Systemy operacyjne

Transkrypt

Systemy operacyjne

Radosław Frąckowiak
Systemy operacyjne
ITA-107
Wersja 1
Warszawa, wrzesień 2009
ITA-107 Systemy operacyjne
2008 Radosław Frąckowiak. Autor udziela prawa do bezpłatnego
kopiowania i dystrybuowania wśród pracowników uczelni oraz studentów
objętych programem ITAcademy. Wszelkie informacje dotyczące programu
można uzyskać: [email protected].
Wszystkie inne nazwy firm i producentów wymienione w niniejszym
dokumencie mogą być znakami towarowymi zarejestrowanymi przez ich
właścicieli.
Inne produkty i nazwy firm używane w treści mogą być nazwami
zastrzeżonymi przez ich właścicieli.
Strona i-2
Wprowadzenie
Informacje o kursie
Opis kursu
Kurs zawiera informacje dotyczące administrowania systemem Microsoft
Windows Server 2008. Przedstawia zagadnienia, z którymi spotyka się
osoba odpowiedzialna za zarządzanie serwerami w przedsiębiorstwie.
Kurs rozpoczynamy od przeglądu rodziny serwerów. Omawiamy
podstawowe role i funkcjonalności serwera oraz narzędzia, z których
korzystają administratorzy systemów w swojej codziennej pracy. Uczymy, w
jaki sposób udostępniać zasoby, zarządzać dostępem do nich i jak korzystać
z usług katalogowych Active Directory. Pokazujemy, w jaki sposób
monitorować serwer i zabezpieczać się przed awarią i utratą danych
Cel kursu
Celem kursu jest przedstawienie zagadnień związanych z administrowaniem
Microsoft Windows Server 2008, dzięki którym będziesz w stanie
samodzielnie zarządzać serwerem.
Uzyskane kompetencje
Po zrealizowaniu kursu będziesz:
•
•
•
•
•
•
•
•
•
•
•
potrafił wybrać i zainstalować odpowiedni system
potrafił korzystać z narzędzi do zarządzania serwerem
rozumiał koncepcję i budowę Active Directory
potrafił zarządzać kontami użytkowników, komputerów i grup
potrafił delegować kontrolę administracyjną do części zasobów
przedsiębiorstwa
potrafił udostępniać zasoby plikowe, drukarki i regulować dostęp
do nich
wiedział jak wykorzystać DFS, Offline, kompresję i szyfrowanie, by
efektywnie i bezpiecznie zarządzać składowaniem danych
potrafił korzystać z GPO, by zarządzać środowiskiem pracy
użytkownika
wiedział jak monitorować stan serwera
potrafił robić kopie bezpieczeństwa i przywracać z nich utracone
dane
potrafił zarządzać serwerem przy pomocy PowerShell
Strona i-3
Zakres tematyczny kursu
Opis modułów
W Tab. 1 przedstawiony został opis modułów, zawierający podział na
zajęcia. Każde zajęcie jest zaplanowane na 90 minut. Wykładowca może
dostosować harmonogram do swoich potrzeb.
Tab. 1 Zakres tematyczny modułów
Numer moduł
Tytuł
Opis
Moduł 1
Instalacja i konfiguracja
Windows Server 2008
W tym module znajdziesz informacje dotyczące instalacji
systemu Windows Server 2008. Dowiesz się, jakie
produkty są dostępne i czym się one charakteryzują.
Poznasz minimalne wymagania sprzętowe systemu.
Nauczysz się, jak zainstalować system i wstępnie go
skonfigurować. Zapoznasz się z działaniem technologii
Plug and Play i zarządzaniem sterownikami urządzeń w
środowisku Microsoft Windows.
W tym module znajdziesz informacje dotyczące narzędzi
używanych do zarządzania systemem Windows Server
2008. Dowiesz się, jak przeprowadzić wstępną
konfigurację serwera przy pomocy Initial Configuration
Task. Nauczysz się dodawać role serwera. Zapoznasz się
z konsolą MMC (Microsoft Managament Console) i
dowiesz się, w jaki sposób używać jej do
administrowania serwerami zdalnymi.
W tym module znajdują się informacje dotyczące
konfiguracji i zarządzania dyskami w systemie Windows
Server 2008. Nauczysz się korzystać z narzędzi Disk
Manager i DiskPart, by przy ich pomocy przygotować
dysk do pracy. Dowiesz się jak zorganizować przestrzeń
na dysku, oraz jak wdrożyć dyski odporne na awarie.
W module tym znajdziesz informacje na temat
funkcjonowania usługi Active Directory oraz korzyści z
jej stosowania. Poznasz budowę logiczna i fizyczną
Active Directory. Dowiesz się, w jaki sposób zarządzać
obiektami jednostek organizacyjnych, przy pomocy
różnych narzędzi. Nauczysz się delegować kontrolę
administracyjną do wybranej części drzewa katalogu.
W tym module znajdziesz informacje dotyczące
zarządzania kontami użytkowników i komputerów.
Dowiesz się, do czego służą konta lokalne i domenowe
oraz nauczysz się je tworzyć przy pomocy różnych
narzędzi. Poznasz opcje związane z kontem
użytkownika. Nauczysz się korzystać z szablonów kont.
Dowiesz się, co to są konta wbudowane i do czego służą.
wykorzystania grup w administracji dostępem do
zasobów i nadawania praw użytkowników. Dowiesz się,
co to są grupy wbudowane i jak je można wykorzystać.
Poznasz różnice między poszczególnymi rodzajami grup.
Nauczysz się je tworzyć i modyfikować. Dowiesz się, co
to są tożsamości specjalne.
Moduł 2
Narzędzia do
zarządzania serwerem
Moduł 3
Zarządzanie dyskami
Moduł 4
Wprowadzenie do
Active Directory
Moduł 5
Zarządzanie kontami
użytkowników i
komputerów
Moduł 6
Zarządzanie grupami
Strona i-4
Moduł 8
Zarządzanie dostępem
do zasobów
Moduł 9
Zarządzanie
składowaniem danych
Moduł 10
Zarządzanie
środowiskiem
drukowania
Moduł 11
Wprowadzenie do GPO
Moduł 12
Monitorowanie
Procesów, Usług i
Zdarzeń
Moduł 13
Archiwizacja danych
Moduł 14
Wprowadzenie do
PowerShell
W module tym znajdziesz informacje na temat
zarządzania dostępem do zasobów. Poznasz
uprawnienia standardowe i specjalne, oraz dowiesz się,
w jaki sposób nadawać je użytkownikom do obiektów.
Zostanie wyjaśnione pojęcie dziedziczenia uprawnień
oraz sposób, w jaki można je wykorzystać.
W module tym znajdziesz informacje dotyczące
zarządzania danymi przechowywanymi na serwerach
Dowiesz się jak, jak zwiększyć bezpieczeństwo danych
przy wykorzystaniu szyfrowania plików. Poznasz sposób
tworzenia wirtualnej przestrzeni nazw i replikacji
folderów miedzy serwerami. Dowiesz się, w jaki sposób
ograniczać użytkownikom dostępne miejsce na
serwerach oraz możliwość zapisywania określonych
typów plików. Poznasz narzędzia raportowania.
wdrażania drukarek w firmie. Nauczysz się, jak
instalować drukarki lokalne i sieciowe oraz jak zarządzać
ich sterownikami. Dowiesz się jak tworzyć pulę
drukarek, nadawać im priorytety oraz konfigurować
drukarki tak, aby były dostępne w określonych
godzinach. Nauczysz się także zarządzać buforem
wydruku.
zarządzania środowiskiem pracy użytkowników przy
pomocy Group Policy. Nauczysz się korzystać z narzędzia
Group Policy Management Control, tworzyć obiekty
GPO i stosować je do określonych grup komputerów i
użytkowników. Dowiesz się, w jaki sposób przy pomocy
GPO konfigurować wybrane ustawienia.
W tym module dowiesz się, w jaki sposób monitorować
serwery. Poznasz odpowiednie narzędzia i nauczysz się
przy ich pomocy obserwować obciążenia
poszczególnych podsystemów oraz określać wąskie
gardła systemu. Dowiesz się, w jaki sposób zarządzać
dziennikami zdarzeń.
W tym module dowiesz się, w jaki sposób przywracać
utracone dane. Poznasz narzędzie do tworzenia i
odzyskiwania kopii bezpieczeństwa. Dowiesz się jak
odzyskać z backupu pojedyncze pliki oraz całe dyski.
Poznasz funkcjonalność Shadow Copy i nauczysz się z
niej korzystać.
W tym module poznasz podstawy niezbędne do
korzystania z interpretera poleceń PowerShell. Dowiesz
się, w jaki sposób przy jego wykorzystaniu można
wykonywać czynności administratorskie związane z
zarządzaniem serwerami.
Strona i-5
Moduł 1
Wersja 1
Instalacja i konfiguracja Windows
Server 2008
Spis treści
Instalacja i konfiguracja Windows Server 2008 ................................................................................... 1
Informacje o module ............................................................................................................................ 2
Przygotowanie teoretyczne ................................................................................................................. 3
Przykładowy problem .................................................................................................................. 3
Podstawy teoretyczne.................................................................................................................. 3
Przykładowe rozwiązanie ........................................................................................................... 10
Porady praktyczne ..................................................................................................................... 13
Uwagi dla studenta .................................................................................................................... 14
Dodatkowe źródła informacji..................................................................................................... 14
Laboratorium podstawowe ................................................................................................................ 16
Problem 1 (czas realizacji 30 min).............................................................................................. 16
Problem 2 (czas realizacji 15 min) ............................................................................................. 17
Laboratorium rozszerzone ................................................................................................................. 19
Moduł 1
Instalacja i konfiguracja Windows Server 2008
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące instalacji systemu Windows
Server 2008. Dowiesz się, jakie produkty są dostępne i czym się one
charakteryzują. Poznasz minimalne wymagania sprzętowe systemu.
Nauczysz się, jak zainstalować system i wstępnie go skonfigurować.
Zapoznasz się z działaniem technologii Plug and Play i zarządzaniem
sterownikami urządzeń w środowisku Microsoft Windows.
Cel modułu
Celem modułu jest wprowadzenie do systemów operacyjnych Microsoft
Windows Server 2008 oraz nauka instalacji systemu i jego podstawowej
konfiguracji.
Po zrealizowaniu modułu będziesz:
• Wiedział, jakie są różnice pomiędzy poszczególnymi wersjami
systemu Microsoft Windows Server 2008 i którą z nich wybrać dla
realizacji określonego projektu
• potrafił zainstalować system i wstępnie go skonfigurować
• rozumiał jak działa Plug and Play i zarządzanie sterownikami
Wymagania wstępne
Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu
rozpocząć pracę z tym modułem
Mapa zależności modułu
Przed przystąpieniem do realizacji tego modułu nie jest wymagane
zapoznanie się z materiałem zawartym w innych modułach.
Strona 2/19
Moduł 1
Przygotowanie teoretyczne
Przykładowy problem
Zostałeś zatrudniony w nowej firmie na stanowisku informatyka. Jest to niewielkie
przedsiębiorstwo, bardzo dynamicznie rozwijające się. W ciągu kilku pierwszych dni swojej nowej
pracy przyglądałeś się istniejącej infrastrukturze informatycznej i stwierdziłeś, że pracownicy
używają komputerów stacjonarnych i przenośnych z systemem Windows XP Professional i Vista
Business. Udostępniają sobie pliki i drukarki pracując w Grupie Roboczej. Niestety, często pojawiają
się problemy z dostępem do plików. Kiedy osoba udostępniająca folder nie pojawi się w pracy, to
inni użytkownicy nie mogą z niego korzystać jeśli wcześniej nie zrobili sobie jego kopii. Przydałoby
się centralne miejsce przechowywania zasobów plikowych. Podobnie rzecz się ma z drukarkami.
Przykładowo urządzenie drukujące stoi w biurze Administracji i jest udostępnione przez notebooka
pani Kasi. Kiedy ostatnio pani Kasia była na urlopie, użytkownicy dzwonili do Ciebie informując, że
nie mogą drukować na jej drukarce. Musiałeś interweniować i każdemu dzwoniącemu instalować
sterowniki do tej drukarki. Zajęło Ci to mnóstwo czasu. Wiesz, że problemy te można rozwiązać
korzystając z serwera i taką propozycję przedstawiłeś przed zarządem. Pomysł się spodobał. Musisz
zaproponować odpowiedni produkt, a potem wdrożyć go w firmie. Zainstalujesz go i skonfigurujesz
urządzenia. Będzie to początek do wdrażania usług, które usprawnią pracę Twoich użytkowników.
Podstawy teoretyczne
Microsoft Windows Server 2008 jest najbardziej zaawansowaną wersją systemów rodziny Windows
Server, zaprojektowaną do obsługi nowoczesnych usług sieciowych, aplikacji i usług sieci Web.
Został stworzony na bazie sprawdzonego systemu Windows Server 2003 rozbudowanego o nowe
funkcjonalności, takie jak nowe Webowe narzędzia, technologie wirtualizacji, zaawansowane
bezpieczeństwo oraz narzędzia pomagające oszczędzać czas, redukować koszty i tworzyć solidne
podstawy infrastruktury informatycznej w przedsiębiorstwie.
Windows Server 2008 jest dostępny w różnych wersjach, które pozwalają organizacji dobrać
optymalne rozwiązanie w zależności od wykorzystywanych serwerów i przewidywanych obciążeń.
Windows Server 2008 Standard
Windows Server 2008 Standard jest najbardziej popularnym produktem z rodziny serwerów. Z
wbudowanymi rozszerzonymi możliwościami Web i zintegrowaną technologią wirtualizacji został
zaprojektowany, by zwiększyć niezawodność i elastyczność infrastruktury serwerów. Zawansowane
funkcje bezpieczeństwa pozwalają zabezpieczyć dane i sieć oraz dostarczyć niezawodne
fundamenty do prowadzenia biznesu. Wydajne narzędzia pozwalają na większą kontrolę nad
serwerami, usprawniając konfigurację i zarządzanie nimi.
Platforma aplikacji i sieci Web
Windows Server 2008 udostępnia organizacjom możliwość korzystania z zaawansowanych
rozwiązań opartych o technologię Web, dostarczając narzędzia do administracji i diagnostyki.
Internet Information Services 7.0
Serwer IIS 7.0 (ang. Internet Information Services 7.0) tworzy wydajną platformę usług i aplikacji
Web. Modułowa budowa pozwala administratorom na szeroki zakres kontroli nad serwerem, a
dzięki elastycznej architekturze łatwo dostosować serwer do potrzeb. Dzięki bogatym funkcjom
administracji wdrażanie aplikacji jest proste i wydajne.
Wirtualizacja
Wiele organizacji kładzie duży nacisk na optymalne wykorzystanie zasobów, pozwalające na
ograniczenie kosztów i co za tym idzie na zwiększenie konkurencyjności na rynku. Technologie
wirtualizacji serwerów oparte o Windows Server Hyper-V i Terminal Services pomagają sprostać
Strona 3/19
Moduł 1
tym wyzwaniom poprzez konsolidację serwerów, zapewniając wyższy poziom niezawodności i
skalowalności.
Windows Server Hyper-V
Zawiera wszystko, co niezbędne do korzystania z wirtualizacji maszyn. Hyper-V umożliwia działom
IT redukowanie kosztów, zwiększanie wydajności serwerów oraz tworzenie bardziej dynamicznych
infrastruktur IT. Hyper-V udostępnia większą elastyczność poprzez połączenie niezawodnej
platformy z pojedynczym zbiorem zintegrowanych narzędzi do zarządzania fizycznymi i wirtualnymi
zasobami.
Terminal Services
Usługi terminalowe w Windows Server 2008 Standard udostępniają łatwą do administrowania
platformę umożliwiającą dostęp do centralnie zarządzanych aplikacji i usług poprzez Internet
używając HTTPS. Dzięki temu nie ma potrzeby tworzenia dostępu poprzez wirtualne sieci prywatne
(VPN) lub otwieranie niechcianych portów na firewall.
Na Terminal Services składają się m.in. następujące komponenty:
• Terminal Services RemoteApp – udostępnia użytkownikom aplikację na serwerze w taki
sposób, jakby była uruchamiana na komputerze lokalnym. Dzięki temu użytkownik może
uruchamiać programy ze zdalnej lokalizacji równolegle ze swoimi lokalnymi programami.
• Terminal Services Web Access – umożliwia uruchamianie zdalnych aplikacji w oknie
przeglądarki Web.
• Terminal Services Gateway – pozwala autoryzowanym użytkownikom na zdalny dostęp do
serwera terminali z dowolnego urządzenia podłączonego do Internetu, na którym można
uruchomić Remote Desktop Connection (RDC) 6.0.
Presentation Virtualization
Presentation Virtualization izoluje procesy od grafiki i I/O, umożliwiając użytkownikom
uruchamianie aplikacji w jednej lokalizacji, a kontrolowanie jej w innej. Tworzy wirtualną sesję, w
której uruchomiona aplikacja udostępnia użytkownikowi interfejs.
Application Virtualization
Application Virtualization separuje warstwę konfiguracji aplikacji od systemu operacyjnego.
Umożliwia uruchomienie aplikacji na kliencie bez jej instalowania i umożliwia administrowanie nią z
centralnej lokalizacji.
Bezpieczeństwo
Im więcej ludzi korzysta z zasobów organizacji z różnych lokalizacji, urządzeń i platform, tym
ważniejsze staje się spełnienie wymagania, by tylko autoryzowany personel miał dostęp do
ważnych informacji. Jednocześnie istotne jest, by uprawnione osoby nie odczuwały utrudnień z tym
związanych, co mogłoby negatywnie wpłynąć na ich produktywność. Dostępne w Windows Server
2008 Standard rozwiązania zapewniają wielopoziomowe zabezpieczenie danych firmy bez
obniżania wydajności.
Windows Server 2008 Standard zawiera narzędzia do kontroli, bezpiecznego uruchamiania i
szyfrowania danych:
• Network Access Protection (NAP) – udostępnia funkcjonalność pozwalającą na definiowanie
wymaganego „stanu zdrowia” sieci i zabronieniu komputerom, które tych wymagań nie
spełniają, na komunikację z siecią (np. definicja może zawierać wymaganie programu
antywirusowego z aktualną bazą zagrożeń). W ten sposób można zdefiniować minimalny
poziom zabezpieczenia wszystkich komputerów, które chcą podłączyć się do zasobów.
Strona 4/19
Moduł 1
• BitLocker – zapewnia dodatkowe zabezpieczenie danych poprzez pełne szyfrowanie
woluminów, chroniące przed uzyskaniem nieuprawnionego dostępu.
• Read-Only Domain Controller – umożliwia łatwe rozmieszczenie kontrolerów domeny w
lokalizacjach, w których niemożliwe jest zagwarantowanie fizycznego bezpieczeństwa
serwera. Jest to szczególnie użyteczne w oddziałach, w których użytkownicy uwierzytelniani
są poprzez WAN. Dzięki dostępnej tylko do odczytu replice znajdującej się w pobliżu
użytkowników, logowanie przebiega szybciej.
• Windows Server Hardening – umożliwia zabezpieczenie systemów poprzez ochronę
krytycznych usług serwera przed nieprawidłowymi aktywnościami związanymi z systemem
plików, rejestrami i siecią.
Dodatkowe cechy systemu związane z bezpieczeństwem to:
• wsparcie dla Public Key Infrastructure (PKI)
• nowy dwukierunkowy firewall
• wsparcie kryptografii nowej generacji
Solidne podstawy pod rozwój biznesu, niezawodność i wydajność
Z zaawansowaną obsługą Web, technologią wirtualizacji i rozszerzonym bezpieczeństwem,
Windows Server 2008 udostępnia wszechstronną i solidną platformę dla wymagających aplikacji:
• Server Manager – oparte o Microsoft Management Console (MMC) narzędzie umożliwiające
dodawanie, usuwanie i konfigurowanie ról serwera, usług i funkcjonalności.
• Windows Deployment Services – zbiór komponentów współpracujących z Windows Server
2008 Standard w celu łatwego, szybkiego, a jednocześnie bezpiecznego rozmieszczania
systemu operacyjnego Windows na komputerach w sieci przy wykorzystaniu sieciowej
instalacji. Eliminuje konieczność ręcznej instalacji systemu na każdej stacji w oparciu o płyty
CD lub DVD.
• Windows PowerShell – platforma skryptowa, dzięki której można zautomatyzować często
wykonywane zadania administracyjne. Ujednolica i upraszcza skryptowe zarządzanie
środowiskiem.
• Next Generation TCP/IP – nowa implementacja stoku protokołów TCP/IP, poprawiająca
skalowalność i wydajność.
• Server Core – dostępna opcja instalacji pozwalająca na wdrożenie określonej roli serwera
korzystając z minimalnych wymagań sprzętowych. Pozwala na ograniczoną instalację
systemu z niezbędnymi podsystemami potrzebnymi do uruchomienia danej usługi. Dzięki
temu ograniczono zapotrzebowanie zarówno na zasoby sprzętowe serwera, jak i
konserwację systemu.
Windows Server 2008 Enterprise
Windows Server 2008 Enterprise cechuje się większą skalowalnością i wyższym poziomem
dostępności, posiadając przy tym wszystkie cechy systemu Windows Server 208 Standard.
Dodatkowo obsługuje bardziej zaawansowane konfiguracje sprzętowe oraz zawiera technologie
przeznaczone dla przedsiębiorstw, takie jak klastry pracy awaryjnej i Active Directory Federation
Services. System ten jest zalecany dla firm średniej i dużej wielkości. Oferuje zwiększoną
niezawodność tam, gdzie wykorzystywane są krytyczne dla organizacji aplikacje, takie jak bazy
danych, systemy pocztowe, usługi drukowania i plików:
• Failover Clustering – wydajny, łatwy w skonfigurowaniu i zarządzaniu klaster pracy
awaryjnej. Wiele serwerów pracujących w klastrze pozostaje w stałej komunikacji. Jeśli jeden
z nich staje się niedostępny (np. awaria lub planowane wyłączenie) inny natychmiast zaczyna
udostępniać jego usługi. Użytkownicy mają ciągły dostęp. Klastry pracy awaryjnej w Windows
Server 2008 Enterprise obsługują do 16 węzłów.
Strona 5/19
Moduł 1
• Fault-Tolerant memory Synchronization – odporny na błędy mechanizm synchronizacji
pamięci. Dzięki niemu mogą istnieć dwa identyczne obrazy pamięci, co zapewnia kompletną
odporność sprzętową (podobną do kopii lustrzanych RAID 1 dla HDD).
• Cross-File Replication – mechanizm replikacji polegający na skanowaniu grupy plików i
replikacji pojedynczej części danych do kilku plików. Replikując podobne pliki tylko raz
redukujemy ruch w sieci.
Windows Server 2008 Datacenter
Windows Server 2008 Datacenter oferuje funkcjonalność wersji Windows Server 2008 Enterprise,
rozbudowaną o obługę większej ilości pamięci i procesorów. Zapewnia również nieograniczone
prawa używania obrazu wirtualnego. Zaprojektowany do obsługi aplikacji krytycznych dla firm,
które wymagają najwyższego poziomu skalowalności i dostępności.
Dynamic Hardware Partitioning
Windows Server 2008 Datacenter pracuje z jedną lub kilkoma izolowanymi partycjami
sprzętowymi. Każda z nich ma przydzielone swoje procesory, pamięć i urządzenia I/O niezależne od
innych sprzętowych partycji. Dzięki temu można wymieniać lub dodawać procesory i pamięć do
tych partycji bez restartowania serwera (np. można wymienić procesor sygnalizowany jako
uszkodzony lub dodać dodatkowy procesor do partycji mocno obciążonej).
Windows Web Server 2008
Windows Web Server 2008 to wersja systemu przeznaczona do zastosowania jako bezpieczna
platforma sieci Web. Zintegrowany z IIS 7.0, ASP.NET i Microsoft .NET Framework pozwala
organizacji na szybkie i łatwe publikowanie stron, usług i aplikacji Web.
Windows Server 2008 dla systemów opartych na procesorach Itanium
Dla serwerów z 64-bitowym procesorem Intel Itanium stworzono specjalną, wysoce wydajną
wersję systemu, stanowiącą konkurencję dla systemów UNIX opartych na architekturze RISC. Jest
ona przeznaczona do obsługi skalowalnych baz danych i aplikacji LOB (Line-of-Business). Niektóre
funkcje znane z innych wersji systemów Server 2008 mogą być niedostępne.
Porównianie właściwości technicznych
W tabeli (tab. 1) przedstawiono maksymalne ilości obsługiwanych procesorów i pamięci oraz
niektóre z funkcjonalności w zależności od platformy sprzętowej dla różnych wersji systemów
Windows Server 2008.
Tab. 1 Obsługiwany sprzęt i funkcjonalności przez różne edycje systemu Windows Server2008
Specyfikacja
Web
Standard
Enterprise
Datacenter
Itanium
Procesory X86
4
4
8
32
-
Procesory X64
4
4
8
64
-
Procesory IA64
-
-
-
-
64
RAM X86
4 GB
4 GB
64 GB
64 GB
-
RAM X64
32 GB
32 GB
2 TB
2 TB
-
RAM IA64
-
-
-
-
2 TB
Hot Add Memory
-
-
X
X
X
Hot Replace Memory
-
-
-
X
X
Strona 6/19
Moduł 1
Hot Add Processors
-
-
-
X
X
Hot Replace Processors
-
-
-
X
X
Failover Cluster Nodes
-
-
16
16
8
Fault Tolerant Memory Sync
-
-
X
X
X
Cross-File Replication
-
-
X
X
X
Terminal Services Gateway
-
250
bez limitu
bez limitu
-
Virtual Image Use Rights
-
1
4
bez limitu
bez limitu
Wymagania sprzętowe
Wymagania sprzętowe dla Windows Server 2008 są zależne od konfiguracji systemu,
zainstalowanych aplikacji i dodatków wybranych w czasie procesu instalacji:
• Procesor:
• Minimalny: 1 GHz (procesor x86) lub 1,4 GHz (procesor x64).
• Zalecany: 2 GHz lub szybszy.
• Należy zwrócić uwagę, że wydajność procesora jest zależna nie tylko od częstotliwości
taktowania zegara, ale również od ilości rdzeni i rozmiaru cache procesora.
• Uwaga! Procesor Intel Itanium jest wymagany w przypadku systemu Windows Server
2008 dla komputerów z procesorem Itanium.
• Pamięć:
• Minimalna: 512 MB RAM.
• Zalecana: 2 GB RAM lub większa (instalacja pełna), 1 GB RAM lub większa (instalacja
Server Core).
• Maksymalna (systemy 32-bitowe): 4 GB (Standard) lub 64 GB (Enterprise i Datacenter).
• Maksymalna (systemy 64-bitowe): 32 GB (Standard) lub 2 TB (Enterprise, Datacenter i
systemy dla komputerów z procesorem Itanium).
• Dysk:
• Minimalny: 10 GB.
• Zalecany: 40 GB lub większy.
• Uwaga! Komputery z ponad 16 GB pamięci RAM wymagają większej ilości miejsca na
dysku dla potrzeb stronicowania, hibernacji i plików zrzutu.
• Pozostałe:
• stacja DVD-ROM
• monitor o rozdzielczości SVGA (800 x 600) lub większej
• klawiatura i mysz firmy Microsoft lub zgodne urządzenie wskazujące
Licencjonowanie
Istnieją trzy modele licencjonowania, zależne od edycji systemu Windows Server 2008:
1. Licencja Serwera i na połączenie – wymaga zakupu licencji na każdy serwer i licencji
dostępowej CAL (ang. Client Access Licenses) dla każdego użytkownika lub urządzenia:
Strona 7/19
Moduł 1
a) Device CAL – licencja dostępowa przypisana do każdego urządzenia, umożliwiająca
korzystanie z niego wielu użytkownikom.
b) User CAL – licencja dostępowa przypisana do każdego użytkownika, umożliwiająca mu
korzystanie z wielu urządzeń
2. Licencja na procesor i na połączenie – wymaga zakupu licencji „Processor licence” dla
każdego procesora w serwerze i licencji na połączenie (CAL) dla każdego użytkownika lub
urządzenia. Ten sposób licencjonowania jest wykorzystywany w edycji Datacenter i w
systemach dla procesorów Itanium.
3. Licencja Serwera – wymaga zakupu licencji tylko na serwer, licencje dostępowe dla klientów
nie są wymagane (model możliwy do wykorzystania tylko w wypadku systemu Web Server
Edition).
Alternatywą dlą licencjonowania „na użytkownika lub na urządzenie” opisanego powyżej może być
licencjonowanie w trybie na serwer „per Server”. W tym wypadku każdy z serwerów ma przypisane
do siebie licencje dostępowe CAL definiujące maksymalną liczbę klientów mogących podłączyć się
do serwera w jednym czasie. Powyższe sposoby licencjonowania mogą być wykorzystane w
przypadku edycji Standard i Enterprise.
Instalacja systemu
Instalacja systemu została znacznie uproszczona w porównaniu z poprzednimi wersjami Windows.
Nie wymaga nadzorowania instalacji, ponieważ większość konfiguracji (zdefiniowanie hasła
administratora, podanie nazwy komputera, ustawienia sieci) odbywa się po zainstalowaniu
systemu. Płyta instalacyjna zawiera wszystkie edycje systemu – należy wybrać tę, do której
posiadamy klucz produktu. Jeśli go nie mamy lub podamy nieprawidłowy, nie uda się
przeprowadzić aktywacji systemu. Jeśli nie dokonamy tego w ciągu 30 dni od instalacji, system
przestanie funkcjonować.
Po pierwszym uruchomieniu serwer możemy skonfigurować przy pomocy narzędzia Initial
Configuration Tasks, opisanego w Module 2.
Serwer w wersji Core
Instalacja Server Core jest minimalną wersją systemu Server 2008 pozbawioną graficznego
interfejsu użytkownika i zapewniającą minimalne środowisko dla uruchamiania następujących ról
serwera:
•
•
•
•
•
•
•
•
usługi domenowe w usłudze Active Directory
usługi LDS w usłudze Active Directory (AD LDS)
serwer DHCP
serwer DNS
usługi plików
serwer wydruku
usługi multimediów strumieniowych
serwer sieci Web (IIS)
By zrealizować te podstawowe role, instalowane są tylko binaria niezbędne do obsłużenia tych
zadań. Nie jest instalowana np. powłoka Explorera. Taka instalacja oferuje następujące korzyści:
• Zmniejszenie nakładów na konserwację i zarządzanie, ponieważ instalowane jest tylko to co
niezbędne (mniej plików, mniej uruchomionych usług).
• Mniejsza płaszczyzna ataków wynikająca z mniejszej liczby uruchomionych usług.
• Mniejsze wymagania dotyczące konfiguracji sprzętowej (mniejsze zapotrzebowanie na
pamięć operacyjną i przestrzeń na dysku).
Strona 8/19
Moduł 1
Instalacja Server Core wymaga początkowej konfiguracji za pomocą wiersza poleceń. Po
skonfigurowaniu serwer może być zarządzany lokalnie lub zdalnie (przy użyciu połączenia
terminalowego) za pomocą wiersza poleceń. Inne metody zdalnego zarządzania to Microsoft
Management Console lub narzędzia wiersza poleceń przeznaczone do obsługi zdalnej.
Zarządzanie sterownikami urządzeń
Windows wspiera specyfikację Plug and Play, która definiuje, w jaki sposób komputer wykrywa i
konfiguruje nowo dodane urządzenia oraz automatycznie instaluje ich sterowniki. W związku z tym,
że sterowniki urządzeń są uruchamiane jako część systemu operacyjnego z nieograniczonym
dostępem do komputera, ważnym jest, by były używane tylko takie, które są znane i zaufane
(podpisane cyfrowo).
Instalacja urządzenia w Windows
Instalacja nowego urządzenia w systemie Windows przebiega w kilku krokach. Jeśli któryś z
warunków związanych z bezpieczeństwem nie zostanie spełniony lub pakiet sterownika nie
zostanie odnaleziony, proces instalacji jest przerywany:
1. Kiedy użytkownik podłącza urządzenie, Windows wykrywa je i sygnalizuje usłudze Plug and
Play.
2. Plug and Play identyfikuje urządzenie.
3. Plug and Play przeszukuje magazyn sterowników by odnaleźć odpowiedni pakiet
sterowników. Jeśli operacja zakończy się sukcesem wykonywany jest krok 8 lub w przypadku
niepowodzenia krok 4.
4. Windows próbuje znaleźć odpowiedni pakiet sterowników przeszukując następujące
lokalizacje:
• foldery
wyspecyfikowane
w
rejestrze
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curent
wartość DeviceEntry) – domyślnie %systemroot%\inf
• witrynę Windows Update
• nośnik dostarczony przez użytkownika
(klucz
Version,
5. Windows sprawdza, czy użytkownik posiada odpowiednie uprawnienia do umieszczenia
pakietu sterownika w magazynie sterowników – użytkownik musi posiadać prawa
administratora lub lokalne zasady komputera muszą zezwalać na instalację sterowników
przez standardowego użytkownika.
6. System sprawdza, czy pakiet sterowników posiada ważny podpis cyfrowy. Jeśli podpis jest
prawidłowy, ale użyty certyfikat nie znajduje się w magazynie zaufanych wystawców,
użytkownik proszony jest o potwierdzenie operacji.
7. Windows umieszcza kopię pakietu w magazynie sterowników.
8. Odpowiednie pliki są kopiowane do docelowej lokalizacji (najczęściej do
%systemroot%\windows 32\drivers).
9. Konfigurowane są rejestry, dzięki czemu Windows wie, w jaki sposób używać nowego
sterownika.
10. Plug and Play uruchamia sterowniki tak, by system mógł korzystać z nowego urządzenia.
Zarządzanie sterownikami odbywa się przy pomocy narzędzia Device Manager. Przy jego pomocy
można aktualizować sterowniki, jeśli posiadamy ich nowsze wersje. Jeśli po wgraniu nowego
sterownika urządzenie działa nieprawidłowo, możemy skorzystać z funkcji przywracania sterownika
do starej wersji. Korzystając z programu Device Manager możemy również wyłączyć urządzenie.
Polega to na tym, że fizyczne urządzenie nadal jest podłączone do komputera, lecz jego sterownik
jest wyłączony. Dzięki temu urządzenie nie funkcjonuje, a zasoby przez nie używane mogą być
wykorzystane przez inne urządzenie.
Strona 9/19
Moduł 1
Podsumowanie
W tym rozdziale przedstawione zostały najważniejsze informacje potrzebne do wdrożenia serwera
z rodziny Windows Server 2008. Dowiedziałeś się, jakie wersje systemu są dostępne i jaką
funkcjonalność posiadają. Posiadając tę wiedzę możesz wybrać odpowiedni systemem i
zainstalować go w przedsiębiorstwie, a znając zasadę działania technologii Plug and Play możesz
skonfigurować urządzenia w Twoim komputerze.
Przykładowe rozwiązanie
Instalacja systemu Windows Server 2008
Po uruchomieniu komputera z płyty DVD przywita nas ekran instalatora, gdzie musimy wybrać język
oraz związany z nim format czasu i klawiatury. Po zdefiniowaniu tych ustawień zatwierdzamy je
przyciskiem Next.
Kolejny ekran umożliwia nam wybranie kilku opcji:
1. Install now – dalszy proces instalacji systemu.
2. What to know before installing Windows – wymagania sprzętowe i znane problemy mogące
wystąpić w procesie instalacji.
3. Repair your computer – używane w czasie awarii systemu pozwala na skorzystanie z:
c) Windows Complete PC Restore – przywracanie systemu z kopii zapasowej w przypadku
niemożności jego naprawy.
d) Windows Memory Diagnostic Tools – narzędzie sprawdzające poprawność działania
pamięci komputera.
e) Command Prompt – możliwość użycia narzędzi wiersza poleceń w celu diagnostyki i
naprawy systemu.
W następnym oknie wybieramy wersję systemu, którą chcemy zainstalować i potwierdzamy
przyciskiem Next. Windows zapyta się o klucz produktu i poprosi o zaakceptowanie licencji. Kolejne
okno to pytanie o typ instalacji, jeśli komputer uruchomiliśmy z płyty, aktywna będzie tylko opcja
Custom (advanced). Upgrade jest dostępny przy uruchomieniu instalatora z poziomu poprzedniej
wersji Windows Server. Kolejny krok to wskazanie miejsca instalacji systemu. Możemy tu podzielić
dysk na logiczne części i sformatować partycję a także zainstalować dodatkowe sterowniki do
urządzeń nie obsługiwanych w procesie instalacji. Po wykonaniu tych czynności następuje
automatyczna instalacja, kończąca się ponownym uruchomieniem komputera. W czasie pierwszego
logowaniu ustawiamy hasło dla Administratora. System jest teraz gotowy do przeprowadzenia
wstępnej konfiguracji, którą można wykonać korzystając z narzędzia Initials Configuration Task lub z
wiersza poleceń dla instalacji systemu w wersji Core.
Podstawowa konfiguracja serwera w wersji Core
Mimo że istnieje możliwość zarządzania serwerem Core przy pomocy narzędzi graficznych
(Microsoft Management Console), to i tak wcześniej niezbędna jest wstępna konfiguracja systemu,
możliwa do przeprowadzenia tylko przy pomocy narzędzi wiersza poleceń.
Omówimy podstawowe polecenia umożliwiające zarządzanie taką instalacją.
Konfiguracja interfejsów sieciowych
Jedną z pierwszych czynności po zakończonej instalacji serwera jest skonfigurowanie karty
sieciowej, polegające na przypisaniu adresu IP, maski, bramy domyślnej i serwera DNS.
Polecenie ipconfig
Polecenie ipconfig wyświetla wartości aktualnej konfiguracji sieci TCP/IP oraz umożliwia
odświeżenie lub usunięcie konfiguracji protokołów DHCP (ang. Dynamic Host Configuration
Strona 10/19
Moduł 1
Protocol) i DNS (ang. Domain Name System). Posłużymy się tym poleceniem by wyświetlić aktualne
ustawienia karty sieciowej. Skorzystamy z przełącznika /all, by uzyskać informacje szczegółowe:
ipconfig /all
Polecenie netsh
Narzędzie netsh jest uruchamiane w wierszu poleceń i służy do obsługi skryptów. Pozwala na
wyświetlanie i modyfikowanie konfiguracji sieciowej komputerów lokalnych lub zdalnych.
Polecenie działa w tzw. kontekście, zwierającym zestaw poleceń specyficznych dla danej usługi.
Chcąc przypisać statyczny adres do karty sieciowej musimy sprawdzić, jaki interfejs reprezentuje ją
w naszym systemie. Skorzystamy z polecenia:
netsh interface ipv4 show interfaces
Na ekranie zostanie wyświetlona informacja, z której możemy się dowiedzieć, jakie nazwy połączeń
funkcjonują w naszym systemie. W naszym przypadku interesuje nas Local Area Connection.
Sprawdzamy i zapamiętujemy wartość w kolumnie Idx dla tego połączenia, ponieważ od tej chwili
będziemy się nią posługiwać konfigurując dany interfejs.
Aby przypisać odpowiednie adresy do karty sieciowej, wydajemy komendę:
netsh interface ipv4 set address name="idx" source=static address=adres
mask=maska_podsieci gateway=brama_domyślna
W poleceniu tym ustawiamy statyczny adres, maskę podsieci i domyślną bramę.
Musimy jeszcze przypisać serwer DNS, który będzie rozwiązywał nazwy komputerów. Użyjemy
polecenia:
netsh interface ipv4 add dnsserver name="idx" address=adres index=1
gdzie index=1 oznacza kolejność dodanego adresu na liście serwerów DNS dostępnych dla
interfejsu sieciowego.
Zmiana nazwy komputera i podłączenie do domeny
Kolejnym krokiem, który chcemy wykonać, jest przypisanie nazwy komputera i podłączenie go do
domeny.
Polecenie hostname
Wydajemy komendę wyświetlającą nazwę komputera:
hostname
Polecenie netdom
Polecenie netdom służy do zarządzania domeną i jej relacjami zaufania.
W czasie instalacji systemu nazwa komputera jest generowana automatycznie. Chcemy ją zmienić
na taką, która będzie pozwalała jednoznacznie identyfikować maszynę w naszej sieci. W tym celu
wydajemy polecenie:
netdom renamecomputer nazwa_komputera /NewName:nowa_nazwa
Po zmianie nazwy niezbędne jest ponowne uruchomienie komputera. Możemy to zrealizować
komendą:
shutdown /r /t 0
gdzie:
• /r – zamyka i ponownie uruchamia system
• /t – definiuje czas, po jakim nastąpi wyłączenie komputera (w naszym wypadku
natychmiast)
Strona 11/19
Moduł 1
Teraz możemy przyłączyć komputer do domeny wydając komendę:
netdom join nazwa_komputera /domain:nazwa_domeny /userd:nazwa_użytkownika
/passwordd:hasło
W poleceniu tym oprócz bieżącej nazwy komputera podajemy nazwę domeny, do której chcemy
przyłączyć stację, a także nazwę konta w domenie i hasło użytkownika, który ma prawo do
przeprowadzenia takiej operacji. Przyłączenie komputera do domeny również wymaga restartu.
Zarządzanie kontami użytkowników
Często musimy ustawić nowe hasło dla osoby zarządzającej serwerem Core lub przypisać konto
użytkownika lub grupę istniejącą w domenie do lokalnej grupy administratorów.
Polecenie net
Polecenie net może być wydawane z linii komend lub umieszczane w skryptach, które
automatyzują zadania administracyjne. Aby uzyskać informacje o możliwości użycia tego polecenia,
w linii poleceń wpisujemy:
net help
Chcąc zmienić hasło użytkownika, wpisujemy:
net user nazwa_użytkownika nowe_hasło
Aby dodać konto użytkownika z domeny do lokalnej grupy administratorów, należy wydać
polecenie:
net localgroup Administrators /add nazwa_domeny\nazwa_użytkownika
Pozostałe czynności
Aktywacja serwera
Dla poprawnego funkcjonowania serwera niezbędna jest jego aktywacja. Możemy ją wykonać
korzystając z dostępnego w systemie skryptu języka VBScript:
slmgr.vbs –ato
Chcąc zobaczyć szczegółowe informacje na temat naszej licencji, musimy użyć odpowiedniego
parametru:
Cscript slmgr.vbs –dlv
Narzędzie to ma szersze zastosowanie związane z licencjami. Dzięki niemu możemy np.
odinstalować klucz produktu, usunąć go z rejestru lub na przykład sprawdzić, do kiedy nasz system
jest aktywny . Wszystkie dostępne opcje można poznać wykonując skrypt slmgr.vbs bez żadnych
parametrów.
Konfiguracja zapory
Jeśli chcemy administrować serwerem Core zdalnie przy pomocy konsoli MMC, musimy najpierw
skonfigurować Firewall. Jeśli tego nie zrobimy, to przy próbie nawiązania połączenia otrzymamy
komunikat z błędem. Aby temu zapobiec, użyjemy narzędzia netsh:
netsh advfirewall firewall set rule group="Remote Administration" new
enable=yes
Powyższa komenda ustawi na zaporze reguły, dzięki którym będziemy mogli podłączyć się do
serwera dowolną przystawką konsoli MMC.
Jeśli chcemy ograniczyć zdalne zarządzanie do konkretnego narzędzia konsoli MMC, w powyższym
poleceniu zamiast wartości Remote Administrator wpisujemy nazwę reguły podaną w tab. 2.
Tab. 2 Przystawki konsoli MMC i odpowiadające im grupy reguł
Strona 12/19
Moduł 1
Przystawka MMC
Grupa reguł
Event Viewer
Remote Event Log Management
Services
Remote Services Management
Shared Folders
File and Printers Sharing
Task Scheduler
Remote Scheduled Task Management
Reliable and Performance
Performance Logs and Alerts, File and
Printer Sharing
Disk Management
Remote Volume Management
Windows Firewall with Advanced Security
Windows Firewall Remote Management
Np. chcąc skonfigurować regułę umożliwiającą zdalną administrację przystawką Disk
Management, na serwerze Core wydajemy polecenie:
netsh advfirewall firewall set rule group="Remote Volume Management" new
enable=yes
Zarządzanie sterownikami urządzeń przy pomocy Device Manager
Device Manager służy do konfigurowania i monitorowania poprawności działania urządzeń oraz
zarządzania ich sterownikami. Po uruchomieniu narzędzia należy rozwinąć typ urządzania, którym
chcemy zarządzać, a następnie wskazać interesujące nas urządzenie i z menu kontekstowego
wybrać polecenie Properties. Na zakładce General możemy odczytać informacje dotyczące
producenta, a także sprawdzić status urządzenia. Zakładka Driver udostępnia kilka przycisków:
• Driver Details – informacje o plikach sterownika, ich wersji i producencie
• Update Driver – umożliwia zainstalowanie nowego sterownika
• Roll Back Driver – jeśli po wgraniu nowego sterownika urządzenie działa nieprawidłowo,
możemy przywrócić poprzednią wersję
• Disable – wyłącza urządzenie
• Uninstall – odinstalowuje sterownik urządzenia
Porady praktyczne
• Przed wdrożeniem Microsoft Windows Server 2008 zastanów się nad wyborem edycji
systemu. Pomyśl, jakich funkcjonalności potrzebujesz i na jak wydajnym sprzęcie
zainstalujesz system.
• Zastanów się nad wyborem sposobu licencjonowania. Możesz używać jednocześnie licencji
User CAL i Device CAL, lecz zalecane jest korzystanie z jednego typu licencjonowania ze
względu na prostsze zarządzanie licencjami w firmie. Policz, jaki tryb licencjonowania będzie
najbardziej opłacalny w Twojej firmie i taki wybierz.
• Przy wyborze sprzętu, na którym zainstalujesz system, upewnij się, że jest on zgodny z
systemem Windows Server. Będziesz pewny, że nie spotkasz się z problemami
niekompatybilności. Skorzystaj z listy HCL (ang. Hardware Compatibility List), na której
znajdują się komputery i sprzęt komputerowy, przetestowane gruntownie w systemie
Windows.
Aby
uzyskać
najnowszą
listę
HCL,
odwiedź
witrynę
http://www.microsoft.com/whdc/hcl/default.mspx.
• Serwer powinien mieć jak największą dostępność. Jeśli jest to możliwe, wybierz taki sprzęt,
który ma zdublowane podsystemy (karty sieciowe, zasilacze) oraz posiada dyski odporne na
awarie (kontroler macierzy dyskowej RAID, dyski Hot Swap).
Strona 13/19
Moduł 1
• Przygotuj się do instalacji wykonując następujące kroki:
a) Sprawdź kompatybilność aplikacji. Możesz to zrobić korzystając z narzędzia Microsoft
Application Compatibility Toolkit.
b) Jeśli do serwera jest podłączony UPS, należy odłączyć kabel szeregowy, by instalator nie
wykrywał urządzenia podłączonego do portu szeregowego (może to spowodować
problemy).
c) Jeśli robisz upgrade systemu, stwórz wcześniej kopie zapasowe serwera.
d) Na czas instalacji wyłącz oprogramowanie antywirusowe.
e) Przetestuj pamięć RAM korzystając z narzędzia diagnostyki pamięci systemu Windows.
f) Przygotuj na nośniku (płyta CD, DVD lub dysk flash USB) sterownik pamięci masowej
dostarczony przez producenta.
• Pomyśl o programie antywirusowym chroniącym serwer. Bardzo często programy, które są
darmowe dla systemów klienckich, nie dają się zainstalować na systemach serwerowych lub
operacja taka jest niezgodna z licencją.
• Nie zapomnij aktywować serwera. Masz na to 30 dni.
• Chcąc zainstalować nowe sterowniki urządzeń, jeśli to możliwe, przetestuj je w środowisku
testowym.
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• wiesz, jakie edycje systemu Microsoft Windows Server 2008 są dostępne i czym się
charakteryzują
• umiesz dobrać odpowiednią wersję systemu w zależności od potrzeb
• potrafisz określić minimalne wymagania sprzętowe
• potrafisz dobrać odpowiedni sposób licencjonowania
• wiesz, w jaki sposób zainstalować system Windows Server 2008
• znasz podstawowe polecenia wiersza poleceń
• potrafisz przeprowadzić podstawową konfigurację serwera
• rozumiesz w jaki sposób funkcjonuje usługa Plug and Play
• potrafisz zarządzać sterownikami urządzeń
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.
Dodatkowe źródła informacji
1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press,
2008
Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum
administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i
jest posiadaczem tytułu Microsoft Most Valuable Professional. W przewodniku
znajdują się między innymi informacje na temat instalacji Windows Server 2008,
wykonywania uaktualnienia i wykonywania dodatkowych zadań administracyjnych
podczas instalacji.
2. Instalacja serwera w opcji Server Core,
http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr266.mspx
Poradnik dotyczący instalacji i konfiguracji serwera w wersji Core. Zawiera
instrukcje dotyczące instalowania, początkowej konfiguracji, instalowania ról i
funkcji serwera oraz zarządzania nim.
