Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Главная » Разное » Как отключить использование hosts файла или настройте права доступа

Как отключить использование hosts файла или настройте права доступа


Open Server - Отключите использование HOSTS файла

  Не запускается Open Server ? - Я и сам ох@ел от такой радости, когда вчера у меня на скачивание этого пакета ушло больше трёх часов, а в итоге он отказался запускаться в режиме локального хоста.

  Но не всё так печально и если у вас не запускается Open Server, то я нашёл пару решений этой проблемы, которыми готов поделиться с вами.

 

Не запускается Open Server

  В общем, осью (операционной системой) у меня установлена Windows 10, паровозом к которой идёт родной якобы "защитник от вирусов" Брандмауер. У тебя же, мой дорогой читатель, могут быть установлены другие антивирусные программы. Именно антивирус препятствует и блокирует запуск Open Servera.

 

Выдаёт ошибку следующего содержания:

Файл C:\Windows\system32\drivers\etc\hosts недоступен для записи
Отключите использование HOSTS файла или настройте права доступа
Сбой запуска!

 

  а в панели инструментов флажок Open Servera отображается красным цветом:

  Блокировка запуска опен сервера - это всё проделки антивирусных программ установленных на компьютере.

Решение для запуска Open Server

  Самый простой вариант - это запустить Опен Сервер с правами администратора.

  Для начала нужно выйти из Open Server (полностью закрыть данную программу).

  Для этого в панели задач кликаем правой кнопкой мышки по иконке Open Server и затем в появившемся меню выбираем пункт Выход

  Затем открываем в проводнике папку с Open Server (обычно это диск C:/OSPanel у меня же диск G:/OSPanel )

  Наводим курсор на версию Open Server cогласно разрядности вашей виндовс и кликаем правой кнопкой мышки.

В появившемся окне выбираем пункт Запуск от имени администратора :

  В открывшемся окне подтвердите доступ для Open Server

  Теперь вы можете запускать OpenServer из панели задач и он будет работать.

 

Второй способ запуска

  Нужно открыть терминал cmd.exe - Можно вызвать сочетанием клавиш  + R  Здесь ещё команды клавишами для Windows

  Затем скопируйте код ниже, вставьте его в терминал и нажмите клавишу Enter

attrib.exe -s -r -h -a C:\Windows\system32\drivers\etc\hosts

 

  Эта команда находит файл hosts и снимает с него права только для администратора, из за которых openserver не может по умолчанию его перезаписывать, добавляя в него свои записи для создаваемых вами виртуальных хостов.

  Если эта команда не проходит - значит у вас стоит антивирус. Можно временно отключить антивирус и переназначить права для файла

Windows\system32\drivers\etc\hosts

после чего снова включить антивирус.

 

 

Open Server и Dr.Web - разрешаем файл Hosts - OLDESIGN.RU

 

Большой проблемой становится запуск OpenServer при установленном на компьютере антивирусе Dr.Web.
После установки, и уже при запуске Open Server выдает ошибку с комментарием.

Файл C:\Windows\system32\drivers\etc\hosts недоступен для записи

 

1) Чтобы разрешить доступ к файл hosts для Dr.Web - нужно проделать следующее:

Нажмите значек Dr.Web, выберите значок "Замок", разрешите запуск программы, нажмите значок "Зубчатый круг", в окне "Настройки":

1. Нажмите "Исключения", далее нажмите "Файлы и папки", нажмите на значок "+", нажмите кнопку "Обзор...", раскройте диск (С:), далее папку "Windows", "System32", "Drivers", "etc", выберите файл "hosts", нажмите "ОК", "ОК".
В верхней части окна, нажмите стрелку влево, чтобы вернуться на предыдущий шаг настроек.

2. Нажмите "Компоненты защиты", далее нажмите "Превентивная защита", нажмите надпись "Изменить параметры блокировки подозрительных действий", в колонке "Защищаемый объект" найдите "Файл HOSTS", напротив него переведите отметку по колонке "Разрешать", закройте окно "Настройки".

После внесённых изменений, если требуется защитить файл от изменений, но при этом сохранить свои изменения, в превентивной защите выберите "Запрещать" для файла HOSTS.


2) Если у вас не установлен антивирус, но файл Hosts все равно недоступен для записи, чтобы разрешить OpenServer редактировать файл -проделайте следующие шаги:

1. Откройте cmd.exe (win + r) от имени Администратора
2. Выполните там команду:

 


 attrib.exe -s -r -h -a C:\Windows\system32\drivers\etc\hosts

 


3) Так-же вы можете воспользоваться третьим вариантом - это просто отключить в OpenServer использование файла hosts. На разработку это никак не повлияет, но при этом оставить защиту вашего компьютера на должном уровне!

а) Нажимаем на значёк OpenServer в трее
б) Заходим в раздел "настройки"
в) Заходим в раздел "сервер"
г) Ставим галочку "Не вносить изменения в Hosts файл"

 

На этом всё =)

Скажите спасибо - поделитесь:

 

решение популярных проблем с запуском

Локальный веб-сервер OpenServer не всегда работает корректно, особенно когда речь идет о его первом запуске после установки на компьютер. Часто пользователи сталкиваются с различными проблемами, приводящими к отсутствию отклика при запуске программы.

Далее я расскажу, как быстро избавиться от распространенных трудностей при работе с данным инструментом.  

Просмотр логов OpenServer

Начну с небольшого совета, который чаще всего помогает сразу же распознать причину неполадки и решить ее, приложив минимальное количество усилий. Однако уточню, что подойдет эта рекомендация только в том случае, если сам OpenServer запускается в Windows, но при этом старта локального веб-сервера не происходит. 

На панели задач есть значок программы, по которому нужно кликнуть правой кнопкой мыши. После этого появится контекстное меню, в котором надо нажать на «‎Просмотр логов». В новом окне ознакомьтесь с полученными сведениями и определите, из-за чего появилась рассматриваемая ошибка. 

Запуск программы от имени администратора

Как бы банально это ни звучало, но часто запуск OpenServer от имени администратора решает все неполадки. Дело в том, что сам компонент тесно связан с сетью и файлами, отвечающими за соединение, поэтому и требует определенных привилегий при взаимодействии с ними. Если права доступа отсутствуют, соответственно, и запуска программы не произойдет.

Вам понадобится выйти из панели управления, найти файл программы в корневом каталоге, щелкнуть по нему правой кнопкой мыши и в контекстном меню выбрать пункт «‎Запуск от имени администратора». Подождите несколько секунд и проверьте, появилась ли на экране какая-либо информация, свидетельствующая о начале работы локального веб-сервера.

Если этот метод оказался эффективным, но вы не хотите каждый раз запускать программу таким образом, выполните простую настройку. Для этого снова кликните по исполняемому файлу правой кнопкой мыши и перейдите в «‎Свойства». Там найдите вкладку «‎Совместимость» и установите галочку возле пункта «Запускать эту программу от имени администратора‎».

После применения настроек софт всегда будет стартовать с повышенными привилегиями, что позволит избавиться от проблем с запуском.

Редактирование файла hosts

Встроенный в операционную систему файл hosts выполняет важную роль, и часто пользователи задействуют его, если хотят ограничить доступ к конкретным сайтам. Иногда его блокировка средствами Windows становится причиной проблем с запуском OpenServer. Информация об этом появляется в логах при попытке перейти на веб-сервер, поэтому причину можно сразу же распознать. 

Хочу дать два совета:

  1. При использовании стороннего антивируса и брандмауэра настройте их так, чтобы OpenServer не попадал в список заблокированных программ. Стандартные средства можно отключить на время исключительно в качестве проверки.
  2. Запустите командную строку от имени администратора и введите команду attrib -s -r -h -a C:\Windows\system32\drivers\etc\hosts, активировав соответствующие атрибуты для упомянутого файла hosts.

Невозможно подключиться к серверу

Если же OpenServer запускается нормально, но при этом соединения с сервером не происходит, советую ознакомиться с дальнейшими инструкциями. 

Способ 1: Редактирование MySQL и phpMyAdmin

Этот способ подойдет тем пользователям, которые используют OpenServer в связке с MySQL и phpMyAdmin. Он заключается в небольшой настройке этих двух компонентов для обеспечения нормального соединения, если вдруг возникла такая ситуация, что веб-сервер не хочет запускаться.

Первоочередная задача – создание нового пользователя MySQL. Вводим:


 shell> mysql --user=root mysql
 
 mysql> GRANT ALL PRIVILEGES ON *.* TO root@localhost -> IDENTIFIED BY 'password' WITH GRANT OPTION

Команда отвечает за создание нового пользователя и установку для него пароля.

Откройте конфигурационный файл phpMyAdmin, который находится в папке /etc/phpmyadmin/config.inc.php. Добавьте туда две строки:


 $cfg['Servers'][$i]['controluser'] = $dbuser;
 
 $cfg['Servers'][$i]['controlpass'] = $dbpass;

Вместо user и pass подставьте имя созданного пользователя и его пароль для MySQL.

