Windows XP Professional обладает новыми широкими возможностями, многие из которых упрощают работу в домашней сети и работу в корпоративной сети в удаленном режиме. И хотя некоторые функции, такие, как Internet Connection Sharing (ICS), Internet Connection Firewall (ICF) и Network Bridging, есть не что иное, как выкручивание рук администраторам, от чего они просто скрипят зубами, эти функции обеспечивают удобные решения для пользователей, которые входят в сеть из дома и находясь в дороге. Если знать специфику подобных функций, можно улучшить характеристики соединений и надежность мобильных систем пользователей, не нарушая целостности корпоративной сети.

Альтернативная конфигурация

Прежде чем разрабатывать сложную систему, которая отвечала бы потребностям кочующей пользовательской братии, следует ознакомиться с сетевыми возможностями создания альтернативной конфигурации, которыми обладает XP Pro. Настройки Alternate Configuration позволяют создавать простые и в то же время эффективные решения для машин, используемых в двух сетевых средах: например, переносного компьютера, который выполняет двойные обязанности — в офисе и дома (в дороге). Хороший администратор должен уметь выполнить эти настройки так, чтобы требования пользователя по параметрам соединения были удовлетворены, но не приходилось вдаваться в тонкости таких понятий, как маска подсети.

Настройки Alternate Configuration позволяют XP переключаться между конфигурацией динамического IP-адреса и конфигурацией статического IP-адреса. Устанавливаемые параметры вступают в действие тогда, когда компьютер не получает ответа от сервера DHCP сети, к которой он подключен. Например, когда пользователь подключает переносной компьютер к корпоративной сети, система находит сервер DHCP и устанавливает настройки в соответствии с данной средой. Когда сотрудник забирает переносной компьютер домой, отсутствие сервера DHCP вынуждает систему использовать настройки, заданные альтернативной конфигурацией. Настройки Alternate Configuration по умолчанию должны назначать адрес из спектра Automatic Private IP Addressing (APIPA) (т. е. 169.254.x.y с маской подсети 255.255.0.0), но можно задать собственные значения в соответствии со схемой IP-адресации вторичной сети. На Экране 1 изображена вкладка Alternate Configuration диалогового окна Properties для Internet Protocol (TCP/IP).

Экран 1. Диалоговое окно настройки альтернативной конфигурации.

Чтобы увидеть это диалоговое окно, следует открыть окно Network Connections, щелкнуть правой кнопкой по сетевому соединению, которое требуется сконфигурировать, выбрать в контекстном меню Properties, далее Internet Protocol (TCP/IP), щелкнуть кнопку Properties и выбрать вкладку Alternate Configuration. Нужно иметь в виду, что эта вкладка недоступна, если не установить сначала режим Obtain an IP address automatically на вкладке General диалогового окна Internet Protocol (TCP/IP) Properties.

Папка Network Connections

Если настройки Alternate Configuration не дают доступа к папке Network Connections пользователям, рабочее место которых не имеет четко обозначенного расположения, администратор может считать, что ему повезло. XP Pro содержит огромное количество сетевых настроек, которые можно менять либо с помощью мастера, либо вручную из этой папки. Администратор может разрешить пользователям изменять некоторые из них, но не все. Чтобы определить, какие пользователи какие настройки и когда могут менять, стоит задействовать новую группу, которая и обеспечит необходимое для такой ситуации делегирование управления.

Группа Network Configuration Operators

Среди функций XP Pro есть новая встроенная группа Network Configuration Operators, которая позволяет делегировать задачи по управлению сетью. Эта группа не только указывает того, кто может менять сетевые настройки, но также дает локальному пользователю право менять определенные настройки, при этом не вводя его в локальную группу Administrators. В одних случаях члены группы Network Configuration Operators могут изменять свойства TCP/IP, такие, как переименование, включение и отключение соединений локальной сети, доступных всем пользователям системы; в других случаях члены этой группы могут менять настройки только своих соединений. Члены группы могут также удалять, переименовывать и модифицировать свойства соединений удаленного доступа текущего пользователя и запускать ipconfig для освобождения и обновления параметров соединения.

Чтобы добавить в эту группу локального пользователя, нужно открыть диалоговое окно Computer Management и перейти к оснастке Local Users and Groups консоли Microsoft Management Console (MMC). Следует выбрать объект Groups в дереве и дважды щелкнуть элемент Network Configuration Operators в панели детализации. Затем нужно щелкнуть Add, чтобы добавить имя пользователя. Если требуется уточнить, как правильно пишется имя пользователя, необходимо щелкнуть кнопку Advanced, чтобы обратиться либо к локальной базе данных пользователей, либо к базе данных пользователей в Active Directory (AD), и выбрать нужное имя из списка относительных составных имен (RDN). После добавления имени в группу следует щелчком OK закрыть окно Network Configuration Operators Properties.

После добавления пользователя в группу Network Configuration Operators он может выполнять в XP Pro простые задачи по настройке сети, даже когда находится вне офиса. Однако членство в этой группе не дает пользователю права конфигурировать ICS, ICF или Network Bridging. Для конфигурирования этих элементов пользователь должен иметь локальную учетную запись с правами администратора. Но если такие полномочия назначаются, как можно гарантировать, что настройки, выполняемые пользователем, не окажут влияния на настройки корпоративной сети? Ответ на этот вопрос лежит в настройках Group Policy и Network Location Awareness.