Strona 14/19
Moduł 1
3. O czym pamiętać przy przejściu z x86 na x64,
http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr328_01.mspx
Informacje i porady dla użytkowników decydujących się na migrację do architektury
x64.
Strona 15/19
Moduł 1
Laboratorium podstawowe
Problem 1 (czas realizacji 30 min)
Jesteś administratorem w przedsiębiorstwie. Twoja firma zakupiła
zakupiła nowy system operacyjny
Microsoft Windows Server 2008. Nie został dostarczony zamówiony przez Was sprzęt,
sprzęt na którym
będziesz mógł zainstalować nowy system,
system dlatego postanawiasz przetestować go na starszym
komputerze. Zainstalowałeś system,
system lecz z uwagi na to, że instalacja Server Core nie posiada
interfejsu użytkownika, musisz ręcznie dokończyć proces konfiguracji za pomocą narzędzi wiersza
poleceń. Ustaw
staw hasło dla konta administratora, zmień
zmie domyślną nazwę komputera, skonfiguruj
skonfigur
statyczny adres IP, dołącz serwer do firmowej domeny nwtraders.msft oraz aktywowuj serwer.
Ponadto skonfiguruj zaporę,
zaporę by można było zarządzać tym serwerem zdalnie.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
• Uruchom maszynę wirtualną 2008 Core.
2. Zaloguj się na
konto
administratora
• Naciśnij na klawiaturze Prawy Alt+Delete.
• W dostępnym polu wpisz hasło: Alamakota1.. i naciśnij Enter.
3. Zmień hasło
dla konta
administratora
• W oknie wiersza poleceń wpisz komendę:
komendę
4. Zdefiniuj
statyczny adres IP
• Aby sprawdzić aktualnie przypisany adres do karty sieciowej, w oknie
wiersza poleceń wpisz:
W powyższym haśle kropka jest jego częścią.
net user Administrator P@ssw0rd
ipconfig /all
• Aby wyświetlić informacje o interfejsach sieciowych, w oknie wiersza
poleceń wpisz:
wpisz
netsh interface ipv4 show interfaces
• Zanotuj numer wyświetlany w kolumnie ldx dotyczący interfejsu
sieciowego o nazwie Local Area Connection.
• W celu ustawienia adresu,
adresu w wierszu poleceń wpisz (ID to numer
spisany z kolumny Idx, zaś X – numer serwera podany przez
prowadzącego zajęcia):
zajęcia)
netsh interface ipv4 set address name="ID"
name=
source=static
address=192.168.1. mask=255.255.255.0 gateway=192.168.1.200
address=192.168.1.X
• Wpisz polecenie ipconfig /all i skontroluj, czy dla interfejsu sieciowego
został przypisany statyczny adres IP.
• W wierszu poleceń wpisz (ID to numer spisany z kolumny Idx):
netsh interface ipv4 add dnsserver name="ID"
name=
address=192.168.1.200 index=1
Jeśli statyczny adres IP przypiszemy dla niewłaściwej karty sieciowej,
to można powrócić do używania adresu DHCP przy pomocy polecenia
netsh interface ipv4 set address name="ID"" source=dhcp,
source=dhcp gdzie ID to
numer spisany z kolumny ldx.
5. Zmień nazwę
serwera
• W celu określenia bieżącej nazwy serwera w wierszu poleceń wpisz:
hostname
• Aby zmienić nazwę komputera wpisz (nazwa_komputera
nazwa_komputera to bieżąca
Strona 16/19
Moduł 1
nazwa komputera, zaś nowa_nazwa – nowa nazwa podana przez
prowadzącego zajęcia):
netdom renamecomputer nazwa_komputera /NewName:nowa_nazwa
• Potwierdź klawiszem Y zgodę na zmianę nazwy.
• Uruchom ponownie komputer przy pomocy polecenia:
shutdown /r /t 0
6. Dodaj
komputer do
domeny
• Zaloguj się na konto administratora (hasło P@ssw0rd).
• W wierszu poleceń wpisz (nazwa_komputera to nazwa nadana w
poprzednim zadaniu):
netdom join nazwa_komputera /domain:nwtraders.msft
/userd:Administrator /passwordd:P@ssw0rd
• Uruchom ponownie komputer.
7. Dodaj
użytkownika
domenowego do
lokalnej grupy
administratorów
• Zaloguj się na konto administratora (hasło P@ssw0rd).
• W wierszu poleceń wpisz:
net localgroup Administrators /add nwtraders\testuser
• Aby zobaczyć, czy użytkownik został dodany do grupy, w wierszu
poleceń wpisz:
net localgroup Administrators
8. Aktywuj
serwer
9. Sonfiguruj
zaporę dla zdalnej
administracji
slmgr.vbs –ato
netsh advfirewall firewall set rule group="Remote Administration"
new enable=yes
Na Twoim serwerze jest zainstalowana aplikacja do zarządzania danymi z maszyny produkcyjnej.
Chcesz ją tak skonfigurować, by co jakiś czas łączyła się do maszyny i pobierała z niej dane. Wiesz,
że można do tego celu wykorzystać połączenie modemowe. Zanim kupisz odpowiedni modem
chciałbyś przetestować to rozwiązanie, dlatego zdecydowałeś się użyć pożyczonego, starego
modemu. Zainstaluj go na sterownikach standardowych, a później wyłącz go do czasu, aż
skonfigurujesz aplikację. Po przetestowaniu rozwiązania odinstaluj modem.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
• Uruchom maszynę wirtualną 2008 Templ.
2. Zaloguj się do
domeny na konto
z uprawnieniami
administracyjnymi
•
•
•
•
•
3. Uruchom
program Device
Manager
• Wybierz Start -> Control Panel.
• W oknie Control Panel wybierz Device Manager.
• W oknie User Account Control wybierz Continue.
4. Zainstaluj
• W oknie Device Manager wybierz NazwaKomputera i naciśnij prawy
Naciśnij na klawiaturze Prawy Alt+Delete.
Naciśnij przycisk Switch User.
Naciśnij przycisk Other User.
W polu User Name wpisz NazwaKomputeraAdmin.
W polu Password wpisz P@ssw0rd i naciśnij Enter.
Strona 17/19
Moduł 1
sterownik
modemu
przycisk myszy.
• Z menu kontekstowego wybierz Add legacy hardware.
hardware
• W oknie Welcome to the Add Hardware Wizard naciśnij Next.
• W oknie The wizard can help you install other hardware wybierz opcję
Install the hardware that i manually select from a list (Advanced) i
naciś Next.
naciśnij
• Na liście zaznacz Modems i naciśnij Next.
• W oknie Install New Modem zaznacz opcję Don’t detect my modem;
modem
I will select it from a list i naciśnij Next.
• Na liście Models zaznacz Standard 56000 bps Modem
odem i naciśnij Next.
• Zaznacz port COM1 i naciśnij Next, a w następnym oknie zakończ
instalację przyciskiem Finish.
5. Przejrzyj
właściwości
zainstalowanego
modemu
• W oknie Device Manager rozwiń Modems i podwójnie kliknij Standard
56000 bps Modem.
Modem
• Przełączając się pomiędzy kolejnymi zakładkami sprawdź ustawienia
urządzenia.
• Na zakładce Driver wybierz Driver Details.
Jakie pliki sterownika są używane przez to urządzenie?
• W oknie Driver File Details naciśnij OK.
• W oknie Standard 56000 bps Modem Properties naciśnij OK.
6. Wyłącz
modem
• W oknie Device Manager rozwiń Modems i podwójnie kliknij Standard
56000 bps Modem.
Modem
• Na zakładce Driver wybierz przycisk Disable.
• W oknie informacyjnym, które się pojawi, wybierz Yes, a następnie OK.
Jak zmienił się status wyświetlanego urządzenia?
7. Włącz
urządzenie
• W oknie Device Manager rozwiń Modems i podwójnie
podwójni kliknij Standard
56000 bps Modem.
Modem
• Na zakładce General wybierz przycisk Enable Device.
Device
• W oknie Device Problems Troubleshooting Wizard naciśnij Next, a
następnie Finish i Close.
8. Odinstaluj
modem
• W oknie Device Manager rozwiń Modems i dwukrotnie kliknij Standard
56000 bps Modem.
Modem
• Na zakładce Driver wybierz przycisk Uninstall.
• W oknie Confirm 56000 bps Modem wybierz OK.
• Wyloguj się
Strona 18/19
Moduł 1
Laboratorium rozszerzone
Zadanie 1 (czas realizacji 90 min)
Firma, w której pracujesz, dynamicznie się rozwija. Zapadła decyzja o zakupie systemu do
wspomagania zarządzania przedsiębiorstwem klasy ERP. Wdrażanych będzie kilka modułów,
między innymi planowanie i optymalizacja produkcji, obsługa klienta i handel elektroniczny.
Prawidłowe funkcjonowanie tego systemu będzie bardzo istotnym elementem biznesu, dlatego
musi być on oparty na stabilnej platformie zapewniającej ciągłość pracy. Zostałeś członkiem zespołu
projektowego i jesteś odpowiedzialny za wybór sprzętu i systemu operacyjnego, na którym będzie
instalowane rozwiązanie ERP. W firmie posiadacie już serwery Microsoft Windows Server 2008,
masz już doświadczenie w administrowaniu nimi, dlatego wiesz, że przyszły system też będzie z tej
rodziny. Jednym z założeń jest wysoka stabilność i dostępność systemu, dlatego musisz zastanowić
się, jaką edycję wybrać. Przemyśl to i dokonaj wyboru. Swoją decyzję musisz uzasadnić przed
zarządem, dlatego przygotuj to w formie pisemnej.
Inwestycję musisz uwzględnić w budżecie, dlatego potrzebujesz również przedstawić kosztorys
sprzętu. Korzystając z Internetu znajdź odpowiednią konfigurację serwera i postaraj się oszacować
jego koszty. Pamiętaj by sprawdzić, czy wybrany sprzęt znajduje się na liście HCL.
Strona 19/19
Moduł 2
Wersja 1
Narzędzia do zarządzania serwerem
Spis treści
Narzędzia do zarządzania serwerem.................................................................................................... 1
Przykładowe rozwiązanie ............................................................................................................. 9
Moduł 2
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące narzędzi używanych do
zarządzania systemem Windows Server 2008. Dowiesz się, jak
przeprowadzić wstępną konfigurację serwera przy pomocy Initial
Configuration Task. Nauczysz się dodawać role serwera. Zapoznasz się z
konsolą MMC (Microsoft Managament Console) i dowiesz się, w jaki sposób
używać jej do administrowania serwerami zdalnymi.
Cel modułu
Celem modułu jest zapoznanie z wybranymi narzędziami używanymi do
administrowania serwerem oraz pokazanie sposobu dostosowania narzędzi
do potrzeb administratora.
• wiedział, w jaki sposób wstępnie skonfigurować serwer po instalacji
• potrafił dodać role i funkcje serwera
• potrafił skonfigurować konsolę MMC do zarządzania serwerem
lokalnym i zdalnym
Wymagania wstępne
Strona 2/16
Moduł 2
Jesteś administratorem w niewielkim przedsiębiorstwie. Posiadacie serwer Microsoft Windows
Server 2008. Jest on dość mocno obciążony, ponieważ pracuje jako serwer plików i kontroler
domeny. Chcecie wdrożyć serwer wydruku, dlatego postanawiasz rolę tę zainstalować na nowym
komputerze. Zakupiłeś nowy sprzęt i przeprowadziłeś instalację systemu. Teraz pozostała Tobie
jego konfiguracja. Dostałeś od kolegów potrzebne informacje takie jak nazwa dla tego komputera i
adres IP. Serwer będzie członkiem domeny nwtraders.msft.
Niedawno jeden z komputerów uległ awarii. Okazało się, że zapomniano go aktualizować. Ktoś
wykorzystał lukę w zabezpieczeniach, włamał się do niego i uszkodził ważne pliki. Chcesz uniknąć
takiej sytuacji, dlatego planujesz tak skonfigurować serwer by sam się aktualizował.
Twój starszy kolega będzie zarządzał serwerem wydruku, ale Ty chcąc mu pomóc, zainstalujesz
niezbędne dodatki by komputer mógł pełnić tę rolę. Zainstalujesz również narzędzia do zdalnego
zarządzania innymi serwerami, a także umożliwisz zdalne zarządzanie tym serwerem.
Jesteś odpowiedzialny za śledzenie zdarzeń w logach systemowych. Masz pod swoją opieka dwa
serwery, więc postanawiasz, że zamiast robić to na każdym z nich z osobna, skonfigurujesz sobie
narzędzie, dzięki któremu będziesz mógł wykonywać to zadanie z jednego miejsca.
Administrator potrzebuje wydajnych, wygodnych w obsłudze narzędzi umożliwiających zarządzanie
serwerami w organizacji. Windows Server 2008 posiada zestaw narzędzi do instalacji ról i funkcji
oraz konfiguracji i monitorowanie serwerów.
Initial Configuration Task
Po zainstalowaniu systemu Windows Server 2008, jedną z pierwszych czynności, jaką należy
wykonać, jest jego wstępna konfiguracja. W procesie instalacji, w odróżnieniu od wcześniejszych
systemów rodziny Windows, nie nadajemy nazwy komputera ani nie konfigurujemy ustawień
sieciowych. Czynności te możemy przeprowadzić po zakończeniu instalacji korzystając z narzędzia
Initial Configuration Task (Rys. 1)
Strona 3/16
Moduł 2
Rys. 1 Narzędzie Initial Configuration Task
1. Set time zone – umożliwia ustawienie czasu systemowego i wybranie strefy czasowej.
2. Configure Network – uruchamia okno Network Connections. Po wybraniu połączenia
sieciowego pozwala na skonfigurowanie karty sieciowej, polegające na przypisaniu adresu IP,
maski, bramy domyślnej i serwera DNS. Domyślnie karta sieciowa jest skonfigurowana w taki
sposób, by potrzebne wartości zostały pobrane automatycznie przy wykorzystaniu usługi
DHCP
3. Provide computer name and domain – uruchamia System Properties gdzie po wybraniu
przycisku Change zmieniamy nazwę komputera. Umożliwia również zdefiniowanie czy
pracujemy w grupie roboczej czy w domenie.
a) Grupa robocza.
W czasie instalacji, Windows automatycznie tworzy grupę roboczą. W celu przyłączenia
komputera do innej grupy należy podać jej nazwę (Rys. 2). Cechy grupy roboczej:
• W grupie roboczej wszystkie komputery są równe – żaden komputer nie ma kontroli nad
innymi.
• Każdy komputer posiada zbiór kont użytkowników. Chcąc korzystać z różnych
komputerów w grupie roboczej, na każdym z nich musimy mieć stworzone konto
użytkownika.
• Najczęściej w grupie roboczej pracuje nie więcej niż 10 – 20 komputerów.
b) Domena
Aby przyłączyć komputer do domeny należy podać jej nazwę i zatwierdzić przyciskiem OK
(Rys. 2), a następnie w oknie Windows Security, wpisać nazwę i hasło użytkownika
uprawnionego do wykonania tej czynności. Cechy domeny:
• Przynajmniej jeden komputer jest serwerem. Administrator sieci używa serwera do
kontroli zabezpieczeń i uprawnień do wszystkich komputerów w domenie.
• Posiadając konto użytkownika w domenie można przy jego pomocy logować się na
dowolnym komputerze w domenie.
• Umożliwia centralne zarządzanie dużą ilością komputerów.
Strona 4/16
Moduł 2
Rys. 2 Okno zmiany nazwy komputera i określenia pracy w domenie/grupie roboczej
4. Enable automatic updating and feedback – umożliwia skonfigurowanie serwera w celu
automatycznego pobierania i instalacji poprawek (ang. updates), wysyłania do Microsoft
raportów o błędach w celu ich usunięcia, oraz zezwolenia na zbieranie przez Microsoft
anonimowych informacji o systemie, w celu podniesienia jakości produktów i usług.
Uaktualnianie systemu jest jedną z niezbędnych czynności umożliwiającą zapewnienie jego
stabilności i bezpieczeństwa. Korzystając z Windows automatic updating możemy
skonfigurować komputer tak, by będąc w trybie online, Windows automatycznie sprawdzał,
czy są ważne uaktualnienia i instalował je. Dostępne opcje:
• Install updates automatically (recommended) - system będzie automatycznie pobierał i
instalował potrzebne uaktualnienia.
• Download updates but let me choose whether to install them - system będzie
automatycznie pobierał potrzebne uaktualnienia, a użytkownik musi potwierdzić ich
instalację.
• Check for updates but let me choose whether to download and install them – system
będzie informował o dostępnych nowych aktualizacjach, a użytkownik zatwierdza ich
pobranie i instalację.
• Never check for updates (not recommended) – aktualizacja komputera jest wyłączona.
5. Download and install updates – ręczne uruchomienie sprawdzenia dostępnych aktualizacji w
Windows Update i zatwierdzenie ich instalacji.
6. Add roles – uruchomienie Wizarda pozwalającego na zainstalowanie i skonfigurowanie roli
serwera.
Rola serwera jest zbiorem programów, które po zainstalowaniu i prawidłowym
skonfigurowaniu umożliwiają komputerom pełnienie specyficznych funkcji dla użytkowników
i innych komputerów w sieci. Role charakteryzują się:
• Opisują główną funkcję, cel użycia komputera. Specyficzny komputer może być
dedykowany do pełnienia jednej roli, mocno wykorzystywanej w przedsiębiorstwie, lub
może posiadać wiele ról lekko wykorzystywanych.
• Umożliwiają użytkownikom zorganizowanie dostępu do zasobów zarządzanych przez inny
komputer takich jak strony Web, drukarki, pliki.
• Często zawierają swoją własna bazę danych, umożliwiającą kolejkowanie żądań
użytkowników i komputerów, lub zapisywanie informacji o sieciowych użytkownikach lub
komputerach korzystających z danej roli. Przykładem jest Active Directory Domain
Services zawierającą bazę danych, przechowującą nazwy i hierarchiczne powiązania
wszystkich komputerów w sieci.
• Raz prawidłowo zainstalowana i skonfigurowana rola jest uruchamiana automatycznie
przy starcie komputera
Strona 5/16
Moduł 2
7. Add features – uruchomienie Wizarda pozwalającego na zainstalowanie i skonfigurowanie
funkcji serwera.
Funkcja systemu jest zbiorem programów, które nie są bezpośrednio częścią roli komputera.
Może wspierać lub rozszerzać funkcjonalność jednej lub kilku ról, w zależności od konfiguracji
serwera. Przykładem może być funkcja Failover Clustering, zwiększająca funkcjonalność
takich ról jak File Services i DHCP Server, pozwalając połączyć serwery w klaster (większa
redundancja i wydajność).
8. Enable Remote Desktop – umożliwia włączenie funkcji zdalnego zarządzania danym
komputerem (domyślnie grupa Administratorów)
9. Configure Windows Firewall – włączenie zapory pomagającej chronić komputer przed
uzyskaniem do niego dostępu poprzez Internet lub sieć (więcej szczegółowych informacji na
temat konfiguracji Windows Firewall znajdziesz w podręczniku ITA 108 Technologie sieciowe
Windows 2008).
Microsoft Management Console 3.0
Microsoft Management Console (MMC) udostępnia narzędzia administracyjne, które można użyć
do zarządzania siecią, komputerami, usługami i innymi komponentami systemu. Narzędzia są
dodawane do konsoli w postaci przystawek (ang. Snap-ins). Dzięki temu możliwe jest stworzenie
spersonalizowanego zestawu narzędzi używanego przez administratora w codziennej pracy. System
po zainstalowaniu dostarcza użytkownikowi predefiniowane konsole składające się z pojedynczych
przystawek lub ich kombinacji pozwalając wykonywać określone zadania w systemie.
Dla zilustrowania tego możemy uruchomić Event Viewer Console wydając polecenie
eventvwr.msc, oraz Computer Management Console poleceniem compmgmt.msc. Event Viewer
Console zawiera tylko przystawkę umożliwiającą podgląd zdarzeń. Ta sama przystawka jest częścią
konsoli Computer Management Console zawartą pod kategorią System Tools. Porównując
zawartość podglądu zdarzeń w obydwóch lokalizacjach, zobaczymy identyczne dane.
Predefiniowane konsole są dostępne w folderze Administrative Tools.
Aby uruchomić pustą konsolę wydajemy polecenie mmc. W celu jej konfiguracji należy wybrać
polecenie Add/remove Snap-in z menu File. W oknie, które się pojawi zaznaczamy interesującą nas
przystawkę w części Available snap-ins i przyciskiem Add> zatwierdzamy wybór. Przy wyborze
niektórych przystawek może pojawić się dodatkowe okno umożliwiające wyspecyfikowanie czy
dana przystawka będzie wykorzystywana do zarządzania komputerem lokalnym czy zdalnym. W
tym drugim wypadku należy podać jego nazwę. W celu dodania kolejnych przystawek czynność
należy powtórzyć. Po potwierdzeniu przyciskiem OK narzędzie jest gotowe do użycia. Można je
zapisać na dysku w celu późniejszego użycia.
Konsola może pracować w kilku trybach (menu File/Options):
• Author mode – daje użytkownikom pełen dostęp do konsoli, umożliwiając dodawanie lub
usuwanie przystawek, tworzenie nowych okien, tworzenie nowych zadań i widok
wszystkich części drzewa narzędzi.
• User mode – full access – zabrania użytkownikom dodawania i usuwania przystawek i
zmiany ich właściwości. Użytkownicy mają pełen dostęp do drzewa.
• User mode – limited access, multiple window – zabrania użytkownikom dostępu do tych
części drzewa, które nie są widoczne w konsoli.
• User mode – limited access, single window – otwiera przystawki w konsoli w trybie
pojedynczego okna i nie zezwala użytkownikowi na dostęp do tych części drzewa, które
nie są widoczne w tym pojedynczym oknie.
Strona 6/16
Moduł 2
Server Manager
Narzędzie Server Manager ułatwia zadania związane z zarządzaniem i zabezpieczaniem wielu ról
serwera. Udostępnia pojedynczy punkt do administrowania serwerem, wyświetlania jego statusu,
identyfikowania problemów z konfiguracją działających ról i zarządzania wszystkimi rolami
zainstalowanymi na serwerze.
Server Manager umożliwia wydajniejszą administrację serwerem, pozwalając administratorom przy
pomocy jednego narzędzia na:
• Wyświetlanie oraz modyfikowanie zainstalowanych na serwerze ról i funkcji
• Wykonywanie cyklicznych zadań związanych z serwerem takich jak uruchamianie i
zatrzymywanie usług, zarządzanie kontami użytkownika
• Określanie stanu serwera, identyfikowani zdarzeń krytycznych, analizowanie i
rozwiązywanie problemów z konfiguracją.
Na rysunku (Rys. 3) przedstawiono fragment konsoli Server Manager dla serwera London. Widać,
że na komputerze zainstalowano role Active Directory Domain Services, DHCP Server oraz DNS
Server. Jako funkcja zainstalowano narzędzie Group Policy Management. Wyraźnie widać, z jakich
przystawek została zbudowana konsola:
• Event Viewer – udostępnia widok komunikatów o zdarzeniach w systemie i innych
programach
• Reliability and Performance – narzędzie do monitorowania niezawodności i wydajności
systemu
• Device Manager – umożliwia wyświetlenie listy sprzętu zainstalowanego w komputerze i
konfigurowanie ich właściwości
• Task Schedule – służy do ustawienia harmonogramu zadań uruchamianych
automatycznie
• Windows Firewall with Advanced Security – narzędzie do konfigurowania zasad
związanych z bezpieczeństwem sieciowym komputerów
• Services – uruchamianie, zatrzymywanie i konfigurowanie usług
• WMI Control – umożliwia konfigurację i kontrolę usług Windows Management
Instrumentation (WMI)
• Windows Server Backup – narzędzie do robienia kopii zapasowej i przywracania serwera
• Disk Management – przystawka do zarządzania dyskami i wolumenami.
Poszczególne narzędzia będziemy poznawać i wykorzystywać w następnych modułach.
Rys. 3 Fragment konsoli Server Manager dla serwera London
Strona 7/16
Moduł 2
ServerManagerCmd.exe
Server Manager w systemie Windows Server 2008 zawiera narzędzie wiersza poleceń,
ServerManagerCmd.exe, umożliwiające użytkownikom przeprowadzanie automatycznej instalacji
lub usuwania ról i funkcji, oraz wyświetlanie logów tych operacji. Korzystając z opcji tego narzędzia
można wyświetlić role i funkcje zainstalowane lub dostępne do instalacji na danym komputerze.
ServerManagerCMD.exe można używać z plikiem odpowiedzi (XML) w celu przyspieszenia
automatycznych, powtarzających się instalacji ról i funkcji. Przykładowe użycie polecenia:
Servermanagercmd –query
Wyświetla listę wszystkich ról i funkcji zainstalowanych i dostępnych do instalacji na serwerze.
Można użyć krótkiej formy używając parametru –q
Servermanagercmd –install <Id>
Instaluje rolę lub funkcję wyspecyfikowaną w Id. Patrz tabele (Tabela 1 i Tabela 2).Zwróć uwagę,
że niektóre role nie mają komendy umożliwiającej ich zainstalowanie, można tylko instalować
poszczególne usługi ról składające się na daną rolę. Dzieje się tak, kiedy usługi ról nie mogą być
instalowane w tej samej instancji komendy Serwer Managera.
Servermanagercmd –help
Wyświetla pomoc. Można użyć krótkiej formy używając parametru –?.
Tabela 1 Wybrane Role i usługi Ról oraz odpowiadające im komendy w narzędziu ServerManagerCmd.exe
Role i usługi Ról
Wartość komendy <Id>
DHCP Server
DHCP
Print Services
Print-Server
• Print Server
• Internet Printing
• LPD Service
• Print-Services
• Print-Internet
• Print-LDP-Service
DNS
DNS
File Services
Brak
•
•
•
•
•
•
•
Distributed File System (DFS)
DFS Namespace
DFS Replication
File Server Resource Manager
Services for Network File System
Windows Search Services
Windows
Server 2003
File
Services
Active Directory Domain Services
•
•
•
•
•
•
•
FS-DFS
FS-DFS-Namespace
FS-DFS-Replication
FS-Resource-Manager
FS-NFS-Services
FS-Search-Service
FS-Win2003-Services
•
•
•
•
ADDS-Domain-Controller
ADDS-Identity-Management
ADDS-NIS
ADD-Password-Sync
Brak
• Active
Directory
Domain
Controller
• Identity Management for UNIX
• Server for Network Information
Service
• Password Synchronization
Strona 8/16
Moduł 2
Tabela 2 Wybrane Funkcje oraz odpowiadające im komendy w narzędziu ServerManagerCmd.exe
Funkcje
Wartość komendy <Id>
Wireless Networking
Wireless-Networking
Windows Server Backup
Backup
Telnet Server
Telnet-Server
Bitlocker Drive Encryption
BitLocker
Remote Server Administrative Tools
RSAT
• Role administration tools
• Active
Directory
Cerificate
Services
• Web Server (IIS)
• Failover Clustering
•
•
•
•
RSAT-Role-Tools
RSAT-ADCS
RSAT-Web-Server
RSAT-Clustering
Podsumowanie
W tym rozdziale przedstawione zostało narzędzie Initial Configuration Task używane przez
administratora w celu przeprowadzenia wstępnej konfiguracji serwera po procesie instalacji
systemu. Omówiona została także Microsoft Management Console, użycie konsoli zdefiniowanych
w systemie oraz tworzenie własnych, przy pomocy dostępnych przystawek. Zaprezentowane
zostało również narzędzie Server Manager wraz z dostępnym z wiersza poleceń
ServerManagerCmd.exe.
Wstępna konfiguracja serwera
Po zainstalowaniu serwera przystępujemy do jego wstępnej konfiguracji. Możemy użyć narzędzi
znajdujących się w Control Panel, w tym konsol zawartych w folderze Administrative Tools, lecz
najwygodniej jest skorzystać z narzędzia Initial Configuration Task. Narzędzie to jest uruchamiane
automatycznie przy każdym uruchomieniu systemu do czasu wyłączenia tej opcji (ustawienie
znacznika Do not show this windows at logon w dolnej części okna konsoli).
Zaczynamy od ustawienia aktualnego czasu. Wybieramy opcję Set time zone. W oknie Date and
Time sprawdzamy czy zegar komputera wskazuje poprawne wartości czasu i daty. Jeśli nie,
korygujemy je korzystając z przycisku Change date and time… Następnie korzystając z przycisku
Change time zone… wybieramy właściwą strefę czasową.
Kolejnym krokiem jest skonfigurowanie ustawień sieciowych. Na serwerach wskazane jest by
adresy kart sieciowych były przypisane manualnie zamiast wykorzystania konfiguracji
automatycznej. Klikamy Configure networking, co spowoduje otworzenie okna Network
Connection. Wybierając właściwości (ang. Properties) połączenia Local Area Connection, dostępne
w menu kontekstowym, przypisujemy adres IP, bramę i serwery DNS dla danego połączenia. Więcej
informacji na temat konfiguracji ustawień sieciowych znajdziesz w podręczniku ITA 108 Technologie
sieciowe Windows 2008.
Następnie należy zmienić nazwę komputera oraz określić grupę roboczą lub domenę, w której
będzie pracował serwer. Wybieramy Provide computer name and domain, a w oknie Computer
Name przycisk Change… W czasie instalacji nazwa komputera została stworzona automatycznie.
Zmieniamy ją na nazwę, która pozwoli nam łatwo zidentyfikować komputer w sieci, pamiętając by
była ona zgodną z konwencją stosowaną w naszej firmie. W sekcji Member of zaznaczamy opcję
Strona 9/16
Moduł 2
Domain i podajemy nazwę domeny, której komputer będzie członkiem (w naszym wypadku
nwtraders.msft). Po zatwierdzeniu przyciskiem OK pojawi się okno Windows Security, gdzie
wpisujemy nazwę konta w domenie i hasło użytkownika, który ma prawo do przeprowadzenia
takiej operacji. Jeśli akcja powiedzie się, zostanie wyświetlone okno z informacją Welcome to the
nwtraders.msft domain, a następnie komunikat o konieczności restartu komputera w celu
wprowadzenia zmian. Po uruchomieniu serwera ponownie zostanie uruchomione narzędzie Initial
Configuration Tasks.
W celu zapewnienia regularnych aktualizacji naszego systemu klikamy Enable automatic updating
and feedback i wybieramy opcję Manually configure settings. W sekcji Windows automatic
updating wybieramy przycisk Change Settings. Chcemy, by nasz system raz w tygodniu sprawdzał
dostępne aktualizacje i instalował je. Zaznaczamy opcję Install updates automatically
(recommended) i wybieramy z listy rozwijanej dzień tygodnia oraz godzinę tej akcji. Warto również
zaznaczyć opcję Recommended updates, dzięki czemu będą pobierane nie tylko aktualizacje
krytyczne, lecz również rekomendowane. Przyciskiem OK zatwierdzamy wprowadzone ustawienia.
Nie chcąc pozostawiać działającego systemu bez aktualizacji do czasu ich automatycznego pobrania
zdefiniowanego w poprzednim kroku, wymuszamy bieżącą aktualizację systemu wybierając
Download and install updates. W oknie Windows Update klikamy Check for updates. Komputer
połączy się z witryną Windows Update, sprawdzi, jakie aktualizacje są wymagane dla naszego
serwera i pozwoli użytkownikowi wybrać, które z nich mają zostać zainstalowane.
Nasz serwer będzie pełnił rolę serwera drukarek. Aby zainstalować wymagane komponenty
systemu, w oknie Initial Configuration Task wybieramy Add roles, w celu uruchomienia Wizarda.
W oknie Before You Begin (zapoznaj się wyświetlanymi informacjami) wybieramy Next. Na liście
dostępnych ról zaznaczamy Print Services i potwierdzamy przyciskiem Next. Możemy przeczytać
informacje wprowadzające do usług drukowania i klikamy przycisk Next. Upewniamy się, że w
oknie Select Role Services jest zaznaczona opcja Print Server. Zatwierdzamy instalację przyciskiem
Install. Jeśli proces przebiegł prawidłowo, w oknie Installation Results zostanie wyświetlony
komunikat installation succeseeded. Zamykamy Wizarda przyciskiem Close.
Jako administratorzy będziemy chcieli w przyszłości zarządzać zdalnymi serwerami. Jednym ze
sposobów jest instalacja narzędzi do zdalnej administracji określoną rolą lub funkcją. Wybieramy
Add features by uruchomić Wizard, który przeprowadzi nas przez proces instalacji. W oknie Select
Futures odszukujemy na liście i rozwijamy Remote Server Administration Tools. Aby zarządzać
usługami katalogowymi rozwijamy Active Directory Domain Services Tools i zaznaczamy Active
Directory Domain Controller Tools. Zatwierdzamy wybór przyciskiem Next, a następnym oknie
potwierdzamy instalację przyciskiem Install. Jeśli proces przebiegł prawidłowo, w oknie Installation
Results zostanie wyświetlony komunikat installation succeseeded. Zamykamy Wizarda przyciskiem
Close.
Serwery zwykle znajdują się w specjalnych pomieszczeniach (serwerowniach) o ograniczonym
dostępie. Nie zawsze znajdują się one w tej samej lokalizacji, w której pracuje osoba zarządzająca
nimi. Wygodną funkcją jest Zdalny Pulpit umożliwiająca zdalne zarządzanie komputerem.
Funkcjonalność ta musi zostać włączona na komputerze, do którego chcemy się będziemy się
podłączać. Jeśli chcemy by inni administratorzy zdalnie zarządzali naszym serwerem w oknie Initial
Configuration Task wybieramy Enable Remote Desktop. W oknie System Properties na zakładce
Remote w sekcji Remote Desktop zaznaczamy opcję Allow connections from computer running
any version of Remote Desktop. Pojawi się okno z informacją o dodaniu wyjątków do zapory
Windows umożliwiających korzystanie z tej usługi. Zatwierdzamy ustawienia wybierając kolejne
przyciski OK.
Strona 10/16
Moduł 2
Przygotowanie własnej konsoli Microsoft Management Console
Jednym z codziennych zadań wykonywanych przez administratora jest przeglądanie informacji
zapisywanych w logach w celu określenia poprawności działania systemu i aplikacji oraz kontroli
zdarzeń związanych z bezpieczeństwem serwera. Stworzymy własną konsolę, która umożliwi nam
realizację tych zadań na lokalnym serwerze i serwerze zdalnym London.
Wybieramy menu Start i wydajemy polecenie mmc. Pojawi się okno User Account Control
wymagające potwierdzenia przyciskiem Continue. Wybieramy menu File -> Add/Remove Snapin…. W oknie Add or Remove Snap-ins w sekcji Available snap-ins zaznaczamy Event Viewer.
Klikamy przycisk Add, co spowoduje wyświetlenie okna Select Computer. Upewniamy się, że jest
zaznaczona opcja Local computer (the computer this console is running on) i zatwierdzamy wybór
przyciskiem OK. Ponownie w sekcji Available snap-ins zaznaczamy Event Viewer i klikamy przycisk
Add. W oknie Select Computer zaznaczamy opcję Another Computer i wpisujemy nazwę serwera
do którego się podłączymy – w naszym wypadku London. Zatwierdzamy wybór przyciskiem OK.
Zamykamy okno Add or Remove Snap-ins przyciskiem OK. W celu zapisania skonfigurowanej
konsoli wybieramy menu File -> Save As… i w polu File name wpisujemy nazwę, pod jaką chcemy ją
zapamiętać oraz podajemy lokalizację (np. Desktop). Zamykamy okno przyciskiem Save.
Rozwijając przystawki dla poszczególnych komputerów możemy teraz przeglądać zdarzenia
zapisane w ich logach .
Porady praktyczne
• Jeśli po uruchomieniu serwera nie pojawia się konsola Initial Configuration Task możesz
wywołać ją poleceniem oobe.exe
• Bardzo ważny jest prawidłowo ustawiony czas na serwerze i stacjach klienckich. Jeśli nie
jest, może być przyczyną problemów z logowaniem. Komputery pracujące w domenie
synchronizują czas z sieciowym źródłem czasu, którym jest kontroler domeny pełniący
role PDC (Primary Domain Controler) – więcej informacji na temat uzyskasz w module 4.
• Pamiętaj, że serwer powinien mieć przypisany adres statyczny.
• Nie zapominaj o aktualizacjach - komputer jest wrażliwy na zagrożenia związane z
bezpieczeństwem. Aktualizacja systemów jest jedną z podstawowych czynności
ograniczających te zagrożenia. W przedsiębiorstwach, do zarządzania aktualizacjami
komputerów wykorzystuje się Windows Server Update Services (WSUS) – usługę
umożliwiającą zarządzanie pobieraniem aktualizacji, dystrybucją ich w sieci i raportowanie
stanu komputerów.
• Loguj się do systemu, jako zwykły użytkownik, bez praw administratora. Po zalogowaniu
się użytkownika z prawami administratora, system, nad którym przejmuje on kontrolę,
może być narażony na ataki ze strony złośliwych użytkowników.
• Do otwierania określonych narzędzi wymagających uprawnień administracyjnych używaj
polecenia runas. Dzięki temu uruchomiony program będzie działał w kontekście innego
użytkownika (administratora), a system będzie bezpieczniejszy.
• Konfiguruj konsole MMC dodając przystawki w taki sposób by zawierały dodatki z których
korzystasz na co dzień – będziesz pracował wydajniej.
• Jeśli jakieś narzędzia używasz często, warto utworzyć skróty korzystające z polecenia
runas, dzięki temu będziesz pracował wydajniej bez stwarzania zagrożenia dla
bezpieczeństwa.
• Korzystając z konsoli podłączonej do zdalnego komputera pamiętaj, że na nim też musisz
posiadać odpowiednie prawa.
• Większość narzędzi dostępnych w systemie wymaga większych praw do ich użycia niż
prawa zwykłego użytkownika. Niekoniecznie musisz być członkiem grupy Administrators
by z nich skorzystać. W systemie istnieją wbudowane grupy, które posiadają przypisane
Strona 11/16
Moduł 2
odpowiednie prawa potrzebne do zarządzania określoną częścią systemu (więcej w
module 6).
• Nie wszystkie czynności można wykonać przy pomocy przystawek do zdalnego
zarządzania komputerem. Do konfiguracji niektórych funkcjami systemu (np. dostępnych
w Panelu Sterowania) używaj narzędzia Remote Desktop.
Uwagi dla studenta
• wiesz, jakie czynności należy wykonać by przeprowadzić wstępną konfigurację serwera po
procesie instalacji.
• umiesz korzystać z narzędzia Initial Configuration Task
• potrafisz zmienić nazwę komputera oraz przyłączyć go do domeny lub grupy roboczej
• umiesz skonfigurować konsolę MMC
• wiesz w jaki sposób zainstalować role i funkcje na serwerze
2008
podczas instalacji.
2. Windows Server Initial Configuration Tasks
http://technet.microsoft.com/en-us/library/cc755215.aspx
Dokumentacja narzędzia Initial configuration Task na witrynie Technet.
3. Install Windows Server 2008 Server Roles with Server Manager
http://technet.microsoft.com/en-us/library/dd283014(WS.10).aspx
Opis narzędzia Serwer Manager na witrynie Technet.
Po zainstalowaniu serwera, chcesz go tak skonfigurować, byś mógł przy jego pomocy zarządzać
innymi serwerami w sieci. Będziesz zarządzał serwerem w zdalnej lokalizacji, dlatego chcesz mieć
szybki dostęp do informacji o aktualnym dla niej czasie. Chcesz mieć również wpływ na to jakie
aktualizacje będą pobierane i instalowane na serwerze. Twój serwer będzie udostępniał pliki dla
użytkowników, dlatego chcesz mieć zainstalowane narzędzia do administrowania tą rolą. Będziesz
zarządzał zdalnymi kontrolerami domeny, dlatego chcesz zainstalować dodatkowe narzędzia
pomocne przy tym zadaniu. Czasami będziesz łączył się do swojego serwera ze stacji roboczej,
dlatego chcesz włączyć możliwość używania Zdanego Pulpitu
Zadanie
Tok postępowania
Strona 12/16
Moduł 2
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto z
uprawnieniami
administracyjnymi
3. Uruchomienie
narzędzia Initial
Configuration
Tasks
• Jeśli po zalogowaniu się nie uruchamia się automatycznie narzędzie
Initial Configuration Tasks wybierz Start i w polu Start Search wpisz
Oobe.exe i potwierdź Enterem.
4. Ustawienie
drugiego zegara z
informacją o
czasie w oddziale
firmy
• W programie Initial Configuration Tasks w sekcji Provide Computer
Information wybierz Set time zone.
• W oknie Date and Time wybierz zakładkę Additional Clocks.
• Zaznacz pole Show this clock.
• W Select time zone wybierz (GMT+01:00) Sarajevo, Skopje, Warsaw,
Zagreb.
• W Enter display name wpisz Oddzial Opole.
• Klinknij przycisk Apply.
• Kliknij zegar na pasku.
• Powinny pojawić się dwa zegary.
• W oknie Date and Time naciśnij OK.
5. Konfiguracja
sposobu
uaktualniania
serwera
• W programie Initial Configuration Tasks w sekcji Update this Server
wybierz Enable automatic updating and feedback.
• W oknie które się pojawi wybierz Manually configure settings.
• W sekcji Windows automatic updating wybierz przycisk Change
Setting…
• W oknie konfiguracji zaznacz Check for updates but let me choose
whether to download and install them i naciśnij OK.
• W oknie Manually Configure Settings naciśnij Close.
6. Dodanie roli
serwera plików
• W programie Initial Configuration Tasks w sekcji Customize This Server
wybierz Add roles.
• W oknie Before You Begin wybierz Next.
• W oknie Select Server Roles z listy ról wybierz File Services a następnie
przycisk Next.
• W oknie File Services przeczytaj Introduction to File Services a
następnie wybierz Next.
• W oknie Select Role Services zaznacz:
•
•
•
•
•
Naciśnij na klawiaturze prawy Alt+Delete.
W polu User Name wpisz NazwakomputeraAdmin.
—
—
—
—
—
—
—
—
File Server
Distributed File System
DFS Namespace
DFS Replication
Windows Server 2003 File Services
File Replication Service
Indexing Services
Strona 13/16
Moduł 2
• Wybierz przycisk Next
• W oknie Create a DFS namespace wybierz Create a name space later
using the DFS Management snap-in in Server Manager a następnie
wybierz przycisk Next.
• W oknie Configure Storage usage Monitoring zaznacz Local Disk (C:) a
następnie przycisk Next.
• W oknie Set Report Option wybierz Next.
• W oknie Confirm Installation Selection przeczytaj podsumowanie
zdefiniowanych opcji i naciśnij Install.
• W oknie Installation Results powinna być wyświetlona informacja
Installation succeesed. Jeśli tak jest to wybierz przycisk Close. W
przeciwnym razie poproś o pomoc wykładowcę.
7. Dodanie
narzędzi
administracyjnych
do zarządzania
kontrolerami
domeny, GPO i
PowerShell
wybierz Add features.
• W oknie Select Features na liście znajdź i zaznacz:
— Group Policy Management
— Windows PowerShell
• W oknie Select Features na liście Features rozwiń Remote Server
Administration Tools -> Role Administration Tools -> Active Directory
Domain Services Tools i zaznacz Active Directory Domain Controller
Tools, a następnie wybierz przycisk Next.
• W oknie Confirm Installation Selections zapoznaj się z podsumowaniem
i naciśnij przycisk Install.
• W oknie Installation Results powinna być wyświetlana informacja
Installation succeesed. Jeśli tak to wybierz przycisk Close. W
8. Właczenie
Remote desktop
wybierz Enable Remote Desktop.
• W oknie System Properties na zakładce Remote w sekcji Remote
Desktop zaznacz allow connections from computer running any
version of Remote Desktop (less secure).
• Pojawi się okno z informacją że firewall został odpowiednio
skonfigurowany. Wybierz OK.
• W oknie System Properties wybierz OK.
9. Dokumentowa
nie konfiguracji
• W programie Initial Configuration Tasks na dole ekranu wybierz Print,
e-mail, or save this information.
• Zapisz raport w domyślnym położeniu.
• Pozamykaj wszystkie okna.
• Wyloguj się.
Dostałeś zadanie aktualizacji dokumentacji konfiguracji serwerów w twojej firmie. Musisz
udokumentować konfigurację serwerów DHCP, które znajdują się w innych miastach. Postanawiasz
skonfigurować potrzebne narzędzia by zrobić to zdalnie.
Zadanie
Tok postępowania
1. Uruchom
Strona 14/16
Moduł 2
maszynę
wirtualną
2. Zaloguj się na
konto z
uprawnieniami
administracyjnymi
•
•
•
•
•
3. Instalowanie
narzędzia do
zarządzania
zdalnym
serwerem DHCP
przy pomocy
Server Manager
Console
• Wybierz menu Start -> All Programs -> Accessories i naciśnij prawy
przycisk na Command Prompt.
• Z menu kontekstowego wybierz Run as Administrator.
• Aby zobaczyć zainstalowane role i dodatki w oknie wiersza poleceń
wpisz:
servermanagercmd.exe –query
• Przejrzyj skonfigurowane właściwości.
• Aby zainstalować narzędzie do zdalnego zarządzania serwerem DHCP
wydaj polecenie:
Servermanagercmd.exe –install RSAT-DHCP –resultPath
c:\addroleresults.xml
• W pliku addroleresults.xml zostanie zapisany rezultat operacji.
• Po skończeniu instalacji zamknij okno wiersza poleceń.
4. Zarządzanie
zdalnym
serwerem DHCP
• Wybierz menu Start i wydaj polecenie:
runas /user:[email protected] mmc
• W oknie które się pojawi wpisz hasło P@ssw0rd.
• W oknie konsoli wybierz menu File -> Add/Remove Snap-in…
• Na liście Available snap-ins zaznacz DHCP i naciśnij przycisk ADD> a
następnie OK.
• W konsoli kliknij prawym przyciskiem myszy DHCP i z menu
kontekstowego wybierz Manage authorized Servers.
• W oknie Manage DHCP servers zaznacz London.nwtraders.msft i
naciśnij OK.
• Przejrzyj ustawienia serwera DHCP i zamknij konsolę.
• Wyloguj się.
Strona 15/16
Moduł 2
Strona 16/16
Moduł 3
Wersja 1
Spis treści
Zarządzanie dyskami ............................................................................................................................ 1
Przykładowe rozwiązanie ............................................................................................................. 7
Porady praktyczne ....................................................................................................................... 9
Moduł 3
Informacje o module
Opis modułu
W tym module znajdują się informacje dotyczące konfiguracji i zarządzania
dyskami w systemie Windows Server 2008. Nauczysz się korzystać z
narzędzi Disk Manager i DiskPart, by przy ich pomocy przygotować dysk do
pracy. Dowiesz się jak zorganizować przestrzeń na dysku, oraz jak wdrożyć
dyski odporne na awarie.
Cel modułu
Celem modułu jest zaprezentowanie różnych możliwości konfiguracji
dysków i związanych z nimi funkcjonalności oraz zapoznanie z dostępnymi
narzędziami.
•
•
•
•
wiedział, jak zainicjować nowy dysk
potrafił tworzyć partycje i woluminy
wiedział, jakie są różnice między systemami plików
potrafił zarządzać wolumenami oraz wdrażać dyski odporne na
awarie
Wymagania wstępne
zapoznanie się z materiałem zawartym
Strona 2/15
Moduł 3
Jesteś Administratorem świeżo zainstalowanego serwera Microsoft Windows Server 2008. Zanim
użytkownicy w Twojej firmie zaczną z niego korzystać musisz odpowiednio skonfigurować dyski.
Serwer posiada trzy dyski twarde o pojemności 16 GB, pochodzące od jednego producenta. System
został zainstalowany na pierwszym dysku w systemie, na partycji o rozmiarze 9 GB. Chcesz
rozszerzyć ją o 1 GB. Prawidłowe działanie tego serwera jest bardzo ważne dla firmy, ponieważ
będą na nim przechowywane ważne dane. Aby zabezpieczyć się przed awarią dysku, na którym jest
zainstalowany system postanawiasz utworzyć lustrzaną kopię partycji systemowej. W celu
zabezpieczenia partycji z danymi przedsiębiorstwa wykorzystasz RAID-5. Potrzebujesz również 5 GB
partycję, na której będą przechowywane raporty. Niestety, na pierwszym dysku nie będzie już tyle
wolnego miejsca, dlatego stworzysz na nim partycję 2 GB i skorzystasz z dysku zainstalowanego w
folderze, z którego będzie korzystał dział finansów generujący najwięcej zestawień.