Способ 2: Проверка данных авторизации

Последняя рекомендация будет самой банальной – проверка данных авторизации при входе на веб-сервер. Это касается ситуаций, когда на экране появляется ошибка «Невозможно подключиться к серверу MySQL mysqli::real_connect(): (HY000/1045): Access denied for user 'root'@'localhost' (using password: NO)». Вам необходимо указать стандартный пароль и логин mysql или root в обоих полях, после чего авторизация должна пройти успешно.

Это были самые распространенные способы решения проблем с запуском OpenServer. 

Open server, ограничение на работу с файлом hosts

В случае, если у вас есть ограничение на работу с файлом c:\windows\system32\drivers\etc\hosts вы должны запускать Open Server от имени Администратора, для этого необходимо выйти из Open Server-а, вызвать контекстное меню на ярлыке запуска и выбрать "Запуск от имени администратора"...

Запуск Open Server от имени администратора

Более подробно про этот момент написано в Документации к OpenServer-у:

Ограниченный режим работы OpenServer-а

Для того, чтобы упростить такой запуск, можно попробовать рецепт описанный в конце документации, про смену аттрибутов файла hosts. К сожалению мне он не помог.

Однако есть другой способ который я использую. Если это ваш домашний комп, и администратор именно Вы, тогда нужно просто запускать Open Server от имени администратора.

Прежде всего останавливаем сервера и нажимаем кнопку выйти:

Остановка и выход из Open Server

Далее заходим в папку с Open Server-ом, в моем случае это C:\Progr\OpenServer

Ищем там OpenServer.exe, вызываем на нем контестное меню и выбираем пункт "Свойства"

Свойства файла OpenServer.exe

В открывшемся окне, переходим на вкладку "Совместимость" и отмечаем чекбокс "Выполнить эту программу от имени Администратора"

Запуск от имени Администратора

После этого запускаем Open Server, в появившемся предупреждении разрешаем запуск

В ACL разрешаем запуск Open Server

Если вы хотите избавится от этого сообщения, тогда Вам необходимо погуглить на тему: Отключение UAC в Windows 7.

Вызываем в трее контекстное меню Open Server-а и смотрим наличие наших доменов

Список доступных доменов Open Server

Собственно именно этот вариант и сработал для меня 🙂

Open Server и Dr.Web - разрешаем файл Hosts - OLDESIGN.RU

 

Большой проблемой становится запуск OpenServer при установленном на компьютере антивирусе Dr.Web.
После установки, и уже при запуске Open Server выдает ошибку с комментарием.

Файл C:\Windows\system32\drivers\etc\hosts недоступен для записи

 

1) Чтобы разрешить доступ к файл hosts для Dr.Web - нужно проделать следующее:

Нажмите значек Dr.Web, выберите значок "Замок", разрешите запуск программы, нажмите значок "Зубчатый круг", в окне "Настройки":

1. Нажмите "Исключения", далее нажмите "Файлы и папки", нажмите на значок "+", нажмите кнопку "Обзор...", раскройте диск (С:), далее папку "Windows", "System32", "Drivers", "etc", выберите файл "hosts", нажмите "ОК", "ОК".
В верхней части окна, нажмите стрелку влево, чтобы вернуться на предыдущий шаг настроек.

2. Нажмите "Компоненты защиты", далее нажмите "Превентивная защита", нажмите надпись "Изменить параметры блокировки подозрительных действий", в колонке "Защищаемый объект" найдите "Файл HOSTS", напротив него переведите отметку по колонке "Разрешать", закройте окно "Настройки".

После внесённых изменений, если требуется защитить файл от изменений, но при этом сохранить свои изменения, в превентивной защите выберите "Запрещать" для файла HOSTS.


2) Если у вас не установлен антивирус, но файл Hosts все равно недоступен для записи, чтобы разрешить OpenServer редактировать файл -проделайте следующие шаги:

1. Откройте cmd.exe (win + r) от имени Администратора
2. Выполните там команду:

 


 attrib.exe -s -r -h -a C:\Windows\system32\drivers\etc\hosts

 


3) Так-же вы можете воспользоваться третьим вариантом - это просто отключить в OpenServer использование файла hosts. На разработку это никак не повлияет, но при этом оставить защиту вашего компьютера на должном уровне!

а) Нажимаем на значёк OpenServer в трее
б) Заходим в раздел "настройки"
в) Заходим в раздел "сервер"
г) Ставим галочку "Не вносить изменения в Hosts файл"

 

На этом всё =)

Скажите спасибо - поделитесь:

 

Секреты файла hosts

06 марта, 2013

Автор: Maksim

После некоторого затишья вновь пошла волна вопросов на тему «Не открывается страница..», «не могу войти на сайт…». Правило здесь одно – начать проверку с файла hosts.

Что такое файл hosts

Начнем с того у каждого сайта есть текстовое название и соответствующий уникальный цифровой код. Обычно в адресной строке мы пишем текстовый адрес сайта, поскольку так нам удобнее. Как только мы ввели название сайта, тут же специальный DNS-сервер преобразует это название в цифровой код – IP-адрес.

Файл hosts предназначен для ускорения доступа к сайту в обход DNS-сервера. То есть, если мы сами пропишем  здесь пару IP-адрес и  имя сайта, то обращения к DNS- серверу не будет.

Теперь вы понимаете, что если прописать эту пару неверно, то и переход будет не туда, куда вы ожидали или вообще никуда.

Вот эту особенность и используют вредоносные программы, дописывая в hosts неверные пары — IP адрес и имя сайта.

Исправление файла hosts.

Файл hosts текстовый и его легко исправить самому. Расположен он по адресу

c:/windows/system32/etc

О том, как его исправить и как  выглядит файл hosts для разных ОС– очень подробно было написано здесь.

ВНИМАНИЕ! В папке etc кроме файла hosts находятся другие файлы, которые предназначены для настройки сети.  Это networks, protocol, services,hosts, lmhosts.sam.  НЕ УДАЛЯЙТЕ эту папку совсем!.

Вы можете исправить файл hosts с помощью:

  •  утилиты Microsoft Fix it  — перейдите на сайт к его создателям и проделайте это двумя щелчками мыши.
  •  утилиты AVZ — очень подробно об этом написано здесь.
  •  при проверке компьютера с помощью бесплатной утилиты CureIt — скачать бесплатно Dr Web CureIt.
  •  исправление вручную.

При исправлении файла hosts вы должны знать о том, что здесь есть подводные камни. Вирусописатели используют нехитрые, но вполне эффективные уловки, чтобы подсунуть нам фиктивный файл hosts. Поэтому, если вы не можете открыть сайт и собираетесь проверить файл hosts, будьте предельно внимательны.

Какой файл hosts вы правите?

Если вы проверяете свой hosts и либо не находите его совсем, либо считаете его правильным, проведите дополнительный анализ.  Вам потребуется дополнительное умение, чуть больше чем обычное владение блокнотом. Но — ничего сложного.

В этом разделе собраны наиболее часто встречающиеся уловки, с помощью которых злоумышленники пытаются помешать пользователю исправить файл hosts.

Уловка 1 —  перенаправление в реестре

Если вы не можете войти на сайт, а ваш файл hosts верный или вы не находите hosts в папке С:\windows\system32\drivers\etc\,  значит вирус подменил расположение файла в ключе реестра.

Чтобы избавиться от вируса, выполните следующие действия:
1. Пуск — Выполнить — regedit.exe.
2. В окне редактора реестра найдите ветку —
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Во вкладке Parameters в правой части окна появится меню с именем файла, его типом и значением. Проверьте значение параметра DataBasePath. Должно быть %SystemRoot%\System32\drivers\etc. Если это не так, то кликаем правой кнопкой мыши на этой строке, выбираем Изменить, и вводим правильное значение.

Даже если hosts у вас там, где нужно, но операционная система использует тот файл, путь к которому указан параметром DataBasePath.

Уловка 2 — вставка пустых строк.

Чтобы обнаружить лишние строчки в файле hosts было сложнее, они записываются в самый конец файла после большого количества пустых строк.

С первого взгляда такой файл выглядит нормально и при беглом взгляде мы можем ничего не заметить, однако надо всегда обращать внимание на ползунок полосы прокрутки в Блокноте:

Если ползунок присутствует, то его надо опустить вниз, чтобы посмотреть содержимое файла полностью. Зачастую это оказывается полезным, т.к. внизу файла мы можем найти неприятные сюрпризы:

Уловка 3 — скрытие файла.

Файлу hosts присваивается атрибут Скрытый, и он становится не виден — нету файла hosts. А поскольку по умолчанию скрытые файлы и папки не отображаются в проводнике, то пользователь может не найти этот файл, а значит не может и отредактировать его.

Если у вас нету файла hosts, значит нам надо сделать его видимым. Для этого в Windows XP делаем следующее: Пуск – Панель управления – Свойства папки – вкладка Вид – установить признак Показывать скрытые файлы и папки – нажать Ok (в Windows 7 все то же, но вместо Свойства папки пункт называется Параметры папок).

Уловка 4 — подложный файл с похожим названием.