Настройки Group Policy для сетевых соединений

XP Pro содержит в Group Policy новые настройки для компьютера и пользователя, которые обеспечивают более гибкое управление параметрами сети. Для того чтобы иметь возможность воспользоваться новыми настройками Group Policy для объектов Group Policy Object (GPO) в Windows 2000 Server AD, администратор должен установить новейший шаблон Administrative Template (.adm) для XP в соответствующий контейнер доменной системы на контроллере домена (DC). Использование файлов.adm, предназначенных для Windows XP, при администрировании GPO в смешанной среде приемлемо на всех системах — клиенты предыдущих версий будут игнорировать неприменяемые настройки. Однако, возможно, стоит протестировать действие выбранных настроек, прежде чем реально применять их. Важно знать, как надлежит применять Group Policy и учесть соответствующие правила компании, прежде чем переходить к этой процедуре.

Для модернизации файла .adm в системе Windows 2000 необходимо зарегистрироваться с правами администратора и выполнить следующие действия.

  1. Скопировать файл \%systemroot%infsystem.adm из системы XP Pro на 3,5-дюймовую дискету или в какую-либо сетевую папку.
  2. Скопировать файл system.adm с 3,5-дюймовой дискеты или из сети в папку \%systemroot%inf на контроллере домена (DC). Для версии XP в зависимости от внутренних процедур работы с шаблонами можно либо заменить файл system.adm в Windows 2000, либо использовать другое имя, например system_xp.adm.
  3. В оснастке Active Directory Users and Computers консоли MMC нужно щелкнуть правой кнопкой по DC, к которому требуется применить новые настройки, затем открыть Properties.
  4. Перейти на вкладку Group Policy, выбрать GPO и щелкнуть Edit.
  5. Щелкнуть правой кнопкой по объекту Administrative Templates либо в Computer Configuration, либо в User Configuration и выбрать из контекстного меню Add/Remove Templates.
  6. Удалить файл system.adm в Windows 2000 и добавить system.adm или переименованную версию system.adm, который скопирован с компьютера XP Pro.
  7. Закрыть диалоговое окно Add/Remove Templates, а затем применить административные шаблоны, чтобы проверить, вступили ли в действие новые настройки XP.

Computer Configuration. На Экране 2 изображены настройки Group Policy системы XP Pro, которые применяются к компьютеру и находятся в узле Computer Configuration оснастки Group Policy консоли MMC. С помощью этих настроек можно лишить любого пользователя, в том числе администраторов, возможности включать ICS, ICF и Network Bridging. Вкладка Explain в окне Properties содержит описание каждой настройки. Следует помнить одно важное предостережение: если настройка ICS, ICF или Network Bridging существует на подключенном к домену компьютере, то Group Policy не изменит этих настроек. Данный феномен объясняется тем, что настройки Group Policy применяются только в том случае, если компьютер подключается к той же доменной сети DNS, к которой он был подключен в тот момент, когда эти настройки менялись последний раз.

User Configuration. На Экране 3 изображены настройки Group Policy системы XP Pro, которые применяются к пользователям. Они находятся в узле User Configuration оснастки Group Policy консоли MMC. Вкладка Explain окна Properties для каждой настройки предоставляет описание. В этих настройках операции по управлению сетью разбиты на составляющие. Я еще раз хочу подчеркнуть, что следует внимательно прочитать описание и дополнительную информацию о настройках, прежде чем применять какие-либо из них, особенно это касается политики Enable Windows 2000 Network Connections settings for Administrators в смешанной среде.

Те новые возможности, которые предоставляет XP для работы в сетях, могут заметно упростить работу в домашней сети, а могут и внести хаос в корпоративную сеть. К счастью, в распоряжении пользователя наряду со специфическими функциями есть эффективные и точные средства для управления тем, когда и как надлежит использовать эти функции.

Решаем проблемы с ХР

Отвечает Джон Севилл (jsavill@win2000mag.com).

Вопрос. Почему при регистрации с консоли восстановления Windows XP Recovery Console (RC), даже при вводе правильного пароля, появляется сообщение об ошибке The password is not valid?

Ответ. Описанная ситуация может возникать в том случае, когда первоначальная установка XP выполнялась с использованием образа, подготовленного программой Sysprep, или если на своем компьютере вы запускали программу Sysprep 2.0. Утилита меняет способ хранения паролей в реестре. В результате имеет место несовместимость с процедурой регистрации XP RC Logon. Microsoft знает об этой проблеме, и для ее решения отсылаем читателя к статье «?The Password Is Not Valid? Error Message Appears When You Log On to Recovery Console in Windows XP» (http://support.microsoft.com/?kbid=308402).

Вопрос. Чем различаются версии пакетов обновлений Windows XP Service Pack 1 (SP1) и XP SP1a?

Ответ. Одно отличие названных пакетов изменений состоит в том, что SP1а не содержит Microsoft Java Virtual Machine (JVM). Если вы уже установили SP1, нет необходимости разворачивать SP1а. Если SP1 JVM не установлена на компьютере, программа Windows Update пропустит все настройки JVM.

Далее SP1а изменяет реестр в двух местах для идентификации своего присутствия на компьютере:

  • новое значение параметра HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSubVersionNumber равно "a".
  • добавляется новая строка SP1a. HKEY_LOCAL_MACHINESOFTWAREMicrosoft UpdatesWindows XPSP1Q324720Description

Кроме того, SP1а изменяет приложение Add/Remove Programs в Control Panel для отображения Windows XP Service Pack 1a.

Эд Рот — обозреватель в тестовой лаборатории Windows 2000 Magazine. С ним можно связаться по адресу: eroth@winnetmag.com.