Jednym z podstawowych zadań, które należy wykonać zanim serwer będzie gotowy do użycia jest
konfiguracja dysków. Zwykle w procesie instalacji tworzymy partycję, na której jest instalowany
system. Czasem zajmuje ona całą przestrzeń dostępną na dysku fizycznym, lecz często obejmuje
tylko jego część. Po zainstalowaniu systemu należy zarządzić pozostałym miejscem na dysku tak, by
było ono dostępne dla użytkowników i aplikacji.
Disk Management
Disk Management (Rys. 1) jest narzędziem systemowym do zarządzania dyskami twardymi i
woluminami lub partycjami, które się na nich znajdują. Przy jego pomocy możemy inicjować dyski,
tworzyć woluminy i formatować je w systemie plików FAT, FAT32 lub NTFS. Narzędzie to pozwala
wykonywać większość zadań związanych z dyskami bez potrzeby restartu systemu. Umożliwia
również zarządzanie dyskami komputerów zdalnych.
Rys. 1 Narzędzie Disk Management
Strona 3/15
Moduł 3
Inicjalizacja nowego dysku
Nowy dysk pojawia się w systemie, jako niezainicjowany (ang. Not Initialized). Zanim zaczniemy go
używać musimy najpierw go zainicjować. Jeśli uruchomimy Disk Management po dodaniu dysku,
pojawi się Initialize Disk Wizard, który pomoże nam w tym procesie. Jeśli się tak nie stanie,
możemy zrobić to sami. W narzędziu Disk Management, klikamy prawym przyciskiem myszy na
wybranym dysku i z menu kontekstowego wybieramy polecenie Initialize Disk. W oknie
dialogowym Initialize Disk wybieramy dysk lub dyski, które chcemy zainicjować. Możemy wybrać
jeden z dwóch dostępnych styli partycji:
• master boot record (MBR) – pierwszy sektor dysku jest zarezerwowany na przechowywanie
tablicy partycji i master boot record. Pozostała część dysku jest podzielona na partycje, a
informacja o nich jest przechowywana w tablicy partycji. MBR na dyskach podstawowych
wspiera dwa typy partycji, podstawową (ang. primary) i rozszerzoną (ang. extended).
Partycja podstawowa może mieć przypisaną literę dysku lub punkt montowania. Partycja
rozszerzona może być dzielona na jeden lub więcej dysków logicznych, każdy z nich może być
sformatowany i mieć przypisaną literę dysku lub punkt montowania. Dyski podstawowe ze
stylem partycji MBR mogą posiadać do czterech partycji podstawowych lub trzy partycje
podstawowe i jedną, na której jest wiele dysków logicznych
• GUID partition table (GPT) – używa extensible firmware interface (EFI). Na początku dysku
GPT nadal znajduje się MBR (jest on jednak wykorzystywany tylko po to, by dysk był
rozpoznawany przez narzędzia nierozpoznające dysków GPT). Zaraz za nim umiejscowiony
jest główny nagłówek GPT, który definiuje bloki na dysku dostępne dla partycji oraz
przechowuje informacje o liczbie i rozmiarach partycji na dysku. Nagłówek GPT przechowuje
także informacje na temat swojej własnej lokalizacji na dysku oraz wskaźnik na zapasowy
nagłówek GPT znajdujący się w końcowych sektorach dysku. Zapasowy nagłówek GPT
wykorzystywany jest w razie uszkodzenia nagłówka głównego. Przestrzeń na dysku pomiędzy
nagłówkami głównym i zapasowym jest wykorzystana na partycje podstawowe. Każda
partycja zawiera również swój nagłówek zawierający informacje o typie partycji,
początkowym i końcowym bloku partycji na dysku oraz unikalny GUID partycji. Na dyskach
mogą znajdować się również inne typy partycji często wymagane przez GPT, EFI system
partition (ESP) i Microsoft Reserved Partition (MSR). Partycja ESP musi znajdować się na
pierwszym dysku w systemie i jest wymagana do uruchomienia systemu operacyjnego. Na
innych dyskach nie jest obowiązkowa. W wypadku instalacji wersji 64 bitowej systemu
Windows Server 2008, proces instalacyjny tworzy zarówno ESP jak i MSR.
Tworzenie woluminu na dysku podstawowym.
W celu stworzenia nowego woluminu wybieramy interesujący nas dysk, klikamy go prawym
przyciskiem myszy na przestrzeni Unallocated i z menu kontekstowego wybieramy polecenie New
Simple Volume. Zostanie uruchomiony Wizard, w którym podajemy wielkość woluminu,
przypisujemy literę dysku lub ścieżkę (punkt montowania) oraz wybieramy system plików.
• Litera dysku – najczęściej dla woluminu przypisujemy literę z alfabetu. Dzięki temu
upraszczamy odwoływanie się do tego zasobu.
• Dysk zainstalowany – możemy przypisać punkt montowania dysku w dowolnym pustym
folderze na innym lokalnym woluminie sformatowanym w systemie NTFS. Podobny jest do
skrótu wskazującego na partycję lub wolumin. Użytkownik odwołuje się do niego poprzez
zdefiniowaną nazwę a nie literę dysku.
• System plików – struktura używana do organizowania danych na dysku. Po zainstalowaniu
nowego dysku twardego, zanim będziemy mogli przechowywać na nim dane lub programy,
należy go sformatować wybierając system plików:
• NTFS – preferowany system plików, zdolny do automatycznego odzyskiwania sprawności
po niektórych błędach dyskowych, umożliwiający obsługę dużych dysków. Rozszerzone
Strona 4/15
Moduł 3
zabezpieczenia przechowywanych danych z możliwością nadawania uprawnień do
poszczególnych plików i folderów oraz z wbudowanym szyfrowaniem.
• FAT32 – wraz z mniej użytecznym FAT używane były przez wcześniejsze wersje systemu
operacyjnego Windows (Windows95, Windows 98 i Millenium). Nie posiada zabezpieczeń
takich jak NTFS – każdy użytkownik, który ma dostęp do partycji lub woluminu może
czytać wszystkie znajdujące się tam pliki. Posiada ograniczenia wielkości partycji do 32 GB
i maksymalnej wielkości pliku 4 GB.
Tab. 1 Porównanie cech trzech systemów plików
FAT
FAT 32
NTFS
Maksymalny rozmiar partycji
4 GB
32 GB
2 TB
Rozmiar sektora
Od 16 KB do 64 KB
Od 4 KB
Od 4 KB
Zabezpiecznia
Atrybuty pliku
Atrybuty pliku
Uprawnienia dostępu do pliku i folderu
oraz szyfrowanie
Kompresja
-
-
Plików, folderów i dysków
Rozszerzanie woluminu podstawowego
Możemy dodać więcej przestrzeni do istniejącej partycji podstawowej lub dysku logicznego
rozszerzając je na przyległą, nieużywaną przestrzeń na tym samym dysku fizycznym. Aby to
wykonać wolumin musi być niesformatowany, lub sformatowany w systemie plików NTFS.
W celu rozszerzenia podstawowego woluminu w narzędziu Disk Manager klikamy prawym
przyciskiem myszy wolumin, który chcemy rozszerzyć i z menu kontekstowego wybieramy
polecenie Extend Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się na ekranie.
Zmniejszenie woluminu podstawowego
Możemy zmniejszyć przestrzeń używaną przez partycje podstawowe lub dyski logiczne tworząc
przyległe, nieużywane miejsce na tym samym dysku. Na przykład, jeśli potrzebujemy dodatkowej
partycji a nie możemy dołożyć nowego dysku to wystarczy zmniejszyć istniejącą partycję a
odzyskaną przestrzeń wykorzystać na stworzenie nowej partycji. Operacja ta jest możliwa tylko dla
woluminów podstawowych sformatowanych w systemie NTFS i nieposiadających plików
systemowych. W czasie zmniejszania partycji pliki na dysku są realokowane w celu uzyskania
wolnego miejsca.
Aby zmniejszyć wolumin podstawowy korzystając z narzędzia Disk Manager klikamy prawym
przyciskiem myszy wolumin, który chcemy zmniejszyć i z menu kontekstowego wybieramy
polecenie Shrink Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się na ekranie.
Zmiana dysku podstawowego na dynamiczny
Dyski dynamiczne posiadają większą funkcjonalność niż dyski podstawowe, ponieważ umożliwiają
tworzenie woluminów składających się z przestrzeni należących do kilku dysków fizycznych i
pozwalają tworzyć dyski odporne na awarię (RIDE-0 oraz RAID-5). Woluminy na dyskach
dynamicznych nazywane są woluminami dynamicznymi. Bez względu na to, czy dyski dynamiczne
używają stylu partycji MBR czy GPT, możemy utworzyć do 2000 dynamicznych woluminów
(zalecana liczba woluminów dynamicznych nie powinna przekraczać 32).
W celu konwersji dysku podstawowego na dysk dynamiczny należy w programie Disk Manager
kliknąć prawym przyciskiem myszy dysk podstawowy, który chcemy konwertować i z menu
kontekstowego wybrać polecenie Convert to Dynamic Disk. Należy postępować zgodnie z
instrukcjami pojawiającymi się na ekranie.
Strona 5/15
Moduł 3
Tworzenie woluminu prostego
Wolumin prosty (ang. simple volume) jest zbudowany z przestrzeni znajdującej się na jednym dysku
dynamicznym. Przestrzeń ta może być ciągła lub mogą to być różne obszary. Wolumin prosty
można rozszerzyć o przestrzeń znajdująca się na tym samym dysku lub dysku dodatkowym. Jeśli
wolumin prosty zostanie rozszerzony na inne dyski dynamiczne to staje się woluminem łączonym.
Wolumin prosty tworzymy w narzędziu Disk Manager klikając prawym przyciskiem myszy wolne
miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu kontekstowego
wybieramy polecenie New Simple Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się
na ekranie.
Tworzenie woluminu łączonego
Wolumin łączony (ang. spanned volume) zawiera przestrzeń dyskową z więcej niż jednego
fizycznego dysku. Jeśli wolumin prosty nie jest woluminem systemowym lub rozruchowym,
możemy rozszerzyć go na inne dyski tworząc wolumin łączony. Do stworzenia takiego woluminu
potrzebne są przynajmniej dwa dyski dynamiczne (maksymalnie można wykorzystać 32 dyski)
połączone w jedną całość.
W celu stworzenia woluminu łączonego należy w programie Disk Manager kliknąć prawym
przyciskiem myszy niewykorzystane miejsce na wybranym dysku dynamicznym i z menu
kontekstowego wybrać polecenie New Spanned Volume. Postępować zgodnie z instrukcjami
pojawiającymi się na ekranie
Tworzenie woluminu rozłożonego
Wolumin rozłożony (ang. striped volume) jest woluminem dynamicznym, na którym dane są
przechowywane naprzemiennie na dwóch lub więcej dyskach fizycznych. Zapisywane dane dzielone
są na bloki tworzące pasek a następnie są zapisywane jednocześnie na wszystkich dyskach
wchodzących w skład woluminu. Dzięki temu wolumin rozłożony oferuje dużą wydajność - dostęp
do danych rozłożonych na wielu dyskach jest realizowany z wykorzystaniem wielu głowic
jednocześnie. Pamiętać jednak należy, że rozwiązanie takie nie jest odporne na awarie, jeśli jeden z
dysków ulegnie uszkodzeniu tracimy dostęp do wszystkich danych. Wolumin rozłożony nie może
być rozszerzany.
Wolumin rozłożony tworzymy przy pomocy narzędzia Disk Manager. Klikamy prawym przyciskiem
myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu
kontekstowego wybieramy polecenie New Striped Volume. Postępujemy zgodnie z instrukcjami
pojawiającymi się na ekranie.
Tworzenie woluminu dublowanego
Wolumin dublowany (ang. mirrored volume) zwany RAID-1, jest woluminem odpornym na
uszkodzenia. Dane z jednego dysku są kopiowane i zapisywane na drugi dysk. Zawartość dysków
jest identyczna, a w razie awarii jednego z nich dane są nadal dostępne na dysku drugim. Wolumin
dublowany nie może być rozszerzony.
W celu stworzenia woluminu dublowanego należy w programie Disk Manager kliknąć prawym
przyciskiem myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z
menu kontekstowego wybrać polecenie New Mirrored Volume. Postępować zgodnie z instrukcjami
Tworzenie woluminu RAID-5
Wolumin RAID-5 jest woluminem odpornym na uszkodzenia. Zapis danych odbywa się na minimum
trzech dyskach fizycznych. Oprócz danych na dyski zapisywane są dane nadmiarowe (wyliczana
wartość) służące do rekonstrukcji danych w razie awarii. Jeśli jeden z dysków fizycznych ulegnie
Strona 6/15
Moduł 3
uszkodzeniu, można odtworzyć dane, które były na nim przechowywane na podstawie danych z
innych dysków i danych nadmiarowych. Wolumin RAID-5 nie może być dublowany i rozszerzony.
Aby stworzyć woluminu RAID-5 należy w programie Disk Manager kliknąć prawym przyciskiem
myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu
kontekstowego wybrać polecenie New Mirrored Volume. Postępować zgodnie z instrukcjami
Narzędzie wiersza polecenia DiskPart
Diskpart.exe jest narzędziem wiersza poleceń umożliwiającym zarządzanie obiektami (dyskami,
partycjami lub woluminami) przy użyciu skryptów lub poprzez bezpośrednie wydawanie komend.
Przed użyciem komendy narzędzia Diskpart, należy najpierw wylistować, a potem wybrać obiekt,
którego dane operacje będą dotyczyć i ustawić na nim fokus. W celu wyświetlenia dostępnych
obiektów i ustalenia ich numerów lub liter dysków należy użyć komend list disk, list volume
lub list partition. Komendy list disk i list volume wyświetlają wszystkie dyski i woluminy w
komputerze. Komenda list partition wyświetli tylko partycje na dysku, na którym jest
ustawiony fokus. Możemy wybrać obiekt posługując się jego numerem lub literą dysku np. disk 0,
partition 1, volume 3 lub volume C.
Po wybraniu obiektu, fokus pozostaje ustawiony na nim, dopóki nie ustawimy go na innym
obiekcie. Niektóre komendy automatycznie zmieniają fokus. Na przykład, kiedy tworzymy nową
partycję, fokus automatycznie zostanie ustawiony na niej.
Podsumowanie
W tym rozdziale przedstawione zostały narzędzia Disk Manager i DiskPart. Zostało
zademonstrowane, w jaki sposób przy ich pomocy zarządzać dyskami, partycjami i woluminami.
Omówiono dostępne style partycji oraz systemy plików FAT32 i NTFS. Zaprezentowano dyski
podstawowe i dynamiczne i związane z nimi funkcjonalności, w tym dyski odporne na awarie.
W celu realizacji postawionego zadania posłużymy się narzędziem Disk Management. Zaczniemy
od rozszerzenia partycji systemowej. W konsoli Disk Management wybieramy Disk 0 i klikamy
prawym przyciskiem dysk C (Rys. 2). W menu kontekstowym wybieramy polecenie Extend
Volume… W oknie Welcome to the Extend Volume Wizard klikamy przycisk Next. W oknie Select
Disks w sekcji Select the amount of Spice in MB wpisujemy 1024 i klikamy Next. W oknie
Completing the Extend volume Wizard zapoznajemy się z podsumowaniem i klikamy przycisk
Finish.
Rys. 2 Fragment narzędzia Disk Manager - rozszerzanie partycji systemowej
Chcąc zabezpieczyć nasze dane przed awarią skonfigurujemy dyski odporne na awarie. Zanim do
tego przejdziemy, trzeba je najpierw konwertować na dyski dynamiczne. W tym celu klikamy
dowolny z dysków (Disk 0, Disk 1 lub Disk 2) prawym przyciskiem myszy i z menu kontekstowego
wybieramy polecenie Convert to Dynamic Disk. W oknie Convert to Dynamic Disk należy wskazać
dyski, które chcemy konwertować – w naszym przypadku zaznaczamy wszystkie i klikamy OK.
Zostanie wyświetlone okno Disk to Convert, w którym będzie podana informacja, które z
Strona 7/15
Moduł 3
wybranych dysków mogą być konwertowane na dyski dynamiczne. Po kliknięciu przycisku Convert
pojawi się okno informujące, że po konwersji tych dysków na dynamiczne nie będzie można
uruchamiać systemu z żadnego woluminu oprócz tego, na którym system jest aktualnie.
Potwierdzamy chęć konwersji przyciskiem Yes.
Teraz zabezpieczymy nasz wolumin systemowy robiąc jego kopię lustrzaną na inny dysk. W tym
celu klikamy na woluminie C prawym przyciskiem myszy i z menu kontekstowego wybieramy
polecenie Add Mirror. W oknie Add mirror należy wybrać dysk fizyczny, na którym będzie
przechowywany zdublowany wolumin. Zaznaczamy Disk 1 i klikamy przycisk Add Mirror. Na dysku
Disk 1 zostanie stworzony wolumin o takiej samej wielkości, co wolumin systemowy na dysku Disk
0. Następnie zostanie uruchomiony proces synchronizacji, w którym wszystkie dane z dysku
źródłowego będą przekopiowywane na dysk docelowy. Do czasu jego zakończenia dysk Disk 1
będzie oznaczony informacyjną ikoną (trójkąt z wykrzyknikiem) (Rys. 3). Synchronizacja
zdublowanych woluminów może trwać nawet kilka godzin, lecz nie przeszkadza to w normalnej
eksploatacji woluminu.
Rys. 3 Synchronizacja dysków zdublowanych
Następnym krokiem będzie stworzenie 2 GB woluminu Raporty na dysku Disk 0, stworzenie na nim
folderu Finanse i podłączenie do niego woluminu 3 GB znajdującego się na dysku Disk 2. Aby to
wykonać klikamy prawym przyciskiem nieużywaną przestrzeń na dysku Disk 0 (ang. Unallocated).
W menu kontekstowym wybieramy polecenie New Simple Volume i w Wizardzie, który się
uruchomi klikamy przycisk Next. W oknie Specify Volume Size w sekcji Simple volume size in MB
wpisujemy 2048 i klikamy przycisk Next. W oknie Assign Drive Letter or Path upewniamy się, że w
sekcji Assign the following drive letter jest wybrana litera E i naciskamy przycisk Next. W oknie
Format Partition upewniamy się, że w sekcji File system jest wybrana opcja NTFS, a w sekcji
Volume Label wpisujemy Raporty. Stawiamy znacznik przy opcji Perform a quick format (szybkiego
formatowania możemy używać, jeżeli jesteśmy pewni, że dysk nie zawiera błędów) i naciskamy
przycisk Next. Sprawdzamy podsumowanie wybranych opcji i naciskamy przycisk Finish.
Korzystając z Exploratora Windows na woluminie Raporty tworzymy folder Finanse. W programie
Disk Manager klikamy prawym przyciskiem myszy nieużywaną przestrzeń dysku Disk 2, z menu
kontekstowego wybieramy polecenie New Simple Volume i w oknie powitalnym Wizarda klikamy
przycisk Next. W oknie Specify Volume Size w sekcji Simple volume size in MB wpisujemy wartość
3072 i naciskamy Next. W oknie Assign Drive Letter or Path zaznaczamy opcję Mount in the
following empty NTFS folder, wpisujemy ścieżkę do utworzonego wcześniej folderu E:\Finanse i
naciskamy przycisk Next. W oknie Format Volume upewniamy się, że w sekcji File system jest
wybrana opcja NTFS, a w sekcji Volume Label wpisujemy Raporty Finanse. Stawiamy znacznik przy
opcji Perform a quick format i naciskamy przycisk Next. Sprawdzamy podsumowanie wybranych
opcji i naciskamy przycisk Finish. Korzystając z Exploratora Windows sprawdzamy, czy operacja
powiodła się.
W celu utworzenia woluminu pracującego w RAID-5 w narzędziu Disk Manager klikamy prawym
przyciskiem myszy nieużywaną przestrzeń dowolnego dysku w systemie i w menu kontekstowym
wybieramy polecenie New RAID-5 Volume. W oknie Welcome to the New RAID-5 volume Wizard
klikamy przycisk Next. W oknie Select Disk w sekcji Available wyświetlane są dostępne dyski, a
naszym zadaniem jest wybranie tych, które będą uczestniczyły w RAID-5. Zaznaczamy jeden z
Strona 8/15
Moduł 3
wybranych dysków i klikamy przycisk Add>. Powoduje to wyświetlenie go w sekcji Selected.
Operację powtarzamy dla kolejnego dysku. W sekcji Selected muszą znajdować się przynajmniej 3
dyski. Dostępna wielkość dla woluminu RAID-5 równa jest najmniejszej, nieużywanej przestrzeni z
dysków go tworzących. W polu Select the amount of space in MB wpisujemy 2048 i klikamy
przycisk Next. W oknie Assign Drive Letter or Path nie zmieniając zaproponowanej litery dysku
naciskamy przycisk Next. W oknie Format Volume upewniamy się, że w sekcji File system jest
wybrana opcja NTFS, a w sekcji Volume Label wpisujemy Dane. Stawiamy znacznik przy opcji
Perform a quick format i naciskamy przycisk Next. Sprawdzamy podsumowanie wybranych opcji i
naciskamy przycisk Finish.
Korzystając z narzędzia DiskPart wyświetlimy szczegółowe informacje o dysku Disk 0 i woluminach
na nim istniejących. Uruchamiamy wiersz poleceń i wydajemy polecenie diskpart. Następnie
wpisujemy polecenie list disk. Jako jego wynik zostanie wyświetlona informacja o dyskach
dostępnych w systemie. Chcąc ustawić fokus na dysku Disk 0, wprowadzamy komendę select
disk 0. Aby wyświetlić szczegółowe informacje wpisujemy detail disk. Otrzymujemy między
innymi informacje o producencie i modelu dysku (w przypadku używania maszyn wirtualnych
będzie to Virtual HD ATA Device), a także o istniejących na nim woluminach i stanie ich
zdrowia(Rys. 4).
.
Rys. 4 Wynik polecenia detail disk narzędzia DiskPart
Aby zakończyć działanie narzędzia DiskPart w linii komend wpisujemy exit.
Porady praktyczne
• MBR obsługuje woluminy o rozmiarze do 4 TB, a GPT do 18 Exabajtów
• Pamiętaj, że GPT nie wspiera dysków wymiennych takich jak USB, Firewire oraz dysków
podłączonych jako magazyn dla klastra.
• Chcąc skonfigurować dysk zainstalowany pamiętaj, że ścieżka punktu montowania może
wskazywac tylko na pusty folder na dysku podstawowym lub dynamicznym z formatem
plików NTFS.
• Aby zmodyfikować ścieżkę folderu, w którym jest zamontowany dysk, musisz usunąć i
stworzyć ją na nowo. Nie można edytować jej bezpośrednio.
• Usuwanie i reorganizacja partycji lub woluminów często wiąże się z niszczeniem istniejących
danych. Nie zapomnij o zrobieniu wcześniej ich kopii zapasowej.
• Wiele z funkcji serwera jest możliwych do wykorzystanie tylko wtedy, gdy używanym
systemem plików jest NTFS, np. nadawanie uprawnień do plików i folderów, szyfrowanie.
• Stosując dyski zainstalowane możemy używać więcej niż 26 dysków na komputerze lokalnym
(omijamy ograniczenie związane oznaczeniami literowymi)
• Korzystając z dysków odpornych na awarie (RAID-1, RAID-5), wskazane jest, by używać dyski
pochodzące od tego samego producenta, tego samego modelu i o takiej samej pojemności.
Strona 9/15
•
•
•
•
•
•
•
•
Moduł 3
Warto także posiadać takie same kontrolery i dyski w zapasie, by w razie awarii szybko je
wymienić minimalizując w ten sam sposób ewentualny czas przestoju.
Należy korzystać z podglądu zdarzeń w dzienniku systemowym w celu wykrycia
ewentualnych problemów z woluminem RAID-5, a także określenia ich przyczyn (uszkodzenie
dysku, awaria kontrolera)
Przed konwersją dysku podstawowego na dynamiczny, przeanalizuj, czy będziesz korzystał z
funkcjonalności dostępnych w dyskach dynamicznych. Jeśli nie chcesz używać woluminów
łączonych, rozłożonych, dublowanych lub RAID-5 pozostaw dysk, jako dysk podstawowy
Kiedy zmniejszasz wolumin, niektóre nieprzenaszalne pliki (np. plik wymiany, miejsce
składowania shadow copy) nie mogą być automatycznie realokowane i w związku z tym nie
możesz zmniejszyć zajmowanej przez wolumin przestrzeni poniżej punktu zajmowanego
przez taki plik. Jeśli chcesz zmniejszyć partycję bardziej, przenieś plik wymiany na inny dysk,
skasuj pliki shadow copies i zmniejsz wolumin. Na koniec przenieś plik wymiany z powrotem.
Jeśli liczba uszkodzonych sektorów (ang. bad sectors) wykryta przez dynamiczną funkcję ich
remapowania jest zbyt duża, nie będziesz mógł zmniejszyć wielkości woluminu. W takim
wypadku przenieś dane i wymień dysk
Do przenoszenia danych między dyskami nie używaj narzędzi kopiujących na poziomie
bloków. Kopiują one także tablicę uszkodzonych sektorów i nowy dysk będzie miał je
zaznaczone, jako uszkodzone mimo że tak nie jest.
Dyski dynamiczne nie wspierają komputerów przenośnych, dysków wymiennych,
dołączanych poprzez interfejs Universal Serial Bus (USB) lub IEEE 1394 (zwanych także
FireWire), a także dysków podłączonych przez współdzieloną magistralę SCSI.
Nie można konwertować woluminu dynamicznego na partycję. Trzeba najpierw przenieść
wszystkie dane, usunąć wszystkie istniejące na dysku woluminy dynamiczne i potem
konwertować dysk na dysk podstawowy.
Jeśli przekonwertujesz na dysk dynamiczny dysk zawierający partycje startową i systemową,
możesz zdublować ją na inny dysk dynamiczny. Dzięki temu, w wypadku uszkodzenia
woluminu startowego z systemem możesz uruchomić komputer z dysku posiadającego
lustrzaną kopię.
Uwagi dla studenta
•
•
•
•
rozumiesz różnice między dyskami podstawowymi i dynamicznymi
umiesz zarządzać dyskami przy pomocy narzędzia Disk Manager i DiskPart.
potrafisz tworzyć partycje i woluminy a także zmieniać ich parametry
wiesz, jakie są różnice między stylami partycji MBR i GPT, oraz systemem plików NTFS i
FAT32
• wiesz, co to są dyski odporne na awarię i jak one działają
1. Rand Morimoto, Michael Noel, Omar Droubi, Ross Mistry, Chris Amaris, Windows Server 2008
PL. Księga Experta., Helion, 2009
W części 9 w rozdziale 28 „Odporność na błędy na poziomie systemu plików i
zarządzanie nim” zostały szerzej omówione zagadnienia poruszane w tym module.
2008
Strona 10/15
Moduł 3
jest posiadaczem tytułu Microsoft Most Valuable Professional. Informacje
dotyczące tego modułu znajdują się w rozdziale trzecim.
3. Disk Management
http://technet.microsoft.com/en-us/library/cc770943.aspx
Opis narzędzia Disk Manager na witrynie Technet.
Strona 11/15
Moduł 3
Jesteś administratorem w przedsiębiorstwie. Na nowo zainstalowanym serwerze musisz stworzyć
strukturę dysków logicznych. Serwer posiada 3 dyski fizyczne. Na jednym z nich, na wydzielonej
przestrzeni jest zainstalowany system operacyjny. Musisz stworzyć dysk, na którym będą
przechowywane dane. Chcesz stworzyć dodatkowy dysk logiczny, gdzie będą zapisywane raporty.
Aby struktura folderów była przejrzysta, postanawiasz dysk z raportami zamontować w folderze
Raporty na woluminie Dane. Stwierdzasz, że stworzone woluminy są zbyt małe, dlatego rozszerzasz
je korzystając z odzyskanej przestrzeni na dysku Disk 0 i wykorzystując przestrzeń dysku Disk 1.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto z
uprawnieniami
administracyjnymi
•
•
•
•
•
3. Uruchomienie
programu Disk
Management
• Wybierz Start -> Administrative Tools -> Computer Management.
• W drzewie consoli rozwiń Storage i wybierz Disk Management.
4. Stworzenie
nowego
woluminu
prostego
• W dolnej części okna kliknij prawym przyciskiem myszy pole
Unallocated dysku Disk 0.
• Z menu kontekstowego wybierz New Simple Volume.
• W oknie Wizarda kliknij Next.
• W oknie Specify Volume Size wpisz wielkość 1000 i naciśnij Next.
• W oknie Assign Drive Lettter or Path kliknij Next.
• W oknie Format Partition w polu Volume label wpisz Dane i naciśnij
Next.
• W oknie podsumowania kliknij Finish.
5. Rozszerzenie
istniejącej partycji
•
•
•
•
6. Stworzenie
woluminu i
podczepienie go
w istniejącym
folderze
• Na dysku E:\ stwórz folder Raporty.
• W narzędziu Disk Management, w dolnej części okna kliknij prawym
przyciskiem myszy pole Unallocated dysku Disk 0.
• Z menu kontekstowego wybierz New Simple Volume.
• W oknie Specify Volume Size naciśnij Next.
• W oknie Assign Drive Lettter or Path, zaznacz opcję Mount in the
following empty NTFS folder, w dostępnym polu wpisz E:\Raporty i
naciśnij Next.
W polu User Name wpisz NazwaKomputeraAdmin.
Zaznacz partycję Dane i kliknij na niej prawym przyciskiem myszy.
Z menu kontekstowego wybierz Extend Volume.
W oknie wizarda kliknij Next.
W oknie Select Disks, w polu Select the amount of space in MB: wpisz
500 i naciśnij Next.
Strona 12/15
Moduł 3
• W oknie Format Partition w polu Volume Label wpisz Raporty
Finansowe i naciśnij Next.
• W Eksploratorze Windows zobacz strukturę stworzoną na dysku Dane
(E:)
(E:).
• Stwórz w folderze Raporty plik test.txt
• W narzędziu Disk Management,, w dolnej części okna kliknij prawym
przyciskiem myszy na wolumenie Raporty Finansowe i wybierz Change
Drive Letter and Paths…
• W oknie Change Drive Letter and Paths for Raporty Finansowe wybierz
Add
Add.
• W oknie Add drive Letter or Path naciśnij OK.
• W Eksploratorze Windows zobacz strukturę stworzoną na dysku
Raporty Finansowe (F:).
• Stwórz na dysku Raporty Finansowe (F:) folder o nazwie Raporty
dzienne
dzienne.
• Przejdź na dysk E: do folderu Raporty i zobacz, że folder Raporty
dzienne znajduje się w tej lokalizacji.
7. Odzyskiwanie
wolnego miejsca
na woluminie
przyciskiem myszy wolumenie Dane i wybierz Shrink Volume.
Volume
• W oknie Shrink E: naciśnij Shrink.
Zobacz, że na dysku pojawiła się wolna przestrzeń.
8. Konwersja
dysku na
dynamiczny
przyciskiem myszy Disk 0 i z menu kontekstowego wybierz Convert to
Dynamic Disk…
• W oknie Convert to Dynamic Disk naciśnij OK.
• W oknie Disk to Convert naciśnij Convert.
• W oknie Disk Management naciśnij Yes.
9. Powiększenie
• Zaznacz wolumin Raporty Finansowe i kliknij na niej prawym
woluminu Raporty
przyciskiem myszy.
• Z menu kontekstowego wybierz Extend Volume.
• W oknie Wizarda
W
kliknij Next.
• W oknie Select Disks naciśnij Next.
10. Powiększenie
woluminu Dane o
przestrzeń na
innym dysku
fizycznym
•
•
•
•
Zaznacz partycję Dane i kliknij na niej prawym przyciskiem myszy.
Z menu kontekstowego wybierz Extend Volume.
W oknie Wizarda
W
kliknij Next.
W oknie Select Disks, w części Available zaznacz Disk 1 i naciśnij
przycisk ADD>.
• W polu Select the amount of space in MB: wpisz 1500 i naciśnij Next.
• Naciśnij Finish.
• W oknie Disk Management naciśnik Yes.
Strona 13/15
Moduł 3
Jesteś administratorem w przedsiębiorstwie. Serwer którym administrujesz przechowuje
strategiczne dane. Chcesz się zabezpieczyć przed awarią i związanym z tym ewentualnym
ograniczeniem dostępności serwera, dlatego decydujesz się, by wykorzystać dyski odporne na
awarię. Postanawiasz zdublować dysk systemowy.
systemowy. Aby zwiększyć szybkość operacji na dysku z
danymi na wolumenie Dane implementujesz Stripe.. Wolumin, na którym Twoi użytkownicy będą
zapisywać raporty tworzysz jako RAID-5.
Zadanie
Tok postępowania
1. Usunięcie
woluminów
• Zaznacz volumin Dane i kliknij na nim prawym przyciskiem myszy.
• Z menu kontekstowego wybierz Delete Volume.
• W oknie Delete spanned volume naciśnij Yes.
Jeśli pojawi się informacja, że dysk jest używany naciśnij Yes.
• Zaznacz wolumin Raporty Finansowe i kliknij na niej prawym
przyciskiem myszy.
• Z menu kontekstowego wybierz Delete Volume.
Jeśli pojawi się informacja, że dysk jest używany naciśnij Yes.
• W oknie Delete simple volume naciśnij Yes.
2. Stworzenie
• Zaznacz wolumin C: i kliknij na nim prawym przyciskiem myszy.
mirroru woluminu • Z menu kontekstowego wybierz Add Mirror.
systemowego
• W oknie Add Mirror zaznacz Disk 1 i naciśnij Add Mirror.
Poczekaj na zakończenie synchronizacji voluminów.
voluminów
3. Stworzenie
woluminu typu
stripe
• Z menu kontekstowego wybierz New Striped Volume…
• W oknie Select Disks, w polu Select the amount of space in MB wpisz
3000
3000.
• W oknie Select Disks, w części Available zaznacz Disk 1 i naciśnij
przycisk ADD.
• Powtórz powyższą czynność dla dysku Disk 2 i naciśnij przycisk Next.
• W oknie Assign Drive Letter or Path kliknij Next.
• W oknie Format Volume w polu Volume Label wpisz Dane i naciśnij
Next
Next.
• Naciśnij
Naciś Finish.
4. Stworzenie
woluminu typu
RAID- 5
• Z menu kontekstowego wybierz New RAID-5 Volume…
Volume
• W oknie Select Disks, w części Available zaznacz Disk 1 i naciśnij
przycisk ADD>.
Strona 14/15
Moduł 3
• Powtórz powyższą czynność dla dysku Disk 2 i naciśnij przycisk Next.
• W oknie Assign Drive Lettter or Path kliknij Next.
• W oknie Format Partition w polu Volume Label wpisz Dokumenty
Publiczne i naciśnij Next.
Poczekaj chwilę na utworzenie woluminu.
Strona 15/15
Moduł 4
Wersja 1
Wprowadzenie do Active Directory
Spis treści
Wprowadzenie do Active Directory ..................................................................................................... 1
Uwagi dla studenta ...................................................................................................................... 7
Dodatkowe źródła informacji....................................................................................................... 7
Laboratorium podstawowe .................................................................................................................. 8
Problem 1 (czas realizacji 25 min)................................................................................................ 8
Problem 2 (czas realizacji 15 min) ............................................................................................... 9
Moduł 4
Informacje o module
Opis modułu
W module tym znajdziesz informacje na temat funkcjonowania usługi
Active Directory oraz korzyści z jej stosowania. Poznasz budowę logiczna i
fizyczną Active Directory. Dowiesz się, w jaki sposób zarządzać obiektami
jednostek organizacyjnych, przy pomocy różnych narzędzi. Nauczysz się
delegować kontrolę administracyjną do wybranej części drzewa katalogu.
Cel modułu
Celem modułu jest zapoznanie z usługą Active Directory, oraz narzędziami
wykorzystywanymi do zarządzania nią, a także z jednostkami
organizacyjnymi wykorzystywanymi do uproszczenia administracji
obiektami.
• wiedział, co to jest usługa katalogowa Active Directory, oraz będziesz
znał jej budowę logiczna i fizyczną
• potrafił tworzyć jednostki organizacyjne i delegować kontrolę
administracyjną
• rozumiał, w jaki sposób usługa Active Directory pomaga zarządzać
zasobami w sieci
Wymagania wstępne
Strona 2/11
Moduł 4
W Twojej firmie działa usługa katalogowa Active Directory. Wiesz, że przy jej pomocy można
znacznie uprościć proces administrowania środowiskiem informatycznym w przedsiębiorstwie. W
przyszłości będziesz ją wykorzystywał do zarządzania komputerami i środowiskiem pracy
użytkowników. Chcesz przy wykorzystaniu jednostek organizacyjnych stworzyć hierarchię, która
będzie odpowiadała strukturze Twojej firmy i ułatwi później zarządzanie stacjami przyłączonymi do
domeny. Stworzysz w testowej jednostce organizacyjnej IT Test, jednostkę odpowiadającą
Twojemu miastu. W niej trzy jednostki związane z działami w twojej firmie: Produkcja, Logistyka,
Ksiegowość. W każdej z nich stworzysz jednostkę Komputery i Użytkownicy. Wykorzystasz do tego
różne narzędzia by ocenić, którymi pracuje się najwygodniej. Dla kierownika działu księgowości
przypiszesz uprawnienia pozwalające na resetowanie haseł podległych mu użytkowników.
Usługa katalogowa Active Directory (ang. Active Directory Domain Services) udostępnia
rozproszoną bazę danych, która przechowuje i zarządza informacjami o zasobach sieci oraz danymi
specyficznymi dla aplikacji potrafiących z tej bazy korzystać. Administratorzy mogą używać AD DS
do organizowania elementów sieci takich jak użytkownicy, komputery i inne urządzenia w
hierarchiczną strukturę. Struktura ta zawiera las, domeny w lesie, a w nich jednostki organizacyjne.
Usługi katalogowe umożliwiają użytkownikom pojedyncze logowanie, dzięki czemu autoryzowani
użytkownicy mają dostęp do wszystkich zasobów sieciowych.
Funkcje Active Directory
Usługi katalogowe pełnią następujące funkcje:
• Centralna kontrola zasobów sieciowych takich jak serwery, udostępnione pliki i drukarki
sprawia, że tylko autoryzowani użytkownicy mają do nich dostęp
• Możliwość centralnej administracji rozproszonymi komputerami, usługami sieciowymi i
aplikacjami przy użyciu narzędzi o spójnym interfejsie.
• Bezpieczne przechowywanie wszystkich zasobów, jako obiektów w logicznej, hierarchicznej
strukturze.
Logiczna struktura AD DS
Logiczna struktura Active Directory składa się z następujących elementów
• Obiekt – najbardziej podstawowy element. Klasa obiektu jest szablonem dla typu obiektu,
który można stworzyć w Active Directory. Każda klasa obiektu jest zdefiniowana, jako grupa
atrybutów definiujących możliwe wartości, które można przypisać do obiektu. Każdy obiekt
posiada unikalną kombinację wartości atrybutów.
• Jednostka organizacyjna (OU) – obiekt-kontener, umożliwiający organizowanie innych
obiektów w sposób ułatwiający wykonywanie czynności administracyjnych. Łączenie
obiektów w jednostki organizacyjne powoduje, że łatwiej je wyszukiwać i administrować
nimi. Można także delegować kontrolę do zarządzania jednostkami organizacyjnymi.
Jednostki organizacyjne można zagnieżdżać w innych jednostkach, co jeszcze bardziej
upraszcza administrowanie obiektami.
• Domena – podstawowa jednostka funkcjonalna logicznej struktury Active Directory, jest
zbiorem administracyjnie zdefiniowanych obiektów które dzielą wspólną bazę katalogu,
zasady zabezpieczeń i relacje zaufania z innymi domenami.
Drzewo domen – domeny, które są zgrupowane razem w hierarchiczna strukturę. Kiedy dodajemy
następną domenę do drzewa, staje się ona „domeną dzieckiem” (ang. domain child). Domena, do
której dziecko zostało przyłączone, nazywa się domeną rodzicem (ang. parent domain).
Strona 3/11
Moduł 4
Nazwa domeny dziecka jest kombinacją jej nazwy z nazwą domeny rodzica formie nazwy Domain
Name System (DNS) np. corp.nwtraders.msft. Oznacza to, że drzewo posiada wspólną przestrzeń
nazw DNS.
• Las – kompletna instancja Active Directory, korzystająca ze wspólnego schematu,
konfiguracji oraz wykazu globalnego. Może się składać z jednej lub kilku domen.
Fizyczna struktura AD DS
W odróżnieniu do logicznej struktury, modelującej administracyjne wymagania, struktura fizyczna
Active Directory optymalizuje ruch sieciowy, określając, kiedy i gdzie wystąpi ruch związany z
replikacją i logowaniem. Elementy struktury sieciowej to:
• Kontrolery domeny – komputery z zainstalowanym systemem Microsoft Windows Server
2008 i usługą Active Directory. Każdy z nich przechowuje bazę katalogu i pełni funkcje
związane z jej replikacją. Kontroler domeny może obsługiwać tylko jedną domenę. W celu
zapewnienia ciągłości działania usług katalogowych, każda domena powinna posiadać więcej
niż jeden kontroler domeny.
• Site – grupa dobrze połączonych ze sobą komputerów. Po skonfigurowaniu site, kontrolery
domeny w znajdujące się w nim, często się ze sobą komunikują redukując opóźnienia
związane z replikacją między nimi. Site są tworzone w celu optymalizowania dostępnego
pasma pomiędzy kontrolerami znajdującymi się w różnych lokalizacjach.
• Partycje Active Directory – baza danych AD jest logicznie podzielona na partycje katalogu.
Każda z nich jest jednostką replikacji posiadającą swoją własną topologię replikacji. Wszystkie
kontrolery domeny w tym samym lesie maja dwie wspólne partycje katalogu: partycje
schematu i konfiguracji. Dodatkowo, wszystkie kontrolery w tej samej domenie współdzielą
tą sama partycję domeny.
• Partycja domeny – zawiera replikę wszystkich obiektów w domenie, włączając w to
użytkowników, grupy, komputery i jednostki organizacyjne. Partycja domeny jest
replikowana tylko pomiędzy kontrolerami domeny znajdującymi się w tej samej domenie.
• Partycja konfiguracji – zawiera topologię lasu. Jest tylko jedna partycja konfiguracji
wspólna dla całego lasu. Przechowuje informacje dotyczące istniejących domen i site-ów,
rozmieszczenia kontrolerów domen i istniejących połączeń pomiędzy nimi, oraz
dostępnych usługach. Partycja konfiguracji jest replikowana pomiędzy wszystkimi
kontrolerami w lesie.
• Partycja schematu – zawiera schemat lasu. Replikowana pomiędzy wszystkimi
kontrolerach domeny w lesie, przechowuje definicje wszystkich obiektów i atrybutów,
które mogą być tworzone w katalogu, oraz zasady ich tworzenia i manipulowania nimi.
• Opcjonalna partycja aplikacji – przechowuje informacje o aplikacjach w Active Directory.
Każda aplikacja określa sposób przechowywania, kategoryzowania i użycia
wykorzystywanych przez nią informacji. W przeciwieństwie do partycji domeny, partycja
aplikacji nie może przechowywać obiektów zabezpieczeń takich jak konta użytkowników.
W celu zabezpieczenia się przed niepotrzebną replikacją specyficznych partycji aplikacji,
możemy zdefiniować, który z kontrolerów domeny w lesie będzie przechowywał jej kopię.
Przykładem może być DNS zintegrowany z Active Directory – korzysta z dwóch partycji
aplikacji: ForestDNSZones i DomainDNSZones.
Masters Operations
Kiedy zostanie zmodyfikowany któryś z obiektów w domenie, zmiana ta zostanie replikowana
pomiędzy wszystkimi kontrolerami w domenie. Niektóre zmiany, np. dotyczące schematu są
replikowane pomiędzy wszystkimi domenami w lesie. Taki typ replikacji nazywamy multimaster
replication. Jeśli w jednym czasie na dwóch kontrolerach w domenie zostanie zmodyfikowany ten
sam atrybut tego samego obiektu może występie konflikt replikacji. Aby temu zapobiec używamy
Strona 4/11
Moduł 4
single master replication, mechanizmu polegającego na wyznaczeniu jednego kontrolera domeny
odpowiedzialnego za przeprowadzanie pewnych szczególnie wrażliwych modyfikacji w katalogu.
Dzięki temu nie ma możliwości by zmiany te nastąpiły w jednym czasie w różnych miejscach w sieci.
Active Directory używa single master replication do ważnych zmian takich jak dodanie nowej
domeny lub zmiany schematu.
Operacje używające single master replication są łączone razem w specyficzne role w lesie lub w
domenie. Role te są nazywane operations master roles. Dla każdej z nich tylko jeden kontroler
domeny, który jest odpowiedzialny za tę rolę może robić zmiany w katalogu i jest nazywany
operations master dla danej roli. Active Directory przechowuje informacje o kontrolerach domeny,
które są odpowiedzialne za specyficzne role.
Active Directory definiuje pięć operations master roles, dwie związane z lasem i trzy z domeną.
Role związane z lasem:
• Schema master – kontroluje wszystkie zmiany związane ze schematem, zawierającym
główną listę klas obiektów i atrybutów, które można użyć do tworzenia wszystkich obiektów
AD takich jak użytkownicy, komputery lub drukarki
• Domain naming master – kontroluje dodawanie i usuwanie domen w lesie. W czasie
tworzenia nowej domeny, tylko kontroler, który przechowuje tę rolę może dokonać
odpowiednich wpisów w AD. Chroni przed dodaniem domen o takich samych nazwach.
Istnieje tylko jeden schema master i domain namig master w całym lesie
Role związane z domeną:
• Primary domain controller emulator (PDC) – pracuje jako Microsoft Windows NT primary
domain controller wspierając kontrolery zapasowe (BDC) z systemem Windows NT. Zarządza
zmianami haseł dla komputerów z systemem Windows NT, Windows 95 lub Windows 98.
Minimalizuje opóźnienia replikacji związane ze zmianą hasła - kiedy klient z systemem
Windows 2000 lub późniejszym zmienia hasło na kontrolerze domeny, jest ono natychmiast
przesyłane do serwera posiadającego rolę emulatora PDC. Jest źródłem czasu dla wszystkich
kontrolerów w domenie.
• Relative identifier master (RID) - kontroler domeny, który przydziela blok RID-ów dla
każdego kontrolera w domenie. Kiedy kontroler w domenie tworzy nowy podmiot
zabezpieczeń (np. konto użytkownika, grupę, komputer), przypisuje do obiektu unikalny
identyfikator (SID). Składa się on z identyfikatora domeny, który jest taki sam dla każdego
obiektu tworzonego w tej domenie i RID-u, który jest unikalny w danej domenie.
• Infrastructure master – kiedy obiekt jest przenoszony z jednej domeny do innej,
infrastructure master uaktualnia obiekt odniesienia znajdujący się w domenie pierwotnej
wskazujący na obiekt w nowej domenie. Obiekt odniesienia zawiera globalny unikalny
identyfikator (GUID), nazwę wyróżniającą i SID.
Nazwa wyróżniająca i względna nazwa wyróżniająca
Komputery klienckie używają Lightweight Directory Access Protocol (LDAP) do przeszukiwania i
modyfikowania obiektów w bazie Active Directory.
• Nazwa wyróżniająca - LDAP używa nazwy reprezentującej obiekt w AD, jako serię
komponentów powiązanych z logiczną strukturą. Identyfikuje domenę, w której obiekt się
znajduje i kompletną ścieżkę, pod którą jest osiągalny. Nazwa wyróżniająca musi być
unikalna w całym lesie.
• Wględna nazwa wyróżniająca – nazwa unikalnie identyfikująca obiekt w kontenerze, w
którym się znajduje. Nie może być dwóch obiektów o takiej samej nazwie w jednym
kontenerze.
Strona 5/11
Moduł 4
Np. dla użytkownika Jan Kowalski znajdującego się w jednostce organizacyjnej Logistyka w
domenie nwtraders.msft, każdy z elementów logicznej struktury jest reprezentowany przez
następującą nazwę wyróżniającą:
CN=Jan Kowalski,OU=Logistyka,DC=nwtraders,dc=msft
• CN - nazwa ogólna (ang. common name) obiektu w kontenerze
• OU – jednostka organizacyjna (ang. organizational unit) zawierająca obiekt. Jeśli obiekt
znajduje się w zagnieżdżonych jednostkach to może być więcej wartości OU.
• DC – komponent domeny (ang. domain komponent) taki jak „com”, „edu” czy „msft”. Zawsze
są przynajmniej dwa komponenty domeny, chyba, że domena jest domena podrzędną.
Narzędzia do zarządzania obiektami Active Directory
Microsoft Windows Server 2008 udostępnia kilka narzędzi, przy pomocy których można tworzyć,
modyfikować i usuwać obiekty w AD:
• Active Directory Users and Computers – Przystawka do konsoli MMC do zarządzania
jednostkami organizacyjnymi, użytkownikami u grupami.