Создается ложный файл без расширения, но имеющий схожее название, например файл host. А настоящий файл hosts при этом делают скрытым.

В этом случае мы опять редактируем ложный файл, а настоящий остается без изменений. Такой файл (host) можно тоже смело удалять!

Уловка 5 — изменение расширения.

Создается ложный файл hosts, который в отличие от настоящего файла имеет какое-нибудь расширение (например .txt). А поскольку по умолчанию для зарегистрированных типов файлов расширения не отображаются, то пользователь а следовательно мы можем легко перепутать файлы и редактировать совсем не тот файл.

Уловка 6 — невозможно отредактировать файл hosts.

И еще одна вещь, на которую слишком торопливые часто не обращают внимание.

Вы нашли правильный файл hosts, обнаружили в нем лишние строки, начинаете править, но изменения не сохраняются. А все потому, что вашему файлу hosts присвоен атрибут «Только чтение».

Уловка 7 — настройка прокси.

Не буду сильно заморачиваться на прокси, просто проверьте настройки своего браузера.

Opera: Общие настройки (Ctrl+F12) — Расширенные — Сеть — кнопка Прокси

Firefox:  Настройки->Дополнительно->вкладка Сеть — Настроить

По умолчанию там стоит галочка «использовать системные настройки прокси», переключите на “Без прокси”, попробуйте сохранить настройки и перезапустить браузер.

Если стоит ручная настройка и прописан адрес прокси сервера, при этом вы его не устанавливали: сохраните адрес, удалите его, переведите в режим «без прокси».

Открываем наш редактор реестра (используйте сочетание клавиш Win+R), нажимаем CTRL+F (поиск) и вставляем сохраненный адрес, затем — найти далее… Все ключи с данным адресом нужно будет изменить, а именно удалить присвоенное им значение нашего адреса.

Перезагружаем Windows и проверяем.

Использование hosts в своих целях.

Способ 1 — ускорить доступ к сайту с помощью hosts.

Если мы часто посещаем какой-либо сайт (например, yandex.ru), то можно добавить в конец файла hosts такие строки:

87.250.250.11  yandex.ru
87.250.250.11  www.yandex.ru

Браузер, обнаружив эти строки, не будет обращаться к DNS-серверу, а значит, процесс загрузки данного сайта будет проходить быстрее.

Как узнать IP сайта?

Да хотя бы здесь.

Способ 2 — запретить доступ к сайту.

Можно заблокировать нежелательные сайты, назначив против их имени либо локальный IP 127.0.0.1. либо IP какого-то другого сайта.

Например, по журналу вы видите, что ребенок часами играет в танчики. Строки в hosts файле вида:

127.0.0.1 tankionline.com
127.0.0.1 www.tankionline.com

вообще закрывает доступ к этому сайту (сообщение об ошибке при соединении).

А строка вида

81.176.66.163 kiss.ru

работает изощреннее. При попытке ввести в браузере kiss.ru будет происходить соединение с IP 81.176.66.163, т.е. с библиотекой Мошкова.

Как видите, мы можем сделать то же самое что и вирусы, но уже с пользой.

Можно заблокировать наиболее зловредные баннерообменные сети и прочие рассадники рекламного мусора. Например строка вида:

127.0.0.1 www.bannerdrive.ru

отключит загрузку баннеров с www.bannerdrive.ru. В принципе, в интернете можно найти очень большие (до 1 МБ) файлы hosts, в которых вписаны (блокированы) тысячи рекламных серверов.

Но не увлекайтесь этим особо — большие (от нескольких десятков кБ) файлы hosts требуют заметного времени на их просмотр, что подтормаживает работу. Но сильно экономить строки тоже не надо — файлы до 10 кБ ничего не тормозят даже на старых машинах, а 10 кБ — это многие сотни строк.

Особенности правки файла hosts в Windows 8.

В Windows 8, в отличие от предыдущих версий, изменен порядок редактирования файла hosts. Разработчики уделили этому вопросу гораздо больше внимания. И связано это с более жесткими требованиями к безопасности системы и защите столь важного файла от посягательств из вне.

Эту защиту осуществляет встроенный антивирус Windows Defender — при внесении любых изменений в файл hosts, Windows 8 автоматически удалит их, защитив систему от атак злоумышленников. Но для более опытных и уверенных в себе пользователей существует один способ обхода данной защиты.

  • Открываем окно самого защитника. Для этого перейдите на стартовый экран и вызовите боковую панель Charms Bar. Если вы успели принарядить свою систему и установили windows 8 темы такие, что система изменилась до неузнаваемости, то воспользуйтесь сочетанием клавиши Windows Win+C
  • Зайдите в поиск и введите запрос «Defender».
  • Кликаем на показанной строке. Откроется окно, в котором нужно  перейти на вкладку «Параметры», выбрать  «Исключенные файлы и расположения» и нажать кнопку «Обзор».
  • Находим путь к файлу C:\Windows\System32\Drivers\etc\hosts и нажимаем ОК.
  • Теперь, чтобы внести этот файл в исключения защиты, нужно нажать кнопку «Добавить» и «Сохранить изменения».

Теперь можно приступать к редактированию самого файла. Однако, имейте в виду, что изменить файл можно только от имени администратора.  Для этого включаем поиск приложений — Win+C -> Иконка Поиска -> вводим запрос «Блокнот«.

Запускаем Блокнот и в появившемся снизу меню выбираем иконку с заголовком «Запуск от имени Администратора».

Откроется привычный блокнот и можно изменять файл hosts как обычно.

В заключение.

После того, как вы удачно исправили свой hosts, обязательно проверьте компьютер на наличие вирусов и измените пароли от почтового ящика.

Разблокировка файла Hosts - сообщество Apple

Привет снова, angndal,

Я не видел файл, поэтому не могу его комментировать. Однако взлом файла hosts с целью пиратского программного обеспечения Adobe чрезвычайно распространен. Я не обязательно говорю, что вы это сделали, но это было бы моим исходным предположением в этих случаях - просто действующий закон средних чисел. Я совершенно уверен, что это тоже исходное предположение Adobe. Существуют законные причины для редактирования файла hosts, но эта конкретная технология Adobe, с которой вы говорили, вероятно, предполагает наиболее распространенную причину, как и я.

Более важный вопрос - почему вы не можете редактировать этот файл. Он не является частью защиты целостности системы El Capitan (AKA rootless). Есть только две причины, по которым вы не сможете его редактировать:

1) Вы используете обычного пользователя, который не может выполнить sudo, или

2) Ваш файл sudoers поврежден.

1) наиболее вероятно. В Терминале вы можете ввести «su », где - это краткое имя учетной записи администратора на вашем компьютере. Затем вы сможете использовать команду «sudo».

2) должно вызвать другое сообщение об ошибке, но это сложно сказать в Интернете.

Возможно, попробуйте еще раз отредактировать файл и сделать снимок экрана с сообщением об ошибке. И, возможно, для начала скопируйте и вставьте команду, которую вы использовали для редактирования файла.

.

Страница не найдена

Документы

Моя библиотека

раз
    • Моя библиотека
    "" Настройки файлов cookie .

    Реализация безопасных административных хостов | Документы Microsoft

    • 15 минут на чтение

    В этой статье

    Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

    Безопасные административные узлы - это рабочие станции или серверы, которые были настроены специально для создания безопасных платформ, с которых привилегированные учетные записи могут выполнять административные задачи в Active Directory или на контроллерах домена, системах, присоединенных к домену, и приложениях, работающих в системах, присоединенных к домену.В этом случае «привилегированные учетные записи» относятся не только к учетным записям, которые являются членами наиболее привилегированных групп в Active Directory, но и к любым учетным записям, которым были делегированы права и разрешения, позволяющие выполнять административные задачи.

    Эти учетные записи могут быть учетными записями службы поддержки, которые имеют возможность сбрасывать пароли для большинства пользователей в домене, учетными записями, которые используются для администрирования записей и зон DNS, или учетными записями, которые используются для управления конфигурацией. Защищенные административные узлы предназначены для административных функций и не запускают программное обеспечение, такое как приложения электронной почты, веб-браузеры или программное обеспечение для повышения производительности, такое как Microsoft Office.

    Хотя «наиболее привилегированные» учетные записи и группы должны соответственно быть наиболее строго защищены, это не устраняет необходимости защищать любые учетные записи и группы, которым предоставлены привилегии выше, чем у стандартных учетных записей пользователей.

    Безопасный административный хост может быть выделенной рабочей станцией, которая используется только для административных задач, рядовым сервером, выполняющим роль сервера шлюза удаленных рабочих столов и к которому ИТ-пользователи подключаются для выполнения администрирования целевых хостов, или сервером, на котором выполняется Hyper- V и предоставляет каждому ИТ-пользователю уникальную виртуальную машину для выполнения своих административных задач.Во многих средах могут быть реализованы комбинации всех трех подходов.

