книги хакеры / журнал хакер / 107_Optimized

Рис.6. Возможный невозможный треугольник Пенроуза

ражения с учетом накопленного жизненного опыта, в результате которой выполняется преобразование двумерного изображения в трехмерное. Как уже было показано выше, такая операция неоднозначна, и существует множество способов. В повседневной жизни мозг практически всегда выбирает правильный вариант, поскольку окружающие нас предметы обладают вполне предсказуемыми свойствами, но вот чертежи и рисунки… Вообразим себе прозрачный куб (или куб, собранный из тонких проволочек) с черной точкой (смотри рис. 9 слева), который называют кубом Неккера, и попробуем ответить на вопрос: на какой из сторон (передней или задней) расположена черная точка и где именно она находится — посередине или ближе к краю? Чертеж не дает никаких указаний на этот счет, и потому возможные интерпретации не имеют никаких преимуществ друг перед другом. Более того, черная точка может быть расположена вообще за пределами куба! Кстати, если заменить проволочки деревянными рейками (смотри рис. 9 справа), то получится еще один невозможный объект. В статье «Наведение порядка в невозможном» (im-possible.info/russian/ articles/kulpa/putting-order.html) дается следующее определение невозможной фигуры: «Невозможная фигура — это плоский рисунок, который создает впечатление трехмерного объекта таким образом, что объект, предложенный нашим пространственным восприятием, не может существовать, так что попытка создать его ведет к (геометрическим) противоречиям, ясно видимыми наблюдателем». Примерно то же самое пишут и Пенроузы в своей статье: «Каждая отдельная часть фигуры выглядит нормальным трехмерным объектом, но вследствие неправильного соединения частей фигуры восприятие фигуры полностью приводит к иллюзорному эффекту невозможности». Но никто из них не отвечает на вопрос: почему все это происходит.

Междутемвсепросто.Нашевосприятиеустроенотак,чтоприобработке двухмернойфигуры,имеющейпризнакиперспективы(тоестьобъемного пространства),мозгоцениваетеекактрехмерную,выбираянаиболеепростой способпреобразования2Dв3D,руководствуясьжизненнымопытом.Акак былопоказановыше,реальныепрототипыневозможныхфигурпредставляют собойдовольнонавороченныеконструкции,скоторыминашеподсознание незнакомо,нодажепослезнакомстваснимимозгпо-прежнемупродолжает выбиратьпростейший(сеготочкизрения)вариантпреобразования,итолько последлительныхтренировокподсознаниенаконец«въезжаетвситуацию»и кажущаясяненормальностьневозможныхфигурисчезает.

Начнем с простого. Рассмотрим картину, нарисованную фламандским художником по имени Жос де Мей (im-possible.info/images/art/mey/mey34. jpg). Вопрос: какой физической действительности она могла бы соответс-

Рис.7. Треугольник Пенроуза в Австралии. Как выглядит треугольник Пенроуза на самом деле

твовать? На первый взгляд архитектурное сооружение кажется невозможным. Но после секундной заминки сознание отыскивает спасительный вариант: кирпичная кладка находится в плоскости, перпендикулярной наблюдателю, и опирается на три колонны, вершины которых кажутся расположенными на равном расстоянии от кладки, но на самом деле пустое пространство просто скрадывается за счет «удачно» выбранной проекции. После того, как сознание расшифровало картину, она (и все подобные ей изображения) воспримется совершенно нормально, и геометрические противоречия исчезнут так же незаметно, как и появились.

А вот еще один пример из той же оперы, кстати говоря, нарисованный тем же самым художником, — im-possible.info/images/art/mey/mey10.jpg.

Мы снова видим плоскую кирпичную кладку и три колонны, на которые опираются арки. Если предположить, что колонны имеют переменную длину, кажущаяся ненормальность мгновенно исчезает, хотя картина все равно продолжает производить достаточно сильное впечатление, как и другие работы Жоса де Мейя, которые можно найти на im-possible. info/russian/art/mey/index.html.