• Narzędzia wiersza poleceń usług katalogowych – Zbiór narzędzi (Dsadd,Dsmod,Dsrm) które w
użyciu z parametrami pozwalają tworzyć, modyfikować i usuwać obiekty. Wygodne do użycia w
skryptach.
• Lightweight Directory Access Protocol Data Interchange Format Directory Exchange (Ldifde) –
narzędzie wiersza poleceń do zarządzania obiektami. Używa pliku wejściowego zawierającego
informacje o obiekcie i akcji, jakiej należy na nim wykonac. Informacje te są przechowywane,
jako serie rekordów oddzielonych pustymi liniami.
• Windows Script Host – można tworzyć obiekty używając aplikacji Windows lub skryptów
Windows korzystając z komponentów udostępnianych przez Active Directory Service Interface
(ADSI).
Jednostki organizacyjne
Szczególnie użytecznymi obiektami w AD są jednostki organizacyjne. Są to kontenery, w których
mogą się znajdować użytkownicy, grupy, komputery, inne jednostki organizacyjne, a także
opublikowane w usłudze AD zasoby plikowe i drukarki. Jednostki organizacyjne są najmniejszymi
elementami, do których można przypisać zasady grup (GPO) lub delegować kontrolę
administratorską. Wykorzystując je, można tworzyć kontenery w domenie reprezentujące
hierarchiczną, logiczną strukturę organizacji. Zagnieżdżając jednostki organizacyjne w innych można
modelować strukturę firmy minimalizując liczbę domen wymaganych w sieci.
Delegowanie kontroli do jednostek organizacyjnych
Delegowanie kontroli administracyjnej do jednostek organizacyjnych umożliwia przypisanie
użytkownikom lub grupom uprawnień do zarządzania określonymi obiektami w usłudze Active
Directory. Dzięki temu można ograniczyć grupę administratorów posiadających uprawnienia do
całej struktury AD dając im możliwość zarządzania tylko jej pewną częścią, a także pozwala
przydzielić podstawowe zadania administracyjne zwykłym użytkownikom (np. resetowanie haseł).
Kontrolę administracyjną można delegować na trzy sposoby:
• Delegowanie uprawnień do zarządzania całym kontenerem, a co za tym idzie wszystkimi
znajdującymi się w nim obiektami
• Delegowanie uprawnień do zarządzania (tworzenie, modyfikowanie, usuwanie) obiektami
danego typu (użytkownicy, komputery, grupy)
• Delegowanie uprawnień do modyfikowania określonych atrybutów wybranych obiektów, np.
zmiana hasła użytkowników
Kontrolę najwygodniej można delegować korzystając z kreatora delegowanie kontroli
Delegation of Control Wizard dostępnego w konsoli Active Directory Users and Computers.
Strona 6/11
Moduł 4
Aby go uruchomić, należy wybrać z menu kontekstowego otworzonego na wybranej jednostce
organizacyjnej polecenie Delegate Control. Zostanie uruchomiony Wizard, w którym należy
wskazać użytkownika lub grupę, dla której wykonujemy akcję, wybrać z listy zadanie, jakie
pozwolimy wykonywać i określić, czy będzie to dotyczyło wszystkich obiektów w jednostce czy
tylko wybranych. Dodatkowe, specjalne uprawnienia niedostępne w kreatorze należy nadać
bezpośrednio na obiekcie.
Podsumowanie
W tym rozdziale przedstawiona została usługa Active Directory. Omówiono jej budowę fizyczną i
logiczną a także wyjaśniono pojecie master operations. Przedstawiono specyficzne obiekty, jakimi
są jednostki organizacyjne oraz omówiono delegowanie kontroli administracyjnej do części
struktury AD.
Porady praktyczne
• W jednostkach organizacyjnych nie mogą znajdować się obiekty z innych domen
• Chcąc skorzystać z delegowania kontroli administracyjnej należy być członkiem grupy
Account Operators, Domain Admins, lub Enterprise Admins.
Uwagi dla studenta
•
•
•
•
rozumiesz, dlaczego stosuje się usługi katalogowe
umiesz zarządzać jednostkami organizacyjnymi
potrafisz delegować kontrolę administracyjną
wiesz, jaka jest fizyczna i logiczna struktura AD
1. Rand Morimoto, Michael Noel, Omar Droubi, Ross Mistry, Chris Amaris, Windows Server 2008
PL. Księga Experta., Helion, 2009
W części 2 zostały omówione zagadnienia związane z usługą Active Directory takie
jak projektowanie usługi katalogowej, projektowanie struktury jednostek
organizacyjnych i grup, infrastruktura Active Directory
2008
podczas instalacji. Informacje dotyczące tego modułu znajdują się w rozdziale
drugim.
Strona 7/11
Moduł 4
Jesteś administratorem w przedsiębiorstwie. Twoja firma rozwija się i przygotowuje się do
otworzenia nowego oddziału w kolejnym mieście. Chcesz stworzyć testową strukturę jednostek
organizacyjnych dla tej lokalizacji. Wiesz, że będą tam trzy działy. Dwa z nich, IT i Finanse będą
kilkuosobowe, natomiast w dziale logistyki będzie pracowało kilkadziesiąt osób. Projektujesz
strukturę (Rys. 1) i wdrażasz w swoim środowisku.
Rys. 1 Projekt struktury jednostek organizacyjnych
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto zwykłego
użytkownika
•
•
•
•
•
3. Uruchomienie
programu Active
Directory Users
and Computers
• Wybierz Start -> Administrative Tools -> Active Directory Users and
Computers.
• Zapoznanie się ze strukturą domeny nwtraders.msft.
4. Stworzenie
jednostki
organizacyjnej
przy pomocy
polecenia Dsadd
• Wybierz Start i w polu Start Search wpisz:
W polu User Name wpisz NazwakomputeraUser.
runas /user:[email protected] cmd
• W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd.
• W oknie wiersza poleceń wpisz:
dsadd ou ou=OUNazwakomputera,ou="IT Test",dc=nwtraders,dc=msft
• W oknie narzędzia Active Directory Users and Computers odśwież
widok i sprawdź czy jednostka organizacyjna została stworzona.
5. Stworzenie
jednostek
organizacyjnych
przy pomocy
narzędzia Ldifde
• Na dysku Dane (E:) stwórz folder Tools.
• Otwórz notatnik i wpisz poniższy przykład:
dn: ou=IT,ou=OUNazwakomputera,ou="IT Test",DC=nwtraders,DC=msft
changetype: add
objectClass: organizationalUnit
dn: ou=Finance,ou=OUNazwakomputera,ou="IT
Test",DC=nwtraders,DC=msft
Strona 8/11
Moduł 4
changetype: add
dn: ou=Logistic,ou=OUNazwakomputera,ou="IT
Test",DC=nwtraders,DC=msft
changetype: add
• Zapisz plik w lokalizacji E:\Tools jako import.ldf.
Ldifde –i –k –f D:\Tooles\import.ldf
widok i sprawdź czy jednostki organizacyjne zostały stworzone.
6. Stworzenie
jednostek
organizacyjnych
przy pomocy
Windows Script
Host
Set objDom =
GetObject("LDAP://ou=Logistic,ou=OUNazwakomputera,ou=It
Test,dc=nwtraders,dc=msft")
Set objOU = objDom.Create("OrganizationalUnit","ou=Managers")
objOU.SetInfo
Set objDom =
GetObject("LDAP://ou=Logistic,ou=OUNazwakomputera,ou=It
Test,dc=nwtraders,dc=msft")
Set objOU = objDom.Create("OrganizationalUnit","ou=Personel")
objOU.SetInfo
• Zapisz plik w lokalizacji E:\Tools jako ouadd.vbs.
wscript C:\ouadd.vbs
widok i sprawdź, czy jednostki organizacyjne zostały stworzone.
• Wyloguj się.
Stworzyłeś testową strukturę jednostek organizacyjnych. Okazało się, że są potrzebne pewne
modyfikacje, ponieważ struktura twojej firmy zmieniła się. Postanawiasz zmodyfikować testową
strukturę tak, by odpowiadała ona Twoim potrzebom. W jednostce OUNazwakomputera chcesz
wypełnić pole opisu. Dział Finanse nie przeniesie się do tej lokalizacji, dlatego musisz usunąć tą
jednostkę organizacyjną. Dział IT zostanie przeniesiony do innej lokalizacji.
W lokalizacji tej posiadasz jednego zaawansowanego użytkownika i chcesz dać mu prawa do
wykonywania pewnych czynności administracyjnych. Między innymi chcesz, by mógł resetować
hasła użytkownikom, którzy je zapomnieli oraz tworzyć konta komputerów.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
Strona 9/11
Moduł 4
2. Zaloguj się na
konto zwykłego
użytkownika
•
•
•
•
•
3. Modyfikacja
jednostki
organizacyjnej
OUNazwakomput
era
Dsmod ou ou=OUNazwakomputera,ou="IT Test",dc=nwtraders,dc=msft
–desc "Nowy oddzial - testy"
Computers.
widok i sprawdź czy jednostka organizacyjna OUNazwakomputera
została zmodyfikowana.
4. Usunięcie
jednostki
organizacyjnej
przy pomocy
polecenia Dsrm
Dsrm ou=Finance,ou=OUNazwakomputera,ou="IT Test",
dc=nwtraders,dc=msft
• Na pytanie, czy na pewno chcesz usunąć obiekt, odpowiedz twierdząco
wybierając Y.
widok i sprawdź czy jednostka organizacyjna Finance została usunięta.
5. Przenoszenie
jednostki
• Wybierz menu Start -> Administrative Tools i naciśnij prawy przycisk na
Active Directory Users and Computers.
• W oknie User Account Control w polu User name wpisz
NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij
OK.
• W oknie narzędzia Active Directory Users and Computers znajdź obiekt
ou=IT,ou=OUNazwakomputera,ou=”IT Test”,dc=nwtraders,dc=msft.
• Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz
Move.
• W oknie Move rozwiń nwtraders -> Locations, zaznacz jednostkę
organizacyjną odpowiadającą nazwie Twojego komputera i naciśnij OK.
widok i sprawdź czy jednostka organizacyjna IT została przeniesiona.
6. Delegowanie
kontroli do
jednostki zarządzanie
hasłami
użytkowników
• W konsoli Active Directory Users and Computers znajdź obiekt
ou=Personel,ou=Logistic,ou=OUNazwakomputera,ou="IT
Test",dc=nwtraders,dc=msft, kliknij na nim prawy przycisk myszy i
wybierz Delegate Control.
• W oknie Welcome to the Delegation of Control Wizard wybierz Next.
• W oknie Users and Groups naciśnij przycisk Add.
• W oknie Select Users, Computers, or Groups wpisz
NazwakomputeraUser, a następnie wybierz OK.
• Naciśnij przycisk Next.
• W oknie Task to Delegate wybierz:
Strona 10/11
Moduł 4
— Reset user passwords and force password change at next logon
— Read all user information
• Wybierz Next, a następnie Finish.
7. Delegowanie
kontroli do
jednostki –
zarządzanie
kontami
komputerów
• W konsoli Active Directory Users and Computers znajdź obiekt
ou=Logistic,ou=OUNazwakomputera,ou=
"IT Test",dc=nwtraders,dc=msft, kliknij na nim prawy przycisk myszy
i wybierz Delegate Control.
• W oknie Welcome to the Delegation of Control Wizard wybierz Next.
• W oknie Users and Groups naciśnij przycisk Add.
NazwakomputeraUser, a następnie wybierz OK.
• W oknie Task to Delegate zaznacz Create a custom task to delegate
i naciśnij Next.
• W oknie Active Directory Object Type zaznacz Only the following
object in the folder, na liście zaznacz Computer object.
• Pod listą zaznacz:
— Create selected object in the folder
— Delete selected object in the folder
•
•
•
•
Wybierz Next.
W oknie Permission na liscie zaznacz Read, Write.
Wybierz Next, a następnie Finish.
Wyloguj się
Strona 11/11
Moduł 5
Wersja 1
Zarządzanie kontami użytkowników i
komputerów
Spis treści
Zarządzanie kontami użytkowników i komputerów ............................................................................ 1
Moduł 5
Zarządzanie kontami użytkowników i komputerów
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące zarządzania kontami
użytkowników i komputerów. Dowiesz się, do czego służą konta lokalne i
domenowe oraz nauczysz się je tworzyć przy pomocy różnych narzędzi.
Poznasz opcje związane z kontem użytkownika. Nauczysz się korzystać z
szablonów kont. Dowiesz się, co to są konta wbudowane i do czego służą.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami związanymi z kontami
lokalnymi i domenowymi użytkowników oraz z kontami komputerów, w
szczególności z ich tworzeniem i modyfikowaniem ich właściwości.
• wiedział, jaka jest różnica pomiędzy kontem użytkownika lokalnym a
domenowym
• potrafił tworzyć konta użytkowników i komputerów oraz
modyfikować ich właściwości
• rozumiał, w jaki sposób konta są wykorzystywane w usłudze Active
Directory
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać budowę usługi Active Directory
• rozumieć, do czego służy usługa Active Directory
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 4.
Rys. 1 Mapa zależności modułu
Strona 2/15
Moduł 5
Rozszerzono tobie zakres obowiązków. Będziesz teraz odpowiedzialny za zarządzanie kontami
użytkowników i komputerów. Musisz stworzyć konta użytkowników pracujących w różnych
działach. Firma zakupiła nowe komputery, które będą przyłączane do domeny. Będzie to robił jeden
z pracowników i chcesz by nadawał nazwy komputerów według listy, którą mu przekażesz. Zanim
to nastąpi Ty stworzysz według niej konta komputerów w domenie. Chcesz w przyszłości
zaoszczędzić sobie pracy, dlatego stworzysz szablony kont użytkowników dla każdego działu. Na
jednym z komputerów będzie zainstalowana nowa aplikacja do rejestracji czasu pracy
pracowników. Do jej działania potrzebne jest konto, ponieważ jeden z serwisów potrzebuje do go
uruchomienia się. Dlatego na tym komputerze stworzysz konto lokalne
Konto użytkownika
Konta użytkowników w Active Directory reprezentują fizyczne osoby, które korzystają z zasobów
sieciowych. Można je również wykorzystywać, jako dedykowane konta usług do uruchamiania
niektórych aplikacji. Konta użytkowników są oznaczane również, jako podmioty zabezpieczeń –
obiekty katalogu, które mają automatycznie przypisane identyfikatory zabezpieczeń (SID), używane
do dostępu do zasobów sieciowych. Jedne z głównych zastosowań kont użytkowników to :
• Autentykacja tożsamości użytkownika – konto użytkownika umożliwia użytkownikowi
logowanie się do komputera lub domeny z tożsamością, którą może potwierdzić domena.
Każdy użytkownik powinien mieć swoje własne konto i hasło.
• Autoryzacja dostępu do zasobów sieciowych – Po procesie autentykacji, na podstawie
nadanych uprawnień do zasobu, użytkownik ma do niego dostęp lub też jest on mu
zabroniony.
W kontenerze Users, w przystawce Active Directory Users and Computers, znajdują się trzy konta
wbudowane, które są tworzone automatycznie w czasie tworzenia domeny. Każde z tych kont
posiada inne kombinacje praw i uprawnień. Największe posiada konto administratora, a
najbardziej ograniczone konto gościa(Tabela 1).
Tabela 1 Opis kont wbudowanych na kontrolerze domeny z system Microsoft Windows Server 2008
Konto domyślne
Opis
Administrator
Konto Administratora ma pełną kontrolę w domenie. Może
przypisywać prawa użytkownikom i kontrolować
uprawnienia dostępu do zasobów. Wskazane jest by
używać tego konta tylko do zadań wymagających
administracyjnego uwierzytelnienia. Powinno mieć nadane
bardzo silne hasło
Konto Administratora jest domyślnie członkiem
wbudowanych grup w AD: Administrators, Domain
Admins, Enterprise Admins, Group Policy Creator Owners,
i Schema Admins. Nie może być nigdy skasowane i
usunięte z grupy Administrators, ale może zostać
wyłączone lub mieć zmienioną nazwę. Jest pierwszym
kontem tworzonym w czasie instalacji nowej domeny przy
pomocy kreatora Active Directory Domain Services
Installation Wizard
Strona 3/15
Guest
Moduł 5
Konto gościa jest używane przez osoby, które nie posiadają
aktualnie swojego konta w domenie, lub ich konto jest
wyłączone (nie skasowane). Konto to nie wymaga hasła.
Można nadawać prawa i uprawnienia jak każdemu innemu
kontu. Domyślnie konto Guest jest członkiem grupy
wbudowanej Guests i grupy domenowej globalnej Domain
Guests, która umożliwia użytkownikom logowanie do
domeny. Domyślnie konto gość jest wyłączone i zalecane
jest by takim pozostało.
HelpAssistant
(instalowane z sesją
Remote Assistence)
Główne konto do zestawienia sesji Remote Assistance,
tworzone automatycznie w momencie, gdy zażądamy takiej
sesji. Ma ograniczony dostęp do komputera. Konto
HelpAssistance jest zarządzane przez usługę Remote
Desktop Help session Manager. Jest kasowane
automatycznie jeśli nie ma oczekujących żądań Remote
Assistance
Jeśli prawa i uprawnienia kont wbudowanych nie są zmodyfikowane lub wyłączone przez
administratora sieci, mogą być użyte przez złośliwego użytkownika (lub usługę), do nielegalnego
zalogowania się do domeny na konto administratora lub gościa. Dobrą praktyka zabezpieczenia
tych kont jest ich wyłączenie lub zmiana ich nazwy. Ponieważ jest zachowywany ich SID, konta
nadal zachowują wszystkie swoje właściwości takie jak opis, hasło, przynależność do grup, profil i
wszystkie przypisane prawa i uprawnienia. Aby uzyskać korzyści zabezpieczeń autentykacji i
autoryzacji użytkownika, należy stworzyć indywidualne konta dla wszystkich użytkowników
korzystających z sieci. Można potem dodawać każde konto do grup w celu kontroli praw i
uprawnień przypisanych do nich. Dla zabezpieczenia domeny przed atakami należy wymagać
mocnych haseł i zaimplementować zasady blokowania kont. Odpowiednio skomplikowane hasło
redukuje możliwość jego odgadnięcia lub pomyślnego ataku słownikowego. Zasady blokowania
hasła ograniczają atakującemu możliwość powtarzanie kolejnych nieudanych prób logowania,
określając, ile nieprawidłowych prób może wystąpić zanim konto zostanie zablokowane.
Każde konto użytkownika w Active Directory posiada kilka opcji określających jak przebiegnie
logowanie i autentykacja w sieci. W tabeli (Tabela 2) znajdują się ustawienia związane z
konfiguracją hasła i specyficznymi informacjami związanymi z bezpieczeństwem kont
użytkowników.
Tabela 2 Niektóre z opcji związanych z domenowym kontem użytkownika
Opcja konta
Opis
User must change
password at next logon
Wymusza na użytkowniku zmianę hasła przy następnym
logowaniu. Należy włączyć tę opcję by mieć pewność, że
użytkownik jest jedyna osoba znającą swoje hasło
User cannot change
password
Zabrania użytkownikowi zmiany hasła. Opcja używana,
kiedy administrator zarządza jakimś kontem np. kontem
gościa lub tymczasowym
Password never expires
Zabezpiecza hasło przed wygaśnięciem. Ustawienie
rekomendowane dla kont używanych przez usługi
posiadających mocne hasło
Store password using
Umożliwia zalogowanie się do sieci Windows
użytkownikom komputerów Apple. W innych przypadkach
Strona 4/15
Moduł 5
reversible encryption
niepolecane jest włączanie tej opcji
Account is disabled
Nie zezwala na zalogowanie się przy użyciu tego konta.
Używane dla kont będących szablonami lub dla
użytkowników, którzy nie będą dłuższy czas korzystać z
niego
Przed tworzeniem kont użytkowników należy przyjąć dla nich konwencję nazewniczą. Ustala ona
sposób identyfikacji kont w domenie. Powinna ona uwzględniać konta użytkowników o takich
samych nazwiskach oraz konta tymczasowe.
Konta mogą być tworzone w dowolnym kontenerze w domenie. W małych organizacjach można
wykorzystać do tego jednostkę organizacyjną Users, a w większych zalecane jest umiejscowienie
ich w strukturze usługi Active Directory ze względu na sposób, w jaki mają być zarządzane.
Tworzenie konta lokalnego
Konta lokalne są tworzone na lokalnym komputerze i przechowywane w bazie SAM (Security
Accounts Manager). Mogą być wykorzystywane tylko do logowania na komputerze, na którym
zostały stworzone i wykorzystane do nadania praw w systemie i uprawnień do zasobów lokalnych.
Konto lokalne tworzymy przy wykorzystaniu przystawki Local Users and Groups, która jest również
częścią konsoli Computer Management. Wybierając w kontenerze Users polecenie New User
wypełniamy formularza podając nazwę konta, opis, hasło oraz wypełniając związane z nim opcje.
Nazwa użytkownika nie może być identyczna z nazwą innego konta użytkownika lub grupy
istniejącego na tym komputerze> może zawierać do 20 znaków za wyjątkiem: „/ \ [ ] ; :| = , + * ? <
>.
Tworzenie konta domenowego
Konto użytkownika domenowego możemy stworzyć przy pomocy przystawki Active Directory Users
and Computers lub przy użyciu narzędzi wiersza poleceń.
• Active Directory Users and Computers – w konsoli należy wybrać jednostkę organizacyjną, w
której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New->User.
W oknie New Object – User podajemy imię i nazwisko użytkownika, oraz podać nawę
logowania. Nazwy logowania UPN użytkowników dla kont domenowych muszą być unikalne
w usłudze Active Directory. Pełne nazwy domenowych kont użytkowników muszą być
unikalne w kontenerze, w którym są tworzone.
• Dsadd – narzędzie wiersza poleceń.
dsadd user <UserDN> [-samid<SAMName>] -pwd {<Password>|*}
gdzie:
• <UserDN> - nazwa wyróżniająca LDAP dodawanego obiektu typu użytkownik
• -samid – ustawia wartość SAMName
• <SAMName> - unikalna nazwa Security Accounts Manager (SAM) dla użytkownika. Jeśli
wartość ta nie zostanie wyspecyfikowana, dsadd spróbuje stworzyć tę wartość na
używając pierwszych 20 znaków z nazwy zwykłej (CN) wartości UserDN
• -pwd - ustawia wartość hasła
• <Password> - wyspecyfikowane hasło przypisane do konta użytkownika. Jeśli ten
parametr zostanie ustawiony jako *, to przy uruchomieniu tej komendy będzie trzeba je
podać
Modyfikowanie konta domenowego
Z kontami użytkowników jest związanych wiele atrybutów. Odpowiednio pogrupowane są
dostępne na różnych zakładkach okna właściwości użytkownika (Rys. 2). Mogą być używane przez
Strona 5/15
Moduł 5
użytkowników jako źródło informacji o innych użytkownikach (dane teleadresowe) oraz przez
administratorów do definiowania zasad i środowiska pracy osób logujących się na te konta.
Rys. 2 Okno właściwości obiektu użytkownika
Najczęściej używane opcje we właściwościach konta użytkownika:
• General - nazwa, opis, biuro, telefony oraz adresy e-mail i strony domowej użytkownika
• Address – ulica, skrytka pocztowa, miasto, województwo, kod pocztowy oraz kraj
• Account – Nazwy logowania, godziny, w których użytkownik może się logować i komputery, z
których to może zrobić, opcje dotyczące konta i data jego wygaśnięcia
• Profile – ścieżką wskazująca miejsce przechowywania profilu, skrypt logowania, ścieżka do
folderu domowego, mapowanie dysku sieciowego
• Telephone – numery telefonu domowego, pagera, komórkowego, faksu oraz telefonu IP
• Organization – stanowisko pracy, dział, firma, menedżer oraz podwładni
• Member Of – grupy ,do których należy użytkownik
• Dial-in – uprawnienia usługi dostęp zdalny, w tym opcje oddzwaniania, adres IP i routing
• Environment – Opcje startowe połączenia terminalowego takie jak uruchamiany program,
mapowanie dysków, drukarek
• Session – konfiguracja zachowania sesji terminalowych w przypadku bezczynności i
rozłączonych połączeń
• Remote Control – konfiguracja zarządzania zdalną sesją użytkownika
• Terminal Services Profile – definiowanie profilu użytkownika korzystającego z sesji
terminalowej
Szablony użytkownika
W celu uproszczenia tworzenia nowych kont użytkowników można skorzystać z tzw. szablonów
kont. Są to specjalne konta, posiadające skonfigurowane atrybuty, których wartości często
Strona 6/15
Moduł 5
powtarzają się w innych kontach. Aby stworzyć nowe konto na podstawie szablonu należy kliknąć
na nim prawym przyciskiem myszy i menu kontekstowego wybrać polecenie Copy. W oknie Copy
Object – User należy wypełnić unikalne atrybuty związane z kontem. Część atrybutów z szablonu
konta zostanie przekopiowanych do nowego konta. Są to:
• dla karty Address – wszystkie wartości atrybutów z wyjątkiem Street
• dla karty Account - wszystkie wartości atrybutów z wyjątkiem User logon name
• dla karty Profile - wszystkie wartości atrybutów (dla Profile path i Home folder zostaną
zmodyfikowane tak by odpowiadały nazwie logowania użytkownika)
• dla karty Organization - wszystkie wartości atrybutów z wyjątkiem Title
• dla karty Member Of - wszystkie wartości atrybutów
Szablony kont często są tworzone dla poszczególnych działów w firmie, ponieważ osoby w nich
pracujące często mają podobne potrzeby korzystania z zasobów sieci, a co za tym idzie są
członkami tych samych grup zabezpieczeń. Należy pamiętać, by nazwa szablonu odróżniała to
konto od pozostałych i aby było ono wyłączone (konta nieużywane do logowania zawsze powinny
być wyłączone)
Odblokowywanie konta
Konto użytkownika może zostać zablokowane, jeśli wystąpi zbyt dużo nieudanych prób logowania
w określonym czasie. Próg blokady konta ustawia się w konfiguracji zabezpieczeń usługi Active
Directory. Blokada konta zabezpiecza przed próbą włamania polegającą na odgadywaniu kolejnych
haseł. Różnież sam użytkownik może sobie konto zablokować nie pamiętając hasła, lub kiedy
pozostając zalogowanym na jednym komputerze zmieni sobie hasło na innym. Przy zablokowanym
koncie użytkownik zostanie o tym fakcie poinformowany w momencie próby logowania. Nie będzie
mógł się zalogować dopóki administrator nie odblokuje konta, lub nie upłynie czas, po którym
konto zostanie odblokowane automatycznie.
Konto komputera
Podobnie jak użytkownik również każdy komputer z systemem Windows NT, Windows 2000,
Windows XP lub Windows Vista lub serwer z systemem Windows Server 2003 lub 2008 należący do
domeny posiada swoje konto w usłudze Active Directory. Jest ono wykorzystywane do
uwierzytelniania komputera, inspekcji jego dostępu do sieci i zasobów domeny a także do
zarządzania środowiskiem pracy użytkownika, automatycznej instalacji oprogramowania przy
pomocy AD i inwentaryzacji. Konto komputera może być stworzone na dwa sposoby:
• uprawniony użytkownik przyłącza komputer do domeny, w której nie ma stworzonego
obiektu odpowiadającego kontu komputera. W takim wypadku konto zostanie
automatycznie stworzone przez system w wbudowanej jednostce organizacyjnej Computers.
Oczywiście administrator może później przenieść konto komputera do dowolnej innej
jednostki organizacyjnej
• Administrator tworzy obiekt komputera przy pomocy odpowiednich narzędzi w wybranej
przez siebie jednostce organizacyjnej i informuje użytkownika o nazwie obiektu. Użytkownik
nazywa komputer według wskazówek administratora i przyłącza go do domeny.
Tworzenie konta komputera
Podobnie jak konto użytkownika konto komputera możemy stworzyć przy pomocy przystawki
Active Directory Users and Computers lub przy użyciu narzędzi wiersza poleceń.
której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New->
Computer. W oknie New Object – Computer (Rys. 3) należy podać nazwę komputera (nazwa
używana przez systemy starsze niż Windows 2000 zostanie uzupełniona automatycznie).
Strona 7/15
Moduł 5
Dsadd - narzędzie wiersza poleceń.
dsadd computer <ComputerDN>
• gdzie <ComputerDN> - nazwa wyróżniająca LDAP dodawanego obiektu typu komputer
Rys. 3 Okno tworzenia konta komputera
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z kontami tworzonymi w usłudze
Active Directory. Omówiono konta użytkowników i komputerów. Przedstawiono sposób tworzenia i
modyfikowania kont. Wyjaśniono różnice miedzy kontami domenowymi i lokalnymi. Omówiono
wbudowane konta domenowe.
Porady praktyczne
• W celu zapewnienia bezpieczeństwa nie zezwalaj by kilku użytkowników korzystało z jednego
konta
• Jeśli konto Administratora jest wyłączone, może być nadal używane w celu dosania się do
kontrolera domeny w trybie bezpiecznego uruchamiania (ang. Safe Mode)
• Aby zmodyfikować godziny logowania wielu użytkownikom jednocześnie przytrzymaj klawisz
Ctrl i klikaj na kolejnych użytkowników. Kliknij prawym przyciskiem myszy na zaznaczone
konta i z menu kontekstowego wybierz Properties. Potem na zakładce Account kliknij Logon
Hours i ustaw dostępne lub zabronione godziny
• Lokalnych kont użytkowników nie można tworzyć na kontrolerach domeny
• Nowy użytkownik o takiej samej nazwie jak poprzednio skasowany nie otrzymuje
automatycznie uprawnień i przynależności do grup jakie posiadało skasowane konto
ponieważ identyfikator zabezpieczeń (SID) dla każdego konta jest unikalny. Jeśli chcesz
zduplikować skasowane konto musisz odtworzyć wszystkie uprawnienia i członkostwo w
grupach ręcznie.
• Jeśli nowo dodawany komputer do domeny ma zainstalowany system starszy niż Windows
2000, podczas tworzenia konta zaznacz opcję Assign this computer account as a preWindows 2000 computer. Spowoduje to utworzenie hasła komputera bazującego na jego
nazwie.
• Komputery z systemami Windows 95 i Windows 98 nie posiadają zaawansowanych funkcji
zabezpieczeń, dlatego nie można stworzyć dla nich kont komputerów
Strona 8/15
Moduł 5
• Jeśli poziom funkcjonalności domeny jest ustawiony na Windows Server 2008, atrybut
lastLogonTimestamp jest wykorzystywany do śledzenia ostatniego logowania użytkownika
lub komputera. Atrybut ten jest replikowany w obrębie domeny i może być przydatny do
odtworzenia historii użytkownika lub komputera
.
Uwagi dla studenta
•
•
•
•
rozumiesz do czego służą lokalne i domenowe konta użytkowników
umiesz tworzyć konta i je modyfikować
potrafisz korzystać z narzędzi do zarządzania kontami użytkowników i komputerów
wiesz do czego służą szablony kont
2008
jest posiadaczem tytułu Microsoft Most Valuable Professional. Informacje
dotyczące tego modułu znajdują się w rozdziale drugim.
Strona 9/15
Moduł 5
Jesteś administratorem w przedsiębiorstwie. Zakupiłeś komputer przenośny dla przedstawiciela
handlowego. Nie będzie on pracował w domenie, dlatego musisz stworzyć dla niego konto lokalne.
Dostałeś informację z działu kadr o zatrudnieniu kilku nowych osób i musisz pozakładać dla nich
konta w domenie. Poinformowano Cię również, że w niedalekiej przyszłości będzie zatrudnionych
kilkadziesiąt nowych osób, dlatego postanawiasz
postanawiasz pozakładać konta używając różnych narzędzi, by
przetestować je i móc w przyszłości skorzystać z najbardziej wygodnego i najmniej pracochłonnego.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto zwykłego
użytkownika
•
•
•
•
•
3. Stworzenie
konta
użytkownika
lokalnego
• Wybierz menu Start -> Administrative Tools i naciśnij prawym
przycisk
przyciskiem
myszy Server Manager.
Administrator
NazwakomputeraAdmin w polu Password wpisz P@ssw0rd i naciśnij
NazwakomputeraAdmin,
OK
OK.
• W drzewie konsoli rozwiń Server Manager (Nazwakomputera) ->
Configuration -> Local Users and Groups.
• Kliknij prawym przyciskiem myszy Users.
• Z menu kontekstowego wybierz New User.
• W oknie New User uzupełnij pola:
— User name: Pierwsze trzy litery Twojego imienia oraz pierwsze trzy
litery Twojego nazwiska (Przykład: TomKow)
— Full name: Twoje Imię i Nazwisko (Przykład: Tomasz Kowalski)
— Password: P@ssw0rd i powtórz je w polu Confirm Password.
• Naciśnij przycisk Create.
• Naciśnij przycisk Close.
• Wyloguj się.
4.
Przetestowanie
konta
•
•
•
•
W polu User Name wpisz Nazwacomputera\Pierwsze
Pierwsze trzy litery Twojego
imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład:
Vancouver
Vancouver\TomKow).
• W polu Password wpisz P@ssw0rd i naciśnij Enter.
Pojawi się informacja o konieczności zmiany hasła.
• Wybierz OK.
• W polu New password wpisz P@ssw0rd123 i powtórz je w polu Confirm
Strona 10/15
Moduł 5
Password
Password.
• Naciśnij Enter.
Pojawi się informacja, że hasło zostało
o zmienione.
zmienione
• Wybierz OK.
5. Stworzenie
konta przy
pomocy Active
Directory Users
and Computers
• Wybierz menu Start -> Administrative
dministrative Tools
Tool i naciśnij prawym
przyciskiem myszy Active Directory Users and Computers.
Computers
Administrator
• W oknie User Account Control, w polu User name wpisz
NazwakomputeraAdmin w polu Password wpisz P@ssw0rd i naciśnij
NazwakomputeraAdmin,
OK
OK.
ou=Nazwakomputera,ou=Location ,dc=nwtraders,dc=msft.
ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
• Naciśnij
Naciśn na nim prawy przycisk myszy i z menu kontekstowego wybierz
New -> User.
• W oknie New Object – User uzupełnij pola:
— First Name: Twoje Imię (Przykład: Tomasz)
— Last Name: Twoje Nazwisko (Przykład: Kowalski)
— User Logon name: Pierwsze trzy litery Twojego imienia oraz pierwsze
trzy litery Twojego nazwiska (Przykład: TomKow)
Pole User logon name (pre-Windows
Windows 2000) zostanie uzupełnione
automatycznie.
• Wybierz Next.
• W następnym oknie w polu Password wpisz P@ssw0rd i powtórz je w
polu Confirm Password.
• Wyczyść pole User must change password at next logon i wybierz Next.
• Naciśnij przycisk Finish.
• Wyloguj się z systemu.
6.
Przetestowanie
konta
•
•
•
•
7. Stworzenie
konta
użytkownika przy
pomocy polecenia
dsadd
• Wybierz
W
Start i w polu Start Search wpisz:
W polu User Name wpisz nazwę konta, które stworzyłeś w poprzednim
ćwiczeniu (Pierwsze
(
trzy litery Twojego imienia oraz pierwsze trzy litery
Twojego nazwiska).
• W polu Password wpisz P@ssw0rd i naciśnij Enter
runas
unas /user:[email protected] cmd
dsadd user “cn=UserPierwszeTrzyLiteryTwojegoNazwiska,
PierwszeTrzyLiteryTwojegoNazwiska,
ou=it test,dc=nwtraders,dc=msft” -samid
User
UserPierwszeTrzyLiteryTwojegoNazwiska
-pwd
pwd P@ssw0rd
Dla użytkownika Kowalski nazwa konta to UserKow.
Co
Computers.
• Sprawdź
prawdź, czy konto użytkownika zostało utworzone.
utworzone
• Zamknij okno wiersza poleceń.
Strona 11/15
8. Stworzenie
konta
użytkownika przy
pomocy narzędzia
Csvde
Moduł 5
DN,objectClass,sAMAccountName,userPrincipalName,displayName,userAc
countControl
"cn=
"cn=NazwakomputeraTestUser,ou=Nazwakomputera,ou=Locations,dc=nwtra
TestUser,ou=Nazwakomputera,ou=Locations,dc=nwtra
ders,dc=msft",user,
ders,dc=msft",user,NazwakomputeraTestUser,NazwakomputeraTestUser
NazwakomputeraTestUser
@nwtraders.msft,
@nwtraders.msft,Nazwakomputera
TestUser,514
Wartość atrybutu userAccountControl 514 oznacza,
oznacza że konto będzie
wyłączone, a wartość 512 włącza konto.
• Zapisz plik w lokalizacji E:\Tools jako import.txt.
• Wybierz
W
Start i w polu Start Search wpisz cmd.
csvde -i -f E:\Tools\import.txt -b NazwakomputeraAdmin
Nazwakomputera
nwtraders.msft P@ssw0rd
widok i sprawdź czy konto użytkownika zostało utworzone.
9. Stworzenie
konta
użytkownika przy
pomocy narzędzia
Ldifde
# Tworzenie konta Jan Nazwakomputera
dn: cn=Jan
Nazwakomputera,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
Changetype: Add
objectClass: user
sAMAccountName: JanNazwakomputera
userPrincipalName: [email protected]
displayName: Jan Nazwakomputera
• Zapisz plik w lokalizacji E:\Tools jako adduser.ldf.
• Wybierz
W
Start i w polu Start Search wpisz cmd.
ldifde -i –k -f E:\Tools\adduser.ldf -b NazwakomputeraAdmin
Nazwakomputera
nwtraders.msft P@ssw0rd
widok i sprawdź czy konto użytkownika zostało utworzone.
10. Stworzenie
konta
użytkownika przy
pomocy Windows
Script Host
Set objOU =
GetObject("LDAP://OU=
GetObject("LDAP://OU=Nazwakomputera,OU=Locations,dc=nwtraders,dc=m
,OU=Locations,dc=nwtraders,dc=m
sft")
Set objUser = objOU.Create("User", "cn=Nazwakomputera
"cn=NazwakomputeraPraktykant")
objUser.Put "sAMAccountName", "Nazwakomputera
"NazwakomputeraPraktykant"
objUser.SetInfo
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "P@ssw0rd"
objUser.Put "userPrincipalName",
"NazwakomputeraPraktykant@nwtraders
[email protected]"
objUser
objUser.SetInfo
• Zapisz plik w lokalizacji E:\Tools jako newuser.vbs
vbs.
• Wybierz
W
Strona 12/15
Moduł 5
wscript E:\Tools\newuser.vbs
widok i sprawdź, czy konto użytkownika zostało stworzone.
• Pozamykaj wszystkie okna.
11. Stworzenie
konta komputera
przy pomocy
Active Directory
Users and
Computers
OK.
ou=Nazwakomputera,ou=Locations, dc=nwtraders,dc=msft.
New -> Computer.
• W oknie New Object – Computer w polu Computer name wpisz
Nazwakomputera-001 i naciśnij OK.
• Odśwież widok i sprawdź, czy konto komputera zostało stworzone.
12. Stworzenie
konta komputera
przy pomocy
polecenia dsadd
•
•
•
•
Wybierz Start i w polu Start Search wpisz:
Runas /user:[email protected] cmd
W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd.
W oknie wiersza poleceń wpisz:
dsadd computer “cn=Nazwakomputera002,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft”
widok i sprawdź czy konto komputera zostało utworzone.
• Wyloguj się.
Strona 13/15
Moduł 5
Dostałeś polecenie by uzupełnić dane teleadresowe powiązane z użytkownikami. Będą one
wykorzystywane przez innych do wyszukiwania osób pracujących w firmie. Zbliża się
inwentaryzacja sprzętu i chcesz uzupełnić atrybuty opisujące lokalizację komputerów. Ułatwi to
pracę osobom wykonującym spis w sprawnym odnalezieniu komputerów.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto zwykłego
użytkownika
•
•
•
•
•
3. Modyfikacja
konta
użytkownika przy
pomocy Active
Directory Users
and Computers
OK.
cn=NazwakomputeraPraktykant,ou=Nazwakomputera,ou=Locations,
dc=nwtraders,dc=msft.
Properties.
• W oknie NazwakomputeraPraktykant uzupełnij pola:
— Zakładka General
First name: Nazwakomputera
Last name: Praktykant
Display name: Nazwakomputera Praktykant
Description: konto studenta praktykanta
Office: Biuro projektowe
Telephone number: 7332356
— Zakładka Address
Street: Pogodna
City: Nazwakomputera
• Wybierz OK.
4. Modyfikacja
konta
użytkownika przy
pomocy polecenia
dsmod
•
•
•
•
Runas /user:[email protected] cmd
W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd.
Chcesz zmienić następujące atrybuty dla konta Jan Nazwakomputera:
—
—
—
—
First name: Jan
Last Name: Nazwakomputera
Display name: Jan Nazwakomputera
User logon name: [email protected]
Strona 14/15
Moduł 5
—
—
—
—
—
—
—
—
—
Password: P@ssw0rd123
Description: Konto do testu polecenia Dsmod
Office: Data Center
Telephone number: 213-0101
E-mail: [email protected]
Job Title: Konto testowe
Department: Data Center
Company: NWTraders
Telephone numbers -> Home: 213-0101
dsmod user "cn=Jan
Nazwakomputera,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
" -fn Jan -ln Nazwakomputera –display “Jan Nazwakomputera” -upn
[email protected] –pwd P@ssw0rd123 –desc „Konto do
testu polecenia Dsmod” -office „Data Center” -tel 213-0101 –email
[email protected] -title “Konto testowe” –dept
„Data Center” -company NWTraders -hometel 213-0101
widok i sprawdź czy konto użytkownika zostało zmodyfikowane.
5. Modyfikacja
konta komputera
przy pomocy
polecenia dsmod
• Chcesz zmienić dla konta Nazwakomputera-001 atrybut lokalizacji na
Nazwakomputera.
dsmod computer "cn=Nazwakomputera001,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" -loc
Nazwakomputera
widok i sprawdź czy konto komputera zostało zmodyfikowane.
Strona 15/15
Moduł 6
Wersja 1
Spis treści
Zarządzanie grupami ............................................................................................................................ 1
Moduł 6
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące wykorzystania grup w
administracji dostępem do zasobów i nadawania praw użytkowników.
Dowiesz się, co to są grupy wbudowane i jak je można wykorzystać. Poznasz
różnice między poszczególnymi rodzajami grup. Nauczysz się je tworzyć i
modyfikować. Dowiesz się, co to są tożsamości specjalne.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami dotyczącymi używania grup
w codziennej administracji zasobami w środowisku Active Directory, w tym
tworzenie, modyfikowanie i wykorzystanie grup wbudowanych.
• wiedział, jakie są zakresy i typy grup, czym się różnią i jak je
wykorzystać
• potrafił tworzyć grupy i modyfikować ich właściwości
• rozumiał, w jaki sposób korzystać z grup by uprościć codzienną
administrację
Wymagania wstępne
• znać budowę usługi Active Directory
• rozumieć, do czego służy usługa Active Directory
w module 4.
Strona 2/18
Moduł 6
W Twojej firmie jest ponad 300 kont użytkowników domenowych. Każdy z nich ma przypisane
indywidualne prawa do różnych udostępnionych zasobów w sieci. Ostatnio 20 użytkownikom z
działu logistyki nadawałeś uprawnienia do modyfikowania folderu z raportami. Strasznie długo to
trwało, ponieważ każdego z nich trzeba było wyszukać, dodać do listy związanej z zabezpieczeniami
folderu i każdemu z nich zmienić domyślne uprawnienie Read na Modify. Poczytałeś dokumentację
i stwierdziłeś, że znacznie ułatwisz sobie te czynności wykorzystując grupy użytkowników. Co
więcej, okazało się, że w systemie już są jakieś grupy stworzone automatycznie, które również
będziesz mógł wykorzystać.
Grupa jest zbiorem kont użytkowników, komputerów i innych grup, który może być zarządzany,
jako pojedynczy element. Użytkownicy i komputery należący do danej grupy są nazywani członkami
grupy.
Grupy w Active Directory Domain Services (AD DS) są obiektami katalogu i mogą być umieszczane
bezpośrednio w domenie lub kontenerze jednostki organizacyjnej. AD DS udostępnia zbiór
domyślnych grup tworzonych podczas instalacji, oraz umożliwia tworzenie własnych.
Grupy mogą być używane do:
• Uproszczenia administracji dzięki przypisywaniu uprawnień do współdzielonych zasobów
grupie zamiast indywidualnym użytkownikom. Takie nadanie uprawnień daje taki sam dostęp
do zasobu dla wszystkich członków grupy.
• Delegowania kontroli administracyjnej poprzez jednokrotne przypisanie praw użytkownika
do grupy poprzez Zasady Grup (ang. Group Policy). Później wystarczy dodać członków do
takiej grupy by uzyskali takie same prawa jak ta grupa.
• Tworzenie list dystrybucyjnych poczty elektronicznej
Grupy są charakteryzowane poprzez zasięg (ang. scope) i typ. Zasięg grupy określa czy jest ona
widoczna tylko w domenie, w której została stworzona czy w też całym lesie. Typ grupy mówi nam,
czy można ją użyć do przypisywania uprawnień (grupy zabezpieczeń), czy tylko jako listę
dystrybucyjną poczty e-mail (grupy dystrybucyjne).
Istnieją również grupy, w których nie można modyfikować ani wyświetlić członkostwa. Są one
nazywane grupami specjalnymi lub tożsamościami specjalnymi. Reprezentują one różnych
użytkowników w różnym czasie w zależności od okoliczności. Np. grupa Everyone jest grupą
specjalną reprezentującą wszystkich aktualnych użytkowników sieci włączając w to gości i konta
użytkowników z innych domen.
Grupy domyślne
Grupy domyślne są predefiniowanymi grupami zabezpieczeń tworzonymi automatycznie podczas
instalacji domeny Active Directory. Mogą być używane do ułatwienia kontroli dostępu do
współdzielonych zasobów i delegowania specyficznych administracyjnych ról związanych z domeną.
Wiele domyślnych grup ma automatycznie przypisane zestawy praw, dzięki którym autoryzowani
członkowie mogą wykonywać specyficzne czynności w domenie, takie jak logowanie do lokalnego
systemu lub robienie kopii bezpieczeństwa plików i folderów (np. członkowie grupy Backup
Operators mają prawa do przeprowadzenia operacji backupu dla wszystkich kontrolerów domeny.
Dodanie użytkownika do grupy powoduje uzyskanie przez niego:
• wszystkich praw przypisanych do grupy
Strona 3/18
Moduł 6
• wszystkich uprawnień, która grupa ma nadane do współdzielonych zasobów
Grupy domyślne znajdujące się w kontenerze Builtin posiadają zasięg lokalnej domeny i nie może
być zmieniony ani to, ani typ grupy. Pozostałe grupy są umieszczone w jednostce Users. Część z
nich ma zasięg globalny a część lokalny w domenie. Można je przenieść z tego kontenera do innych
grup lub jednostek organizacyjnych w domenie, lecz nie można tego zrobić do innych domen.
Grupy w kontenerze Builtin
Tabela 1 Grupy domyślne w AD w kontenerze Builtin wraz z ich charakterystyką
Grupa
Opis
Domyślne prawa w systemie
Account Operator
Członkowie tej grupy mogą Allow log on locally; Shut down
tworzyć, modyfikować i usuwać the system.
konta użytkowników, grup, i
komputerów znajdujących się w
kontenerach Users, Computers i
innych
jednostkach
organizacyjnych z wyłączeniem
jednostki Domain Controllers.
Członkowie tej grupy nie mają
uprawnień do do modyfikowania
grup Administrators i Domain
Admin oraz nie mogą usuwać kont
będącymi członkami tych grup.
Mogą logować się lokalnie do
kontrolerów domeny i mogą je
wyłączać. Ponieważ grupa ta
posiada znaczne możliwości należy
dodawać do niej tylko zaufanych
użytkowników.
Administrators
Członkowie tej grupy mają pełną
kontrolę
nad
wszystkimi
kontrolerami w domenie. Do grupy
tej domyślnie należą grupy
Domain Admins i Enterprie
Admins oraz konto użytkownika
Administrator. Ponieważ grupa ta
posiada pełną kontrolę w domenie
należy dodawać do niej tylko
zaufanych użytkowników
Strona 4/18
Access this computer from the
network; Adjust memory quotas
for a process; Back up files and
directories;
Bypass
traverse
checking; Change the system time;
Create
a
pagefile;
Debug
programs; Enable computer and
user accounts to be trusted for
delegation; Force a shutdown
from a remote system; Increase
scheduling priority; Load and
unload device drivers; Allow log
on locally; Manage auditing and
security log; Modify firmware
environment values; Profile single
process;
Profile
system
performance; Remove computer
from docking station; Restore files
and directories; Shut down the
system; Take ownership of files or
other objects.