    Внедрение безопасных административных хостов требует планирования и настройки, которые согласуются с размером вашей организации, методами администрирования, аппетитом к риску и бюджетом. Здесь представлены соображения и варианты реализации безопасных административных хостов, которые вы можете использовать при разработке административной стратегии, подходящей для вашей организации.

    Принципы создания безопасных административных хостов

    Для эффективной защиты систем от атак следует помнить несколько общих принципов:

    1. Никогда не следует администрировать доверенную систему (то есть защищенный сервер, такой как контроллер домена) с менее надежного хоста (то есть рабочей станции, которая не защищена в той же степени, что и системы, которыми она управляет).

    2. Вы не должны полагаться на один фактор аутентификации при выполнении привилегированных действий; то есть комбинации имени пользователя и пароля не должны считаться приемлемой аутентификацией, потому что представлен только один фактор (то, что вы знаете). В административных сценариях следует учитывать, где создаются учетные данные, кэшируются или хранятся.

    3. Хотя большинство атак в текущем ландшафте угроз используют вредоносное ПО и злонамеренные взломы, не упускайте из виду физическую безопасность при разработке и внедрении безопасных административных узлов.

    Конфигурация учетной записи

    Даже если ваша организация в настоящее время не использует смарт-карты, вам следует подумать о внедрении их для привилегированных учетных записей и безопасных административных узлов. Административные узлы должны быть настроены так, чтобы требовать входа в систему со смарт-картой для всех учетных записей, изменив следующий параметр в объекте групповой политики, который связан с подразделениями, содержащими административные узлы:

    Конфигурация компьютера \ Политики \ Параметры Windows \ Локальные политики \ Параметры безопасности \ Интерактивный вход в систему: требуется смарт-карта

    Этот параметр требует, чтобы все интерактивные входы в систему использовали смарт-карту, независимо от конфигурации отдельной учетной записи в Active Directory.

    Вам также следует настроить безопасные административные узлы, чтобы разрешить вход только авторизованным учетным записям, что можно настроить в:

    Конфигурация компьютера \ Политики \ Параметры Windows \ Локальные политики \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

    Это предоставляет права на интерактивный (и, при необходимости, службы удаленных рабочих столов) входа в систему только авторизованным пользователям защищенного административного узла.

    Физическая охрана

    Чтобы административные хосты считались надежными, они должны быть настроены и защищены в той же степени, что и системы, которыми они управляют.Большинство рекомендаций, приведенных в разделе Защита контроллеров домена от атак, также применимы к узлам, которые используются для администрирования контроллеров домена и базы данных AD DS. Одна из проблем внедрения безопасных административных систем в большинстве сред заключается в том, что физическую безопасность может быть труднее реализовать, поскольку эти компьютеры часто находятся в областях, которые не так безопасны, как серверы, размещенные в центрах обработки данных, таких как рабочие столы административных пользователей.

    Физическая безопасность включает контроль физического доступа к административным хостам.В небольшой организации это может означать, что у вас есть выделенная административная рабочая станция, которая, когда не используется, запирается в офисе или в ящике стола. Или это может означать, что, когда вам нужно выполнить администрирование Active Directory или контроллеров домена, вы входите непосредственно в контроллер домена.

    В организациях среднего размера вы можете рассмотреть возможность внедрения безопасных административных «серверов перехода», которые расположены в защищенном месте в офисе и используются, когда требуется управление Active Directory или контроллерами домена.Вы также можете реализовать административные рабочие станции, которые заблокированы в безопасных местах, когда они не используются, с серверами перехода или без них.

    В крупных организациях вы можете развернуть серверы перехода в центре обработки данных, которые обеспечивают строго контролируемый доступ к Active Directory; контроллеры домена; а также файловые серверы, серверы печати или приложения. Реализация архитектуры сервера перехода, скорее всего, будет включать комбинацию безопасных рабочих станций и серверов в больших средах.

    Независимо от размера вашей организации и структуры ваших административных хостов, вы должны защитить физические компьютеры от несанкционированного доступа или кражи и использовать BitLocker Drive Encryption для шифрования и защиты дисков на административных хостах.Реализуя BitLocker на административных узлах, даже если узел украден или его диски удалены, вы можете гарантировать, что данные на диске недоступны для неавторизованных пользователей.

    Версии и конфигурация операционной системы

    Все административные узлы, будь то серверы или рабочие станции, должны работать под управлением новейшей операционной системы, используемой в вашей организации по причинам, описанным ранее в этом документе. Используя текущие операционные системы, ваш административный персонал получает преимущества от новых функций безопасности, полной поддержки поставщиков и дополнительных функций, представленных в операционной системе.Более того, когда вы оцениваете новую операционную систему, сначала развертывая ее на административных хостах, вам необходимо будет ознакомиться с новыми функциями, настройками и механизмами управления, которые она предлагает, которые впоследствии могут быть использованы при планировании более широкого развертывания операционной системы. . К тому времени наиболее опытными пользователями в вашей организации будут также пользователи, знакомые с новой операционной системой и имеющие наилучшие возможности для ее поддержки.

    Мастер настройки безопасности Microsoft

    Если вы реализуете серверы перехода как часть стратегии административного хоста, вам следует использовать встроенный мастер настройки безопасности, чтобы настроить параметры службы, реестра, аудита и брандмауэра, чтобы уменьшить поверхность атаки сервера.Когда параметры конфигурации мастера настройки безопасности собраны и настроены, их можно преобразовать в объект групповой политики, который используется для обеспечения согласованной базовой конфигурации на всех серверах перехода. Вы можете дополнительно изменить объект групповой политики, чтобы реализовать параметры безопасности, специфичные для серверов перехода, и можете объединить все параметры с дополнительными базовыми параметрами, извлеченными из Microsoft Security Compliance Manager.

    Microsoft Security Compliance Manager

    Microsoft Security Compliance Manager - это свободно доступный инструмент, который объединяет конфигурации безопасности, рекомендованные Microsoft, на основе версии операционной системы и конфигурации ролей, и собирает их в одном инструменте и пользовательском интерфейсе, который можно использовать для создания и настройки базовых параметров безопасности. для контроллеров домена.Шаблоны Microsoft Security Compliance Manager можно комбинировать с параметрами мастера настройки безопасности для создания исчерпывающих базовых параметров конфигурации для серверов перехода, которые развертываются и применяются объектами групповой политики, развернутыми в подразделениях, в которых серверы перехода расположены в Active Directory.

    Примечание

    На момент написания этой статьи Microsoft Security Compliance Manager не включает настройки, специфичные для серверов перехода или других защищенных административных хостов, но Security Compliance Manager (SCM) по-прежнему может использоваться для создания начальных базовых показателей для ваших административных хостов.Однако, чтобы должным образом защитить хосты, вы должны применить дополнительные настройки безопасности, соответствующие высокозащищенным рабочим станциям и серверам.

    AppLocker

    Административные узлы и виртуальные машины должны быть настроены с помощью сценариев, инструментов и приложений через AppLocker или стороннее программное обеспечение для ограничения приложений. Любые административные приложения или служебные программы, которые не соответствуют безопасным настройкам, должны быть обновлены или заменены инструментами, которые соответствуют безопасным методам разработки и администрирования.Когда на административном хосте необходимы новые или дополнительные инструменты, приложения и утилиты должны быть тщательно протестированы, и, если инструментальные средства подходят для развертывания на административных хостах, их можно добавить в системы.

    Ограничения RDP

    Хотя конкретная конфигурация будет зависеть от архитектуры ваших административных систем, вы должны включить ограничения на то, какие учетные записи и компьютеры могут использоваться для установления подключений по протоколу удаленного рабочего стола (RDP) к управляемым системам, например с использованием шлюза удаленных рабочих столов (шлюза удаленных рабочих столов). ) переходные серверы для управления доступом к контроллерам домена и другим управляемым системам от авторизованных пользователей и систем.

    Вы должны разрешить интерактивный вход авторизованным пользователям и удалить или даже заблокировать другие типы входа, которые не нужны для доступа к серверу.

    Управление исправлениями и конфигурацией

    Небольшие организации могут полагаться на такие предложения, как Центр обновления Windows или Службы обновления Windows Server (WSUS) для управления развертыванием обновлений для систем Windows, в то время как более крупные организации могут внедрять корпоративные исправления и программное обеспечение для управления конфигурацией, такое как Microsoft Endpoint Configuration Manager.Независимо от механизмов, которые вы используете для развертывания обновлений на вашем общем сервере и на рабочих станциях, вам следует рассмотреть возможность отдельного развертывания для систем с высокой степенью защиты, таких как контроллеры домена, центры сертификации и административные узлы. Из-за отделения этих систем от общей инфраструктуры управления, если ваше управляющее программное обеспечение или учетные записи служб будут скомпрометированы, это не может быть легко распространено на наиболее безопасные системы в вашей инфраструктуре.

    Хотя вам не следует внедрять процессы обновления вручную для защищенных систем, вы должны настроить отдельную инфраструктуру для обновления защищенных систем.Даже в очень крупных организациях эту инфраструктуру обычно можно реализовать с помощью выделенных серверов WSUS и объектов групповой политики для защищенных систем.