Заключение

Вот и раскрылась очередная тайна психологии восприятия, приближающая нас к постижению мира бессознательного, в котором все мы живем. При этом лишь немногие догадываются о его существовании. О той пропасти, что отделяет сознание от подсознания, и процессах, протекающих на ее глубине, где журчит ручей, текущий из ниоткуда в никуда. Заинтересовавшихся невозможными картинами отсылаю к сайту Impossible World (im-possible.info) и к поиску по ключевым словам Impossible Art, imp-art в Гугле. z

Средневековая персидская миниатюра с невозможной стеной на заднем плане

Итогиконкурса

RoverPC

x № 11(107) ноябрь 2007

ПОДПиСкА В РеДАкции

C 1 ноября по 31 января проводится cпециальная акция для читателей журнала

+

ГОДОВАЯ ПОДПиСкА ПО цеНе

1980 руб.(на 15% дешевле чем при покупке в розницу)

цены действительны до 31 января 2008 года

ПлЮС ПОДАРОк ОДиН жУРНАл ДРУГОй ТеМАТики

ОФОРМИВ ГОДОВУЮ ПОДПИСКУ В РЕДАКЦИИ, ВЫ МОЖЕТЕ БЕСПЛАТНО ПОЛУЧИТЬ ОДИН СВЕЖИЙ НОМЕР ЛЮБОГО ЖУРНАЛА, ИЗДАВАЕМОГО КОМПАНИЕЙ «ГЕЙМ ЛЭНД»:

ЯНВАРСКИЙ НОМЕР — ПОДПИСАВШИСЬ ДО 30 НОЯБРЯ,

ФЕВРАЛЬСКИЙ НОМЕР — ПОДПИСАВШИСЬ ДО 31 ДЕКАБРЯ. МАРТОВСКИЙ НОМЕР — ПОДПИСАВШИСЬ ДО 31 ЯНВАРЯ

Производительности.NET?

«IT спец»

ВЫГОДА ГАРАНТИЯ СЕРВИС

Как оформить заказ

1.Разборчивозаполнитеподписнойкупониквитанцию,выре-

завихизжурнала,сделавксерокопиюилираспечатавс

сайтаwww.glc.ru.

2.ОплатитеподпискучерезСбербанк.

3.Вышлитевредакциюкопиюподписныхдокументов—купо-

наиквитанции—любымизнижеперечисленныхспособов

поэлектроннойпочте subscribe@glc.ru;

пофаксу 8(495)780-88-24;

поадресу 119021,Москва,

ул.ТимураФрунзе,д.11,стр.44,

ООО«ГеймЛэнд»,отделподписки.

Внимание!

Подпискаоформляетсявденьобработки купонаиквитанциивредакции:

втечениепятирабочихднейпослеотправкиподписныхдокументоввредакциюпофаксуилиэлектроннойпочте;

втечение20рабочихднейпослеотправкиподпис

ныхдокументовпопочтовомуадресуредакции. Рекомендуемиспользоватьфаксилиэлектроннуюпочту,впоследнемслучаепредварительноотсканировавилисфотографировавдокументы.

Подпискаоформляетсясномера,выходящегочерезодин календарныймесяцпослеоплаты.Например,есливыпроиз-

водитеоплатувноябре,тожурналбудетеполучатьсянваря.

Хакер.Pro

ДлЯ чеГО ОНи НУжНы?

Подполитикамиследуетпониматьпараметрынастройкиразличныхчастейпрограммногообеспечения,которыеобъединяютсявобъектыгрупповойполитики(GPO,GroupPolicyObject).Создаваяполитику,фактически мысоздаемиизменяемобъектгрупповойполитики.ЭтиGPOсвязаныс

выбраннымиконтейнерамиActiveDirectory—сайтами,доменамиили подразделениями,ккоторымибудутприменятьсянастройки,указанные вGPO.Говорядругимисловами,GPO—этонаборфайлов,каталогови записейвбазеActiveDirectory,вкоторыххранятсявсенастройкииопределеныпараметры,поддающиесяизменению.