Moduł 6
Backup Operators
Członkowie tej grupy mogą robić
kopię bezpieczeństwa plików i ją
odtwarzać
na
wszystkich
kontrolerach
w
domenie
niezależnie od indywidualnych
uprawnień przypisanych do tych
plików. Grupa ta może również
logować do kontrolera domeny i
go
wyłączyć.
Nie
posiada
domyślnych członków. Ponieważ
grupa ta posiada duże prawa na
kontrolerach
domeny
należy
użytkowników.
Guest
Domyślnie członkiem jej jest grupa Nie posiada domyślnych praw
Domain Guest oraz konto Guest
(domyślnie wyłączone)
Incoming Forest
Trust Builders
Członkowie tej grupy mogą Nie posiada domyślnych praw
tworzyć
jednokierunkowe,
przychodzące relacje zaufania do
głównej domeny w lesie.
Network
Configuration
Operators
zmieniać ustawienia TCP/IP oraz
odnawiać i usuwać adres IP na
kontrolerach w domenie. Grupa
nie ma domyślnych członków
Performance
Monitor User
lokalnie lub zdalnie monitorować
liczniki wydajności na kontrolerach
domeny nie będąc członkami grup
Administrators lub Performance
Log Users
Performance Log
Users
lokalnie lub zdalnie zarządzać
licznikami
wydajności
na
kontrolerach domeny nie będąc
członkami grupy Administrators
Pre-Windows 2000
Compatible Access
Członkowie tej grupy moją prawo Access this computer from the
czytania wszystkich użytkowników network;
Bypass
traverse
i grup w domenie. Grupa ta jest checking.
używana w celu zachowania
wstecznej
kompatybilności
z
systemami Windows NT 4.0 i
wcześniejszymi
Print Operators
Członkowie tej grupy mogą Allow log on locally; Shut down
zarządzać, tworzyć, współdzielić i the system.
usuwać drukarki przyłączone do
Strona 5/18
Back up files and directories;
Allow log on locally; Restore files
system
Moduł 6
kontrolerów
domeny.
Mogą
również
zarządzać
obiektami
drukarek w AD. Posiadają również
prawo do lokalnego logowania się
do kontrolera domeny i do jego
wyłączenia.
Nie
posiada
grupa ta może instalować i
odinstalowywać
sterowniki
urządzeń na kontrolerach domeny,
należy dodawać do niej tylko
zaufanych użytkowników.
Remote Desktop
User
Członkowie tej grupy mogą zdalnie Nie posiada domyślnych praw
logować się do kontrolerów
domeny. Nie posiada domyślnych
członków
Replicator
Grupa ta wspiera replikację Nie posiada domyślnych praw
katalogu i jest używana na
kontrolerach domeny przez usługę
File Replication. Nie posiada
domyślnych członków. Nie dodaje
się użytkowników do tej grupy.
Server Operators
Członkowie tej grupy mogą na
kontrolerach domeny logować się
interakcyjnie, tworzyć i usuwać
udostępnione zasoby, uruchamiać
i zatrzymywać niektóre usługi,
robić backup i go odtwarzać,
formatować twardy dysk i
wyłączać serwer. Nie posiada
grupa ta posiada duże prawa na
kontrolerach
domeny
należy
użytkowników.
Users
wykonywać najbardziej typowe
zadanie jak uruchamianie aplikacji,
używanie lokalnych i sieciowych
drukarek, zablokowanie serwera.
Domyślnie członkami są grupy
Domain Users, Authenticated
Users i Interactive. Dodatkowo
każde
konto
użytkownika
tworzone
w
domenie
jest
członkiem tej grupy.
Strona 6/18
Back up files and directories;
Change the system time; Force
shutdown from a remote system;
Allow log on locally; Restore files
system
Moduł 6
Grupy w kontenerze Users
Tabela 2 Grupy domyślne w AD w kontenerze Users wraz z ich charakterystyką
Grupa
Opis
Domyślne prawa w systemie
Cert Publisher
Członkowie
tej
grupy
są Nie posiada domyślnych praw
uprawnieni
do
publikowania
certyfikatów dla użytkowników i
komputerów.
Nie
posiada
domyślnych członków
DnsAdmins
Członkowie tej grupy mają Nie posiada domyślnych praw
( jest instalowana z administracyjny dostęp do usługi
usługą DNS)
serwera DNS. Nie posiada
domyślnych członków.
DnsUpdateProxy
( jest instalowana z
usługą DNS)
Członkowie tej grupy są klientami Nie posiada domyślnych praw
DNS,
mogącymi
dokonywać
dynamicznych
aktualizacji
w
imieniu innych klientów jak np.
serwery DHCP. Nie posiada
domyślnych członków.
Domain Admins
Członkowie tej grupy mają pełną
kontrolę nad domeną. Domyślnie,
grupa ta jest członkiem grupy
Administrators na wszystkich
kontrolerach domeny, stacjach
roboczych
i
serwerach
członkowskich w czasie, gdy są
przyłączone
do
domeny.
Domyślnie konto Administrators
jest członkiem tej grupy. Ponieważ
grupa ta posiada pełną kontrolę w
domenie należy dodawać do niej
tylko zaufanych użytkowników.
Domain Computers
Grupa ta zawiera wszystkie stacje Nie posiada domyślnych praw
robocze i serwery przyłączone do
domeny.
Domyślnie
każde
stworzone konto komputera jest
automatycznie
członkiem
tej
grupy.
Strona 7/18
directories;
Bypass
traverse
Create
a
pagefile;
Debug
delegation; Force a shutdown
from a remote system; Increase
process;
Profile
system
other objects.
Moduł 6
Domain Controllers
Grupa ta zwiera wszystkie Nie posiada domyślnych praw
kontrolery domeny w domenie.
Domain Guest
Grupa ta zawiera
domenowych gości
Domain Users
Grupa ta zawiera wszystkich Nie posiada domyślnych praw
domenowych
użytkowników.
Domyślnie,
każde
konto
użytkownika tworzone w domenie
staje się członkiem tej grupy
automatycznie. Może być użyta do
reprezentowania
wszystkich
użytkowników w domenie.
Enterprise Admin
(pojawia się tylko w
głównej domenie
lasu)
Członkowie tej grupy maja pełną
kontrolę
nad
wszystkimi
domenami w lesie. Domyślnie
grupa ta jest członkiem grupy
Administrators na wszystkich
kontrolerach domen w lesie.
Domyślnie konto Administrators
jest członkiem tej grupy. Ponieważ
grupa ta posiada pełną kontrolę w
lesie należy dodawać do niej tylko
zaufanych użytkowników
wszystkich Nie posiada domyślnych praw
directories;
Bypass
traverse
Create
a
pagefile;
Debug
delegation; Force shutdown from
a remote system; Increase
process;
Profile
system
other objects.
Group Policy Creator Członkowie tej grupy mogą Nie posiada domyślnych praw
Owner
modyfikować zasady grup (GPO) w
domenie.
Domyślnie
konto
Administrators jest członkiem tej
grupy. Ponieważ grupa ta posiada
znaczące prawa w domenie należy
użytkowników.
IIS_WPG
(instalowana z IIS)
Grupa procesu roboczego Internet Nie posiada domyślnych praw
Information Services (IIS).
RAS and IAS Servers Serwery w tej grupie mają dostęp Nie posiada domyślnych praw
do właściwości zdalnego dostępu
użytkowników
Strona 8/18
Schema Admins
(pojawia się tylko w
głównej domenie
lasu)
Moduł 6
modyfikować schemat Active
Directory. Domyślnie członkiem tej
grupy jest konto Administrators.
Ponieważ grupa ta posiada
znaczące prawa w lesie należy
użytkowników.
Zasięg grup
Zasięg grupy określa czy może być ona użyta w domenie, w której istnieje czy w całym lesie. Wiąże
się to również z tym, kto może być jej członkiem i czy ona sama może być zagnieżdżona w innej
grupie. Dostępne są grupy o trzech zasięgach: domenowa grupa lokalna, globalna i uniwersalna.
Domenowe grupy lokalne
Członkami grup domenowych lokalnych mogą być inne grupy oraz konta z domen Windows Server
2003, Windows 2000, Windows NT i Windows Server 2008. Grupy te mogą mieć nadane
uprawnienia tylko do zasobów znajdujących się w domenie.
Grupy o zasięgu domenowym lokalnym pomagają definiować i zarządzać dostępem do zasobów w
pojedynczej domenie. Mogą posiadać następujących członków:
•
•
•
•
•
Grupy o zasięgu globalnym
Grupy o zasięgu uniwersalnym
Konta
Inne grupy o zasięgu domenowym lokalnym
Mieszaninę powyższych
Dla przykładu, chcąc dać dostęp pięciu użytkownikom do jakiejś drukarki, możemy dodać ich do
listy uprawnień danej drukarki. Jeśli w przyszłości będziemy chcieli umożliwić tym użytkownikom
korzystanie z nowej drukarki, ponownie będzie trzeba wyspecyfikować te pięć kont na liście
uprawnień nowej drukarki.
Korzystając ze strategii grup można ułatwić sobie administrowanie tworząc grupę z zasięgiem
domenowym lokalnym i przypisując jej uprawnienia do drukarki. Następnie umieścić pięć kont
użytkowników w grupie o zasięgu globalnym a tą grupę dodać do domenowej lokalnej. Jeśli w
przyszłości będzie trzeba dodać tym użytkownikom uprawnienia do nowej drukarki, wystarczy
dodać do jej listy uprawnień stworzoną wcześniej grupę o zasięgu domenowym lokalnym. Wszyscy
członkowie grupy z zasięgiem globalnym otrzymają dostęp do urządzenia.
Grupy o zasięgu globalnym
Członkami grup globalnych mogą być inne grupy oraz konta, lecz tylko znajdujące się w domenie, w
której grupa została zdefiniowana. Grupy te mogą mieć nadane uprawnienia w każdej domenie w
lesie.
Wskazane jest, aby grup globalnych używać do codziennego zarządzania obiektami katalogu, takimi
jak konta użytkowników i komputerów. Ponieważ grupy globalne nie są replikowane poza własną
domenę, można często zmieniać listę ich członków bez generowania ruchu związanego z replikacją
katalogu globalnego.
Grupa o zasięgu uniwersalnym
Członkami grup uniwersalnych mogą być inne grupy oraz konta z dowolnej domeny w lesie. Grupy
te mogą mieć nadane uprawnienia w każdej domenie w lesie.
Strona 9/18
Moduł 6
Grup uniwersalnych można używać do łączenia grup z różnych domen. Aby to zrobić należy dodać
konta do grup o zasięgu globalnym i zagnieździć je w grupach uniwersalnych. Kiedy używa się tej
strategii, zmiany członkostwa w grupach globalnych nie mają wpływu na grupy uniwersalne.
Typy grup
Istnieją dwa typy grup: dystrybucyjne i zabezpieczeń. Grupy dystrybucyjne mogą być użyte tylko w
aplikacji poczty elektronicznej ( np. Microsoft Exchange Server 2007) do wysyłania e-mail do kilku
użytkowników. Grupy te nie mogą być wykorzystywane do funkcji związanych z zabezpieczeniami,
co oznacza, że nie są wyświetlane na poufnych listach kontroli dostępu (ang. Discretionary Access
Control Lists).
Jeśli potrzebna jest kontrola dostępu do współdzielonych zasobów należy korzystać z grup typu
zabezpieczeń. Korzystając z grup zabezpieczeń można:
• Przypisywać prawa w AD DS.
Prawa użytkownika są przypisywane do grup zabezpieczeń w celu określenia tego, co
członkowie tych grup mogą zrobić w zasięgu domeny lub lasu. Prawa użytkownika są
automatycznie przypisywanego do niektórych grup zabezpieczeń w czasie instalacji AD DS by
pomóc zdefiniować administracyjne role w domenie.
• Przypisywać uprawnienia do zasobów.
Uprawnienia różnią się od praw użytkownika. Określają one, kto ma dostęp do zasobów i
definiują poziom tego dostępu, np. Read lub Full Control. Niektóre uprawnienia do obiektów w
domenie są nadawane automatycznie dając różny poziom dostępu dla domyślnych grup
zabezpieczeń takich jak Account Operator czy Domain Admin
Podobnie jak grupy dystrybucyjne, grupy zabezpieczeń również mogą być użyte, jako listy e-mail.
Wysyłając wiadomość e-mail do grupy, zostanie on wysłany do wszystkich jej członków.
Grupy specjalne
W Microsoft Windows Server 2008, oprócz grup znajdujących się w kontenerach Users i Builtin
istnieją grupy specjane (tożsamości specjane), nieposiadające typowych list członków, które można
by modyfikować. Mogą one reprezentować różnych użytkowników w różnym czasie w zależności
od ich aktywności.
• Anonymous Logon – grupa reprezentuje użytkowników i usługi, które mają dostęp do
komputera i jego zasobów poprzez sieć bez użycia nazwy konta, hasła i nazwy domeny.
• Everyone – grupa reprezentuje wszystkich bieżących użytkowników sieci, włączając w to
gości i użytkowników z innych domen. Zawsze, kiedy użytkownik loguje się do sieci jest
automatycznie dodawany do tej grupy
• Network – grupa reprezentuje użytkowników, którzy uzyskują dostęp do zasobu poprzez sieć
w przeciwieństwie do użytkowników, którzy korzystają z tego zasobu po uprzednim lokalnym
zalogowaniu się do komputera, na którym jest udostępniony dany zasób. Kiedy użytkownik
uzyskuje dostęp do zasobu w sieci jest automatycznie dodawany do tej grupy.
• Interactive – reprezentuje użytkowników zalogowanych lokalnie i uzyskujących dostęp do
zasobu na tym komputerze. Zawsze, gdy użytkownik uzyskuje dostęp do zasobu na
komputerze, na którym się lokalnie zalogował, jest automatycznie dodawany do tej grupy
Interactive.
Grupy specjalne mogą być wykorzystywane do przypisywania praw użytkownika i uprawnień, lecz
lista członków nie może być modyfikowana ani wyświetlana. Zasięg grupy nie dotyczy tożsamości
specjalnych.
Strona 10/18
Moduł 6
Tworzenie grup
W AD DS grupy są tworzone w domenach. Można do tego wykorzystać przystawkę Active Directory
Users and Computers narzędzie wiersza poleceń. Posiadając odpowiednie uprawnienia grupy
można tworzyć w dowolnym miejscu struktury AD.
której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New>Group. W oknie New Object – Group podajemy nazwę grupy, oraz wybieramy jej zasięg i
typ.
• Dsadd – narzędzie wiersza poleceń.
dsadd group <GroupDN> [-samid<SAMName>] -secgrp {yes|no} –scope {l|g|u}
gdzie:
•
•
•
•
•
<GroupDN> - nazwa wyróżniająca LDAP tworzonego obiektu grupy
-samid – ustawia wartość SAMName
<SAMName> - unikalna nazwa Security Accounts Manager (SAM) dla grupy.
-secgrp – ustawia wartość typu grupy
{yes|no} – specyfikuje, jaki typ grupy ma być utworzony, dla grupy zabezpieczeń (yes), dla
dystrybucyjnej (no)
• -scope - ustawia wartość zasięgu grupy
• {l|g|u} – specyfikuje, jaki zasięg ma posiadać tworzona grupa, dla grupy domenowej
lokalnej (l), dla globalnej (g) i uniwersalnej (u)
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z wykorzystaniem grup do
efektywnego zarządzania prawami użytkowników i uprawnieniami Omówione zostały grupy
dystrybucyjne i zabezpieczeń oraz grupy o zasięgu domenowym lokalnym, globalnym i
uniwersalnym. Przedstawiono funkcje grup wbudowanych wraz z przypisanymi im prawami.
Wyjaśniono, w jaki sposób tworzyć grupy i nimi zarządzać.
Porady praktyczne
• Zalecane jest, aby członkowie domyślnych grup z rozszerzonymi prawami w systemie
wykorzystywali polecenia Run As do wykonywania zadań administracyjnych.
• Wskazane jest używanie grup globalnych lub uniwersalnych zamiast domenowych lokalnych
przy zarządzaniu uprawnieniami do obiektów Active Directory, które są replikowane przez
katalog globalny.
• Członkostwo grup uniwersalnych nie powinno być często modyfikowane, ponieważ zmiany
takie są replikowane pomiędzy wszystkimi katalogami globalnymi w całym lesie. Z tego
powodu wskazane jest by na liście członków grup uniwersalnych znajdowały się grupy
(globalne lub uniwersalne) zamiast indywidualnych konta użytkowników.
• Można przenosić grupy pomiędzy domenami. Możliwe jest to jednak tylko dla grup o zasięgu
uniwersalnym. Prawa i uprawnienia przypisane do takiej przeniesionej grupy są tracone i
musza być nadane na nowo.
• Na komputerach z uruchomionym systemem Windows NT lub wcześniejszym, grupa
Anonymous Logon domyślnie jest członkiem grupy Everyone.
• Jeśli domena, w której tworzysz grupę ma skonfigurowany poziom funkcjonalności, jako
Windows 2000 mixed, możesz wybrać tylko grupę typu zabezpieczeń zasięgu domenowym
lokalnym lub zabezpieczeń.
Uwagi dla studenta
Strona 11/18
•
•
•
•
Moduł 6
rozumiesz, w jaki sposób uprościć zarządzanie przy pomocy grup
umiesz stworzyć grupy i dodać do nich użytkowników
potrafisz zastosować odpowiednie zasięgi typy grup
wiesz co to są i czym się charakteryzują grupy wbudowane i grupy specjalne
2008
administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest
posiadaczem tytułu Microsoft Most Valuable Professional. Informacje dotyczące tego modułu
znajdują się w rozdziale drugim.
Strona 12/18
Moduł 6
Jesteś administratorem w firmie, która posiada kilka oddziałów. Chcesz stworzyć na serwerze
lokalną grupę, której członkowie będą mogli zarządzać kopiami bezpieczeństwa wykonywanymi na
tym komputerze. Twoi koledzy przygotowali projekt grup domenowych, które należy utworzyć w
Twojej lokalizacji. W pierwszym etapie postanawiasz stworzyć grupy obejmujące jeden dział –
Human Resources. Projekt przewiduje stworzenie dwóch grup Globalnych dla działu HR. Członkami
jednej mają być zwykli użytkownicy, a drugiej kadra zarządzająca średniego szczebla. Chcesz
również stworzyć grupy Domenowe Lokalne, których członkowie będą mieli dostęp z odpowiednimi
uprawnieniami do udostępnionych folderów. Grupa Uniwersalna będzie skupiała wszystkich
użytkowników działu HR ze wszystkich domen Twojej organizacji. Musisz także przypisać
użytkowników z działu HR do odpowiednich grup. Kolejny krok to przypisanie grup globalnych do
odpowiednich grup domenowych lokalnych i grup globalnych do grupy uniwersalnej. Na koniec
przypiszesz konto użytkownika odpowiedzialnego za zarządzanie członkostwem grup globalnych.
Plan grup do stworzenia:
Grupa lokalna: Operator kopii zapasowej
Grupy domenowe: G Nazwakomputera HR Managers, G Nazwakomputera HR Personnel, DL
Nazwakomputera HR Managers Full Control, U Nazwakomputera All HR, DL Nazwakomputera HR
Personnel Read, G Nazwakomputera IT Admins
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto zwykłego
użytkownika
•
•
•
•
•
3. Stworzenie
grupy lokalnej
przyciskiem myszy Server Manager.
OK.
• W drzewie konsoli rozwiń Server Manager (Nazwakomputera) ->
Configuration -> Local Users and Groups.
• Kliknij prawym przyciskiem myszy Groups.
• Z menu kontekstowego wybierz New Group.
• W oknie New Group w polu Group name wpisz Operator kopii
zapasowej.
• Naciśnij przycisk Close.
4. Stworzenie
grup przy pomocy
Active Directory
Users and
Strona 13/18
Computers
•
•
•
•
•
•
•
•
•
5. Stworzenie
grup przy pomocy
polecenia dsadd
Moduł 6
OK.
W oknie narzędzia Active Directory Users and Computers znajdź obiekt
ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft.
Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz
New -> Group.
W oknie New Object – Group w polu Group name wpisz G
Nazwakomputera HR Managers i naciśnij OK.
W drzewie konsoli ponownie naciśnij prawym przyciskiem myszy
jednostkę organizacyjną Nazwakomputera i wybierz polecenie New ->
Group.
W oknie New Object – Group w polu Group name wpisz DL
Nazwakomputera HR Managers Full Control.
W sekcji Group scope zaznacz Domain local i naciśnij OK.
W drzewie konsoli ponownie naciśnij prawym przyciskiem myszy
jednostkę organizacyjną Nazwakomputera i wybierz polecenie New ->
Group.
W oknie New Object – Group w polu Group name wpisz U
Nazwakomputera All HR.
W sekcji Group scope zaznacz Universal i naciśnij OK.
dsadd group "cn=G Nazwakomputera HR
Personnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" –
samid "G Nazwakomputera HR Personnel" -secgrp yes -scope g
widok i sprawdź, czy konto grupy zostało utworzone.
dsadd group "cn=DL Nazwakomputera HR Personnel
Read,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" –samid "
DL Nazwakomputera HR Personnel Read" -secgrp yes -scope l
dsadd group "cn=G Nazwakomputera IT
Admins,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" –samid
" G Nazwakomputera IT Admins" -secgrp no -scope g
6. Dodanie
członków do grup
OK.
• W oknie Active Directory Users and Computers kliknij prawym
przyciskiem myszy nwtraders.msft.
Strona 14/18
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
7. Dodawanie
grup globalnych
do grupy
uniwersalnej
Moduł 6
Z menu kontekstowego wybierz Find.
W oknie Find Users, Contacts, and Groups wybierz zakładkę Advanced.
Naciśnij przycisk Field -> User -> City.
W polu Value wpisz Nazwakomputera i naciśnij Add.
Naciśnij przycisk Field -> User -> Job Title.
W polu Value wpisz HR Personnel i naciśnij Add.
Wybierz Find now.
Kliknij na pierwszego użytkownika w sekcji Search results.
Trzymając wciśnięty przycisk Shift przewiń listę i kliknij na ostatnim
użytkowniku.
Kliknij prawym przyciskiem myszy na zaznaczonym obszarze i z menu
kontekstowego wybierz Add to group.
W oknie Select Group wpisz G Nazwakomputera HR Personnel i naciśnij
OK.
W oknie informacyjnym naciśnij OK.
Zamknij okno Find Users, Contacts, and Groups.
W oknie narzędzia Active Directory Users and Computers kliknij obiekt
cn=G
Nazwakomputera
HR
Personnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
prawym przyciskiem myszy.
Z menu kontekstowego wybierz Properties.
W oknie G Nazwakomputera HR Personnel wybierz zakładkę Members.
Sprawdź czy na liście członków są konta użytkowników, które dodałeś.
W oknie Active Directory Users and Computers kliknij prawym
przyciskiem myszy nwtraders.msft.
Z menu kontekstowego wybierz Find.
W oknie Find Users, Contacts, and Groups wybierz zakładkę Advanced.
Naciśnij przycisk Field -> User -> City.
W polu Value wpisz Nazwakomputera i naciśnij Add.
Naciśnij przycisk Field -> User -> Job Title.
W polu Value wpisz HR Manager i naciśnij Add.
Wybierz Find Now.
Kliknij prawym przyciskiem myszy na użytkowniku w sekcji Search
results i z menu kontekstowego wybierz Add to group.
W oknie Select Group wpisz G Nazwakomputera HR Managers i naciśnij
OK.
W oknie informacyjnym naciśnij OK.
Zamknij okno Find Users, Contacts, and Groups.
W oknie narzędzia Active Directory Users and Computers kliknij obiekt
cn=G
Nazwakomputera
HR
Managers,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
W oknie G Nazwakomputera HR Manager wybierz zakładkę Members.
Sprawdź czy na liście członków jest użytkownik, którego dodałeś.
• W oknie narzędzia Active Directory Users and Computers kliknij obiekt
cn=U
Nazwakomputera
All
HR,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym
przyciskiem myszy.
Strona 15/18
Moduł 6
• Z menu kontekstowego wybierz Properties.
• W oknie U Nazwakomputera All HR Properties wybierz zakładkę
Members.
• Kliknij przycisk Add.
• W oknie select Users, Contacts, Computers, or Groups wpisz G
Nazwakomputera HR Personnel i naciśnij OK.
• W oknie select Users, Contacts, Computers, or Groups wpisz G
Nazwakomputera HR Managers i naciśnij OK.
• Naciśnij OK.
8. Dodawanie
grup globalnych
do grup
domenowych
lokalnych
cn=G
Nazwakomputera
HR
• W oknie G Nazwakomputera HR Managers Properties wybierz zakładkę
Member Of.
• W oknie select Users, Contacts, Computers, or Groups wpisz DL
Nazwakomputera HR Managers Full Control i naciśnij OK.
• Kliknij przycisk OK.
cn=G
Nazwakomputera
HR
Pesronnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
• W oknie G Nazwakomputera HR Personel Properties wybierz zakładkę
Member Of.
• W oknie select Users, Contacts, Computers, or Groups wpisz DL
Nazwakomputera HR Personnel Read i naciśnij OK.
• Kliknij przycisk OK.
9. Zmiana
zakresu grupy
i nazwy
cn=G
Nazwakomputera
IT
Admins,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
• W oknie G Nazwakomputera IT Admins na zakładce General w sekcji
Group Scope zaznacz Universal.
• W sekcji Group type zaznacz Security.
• Naciśnij OK.
cn=G
Nazwakomputera
IT
Admins,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
• Z menu kontekstowego wybierz Rename.
• Wpisz U Vancouver IT Admins i naciśnij Enter.
• W oknie Rename Group w polu Group name (pre-Windows 2000) wpisz
U Vancouver IT Admins.
Strona 16/18
Moduł 6
• Naciśnij OK.
10. Przypisanie
managera do grup
globalnych
cn=G
Nazwakomputera
HR
• W oknie G Nazwakomputera HR Managers Properties wybierz zakładkę
Managed By.
• Kliknij przycisk Change.
• W oknie Select Users, Contacts, Computers, or Groups wpisz
NazwakomputeraUser i naciśnij OK.
• Zaznacz opcję Manager can update membership list.
• Naciśnij OK.
cn=G
Nazwakomputera
HR
Personnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft
• W oknie G Nazwakomputera HR Personnel Properties wybierz zakładkę
Managed By.
• Kliknij przycisk Change.
• W oknie Select Users, Contacts, Computers, or Groups wpisz
• Zaznacz opcję Manager can update membership list.
• Naciśnij OK.
Strona 17/18
Moduł 6
Strona 18/18
Moduł 7
Wersja 1
Zarządzanie dostępem do zasobów
Spis treści
Zarządzanie dostępem do zasobów ..................................................................................................... 1
Moduł 7
Informacje o module
Opis modułu
W module tym znajdziesz informacje na temat zarządzania dostępem do
zasobów. Poznasz uprawnienia standardowe i specjalne, oraz dowiesz się, w
jaki sposób nadawać je użytkownikom do obiektów. Zostanie wyjaśnione
pojęcie dziedziczenia uprawnień oraz sposób, w jaki można je wykorzystać.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami dotyczącymi zarządzania
dostępem do zasobów a w szczególności nadawanie uprawnień do
folderów udostępnionych i na poziomie NTFS
• wiedział, co to są uprawnienia i jak z nich skorzystać definiując
poziom dostępu do zasobu
• potrafił stworzyć udostępniony folder i nadać do niego uprawnienia
dla użytkowników i grup
• rozumiał, na czym polega dziedziczenie uprawnień
Wymagania wstępne
Strona 2/16
Moduł 7
Twoim zadaniem jest stworzenie odpowiedniej struktury katalogów, w której użytkownicy z
poszczególnych działów będą przechowywać swoje dokumenty, oraz przypisać dla nich
odpowiednie uprawnienia w taki sposób, by tylko osoby z odpowiednich działów miały dostęp do
odpowiadającym im folderów. Dodatkowo w jednym z folderów będą zainstalowane udostępnione
aplikacje. Musisz odpowiednio nadać uprawnienia do niego.
Kontrola dostępu
Kontrola dostępu jest procesem autoryzacji użytkowników, grup i komputerów podczas dostępu do
obiektu w sieci lub na komputerze. Kluczowymi pojęciami z tym związanymi są uprawnienia,
własność obiektu, dziedziczone uprawnienia, prawa użytkownika i audyt obiektu.
Uprawnienia
Uprawnienia definiują typ dostępu przydzielany użytkownikowi lub grupie do obiektu lub do
właściwości obiektu. Używając interfejsu kontroli dostępu, można nadawać uprawnienia NTFS do
obiektów takich jak pliki i foldery, obiektów Active Directory, rejestrów lub obiektów systemu
takich jak procesy. Uprawnienia mogą być przypisane do użytkownika, grupy lub komputera. Dobrą
praktyką jest nadawanie uprawnień dla grup, ponieważ zwiększa to wydajność systemu podczas
weryfikowania dostępu do obiektu.
Do każdego obiektu można nadać uprawnienia dla:
• grup, użytkowników i innych obiektów posiadających identyfikator zabezpieczeń (SID) w
domenie
• grup i użytkowników w domenie i domenach zaufanych
• lokalnych użytkowników i grup na komputerach gdzie dany obiekt się znajduje
Uprawnienia związane z obiektem zależą od jego typu. Np. uprawnienia, które mogą być związane z
plikiem mogą być różne od uprawnień dotyczących klucza rejestru. Jednak niektóre uprawnienia są
wspólne dla większości typów obiektów. Są to:
•
•
•
•
Read
Modify
Change owner
Delete
Ustawiając uprawnienia definiujemy poziom dostępu dla grup lub użytkowników. Np. możemy
pozwolić jednemu użytkownikowi czytać zawartość pliku, innemu robić w nim zmiany, a wszystkim
innym zabronić do niego dostępu. Podobnie można ustawić uprawnienia do drukarki gdzie kilku
użytkowników może ją konfigurować a pozostali używać tylko do drukowania.
Właściciel obiektu
Właściciel jest przypisywany w momencie, gdy obiekt jest tworzony. Domyślnie, właścicielem
obiektu jest jego twórca. Nie ma znaczenia, jakie posiada on uprawnienia do obiektu, ponieważ
zawsze może je zmienić.
Dziedziczenie uprawnień
Dziedziczenie ułatwia administratorom nadawanie uprawnień i zarządzanie nimi. Właściwość ta
polega na tym, że obiekty znajdujące się w kontenerze automatycznie otrzymują wszystkie
dziedziczone od niego uprawnienia. Np. wszystkie pliki w folderze w momencie tworzenia
dziedziczą uprawnienia od tego folderu.
Strona 3/16
Moduł 7
Prawa użytkownika
Prawa użytkownika dają specyficzne przywileje dla użytkowników i grup w środowisku
komputerów. Administrator może przypisywać określone prawa do grup lub kont indywidualnych
użytkowników. Umożliwiają one użytkownikom wykonywanie specyficznych akcji takich jak
interaktywne logowanie do systemu czy wykonywanie kopii zapasowej plików i folderów. Prawa
użytkownika różnią się od uprawnień, ponieważ są przypisywane do kont użytkownika, a
uprawnienia są połączone z obiektem. Mimo, że prawa użytkownika mogą być przypisywane do
indywidualnych kont użytkowników, zalecane jest by nadawać je korzystając z grup. Do
przypisywania praw użytkownikom wykorzystywana jest przystawka Local Security Settings.
Audyt obiektu
Posiadając prawa administratora można śledzić zakończone sukcesem lub porażką dostępy
użytkowników do obiektów. Korzystając z interfejsu kontroli dostępu użytkownika można wybrać
obiekt, który chcemy sprawdzać, lecz najpierw trzeba uruchomić tą funkcjonalność przy pomocy
przystawki Local Security Settings włączając Audit object Access w Local Policy. Następnie można
zobaczyć te powiązane z bezpieczeństwem zdarzenia w dzienniku Security w narzędziu Event
Viewer.
Zarządzanie uprawnieniami
Każdy kontener i obiekt w sieci posiada połączony ze sobą zbiór informacji o kontroli dostępu.
Informacje te służą do kontroli typu dostępu dla użytkowników i grup.
Uprawnienia są
zdefiniowane w deskryptorze bezpieczeństwa obiektu i są przypisane do użytkowników i grup.
Typowym przykładem obiektu z deskryptorem zabezpieczeń jest plik. Np. dla pliku raport.xls
wbudowana grupa Administrators może posiadać uprawnienia Full Control, a grupa G Finanse tylko
Read i Write.
Każde przypisanie uprawnień do użytkownika lub grupy jest reprezentowane w systemie, jako zapis
kontroli dostępu (ang. access control entry). Zbiór takich zapisów w deskryptorze zabezpieczeń
obiektu jest znany, jako lista kontroli dostępu (ang. access control list). W ten sposób do pliku
raport.xls lista ACL posiada dwa wpisy ACE, jeden dla grupy Administrators i drugi dla G Finanse
(Rys. 1).
Rys. 1 Okno interfejsu kontroli dostępu
Strona 4/16
Moduł 7
Istnieją dwa typy uprawnień:
• Uprawnienia przypisane bezpośrednio – nadawane bezpośrednio na obiekcie przez
użytkownika.
• Uprawnienia dziedziczone – propagowane do obiektu od obiektu nadrzędnego (rodzica).
Ułatwiają zadania związane z zarządzaniem uprawnieniami i zapewniają spójność uprawnień
dla wszystkich obiektów wewnątrz kontenera.
Domyślnie, obiekty wewnątrz kontenera dziedziczą od niego uprawnienia w momencie, kiedy są
tworzone. Na przykład, kiedy tworzymy folder o nazwie MojeRaporty, wszystkie tworzone w nim
podfoldery i pliki automatycznie dziedziczą od niego uprawnienia. Folder MojeRaporty posiada
uprawnienia przypisane bezpośrednio a podfoldery i pliki mają uprawnienia dziedziczone.
Jeśli uprawnienia nie maja być dziedziczone należy w folderze nadrzędnym w ustawieniach
uprawnień specjalnych w sekcji Apply onto wybrać opcję This folder only. Uprawnienia specjalne
dostępne są poprzez zakładkę Permissions. W przypadku, gdy chcemy by tylko kilka plików lub
folderów w kontenerze nie dziedziczyło uprawnień należy wybrać na każdym z nich polecenie
Properties, następnie zakładkę Security, kliknąć przycisk Advanced a potem odznaczyć opcję
Include inheritable permissions from this object’s parent.
Jeśli check box Allow lub Deny powiązany z uprawnieniem jest wyszarzony, oznacza to uprawnienie
jest dziedziczone z folderu nadrzędnego. Są trzy metody zmiany dziedziczonych uprawnień:
• Zaznaczyć przeciwne uprawnienie (Allow lub Deny), aby nadpisać dziedziczone uprawnienie
• Wyczyścić check box Include inheritable permissions from this object’s parent. Będzie wtedy
można zmodyfikować dziedziczone uprawnienie lub usunąć użytkownika lub grupę z listy
ACL. W takim wypadku uprawnienia plik lub folder nie będzie dłużej dziedziczył uprawnień
od folderu nadrzędnego
• Zrobić pożądaną zmianę na folderze nadrzędnym, a plik lub folder poniżej odziedziczy
ustawienie
W większości przypadkach ustawienie Deny nadpisuje Allow, nie dotyczy to sytuacji, kiedy folder
dziedziczy konfliktowe ustawienia od różnych rodziców. W takim wypadku obiekt dziedziczy
ustawienie od rodzica bliższego w drzewie folderów.
Zarządzając dostępem możemy korzystać z uprawnień standardowych i specjalnych. Uprawnienia
standardowe są zdefiniowanymi zastawami uprawnień wykorzystywanymi najczęściej przez
administratorów w codziennym zarządzaniu. Uprawnienia specjalne są bardziej szczegółową listą
uprawnień. Z nich budowane są uprawnienia standardowe.
Tabela 1 Uprawnienia standardowe i wchodzące w ich skład uprawnienia szczegółowe
Uprawnienia specjalne
Full
Modify
Read & List Folder
Control
Execute Contents
(tylko
dla
folderów)
Read
Write
Traverse Folder/Execute File x
x
x
x
List Folder/Read Data
x
x
x
x
x
Read Attributes
x
x
x
x
x
Read Extended Attributes
x
x
x
x
x
Create Folders/Append Data x
x
x
Create Folders/Append Data x
x
x
Write Attributes
x
X
x
Strona 5/16
Moduł 7
Write Extended Attributes
x
x
x
Delete Subfolders and Files
x
Delete
x
x
Read Permissions
x
x
x
x
x
x
Change Permissions
x
Take Ownership
x
Synchronize
x
x
x
x
x
x
Dostęp do folderu na serwerze plików może być określony na dwóch poziomach: uprawnień
ustawionych na udostępnionym folderze i uprawnień NTFS zdefiniowanych na folderze (mogą być
także na pliku). Uprawnienia udostępnienia często są wykorzystywane przy zarządzaniu dostępem
do komputerów z systemem plików FAT32, lub innych komputerów nieobsługujących systemu
NTFS.
Uprawnienia udostępnienia i NTFS są niezależne w sensie ustawiania ich na folderze. Rzeczywiste
uprawnienia do udostępnionego folderu zależą zarówno od uprawnień do udostępnionego folderu
jak i od uprawnień NTFS – bardziej restrykcyjne są obowiązujące.
Tabela (Tabela 2) przedstawia sugerowane uprawnienia dla różnych typów udostępnionych
folderów. Jest to jedna z alternatyw, ponieważ niektórzy doświadczeni administratorzy preferują
nadawanie uprawnień Full Control dla grupy Everyone, a ograniczanie dostępu dopiero na
poziomie NTFS.
Tabela 2 Sugerowane uprawnienia dla różnych typów folderów
Typ folderu
Uprawnienia udostępnionego Uprawnienia NTFS
folder
Folder Publiczny
Folder dostępny dla
wszystkich
Nadane
uprawnienie Nadane uprawnienie Modify
Change do grupy Users
dla grupy Users
Folder do wrzucania
Nadane
uprawnienie Nadane uprawnienie Write
Change dla grupy Users.
zastosowane tylko do tego
Folder gdzie użytkownicy
folderu (ang. This folder only)
mogą umieszczać tajne
Nadane uprawnienie Full
dla grupy Users (opcja
raporty, które czytać
Control
dla
grupy
dostępna w Advanced).
mogą tylko grupy
kierowników
kierowników
Jeśli każdy z użytkowników
potrzebuje
pewnych
uprawnień do plików, które
umieścił w tym folderze,
można
stworzyć
wpis
uprawnień dla grupy Creator
Owner i zasosować do do
podfolderów i plików (ang.
Subfolder and files Only
Folder aplikacji
Folder zawierający
Nadane
uprawnienie Nadane
uprawnienie
Read dla grupy Users.
Read,Read and Execute i List
folder Content dla grupy
Strona 6/16
Moduł 7
aplikacje uruchamiane z
sieci
Foldery domowe
Indywidualny folder dla
każdego użytkownika.
Tylko użytkownik ma do
niego dostęp
Users.
Control
dla
każdego
użytkownika
na
odpowiadającym
mu
folderze.
Control
dla
każdego
użytkownika
na
odpowiadającym mu folderze.
Każdy obiekt posiada zbiór połączonych z nim efektywnych uprawnień. Na zakładce Effective
Permissions w opcjach Advanced Security Settings można wyświetlić uprawnienia nadane
bezpośrednio użytkownikowi oraz uzyskiwane przez niego poprzez przynależność do grup.
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z zarządzaniem dostępem do
obiektów. Wyjaśnione zostały uprawnienia standardowe i specjalne, oraz zasady ich dziedziczenia.
Omówiono, w jaki sposób nadawać uprawnienia do folderu udostępnionego i uprawnienia NTFS.
Porady praktyczne
• Dziedziczone uprawnienie, które jest zabronione (ang. Deny) nie uniemożliwia dostępu, jeśli
obiekt ma bezpośrednio przypisane uprawnienie zezwalaj (ang. Allow). Uprawnienie nadane
bezpośrednio ma pierwszeństwo nad uprawnieniem dziedziczonym.
• W systemie Wndows Server 2008 i Windows Server 2003, domyślnie grupa Everyone nie
zawiera w sobie grupy Anonymous, więc uprawnienia przypisane grupie Everyone nie
dotyczą grupy Anonymous
• Pomimo tego że uprawnienia List Folder Contents i Read & Execute mają takie same
uprawnienia szczegółowe, to są one dziedziczone w różny sposób. Uprawnienie List Folder
Contents jest dziedziczone przez foldery, ale nie przez pliki i powinno być widoczne tylko,
kiedy widzimy uprawnienia folderu. Uprawnienie Read & Execute jest dziedziczone zarówno
przez pliki, jaki foldery i jest widoczne zawsze widoczne w podglądzie uprawnień plików i
folderów.
• Grupy i użytkownicy, którzy mają uprawnienie Full Control do folderu mogą usunąć dowolne
pliki w folderze niezależnie od nadanych do nich uprawnień
• Nadając użytkownikowi uprawnienie Full Control do folderu pozwala się jemu na przejęcie na
własność tego folderu
• Jeśli chcesz zarządzać dostępem do folderu tylko poprzez NTFS, nadaj uprawnienia do
udostępnionego folderu, jako Full Control dka grupy Everyone.
• Uprawnienia NTFS mają wpływ zarówno na dostęp lokalny jak i zdalny. Są wykorzystywane
niezależnie od używanego protokołu. Uprawnienia udostępnionego folderu nie działają na
użytkowników korzystających lokalnie z zasobu, oraz na użytkowników korzystających z
serwera terminali, na którym jest udostępniony zasób.
Uwagi dla studenta
• rozumiesz co to są uprawnienia
• umiesz zarządzać uprawnieniami
• potrafisz zarządzać dziedziczeniem uprawnień
Strona 7/16
Moduł 7
• wiesz, czym się różnią uprawnienia podstawowe od szczegółowych
2008
posiadaczem tytułu Microsoft Most Valuable Professional.. Informacje dotyczące tego modułu
znajdują się w rozdziale trzecim
Strona 8/16
Moduł 7
Jesteś administratorem w firmie. Wraz z kolegami zaprojektowałeś strukturę folderów na dyskach
serwerów Rys. 2 .
Rys. 2 Projekt struktury folderów
Musisz teraz stworzyć foldery, udostępnić je i przypisać uprawnienia do nich zgodnie z tabelą
Tabela 3.
Tabela 3 Uprawnienia do folderów
Folder
Grupa
Uprawnienia NTFS
Uprawnienia
dla
folderu
udostępnionego
E:\Public
Authenticated Users
Traverse Folder /
Change
Execute File
List Folder /
Read Data
Read Permissions
E:\Public\Accounting
E:\Public\HR
Nazwakomputera\Administrators
Full Control
DL NWTraders Accounting Personnel
Full Control
Full Control
Full Control
DL NWTraders HR Personnel Full
Full Control
Control
E:\HR Reports
Full Control
DL NWTraders HR Personnel Full
Control
Full Control
DL NWTraders Accounting Managers
Read
Read
Należy również przeprowadzić testy, by mieć pewność, że użytkownicy mogą korzystać z folderów
zgodnie z planem. Chcesz, by na zdalnym serwerze w centrali był stworzony folder
NazwakomputeraFolder, udostępniony pod nazwą Nazwakomputera Admins Folder, w którym
będzie przechowywana dokumentacja, z której korzystają wszyscy administratorzy
przedsiębiorstwa. Usuń grupie Users uprawnienia NTFS do tego folderu, a grupie G
NazwakomputeraAdmins daj uprawnienia Modify. Zabierz grupie Everyone uprawnienia do
udostępnionego folderu i daj tylko dla G NazwakomputeraAdmins. Chcesz zezwolić na 15
jednoczesnych połączeń do tego folderu. Chcesz w przyszłości monitorować wykorzystanie
przestrzeni dyskowej przez poszczególnych użytkowników. Po stworzeniu folderu HR skopiowałeś
tam pliki działu Human Resources. Chcesz, by właścicielem ich był użytkownik HRManager.
Strona 9/16
Moduł 7
Użytkownik NazwakomputeraUser zgłasza Tobie, że nie może zapisywać plików w folderze Public –
sprawdź jego uprawnienia efektywne.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto z
uprawnieniami
administracyjnymi
3. Stwórz
strukturę
folderów
i przypisz im
uprawnienia
• Na dysku E: stwórz folder Public.
• Kliknij na nim prawy przycisk myszy i z menu kontekstowego wybierz
Properties.
• W oknie Public Properties wybierz zakładkę Sharing.
• Kliknij przycisk Advanced Sharing.
• W oknie Advanced Sharing zaznacz pole wyboru Share this folder.
• Wybierz przycisk Permissions.
• W oknie Permissions for Public w sekcji Group or user names zaznacz
Everyone i naciśnij przycisk Remove.
• W oknie Select Users, Computers, or Groups wpisz Authenticated
Users i naciśnij OK.
• W sekcji Permissions for Authenticated Users zaznacz pole Change w
kolumnie Allow.
• Naciśnij OK.
• Naciśnij OK.
• W oknie Public Properties wybierz zakładkę Security.
• Wybierz przycisk Advanced.
• W oknie Advanced Security Settings for Public wybierz przycisk Edit.
• Odznacz opcję Include inheritable permissions from this object’s
parents.
• W oknie Windows Security wybierz Copy.
• W sekcji Permision entries zaznacz System i kliknij przycisk Remove.
• Powtórz czynność dla innych wpisów z pominięciem Administrators
(Nazwakomputera\Administrators).
• W oknie Select User, Computers, or Group wpisz Authenticated User
i naciśnij OK.
• W oknie Permission Entry for Public w sekcji Apply to wybierz This
folder only.
• W sekcji Permissions zaznacz w kolumnie Allow:
•
•
•
•
•
— Traverse folder / execute file
— List folder / read data
— Read permissions
• Naciśnij OK.
Strona 10/16
•
•
•
•
Moduł 7
Naciśnij OK.
Naciśnij OK.
Naciśnij Close.
W folderze Public stwórz dwa foldery:
— Accounting
— HR
W trakcie tworzenia folderów pojawi się okno User Account Control.
Należy wybrać przycisk Continue.
• Kliknij prawym przycisk myszy folder
fo
Accounting i z menu
kontekstowego wybierz Properties.
• W oknie Accounting Properties wybierz zakładkę Security.
• Wybierz
W
przycisk Continue.
• W oknie User Account Control wybierz Continue..
• W oknie Permissions for Accounting kliknij Add.
• W oknie Select User, Computers, or Group wpisz DL NWTraders
Accounting Personnel Full Controli naciśnij OK.
• W oknie Permissions for Accounting zaznacz Full Control w kolumnie
Allow i naciśnij OK.
• Naciśnij OK.
• Kliknij prawym przyciskiem
przycisk
myszy folder HR i z menu kontekstowego
wybierz Properties.
• W oknie HR Properties wybierz zakładkę Security.
• Wybierz przycisk Continue.
• W oknie Permissions for Accounting kliknij Add.
• W oknie Select User, Computers, or Group wpisz DL NWTraders HR
Personnel Full Control i naciśnij OK.
• W oknie Permissions for Accounting zaznacz Full Control w kolumnie
Allow i naciśnij OK.
• Naciśnij OK.
• Wyloguj się.
4. Testowanie
uprawnień do
folderów
udostępnionych
•
•
•
•
•
•
W polu User Name wpisz HRUser.
Enter
W
Wybierz
\\
\Nazwakomputera\Public\Accounting
Powinno pojawić się okno Network Error,
Error w którym wybierz
Diagnose. W oknie Windows Network Diagnostics zapoznaj się z
komunikatem i naciśnij Cancel.
• Wybierz
W
E:
:\Public\Accounting
Powinno pojawić się okno Accounting z informacją o braku uprawnień
- naciśnij Cancel.
• Wybierz
W
Strona 11/16
Moduł 7
\\Nazwakomputera\Public\HR
• Stwórz w folderze HR plik tekstowy.
E:\Public\HR
• Stwórz w folderze HR plik tekstowy.
• Wyloguj się.
5. Stworzenie
i udostępnienie
folderu HR
Reports
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Na dysku E: stwórz folder HR Reports.
Kliknij na nim prawy przycisk myszy i menu kontekstowego wybierz
Properties.
W oknie HR Reports Properties wybierz zakładkę Sharing.
Kliknij przycisk Advanced Sharing.
W oknie User Account Control wybierz Continue.
W oknie Advanced Sharing zaznacz pole wyboru Share this folder.
W oknie Comments wpisz Raporty działu Human Resources.
Wybierz przycisk Permissions.
W oknie Permissions for HR Reports w sekcji Group or user names
zaznacz Everyone i naciśnij przycisk Remove.
Kliknij przycisk Add.
W oknie Select Users, Computers, or Groups wpisz DL NWTraders HR
Personnel Full Control i naciśnij OK.
W sekcji Permissions for DL NWTraders HR Personnel Full Control
zaznacz pole Full Control w kolumnie Allow.