    Блокировка доступа в Интернет

    Административным узлам не должен быть разрешен доступ в Интернет, и они не должны иметь возможность просматривать интрасеть организации. Веб-браузеры и аналогичные приложения не должны допускаться на административных хостах. Вы можете заблокировать доступ в Интернет для безопасных хостов с помощью комбинации настроек брандмауэра периметра, конфигурации WFAS и конфигурации прокси-сервера «черной дыры» на защищенных хостах.Вы также можете использовать список приложений, чтобы запретить использование веб-браузеров на административных хостах.

    Виртуализация

    По возможности рассмотрите возможность реализации виртуальных машин в качестве административных узлов. Используя виртуализацию, вы можете создавать административные системы для каждого пользователя, которые централизованно хранятся и управляются, и которые можно легко отключить, когда они не используются, гарантируя, что учетные данные не останутся активными в административных системах. Вы также можете потребовать, чтобы виртуальные административные узлы сбрасывались до исходного моментального снимка после каждого использования, чтобы виртуальные машины оставались нетронутыми.Более подробная информация о вариантах виртуализации административных хостов представлена ​​в следующем разделе.

    Примеры подходов к реализации безопасных административных хостов

    Независимо от того, как вы проектируете и развертываете инфраструктуру административного хоста, вы должны помнить о рекомендациях, приведенных в разделе «Принципы создания безопасных административных хостов» ранее в этом разделе. Каждый из описанных здесь подходов предоставляет общую информацию о том, как можно разделить «административные» и «производительные» системы, используемые вашим ИТ-персоналом.Системы повышения производительности - это компьютеры, которые ИТ-администраторы используют для проверки электронной почты, просмотра веб-страниц и использования общего программного обеспечения для повышения производительности, такого как Microsoft Office. Административные системы - это компьютеры, усиленные и предназначенные для повседневного администрирования ИТ-среды.

    Самый простой способ реализовать безопасные административные хосты - предоставить ИТ-персоналу защищенные рабочие станции, с которых они могут выполнять административные задачи. В реализации только для рабочих станций каждая административная рабочая станция используется для запуска инструментов управления и подключений RDP для управления серверами и другой инфраструктурой.Реализации только для рабочих станций могут быть эффективны в небольших организациях, хотя для более крупных и более сложных инфраструктур может быть полезна распределенная структура для административных узлов, в которой используются выделенные административные серверы и рабочие станции, как описано в разделе «Внедрение безопасных административных рабочих станций и серверов переходов» далее в Эта тема.

    Внедрение отдельных физических рабочих станций

    Одним из способов реализации административных хостов является предоставление каждому ИТ-пользователю двух рабочих станций.Одна рабочая станция используется с «обычной» учетной записью для выполнения таких действий, как проверка электронной почты и использование приложений для повышения производительности, а вторая рабочая станция предназначена исключительно для административных функций.

    Для производительной рабочей станции ИТ-персоналу могут быть предоставлены учетные записи обычных пользователей вместо использования привилегированных учетных записей для входа на незащищенные компьютеры. Административная рабочая станция должна иметь строго контролируемую конфигурацию, а ИТ-персонал должен использовать другую учетную запись для входа на административную рабочую станцию.

    Если вы внедрили смарт-карты, административные рабочие станции должны быть настроены так, чтобы требовать входа в систему с помощью смарт-карт, а ИТ-персоналу должны быть предоставлены отдельные учетные записи для административного использования, также настроенные на использование смарт-карт для интерактивного входа в систему. Административный хост должен быть усилен, как описано ранее, и только назначенным ИТ-пользователям следует разрешить локальный вход на административную рабочую станцию.

    Плюсы

    Внедряя отдельные физические системы, вы можете гарантировать, что каждый компьютер настроен в соответствии со своей ролью и что ИТ-пользователи не могут случайно подвергнуть административные системы риску.

    Минусы

    • Внедрение отдельных физических компьютеров увеличивает затраты на оборудование.

    • При входе на физический компьютер с учетными данными, которые используются для администрирования удаленных систем, учетные данные кэшируются в памяти.

    • Если административные рабочие станции хранятся ненадежно, они могут быть уязвимы для взлома с помощью таких механизмов, как физические аппаратные регистраторы ключей или другие физические атаки.

    Реализация защищенной физической рабочей станции с виртуальной рабочей станцией для повышения производительности

    При таком подходе ИТ-пользователям предоставляется защищенная административная рабочая станция, с которой они могут выполнять повседневные административные функции с помощью средств удаленного администрирования сервера (RSAT) или подключений RDP к серверам в пределах их ответственности.Когда ИТ-пользователям необходимо выполнить задачи по повышению производительности, они могут подключиться через RDP к удаленной рабочей станции, работающей как виртуальная машина. Для каждой рабочей станции должны использоваться отдельные учетные данные, а также должны быть реализованы элементы управления, такие как смарт-карты.

    Плюсы

    • Административные рабочие места и рабочие места для повышения производительности разделены.

    • ИТ-персонал, использующий защищенные рабочие станции для подключения к продуктивным рабочим станциям, может использовать отдельные учетные данные и смарт-карты, а привилегированные учетные данные не хранятся на менее защищенном компьютере.

    Минусы

    • Реализация решения требует работы по проектированию и внедрению, а также надежных вариантов виртуализации.

    • Если физические рабочие станции хранятся ненадежно, они могут быть уязвимы для физических атак, которые ставят под угрозу оборудование или операционную систему и делают их уязвимыми для перехвата связи.

    Внедрение единой защищенной рабочей станции с подключениями к отдельным виртуальным машинам «производственной» и «административной»

    При таком подходе вы можете предоставить ИТ-пользователям одну физическую рабочую станцию, которая заблокирована, как описано ранее, и к которой ИТ-пользователи не имеют привилегированного доступа.Вы можете предоставить подключения к службам удаленных рабочих столов виртуальным машинам, размещенным на выделенных серверах, предоставив ИТ-персоналу одну виртуальную машину, которая запускает электронную почту и другие приложения для повышения производительности, а также вторую виртуальную машину, которая настроена как выделенный административный узел пользователя.

    Вам необходимо потребовать смарт-карту или другой многофакторный вход для виртуальных машин с использованием отдельных учетных записей, отличных от учетной записи, которая используется для входа на физический компьютер. После того, как ИТ-пользователь входит в систему на физическом компьютере, он может использовать свою рабочую смарт-карту для подключения к своему удаленному рабочему компьютеру и отдельную учетную запись и смарт-карту для подключения к своему удаленному административному компьютеру.

    Плюсы

    • ИТ-пользователи могут использовать одну физическую рабочую станцию.

    • Из-за того, что для виртуальных хостов требуются отдельные учетные записи и используются подключения служб удаленных рабочих столов к виртуальным машинам, учетные данные ИТ-пользователей не кэшируются в памяти на локальном компьютере.

    • Физический хост может быть защищен в той же степени, что и административный хост, что снижает вероятность взлома локального компьютера.

    • В случаях, когда производительная виртуальная машина ИТ-пользователя или его административная виртуальная машина могли быть скомпрометированы, виртуальную машину можно легко сбросить в «заведомо исправное» состояние.

    • Если физический компьютер скомпрометирован, никакие привилегированные учетные данные не будут кэшироваться в памяти, а использование смарт-карт может предотвратить компрометацию учетных данных регистраторами нажатия клавиш.

    Минусы

    • Реализация решения требует работы по проектированию и внедрению, а также надежных вариантов виртуализации.

    • Если физические рабочие станции хранятся ненадежно, они могут быть уязвимы для физических атак, которые ставят под угрозу оборудование или операционную систему и делают их уязвимыми для перехвата связи.

    Внедрение безопасных административных рабочих станций и серверов переходов

    В качестве альтернативы защищенным административным рабочим станциям или в сочетании с ними вы можете реализовать защищенные серверы перехода, а пользователи с правами администратора могут подключаться к серверам перехода с помощью RDP и смарт-карт для выполнения административных задач.

    Серверы переходов должны быть настроены для запуска роли шлюза удаленных рабочих столов, чтобы можно было реализовать ограничения на подключения к серверу перехода и к серверам назначения, которые будут управляться с него.Если возможно, вам также следует установить роль Hyper-V и создать персональные виртуальные рабочие столы или другие виртуальные машины для каждого пользователя, чтобы административные пользователи могли использовать их для своих задач на серверах перехода.

    Предоставляя административным пользователям виртуальные машины для каждого пользователя на сервере перехода, вы обеспечиваете физическую безопасность административных рабочих станций, а административные пользователи могут перезагружать или выключать свои виртуальные машины, когда они не используются. Если вы предпочитаете не устанавливать роль Hyper-V и роль шлюза удаленных рабочих столов на одном административном хосте, вы можете установить их на разных компьютерах.

    По возможности, для управления серверами следует использовать инструменты удаленного администрирования. Средства удаленного администрирования сервера (RSAT) должны быть установлены на виртуальных машинах пользователей (или на сервере перехода, если вы не реализуете виртуальные машины для отдельных пользователей для администрирования), а административный персонал должен подключаться через RDP к своим виртуальным машинам для выполнения административные задачи.

