит ответить на вопрос, являетесь ли вы деловым пользователем (business user) или домашним (home user), укажите, что относитесь к категории business user, но домены на предприятии не используются. В командной строке нужно ввести имя рабочей группы. Перечисленные действия следует повторить на каждом компьютере сети, причем во всех случаях указывать одно и то же имя рабочей группы. В примерах, которые приводятся в данной статье, в качестве имени рабочей группы будет использоваться имя Simpsons, а компьютеры будут именоваться Барт, Барри и Мэгги.

4. Создание пользовательских учетных записей на каждом компьютере. Доступ пользователей к другой входящей в сеть машине можно организовать двумя способами. Можно, например, завести на каждом компьютере учетную запись для незарегистрированных пользователей (так называемую «гостевую» запись, или guest account) и предоставить всем, кто работает в сети, пароли для «гостевых» учетных записей. И тогда всякий раз при обращении к другому входящему в сеть компьютеру, удаленная машина будет предлагать «гостю» ввести пароль. При такой организации каждый пользователь должен помнить различные пароли, действительные для всех компьютеров сети.

Другой, и более удобный способ управления учетными записями пользователей в одноранговой сети состоит в том, чтобы назначить каждому пользователю единое имя и пароль для доступа ко всем входящим в сеть компьютерам. Допустим, пользователь начинает сеанс работы со своим компьютером Барри и затем пытается получить доступ к машине Барт. В этом случае система Барри направляет системе Барт назначенные имя пользователя и пароль. И если на компьютере Барт заблаговременно заведена соответствующая учетная запись, Барт признает полномочия без дополнительной проверки.

Чтобы сформировать учетные записи пользователей на каждом компьютере, нужно первым делом задать для каждого пользователя имя и пароль. После этого на каждом входящем в сеть компьютере нужно открыть панель управления и щелкнуть на значке Users and Passwords. Имя пользователя и пароль вводятся с клавиатуры. Затем нужно нажать на кнопку Add и следовать указаниям программы-«мастера». При изменении пароля пользователя новый пароль следует ввести на всех машинах сети.

Есть еще один способ управления учетными записями пользователей в одноранговых сетях: пользователей можно объединять в группы. Для этого в окне Users and Passwords нужно выбрать закладку Advanced. Каждый пользователь может быть приписан к группе, а разрешения будут предоставляться по группам. Однако нужно иметь в виду, что в каждом компьютере имеется собственный список групп, поэтому имя каждого члена группы необходимо вводить в соответствующий список на каждом компьютере. Опыт показывает, что в условиях одноранговой сети вряд ли есть смысл пускаться на все эти ухищрения. Дело в том, что будь то по чистой случайности или по небрежности оператора, но в списках Groups на разных компьютерах легко могут возникнуть незначительные разночтения. И тогда придется иметь дело с постоянными «неадекватными реакциями» сети безо всяких, казалось бы, к тому оснований, причем на выявление и устранение неполадок уйдет масса времени.

5. Совместное использование дисков, папок или файлов. Windows 2000 Pro позволяет автоматически устанавливать в системе все компоненты, необходимые для совместной работы с файлами и принтерами, поэтому организовать использование разделяемых ресурсов не составляет труда. Достаточно на любом подключенном к сети компьютере выделить ресурс, который будет предоставлен для совместного использования. Это может быть файл, папка или даже весь диск (тем, кому приходится много работать с Internet, из соображений безопасности лучше воздержаться от предоставления в общее пользование всего диска). На значке файла, папки или диска нужно щелкнуть правой клавишей мыши, после чего выбрать пункт Sharing. На экране появится окно свойств, в котором настройку Do not share this folder следует заменить на Share this folder. Для пункта User limit мы рекомендуем установить параметр Maximum allowed. Поскольку речь идет об одноранговой сети, состоящей всего из 10 компьютеров, вероятность того, что машина подвергнется чрезмерным нагрузкам, невелика. Ну, а если чувствуется, что в случаях, когда с файлом или папкой работает несколько пользователей, система начнет «подтормаживать», можно изменить этот параметр, сократив тем самым число пользователей, которые могут одновременно работать с папкой.