Kliknij przycisk Add.
W oknie Select Users, Computers, or Groups wpisz DL NWTraders
Accounting Managers Read i naciśnij OK.
W sekcji Permissions for DL NWTraders Accounting Managers Read
sprawdź czy jest zaznaczone pole Read w kolumnie Allow.
Naciśnij OK.
Naciśnij OK.
W oknie HR Reports Properties wybierz zakładkę Security.
Naciśnij przycisk Edit.
W sekcji Group or user names zaznacz Users.
W sekcji Permisions for Users zaznacz Modify w kolumnie Allow.
Naciśnij OK.
Naciśnij Close.
Wyloguj się
•
•
•
•
•
•
W polu User Name wpisz AccountingManager.
•
•
•
•
•
•
•
•
•
•
•
•
•
6. Testowanie
udostępnionego
folderu
\\Nazwakomputera\HR Reports
Strona 12/16
Moduł 7
• Stwórz w folderze nowy plik tekstowy.
Powinno pojawić się okno Destination Folder Access Denied.
Denied Jeżeli
nie, to oznacza, że nadano nieprawidłowe uprawnienia dla grup naciśnij Cancel.
•
•
•
•
•
•
•
Wyloguj się.
W polu User Name wpisz HRUser.
Enter
W
Wybierz
\\
\Nazwakomputera\HR Reports
• Stwórz w folderze nowy plik tekstowy.
Wylogu się
Wyloguj
7. Tworzenie
i udostępnianie
folderu na
zdalnym
komputerze
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
W polu User Name wpisz [email protected].
[email protected]
Enter
Wybierz menu Start -> Administrative Tools ->
- Share and Storage
Management
Management.
W oknie Share and Storage Management wybierz menu Action
i polecenie Connect to another Computer.
W oknie Connect to Another computer zaznacz Another computer
i wpisz London.
Naciśnij Ok.
Wybierz menu Action -> Provision Share.
W oknie Shared Folder Location w polu Location wpisz
E:
E:\NazwakomputeraFolder
i naciśnij Next.
W oknie informującym o braku folderu i pytaniu o jego stworzenie
naciśnij OK.
W oknie Provision a Shared Folder Wizard naciśnij Yes.
W oknie NTFS Permission zaznacz Yes, change NTFS permissions
i naciśnij przycisk Edit Permissions.
W oknie Permissions for NazwakomputeraFolder naciśnij przycisk
Advanced
Advanced.
W oknie Advanced Security Settings for NazwacomputeraFolder
Nazwacomputera
odznacz opcje Include inheritable permissions from this object’s
parent
parent.
W oknie Windows Security naciśnij Copy.
Naciśnij OK.
W oknie Permissions for NazwakomputeraFolder zaznacz grupę Users
i naciśnij przycisk Remove.
Naciśnij przycisk Add.
W oknie Select Users, Computers, or Groups wpisz G
NazwakomputeraAdmins i naciśnij OK.
W oknie Permissions for NazwakomputeraFolder w sekcji Permissions
for G NazwakomuteraAdmins zaznacz uprawnienie Modify w kolumnie
Strona 13/16
Moduł 7
Allow
Allow.
• Naciśnij OK.
• W oknie NTFS Permission wybierz Next.
• W oknie Share Protocols w polu Share name wpisz Nazwakomputera
Admins Folder i naciśnij Next.
• W oknie SMB Settings w polu Description wpisz Folder
Administratorow miasta Nazwakomputera.
• Wybierz przycisk Advanced.
• W oknie Advanced na zakładce User Limits zaznacz Allow this number
users i wpisz wartość 15.
• Zaznacz pole Enable access-based enumeration i naciśnij OK.
• W oknie SMB Settings naciśnij Next.
• W oknie SMB Permissions zaznacz opcję Users and groups have custom
share permissions i naciśnij przycisk Permissions.
Permissions
• W oknie Permissions for Nazwakomputera Admins Folder zaznacz
grupę Everyone i naciśnij przycisk Remove.
• Naciśnij przycisk Add.
• W oknie Select Users, Computers, or Groups wpisz G
NazwakomputeraAdmins i naciśnij OK.
• W sekcji Permisions for G NazwakomputeraAdmins zaznacz Change w
kolumnie Allow
• W oknie Select Users, Computers, or Groups wpisz Administrators
i naciśnij OK.
• W sekcji Permisions for Administrators zaznacz Full Control w kolumnie
Allow
Allow.
• Nacisnij OK.
• W oknie SMB Permissions naciśnij Next.
• W oknie DFS Namespace Publishing naciśnij Next.
Next
• W oknie Review Settings and Create Share naciśnij Create.
• W oknie Confirmation naciśnij Close.
• Wybierz Start i w polu Start Search wpisz \\London
London.
Zobacz, że wśród dostępnych udziałów na serwerze London jest
stworzony przez Ciebie folder Nazwakomputera Admins Folder.
Folder
• Otwórz udział i stwórz w nim plik tekstowy.
8. Zmiana
właściciela
folderu
• Otwórz folder E:\Public.
• Kliknij prawym przyciskiem myszy naa folderze HR i z menu
• Wybierz zakładkę Security.
• Kliknij przycisk Advanced.
• Wybierz zakładkę Owner.
• Kliknij przycisk Edit.
• Kliknij przycisk Other users or groups.
• W oknie Select Users, Computers, or Groups wpisz HRManager i
naciśnij OK.
• Zaznacz opcję Replace owner on subcontainers and objects.
objects
• W sekcji Change owner to zaznacz HRManager.
• Kliknij przycisk Apply.
• W oknie Windows Security naciśnij OK.
Strona 14/16
Moduł 7
Sprawdź, że w polu Current owner jest wyświetlene HRManager
([email protected]).
• Naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
9. Sprawdzenie
uprawnień do
folderu
• Kliknij prawym przyciskiem myszy na folderze E:\Public i z menu
• Wybierz zakładkę Security.
• Kliknij przycisk Advanced.
• Wybierz
Wybi zakładkę Effective Permissions.
• Kliknij przycisk Select
awdź jakie uprawnienia posiada
W sekcji Effective permissions sprawdź
użytkownik NazwakomputeraUser.
• Naciśnij OK.
• Naciśnij OK.
Strona 15/16
Moduł 7
Strona 16/16
Moduł 8
Wersja 1
Zarządzanie składowaniem danych
Spis treści
Zarządzanie składowaniem danych ..................................................................................................... 1
Moduł 8
Informacje o module
Opis modułu
W module tym znajdziesz informacje dotyczące zarządzania danymi
przechowywanymi na serwerach Dowiesz się jak, jak zwiększyć
bezpieczeństwo danych przy wykorzystaniu szyfrowania plików. Poznasz
sposób tworzenia wirtualnej przestrzeni nazw i replikacji folderów miedzy
serwerami. Dowiesz się, w jaki sposób ograniczać użytkownikom dostępne
miejsce na serwerach oraz możliwość zapisywania określonych typów
plików. Poznasz narzędzia raportowania.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami związanymi ze
składowaniem danych, a w szczególności z szyfrowaniem danych EFS,
systemem DFS, oraz narzędziem File Server Resource Manager.
• wiedział, jak zarządzać danymi przechowywanymi na dyskach
serwerów
• potrafił skonfigurować wirtualną przestrzeń nazw i replikacje
folderów, oraz nałożyć ograniczenia związane zapisywanymi danymi
na dyski serwerów
• rozumiał, w jaki sposób działa EFS, oraz usługi DFS
Wymagania wstępne
• znać zagadnienia związane z nadawaniem uprawnień do folderów i
plików
w module 7
Strona 2/15
Moduł 8
Ostatnio Twoja firma straciła dwa notebooki. Jeden został skradziony przedstawicielowi
handlowemu a drugi jednemu z dyrektorów. Oba pracowały w domenie, więc złodziej chcąc dostać
się do nich musi wprowadzić hasło, ale jeśli będzie sprytny to poradzi sobie w inny sposób. Chcesz
zwiększyć bezpieczeństwo firmowych danych, szczególnie tych przechowywanych na komputerach
przenośnych.
Chcesz także by użytkownikom z różnych oddziałów łatwiej i wydajniej pracowało się na wspólnych
folderach. Idealnie by było, gdyby takie same foldery z danymi znajdowały się w każdej lokalizacji i
by ich zawartość zawsze była aktualna.
Wczoraj zauważyłeś, że na jednym z woluminów serwera szybko ubywa wolnej przestrzeni.
Przeglądają pobieżnie foldery zauważyłeś, że jeden z użytkowników przechowuje w nim dużo zdjęć
i filmów. Chcesz ograniczyć dostępną dla użytkowników przestrzeń, co zmusi ich do
efektywniejszego nią zarządzania. Postanawiasz ustawić limit na 1 GB, ale przy przekroczeniu 800
MB chcesz być o tym powiadamiany.
Chcesz również sprawdzić czy użytkownicy nie zajmują niepotrzebnie przestrzeni dyskowej
przechowując w swoich folderach zdublowane pliki
System szyfrowania plików (ang. Encrypting File System)
System szyfrowania plików (EFS) udostępnia podstawową technologię szyfrowania dla
przechowywanych plików na dyskach z systemem plików NTFS. Funkcje zabezpieczeń związane z
autentykacją logowania i uprawnieniami do plików zabezpieczają zasoby sieciowe przed
nieautoryzowanym dostępem. Jednak każdy, kto posiada fizyczny dostęp do komputera np. do
skradzionego notebooka może obejść zabezpieczenia systemu operacyjnego instalując nowy
system na komputerze, dzięki czemu uzyska dostęp do danych. Szyfrując ważne dane z
wykorzystaniem EFS dodajemy inną warstwę zabezpieczeń. Zaszyfrowane pliki pozostają
bezpieczne nawet, jeśli atakujący posiada pełen dostęp do nośnika danych na komputerze.
Technologia szyfrowania wykorzystana w EFS jest oparta na kluczach publicznych i korzysta ze
zintegrowanych usług systemowych, czyniąc ją łatwą w zarządzaniu, trudną do ataku i
przezroczystą dla użytkownika. Jeśli użytkownik próbujący otworzyć zaszyfrowany plik posiada
powiązany z nim prywatny klucz, to będzie mógł korzystać z pliku i pracować z nim jak z normalnym
dokumentem. Użytkownik bez prywatnego klucza do pliku będzie miał zabroniony dostęp.
Ponieważ EFS jest mocno zintegrowany z NTFS, szyfrowanie i deszyfrowanie jest transparentne.
Kiedy użytkownik otwiera plik, jest on deszyfrowany przez EFS i dane mogą być odczytane z dysku.
W momencie zamknięcia pliku, EFS szyfruje go i zapisuje na dysku. Autoryzowani użytkownicy
mogą nie zdawać sobie sprawy, że pracują na zaszyfrowanych plikach, ponieważ nie jest to dla nich
widoczne.
EFS jest szczególnie użyteczny do w stosunku do ważnych danych przechowywanych na
przenośnych komputerach używanych przez konsultantów i przedstawicieli handlowych, którzy
często pracują poza biurem. Może również być wykorzystywany na komputerach współdzielonych
przez kilku pracowników.
W domyślniej konfiguracji EFS umożliwia włączenie szyfrowania plików bez szczególnych
administracyjnych zabiegów. Z punktu widzenia użytkownika jest po prostu ustawieniem
odpowiedniego atrybutu pliku. Szyfrować można również całe foldery, wtedy każdy stworzony lub
dodany do niego plik będzie szyfrowany. Odszyfrować plik mogą tylko autoryzowani użytkownicy i
wskazani agenci odzyskiwania (ang. data recovery agents). Inni użytkownicy mimo posiadania
Strona 3/15
Moduł 8
odpowiednich uprawnień NTFS - nawet uprawnienia Take Ownership – nie mogą go otworzyć bez
autoryzacji. Dotyczy to również użytkownika z prawami lokalnego administratora, jeśli nie jest on
agentem odzyskiwania (DRA).
EFS wykorzystuje standardową procedurę kryptograficzną szyfrowania kluczy. Dane, w celu
zachowania szybkości działania są szyfrowane przy użyciu symetrycznego klucza szyfrowania pliku
(FEK). FEK jest następnie szyfrowany bezpieczniejszym kluczem asymetrycznym. W momencie,
kiedy użytkownik szyfruje plik, EFS używa unikalnego klucza FEK do zaszyfrowania danych a potem
szyfruje FEK przy pomocy klucza publicznego z publicznego klucza certyfikatu należącego do
użytkownika. Zaszyfrowany FEK jest przechowywany w nagłówku pliku (tzw. EFS metadata). Kiedy
użytkownik deszyfruje plik, EFS odszyfrowuje FEK korzystając z prywatnego klucza i wykorzystuje go
do deszyfracji pliku.
Zaszyfrowany plik zawiera zaszyfrowane dane i nagłówek z polem do przechowywania kopii
zaszyfrowanego FEK dla autoryzowanych użytkowników zdefiniowanych, jako agenci odzyskiwania.
Właściwości związane z szyfrowaniem plików:
• Nie można szyfrować systemowych plików i folderów
• Nie można szyfrować plików i folderów, które są skompresowane
• Jeśli szyfrowany jest cały folder to tymczasowe kopie zaszyfrowanych plików również
pozostają zaszyfrowane
• Kopiując plik do zaszyfrowanego folderu zostanie on zaszyfrowany. Plik przenoszony do
folderu pozostanie w stanie, w jakim był przed wcześniej.
• Jeśli plik jest przenoszony lub kopiowany do innego systemu plików, szyfrowanie jest
usuwane.
• Szyfrowanie pliku nie ma wpływu na przypisane do niego uprawnienia. Administrator nadal
może skasować plik nawet, jeśli po zaszyfrowaniu nie może go otworzyć.
• Dodatkowi użytkownicy mogą być autoryzowani do dostępu do zaszyfrowanego pliku.
• Można szyfrować pliki Offline
• Zaszyfrowane pliki mogą być przechowywane w folderach sieci Web przy użyciu WebDav
• EFS może być używany z klastrami
• Każdy użytkownik, który może deszyfrować plik może również dać do niego dostęp innym
użytkownikom –nie jest to limitowane do właściciela pliku. Dlatego powinno się autoryzować
tylko zaufane osoby.
• Współdzielenie zaszyfrowanych plików wymaga by autoryzowani do ich odczytu użytkownicy
mieli dostęp do certyfikatów EFS. Można w tym celu skorzystać z profili mobilnych,
przechowywać certyfikaty w profilach użytkowników na komputerach przechowujących
zaszyfrowane pliki lub mogą być przechowywane i dostarczane przez Active Directoy.
W celu zaszyfrowania pliku lub folderu należy w Windows Explorer kliknąć prawym przyciskiem
myszy dany obiekt i z meny kontekstowego wybrać polecenie Properties. W oknie właściwości, na
zakładce General klikamy polecenie Advanced. W oknie Advanced Attributes zaznaczamy opcję
Encrypt contents to secure data i klikamy OK. W tym samym oknie pod przyciskiem Detail istnieje
możliwość wskazania dodatkowych użytkowników, którzy będą mogli odszyfrować plik.
System DFS
Distributed File System (DFS) jest częścią roli serwera plików (ang. File Services). W jego skład
wchodzą dwa komponenty:
• DFS Namespace
• DFS Replication
Do zarządzania nimi można wykorzystać przystawkę DFS Management znajdującą się w folderze
Administrative Tools, lub narzędzia wiersza poleceń.
Strona 4/15
Moduł 8
DFS Namespace
Przestrzeń nazw (ang. namespace) jest wirtualnym widokiem udostępnionych w organizacji
folderów. Ścieżka do przestrzeni nazw jest podobna do ścieżki UNC (Universal Naming Convention)
wskazującej na udostępniony folder np. \\Server1\Publiczne\Raporty. W tym przykładzie
udostępniony folder Publiczne i jego podfolder Raporty znajduje się na komputerze Server1.
Chcąc dać użytkownikom pojedyncze miejsce dostępu do danych, które są przechowywane na
różnych serwerach (np. z powodu wydajności), można wdrożyć przestrzeń nazw podobnie jak
przedstawiono to na rysunku (Rys. 2).
Namespace
Folder Targets
Namespace
Server
Namespace
Root
Folder
\\Nwtraders\Publiczne
\\WAR-SVR1\Sprzedaż
Raporty
Sprzedaż
Folder with
Targets
Warszawa
\\GDA-SVR1\Sprzedaż
Gdańsk
Dok_techniczna
\\GDA-SVR2\Dok_techniczna
Gdańsk
Rys. 2 Przykład wykorzystania DFS namespace
• Namespace Server – serwer udostępniający usługę przestrzeni nazw. Może być realizowany
na serwerze członkowskim lub kontrolerze domeny
• Namespace Root – punkt startowy przestrzeni nazw. Na rysunku (Rys. 2), Public jest nazwą
głównego węzła (root). Ścieżka do przestrzeni nazw, z której korzystają użytkownicy by
dostać się do zasobów to \\Nwtraders\Publiczny. Jako że Nwtraders jest nazwą domeny,
mówimy, że jest to rozwiązanie bazujące na domenie i w takim wypadku jego metadane są
przechowywane w bazie Active Directory Domain Services. Dzięki temu możliwe jest
wykorzystywanie wielu serwerów przestrzeni nazw, co zwiększa dostępność tej usługi.
• Folder – folder niewskazujący na folder docelowy tworzy strukturę i hierarchię przestrzeni
nazw. Folder wskazujący na folder docelowy udostępnia użytkownikowi zawartość. Kiedy
użytkownik przegląda folder zawierający folder wskazujący na folder docelowy w przestrzeni
nazw, komputer klienta otrzymuje wskaźnik, który transparentnie przekierowuje go do
folderu docelowego.
• Folder target – ścieżka UNC udostępnionego folderu lub innej przestrzeni nazw połączona z
folderem w przestrzeni nazw. Wskazuje miejsce przechowywanie danych. Na rysunku (Rys. 2)
folder o nazwie Sprzedaż posiada dwa foldery docelowe (folder target), jeden w Warszawie,
a drugi w Gdańsku. Folder o nazwie Dok_techniczna ma pojedynczy folder docelowy w
Gdańsku. Użytkownicy, którzy przeglądają \\Nwtraders\Publiczne\Raporty\Sprzedaż są
przekierowywani do \\WAR-SVR1\Sprzedaż lub \\GDA-SVR1\Sprzedaż, w zależności od tego,
w jakiej lokalizacji się znajdują.
Przestrzeń nazw można stworzyć w czasie instalacji roli DFS Namespace lub później, uruchamiając
przystawkę DFS Management z folderu Administrative Tools. W DFS Management należy kliknąć
prawym przyciskiem myszy Namespace, wybrać polecenie New Namespace i postępować zgodnie
ze wskazówkami kreatora.
Strona 5/15
Moduł 8
DFS Replication
Replikacja DFS jest efektywnym silnikiem replikacji multiple- master, który można wykorzystać do
synchronizowania folderów pomiędzy serwerami połączonymi łączem o ograniczonej
przepustowości. Zastępuje znaną z wcześniejszych systemów Windows usługę Dile Replication
Service (FRS).
Replikacja DFS używa algorytmu kompresji znanego jako Remote Differential Compression (RDC).
Wykrywa on zmianę danych w pliku i wyzwala replikację DFS, która synchronizuje tylko zmienione
bloki w pliku zamiast całych plików.
Używając DFS Replication, należy stworzyć grupę replikacji i dodać do niej replikowany folder.
Składniki takie jak: Replication Group, Replicated Folders i Members są przedstawiene na rysunku (
Rys. 3). Replication Group jest zbiorem serwerów, zwanych członkami (ang. Members), biorącymi
udział w replikacji jednego lub więcej folderu. Replicated folder jest folderem, którego zawartość
jest synchronizowana pomiędzy każdym z członków grupy. Na rysunku są dwa replikowane foldery:
Projekty i Raporty. Jeśli dane w którymś z folderów zostaną zmodyfikowane, to zmiany te zostaną
replikowane poprzez połączenia (ang. connection) pomiędzy członkami grupy replikacji. Połączenia
pomiędzy wszystkimi członkami tworzą topologię replikacji.
Rys. 3 Przykład wykorzystanie DFS Replication
Tworząc wiele replikowanych folderów w pojedynczej grupie replikacji upraszczamy proces
zarządzania, ponieważ topologia, harmonogram i zdefiniowane pasmo dla grupy replikacji jest
stosowane do każdego replikowanego folderu. Aby dołączyć
Każdy z replikowanych folderów posiada swoje własne ustawienia, takie jak filtry plików i
podfolderów, które ograniczają replikację określonej zawartości.
Replikowane foldery przechowywane na różnych serwerach mogą znajdować się na ich różnych
woluminach i nie muszą być folderami udostępnionymi ani częścią przestrzeni nazw.
Strona 6/15
Moduł 8
Administrować replikacją można przy pomocy narzędzi DFS Management oraz komend DfsrAdmin i
Dfsrdiag.
Namespace lub później, uruchamiając przystawkę DFS Management z folderu Administrative Tools.
W DFS Management należy kliknąć prawym przyciskiem myszy Namespace, wybrać polecenie New
Namespace i postępować zgodnie ze wskazówkami kreatora.
File Server Resource Manager jest zbiorem narzędzi, które pomagają administratorom zrozumienie,
kontrolę i zarządzanie ilością i typem danych przechowywanych na serwerach. Przy ich użyciu
można nakładać ograniczenia wykorzystania przestrzeni dyskowej, definiować, jakie typy plików
mogą być przechowywane i generować pełne raporty dotyczące magazynów danych. Dzięki temu
File Server Resource Manager jest pomocny nie tylko do efektywnego monitorowania istniejących
zasobów, ale również do planowania i implementacji przyszłych zmian.
Quota
Używając File Server Resource Manager do tworzenia ograniczenia (ang. quota) dla dysku lub
folderu, można limitować dla nich użycie przestrzeni dyskowej. Można stworzyć dwa rodzaje
ograniczeń:
• Hard quota – zabrania użytkownikom zapisywanie plików po przekroczeniu zdefiniowanego
ograniczenia i jeśli zostało skonfigurowane, to generuje związane z tym powiadomienie
• Soft quota – nie wymusza limitu ograniczenia ale generuje skonfigurowane powiadomienie.
Aby określić, co się stanie po przekroczeniu limitu quoty, należy skonfigurować powiadomienie
przekroczenia wartości granicznej (ang. threshold). Dla każdej wartości granicznej można
zdefiniować powiadomienie e-mail, zapisanie w dzienniku zdarzeń, uruchomienie skryptu lub
wygenerowanie raportu. Np. można wysłać powiadomienie do administratora i użytkownika
zapisującego plik, jeśli folder przekroczy 80 procent nałożonego limitu, później wysłać inne
powiadomienie, jeśli limit zostanie osiągnięty. Dodatkowo można np. uruchomić skrypt, który
podniesie limit automatycznie.
Tworząc ograniczenia na folderach lub woluminach można korzystać z szablonów ograniczeń (ang.
quota template), lub wprowadzać swoje własne ustawienia.
Screening Files
Tworząc file screen blokujemy zapisywanie określonej grupy plików na woluminie lub w
zdefiniowanym folderze. Np. można stworzyć file screen zabraniający użytkownikom
przechowywanie plików audio i video w folderach osobistych na serwerze. Można skonfigurować
File Server Resource Manager aby generowane były e-maile lub inne powiadomienia gdy taka
sytuacja wystąpi.
File Screen może być aktywny lub pasywny:
• Aktywny nie zezwala na zapisywanie nieautoryzowanych plików na serwerze
• Pasywny monitoruje zapisywanie specyficznych plików i generuje powiadomienia, ale nie
zabrania ich zapisywania
File Screen nie blokuje użytkownikom i aplikacjom dostępu do plików, które były zapisane
wcześniej niż ograniczenie zostało nałożone.
W celu uproszczenia administracji zalecane jest korzystanie z szablonów ograniczeń, które
posiadają predefiniowane grupy blokowanych plików (pliki audio i video, pliki wykonywalne, pliki
obrazów i pliki e-mail) oraz konfiguracje powiadamiania o próbie zapisu nieautoryzowanych plików.
Strona 7/15
Moduł 8
Storage Reports
Korzystając ze Storage Reports Management można tworzyć zadania raportów (ang. report tasks),
używanych do tworzenia pojedynczego lub okresowych raportów. Dostępne raporty zostały
przedstawione w tabeli (Tabela 1).
Tabela 1 Raporty dostępne w narzędziu File Server Resource Manager
Raport
Opis
Duplicate Files
Wyświetla zduplikowane pliki (pliki z identycznym
rozmiarem i tym samym czasem ostatniej modyfikacji)
File Screening Audit
Wyświetla zdarzenia związane z File Screen, które wystąpiły
na serwerze wyspecyfikowanym okresie
Files by File Group
Wyświetla pliki należące do zdefiniowanych grup
Files by Owner
Wyświetla pliki grupowane
będących ich właścicielami
Large Files
Wyświetla pliki o określonym lub większym rozmiarze
Least Recently Accessed
Files
Wyświetla pliki, które nie były używane przez określoną
liczbę dni
Most Recently Accessed
Files
Wyświetla pliki, które były używane w określonym czasie
Quota Usage
Wyświetla ograniczenia, których wykorzystanie jest wyższe,
niż zdefiniowany procent
według
użytkowników
Oprócz raportu Duplicate Files, wszystkie inne posiadają konfigurowalne parametry (zależne od
typu raportu) wpływające na ich zawartość.
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane ze składowaniem danych.
Wyjaśniono, w jaki sposób działa szyfrowanie EFS oraz usługi DFS w tym przestrzenie nazw i
mechanizm replikacji folderów. Omówiono narzędzia dostępne w File Server Resource Manager
oraz możliwości ich wykorzystania w codziennej administracji
Porady praktyczne
• Kiedy mówimy o szyfrowaniu plików ofline, w rzeczywistości szyfrowana jest cała baza plików
offline a nie pojedyncze pliki. Indywidualne pliki nie wyświetlają atrybutu szyfrowania.
• Pliki systemowe i pliki znajdujące się w folderze systemowym i jego podfolderach nie mogą
być szyfrowane.
• Plik nie może być jednocześnie skompresowany i zaszyfrowany
• Agent odzyskiwania (DRA) nie jest domyślnie skonfigurowany, lecz zalecane jest stworzenie
przynajmniej jednego agenta na wypadek gdyby konto oryginalnie użyte do zaszyfrowania
okazało się niedostępne.
• Można używać EFS do szyfrowania i deszyfrowania danych na zdalnym komputerze, lecz nie
można wysłać zaszyfrowanych danych bez skonfigurowanego WebDAV (Web Distributed
Authoring and Versioning). Oczywiście dla zabezpieczenia danych w czasie transmisji
powinien być użyty IPSec
Strona 8/15
Moduł 8
• Nie jest zalecane szyfrowanie folderu Temp, ponieważ może to spowodować błędne
funkcjonowanie niektórych aplikacji
• Foldery mogą zawierać zarówno foldery docelowe jak i inne foldery DFS ale nie na tym
samym poziomie w hierarchii.
• Nie próbuj stworzyć przestrzeni nazw opartej na domenie w Windows Server 2008 dopóki
poziomem funkcjonalności lasu nie jest Windows Server 2003 lub wyższy. Może się to
objawic problemami z usunięciem folderów DFS.
• Upewnij się, że wszystkie serwery z grupy replikacji znajdują się w tym samym lesie. Nie
można włączyć replikacji serwerów pomiędzy lasami.
• Sprawdź czy wszystkie serwery w grupie replikacji mają zainstalowany system Windows
Server 2008 R2, Windows Server 2008 lub Windows Server 2003 R2. Replikacja DFS wspiera
wszystkie edycje x64 Windows Server 2008 R2 i wszystkie edycje x64 i x86 Windows
Server 2008. Replikacja DFS nie jest dostępna dla systemów opartych na Itanium.
• Sprawdź u producenta Twojego systemu antywirusowego czy jest on kompatybilny z
replikacją DFS.
• Przechowuj replikowane foldery na systemie NTFS.
• W celu zminimalizowania obciążenia wpływającego na wydajność serwera w czasie
generowania raportów, generuj wiele raportów w jednym czasie. Dzięki temu potrzebne
dane będą pobrane tylko raz.
Uwagi dla studenta
• rozumiesz jak działa szyfrowanie EFS i usługi DFS
• umiesz skonfigurować replikację folderów i przestrzeń nazw
• potrafisz korzystać z narzędzia File Server Resource Manager
1. Jonathan Hassell, Windows Server 2008 PL Przewodnik encyklopedyczny , Helion, 2008
Informacje dotyczące tego modułu znajdują się w rozdziale trzecim
Strona 9/15
Moduł 8
Jesteś administratorem w firmie. Zarząd firmy chce mieć pewność, że do pewnych strategicznych
danych nikt niepowołany nie będzie miał dostępu. Dostajesz polecenie utworzenia folderu Secret
i nadania takich uprawnień NTFS, by wszyscy użytkownicy mogli tam dane zapisywać i je
modyfikować. Użytkownicy powinni szyfrować przechowywane tam pliki, pozwalając wybranym
przez siebie osobom na dostęp do nich. Na serwerze, którym zarządzasz przechowujesz folder
Tools. Chcesz, by folder ten był dostępny także dla użytkowników w innej lokalizacji, którzy łączą się
do serwera London. Postanawiasz zrobić replikę tego folderu.
W Twojej firmie jest wiele serwerów, które udostępniają foldery. Użytkownicy zwracają Ci uwagę,
że trudno im czasami nawigować pomiędzy wieloma udziałami na różnych komputerach. Jako
przykład podają Ci folder Public z Twojego serwera i folder Nazwakomputera Admins Folder na
serwerze London. Chcą by te dane były w jednym folderze.
Chcesz na folderze Secret nałożyć ograniczenie, które nie pozwoli użytkownikom zapisać więcej niż
1GB danych. Chcesz również ograniczyć możliwość zapisywania plików graficznych i video.
Twój dysk systemowy szybko się zapełnia. Chcesz sprawdzić czy ktoś nie zapisał na nim dużych
plików, lub czy pliki na nim przechowywane nie dublują się
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto z
uprawnieniami
administracyjnymi
3. Stworzenie
zaszyfrowanych
plików,
udostępnienie ich
innym
użytkownikom
i test poprawności
konfiguracji.
• Na dysku E: stwórz folder Secret.
Properties.
• W oknie Secret Properties wybierz zakładkę Security.
• Wybierz przycisk Edit.
• W sekcji Group or user names zaznacz Users (Nazwakomputera\Users).
• W sekcji Permisions for Users zaznacz Modify w kolumnie Allow
i naciśnij OK.
• Naciśnij OK.
• W folderze Secret stwórz plik raport.txt i umieść w nim dowolny tekst.
• Kliknij plik raport.txt
prawym przyciskiem myszy i z menu
• Na zakładce General wybierz przycisk Advanced.
• W oknie Advanced Attributes zaznacz opcję Encrypt contents to secure
data i naciśnij OK.
• Naciśnij OK.
• W oknie Encryption Warning zaznacz opcję Encrypt the file only
i naciśnij OK.
• Wyloguj się.
•
•
•
•
•
Strona 10/15
•
•
•
•
•
•
Moduł 8
W polu Password wpisz P@ssw0rd i naciśnij Enter
Otwórz plik raport.txt w folderze E:\Secret.
Zostanie wyświetlony komunikat: Access is denied.
denied Naciśnij przycisk
Ok i zamknij okno.
• W folderze Secret stwórz plik instrukcja.txt i umieść w nim dowolny
tekst.
• Kliknij plik instrukcja.txt prawym przyciskiem myszy i z menu
• W oknie Advanced Attributes zaznacz opcję Encrypt contents to secure
data i naciśnij OK.
• Naciśnij przycisk Apply.
• W oknie Encryption Warning zaznacz opcję Encrypt the file only
i naciśnij OK.
• W oknie Advanced Attributes wybierz przycisk Details.
Details
• W oknie User Access to E:\Secret\instrukcja.txt wybierz przycisk Add.
• W oknie Encrypting File System zaznacz NazwakomputeraAdmin
Nazwakomputera
i naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
• Wyloguj się.
• Naciśnij na klawiaturze prawy Alt+Delete.
• Naciśnij przycisk Switch User.
• Naciśnij przycisk Other User.
• W polu User Name wpisz NazwakomputeraAdmin
Admin.
Enter
• Otwórz plik instrukcja.txt w folderze E:\Secret.
• Dopisz dowolny tekst i zamknij plik zapisując zmiany.
• Kliknij plik raport.txt prawym przyciskiem myszy i z menu
• W oknie Advanced Attributes wybierz przycisk Details.
Details
• W oknie User Access to E:\Secret\raport.txt wybierz przycisk Add.
• W oknie Encrypting File System zaznacz NazwakomputeraUser
i naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
• Wyloguj się.
• W polu User Name wpisz NazwakomputeraUser.
Strona 11/15
4. Utworzenie
repliki folderu na
zdalnym serwerze
Moduł 8
•
•
•
•
Otwórz plik raport.txt w folderze E:\Secret.
Dopisz dowolny tekst i zamknij plik zapisując zmiany.
Wyloguj się.
•
•
•
•
•
•
•
•
•
•
W polu User Name wpisz [email protected].
Wybierz menu Start -> Administrative Tools -> DFS Management.
W drzewie konsoli kliknij prawym przyciskiem Replication.
Z menu kontekstowego wybierz New Replikation Group.
W oknie Replication Group Type naciśnij przycisk Next.
W oknie Name and Domain w sekcji Name of replication group wpisz
Nazwakomputera Tools.
W sekcji Optional description of replication group wpisz Narzedzia
uzywane w przedsiebiorstwie.
Naciśnij Next.
W oknie Replication Group Members wybierz przycisk Add.
W oknie Select Computers wpisz Nazwakomputera i naciśnij OK.
W oknie Multiple Names Found zaznacz komputer Nazwakomputera i
naciśnij OK.
W oknie Replication Group Members wybierz przycisk Add.
W oknie Select Computers wpisz London i naciśnij OK.
Naciśnij Next.
W oknie Topology Selection wybierz Next.
W oknie Replication group Schedule and Bandwidth wybierz Next.
W oknie Primary Member rozwiń listę i wybierz Nazwakomputera.
Naciśnij przycisk Next.
W oknie Folders to Replicate wybierz przycisk Add.
W oknie Add Folder to Replicate, w sekcji Local path of folder to
replicate wpisz E:\Tools i naciśnij przycisk OK.
W oknie Create Path naciśnij Yes.
Wybierz przycisk Next.
W oknie Local Path of Tools on Other Members naciśnij przycisk Edit.
W oknie Edit zaznacz opcję Enabled.
W sekcji Local path of folder wpisz E:\Nazwakomputera Tools i naciśnij
przycisk OK.
W oknie Create Path naciśnij Yes.
W oknie Review Settings and Create Replication Group przejrzyj
zdefiniowane ustawienia i naciśnij przycisk Create.
W oknie Confirmation poczekaj na wykonanie konfiguracji i naciśnij
Close.
W oknie Replication Delay naciśnij OK.
W drzewie konsoli rozwiń Replication.
Zaznacz Nazwakomputera Tools.
Wybierz zakładkę Connections.
Kliknij wiersz pod Sending Member: London.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Strona 12/15
Moduł 8
• W menu Action kliknij Replicate Now.
• W oknie Replicate Now naciśnij OK.
• W oknie Resume Schedule Successful naciśnij OK.
OK
Jeśli pojawią się błędy, należy chwilę poczekać, aż serwery się
zsynchronizują.
• Wybierz
W
\\
\London\E$
• Wybierz
W
• Podaj hasło P@ssw0rd.
• Porównaj zawartość folderów Nazwakomputera Tools na serwerze
Lond i Tools na serwerze Nazwakomputera.
London
• Stwórz
nowy
plik
tekstowy
nowy.txt
w
lokalizacji
\\\London\E$\Nazwakomputera Tools.
• Przejdź do folderu
folder Tools na swoim komputerze i zobacz,
zo
że nowo
stworzony plik pojawił się.
Plik powinien pojawić się po kilku sekundach. Jeśli nie jest widoczny
należy odświeżyć widok (np. klawiszem funkcyjnym F5.
• Otwórz plik nowy.txt, wpisz dowolny tekst i zamknij go zapisując
zmiany.
• Przejdź do folderu \\london\E$\Nazwakomputera
Nazwakomputera Tools,
Tools otwórz plik
nowy.txt i zobacz, że zmiany w nim pojawiły się ( może to trwać kilka
sekund)
sekund).
• Wyloguj się.
5. Utworzenie
struktury
przestrzeni nazw.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Enter
Wybierz menu Start -> Administrative Tools i naciśnij prawym
przycisk
przyciskiem
myszy DFS Management.
Z menu kontekstowego wybierz Run as Administrator.
Administrator
W oknie User Account Control w polu User name wpisz
[email protected] w polu Password wpisz P@ssw0rd
[email protected],
i naciśnij OK.
W drzewie konsoli kliknij prawym przyciskiem Namespaces i z menu
kontekstowego wybierz New Namespace.
W oknie Namespace Server w polu Server wpisz Nazwakomputera
i naciśnij przycisk Next.
W oknie Namespace Name and Settings w polu Name wpisz
Nazwakomputera Public Data.
Naciśnij przycisk Edit Settings.
W oknie Edit Settings w sekcji Shared folder permissions zaznacz opcję
Administrators have full access; other users have read and write
permissions i naciśnij przycisk OK.
W oknie Namespace Type naciśnij Next.
Strona 13/15
•
•
•
•
•
•
•
•
•
•
•
•
•
Moduł 8
W oknie Review Settings and Create Namespace przejrzyj
zdefiniowane ustawienia i naciśnij przycisk Create.
Create
W oknie Confirmation poczekaj na wykonanie konfiguracji i naciśnij
Close
Close.
W
drzewie
konsoli
kliknij
prawym
przyciskiem
\\\nwtraders.msft\Nazwakomputera
Nazwakomputera Public Data i z menu
kontekstowego wybierz New Folder.
W polu Name wpisz Public.
W oknie Add Folder Target wpisz \\Nazwakomputera
Nazwakomputera\Public i naciśnij
OK
OK.
Naciśnij OK.
W
drzewie
konsoli
kliknij
prawym
przyciskiem
\\\nwtraders.msft\Nazwakomputera
Nazwakomputera Public Data i z menu
kontekstowego wybierz New Folder.
W polu Name wpisz Nazwakomputera Admins Folder.
Folder
W oknie Add Folder Target wpisz \\London\Nazwakomputera
Nazwakomputera Admins
Folder i naciśnij OK.
Naciśnij OK.
W
Wybierz
\\
\Nazwakomputera
• Otwórz folder Nazwakoputera Public Data i stwórz w nim dowolny plik
tekstowy.
• Otwórz folder Nazwakomputera Admins Folder.
Pojawi się okno Network Error z informacją o braku dostępu.
Użytkownik NazwakomputeraUser nie posiada uprawnień dostępu do
tego folderu.
•
•
•
•
•
•
•
Wyloguj się
W polu User Name wpisz [email protected]
[email protected].
Enter
W
Wybierz
\\
\Nazwakomputera
• Otwórz folder Nazwakomputera Public Data.
• Otwórz folder Nazwakomputera Admins Folder i stwórz w nim plik
tekstowy lab8.txt.
• Wybierz
W
\\
\London
• Otwórz folder Nazwakomputera Admins Folder i zobacz, że plik
tekstowy lab8.txt znajduje się w nim.
• Wyloguj się.
się
6. Nałożenie
ograniczenia ilości
zajmowanego
miejsca na dysku
Strona 14/15
Moduł 8
przez pliki
użytkowników.
• W polu User Name wpisz NazwakomputeraUser.
Enter
przycisk
przyciskiem
myszy File Server Resource Manager..
Administrator
[email protected] w polu Password wpisz
[email protected],
P@ssw0rd i naciśnij OK.
• W drzewie konsoli rozwiń Quota Management,
Management kliknij prawym
przyciskiem Quotas i z menu kontekstowego wybierz Create Quota.
• W oknie Create Quota w polu Quota path wpisz E:\Secret.
E:
• Zaznacz opcję Define custom quota properties.
• Wybierz przycisk Custom Properties.
• W oknie Quota Properties of E:\Secret wciśnij przycisk Copy.
• W opcji Limit wpisz 1 GB.
• Naciśnij przycisk OK.
• W oknie
ok Save Custom Properties as a Template w polu Template name
wpisz 1 GB Limit i naciśnij OK.
7. Zabronienie
zapisywania plik
ów graficznych i
video w folderze.
• W drzewie konsoli rozwiń File Screening Management,
Management kliknij prawym
przyciskiem File Screens i z menu kontekstowego wybierz Create File
Screen
Screen.
• W oknie Create File Screen w polu File screen path wpisz E:\Secret.
• Upewnij
U
się, że jest zaznaczona opcja Derive properties from this file
screen template (recommended),
(recommended) a na liście wyboru Block Audio and
Video Files.
• Naciśnij Create.
8. Wyszukiwanie
zdublowanych
i dużych plików na
dysku
• W drzewie konsoli znajdź Storage Reports Management,
Management kliknij na nim
prawym przyciskiem myszy i z menu kontekstowego wybierz Generate
Report Now.
Reports
• W oknie Storage Reports Task Properties w sekcji Scope naciśnij
przycisk Add.
• W oknie Browse For Folder zaznacz Local Disk (C:) i naciśnij OK.
• W sekcji Report data na liście zaznacz Duplicate Files i Large Files.
• Mając podświetloną opcję Large Files naciśnij Edit Parameters.
• W Minimum file size wpisz 50 i naciśnij OK.
• Naciśnij OK.
• W oknie Generate Storage Reports naciśnij OK.
Jeśli pojawi się okno Microsoft Phishing Filter zaznacz opcję Turn on
automatic Phishing Filter (recommended) i naciśnij OK.
• Przejrzyj
Prze
wygenerowane raporty.
Ile plików jest większych niż 50 MB.. Ile plików jest zduplikowanych?
• Wyloguj się.
Strona 15/15
Moduł 9
Wersja 1
Zarządzanie środowiskiem
drukowania
Spis treści
Zarządzanie środowiskiem drukowania ............................................................................................... 1
Moduł 9
Zarządzanie środowiskiem drukowania
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące zarządzania środowiskiem
drukowania. Dowiesz się jak przebiega proces drukowania i z jakich
komponentów się składa. Poznasz narzędzia, dzięki którym będziesz mógł
instalować drukarki, zarządzać nimi i zadaniami drukowania. Dowiesz się jak
zarządzać uprawnieniami do drukarek, oraz ich właściwościami.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami dotyczącymi drukowania w
przedsiębiorstwie, w tym z dostępnymi narzędziami oraz z pojęciami
związanymi z procesem drukowania.
• wiedział, jak przebiega proces drukowania
• potrafił zarządzać drukarkami, w tym nadawać uprawnienia, tworzyć
pule drukarek i harmonogramy wydruków
• rozumiał, jak współpracują między sobą poszczególne komponenty w
procesie wydruku
Wymagania wstępne
Strona 2/13
Moduł 9
W Twojej firmie zakupiono nowe urządzenia drukujące. Są to wydajne maszyny. Każdy z działów
dostanie jedną. Chcesz, by tylko użytkownicy z danych działów mogli drukować na nich swoje
dokumenty, a ich kierownicy mogli zarządzać wszystkimi dokumentami swoich podwładnych.
Chcesz z jednego punktu zarządzać wszystkimi ustawieniami urządzeń, udostępniać je i
monitorować ich stan. Chcesz je tak skonfigurować by w razie zacięcia papieru lub innych
problemów automatycznie wysyłały się komunikaty.
Usługi drukowania (ang. Print Services) w Windows Server 2008 umożliwiają udostępnianie
drukarek w sieci oraz centralne zarządzanie serwerami wydruku i drukarkami sieciowymi przy
użyciu przystawki Print Management w konsoli Microsoft Management Control (MMC). Narzędzie
pomaga monitorować kolejki drukarek i otrzymywać powiadomienia, jeśli drukarka zatrzyma
przetwarzanie druku. Wspomaga migrację serwera wydruku i rozmieszczenie połączeń do drukarek
przy użyciu GPO.
Narzędzia do zarządzania serwerem wydruku
Dwa główne narzędzia do administracji serwerem wydruku to Server Manager i Print Manager.
Korzystając z programu Server Manager można zainstalować rolę Print Services oraz opcjonalne
komponenty i funkcje usługi. Wyświetla również w podglądzie zdarzeń informacje związane z
drukowaniem oraz posiada instancję przystawki Print Management do zarządzania lokalnym
serwerem wydruku.
Przystawka Print Management jest dostępna w folderze Administrative Tools. Może być użyta do
instalowania, podglądu i zarządzania wszystkimi serwerami wydruku w organizacji. Udostępnia
szczegółowe informacje o statusie drukarek i serwerów wydruku w sieci. Pozwala na jednoczesna,
zdalną instalację drukarek sieciowych dla grupy komputerów i zdalne monitorowanie kolejek
wydruku. Narzędzie Print Management może pomóc odnaleźć drukarki błędnie funkcjonujące przy
użyciu filtrów i wysłać powiadomienie e-mail lub uruchomić skrypt dgy drukarka lub serwer
wydruku potrzebuje uwagi. Dla drukarek posiadających Web-owy interfejs zarządzania można
wyświetlać dodatkowe informacje takie jak poziom tonera i papieru.
Usługi związane z rolą Print Services
Rola Print Services zawiera trzy podrzędne usługi ról:
• Print Server
• LDP Service
• Internet Printing
Razem, te trzy usługi ról udostępniają całą funkcjonalność serwera wydruku. Można je dodać
instalując rolę Print Services przy pomocy kreatora Add Roles w programie Server Manager lub
później przy pomocy kreatora Add Role Services w programie Server Manager.
Print Server
Print Server jest wymaganą usługą roli Print Services. Dodaje rolę Print Services do konsoli Server
Management i instaluje przystawkę Print Management, używaną do zarządzania wieloma
drukarkami lub serwerami wydruku i migracji drukarek do lub z innego serwera wydruku Windows.
Po udostępnieniu drukarki, Windows konfiguruje odpowiednio Windows Firewall włączając wyjątki
dla File and Printer sharing.
LDP Service
Strona 3/13
Moduł 9
Usługa Line Printer Demon (LPD) instaluje i uruchamia usługę TCP/IP Print Server (LPDSVC), która
umożliwia komputerom z systemem UNIX lub innym komputerom korzystającym z usługi Line
Printer Remote (LPR) drukowanie na udostępnionej drukarce na tym serwerze. Dodatkowo na
zaporze Windows Firewall tworzy wyjątek dla połączeń przychodzących na porcie 515.
Internet Printing
Usługa Internet Printing tworzy witrynę hostowaną przez Internet Information Services (IIS).
Pozwala ona użytkownikom na:
• Zarządzanie zadaniami wydruku na serwerze
• Użycie przeglądarki Web do podłączenia się i drukowania do udostępnionej na tym serwerze
drukarki przy wykorzystaniu Internet Printing Protocol (IPP). (Użytkownicy muszą mieć
zainstalowany komponent Internet Printer Client.)
Aby zarządzać serwerem przy użyciu witryny Web w przeglądarce należy wpisać adres:
http://servername/printers
gdzie servername jest ścieżką UNC do serwera wydruku.
Drukowanie sieciowe
Drukowanie sieciowe umożliwia użytkownikom z różnych lokalizacji korzystanie z odległych
urządzeń w celu drukowania dokumentów dla siebie i innych. Serwer wydruku umożliwia wielu
klientom współdzielenie jednego lub wielu urządzeń drukujących.
Typy danych związane z drukowaniem sieciowym
• RAW – język opisu strony gotowej do wysłania do urządzenia drukującego np. PLC lub
PostScript. Domyślny typ formatu danych dla zadań wydruku na komputerach z systemem
innym niż Windows 2000, XP i Vista. Pliki RAW są zależne od urządzenia – buforowane dane
są przeznaczone (odpowiednio formatowane) pod konkretne urządzenie.
• EMF - domyślny typ danych używany pomiędzy klientami z Windows Vista i serwerami
wydruku Windows Server 2008. Graphics Device Interface (GDI) po wygenerowaniu
rozszerzonego metapliku EMF (enhanced metafile) zwalnia kontrolę konsoli nad dalszym
przetwarzaniem. Od tej chwili dane EMF są interpretowane w tle, jako wątek bufora
wydruku (ang. spooler) i wysyłane do sterownika drukarki. Takie oddzielenie przetwarzania
wydruku jest szczególnie użyteczne dla bardzo dużych dokumentów, ponieważ aplikacja nie
jest spowolniona przez czas całego przetwarzania.
• TEXT – typ danych używany do wysłania zwykłego tekstu, jako zadania wydruku do drukarki
(takiej jak urządzenia PostScript) niepotrafiącej zinterpretować takiego tekstu. Bufor
wydruku tworzy nowe zadanie, obudowując tekst instrukcjami fabrycznie zaszytymi w
urządzeniu drukującym.