>>

Хакер

Редактор групповых политик

ГрупповаяполитикаявляетсячастьютехнологииIntelliMirror(разработкаMicrosoft,неразрывносвязаннаясAD,предназначенадляускорения иупрощенияпроцессанастройкирабочихстанцийнаосновеWindows 2000/XPиболеепозднихверсий).Различныегрупповыеполитики позволяютконфигурироватьбольшоеколичествосамыхразнообразных

параметровWindows.Впервуюочередьэтонаборнастроекбезопасности, профилипользователей,программы,доступныепользователям,дисковые квоты,установкаполитикпаролей,назначениесценариевзапускаи прочее.Дажевнешнийвидрабочегостолапользователяможнонастроить спомощьюGPO.Ещеоднойвозможностьюгрупповыхполитикявляется централизованнаяустановкапрограммногообеспечениянакомпьютеры припомощипубликацииилиназначения.

Система групповой политики поставляется вместе с Active Directory в серверных операционных системах Windows 2000/2003 и будущей 2008 Server. На стороне клиента полная поддержка обеспечена в

Windows 2000/XP/2003/Vista. За обработку GPO на этих компьютерах отвечает динамическая библиотека scecli.dll. Компьютеры с Windows NT4/9x управляются системными политиками (System Policy), групповые политики к ним не применяются.

МеСТО GPo В СлУжБе кАТАлОГОВ

Каждыйкомпьютер,работающийподуправлениемWin2kивыше,уже имеетвстроенныйобъектгрупповойполитики,которыйхранитсялокально. Просмотретьегоможно,вызвавредактор«Групповыхполитик»,введяв

консолиgpedit.msc.ЭтоединственныйGPO,которыйможетбытьнакомпьютере,невходящемвдомен.ХранитсяонвWindows\System32\GroupPolicy. ПослепереходанаADв«ПанельуправленияАдминистрирование» появятсядванелокальныхGPO.Сдоменомсвязанобъект«Политикапо умолчаниюдлядомена»(DefaultDomainPolicy),которыйбудетпосредством наследованияполитикивлиятьнавсехпользователейикомпьютерыдоме- на.Второйобъект—«Политикапоумолчаниюдляконтроллеровдомена»

(DefaultDomainControllerPolicy)—влияеттольконаконтроллерыдомена. GPOActiveDirectoryхранятсянаконтроллередоменаимогутбытьсвязаныс сайтом,доменомилиOU(OrganizationalUnit,подразделениеилиорганизационнаяединица),чтоибудетявлятьсяобластьюеедействия.Безпривязкик определенномуобъектуGPOсуществоватьнеможет.

Открывконсоль«Политикапоумолчаниюдлядомена»,можнообнаружитьтольконастройки,связанныесбезопасностью.Поэтому,чтобы просмотретьиотредактироватьвсеполитики,следуетобратитьсяк

«ActiveDirectory—пользователиикомпьютеры»(ActiveDirectory—Users andComputers),которыйтакжеможновызвать,введявконсолиdsa.msc,и «ActiveDirectory—сайтыислужбы»(ActiveDirectory—SitesandServices) (dssite.msc).

Служба «Клиент групповой политики» в Vista

Групповаяполитикавключаетпараметрыдляконфигурациипользователяикомпьютера.Параметрыв«Конфигурациипользователя»(User Configuration)начинаютдействоватьпривходепользователявсистему независимооткомпьютера,закоторымонработает.Поумолчаниюэтот узелсодержитследующиеэлементы:«Конфигурацияпрограмм»(Software Settings),«КонфигурацияWindows»(WindowsSettings)и«Административ-

ныешаблоны»(AdministrativeTemplates).Здесьнастраиваютсяпараметры рабочегоокруженияпользователя(доступныепрограммы,настройки рабочегостола,элементыменю«Пуск»и«Панелиуправления»),параметрыбезопасности,сценариивхода/выхода,перенаправлениепапок, целыйразделпосвященустановкамInternetExplorer.Например,выбрав «НастройкаInternetExplorerПараметрыподключения»,можнозадать иизменитьустановкипрокси-сервера,азайдяв«Программы»,указать, какиепрограммыпоумолчаниюбудутзапускатьсяпричтениипочты,новостейит.д.Любойпараметрможетбытьводномизтрехсостояний:«Не задан»,«Включен»и«Отключен».Надополнительнойвкладкеданоего краткое,нодостаточноеобъяснение,поэтомуразобратьсясфункциями, которыевыполняеттаилиинаяполитика,оченьпросто.