Между прочим, не стоит забывать и о том, что пользователь имеет возможность ограничить круг лиц, имеющих доступ к той или иной папке. Кстати, самая типичная ошибка, совершаемая при организации одноранговых Windows-сетей, состоит в том, что папки, не предназначенные для посторонних глаз, вопреки воле их владельца делаются доступными для других пользователей. Чтобы избежать этой ошибки, нужно четко уяснить содержание таких понятий, как разрешения (permissions) и наследование (inheritance). Мы подробнее рассмотрим их чуть позже.

6. Совместное использование принтера. Механизм совместного использования принтеров практически идентичен механизму совместного использования папок. На компьютере, к которому подключен принтер, нужно выбрать Start/Settings/ Printers (Пуск/Настройка/Принтеры). Щелкнув правой клавишей мыши на значке принтера, следует выбрать пункт Properties, на закладке Sharing указать Shared As и затем нажать OK. Теперь принтером могут воспользоваться все, кто имеет доступ к сети. На других компьютерах, откуда будет осуществляться доступ к принтеру, нужно повторить ту же цепочку - щелкнуть на кнопках Start, Settings и Printers. Чтобы запустить программу-«мастер» Add Printer Wizard, следует дважды щелкнуть на значке Add Printer. Но в первом диалоговом окне нужно выбрать пункт Network printer, задав разделяемый принтер на локальной машине. После этого пользователь данного компьютера сможет работать с сетевым принтером так же, как если бы тот был подключен к его системе.

7. Организация доступа к разделяемым ресурсам. Чтобы получить доступ к совместно используемому файлу, нужно открыть значок My Network Places. Найдя в окне значок компьютера, на котором хранится нужный файл, следует дважды щелкнуть на нем мышью. На экране появится окно, в котором будет отображен корневой каталог совместно используемых файлов, содержащихся на диске данного компьютера. В этом каталоге все совместно используемые папки будут представлены значками. Пользователи, имеющие полный доступ к упомянутым папкам, могут выполнять над ними тот же набор операций, что и над папками, которые хранятся в их локальных системах (создавать новые подкаталоги, изменять содержимое, удалять файлы и т. д.).

Надо сказать, что при записи файлов на удаленных компьютерах и при доступе к таким файлам не все прикладные программы поддерживают стандарт именования файлов Uniform Naming Convention (UNC). Это создает проблему, решение которой рассматривается нами во врезке «Отображение сетевых папок в виде сетевых дисков».

Наследование и разрешения

Как уже отмечалось, самой распространенной ошибкой при работе в одноранговых сетях является непреднамеренное предоставление в совместное пользование тех папок, доступ к которым должен быть заблокирован. Избежать этой ошибки может только тот, кто хорошо усвоил правила наследования.

По умолчанию все папки и документы, хранящиеся в папке совместного доступа, наследуют параметры доступа, назначенные разделяемой папке. Иначе говоря, правила доступа к разделяемой папке распространяются на все папки и документы, которые в ней содержатся. Т. е., предоставив некий каталог для совместного использования, мы тем самым открываем для других пользователей содержимое всех подкаталогов данного каталога. По умолчанию, указанные для разделяемого каталога правила доступа распространяются на все его подкаталоги даже в том случае, если пользователь явно укажет, что некий конкретный подкаталог не должен быть доступен для других абонентов сети. На жестком диске NTFS доступ к папкам и документам, хранящимся в разделяемых папках, не может быть ограничен без изменения правил доступа, применяемых по умолчанию. Что же касается дисков с FAT32, то здесь изменения правил доступа по умолчанию вообще не допускаются, поэтому ограничение доступа к папкам и документам, хранимым в разделяемых папках, в этом случае невозможно принципиально.

Рассмотрим такой пример. Допустим, на компьютере Барри создается папка My Stuff, которая будет открыта для всех пользователей сети. В папке My Stuff создается другая общая папка с названием Private Things. В ней содержатся материалы, которые мы не хотели бы предоставлять другим пользователям. Итак, мы щелкаем правой клавишей мыши на значке My Stuff и выбираем пункт Sharing. В окне Properties нажимаем на кнопку Permissions, открывая тем самым диалоговое окно Permissions. Когда это окно открывается первый раз, принимаемые по умолчанию правила доступа выглядят как Everyone Full Control. Ну, а коль скоро все пользователи получают неограниченные права доступа, это означает, что любой из них, зарегистрировавшись на любой машине сети, может редактировать и удалять все файлы в совместно используемых папках. Значит, чтобы лишить всех пользователей (Everyone) неограниченных прав доступа к папке Private Things, нужно аналогичным образом открыть диалоговое окно Permissions папки Private Things и выбрать параметры Deny для пунктов Full Control, Change и Read.