Architektura drukowania sieciowego
W skład komponentów drukowania sieciowego wchodzą bufor wydruku serwera (ang. server
spooler) na serwerze wydruku i bufor wydruku klienta (ang. client spooler) na komputerze
klienckim.
Client Spooler
Client spooler (Winspool.drv) jest komponentem systemu operacyjnego Windows, który dostarcza
zadania wydruku z aplikacji na komputerze klienckim do serwera wydruku. W systemach Windows
Vista, Windows XP Professional i Windows 2000 zadanie wydruku jest dostarczane bezpośrednio
do bufora wydruku klienta, a pozostałe systemy Windows korzystają z mechanizmu przekierowania
(ang. redirector) potrzebnego do przekazania zadania wydruku do spoolera klienta. Systemy inne
niż Windows wymagają innych mechanizmów do obsłużenia zadania wydruku.
Strona 4/13
Moduł 9
Rysunek (Rys. 1) przedstawia komponenty komputerów klienckich, które generują i wysyłają
zadania wydruku.
Windows Clients
Non-Windows Clients
Windows
Application
Non-Windows
Application
GDI
Printer
Driver
Client
Spooler
LPR, AppleTalk,
NetWare
Network
Network
Windows Server 2008
Print Server
Local Print
Device
Remote Print
Device
Remote Print
Server
Rys. 1 Komponenty komputerów klienckich generujące i wysyłają zadania wydruku.
Elementy na rysunku to:
• Windows Clients – komputery z systemem Windows
• Non-Windows Clients – Komputery z systemem Unix, Apple Macintosh, MS-DOS, klienci
NetWare
• Windows Application – dowolny program tworzący dane do wydruku.
• Non-Windowss Application - dowolny program tworzący dane do wydruku.
• Client Spoler – Przetwarza i wysyła zadanie wydruku od klienta do serwera wydruku
• Graphics Device Interface (GDI) – udostępnia usługi dla sterownika drukarki takie jak
buforowanie, komunikacja klient-serwer i konwersję znaków
• Printer Driver – komunikuje się z urządzeniem drukującym, aby wygenerować odpowiedni
format z danych dostarczonych przez GDI
• Line Printer Remote (LPR) – protokół który wysyła zadanie wydruku do serwera z
uruchomionym protokołem Line Priner Deamon (LPD)
• AppleTalk – protokół używany przez klientów z systemem Macintosh i serwery Windows z
zainstalowana usługa Services for Macintosh
• Netware – protokół używaney przez klientów NetWare i serwerów Windows z
zainstalowanym NWLink
• Local Print Device – urządzenie drukujące przyłączone do lokalnego portu na serwerze
• Remote Print Server - urządzenie drukujące bezpośrednio przyłączone do sieci i zarządzane
przez serwer wydruku
• Remote Print Server – Akceptuje zadania wydruku dla urządzeń, którymi zarządza
Strona 5/13
Moduł 9
Server Spooler
Windows Server 2008 akceptuje i dostarcza zadania wydruku korzystając z różnych protokołów do
obsługi różnorodnych systemów klientów i urządzeń drukujących. Spooler serwera jest głównym
elementem w sieciowej architekturze wydruku. On i jego komponenty skonsolidowane w
pojedynczą architekturę, umożliwiają płynne drukowanie w tle. Ponieważ przetwarzanie wątków
dla jednego zadania wydruku musi być zakończone przed rozpoczęciem przetwarzania następnego,
spooler wysyła dane do drukarki tylko, jeśli jest ona gotowa otrzymywać więcej danych.
Rysunek (Rys. 2) przedstawia Spooler serwera i przetwarzanie zadania wydruku.
Clients
Network
Network
Network
Windows Serwer 2008
Print Server
Server Spooler
Print Spooler Service(Spoolsv.exe)
Print Router (Spoolss.dll)
Local Print Provider
(Localspl.dll)
Remote
Print
Provider
GDI
Printer
Driver
Print Monitor
Language Monitor
Local
Port
Monitor
Remote
Port
Monitor
Local Print
Device
Remote Print
Device
Remote Print
Server
Rys. 2 Komponenty Serwera wydruku
Elementy na rysunku to:
• Print Spooler Services – zarządza procesem wydruku poprzez wyszukanie i załadowanie
odpowiedniego sterownika, buforowanie wywołań funkcji wyższego rzędu dla zadań
wydruku, zarządzanie harmonogramem wydruków itp.
• Print Router – ustala, do którego lokalnego dostawcy drukowania (Local Print Provider)
przekierować zlecenie bazując na nazwie drukarki i innych informacjach dostarczonych z
zadaniem
• Local Print Provider – lokalny dostawca drukowania udostępnia kontrolę zadań i zarządzanie
wszystkimi drukarkami, do których ma dostęp poprzez monitor drukowania (ang. Print
Monitor)
• Print Monitor – przekierowuje zadanie wydruku do monitora języka i monitora portu
Strona 6/13
Moduł 9
• Language Monitor – udostępnia dwukierunkową komunikację pomiędzy urządzeniem
drukującym a klientem
• Lokal and Remote Port Monitor – wysyła zadanie wydruku do lokalnego lub zdalnego portu
• Graphics Device Interface (GDI) – udostępnia usługi dla sterownika drukarki takie jak
buforowanie, komunikacja klient-serwer i konwersję znaków
• Printer Driver – komunikuje się z urządzeniem drukującym, aby wygenerować odpowiedni
format z danych dostarczonych przez GDI
• Remote Print Provider – przekierowuje zadania wydruku do zdalnych serwerów wydruku.
• Local Print Device – urządzenie drukujące podłączone do lokalnego portu serwera
• Remote Print Device – urządzenie drukujące podłączone bezpośrednio do sieci i zarządzane
przez serwer wydruku.
• Remote Print Server – akceptuje zadania wydruku przeznaczone do urządzeń drukujących,
którymi zarządza.
Uprawnienia drukarki
Uprawnienia drukarki określają, którymi z jej właściwości można zarządzać. Dotyczy to zmiany jej
nazwy i udostępnienie, zezwolenie lub zabronienie dostępu do niej oraz określenia, kto może
zarządzać dokumentami. Windows oferuje cztery typy uprawnień do drukarek:
• Print – domyślnie, każdy użytkownik może drukować oraz zarządzać swoimi zadaniami
wysłanymi do drukarki
• Manage ducuments – umożliwia zarządzanie wszystkimi zadaniami znajdującymi się w
kolejce wydruku. Dotyczy to również dokumentów drukowanych przez innych
użytkowników.
• Manage printers – pozwala na zmianę nazwy, usunięcie, udostępnienie i zmianę preferencji
drukarki. Umożliwia nadanie uprawnień dla innych użytkowników oraz zarządzanie
wszystkimi zadaniami drukarki. Domyślnie członkowie grupy Administrators mają nadane to
uprawnienie.
• Specialo permissions – zwykle używane tylko przez administratorów systemu, może być
wykorzystane do zmiany właściciela drukarki.
Instalacja drukarki
Drukarkę na serwerze wydruku można zainstalować korzystając z przystawki Print Managemet
gdzie w kontenerze Print Servers należy kliknąć prawym przyciskiem myszy serwer, na którym
chcemy to zrealizować i z menu kontekstowego wybrać polecenie Add Printer uruchamiające
kreatora Network Printer Installation Wizard. Należy zdefiniować sposób podłączenia drukarki
wybierając istniejący (lub tworząc nowy) port lokalny lub zdalny (adres IP urządzenia). Kolejnym
krokiem jest zainstalowanie odpowiedniego sterownika, albo z listy dostarczonych wraz z
systemem lub z nośnika.
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z drukowaniem sieciowym i
zarządzaniem drukarkami. Przedstawiono narzędzia przy pomocy, których można instalować
drukarki, zarządzać ich właściwościami, oraz zarządzać zadaniami wydruku. Omówiono
komponenty systemu biorące udział w procesie drukowania sieciowego
Porady praktyczne
• Aby zarządzać zdalnym serwerem wydruku musisz być członkiem grupy Print Operators lub
Server Operators, lub lokalnej grupy Administrators na serwerze zdalnym. Nie jest to
konieczne, jeśli chcesz tylko monitorować serwer.
Strona 7/13
Moduł 9
• Dla usługi LDP nie jest potrzebna żadna konfiguracja. Jeśli jednak zatrzymasz lub zrestartujesz
usługę Print Spooler to usługa TCP/IP Print Server zostanie także zatrzymana, lecz nie
uruchomi się automatycznie.
• Jeśli używasz komputera z Windows Vista lub Windows Server 2008 do wysłania
dokumentów do drukarki lub serwera wydruku, który korzysta z protokołu LDP, możesz użyć
kreatora Network Printer Installation i portu drukarki Standard TCP/IP. Jeśłi jednak serwerem
wydruku jest komputer z systemem UNIX, musisz zainstalować Line Printer Remote (LPR)
Port Monitor. Możesz to zrobić w następujący sposób:
• Dla Windows Vista: w folderze Control Panel należy kliknąć Programs and Features,
potem Turn Windows features on or off, rozwinąć Print Services, zaznaczyć check box
przy LPR Port Monitor i kliknac OK.
• Dla Windows Server 2008: w narzędziu server Manager wybierz Add Features, zaznacz
check box przy LPR Port Monitor i kliknij OK.
• Aby skorzystać z wdrożenia drukarek przy pomocy Group Policy, środowisko musi spełniać
następujące wymagania:
• Schemat usługi Active Directory Domain Services (AD DS) musi używać wersji Windows
Server 2003 R2 lub Windows Server 2008.
• Komputery klienckie z Windows 2000, Windows XP, lub Windows Server 2003 muszą
używać narzędzia PushPrinterConnections.exe w skrypcie uruchamianym podczas startu
komputera lub podczas logowania użytkownika
• Jeśli na komputerze z narzędziem Print Management jest włączony firewall to mogą być
niewidoczne drukarki na zdalnych serwerach wydruku. Aby temu zapobiec należy do listy
wyjątków zapory dodać Print Management
Uwagi dla studenta
• rozumiesz, w jaki sposób działa drukowanie sieciowe
• umiesz zarządzać drukarkami a w szczególności instalować je, nadawać do nich uprawnienia i
udostępniać je
• wiesz, w jaki sposób współdziałają między sobą poszczególne komponenty procesu
drukowania
2008
posiadaczem tytułu Microsoft Most Valuable Professional.
Strona 8/13
Moduł 9
Jesteś administratorem w firmie. Twoja firma zakupiła nowe urządzenia drukujące i Twoim
zadaniem jest skonfigurować środowisko drukarek tak, by spełnić oczekiwania użytkowników. Po
konsultacji z nimi zabierasz się do pracy. Najpierw musisz dodać Rolę Serwera wydruku do swojego
serwera. Wiesz, że na serwerze London jest zainstalowana drukarka lokalna HP LaserJet 1100 (MS).
Chcesz ją zainstalować na swoim serwerze, by móc drukować na niej dokumenty dla
Administratora serwera London. Do swojego serwera podłączyłeś do portu LPT1 drukarkę Epson FX
Series (80). Posiadasz też urządzenie HP 2500C Series Printer, które ma wbudowaną kartę
sieciową. Kupiono również drukarkę IBM 2380 Plus Normal. Ma być dostępna dla wszystkich
użytkowników, ale użytkownicy działu sprzedaży powinni mieć pierwszeństwo wydruku na niej, by
klienci nie musieli długo czekać na wydruk faktur. Dodatkowo menadżerowie tego działu muszą
mieć możliwość zarządzania drukowanymi dokumentami. Niektórzy użytkownicy drukują
wielostronicowe raporty na drukarce HP 2500C Series Printer, przez co inni muszą długo czekać.
Raporty te nie są pilne, dlatego chcesz, by drukowały się w nocy. Drukarka IBM 2380 Plus jest
mocno obciążona, a do tego część wydruków jest bardzo ważna. Nie może zdarzyć się sytuacja, w
której ulega ona awarii i trzeba będzie czekać na jej naprawę. Podłączasz do sieci drugie takie samo
urządzenie i konfigurujesz pulę drukarek. Przenosisz też bufor wydruku na inny dysk by zwiększyć
wydajność systemu.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Dodanie roli
Serwera Wydruku
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
3. Dodanie
drukarki
udostępnionej na
serwerze
•
•
•
•
•
Wybierz menu Start -> Administrative Tools -> Server Manager.
W drzewie konsoli kliknij prawym przyciskiem myszy Roles.
Z menu kontekstowego wybierz Add Roles.
W oknie Before You Begin wybierz Next.
W oknie Select Server Roles z listy ról wybierz Print Services,
a następnie przycisk Next.
W oknie Print Services przeczytaj Introduction to Print Services,
a następnie wybierz Next.
W oknie Select Role Services wybierz przycisk Next
W oknie Confirm Installation Selection przeczytaj podsumowanie
zdefiniowanych opcji i naciśnij Install.
W oknie Installation Results powinna być wyświetlona informacja
Installation succeesed. Jeśli tak jest to wybierz przycisk Close. W
Wybierz menu Start -> Control Panel.
W oknie Control Panel otwórz Printers.
W oknie Printers wybierz Add Printer.
W oknie Add Printer wybierz The printer that I want isn’t listed.
Zaznacz Select a shared printer by name i naciśnij Browse.
Strona 9/13
Moduł 9
• W oknie Please select the network printer you want to use and click
Select to connect to it kliknij London i naciśnij przycisk Select.
• Zaznacz HP LaserJet 1100 (MS) i naciśnij przycisk Select.
• W oknie Add Printer naciśnij Next.
• W oknie Type a printer name naciśnij Next.
• W oknie, w którym pojawi się komunikat You’ve successfully added HP
LaserJet 1100 (MS) on LONDON naciśnij Finish.
4. Instalacja
drukarki lokalnej
na porcie LPT1
•
•
•
•
•
•
•
•
•
•
5. Instalacja
drukarki lokalnej
na porcie
sieciowym.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
6. Tworzenie
priorytetów dla
drukarek
•
•
•
•
•
W oknie Printers kliknij prawym przyciskiem myszy Add Printer.
Z menu kontekstowego wybierz Run as administrator.
W oknie Choose a local or network printer wybierz Add a local printer.
W oknie Choose a printer port upewnij się, że w sekcji Use an existing
port jest wybrane LPT1: (Printer Port) i naciśnij Next.
W oknie Install the printer driver na liście Manufacturer wybierz Epson,
a na liście Printers zaznacz Epson FX Series (80).
Naciśnij Next.
W oknie Type a printer name naciśnij Next.
W oknie Printer Sharing zaznacz Do not share this printer i naciśnij
Next.
W oknie, w którym pojawi się komunikat You’ve successfully added
Epson FX Series (80) naciśnij Finish.
Wybierz menu Start -> Administrative Tools ->Print Management.
W oknie User Account Control naciśnij Continue.
W drzewie konsoli rozwiń Print Servers -> Nazwakomputera (Local).
Kliknij prawym przyciskiem myszy Printers.
Z menu kontekstowego wybierz Add Printer.
W oknie Printer Installation zaznacz Add a TCP/IP or Web Services
Printer by IP address or hostname. i naciśnij Next.
W oknie Printer Address w polu Type of Device wybierz TCP/IP Device.
W polu Printer name or IP address wpisz 192.168.1.101.
Odznacz opcję Auto detect the printer driver to use i naciśnij Next.
W oknie Detecting TCP/IP Port poczekaj chwilę, aż zostaniesz
przeniesiony do następnego okna.
W oknie Additional Port Information Required naciśnij Next.
W oknie Printer Driver naciśnij Next.
W oknie Printer Installation na liście Manufacturer wybierz HP, a na
liście Printers zaznacz HP 2500C Series Printer.
Naciśnij Next.
W oknie Printer Name and Sharing Settings zaznacz opcję Publish this
printer to the directory i nacisnij Next.
W oknie Printer Found naciśnij Next.
W oknie Completing the Network Printer Installation Wizard naciśnij
Finish.
Wybierz menu Start -> Administrative Tools ->Print Management.
W oknie User Account Control naciśnij Continue.
W drzewie konsoli rozwiń Print Server -> Nazwakomputera (Local).
Kliknij prawym przyciskiem myszy Printers.
Z menu kontekstowego wybierz Add Printer.
Strona 10/13
Moduł 9
• W oknie Printer Installation zaznacz Add a TCP/IP or Web Services
Printer by IP address or hostname. i naciśnij Next.
• W oknie Printer Address w polu Type of Device wybierz TCP/IP Device.
• W polu Printer name or IP address wpisz 192.168.1.102.
• Odznacz opcję Auto detect the printer driver to use i naciśnij Next.
• W oknie Detecting TCP/IP Port poczekaj chwilę, aż zostaniesz
przeniesiony do następnego okna.
• W oknie Additional Port Information Required naciśnij Next.
• W oknie Printer Driver naciśnij Next.
• W oknie Printer Installation na liście Manufacturer wybierz IBM, a na
liście Printers zaznacz IBM 2380 Plus.
• Naciśnij Next.
• W oknie Printer Name and Sharing Settings w polu Printer Name wpisz
IBM 2380 Plus Normal.
• W polu Share Name wpisz IBM 2380 Plus Normal.
• Zaznacz opcję Publish this printer to the directory i nacisnij Next.
• W oknie Printer Found naciśnij Next.
• W oknie Completing the Network Printer Installation Wizard zaznacz
Add another printer i naciśnij Finish.
• W oknie Printer Installation zaznacz Add a new printer using an
existing port, a na liście zaznacz 192.168.1.102 (Standard TCP/IP).
• Naciśnij Next.
• W oknie Printer Driver zaznacz Use an existing printer driver on the
computer i na liście wybierz IBM 2380 Plus.
• Naciśnij Next.
IBM 2380 Plus Express.
• W polu Share Name wpisz IBM 2380 Plus Express.
• W oknie Completing the Network Printer Installation Wizard naciśnij
Finish.
• W konsoli Print Management kliknij prawym przyciskiem myszy
drukarkę IBM 2380 Plus Express i z menu kontekstowego wybierz
Properties.
• Kliknij zakładkę Advanced.
• W polu Priority wpisz 10.
• Kliknij zakładkę Security.
• W sekcji Group or user name zaznacz Everyone i naciśnij przycisk
Remove.
• W oknie Select Users, Computers, or Groups wpisz DL Nwtraders Sales
Managers Print i naciśnij OK.
• W sekcji Permissions for DL Nwtraders Sales Managers Print zaznacz
Manage documents w kolumnie Allow.
• W oknie Select Users, Computers, or Groups wpisz DL Nwtraders Sales
Personnel Print i naciśnij OK.
7. Stworzenie
• W drzewie konsoli kliknij prawym przyciskiem myszy Printers.
Strona 11/13
Moduł 9
drukarki
dostępnej w
godzinach
nocnych.
• Z menu kontekstowego wybierz Add Printer.
• W oknie Printer Installation zaznacz Add a new printer using an
existing port, a na liście zaznacz 192.168.1.101 (Standard TCP/IP).
• Naciśnij Next.
• W oknie Printer Driver zaznacz Use an existing printer driver on the
computer i na liście wybierz HP 2500C Series Printer.
• Naciśnij Next.
HP 2500C Series Printer nocna.
• W polu Share Name wpisz HP 2500C Series Printer nocna.
• W oknie Completing the Network Printer Installation Wizard naciśnij
Finish.
• W konsoli Print Management kliknij prawym przyciskiem myszy
drukarkę HP 2500C Series Printer nocna i z menu kontekstowego
wybierz Properties.
• Kliknij zakładkę Advanced.
• Zaznacz opcję Available from 8:00 PM To 6:00 AM.
• Naciśnij OK.
8. Stworzenie
puli drukarek
• W drzewie konsoli kliknij prawym przyciskiem myszy Ports.
• Z menu kontekstowego wybierz Add Port.
• W oknie Printer Port zaznacz Standard TCP/IP Port i naciśnij przycisk
New Port.
• W oknie Welcome to the Add Standard TCP/IP Printer Port Wizard
naciśnij Next.
• W oknie Add Port w polu Printer Name or IP address wpisz
192.168.1.103 i nacisnij Next.
• W oknie Additional Port Information Required naciśnij Next.
• W oknie Completing the Add Standard TCP/IP Printer Port Wizard
naciśnij Finish.
• W oknie Printer Ports naciśnij Close.
• W drzewie konsoli zaznacz Printers.
• Kliknij prawym przyciskiem myszy drukarkę Epson FX Series (80).
• Wybierz zakładkę Ports.
• Zaznacz opcję Enable printer pooling.
• W sekcji Print to the following port(s). Dokuments will print to the first
free checked port zaznacz port 192.168.1.103.
• Naciśnij OK.
9. Przeniesienie
buforu wydruku
• Na dysku E: stwórz folder Spool.
• W drzewie konsoli narzędzia Print Management kliknij prawym
przyciskiem myszy Nazwakomputera (lokal).
• Wybierz zakładkę Advanced.
• W polu Spool folder wpisz i naciśnij E:\Spool przycisk Ok.
• W oknie Print Server Properties naciśnij Yes.
• W drzewie konsoli kliknij Printers.
• Kliknij prawym przyciskiem myszy drukarkę Epson Fx Series (80).
Strona 12/13
Moduł 9
• Z menu kontekstowego wybierz Print Test Page.
• W oknie A test page Has been sent to your printer naciśnij Close.
• Otwórz folder E:\Spool.
Zobacz, że w folderze znajdują się pliki z zadaniem wydruku.
•
•
•
•
•
Zamknij folder.
W drzewie konsoli kliknij Printers.
Kliknij prawym przyciskiem myszy drukarkę Epson Fx Series (80).
Z menu kontekstowego wybierz Open Printer Queue.
Queue
W oknie Epson Fx Series (80) wybierz menu Printer -> Cancel All
Documents
Documents.
• W oknie Printers potwierdź przyciskiem Yes.
Strona 13/13
Moduł 10
Wersja 1
Wprowadzenie do Group Policy
Spis treści
Wprowadzenie do Group Policy .......................................................................................................... 1
Moduł 10
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące zarządzania środowiskiem
przy wykorzystaniu Group Policy. Nauczysz się korzystać z narzędzia Group
Policy Management Control, i przy jego pomocy tworzyć i zarządzać
obiektami Group Policy Object. Dowiesz się w jaki sposób przypisać GPO dla
wybranej grupy komputerów i użytkowników, oraz w jaki sposób edytować
ustawienia.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami dotyczącymi wykorzystania
Group Policy w zarządzaniu środowiskiem informatycznym w firmie.
• wiedział, w jaki sposób działają zasady grup
• potrafił tworzyć obiekty GPO i zarządzać nimi
• potrafił wdrożyć wybrane ustawienie w grupie komputerów lub
użytkowników
Wymagania wstępne
Strona 2/14
Moduł 10
W twojej firmie jest około 500 komputerów i tyle samo użytkowników, którymi jako administrator
zarządzasz. Chcesz im wszystkim skonfigurować środowisko pracy. Każdemu użytkownikowi chcesz
przekierować folder Moje Dokumenty na udostępniony dysk sieciowy, oraz zmapować dysk na
folder Publiczny. Chcesz by wszyscy mieli zainstalowaną drukarkę sieciową oraz ograniczony dostęp
do Panelu sterowania. Każdy z użytkowników powinien mieć podobnie wyglądający Pulpit z
usuniętymi niektórymi standardowo dostępnymi elementami oraqz stworzonym na nim folderem
na dokumenty prywatne. Do zrealizowania tego zadania skorzystasz z zasad grup (ang. Group
Policy)
Zasady Grup (ang. Group Policy) w Windows Server 2008 mogą być wykorzystane do zarządzania
konfiguracją grup komputerów i użytkowników, poprzez definiowanie opcji związanych z rejestrami
systemu, ustawieniami zabezpieczeń, dystrybucją oprogramowania, skryptów i przekierowaniem
folderów. Dzięki Zasadom Grup można w łatwy sposób zredukować koszty zarządzania organizacją.
Zdefiniowane ustawienia w zasadach grup są przechowywane w GPO ( Group Policy Object), które
są tworzone i edytowane przy pomocy narzędzia Group Policy Management Console (GPMC).
Korzystając z tego narzędzia, linkując GPO do site-u, domeny lub jednostki organizacyjnej, można
przypisać ustawienia do użytkowników i komputerów znajdujących się w danym obiekcie Active
Directory. Jednostka Organizacyjna (OU) jest kontenerem najniższego poziomu w AD, do którego
można przypisać ustawienia Group Policy.
Ustawienia zdefiniowane w GPO, są przechowywane w dwóch lokalizacjach: w Active Directory w
miejscu zwanym kontenerem Group Policy i w folderze Sysvol na kontrolerze domeny gdzie
przechowywane są szablony Group Policy. Kontener Group Policy zawiera atrybuty używane do
rozmieszczania GPO. Informacje przechowywane w szablonach Group Policy zawierają ustawienia
zabezpieczeń, pliki skryptów, informacje służące do instalacji aplikacji, preferencje i szablony
administracyjne (ang. Administrative template) bazujące na ustawieniach Group Policy. Szablony
administracyjne (pliki z rozszerzeniem *.ADMX) zawierają ustawienia, które są dostępne w sekcji
Administrative Templates. W Windows Server 2008 szablony administracyjne mogą być
przechowywane lokalnie lub centralnie w folderze Sysvol. Korzystanie z centralnego rozwiązania
posiada dwie zalety:
• zawartość folderu Sysvol jest replikowana pomiędzy kontrolerami domeny. GPMC zawsze
używa szablonów administracyjnych przechowywanych centralnie przed lokalna wersją.
Dzięki temu jeden zestaw zaaprobowanych szablonów jest dostępny w całej domenie.
• możliwość korzystania z różnych języków szablonów administracyjnych. Jest to szczególnie
użyteczne dla środowisk rozciągniętych pomiędzy różnymi krajami i używających różnych
języków. Np. jeśli szablony administracyjne są przechowywane w centralnej lokalizacji w
folderze Sysvol, jeden administrator domeny może widzieć ustawienia w języku angielskim a
inny w francuskim.
Group Policy Management Console
Narzędzie GPMC udostępnia zunifikowane zarządzanie wszystkimi aspektami zasad grup pomiędzy
wieloma lasami w organizacji. Pozwala zarządzać obiektami GPO, filtrami Windows Management
Instrumentation (WMI) i powiązanymi z group Policy uprawnieniami w sieci. GPMC zawiera zbiór
interfejsów do zarządzania Group Policy opartych o konsolę MMC. Posiada następujacą
funkcjonalność:
• Importowanie i eksportowanie GPO
• Kopiowanie i wklejanie GPO
Strona 3/14
Moduł 10
•
•
•
•
Tworzenie kopii (backup) i odtwarzanie GPO
Wyszukiwanie GPO
Raportowanie
Group Policy Modeling. Umożliwia symulowanie Resultant Set of Policy (RSoP) do
planowania wdrożenia zasad grup przed ich implementacja w środowisku produkcyjnym
• Group Policy Result. Umożliwia uzyskanie RSoP w celu obserwowania interakcji GPO i
rozwiązywania ewentualnych problemów.
• Wspomaga tworzenie tabel migracji ułatwiających migrację i kopiowanie GPO pomiędzy
domenami i lasami. Tabela migracji jest plikiem mapującym referencje użytkowników, grup
komputerów i ścieżki UNC (Universal Naming Convention w źródłowym GPO na nowe
wartości w GPO docelowym.
• Raporty ustawień GPO i RSoP w postaci HTML które można zapisać i wydrukować
Projektowanie struktury jednostek organizacyjnych wspierającej Group Policy
W środowisku Active Directory przypisujemy ustawienia Group Policy linkując GPO do site-ów,
domen lub jednostek organizacyjnych. Najczęściej większość GPO jest przypisywanych na poziomie
OU, dlatego należy upewnić się, że struktura jednostek organizacyjnych wspiera strategię
zarządzania przy wykorzystaniu Group Policy. Niektóre ustawienia zasad grup np. dotyczące zasad
haseł definiowane są na poziomie domeny. Dobrze zaprojektowana struktura jednostek
organizacyjnych upraszcza administrowanie pozwalając wykorzystać dziedziczenie GPO i zapobiega
duplikowaniu ustawień w różnych GPO.
Projekt struktury jednostek organizacyjnych wymaga balansu pomiędzy wymaganiami dotyczącymi
delegowania praw administracyjnych a potrzebami wynikającymi z korzystania z Group Policy.
Rekomendacje dotyczące projektowania:
• Delegowanie kontroli administracyjnej – należy tworzyć jednostki organizacyjne w domenie
i delegować administracyjna kontrolę do specyficznych OU dla określonych użytkowników i
grup. Struktura OU będzie efektem wymagań dla delegowania kontroli administracyjnej.
• Przypisywanie Group Policy – tworząc strukturę OU należy głównie myśleć o obiektach,
którymi chcemy zarządzać. Np. można stworzyć strukturę, której jednostki organizacyjne
definiują stacje robocze, serwery i użytkowników.
Używając struktury gdzie OU zawierają homogeniczne obiekty takie jak użytkownicy lub komputery
(ale nie jedne i drugie jednocześnie), można łatwo wyłączyć te sekcje w GPO, by nie były
aplikowane dla danego typu obiektów.
Przypisywanie Group Policy dla nowego konta użytkownika lub komputera.
Nowe konto użytkownika lub komputera jest domyślnie tworzone odpowiednio w kontenerze
CN=users lub CN= Computers. Nie ma możliwości bezpośredniego przypisania Group Policy do tych
kontenerów oprócz dziedziczenia GPO zlinkowanego z domeną. Redirusr.exe (dla kont
użytkowników) i Redircomp.exe (dla kont komputerów) to dwa narzędzia zawarte w Windows
Server 2008 umożliwiające zmianę domyślnej lokalizacji tworzenia kont użytkowników i
komputerów, dzięki czemu można łatwo przypisywać GPO bezpośrednio dla nowo tworzonych
obiektów kont. Narzędzia te są dostępne na serwerze z rolą Active Directory Services Role w
folderze %windir%\system32.
Uruchamiając te narzędzia, raz dla każdej z domen, administrator domeny może wyspecyfikować
jednostkę organizacyjną gdzie będą umieszczane podczas tworzenia nowe konta użytkowników i
komputerów. Umożliwia to administratorom zarządzanie tymi nieprzypisanymi kontami przy użyciu
Group Policy przed umieszczeniem ich w kontenerach docelowych, zwiększając tym samym
bezpieczeństwo tych kont.
Strona 4/14
Moduł 10
Kiedy zmiany w Group Policy są aplikowane?
Zmiany w Group Policy mogą nie być natychmiast dostępne na komputerach użytkowników,
ponieważ zmiana w GPO musi być najpierw replikowana do odpowiedniego kontrolera domeny.
Dodatkowo, klient odświeża Group Policy co 90 minut ( z losowym przesunięciem 30 minut).
Replikacja GPO pomiędzy kontrolerami domen wykorzystuje dwa niezależne mechanizmy:
• Replikacja części przechowywanej w Active Directory jest kontrolowana przez wbudowany
system replikacji AD. Domyślnie trwa to mniej niż minutę pomiędzy kontrolerami w tej samej
lokalizacji. Proces ten może być wolniejszy dla sieci wolniejszych niż LAN.
• Replikacja folderu Sysvol jest kontrolowana przez File Replication Services (FRS) lub
Distributed File System Replication (DFSR). W obrębie lokalizacji (site) FRS replikacja
występuje co 15 minut. Jeśli kontroler domeny jest w innej lokalizacji proces replikacji zależy
od topologii i zdefiniowanych ustawień ( najmniejszy interwał – 15 minut).
Głównym mechanizmem odświeżania Group Policy jest start komputera i proces logowania. Jeśli
jest konieczne, można wyzwolić odświeżenie Group Policy ręcznie, nie czekając na automatyczne
odświeżenie. Aby to zrealizować należy wydać polecenie gpupdate w linii poleceń. Nie można
wyzwolić odświeżenia zasad grup korzystając z narzędzia GPMC.
Definiowanie zasięgu aplikowania Group Policy
Definiując zasięg działania GPO należy wziąć pod uwagę następujące czynniki:
• Gdzie GPO będzie linkowany?
• Jakie filtrowanie zabezpieczeń zostanie użyte?
Filtrowanie zabezpieczeń (ang. security filtering) umożliwia określenie, którzy użytkownicy i
jakie komputery otrzymają i zastosują ustawienia zdefiniowane w GPO. Dotyczy to całego
GPO i nie może być stosowane do poszczególnych ustawień wewnątrz GPO.
• Jakie filtry WMI zostaną zastosowane?
Filtry WMI pozwalają dynamicznie określać zasięg GPO bazując na atrybutach docelowego
komputera
Należy pamiętać, że domyślnie GPO są dziedziczone, kumulowane i mają efekt na wszystkie
komputery i użytkowników w kontenerach Active Direktory i ich dzieciach. Są przetwarzane w
następującej kolejności: Local Group Policy, site, domena i potem OU, a ostatnio przetwarzane GPO
nadpisuje GPO poprzednie. Domyślne dziedziczenie działa w ten sposób, że najpierw jest
przetwarzane GPO linkowane do kontenera umieszczonego najdalej od obiektu użytkownika lub
komputeram, a GPO linkowane w kontenerach bliższych obiektom nadpisują ustawienia
dzieciczone z GPO wykonywanych wcześniej. Wyjątkiem jest ustawienie opcji Enforced (No
Override) w linku GPO lub Block Policy Inheritance.
Strona 5/14
Moduł 10
Rys. 1 Dziedziczenie GPO
Można linkować kilka GPO do jednego kontenera Active Directory, lecz należy być świadomym
priorytetów przetwarzania. GPO z niższym numerem na liście Group Policy Order Link (wyświetlane
na zakładce Linked Group Policy Object w GPMC) jest ważniejsze (Rys. 1). Jednak, jeśli jedno lub
więcej linków GPO ma włączona opcję Enforced – najwyżej przypisany link z opcją Enforced ma
pierwszeństwo.
Opcja Enforced jest właściwością linku a Block Policy Inheritance jest właściwością kontenera.
Tworzenie i praca z Group Policy Object
Ponieważ zmiany w GPO są implementowane natychmiast zaleca się, aby GPO było nie linkowane
do czasu przetestowania w środowisku testowym
• Tworzenie nie linkowanego GPO – w drzewie konsoli GPMC należy kliknąć prawym
przyciskiem myszy w domenie, w której ma być utworzony obiekt i z menu kontekstowego
wybrać polecenie New. W oknie dialogowym New GPO należy podać nazwę i zatwierdzić
przyciskiem OK.
• Edycja GPO - w drzewie konsoli GPMC należy rozwinąć Group Policy Object, kliknąć prawym
przyciskiem myszy GPO, które ma być edytowane i z menu kontekstowego wybrać polecenie
Edit. W drzewie konsoli należy odnaleźć i zaznaczyć zasady, które mają być modyfikowane.
Znaleźć odpowiednie ustawienie w panelu szczegółów i otworzyć jego właściwości
podwójnym kliknięciem. Następnie należy wyedytować ustawienie i nacisnąć przycisk OK.
• Linkowanie GPO – w drzewie konsoli GPMC należy kliknąć prawym przyciskiem myszy
kontener, do którego ma być linkowane GPO i z menu kontekstowego wybrać polecenie Link
an Existing GPO. Inną metodą jest użycie metody drag – and – drop (przeciągnij i upuść).
• Tworzenie i linkowanie GPO - w drzewie konsoli GPMC należy kliknąć prawym przyciskiem
myszy kontener, do którego ma być linkowane GPO i z menu kontekstowego wybrać
polecenie Create a GPO in this Domain, and Link it here. W oknie dialogowym New GPO
należy podać nazwę i zatwierdzić przyciskiem OK. W tej procedurze są wykonywane dwie
Strona 6/14
Moduł 10
akcje: jest tworzone GPO w kontenerze Group Policy Object i linkowane do wskazanego
kontenera (np. OU)
• Usuwanie linku do GPO - w drzewie konsoli GPMC należy rozwinąć kontener Group Policy
Object, kliknąć GPO do którego chcemy usunąć link i w panelu szczegółów wybrać zakładkę
Scope. W sekcji Links kliknąć prawym przyciskiem myszy obiekt Active Direktory z linkiem
który chcemy usunąć i z menu poleceń wybrać Deete Link(s).
Usuwanie linku różni się od usuwania GPO. Jeśli kasowany jest tylko link do GPO, GPO nadal
istnieje i linki do niego od innych obiektów AD nadal funkcjonują. Jeśli usuwane jest GPO
usuwane są również wszystkie linki do niego.
• Wyłączanie konfiguracji użytkownika lub komputera w GPO – jeśli tworzone jest GPO z
ustawieniami dotyczącymi tylko użytkowników można wyłączyć ustawienia dotyczące
konfiguracji komputera. Dzięki temu zostanie zredukowany czas startu komputera, ponieważ
ta część nie będzie przetwarzana w celu sprawdzenia czy jakieś ustawienia istnieją. Jeśli
wykorzystane są tylko ustawienia komputera – należy wyłączyć część dla użytkownika.
W tym celu w drzewie konsoli GPMC należy rozwinąć kontener Group Policy Object, kliknąć
odpowiednie GPO, w panelu szczegółów wybrać zakładkę Details. W sekcji GPO Status
wybrać pożądane ustawienie: All settings disabled, Computer configuration settings disabled,
Enabled (default), User configuration settings disabled (Rys. 2).
Rys. 2 Wyłączanie nieużywanej części Group Policy
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z działaniem zasad grup.
Przedstawiono narzędzie Group Policy Management Control, dzięki któremu można tworzyć,
Strona 7/14
Moduł 10
edytować i usuwać GPO, a także w prosty sposób raportować status wdrażanego rozwiązania.
Omówiono przypisywanie GPO do określonych użytkowników i komputerów.
Porady praktyczne
• Aby zredukować czas potrzebny na przetwarzanie GPO używaj następującej strategii:
• Jeśli GPO zawiera tylko ustawienia konfiguracji komputera lub użytkownika, wyłącz część
ustawień GPO, które nie są aplikowane.
• Jeśli to możliwe łącz kilka mniejszych GPO w jedno większe. Zredukuje to liczbę
przetwarzanych GPO oraz ułatwi rozwiązywanie ewentualnych problemów.
• Zmiana dokonana w GPO jest replikowana na kontrolery domeny i w rezultacie następuje
nowe pobranie przez klientów. Jeśli posiadasz duże, kompleksowe GPO wymagające
częstych zmian pomyśl o stworzeniu nowego GPO zawierającego tylko zmiany często
podlegające modyfikacjom
• Powinieneś wdrożyć procedurę kontroli zmian Group Policy i dokumentować wszelkie
zmiany w GPO. Pomoże to rozwiązywać ewentualne problemy.
• Używaj Group Policy Modeling, aby zrozumieć jak nowe GPO współpracuje z istniejącymi.
• Sprawdzaj nowe GPO w środowisku testowym przed uruchomieniem w środowisku
produkcyjnym.
• Korzystaj z Group Policy Results, aby dowiedzieć się, które ustawienia GPO są aktualnie
zaaplikowane w Twoim środowisku
• Używaj GPMC do tworzenia kopii bezpieczeństwa Twoich GPO.
• Nie modyfikuj domyślnych GPO (default domain policy i default domain controller Policy)
bez uzasadnionej potrzeby. Lepiej stworzyć nowe GPO na poziomie domeny i nadpisać nim
ustawienia domyślnych GPO
• Zdefiniuj konwencję nazewniczą GPO, aby łatwo je identyfikować ich przeznaczenie
• Wyznaczaj tylko jednego administratora dla każdego GPO. Zabezpieczy to przed
nadpisywaniem ustawień przez inne osoby
• Niektóre ustawienia, takie jak przekierowanie folderów wymagają wylogowania użytkownika
i jego ponownego zalogowania. Instalacja oprogramowania przypisana do komputera
wymaga jego restartu.
• Maksymalna ilośc jednocześnie przetwarzanych GPO dl użytkownika i komputera to 999.
Uwagi dla studenta
•
•
•
•
rozumiesz sposób działania zasad grup
umiesz tworzyć i edytować GPO oraz linkować do wybranych kontenerów Active Directory
potrafisz zarządzać właściwościami GPO
wiesz w jaki sposób testować wdrażane rozwiązanie
2008
Strona 8/14
Moduł 10
Jesteś administratorem w firmie. Dostałeś nowe zadanie: szef Twojego oddziału chce, byś
skonfigurował środowisko pracy użytkownikom i ograniczył niektóre dostępne funkcje w ich
komputerach. Każdy użytkownik po zalogowaniu powinien ujrzeć powitalny komunikat. Dobrze aby
miał zmapowany dysk na folder Public serwera w swoim mieście. Na dyskach systemowych jest
mało miejsca, dlatego zapadła decyzja, by foldery z dokumentami użytkowników zostały
przeniesione na dysk E: do folderu Home. Ważne jest , aby tylko właściciel dokumentów miał do
nich dostęp. Pracownicy firmy nie powinni zmieniać konfiguracji komputerów dlatego jedynymi
dostępnymi da nich opcjami w Panelu Sterownia mają być Mysz i Klawiatura. Z tego samego
powodu należy usunąć menu Właściwości z obiektu Komputer. Należy zabronić dostępu do
polecenia Run, Network i Kosza. Każdy powinien mieć zainstalowaną drukarkę z serwera London.
Szef podał Ci także kilka mniej restrykcyjnych ustawień – takich, które powinny być skonfigurowane
na komputerze użytkownika, ale by mógł on sobie je zmienić.
W Twoim oddziale jest wielu użytkowników dlatego zbyt pracochłonne byłoby ręczne
konfigurowanie każdego z komputerów. Postanawiasz skorzystać z GPO. Skonfigurujesz Policy i
przetestujesz na jednym użytkowniku.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Stworzenie
GPO
zawierającego
skrypt logowania
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Wybierz menu Start -> Administrative Tools -> Group Policy
Management.
W drzewie konsoli rozwiń Forest: nwtraders.msft -> Domains ->
nwtraders.msft.
Kliknij prawym przyciskiem myszy Group Policy Object.
Z menu kontekstowego wybierz New.
W oknie New GPO w polu Name: wpisz Nazwakomputera – skrypt
logowania.
Wybierz przycisk OK.
W drzewie konsoli rozwiń Group Policy Object.
Kliknij prawym przyciskiem myszy Nazwakomputera – skrypt
logowania.
Z menu kontekstowego wybierz Edit.
W konsoli Group Policy Management Editor w sekcji User
Configuration rozwiń Policies -> Windows Settings.
Zaznacz Scripts (Logon/Logoff).
W prawej części okna kliknij prawym przyciskiem myszy Logon.
W oknie Logon Properties naciśnij przycisk Show Files.
Strona 9/14
Moduł 10
• W oknie Exploratora Windows , w menu Tools wybierz pozycję Folder
Options.
• W oknie Folder Option wybierz zakładkę View.
• W sekcji Advanced settings: odznacz opcję Hide extensions for known
file types.
• Naciśnij OK.
• W oknie Exploratora Windows, wybierz menu File -> New -> Text
Document.
• Zmień nazwę z New Text Document.txt na Logon.vbs.
• W oknie Rename wybierz Yes.
• Kliknij prawy przycisk myszy na pliku Logon.vbs i zmenu kontekstowego
wybierz Edit.
• W oknie Open File – security Warning naciśnij Open.
• W programie Notepad wpisz następujace polecenia:
Set objNetwork = Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive "S:", "\\Nazwakomputera\Public"
msgbox "Twoj skrypt dziala!!!!!"
•
•
•
•
•
•
•
•
•
•
•
•
•
3. Stworzenie
GPO z
konfiguracją
użytkownika
Zamknij plik i zapisz zmiany.
Zamknij okno Exploratora Windows.
W oknie Logon Properties naciśnij przycisk Add.
W oknie Add a Script naciśnij przycisk Browse.
W oknie Browse zaznacz plik Logon.vbs i naciśnij Open.
Naciśnij OK.
Naciśnij OK.
Zamknij okno konsoli Group Policy Management Editor.
W oknie konsoli Group Policy Management rozwiń Forest:
nwtraders.msft -> Domains -> nwtraders.msft - > Locations.
Kliknij prawym przyciskiem myszy obiekt Nazwakomputera.
Z menu kontekstowego wybierz Link an Existing GPO….
W oknie Select GPO w sekcji Group Policy objects: zaznacz
Nazwakomputera – skrypt logowania i naciśnij OK.
Zamknij konsolę Group Policy Management.
• Na dysku F: stwórz folder Home.
Properties.
• W oknie Home Properties wybierz zakładkę Sharing.
• Kliknij przycisk Advanced Sharing.
• W oknie Advanced Sharing zaznacz pole wyboru Share this folder.
• Wybierz przycisk Permissions.
• W oknie Permissions for Home w sekcji Group or user names zaznacz
Everyone i naciśnij przycisk Remove.
• W oknie Select Users, Computers, or Groups wpisz Authenticated
Users i naciśnij OK.
• W sekcji Permissions for Authenticated Users zaznacz pole Change w
kolumnie Allow.
• Naciśnij OK.
• Naciśnij OK.
Strona 10/14
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Moduł 10
W oknie Home Properties wybierz zakładkę Security.
Wybierz przycisk Edit.
W sekcji Group or user names zaznacz Users (Nazwakomputera\Users).
W sekcji Permisions for Users zaznacz Modify w kolumnie Allow
i naciśnij OK.
Wybierz przycisk Close.
Management.
W oknie konsoli Group Policy Management znajdź obiekt Forest:
nwtraders.msft -> Domains -> nwtraders.msft - > Locations ->
Nazwakomputera i kliknij go prawym przyciskiem myszy.
Z menu kontekstowego wybierz Create a GPO in this domain, and Link
it here…
W oknie New GPO w polu Name: wpisz Nazwakomputera – User
Standard Configuration.
W prawej części okna na zakładce Linked Group Policy Object kliknij
prawym przyciskiem myszy Nazwakomputera – User Standard
Configuration.
Configuration rozwiń Policies -> Windows Settings -> Folder
Redirection.
Kliknij prawym przyciskiem myszy Documents.
W oknie Documents Properties na zakładce Target w polu Setting
wybierz Basic – Redirect everyone’s folder to the same location.
Upewnij się, że w polu Target folder location jest wybrana opcja Create
a folder for each user under the root path.
W polu Root Path wpisz \\Nazwakomputera\Home.
W oknie Warning wybierz Yes.
Configuration rozwiń Policies -> Windows Settings.
Kliknij prawym przyciskiem myszy Deployed Printers.
Z menu kontekstowego wybierz Deploy Printer.
W oknie Deploy Printer(s) naciśnij Browse…
W oknie Select printer to deploy zaznacz komputer London i naciśnij
przycisk Select.
W oknie Select printer to deploy zaznacz drukarkę HP LaserJet 1100
(MS) i naciśnij przycisk Select.
W oknie Deploy Printer(s) naciśnij Add >>.
Naciśnij OK.
Configuration rozwiń Policies -> Administrative Templates: Policy
definitions (ADMX files) retrieved from local machine.
Zaznacz Control Panel.
W prawej części okna kliknij prawym przyciskiem myszy Show Only
specified Control Panel items.
Strona 11/14
Moduł 10
• W oknie Show Only specified Control Panel items Properties na
zakładce Setting zaznacz Enabled.
• Wybierz przycisk Show.
• W oknie Show Contents wybierz przycisk Add.
• W oknie Add Item wpisz Mouse i naciśnij OK.
• Wybierz przycisk Add.
• W oknie Add Item wpisz Keyboard i naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
• W lewej części okna zaznacz Desktop.
• W prawej części okna kliknij prawym przyciskiem myszy Remove
Properties from the Computer icon context menu.
• W oknie właściwości na zakładce Setting zaznacz Enabled.
• Naciśnij OK.
Recycle Bin icon from desktop.
• Naciśnij OK
• W lewej części okna zaznacz Start Menu and Taskbar.
• W prawej części okna kliknij prawym przyciskiem myszy Remove Run
menu from Start Menu.
• Naciśnij OK.
Network icon from Start Menu.
• Naciśnij OK.
• Zamknij okno konsoli Group Policy Management Editor.
• Zamknij konsolę Group Policy Management.
4. Testowanie
konfiguracji
• Wybierz menu Start -> Administrative Tools -> Active Directory Users
and Computers.
• W oknie User Account Control naciśnij Continue.
• W oknie narzędzia Active Directory Users and Computers zaznacz
nwtraders.msft.
• W Menu Action wybierz Find.
• W polu name wpisz NazwakomputeraUser.
• Naciśnij przycisk Find Now.
• W sekcji Search results kliknij prawym przyciskiem myszy
NazwakomputeraUser.
• Z menu kontekstowego wybierz Move.
• W oknie Move rozwiń nwtraders -> Locations, zaznacz jednostkę
organizacyjną odpowiadającą nazwie Twojego komputera i naciśnij OK.
• Zamknij okna i Wyloguj się.