    В случаях, когда административный пользователь должен подключиться через RDP к целевому серверу для непосредственного управления им, шлюз удаленных рабочих столов должен быть настроен так, чтобы подключение было выполнено только в том случае, если соответствующий пользователь и компьютер используются для установления соединения с целевым сервером.Выполнение инструментов RSAT (или подобных) должно быть запрещено в системах, которые не являются назначенными системами управления, например, на рабочих станциях общего пользования и рядовых серверах, которые не являются серверами перехода.

    Плюсы

    • Создание серверов перехода позволяет вам сопоставлять определенные серверы с «зонами» (совокупностями систем с аналогичными требованиями к конфигурации, подключению и безопасности) в вашей сети и требовать, чтобы администрирование каждой зоны осуществлялось административным персоналом, подключающимся из безопасного административные хосты к назначенному серверу "зоны".

    • Сопоставляя серверы перехода с зонами, вы можете реализовать детальный контроль свойств подключения и требований к конфигурации, а также легко выявлять попытки подключения из неавторизованных систем.

    • Реализуя виртуальные машины на уровне администратора на серверах перехода, вы принудительно завершаете работу и переводите виртуальные машины в известное чистое состояние после завершения административных задач. Принудительное завершение работы (или перезапуск) виртуальных машин после завершения административных задач делает виртуальные машины недоступными для злоумышленников, а атаки с кражей учетных данных невозможны, поскольку учетные данные, кэшированные в памяти, не сохраняются после перезагрузки.

    Минусы

    • Для серверов перехода, физических или виртуальных, требуются выделенные серверы.

    • Внедрение выделенных серверов перехода и административных рабочих станций требует тщательного планирования и настройки с учетом всех зон безопасности, настроенных в среде.

    .

    Страница не найдена

    Документы

    Моя библиотека

    раз
      • Моя библиотека
      "" Настройки файлов cookie .

      Недостаточно прав доступа для выполнения операции при перемещении или включении пользователя - Skype для бизнеса

      • 2 минуты на чтение
      • Применимо к:
        Lync Server 2010 Enterprise Edition, Lync Server 2010 Standard Edition, Lync Server 2013

      В этой статье

      Симптомы

      При использовании панели управления Lync Server для включения или перемещения Active Directory, пользователя домена службы каталогов для использования с Lync Server возвращается следующая ошибка:

      Ошибка операции Active Directory на «DC1.contoso.com ". Вы не можете повторить эту операцию:" Недостаточно прав доступа для выполнения операции "

      Причина

      Ошибка, описанная в разделе «СИМПТОМЫ» данной статьи, вызвана сочетанием следующих двух причин:

      • Учетная запись пользователя, которая является частью операции перемещения или включения Lync Server, является членом Active Directory, группы безопасности домена, защищенной службой каталогов. Поскольку учетная запись пользователя принадлежит к группе безопасности защищенного домена Windows Server, она не может сохранять группы универсальной безопасности RTCUniversalUserAdmins и RTCUniversalUserReadOnlyGroup Lync Server Universal Security и их разрешения в качестве записей управления доступом (ACE) для списка управления доступом по умолчанию группы безопасности защищенного домена (ACL). ).
      • Панель управления Lync Server не предназначена для делегирования разрешений RTCUniversalUserAdmins и RTCUniversalUserReadOnlyGroup Универсальной группы безопасности Lync Server, которые необходимы для завершения перемещения учетной записи пользователя или включения операции.

      Примечание

      В качестве примера, глобальная группа безопасности «Администраторы домена» является группой, защищенной Windows Server. Для получения подробной информации о группах безопасности Windows Server, защищенных и Active Directory, процессах службы каталогов, которые поддерживают свои записи в списке управления доступом по умолчанию, см. Раздел «ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ» этой статьи.

      Разрешение

      Используйте оболочку Lync Server Management для администрирования следующих командлетов PowerShell Lync Server, чтобы включить для учетной записи пользователя операции перемещения:

      Примечание

      Разрешения, эквивалентные группе RTCUniversalUserAmins, необходимы для успешного использования командлетов PowerShell Enable-CsUser, Move-CsUser, Move-CsLegacyuser Lync Server.

      1. Enable-CsUser -Identity "Bill Anderson" -RegistrarPool "pool01.contoso.com" -SipAddressType EmailAddress -SipDomain contoso.com

        • Чтобы просмотреть список примеров использования командлета PowerShell Enable-CsUser Lync Server, используйте Lync Management Shell и введите следующий командлет PowerShell: Get-Help Enable-CsUser -Examples

      2. Move-CsUser -Identity "Bill Anderson" -Target "pool01.contoso.com"

        • Чтобы просмотреть список примеров использования командлета PowerShell Move-CsUser Lync Server, используйте командную консоль Lync Management Shell и введите следующий командлет PowerShell: Get-Help Move-CsUser -Example

      3. Move-CsLegacyUser -Identity "Bill Anderson" -Target "pool01.contoso.com "

        • Чтобы просмотреть список примеров использования командлета PowerShell Move-CsLegacyUser Lync Server, используйте командную консоль Lync Management Shell и введите следующий командлет PowerShell: Get-Help Move-LegacyCsUser -Examples

      Дополнительная информация

      Для получения более подробной информации о разрешениях, необходимых для использования панели управления Lync Server, и о том, как использовать панель управления Lync Server для добавления пользователей службы каталогов Active Directory в пул Lync Server, просмотрите следующую информацию:

      Включение или отключение пользователей для Lync Server

      Windows Server Active Directory, группы безопасности службы каталогов, обозначенные как защищенные группы, в качестве меры безопасности блокируют наследование записей управления доступом (ACE), отличных от заданных по умолчанию, в их список управления доступом (ACL) по умолчанию.Защищенные группы Windows Server состоят из списка административных групп по умолчанию, которые используются для управления предприятием Windows Server.

      Ссылка, указанная ниже, предоставляет подробную информацию о процессах, которые используются для управления уровнем безопасности по умолчанию для групп безопасности, защищенных Windows Server:

      AdminSDHolder, защищенные группы и SDPROP для Windows Server

      Для получения дополнительных сведений об использовании командлетов PowerShell для Lync Server Enable-CsUser, Move-CsUser и Move-CsLegacyUser см. Следующую информацию Microsoft TechNet:

      По-прежнему нужна помощь? Перейдите в сообщество Microsoft.

      .

      Ограничение доступа с помощью подписей общего доступа - Azure HDInsight

      • Читать 12 минут

      В этой статье

      HDInsight имеет полный доступ к данным в учетных записях хранилища BLOB-объектов Azure, связанных с кластером. Вы можете использовать подписи общего доступа в контейнере больших двоичных объектов, чтобы ограничить доступ к данным. Подписи общего доступа (SAS) - это функция учетных записей хранилища BLOB-объектов Azure, которая позволяет ограничить доступ к данным.Например, предоставление доступа к данным только для чтения.

      Предупреждение

      HDInsight должен иметь полный доступ к хранилищу по умолчанию для кластера.

      Предварительные требования

      • Клиент SSH. Дополнительные сведения см. В разделе Подключение к HDInsight (Apache Hadoop) с помощью SSH.

      • Существующий складской контейнер.

      • При использовании PowerShell вам понадобится модуль Az.

      • Если вы хотите использовать Azure CLI, но еще не установили его, см. Раздел Установка Azure CLI.

      • При использовании Python версии 2.7 или выше.

      • При использовании C # Visual Studio должна быть версии 2013 или выше.

      • Схема URI для вашей учетной записи хранения. Эта схема будет иметь вид wasb: // для хранилища BLOB-объектов Azure, abfs: // для Azure Data Lake Storage 2-го поколения или adl: // для Azure Data Lake Storage 1-го поколения. Если для хранилища BLOB-объектов Azure включена безопасная передача, URI-адрес будет wasbs: // .

      • Существующий кластер HDInsight, в который нужно добавить общую подпись доступа. В противном случае вы можете использовать Azure PowerShell для создания кластера и добавить общую подпись доступа во время создания кластера.

      • Файлы примеров с https://github.com/Azure-Samples/hdinsight-dotnet-python-azure-storage-shared-access-signature. Этот репозиторий содержит следующие элементы:

        • Проект Visual Studio, который может создать контейнер хранения, сохраненную политику и SAS для использования с HDInsight
          • .
        • Скрипт Python, который может создать контейнер хранения, сохраненную политику и SAS для использования с HDInsight
          • .
        • Сценарий PowerShell, который может создать кластер HDInsight и настроить его для использования SAS.Обновленная версия используется ниже.
        • Пример файла: hdinsight-dotnet-python-azure-storage-shared-access-signature-master \ sampledata \ sample.log

      Подписи общего доступа

      Существует две формы подписей общего доступа:

      • Ad hoc : время начала, время истечения срока действия и разрешения для SAS указаны в URI SAS.