На компьютере Мэгги следует дважды щелкнуть на значке My Network Places, затем на значке компьютера Барри, чтобы получить доступ к разделяемым файлам, которые хранятся на этой машине. На экране появляется корневой каталог разделяемых файлов компьютера Барри, содержащий, помимо прочего, папку My Stuff и конфиденциальную папку Private Things. Все еще находясь в корневом диалоге, выполняем двойной щелчок на папке Private Things и - как и следовало ожидать - получаем сообщение Acess Denied (Доступ закрыт).

Теперь нужно открыть папку My Stuff, предназначенную для всеобщего обозрения. На экране опять-таки появляется конфиденциальная папка Private Things. И вот если сейчас, находясь уже в каталоге My Stuff, выполнить двойной щелчок на папке Private Things, она раскроется, и мы получим доступ ко всем ее материалам. Такой вариант явно в наши планы не входил.

Всякий раз, когда пользователь явным образом устанавливает разрешения на доступ к папке, значок этой папки появляется непосредственно в корневом каталоге разделяемых ресурсов. Но если упомянутая папка сама размещается внутри разделяемой папки, то значок вложенной папки появляется и внутри той разделяемой папки, куда она была вложена. Разъясняя подобную ситуацию, один из авторов данной статьи охотно пользуется метафорой «тени». Под «тенью», или «призраком», папки (ghost) понимается отдельный экземпляр ее значка. Папку может представлять множество «теней». Если папка A помещена внутри папки B, которая находится внутри папки C, а та - в папке D, и мы явным образом устанавливаем или запрещаем доступ к содержимому каждой конкретной папки, папка A будет при этом представлена четырьмя «тенями». И что самое интересное, свойства этих «теней» могут отличаться от тех свойств, которыми обладает папка A, если ее открывают из корневого каталога.

Вернемся к нашему примеру. Конфиденциальная папка Private Things представлена у нас двумя «тенями»: одна размещается в корневом каталоге разделяемых ресурсов, а вторая - внутри разделяемой папки My Stuff. В соответствии с правилами наследования, принимаемыми по умолчанию в системе Windows 2000 Pro, эти «тени» ведут себя совершенно по-разному. «Призрак», обитающий в корневом каталоге, напрочь отвергает все попытки доступа к содержимому папки Private Things, тогда как «призрак» из папки My Stuff против такого доступа не возражает. Дело в том, что в соответствии с принимаемыми по умолчанию правилами наследования все «тени», находящиеся в разделяемой папке, имеют те же разрешения, что и содержащая их папка. Таким образом, «тень» папки Private Things в корневом каталоге разделяемых ресурсов выполняет инструкции, назначенные нами папке Private Things, т. е. запрещает доступ. Но «тень» той же папки, появляющаяся в папке My Stuff, ведет себя по инструкциям, данным нами папке My Stuff, т. е. разрешает доступ.

Экран 1. Отключение наследования по умолчанию.

Если в машине Windows 2000 Pro используется файловая система NTFS, такой порядок можно изменить. Для этого нужно щелкнуть правой кнопкой мыши на папке Private Things, выбрать из появившегося меню пункт Properties и щелкнуть на закладке Security. При этом, как показано на Экране 1, в нижней части окна будет выставлен флажок Allow inheritable permissions from parent to propagate to this object («Применить к данному объекту наследуемые от родительского объекта правила доступа»). Когда такой флажок установлен, «тень» конфиденциальной папки Private Things, появляющаяся внутри папки My Stuff, подчиняется тем же правилам доступа, что и сама папка My Stuff. Если же этот флажок сбросить, на экране появится диалоговое окно Security. Если теперь щелкнуть на кнопке Remove, то наследование правил доступа для папки Private Things будет отменено, и она станет недоступна для других пользователей.