Редакторобъектовгрупповойполитикипозволяетдобавлятьиудалять расширения,поэтомуадминистраторы,длятогочтобыполучитьдоступк наиболеечастоиспользуемымэлементам,самостоятельнонастраивают представлениеисодержимоекомпонентов.Политики,определенные

в«Конфигурациикомпьютера»(ComputerConfiguration),начинают действоватьпризапускекомпьютеранезависимооттого,какойпользовательподключаетсякдомену.Поумолчаниюздесьсодержатсяэлементы: «Конфигурацияпрограмм»(SoftwareSettings),«КонфигурацияWindows» (WindowsSettings)и«Административныешаблоны»(Administrative Templates),вкоторыхнастраиваютсяпараметрыбезопасности,назначаютсяправаиполитикипаролейпользователей,параметрыреестра, использованиегруппсограниченнымдоступом(RestrictedGroups),политикиограниченногоиспользованияпрограмм.

Объектыгрупповыхполитикхранятсявдвухкомпонентах:

•контейнергрупповойполитики(GPC,GroupPolicyContainer)—хранит- сявAD,здесьзаписанаинформацияоспискекомпонентов,обихверсиях, статусеисвойствах;

•шаблонгрупповойполитики(GPT,GroupPolicyTemplate)—хранитсяв каталоге\Windows\SYSVOL\sysvol\Domain_name\Policies\GUID;вшаб-

лонахсодержатсянастройкибезопасности,административныешаблоны, информацияодоступныхприложенияхипрочее.

ПОРЯДОк ПРиМеНеНиЯ ГРУППОВыХ ПОлиТик

Некоторыенастройки,которыеможноприменитькакдлякомпьютеров, такидляпользователей,идентичны,неговоряужеобиерархииGPO.

ХАКЕР.PRO

Консоль Group Policy Management

Поэтомувначалеследуетразобратьсяспорядкомприменениягрупповых политик.Компьютервключен;впроцессезагрузкисчитываютсяданные реестра,определяется,ккакомудоменупринадлежиткомпьютер,и применяетсялокальныйобъектгрупповойполитики.Послеподключения кконтроллерудоменазапрашиваетсясписокGPOдлякомпьютера.Контроллердоменаприсылаетихвтакомпорядке,вкоторомонидолжныбыть применены.Привходепользователявсистемузапрашиваетсясписок GPO,определенныхдляконтейнера,ккоторомупринадлежитэтотполь- зователь.Впроцессеработыспериодичностью90минут(+/-30минут дляисключенияперегрузкиконтроллерадомена)происходитобновление политик.Дляконтроллеровдоменаинтервалобновленийсоставляетвсего 5минут.Принеобходимостиизменитьэтивеличиныможновразделе «Конфигурациякомпьютера/КонфигурацияпользователяАдминистративныешаблоныСистемаГрупповаяполитика»(«Computer Configuration/UserConfigurationAdministrativeTemplatesSystem

GroupPolicy»).Например,интервалобновлениягрупповыхполитик можнозадатьвдиапазонеот0до64800минут(45дней)сослучайной величинойдо24часов,носильноувлекатьсяэкспериментаминестоит. Следуеттакжепомнить,чтонекоторыеполитикитребуютобязательной перезагрузкисистемыитолькопослеэтогоонибудутприменены.Принудительноприменитьполитикиможно,например,спомощьюутилиты GPUpdate.Форматкомандытакой:

gpupdate [/target:{computer | user}] [/force] [/ wait:<value>] [/logoff] [/boot] [/sync]

Дляпримераобновимвсеполитикиналокальномкомпьютереспоследующейперезагрузкой:

> gpupdate /boot

Такимобразом,GPOможетдействоватьтольконаобъекты«Пользователь»и«Компьютер»,которыенаходятсявобъектекаталога(подразделение,домен,сайт)инижеподереву,еслинезапрещенонаследование. СначалаприменяетсялокальноеGPO,затемGPOсайта,домена(в порядке,определенномадминистратором),подразделения,ккоторому принадлежитпользовательиликомпьютер,отнаибольшегокнаименьшему.GPOодногоуровняприменяются,начинаяснизу.Дляизменения расположенияполитикивсписке,азначит,ипорядкаприменения,следуетвоспользоватьсякнопками«Вверх»и«Вниз».Приконфликтепобеждает политика,примененнаяпоследней,заоднимисключением.Таккаквсе параметрынастройкиучетныхзаписейипаролеймогутбытьопределены тольконауровнедомена,наостальныхуровняхустановкиигнорируются. Хотявпорядкепримененияполитиктожевозможныизменения.

Установка параметров перекрытия политик

Каквидно,вначалеприменяютсяполитикикомпьютера,азатемполитики пользователя,которыеиперезаписываютпервые.Последниевконфликтных ситуацияхимеютверх,нотакоеповедениеможноизменитьвтомжеразделе «Групповаяполитика»,включиврежимобработкизамыкания(UserGroup policyLoopbackProcessing).Здесьможновыбратьодиниздвухвариантов:

•Merge(слияние)—сначалаприменяетсяполитикакомпьютера,затем

—пользователя,затем—опятькомпьютера,котораяперезаписываетпро- тиворечащиеейпользовательскиенастройки.Еслиполитикакомпьютера неопределена,побеждаетпользовательская.

•Replace(замена)—пользовательскиеполитикинеобрабатываются. Политики,которыемогутбытьнаследованысвысшегоуровня,мыможем заблокироватьнауровнесайта,доменаилиподразделения.Дляэтогов свойствахвыбранногообъектанаходимвкладку«Групповаяполитика», устанавливаемфлажоквнизуокнаилинажимаемкнопку«Параметры выбранногоGPO»иполучаемследующиевозможности:

•Блокироватьнаследованиеполитики(BlockPolicyinheritance)—запрет наследованиягрупповыхполитик,полученныхсболеевысокогоуровня; приэтомблокируютсявсенаследуемыепараметры,анеотдельныеполитики.ПривключенномперекрытииGPOэтотпараметригнорируется.

•Неперекрывать(NoOverride)—запретперекрытияполитикамивышес- тоящегоуровняполитикOU,параметрыGPOсэтимфлагомнемогутбыть заблокированы.Этаопцияотличаетсяотпредыдущейтем,чтоможно указатьнаотдельныеполитики.

•Disabled—отключениепримененияGPOнатекущемуровне.

СледуетвесьмаосторожноиспользоватьNoOverrideиBlockPolicy inheritance,таккакихповсеместноеприменениезапутываетсхемуи затрудняетпоискиустранениенеполадок.

ВWindows2000экранвходапользователяирабочийстолпоявлялись ужепослетого,какбылипримененывсеполитики,чтомоглоприводить кзадержкамприработепомедленнымканаламилипризагруженности контроллерадомена.

ВWindowsXPиспользованасинхронныйрежимвводаполитик,прикотором приглашениенавводпароляирабочийстолпользователяпоказываются раньше,чемприменяютсявсеполитики.Такимобразом,всепараметры безопасностиинастройкивступаютвсилудотого,какпользовательсможет выполнитькакие-либодействия.Хотябольшинствоадминистраторовпред- почитают,чтобывсеполитикибылипримененыдотого,какпользователь получитдоступкрабочемустолу.Изменитьописанноеповедениеможнов «КонфигурациякомпьютераАдминистративныешаблоныСистема ВходвсистемуВсегдаожидатьинициализациисетипризагрузкеивходе всистему»(«ComputerConfigurationAdministrativeTemplatesSystem LogonAlwayswaitforthenetworkatcomputerstartupandlogon»).

В2003Serverопятьвернулиськсинхроннойсхеме.Кстати,есликлиентскийкомпьютеробнаруживаетмедленноесоединение,будутприменены