      • Сохраненная политика доступа : Сохраненная политика доступа определяется в контейнере ресурсов, таком как контейнер больших двоичных объектов.Политика может использоваться для управления ограничениями для одной или нескольких подписей общего доступа. Когда вы связываете SAS с сохраненной политикой доступа, SAS наследует ограничения - время начала, время истечения срока действия и разрешения - определенные для сохраненной политики доступа.

      Разница между двумя формами важна для одного ключевого сценария: отзыва. SAS - это URL-адрес, поэтому его может использовать любой, кто получит SAS. Неважно, кто это просил с самого начала. Если SAS опубликован публично, его может использовать кто угодно в мире.Распространенный SAS действителен, пока не произойдет одно из четырех событий:

      1. Достигнуто время истечения срока, указанное на SAS.

      2. Время истечения срока, указанное в сохраненной политике доступа, на которую ссылается SAS, достигнуто. Следующие сценарии приводят к достижению времени истечения срока действия:

        • Временной интервал истек.
        • Сохраненная политика доступа изменена так, чтобы срок ее действия был в прошлом. Изменение срока действия - один из способов отозвать SAS.

      3. Сохраненная политика доступа, на которую ссылается SAS, удаляется, что является еще одним способом аннулирования SAS. Если вы воссоздаете сохраненную политику доступа с тем же именем, все токены SAS для предыдущей политики действительны (если время истечения срока действия на SAS не прошло). Если вы намереваетесь отозвать SAS, обязательно используйте другое имя, если вы повторно создаете политику доступа со сроком действия в будущем.

      4. Ключ учетной записи, который использовался для создания SAS, создается повторно.При повторном создании ключа все приложения, использующие предыдущий ключ, не проходят проверку подлинности. Обновите все компоненты до нового ключа.

      Важно

      URI подписи совместно используемого доступа связан с ключом учетной записи, используемым для создания подписи, и связанной сохраненной политикой доступа (если есть). Если сохраненная политика доступа не указана, единственный способ отозвать подпись общего доступа - это изменить ключ учетной записи.

      Мы рекомендуем всегда использовать сохраненные политики доступа.При использовании хранимых политик вы можете либо отозвать подписи, либо продлить срок действия по мере необходимости. Шаги в этом документе используют сохраненные политики доступа для создания SAS.

      Дополнительные сведения о подписях общего доступа см. В разделе Общие сведения о модели SAS.

      Создать сохраненную политику и SAS

      Сохраните маркер SAS, созданный в конце каждого метода. Токен будет выглядеть примерно так: 

       ? Sv = 2018-03-28 & sr = c & si = myPolicyPS & sig = NAxefF% 2BrR2ubjZtyUtuAvLQgt% 2FJIN5aHJMj6OsDwyy4% 3D

      Использование PowerShell

      Замените RESOURCEGROUP , STORAGEACCOUNT и STORAGECONTAINER соответствующими значениями для вашего существующего контейнера для хранения.Измените каталог на hdinsight-dotnet-python-azure-storage-shared-access-signature-master или измените параметр -File , чтобы он содержал абсолютный путь для Set-AzStorageblobcontent . Введите следующую команду PowerShell: 

        $ resourceGroupName = "RESOURCEGROUP" $ storageAccountName = "STORAGEACCOUNT" $ containerName = "STORAGECONTAINER" $ policy = "myPolicyPS" # Войдите в свою подписку Azure $ sub = Get-AzSubscription -ErrorAction SilentlyContinue если (-not ($ sub)) { Connect-AzAccount } # Если у вас несколько подписок, установите ту, которая будет использоваться # Select-AzSubscription -SubscriptionId "" # Получите ключ доступа к учетной записи хранения Azure $ storageAccountKey = (Get-AzStorageAccountKey ` -ResourceGroupName $ resourceGroupName ` -Name $ storageAccountName) [0].Значение # Создание контекста хранилища Azure $ storageContext = New-AzStorageContext ` -StorageAccountName $ storageAccountName ` -StorageAccountKey $ storageAccountKey # Создание хранимой политики доступа для контейнера хранилища Azure New-AzStorageContainerStoredAccessPolicy ` -Контейнер $ containerName ` -Policy $ policy ` -Разрешение "р-л" ` -ExpiryTime "31.12.2025 08:00:00" ` -Context $ storageContext # Получить сохраненную политику доступа или политики для контейнера хранилища Azure Get-азсторажеконтейнерстредакцессполици ` -Контейнер $ containerName ` -Context $ storageContext # Создает токен SAS для контейнера хранилища Azure New-AzStorageContainerSASToken ` -Name $ containerName ` -Policy $ policy ` -Context $ storageContext <# Удаляет сохраненную политику доступа из контейнера хранилища Azure. Remove-Азсторажеконтейнерстредакцессполици ` -Container $ containerName ` -Policy $ policy ` -Context $ storageContext #> # загрузить файл для более позднего примера Set-AzStorageblobcontent ` -Файл "./sampledata/sample.log "` -Container $ containerName ` -Blob "samplePS.log" ` -Context $ storageContext

      с использованием Azure CLI

      Использование переменных в этом разделе основано на среде Windows. Небольшие изменения потребуются для bash или других сред.

      1. Замените STORAGEACCOUNT и STORAGECONTAINER соответствующими значениями для вашего существующего контейнера для хранения. 

          # установить переменные установить AZURE_STORAGE_ACCOUNT = STORAGEACCOUNT установить AZURE_STORAGE_CONTAINER = STORAGECONTAINER #Авторизоваться az войти # Если у вас несколько подписок, установите ту, которая будет использоваться # az account set --subscription SUBSCRIPTION # Получить первичный ключ для учетной записи хранения az список ключей учетной записи хранения --account-name% AZURE_STORAGE_ACCOUNT% --query "[0].{PrimaryKey: value} "- таблица вывода

      2. Установить полученный первичный ключ переменной для последующего использования. Замените PRIMARYKEY значением, полученным на предыдущем шаге, а затем введите команду ниже: 

          # установить переменную для первичного ключа установить AZURE_STORAGE_KEY = PRIMARYKEY

      3. Измените каталог на hdinsight-dotnet-python-azure-storage-shared-access-signature-master или измените параметр --file , чтобы он содержал абсолютный путь для загрузки больших двоичных объектов хранилища az .Выполните оставшиеся команды: 

          # Создать сохраненную политику доступа для содержащего объекта az Storage container policy create --container-name% AZURE_STORAGE_CONTAINER% --name myPolicyCLI --account-key% AZURE_STORAGE_KEY% --account-name% AZURE_STORAGE_ACCOUNT% --expiry 2025-12-31 --permissions rl # Список сохраненных политик доступа для содержащего объекта список политик контейнеров хранения az --container-name% AZURE_STORAGE_CONTAINER% --account-key% AZURE_STORAGE_KEY% --account-name% AZURE_STORAGE_ACCOUNT% # Создать общую подпись доступа для контейнера контейнер хранения az generate-sas --name% AZURE_STORAGE_CONTAINER% --policy-name myPolicyCLI --account-key% AZURE_STORAGE_KEY% --account-name% AZURE_STORAGE_ACCOUNT% # Разворот # az удаление политики контейнера хранения --container-name% AZURE_STORAGE_CONTAINER% --name myPolicyCLI --account-key% AZURE_STORAGE_KEY% --account-name% AZURE_STORAGE_ACCOUNT% # загрузить файл для более позднего примера az Storage blob upload --container-name% AZURE_STORAGE_CONTAINER% --account-key% AZURE_STORAGE_KEY% --account-name% AZURE_STORAGE_ACCOUNT% --name sampleCLI.log --file "./sampledata/sample.log"

      Использование Python

      Откройте файл SASToken.py и замените storage_account_name , storage_account_key и storage_container_name соответствующими значениями для существующего контейнера хранения, а затем запустите сценарий.

      Вам может потребоваться выполнить pip install --upgrade azure-storage , если вы получите сообщение об ошибке ImportError: Нет модуля с именем azure.Хранилище .

      с использованием C #

      1. Откройте решение в Visual Studio.

      2. В обозревателе решений щелкните правой кнопкой мыши проект SASExample и выберите Properties .

      3. Выберите Настройки и добавьте значения для следующих записей:

        Товар Описание
        StorageConnectionString Строка подключения для учетной записи хранения, для которой вы хотите создать сохраненную политику и SAS.Формат должен быть DefaultEndpointsProtocol = https; AccountName = myaccount; AccountKey = mykey , где myaccount - имя вашей учетной записи хранения, а mykey - это ключ для учетной записи хранения.
        Имя контейнера Контейнер в учетной записи хранения, доступ к которому вы хотите ограничить.
        Имя SASPolicyName Имя, используемое для создаваемой сохраненной политики.
        FileToUpload Путь к файлу, загружаемому в контейнер.

      4. Запустить проект. Сохраните маркер политики SAS, имя учетной записи хранения и имя контейнера. Эти значения используются при связывании учетной записи хранения с кластером HDInsight.