Но если при форматировании диска компьютера использовалась файловая система FAT32, закладки Security в пункте меню Properties просто не будет. Это означает, что правила наследования изменить нельзя, и разрешения на доступ к материалам папки Private Things будут определяться исключительно параметрами папки My Stuff. В этом случае у пользователя в сущности нет выбора: он может иметь одну разделяемую версию папки My Stuff и одну конфиденциальную. Если нужно уберечь от постороннего глаза материалы папки Private Things, ее придется переместить из папки My Stuff. Таким образом, при использовании файловой системы FAT32 следует позаботиться о том, чтобы эта папка, содержимое которой конфиденциально, не хранилась внутри папки, предназначенной для совместного использования.

Экран 2. Установка пользовательских разрешений.

В Windows 200 Pro существует возможность устанавливать разные уровни доступа для разных пользователей. Предположим, у меня имеется бухгалтерская программа. Я хочу, чтобы у моей жены Мэгги был доступ к этой программе, но подпускать к ней сына Барта считаю нецелесообразным. В окне Permissions я могу выделять имена пользователей и устанавливать для них различные правила доступа. Итак, я вызываю меню Sharing для соответствующей папки и щелкаю на кнопке Permissions. По умолчанию правила доступа применяются ко всем пользователям (Everyone). Затем я выбираю настройку Everyone и щелкаю на кнопке Remove (см. Экран 2). Потом я щелкаю на пункте Add, и появляется окно Select Users, Computers, or Groups. Я щелкаю на имени Мэгги, затем на кнопке Add и предоставляю Мэгги необходимые права доступа. Напомню, что, если на каждом компьютере сети хранятся одни и те же имена пользователей и пароли, в диалоговом окне Permissions можно назначать любому пользователю все определенные для него параметры доступа, при этом неважно, с какого именно компьютера он будет входить в сеть.

Internet Connection Sharing

Эта функция позволяет работающим на различных компьютерах сети пользователям выходить в Internet через единственное имеющееся соединение. Таким соединением может быть и абонентская цифровая линия (Digital Subscriber Line, DSL), и кабельный модем, и обычное коммутируемое соединение. Благодаря модулю ICS пользователь компьютера Мэгги может покупать в Internet акции и оплачивать счета в интерактивном режиме в то время, как пользователь системы Барри разбирается со своей электронной почтой, а пользователь Барт болтает с приятелями в режиме диалога. Повторю: все это происходит через единственное соединение с Internet, которое установлено лишь для одного из компьютеров сети. Можно сказать, что ICS в Windows 2000 Pro - это в сущности миниатюрная версия сервера-посредника.

В роли Internet-шлюза выступает подключенный к сети компьютер, имеющий соединение с Internet. Чтобы превратить компьютер в такой шлюз, нужно запустить систему, открыть значок Network and Dial-Up Connections и щелкнуть правой клавишей мыши на соединении с Internet, которое будет доступно для всех пользователей сети. В открывшемся меню следует выбрать пункт Properties и установить на закладке Sharing флажок Enable Internet connection sharing for this connection («Использовать это соединение с Internet как разделяемый ресурс»).

Для того чтобы Internet-шлюзом могли пользоваться и другие компьютеры сети, их нужно сконфигурировать как клиенты машины, выступающей в роли шлюза. Затем следует открыть на клиентской машине Network and Dial-Up Connections, щелкнуть правой клавишей мыши на сетевом соединении и выбрать пункт Properties. В списке Components checked are used by this connection («Отмеченные компоненты используются данным соединением») нужно выбрать протокол Internet Protocol (TCP/IP), щелкнуть на пункте Properties и установить флажок Obtain an IP address automatically. Кстати, если требуется назначить машинам сети постоянные IP-адреса, следует иметь в виду, что для успешной работы модуля ICS необходимо, чтобы IP-адреса клиентов не выходили за границы определенного диапазона. Более подробно этот вопрос рассматривается в справочно-информационной системе Windows 2000 Pro.

Затем нужно настроить Web-браузер компьютера. Возьмем для примера Microsoft Internet Explorer (IE). В меню Tools следует выбрать пункт Internet Options, щелкнуть на закладке Connections, установить переключатель Never dial a connection («Не устанавливать соединение по коммутируемым линиям») и затем выбрать пункт LAN Settings.

В списке Automatic configuration нужно сбросить флажки Automatically detect settings («Автоматическое определение параметров») и Use automatic configuration script («Автоматический запуск сценария конфигурации»), а в разделе Proxy server - флажок Use a proxy server.

Интересно, что в одноранговой сети можно задействовать даже функцию подключения по запросу (on-demand dialing). Эта функция позволяет клиентской машине подключаться к Internet даже в такие моменты, когда компьютер-шлюз не имеет соединения с провайдером. Предположим, что мы задействовали функцию подключения по запросу в сети, где роль шлюза выполняет машина Барта. Пользователю компьютера Мэгги, достаточно дважды щелкнуть на значке браузера Netscape Navigator, и Барт автоматически установит соединение с провайдером, предоставив тем самым клиенту Мэгги выход в Internet через локальную сеть. При этом шлюз Барта должен быть включен, однако присутствие оператора необязательно. Подключение функции соединения по запросу осуществляется следующим образом. На шлюзовом компьютере нужно открыть Network and Dial-Up Connections; правой клавишей мыши щелкнуть на значке LAN connection, выбрать пункт Properties и установить флажок Enable on-demand dialing.

Меры предосторожности

Тем, кто использует средства постоянного подключения к Internet (абонентские цифровые линии или кабельные модемы), мы рекомендуем установить в сети ту или иную систему сетевой защиты. Такие системы, иначе именуемые брандмауэрами, защищают сети от несанкционированного доступа. Известно, что сеть может стать объектом атаки злоумышленников в то время, когда она соединена с Internet, поэтому в защите нуждаются прежде всего такие сети, которые постоянно подключены к Глобальной сети. Если все компьютеры подключены к сети, а сеть всегда соединена с Internet и при этом не защищена, злоумышленник может проникнуть в нее и по своему усмотрению распорядиться файлами, хранящимися на любом подключенном к сети компьютере.

В категории программных брандмауэров для домашних сетей стоит упомянуть такие продукты, как WinGate Home 3.0 (http://wingate.deerfield.com, стоимость лицензии на трех пользователей 39,95 долларов), Sybergen SyGate for Home Office 3.11 (http://www.sybergen.com/products/gate_ov.htm, стоимость лицензии на трех пользователей 39,95 долларов) и Network ICE?s BlackICE Defender (http://www.networkice.com, стоимость 39,95 долларов). Программы WinGate Home и Sybergen SyGate for Home Office представляют собой ICS-изделия с функциями сетевой защиты. BlackICE Defender - это «чистый» брандмауэр, получивший наилучшие отзывы прессы в категории программных решений. Эти средства ограждают сеть от внешних вторжений, извещают пользователей о попытках проникнуть в систему и выполняют другие базовые функции по обеспечению безопасности. Данные программы создавались специально для малых/домашних офисов, и пользоваться ими относительно просто. Sybergen SyGate for Home Office и WinGate Home полностью совместимы с Windows 2000 Pro. Версия BlackICE Defender для этой операционной системы находится в стадии разработки.

Сетевую защиту можно организовать и с помощью других средств - специализированных аппаратных решений, таких, как WatchGuard SOHO компании WatchGuard Technologies (http://www.watchguard.com/products/soho.html) или SonicWALL SOHO 10 (http://www.sonicsys.com). Эти устройства размещаются между ПК и линией связи, соединяющей его с внешним миром. Они обеспечивают надежную защиту, но и цены на них довольно высоки. Самое дешевое устройство такого рода стоит порядка 275 долларов.

Пользователям, чьи компьютеры подключены к Internet через абонентскую цифровую линию, прежде чем приобретать средства сетевой защиты, стоит обязательно посоветоваться с провайдером. Возможно, что в DSL-маршрутизаторе провайдера реализованы встроенные функции брандмауэра.

Перспективы

Сообщения о выпуске той или иной компанией новых сетевых комплектов для малых и домашних офисов поступают чуть ли не ежедневно. Скорее всего, их поток быстро не иссякнет. Поначалу большинство изделий будет предназначаться для систем Windows 9x, но многие из них будут совместимы и с Windows 2000 Pro, а в конце концов рынок переориентируется на Windows 2000 Pro. Так или иначе, откладывать дело в долгий ящик не стоит. Уже сегодня ОС Windows 2000 Pro обладает всеми функциональными возможностями, которые могут потребоваться современному пользователю.

Отображение сетевых папок в виде сетевых дисков