      Использование SAS с HDInsight

      При создании кластера HDInsight необходимо указать основную учетную запись хранения. Вы также можете указать дополнительные учетные записи хранения. Оба эти метода добавления хранилища требуют полного доступа к используемым учетным записям хранения и контейнерам.

      Используйте подпись общего доступа для ограничения доступа к контейнеру. Добавьте настраиваемую запись в конфигурацию core-site для кластера. Вы можете добавить запись во время создания кластера с помощью PowerShell или после создания кластера с помощью Ambari.

      Создайте кластер, использующий SAS

      Замените CLUSTERNAME , RESOURCEGROUP , DEFAULTSTORAGEACCOUNT , STORAGECONTAINER , STORAGEACCOUNT и TOKEN на соответствующие значения.Введите команды PowerShell: 

        $ clusterName = 'CLUSTERNAME' $ resourceGroupName = 'RESOURCEGROUP' # Замените на центр обработки данных Azure, в котором вы хотите разместить кластер $ location = 'eastus' # Замените на имя учетной записи хранения по умолчанию, КОТОРОЙ БУДЕТ СОЗДАТЬ $ defaultStorageAccountName = 'DEFAULTSTORAGEACCOUNT' # Заменить на имя контейнера SAS CREATED EARLIER $ SASContainerName = 'STORAGECONTAINER' # Замените на имя учетной записи хранения SAS СОЗДАНО РАНЬШЕ $ SASStorageAccountName = 'STORAGEACCOUNT' # Заменить токеном SAS, созданным ранее $ SASToken = 'ТОКЕН' # Размер кластера по умолчанию (количество рабочих узлов), версия и тип $ clusterSizeInNodes = "4" $ clusterVersion = "3.6 дюймов $ clusterType = "Hadoop" # Войдите в свою подписку Azure $ sub = Get-AzSubscription -ErrorAction SilentlyContinue если (-not ($ sub)) { Connect-AzAccount } # Если у вас несколько подписок, установите ту, которая будет использоваться # Select-AzSubscription -SubscriptionId "" # Создание учетной записи хранения Azure и контейнера New-AzStorageAccount ` -ResourceGroupName $ resourceGroupName ` -Name $ defaultStorageAccountName ` -Location $ location ` -SkuName Standard_LRS ` -Доброе хранениеV2 ` -EnableHttpsTrafficOnly 1 $ defaultStorageAccountKey = (Get-AzStorageAccountKey ` -ResourceGroupName $ resourceGroupName ` -Name $ defaultStorageAccountName) [0].Значение $ defaultStorageContext = New-AzStorageContext ` -StorageAccountName $ defaultStorageAccountName ` -StorageAccountKey $ defaultStorageAccountKey # Создать контейнер больших двоичных объектов. Это хранилище данных по умолчанию для кластера. New-AzStorageContainer ` -Name $ clusterName ` -Context $ defaultStorageContext # Вход в кластер используется для защиты сервисов HTTPS, размещенных в кластере $ httpCredential = Get-Credential ` -Сообщение «Введите учетные данные для входа в кластер» ` -UserName "admin" # Пользователь SSH используется для удаленного подключения к кластеру с помощью клиентов SSH $ sshCredential = Get-Credential ` -Сообщение «Введите учетные данные пользователя SSH» ` -UserName "sshuser" # Создаем конфигурацию для кластера $ config = New-AzHDInsightClusterConfig $ config = $ config | Add-AzHDInsightConfigValue ` -Spark2Defaults @ {} ` -Core @ {"fs.azure.sas. $ SASContainerName. $ SASStorageAccountName.blob.core.windows.net "= $ SASToken} # Создать кластер HDInsight New-AzHDInsightCluster ` -Config $ config ` -ResourceGroupName $ resourceGroupName ` -ClusterName $ clusterName ` -Location $ location ` -ClusterSizeInNodes $ clusterSizeInNodes ` -ClusterType $ clusterType ` -OSType Linux ` -Version $ clusterVersion ` -HttpCredential $ httpCredential ` -SshCredential $ sshCredential ` -DefaultStorageAccountName "$ defaultStorageAccountName.blob.core.windows.net "` -DefaultStorageAccountKey $ defaultStorageAccountKey ` -DefaultStorageContainer $ clusterName <# REVERSAL Удалить-AzHDInsightCluster ` -ResourceGroupName $ resourceGroupName ` -ClusterName $ clusterName Remove-AzStorageContainer ` -Name $ clusterName ` -Context $ defaultStorageContext Remove-AzStorageAccount ` -ResourceGroupName $ resourceGroupName ` -Name $ defaultStorageAccountName Удалить-AzResourceGroup ` -Name $ resourceGroupName #>

      Важно

      При запросе имени пользователя и пароля HTTP / s или SSH необходимо указать пароль, который соответствует следующим критериям:

      • Должен состоять не менее чем из 10 символов.
      • Должен содержать хотя бы одну цифру.
      • Должен содержать хотя бы один не буквенно-цифровой символ.
      • Должен содержать как минимум одну заглавную или строчную букву.

      Для завершения этого сценария требуется время, обычно около 15 минут. Когда сценарий завершится без ошибок, кластер создан.

      Использование SAS с существующим кластером

      Если у вас есть существующий кластер, вы можете добавить SAS в конфигурацию core-site , выполнив следующие действия:

      1. Откройте веб-интерфейс Ambari для своего кластера.Адрес этой страницы: https://YOURCLUSTERNAME.azurehdinsight.net . При появлении запроса авторизуйтесь в кластере, используя имя администратора (admin) и пароль, которые вы использовали при создании кластера.

      2. Перейдите к HDFS > Configs > Advanced > Custom core-site .

      3. Разверните раздел Custom core-site , прокрутите до конца и выберите Добавить свойство ... .Используйте следующие значения для Key и Value :

        • Ключ : fs.azure.sas.CONTAINERNAME.STORAGEACCOUNTNAME.blob.core.windows.net
        • Значение : SAS, возвращенный одним из ранее выполненных методов.

        Замените CONTAINERNAME на имя контейнера, которое вы использовали с приложением C # или SAS. Замените STORAGEACCOUNTNAME именем учетной записи хранения, которое вы использовали.

        Выберите Добавьте , чтобы сохранить этот ключ и значение

      4. Нажмите кнопку Сохранить , чтобы сохранить изменения конфигурации.При появлении запроса добавьте описание изменения (например, «добавление доступа к хранилищу SAS»), а затем выберите Сохранить .

        Выберите OK , когда изменения будут завершены.

        Важно

        Чтобы изменения вступили в силу, необходимо перезапустить несколько служб.

      5. A Откроется раскрывающийся список «Перезагрузка ». Выберите Restart All Affected из раскрывающегося списка, а затем Confirm Restart All .

        Повторите этот процесс для MapReduce2 и YARN .

      6. После перезапуска служб выберите каждую и отключите режим обслуживания в раскрывающемся списке Действия службы .

      Тест ограниченного доступа

      Выполните следующие действия, чтобы убедиться, что вы можете только читать и перечислять элементы в учетной записи хранения SAS.

      1. Подключиться к кластеру. Замените CLUSTERNAME именем своего кластера и введите следующую команду: 

          ssh sshuser @ CLUSTERNAME-ssh.azurehdinsight.net

      2. Чтобы просмотреть содержимое контейнера, используйте следующую команду из командной строки: 

          hdfs dfs -ls wasbs: //[email protected]/

        Замените SASCONTAINER именем контейнера, созданного для учетной записи хранения SAS. Замените SASACCOUNTNAME именем учетной записи хранения, используемой для SAS.

        Список включает файл, загруженный при создании контейнера и SAS.

      3. Используйте следующую команду, чтобы убедиться, что вы можете прочитать содержимое файла. Замените SASCONTAINER и SASACCOUNTNAME , как на предыдущем шаге. Замените sample.log именем файла, отображаемым в предыдущей команде: 

          hdfs dfs -text wasbs: //[email protected]/sample.log

        Эта команда выводит список содержимого файла.

      4. Используйте следующую команду для загрузки файла в локальную файловую систему: 

          hdfs dfs -get wasbs: // SASCONTAINER @ SASACCOUNTNAME.blob.core.windows.net/sample.log testfile.txt

        Эта команда загружает файл в локальный файл с именем testfile.txt .

      5. Используйте следующую команду, чтобы загрузить локальный файл в новый файл с именем testupload.txt в хранилище SAS: 

          hdfs dfs -put testfile.txt wasbs: //[email protected]/testupload.txt

        Вы получаете сообщение, похожее на следующий текст: 

          поставить: java.io.IOException

        Эта ошибка возникает из-за того, что место хранения доступно только для чтения + списка. Используйте следующую команду, чтобы поместить данные в хранилище по умолчанию для кластера, доступное для записи: 

          hdfs dfs -put testfile.txt wasbs: ///testupload.txt

        На этот раз операция должна завершиться успешно.

      Следующие шаги

      Теперь, когда вы узнали, как добавить хранилище с ограниченным доступом в свой кластер HDInsight, изучите другие способы работы с данными в кластере:

      .

      Смотрите также