Strona 12/14
•
•
•
•
Moduł 10
Enter
Po zalogowaniu powinno pojawić się okno z informacją „Twój skrypt
dziala!!!!!
Zobacz, że na pulpicie nie ma Kosza.
Wybierz menu Start i zobacz, że nie ma polecenia Run ani Network.
Wybierz Menu Start -> Documents i stwórz nowy dokument. Przejdź
do folderu F:\Home\NazwakomputeraUser\Documents
Documents i zobacz, że
stworzony plik znajduje się w tej lokalizacji.
Wybierz Menu Start -> Control Panel i zobacz które elementy są
dostępne.
kem myszy Computer i
Wybierz Menu Start, kliknij prawym przyciskem
zobacz, że w menu kontekstowym nie ma polecenia Properties.
• Wyloguj się.
5. Stworzenie
GPO z
preferencjami
użytkownika
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
NazwakomputeraAdmin
Enter
Management
Management.
W oknie User Account Control wybierz Continue..
W drzewie konsoli rozwiń Forest: nwtraders.msft -> Domains ->
nwtraders.msft
nwtraders.msft.
K
Kliknij
prawym przyciskiem myszy Group Policy Object.
Object
Z menu kontekstowego wybierz New.
W oknie New GPO w polu Name: wpisz Nazwakomputera – User
Preferences
Preferences.
W
Wybierz
przycisk OK.
W drzewie konsoli rozwiń Group Policy Object.
K
Kliknij
prawym przyciskiem myszy Nazwakomputera – User
Preferences
Preferences.
Configuration rozwiń Preferences ->> Windows Settings.
Settings
Kliknij prawym przyciskiem Drive Maps.
Z menu kontekstowego wybierz New ->> Mapped Drive.
W oknie New Drive Properties w polu Action wybierz Create.
W polu Location
Lo
wpisz \\London\Nazwakomputera
Nazwakomputera Admins Folder.
Folder
Zaznacz opcję Reconnect.
W sekcji Drive Letter wybierz opcję Use: X.
Naciśnij OK.
W konsoli
ko
Group Policy Management Editor w sekcji User
Configuration -> Preferences ->> Windows Settings kliknij prawym
przyciskiem Folders.
Z menu kontekstowego wybierz New -> Folder.
W oknie New Folder Properties w polu Action wybierz Create.
Strona 13/14
Moduł 10
• W polu Path wpisz C: \Users\%username%\Desktop
Desktop\Private.
• Naciśnij OK.
• W konsoli Group Policy Management Editor w sekcji User Configuration
->> Preferences -> Windows Settings kliknij
liknij prawym przyciskiem
Shortcuts.
• Z menu kontekstowego wybierz New ->> Shortcut.
• W oknie New Shortcut Properties w polu Action wybierz Create.
• W polu Name wpisz Tajne.
• W polu Location wybierz Desktop.
• W polu Target path wpisz E:\Secret.
• Naciśnij OK.
• W konsoli Group Policy Management Editor w sekcji User
Configuration -> Preferences -> Control Panel Settings kliknij prawym
przyciskiem Devices.
• Z menu kontekstowego wybierz New -> Device.
• W oknie New Device Properties w polu Action wybierz Do not use this
device (disable).
(disable)
• W polu Device class naciśnij przycisk.
• W oknie Select a Device Class or a Device rozwiń ports (COM & LPT).
• Wybierz Communications port (COM1)) i naciśnij przycisk Select.
• Naciśnij OK.
• Zamknij okno konsoli Group Policy Management Editor.
Editor
• W oknie konsoli Group Policy Management rozwiń Forest:
nwtraders.msft -> Domains -> nwtraders.msft - > Locations.
Locations
• Kliknij
K
prawym przyciskiem myszy obiekt Nazwakomputera.
Nazwakomputera
• Z menu kontekstowego wybierz Link an Existing GPO….
GPO…
• W oknie Select GPO w sekcji Group Policy objects: zaznacz
Nazwakomputera – User Preferences i naciśnij OK.
• Zamknij konsolę Group Policy Management.
• Wyloguj się.
6. Testowanie
konfiguracji
•
•
•
•
•
Enter
Sprawdź, czy zdefiniowanie ustawienia zadziałały. Na pulpicie powinny
pojawić się folder Private i skrót do folderu Tajne.
Tajne Powinien pojawić
się zmapowany dysk X. W Device Manager możesz sprawdzić, że port
COM 1 jest wyłączony.
• Wyloguj się
Strona 14/14
Moduł 11
Wersja 1
Monitorowanie Procesów, Usług i
Zdarzeń
Spis treści
Monitorowanie Procesów, Usług i Zdarzeń ........................................................................................ 1
Moduł 11
Monitorowanie Procesów, Usług i Zdarzeń
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące zarządzania wydajnością
systemu. Dowiesz się, w jaki sposób używać narzędzi umożliwiających
śledzenie wykorzystania podstawowych komponentów systemu zarówno w
trybie rzeczywistym jak i zbierając dane na przestrzeni określonego czasu.
Nauczysz się korzystać z narzędzi raportujących poziom niezawodności
systemu.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami dotyczącymi śledzenia
wydajności systemu, wykrywania i usuwania wąskich gardeł w systemie
oraz monitorowania niezawodności systemu i zdarzeń mających na to
wpływ
• wiedział, co to są liczniki i jak się je śledzi
• potrafił, posługiwać się narzędziami do monitorowania wydajności i
niezawodności systemu
• rozumiał jakie komponenty systemu mogą mieć wpływ na wydajność
Wymagania wstępne
Strona 2/12
Moduł 11
Jeden z serwerów w Twojej firmie podejrzanie zwolnił. Użytkownicy skarżą się, że pewnych
godzinach muszą długo czekać na otwarcie plików, które znajdują się na udostępnionym folderze.
Postanawiasz przy wykorzystaniu odpowiednich narzędzi monitorować serwer by znaleźć przyczynę
problemów i ją wyeliminować.
Windows Server 2008 zawiera narzędzie Windows Reliability and Performance Monitor (Monitor
niezawodności i wydajności. Jest to przystawka do konsoli Microsoft Management Console (MMC),
która łączy w sobie funkcjonalność wcześniejszych pojedynczych narzędzi zawartych w
Performance Logs and Alerts, Server Performance Advisor i System Monitor. Zawiera także monitor
niezawodności, który pozwala śledzić zmiany w systemie i porównywać je do zmian w stabilności
systemu, udostępniając graficzne widoki ich zależności.
Wydajność określa szybkość, z jaką komputer realizuje zadania aplikacji i systemu. Całkowita
wydajność systemu może być ograniczona przez szybkość dostępu do dysku twardego, ilość
pomięci dostępnej dla uruchomionych procesów, maksymalnej prędkości procesora oraz
maksymalnej przepustowości karty sieciowej.
Po zidentyfikowaniu sprzętowego ograniczenia wydajności, pracownicy IT mogą monitorować
pojedyncze aplikacje i procesy, aby ocenić jak wiele dostępnych zasobów one zużywają. Osoby
odpowiedzialne mogą dokonywać pełnej analizy wydajności zarówno aplikacji mającej wpływ na
obciążenie jak i całkowitej przepustowość systemu, co może pomóc w stworzeniu planu
dostarczenia i rozszerzania przepustowości systemu wraz z wzrastającymi potrzebami.
Windows Reliability and Performance Monitor umożliwia śledzenie nagłych zmian obciążeń
systemu przez aplikacje lub usługi i generowanie alertów lub podejmowanie akcji, które zdefiniował
użytkownik wcześniej zdefiniował na wypadek przekroczenia optymalnej wydajności.
Niezawodność systemu określa stabilność systemu umożliwiając analizę trendów na podstawie
informacji o zdarzeniach mogących mieć wpływ na ogólną stabilność systemu, takich jak instalacja
oprogramowania, aktualizacje systemu operacyjnego i awarie sprzętu. Informacje potrzebne do
określenia niezawodności systemu są zbierane od momentu jego instalacji. Niezawodność może
być obniżona przez nieoczekiwane zatrzymanie działania aplikacji (aplikacja przestaje odpowiadać),
zatrzymanie i restart usługi, nieprawidłowe zainicjowanie sterownika, lub w najgorszym przypadku,
kiedy system operacyjny ulega awarii.
Narzędzie Reliability Monitor udostępnia szybki, graficzny widok średniej niezawodności systemu.
Dodatkowo, śledzi zdarzenia, które mogą pomóc zidentyfikować przyczyny obniżenia
niezawodności. Zapisywane są nie tylko uszkodzenia czy błędy (dotyczące pamięci, twardych
dysków, aplikacji czy systemu operacyjnego), ale również kluczowe zdarzenia dotyczące
konfiguracji systemu ( instalacja nowych aplikacji i aktualizacja systemu operacyjnego). Dzięki temu
można obserwować następujące w czasie zmiany systemu i niezawodność, co pozwala wycofać
pewne zmiany w systemie które obniżyły niezawodność.
Kluczowe nowości w monitorowaniu niezawodności i wydajności
• Data Collector Sets – ważną nowością w Windows Reliability and Performance Monitor jest
Data Collector Set ( zestaw modułów zbierających dane), który grupuje moduły zbierające
dane w elementy nadające się do wielokrotnego wykorzystania, które można stosować w
różnych scenariuszach monitorowania wydajności. Po zapisaniu grupy modułów zbierających
dane w Zestawie modułów zbierających dane operacje takie jak planowanie można
zastosować do całego zestawu poprzez jedną zmianę właściwości. W narzędziu dostępne są
Strona 3/12
Moduł 11
także domyślne szablony Zestawu modułów zbierających dane, pomagające administratorom
systemu od razu rozpocząć zbieranie danych specyficznych dla określonej roli serwera lub
scenariusza monitorowania.
• Kreatory i szablony do tworzenia dzienników – umożliwiają dodawanie liczników, które mają
być zapisywane w dziennikach, ich automatyczne uruchomienie, zatrzymanie oraz czas
trwania przy wykorzystaniu interfejsu kreatora, dzięki czemu czynności te są bardzo
uproszczone. Dodtakowo czynności te mogą zostać zapisane w postaci szablonów, co
umożliwia ich późniejsze wykorzystanie na innych komputerach bez powtarzania czynności
wyboru liczników i ustawiania harmonogramów. Funkcje Performance Logs and Alerts
współpracują z Windows Reliability and Performance Monitor, dzięki czemu mogą używać
używając dowolnego Zestawu modułów zbierających dane.
• Widok zasobów – główną stroną narzędzia Windows Reliability and Performance Monitor
jest widok zasobów(Rys. 1), zawierający graficzny przegląd wykorzystania w czasie
rzeczywistym procesora, dysków, sieci i pamięci. Każdy z tych elementów można rozwinąć,
co pozwala określić, które procesy korzystają z tych zasobów. W poprzednich wersjach
systemów ta funkcjonalność była dostępna tylko w narzędziu Task Manager w dodatku
ograniczonym zakresie.
Rys. 1 Główny widok narzędzia Windows Reliability and Performance Monitor
• Przyjazne dla użytkowników raporty diagnostyczne – zestaw raportów diagnostycznych
znany z programu Server Performance Advisor z systemu Windows Server 2003,
poprawionym czasem ich generowania.
Monitorowanie specyficznych aktywności systemu przy użyciu Performance Monitor
Performance monitor umożliwia graficzną prezentację wbudowanych w system Windows liczników
wydajności zbieranych w czasie rzeczywistym lub przeglądanych w postaci historycznych danych.
Strona 4/12
Moduł 11
Przed realizacją tego zadanie należy upewnić się, że użytkownik należy do grupy lokalnych
administratorów lub jest zalogowany, jako członek grupy Performance Log Users która ma nadane
prawa Log on as a batch Job.
• Uruchomienie Performance Monitor
1. Uruchomić Windows Reliability and Performance Monitor.
2. W drzewie konsoli należy rozwinąć Reliability and Performance, rozwinąć Monitoring Tools I
kliknąć Performance Monitor.
Performance Monitor umożliwia dodanie specyficznych liczników wydajności do bieżącego
widoku.
• Dodanie liczników do bieżącego widoku Performance Monitor
1. W pasku menu powyżej wyświetlonej grafiki Performance Monitor kliknąć przycisk Add (+),
lub w dowolnym miejscu grafiki kliknąć prawym przyciskiem myszy i z menu kontekstowego
wybrać polecenie Add Counters.
2. W oknie Add Counters w sekcji Available Counters należy wybrać liczniki mające się pojawić
w widoku Performance Monitor. Sugerowane liczniki:
•
•
•
•
•
•
•
•
•
•
Memory: % Committed Bytes In Use
Memory: % Committed Bytes In Use
Memory: Page Faults/sec
PhysicalDisk: Disk Read Bytes/sec
PhysicalDisk: Disk Reads/sec
PhysicalDisk: Disk Write Bytes/sec
PhysicalDisk: Disk Writes/sec
Processor: % Idle Time
Processor: Interrupts/sec
System: Threads
3. Po wybraniu liczników należy kliknąć przycisk OK.
Tabela (Tab. 1) opisuje dostępne czynności w oknie Add Counters.
Tab. 1 Czynności dostępne w oknie Add Counters
Zadanie
Wybór źródłowego
liczników
komputera
Wyświetlenie
liczników
wybranej
opisu
Procedura
dla Wybrać komputer z rozwijalnej listy lub kliknąć
przycisk Browse, aby znaleźć inny komputer. Liczniki
mogą być dodane dla komputera lokalnego lub
innego komputera w sieci do którego posiadamy
dostęp.
grupy Wybrać Show description w lewym dolnym rogu
strony. Opis zostanie odświeżony po wybraniu innej
grupy
Dodanie grupy liczników
Podświetlić nazwę grupy i nacisnąć przycisk Add
Szukanie instancji licznika
Podświetlić grupę liczników lub rozwinąć grupę i
kliknąć licznik, który ma być dodany wpisać nazwę
procesu w polu Instances of selected object i kliknąć
przycisk Search. Nazwa procesu, która została
wpisana będzie dostępna do ponownego użycia na
liście wyszukiwania dla innych liczników. Jeśli grupa
liczników nie posiada wielu instancji, wyszukiwanie
Strona 5/12
Moduł 11
nie jest dostępne
Dodanie tylko wybranej instancji licznika
Podświetlić grupę liczników lub licznik na liście,
wybrać proces z listy pojawiającej się w sekcji
Instances of selectes object i kliknąć przycisk Add
4. Monitorowanie aktualnej aktywności wybranych liczników w Performance Monitor
• Domyślnym widokiem narzędzia Performance Monitor jest wykres liniowy (Rys. 2). W
widoku tym widok jest przesuwany z lewej do prawej. Umożliwia to obserwowanie
zmiany aktywności każdego z liczników w porównaniu do wartości poprzednich w krótkim
okresie czasu ( 2 minuty). Po umieszczeniu wskaźnika myszy nad linią wykresu zostaje
wyświetlona szczegółowa informacja dotycząca licznika, który jest reprezentowany przez
tą linię.
Rys. 2 Wykres liniowy w narzędziu Performance Monitor
• Możliwa jest zmiana sposobu wyświetlania aktualnego zbioru liczników przy użyciu
rozwijanej listy w menu. Histogram bar wyświetla informacje w czasie rzeczywistym,
umożliwiając obserwację zmian aktywności każdego z liczników
• Widok Report pokazuje aktualne wartości każdego z wybranych liczników w formie tekstu
• W zależności od widoku, każdy z liczników jest wyświetlany w legendzie z kolorem, w
jakim jest dostępny na wykresie, skalą, nazwą licznika, jego instancją, obiektem którego
dotyczy i komputera z którego jest pobierany.
• Można zamrozić aktualny widok klikając przycisk Stop na pasku narzędzi. Aby przywrócić
obserwacje od punktu, który jest aktualnie zatrzymany należy kliknąć Play..
Strona 6/12
Moduł 11
Przeglądanie stabilności systemu przy wykorzystaniu narzędzia Reliability Monitor
Narzędzie Reliability Monitor jest przystawką konsoli MMC umożliwiającą przegląd stabilności
systemu i analizę trendów ze szczegółowymi informacjami o indywidualnych zdarzeniach mających
wpływ na stabilność systemu. Dane są zbierane od momentu instalacji systemu.
• Uruchomienie Reliability Monitor
1. Uruchomić Windows Reliability and Performance Monitor.
2. W drzewie konsoli należy rozwinąć Monitoring Tools i kliknąć Reliability Monitor.
• Wykres Stability System – bazując na zbieranych danych dotyczących życia systemu, każda
data w wykresie System Stability zawiera graficzny punkt, pokazujący wartość indeksu
stabilności dla tego dnia. System Stability Index jest wartością od 1 (najmniej stabilny) do 10
(najbardziej stabilny) i jest średnią ważoną obliczaną z liczby specyficznych awarii zapisanych
w okresie czasu. Reliability Events opisują te specyficzne zdarzenia. Reliability Monitor
zarządza roczną historią stabilności systemu i zdarzeń związanych z niezawodnością.
• W system Stability Report są zapisywane następujące zdarzenia związane z niezawodnością
systemu
• System Clock Changes – w tej kategorii zawarte są zmiany czasu systemowego
Przechowywane informacje: Old Time, New Time, Date
• Software (Un)Instalss – instalacja lub usuwanie oprogramowania zawierająca
komponenty systemu operacyjnego, aktualizacje Windows, sterowniki i aplikacje.
Przechowywane informacje: Software, Version, Activity, Activity Status, Date
• Application Failures - awarie aplikacji, między innymi przerwanie działania, nie
odpowiadanie
Przechowywane informacje: Application, Version, Failure Type, Date
• Hardware Failures – awarie dysku i pamięci
Przechowywane informacje: Component Type, Device, Failure Type, Date
• Windows Failure – awaria system operacyjnego oraz jego uruchamiania
Przechowywane informacje: Failure Type, Version, Failure Detail, Date
• Miscellaneous Failures – Awarie mające wpływ na stabilność i nie są zawarte w
powyższych kategoriach (np. nieoczekiwane wyłączenie systemu)
Przechowywane informacje: Failure Type, Version, Failure Detail, Date
Podsumowanie
W tym rozdziale przedstawione zostały informacje dotyczące monitorowania wydajności i
niezawodności serwerów przy wykorzystaniu dostępnego narzędzia Windows Reliability and
Performance Monitor
Porady praktyczne
• Instalacja Windows musi być uruchomiona przynajmniej 24 godziny zanim dane będą
wyświetlane w System Stability Chart
• Po zainstalowaniu systemu będzie można zobaczyć minimalną ilość zdarzeń związanych z
niezawodnością. Zainstaluj aplikacje i urzadzenia by zobaczyć ich więcej
Uwagi dla studenta
• rozumiesz, co to jest wydajność i niezawodność systemu
• umiesz monitorować liczniki związane związane z podsystemami
• potrafisz śledzić niezawodność systemu
Strona 7/12
Moduł 11
2008
Strona 8/12
Moduł 11
Jesteś odpowiedzialny za niezawodne działanie serwerów w swojej firmie. Do Twoich obowiązków
należy monitorowanie ich stanu – codzienna analiza logów systemowych i okresowe sprawdzanie
wydajności serwerów.
Właśnie zawiesił Ci się Explorer. Chcesz zrestartować proces.
Chcesz tak skonfigurować Monitor Wydajności by na jednym wykresie móc obserwować
wykorzystanie procesora i pamięci swojego serwera i serwera zdalnego London.
Podejrzewasz, że na zdalnym serwerze London w godzinach południowych, kiedy pracuje
największa liczba użytkowników może brakować pamięci operacyjnej. Chcesz skonfigurować
automatyczne zbieranie informacji codziennie przez najbliższe 2 tygodnie oprócz weekendów w
godzinach od 11 do 13. Dane te wykorzystasz później do analizy problemu.
Chcesz również przetestować swój system korzystając z gotowych raportów.
Codziennie rano przeglądasz logi na serwerach. By ułatwić sobie prace chcesz przygotować konsolę
zawierającą niezbędne narzędzia. Chcesz stworzyć swoje widoki.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Restart
procesu Explorera
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
3. Monitorowani
e serwerów w
czasie
rzeczywistym i
monitorowanie
rejestrowane
Wybierz Start Task Manager.
Wybierz zakładkę Processes.
Wybierz menu View -> Select Columns.
W oknie Select Process Page Columns wybierz PID (Process Identifier) i
CPU Time.
Naciśnij OK.
Przejrzyj uruchomione procesy.
Kliknij prawym przyciskiem proces explorer.exe.
Z menu kontekstowego wybierz End Process.
W oknie Windows Task Manager naciśnij przycisk End process.
Wybierz menu File -> new Task (Run).
W oknie Create New Task wpisz explorer.exe i naciśnij OK.
Zamknij okno Windows Task Manager.
• W oknie wiersza poleceń wpisz perfmon.msc.
• W oknie Reliability and Performance Monitor wybierz Monitoring
Tools -> Performance Monitor.
Strona 9/12
•
•
•
•
•
•
•
•
•
•
•
Moduł 11
W prawej części okna kliknij na zielonym przycisku +.
W oknie Add Counters dla Local computer rozwiń na liście Memory.
Zaznacz licznik Pages/sec i naciśnij Add.
Naciśnij OK.
W prawej części okna kliknij na zielonym przycisku +.
W polu Select counters from computer wpisz \\London
London.
W oknie Add Counters dla \\London rozwiń na liście Processor.
Zaznacz licznik % Processor Time i naciśnij Add.
W oknie Add Counters dla \\London rozwiń
wiń na liście Memory.
Zaznacz licznik Pages/sec i naciśnij Add.
Naciśnij OK.
Sprawdź, czy monitorujesz dwa liczniki ze swojego serwera i dwa
liczniki z serwera London.
• W oknie Reliability and Performance Monitor rozwiń Data Collector
Sets
Sets.
• Kliknij prawym przyciskiem myszy User Defined.
• Z menu kontekstowego wybierz New ->> Data Collector Set.
Set
• W oknie Create new Data Collector Set w polu Name wpisz
Monitorowanie serwera London.
London
• Zaznacz opcję Create manually (Advanced).
• Naciśnij Next.
• Dla zaznaczonej
zaznac
opcji Create data logs wybierz Performance counter.
counter
• Naciśnij Next.
• W oknie Which performance counters would you like to log? Naciśnij
przycisk Add.
• W polu Select counters from computer wpisz \\London
London.
• W oknie Add Counters dla \\London rozwiń na liście Memory.
• Na liście zaznacz
z
licznik Page Fault/sec i naciśnij Add.
Add
z
licznik Available Bytes i naciśnij Add.
Add
z
licznik Committed Bytes i naciśnij Add.
• Naciśnij OK.
• W opcji Sample interwal wpisz 3.
• W opcji Units upewnij się, że są wybrane sekundy.
• Naciśnij Next.
• Naciśnij Next.
• W oknie Create the data collector set? Naciśnij
aciśnij przycisk Finish.
Sets -> User Defined.
• Kliknij
K
prawym przyciskiem myszy Monitorowanie serwera London.
London
• W oknie Monitorowanie serwera London properties wybierz zakładkę
Schedule
Schedule.
• W polu Beginning date wybierz jutrzejszą datę.
• Zaznacz opcję Expiration date i wybierz datę 2 tygodnie późniejszą.
• W sekcji Lunch w polu Start time wybierz godzinę 11:00:00 AM.
• Odznacz Saturday i Sunday.
• Naciśnij OK.
Strona 10/12
•
•
•
•
4. Testowanie
wydajności
systemu
Moduł 11
Wybierz zakładkę Stop Condition.
Zaznacz opcję Overall duration i w polu poniżej wpisz 2.
W polu Units wybierz Hours.
Naciśnij OK.
Sets -> System.
• Kliknij prawym przyciskiem myszy System Performance.
Performance
• Z menu kontekstowego wybierz Start.
• Odczekaj około 1 minuty.
• Kliknij prawym przyciskiem myszy System Performance.
Performance
• Z menu kontekstowego wybierz Stop.
• W oknie Reliability and Performance Monitor rozwiń Reports ->
System -> System Performance.
• Kliknij dostępny raport.
• Przejrzyj
P
raport w prawej części okna.
Jakie jest użycie pamięci? Jakie jest użycie procesora?
• Zamknij narzędzie Reliability and Performance Monitor.
Monitor
5. Zarządzanie
dziennikami
zdarzeń
• Wybierz
W
runas /user:[email protected] mmc
• W oknie Console1 wybierz menu File ->> Add/Remove Snap-in…
Snap
• Na liście Available snap-ins zaznacz Event Viever i naciśnij przycisk
ADD> .
• W oknie Select Computer naciśnij OK.
• Na liście Available snap-ins zaznacz Event Viever i naciśnij przycisk
ADD> .
• W oknie Select Computer zaznacz opcję Another computer.
computer
• Naciśnij przycisk Browse.
• W polu Enter the object name to select (examples) wpisz London.
• W lewej częsci okna Console1 rozwiń Event Viewer (Local) -> Windows
Logs
Logs.
• Kliknij prawym przyciskiem myszy Application.
• W oknie Log Properties – Application w polu Maximum log size (KB)
wpisz 100000.
• Zaznacz opcję Archive the log when full, do not overwrite events.
events
• Nacisnij OK.
• Kliknij prawym przyciskiem myszy Security.
• Z menu kontekstowego wybierz Create Custom View.
• W oknie Create Custom View w polu Logged ustaw Last 30 days.
• W polu <All Event IDs> wpisz 4635.
• Naciśnij
N
OK.
• W oknie Save Filter to Custom View w polu Name wpisz wylogowanie
Strona 11/12
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Moduł 11
użytkownika.
Naciśnij przycisk New Folder.
W oknie Enter name of the New folder wpisz Moje widoki.
Naciśnij OK.
Naciśnij OK.
W oknie Save Filter to Custom View w sekcji select where to save the
Custom view zaznacz Moje widoki i naciśnij OK.
Przejrzyj zawartość stworzonego widoku logu Security.
W lewej częsci okna Console1 rozwiń Event Viewer (Local) -> Windows
Logs.
Kliknij prawym przyciskiem myszy System.
Z menu kontekstowego wybierz Clear Log.
W oknie Event Viewer naciśnij przycisk Save and Clear.
W oknie Save As w polu File name wpisz System Log kopia.
Naciśnij przycisk Save.
Zamknij okna.
Wyloguj się.
Strona 12/12
Moduł 12
Wersja 1
Archwizacja danych
Spis treści
Archwizacja danych .............................................................................................................................. 1
Moduł 12
Archiwizacja danych
Informacje o module
Opis modułu
W module tym znajdziesz informacje dotyczące zabezpieczenia danych
przed utratą. Dowiesz się, w jaki sposób wykonywać kopie zapasowe
korzystając z Shadow Copies jak i Windows Server Backup. Nauczysz się
tworzyć harmonogramy automatycznych kopii, oraz przywracać utracone
dane w wypadku ich usunięcia lub awarii dysków.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami związanymi z
zabezpieczaniem danych przed utratą, a w szczególności z wykorzystaniem
„kopii w tle” i codziennym wykonywaniem kopii zapasowych danych
przechowywanych na serwerach
• wiedział, jak działa mechanizm Schadow Copy
• potrafił, skonfigurować harmonogram wykonywania automatycznych
kopii zapasowych
• rozumiał potrzebę zabezpiecznia danych przed utratą
Wymagania wstępne
rozpocząć pracę z tym modułem.
Strona 2/14
Moduł 12
Archiwizacja danych
Chcesz by dane przechowywane na serwerach w twojej firmie były bezpieczne. Na razie nie było
awarii dysków, ale zdajesz sobie sprawę z konsekwencji takiego zdarzenia. Ponadto zdarza się, że
użytkownicy przez przypadek kasują pliki znajdujące się na serwerze plików. Chcesz zabezpieczyć
się przed takimi zdarzeniami tworząc kopie zapasowe.
Czasami użytkownicy modyfikują pliki nadpisując dane, a po jakimś czasie potrzebna jest ich
poprzednia wersja. Chcesz, by mogli oni sami w prosty sposób przeglądać zmiany, jakie w nich
występowały.
Windows Server 2008 zawiera kilka rozwiązań, które mogą być używane razem w celu tworzenia
kopii bezpieczeństwa i zapewnienia odtworzenia systemu i danych. Są to:
• Shadow Copies (kopia w tle)
• Narzędzia Windows Server Backup (w ich skład wchodzi przystawka Windows Server Backup
Microsoft Management Console, narzedzie wiersza poleceń Wbadmin i komendy Windows
PowerShell dla Windows Server Backup)
• Windows Recovery Environment (zawiera Windows Complete PC Restore, Windows memory
Diagnostic Tool i wiersz poleceń)
Można używać tych narzędzi do następujących zadań związanych z tworzeniem i odzyskiwaniem
kopii bezpieczeństwa(Tab. 1):
Tab. 1 Narzędzia i zadania, jakie można przy ich pomocy wykonać
Narzędzie
Zadanie
Shadow Copies of Shared Folders (w Tworzenie kopii w tle plików lub folderów w
przystawce Shared Folders)
udostępnionym zasobie
Backup Schedule Wizard (w przystawce Tworzenie harmonogramów dla automatycznego
Windows Server Backup)
wykonywania kopii zapasowej
Backup Once Wizard (w przystawce Tworzenie
Windows Server Backup)
zapasowej
Polecenie
Wbadmin
systemstatebackup
jednorazowej,
dodatkowej
kopii
start Tworzenie kopii zapasowej danych dotyczących
stanu systemu (ang. system state)
Recovery Wizard (w przystawce Windows Odzyskiwanie
Server Backup)
woluminów
plików,
folderów,
aplikacji
i
Dysk instalacyjny Windows do dostępu Odzyskiwanie systemu operacyjnego (krytycznych
do Windows Recovery Environment i kopi woluminów) lub całego serwera (wszystkich
tworzonych przy pomocy Windows woluminów)
Server Backup
Polecenie
Wbadmin
systemstaterecovery
start Odzyskiwanie danych dotyczących stanu systemu
Catalog Recovery Wizard (w przystawce Odzyskiwanie katalogu zaierajacego informacje o
Windows Server Backup) – dostępny przeprowadzonych kopiach
tylko gdy katalog kopii jest uszkodzony
Strona 3/14
Moduł 12
Archiwizacja danych
Shadow Copies współdzielonych folderów
Shadow Copies współdzielonych folderów tworzy kopię w punkcie czasu plików znajdujących się na
współdzielonym zasobie takim jak serwer plików. Funkcjonalność ta jest zawarta w przystawce
Shadow Copies of Shared Folders w konsoli Microsoft Management Console. Korzystając z niej
użytkownicy mogą zobaczyć pliki i foldery istniejące w określonych punktach czasu w przeszłości.
Dostęp do wcześniejszych wersji plików jest bardzo użyteczna, ponieważ można:
• przywrócić pliki przypadkowo skasowane – jeśli jakiś plik został przypadkowo skasowany,
można otworzyć jego poprzednią wersje i zapisać w bezpiecznym miejscu.
• przywrócić pliki przypadkowo nadpisane - jeśli jakiś plik został przypadkowo nadpisany,
można przywrócić jego poprzednią wersję
• porównać wersje plików – można użyć poprzednich wersji plików w celu porównania różnic
pomiędzy nimi
Należy pamiętać, że korzystanie z „kopii w tle” nie zastępuje tworzenia regularnych kopii
zapasowych. Shadow Copies of Shared Folders można włączyć tylko na poziomie woluminu a nie
jest możliwe wyspecyfikowanie folderów i plików, które mają być kopiowane lub nie.
Funkcjonalność Shadow Copies jest we wszystkich wersjach Windows Server 2008 ( zarówno w 32
bitowej jaki 64 bitowej), jednak interfejs użytkownika nie jest dostępny w instalacji Server Core.
Włączenie i konfigurowanie Shadow Copies of Shared Folders
Jeśli “kopia w tle” zostanie włączona na woluminie z domyślnymi opcjami, harmonogram zostanie
ustawiony w taki sposób, że kopia zostanie wykonana o godzinie 7.00. Domyślne miejsce
przechowywanie będzie na tym samych woluminie i zostanie ustawione na 10 procent dostępnego
miejsca.
Rys. 1 Okno konfiguracji Shadow Copies
W celu włączenia Shadow Copies of Shared Folders należy:
• Wybrać Start -> Administrative Tools i kliknąć Computer Management.
Strona 4/14
Moduł 12
Archiwizacja danych
• W drzewie konsoli kliknąć prawym przyciskiem myszy Shared Folders i z menu
kontekstowego wybrać polecenie All Task, a potem Configure Shadow Copies (Rys. 1).
• W oknie Select a volume, wybrać wolumin, na którym ma być włączone „kopiowanie w tle” i
kliknąć przycisk Enable.
• Pojawi się komunikat mówiący, że funkcjonalność zostanie włączona na domyślnych
ustawieniach i mogą one być niewłaściwe dla serwerów z mocno obciążonymi podsystemami
I/O. Należy wybrać Yes, jeśli chcemy kontynuować, lub No, jeśli chcemy wybrać inny wolumin
i ustawienia.
• Aby zmienić domyślny harmonogram i ustawienia należy kliknąć przycisk Settings.
Windows Server Backup
Windows Server Backup jest funkcją Windows Server 2008, która udostępnia zbiór kreatorów i
innych narzędzi, umożliwiających tworzenie zadań podstawowych kopii zapasowych i odzyskiwania
dla serwerów. Funkcjonalność ta została przeprojektowana i wprowadzona w nowej technologii, a
wcześniejszy Ntbackup.exe, dostępny w poprzednich wersjach systemu Windows został usunięty.
Windows Server Backup zawiera przystawki MMC i narzędzia wiersza poleceń, które udostępniają
kompletne wsparcie dla codziennych kopii zapasowych i odzyskiwania. Dostępne są cztery
kreatory, które instruują, w jaki sposób zrobić kopię i ją odzyskać. Windows Server backup może
być użyty do zrobienia kopii zapasowej całego serwera,, wybranego woluminu lub stanu systemu.
Odzyskiwać można woluminy, foldery, pliki, niektóre aplikacje i stan systemu. Jeśli zdarzy się awaria
dysku można przeprowadzić przywrócenie systemu, które przywróci kompletny system przy użyciu
pełnej kopii zapasowej serwera i Windows Recovery Environment.
Windows Server Backup może być użyty do tworzenia i zarządzania kopiami zapasowymi na
komputerze lokalnym lub komputerach zdalnych. Aby z niego korzystać użytkownik musi być
członkiem grupy Administrators lub Backup Operators. W Windows Server 2008 firewall jest
domyślnie włączony. Może on powodować problemy przy próbie zarządzania kopiami na
komputerach zdalnych i może być potrzebna modyfikacja jego reguł. Nie ma on wpływu na
zarządzanie komputerem lokalnym.
Windows Server Backup używa usługi Volume Shadow Copy Service (VSS) i technologi kopii na
poziomie bloków danych przy tworzeniu kopii zapasowej systemu operacyjnego, plików, folderów i
woluminów. Po wykonaniu pierwszej, pełnej kopii zapasowej, można skonfigurować narzędzie tak,
by automatycznie wykonywało przyrostową kopię danych zapisując tylko dane zmienione od czasu
wykonania ostatniej kopii. Nawet przy wyborze pełnej kopii, proces będzie zajmował mniej czasu
niż we wcześniejszych wersjach Windows. Windows Serwer Backup używa funkcjonalności VSS,
która jest wbudowana w aplikacje takie jak Microsoft SQL Server do zabezpieczania danych
aplikacji.
Podczas wykonywania kopii zapasowej należy wskazać lokalizację gdzie będzie tworzona kopia
zapasowa. Dostępne są następujące możliwości(Tab. 2):
Tab. 2 Dostępne magazyny do wykonania kopii zapasowej
Typ magazynu
Szczegóły
Udostępniony folder
Jeśli kopia jest zapisywana na zdalnym
udostępnionym folderze, kopia zapasowa będzie
nadpisywana za każdym razem, gdy będzie
tworzona nowa kopia. Opcja ta nie powinna być
wybierana, jeśli ma być przechowywana seria kopii
zapasowych.
Dodatkowo, jeśli podczas tworzenia kopii w
folderze, w którym istnieje już inna kopia wystąpi
Strona 5/14
Moduł 12
Archiwizacja danych
błąd, możemy zostać bez żadnej kopii. Można to
obejść tworząc podfolder w udostępnionym
folderze dla nowej kopii zapasowej
DVD, inne medium optyczne lub medium Jeśli kopia zapasowa jest przechowywana na takich
dołączane
mediach, przywracać można tylko całe woluminy a
nie poszczególne pliki czy aplikacje. Dodatkowo nie
wspierane jest medium które posiada mniej niż 1 GB
wolnego miejsca
Lokalny dysk twardy
Tworząc kopię zapasową na lokalnym dysku
twardym można:
• Przewracać pliki, foldery, aplikacje i woluminy
• Przywracać dane systemu i system operacyjny
jeśli kopia zapasowa zawiera wszystkie
krytyczne woluminy
Niestety, nie można przywracać systemu
operacyjnego jeśli kopia zapasowa jest na tym
samym fizycznym dysku co jeden z krytycznych
woluminów. Dodatkowo dysk wybrany do
przechowywania kopii jest dedykowany temu
zadaniu i nie jest widziany w Exploratorze Windows.
Zewnętrzny dysk twardy
Tworząc kopię zapasową na lokalnym dysku
twardym można:
• Przewracać pliki, foldery, aplikacje i woluminy
• Przywracać dane systemu i system operacyjny
jeśli kopia zapasowa zawiera wszystkie
krytyczne woluminy
• Łatwiej przenosić kopie zapasowe na
zewnątrz w celu zapewnienia ochrony
Zewnętrzny dysk służący do przechowywania kopii
jest dedykowany temu zadaniu i nie jest widziany w
Exploratorze Windows.
Konfigurowanie automatycznej kopi zapasowej
W celu skonfigurowania harmonogramu kopii zapasowej należy:
• Zainstalować Windows Server Backup
• Wybrać dysk twardy, na którym będzie przechowywana kopia zapasowa i upewnić się że jest
on w trybie online. Najlepszą praktyka jest używanie na serwerze zewnętrznego dysku
wspierającego USB 2.0 lub IEEE 1394. Powinien być on przynajmniej 2,5 krotnie większy niż
pojemność danych które mają być zabezpieczane. Ponadto dysk powinien być pusty,
ewentualnie zawierać dane, które nie są potrzebne, ponieważ Windows Server Backup
będzie go formatował w trakcie przygotowywania procesu kopii zapasowej.
• Zdecydować czy kopia będzie zawierała cały serwer czy wybrane woluminy
• Zdecydować czy kopia zapasowa będzie się wykonywała raz dziennie czy częściej
• Po uruchomieniu procesu wykonywania kopii zapasowej należy śledzić status korzystając z
Messages i Status na domyślnej stronie przystawki
Strona 6/14
Moduł 12
Archiwizacja danych
Rys. 2 Narzędzie Windows Server Backup
Stworzenie harmonogramu kopii zapasowej przy użyciu interfejsu Windows Server Backup:
• Wybrać Start -> Administrative Tools i kliknąć Windows Server Backup (Rys. 2).
• W przystawce w panelu Action pod Windows Server Backup kliknąć Backup Schedule.
Spowoduje to uruchomienie kreatora Backup Schedule Wizard.
• W oknie Getting started kliknąć Next.
• W oknie Select backup configuration wybrać jedną z poniższych opcji i kliknąć Next:
• Kliknąć Full Server, aby stworzyć kopię zapasową wszystkich woluminów serwera (opcja
rekomendowana)
• Kliknąć Custom, aby stworzyć kopię zapasową wybranych woluminów i kliknąć Next. W
oknie Select backup items zaznaczyć woluminy, które mają być kopiowane i odznaczyć te
które mają być wykluczone. ( Woluminy zawierające komponenty systemu operacyjnego
są zaznaczone domyślnie i nie mogą być odznaczone)
• Na stronie Specify backup time wybrać jedną z poniższych opcji i kliknąć Next:
• Kliknąć Once a Day i wprowadzić godzinę wykonania kopii zapasowej
• Kliknąć More than once a Day. Następnie wybrać czas startu w opcji Availabla time,
kliknąć czas, kiedy kopia zapasowa ma wystartować i kliknąć Add, aby przenieść czas pod
Scheduled time. Powtarzać akcje dla każdego czasu, który ma zostać wybrany.
• W oknie Select destination disk, zaznaczyć odpowiedni dysk. Najczęściej dysk lub dyski są
wyświetlane na liście. Jeśli nie należy kliknąć Show All Available Disks.
• Pojawi się komunikat informujący, że wybrany dysk zostanie sformatowany i istniejące dane
zostaną usunięte. Należy wybrać Yes. Jeśli dysk zawiera potrzebne dane należy kliknąć No i
zaznaczyć inny dysk. (Od tej chwili dysk będzie niewidoczny w Exploratorze Windows w celu
zabezpieczenia przed przypadkowym nadpisaniem
Strona 7/14
Moduł 12
Archiwizacja danych
• W oknie Label destination disk wyświetlany jest dysk wcześniej wybrany. Dołączone są
informacje o nazwie komputera, aktualnej dacie i godzinie i nazwie dysku.
• W oknie Confirmation należy przeglądnąć informacje podsumowujące i kliknąć Finish.
• W oknie Summary kliknąć Close.
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z wykorzystaniem technologii
Shadow Copies. Wyjaśniono, w jaki sposób skonfigurować tą funkcjonalność na serwerze.
Omówiono narzędzie do tworzenia kopii zapasowych Windows Server Backup i zademonstrowano,
w jaki sposób stworzyć harmonogram wykonywania kopii.
Porady praktyczne
• Przywracając plik przy wykorzystaniu Shadow Copies jego uprawnienia pozostają bez zmian.
Jeśli przywracasz plik omyłkowo skasowany jego uprawnienia będą takie jak domyślne
uprawnienia folderu, w którym się znajdzie.
• Kiedy wyczerpie się miejsce w magazynie, w którym są przechowywane kopie w tle,
najstarsze kopie będą nadpisywane, co uniemożliwi ich odzyskanie.
• Istnieje ograniczenie przechowywania maksymalnie 64 kopii w tle dla woluminu, jełki
zostanie przekroczone, najstarsze kopie będą nadpisywane, co uniemożliwi ich odzyskanie
• Kopie w tle są tylko do odczytu – nie ma możliwości ich modyfikowania
• Zalecane jest używanie innego dysku, jako magazynu dla Shadow Copies – zwiększy to
wydajność
• Nie należy włączać Shadow Copies na woluminach gdzie istnieje punkt montowania innych
woluminów, ponieważ nie będą one brały udziału w procesie. Wyjątkiem jest sytuacja, kiedy
świadomie wykluczamy taki dysk z tworzenia kopii.
• Nie powinno się ustawiać harmonogramu kopii częściej niż raz na godzinę – należy pamiętać
o ograniczeniu miejsca w magazynie przechowywania i limicie 64 kopii. Przy częstym
wykonywaniu kopi łatwo przekroczyć te limity i nadpisane dane nie będą dostępne.
• Przed usunięciem woluminu, na którym działa usługa Shadow Copies należy wyłączyć
zadanie z harmonogramu, ponieważ w logach będzie pojawiał się błąd Event ID: 7000.
Zadanie można usunąć ręcznie wybierając Start -> Administrative Tools i klikając Task
Scheduler. W narzędziu tym należy kliknąć Task Scheduler Library, kliknąc rawym przyciskiem
myszy zadanie tworzące kopię w tle i z menu kontekstowego wybrać polecenie Delete.
• Nie można odzyskiwać kopii zapasowej stworzonej przy pomocy ntbackup.exe korzystając z
Windows Server Backup. Można użyć wersji ntbackup.exe dostępnej na witrynie Microsoft.
• Nie można użyć Windows Server Backup dla woluminów większych niż 2043 GB.
• Woluminy które mają być zabezpieczone przy pomocy kopii zapasowej muszą być
podłączone lokalnie i sformatowane w systemie plików NTFS.
• Nie można robić kopii zapasowych wykorzystując napędy taśmowe mimo że Windows Server
2008 wpiera je.
Uwagi dla studenta
• rozumiesz jak działa Shadow Copies
• umiesz skonfigurować „kopiowanie w tle”
• potrafisz zrobić kopie zapasową przy pomocy Windows Backup Server
Strona 8/14
Moduł 12
Archiwizacja danych
2008
Strona 9/14
Moduł 12
Archiwizacja danych
Jesteś administratorem w firmie. Jesteś odpowiedzialny za bezpieczeństwo danych na serwerze.
Zdarza się, że użytkownicy modyfikują pliki udostępnione na serwerze, a potem okazuje się, że
potrzebna jest poprzednia ich wersja. Postanawiasz wdrożyć rozwiązanie dzięki któremu
użytkownicy sami będą mogli odtwarzać poprzednie wersje plików i folderów. Po uruchomieniu tej
funkcjonalności przeprowadzisz testy.
Zainstalujesz narzędzie do archiwizacji danych. Zrobisz backup woluminu i spróbujesz go odzyskać
by sprawdzić funkcjonowanie narzędzia.
Chcesz zautomatyzować proces tworzenia codziennych kopii bezpieczeństwa. Zdefiniujesz zadanie,
które będzie robiło backup Systemu codziennie wieczorem.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Skonfigurowa
nie Shadow
Copies
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
3. Testowanie
Shadow Copies
Wybierz menu Start -> Administrative Tools -> Computer
Management.
W drzewie konsoli Computer Management kliknij prawym przyciskiem
myszy Shared folders.
Z menu kontekstowego wybierz All Tasks -> Configure Shadow Copies.
W oknie Shadow Copies w sekcji Select a Volume zaznacz dysk E: i
naciśnij Enable.
W oknie Enable Shadow Copies naciśnij Yes.
Naciśnij przycisk Settings.
W oknie Settings naciśnij przycisk Schedule.
W oknie E:\ naciśnij przycisk New.
W polu start Time ustaw 7:00 AM.
Naciśnij przycisk Advanced.
W oknie Advanced Schedule Options zaznacz opcję Repeat task.
W polu Every wpisz 1 i wybierz wartość hours.
Dla opcji Until zaznacz Time i wpisz 3:00 PM.
Naciśnij OK.
Naciśnij OK.
Naciśnij OK.
Naciśnij OK.
Zamknij konsolę Computer Management.
• Na dysku E: stwórz folder Test.
• W folderze Test stwórz plik tekstowy test.txt i zapisz w nim dowolny
tekst
Strona 10/14
Moduł 12
Archiwizacja danych
• Wybierz menu Start -> Administrative Tools -> Computer
Management
Management.
• W drzewie konsoli Computer Management kliknij prawym przyciskiem
myszy Shared folders.
• Z menu kontekstowego wybierz All Tasks ->> Configure Shadow Copies
• W oknie Shadow Copies w sekcji Select a volume zaznacz dysk E: i
naciśnij przycisk Create Now.
• Zamknij okno konsoli Computer Management.
• Zmodyfikuj zawartość pliku E:\Test\test.txt i zapisz zmiany.
• Kliknij
K
prawym przyciskiem myszy folder Test.
• W oknie Test Properties wybierz zakładke Previous Versions.
Versions
• W sekcji Folder version zaznacz folder Test i naciśnij przycisk Open.
• Otwórz plik test.txt.
Plik zawiera tekst przed modyfikacją.
•
•
•
•
•
•
•
Zamknij plik.
plik
Zamknij okno Exploratora Windows.
W oknie Test Properties kliknij przycisk Restore.
W oknie Previous Versions kliknij przycisk Restore.
Restore
W oknie informacyjnym kliknij przycisk OK.
Naciśnij OK.
Otwórz plik test.txt i sprawdź jego zawartość.
Plik powinien zawierać tekst przed modyfikacją.
• Zamknij plik.
• Wyloguj się.
4. Instalacja
narzędzi do
wykonywania
kopii
bezpieczeństwa.
Backup jednego z
dysków.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
NazwakomputeraAdmin
Enter
Wybierz menu Start -> Administrative Tools ->> Server Manager.
Manager
W drzewie konsoli kliknij prawym przyciskiem myszy Features.
Z menu kontekstowego wybierz Add Features.
W oknie Select Features na liście zaznacz Windows Server Backup
Features
Features.
W oknie Confirm Installation Selections kliknij Install.
Install
W oknie Installation Results kliknij Close.
Zamknij okno Server Manager.
Wybierz menu Start -> Administrative Tools -> Windows Server
Backup
Backup.
W oknie konsoli Windows Server Backup wybierz menu
me Action Backup
Strona 11/14
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Moduł 12
Archiwizacja danych
Once.
W oknie Backup options kliknij przycisk Next.
W oknie Select backup configuration zaznacz opcję Custom.
W oknie Select backup items zaznacz dysk Dane(E:).
Odznacz opcję Enable system recovery.
W oknie Specify destination type upewnij się, że jest zaznaczona opcja
Local driver.
W oknie Select backup destination kliknij przycisk Next.
W oknie Specify advanced option kliknij przycisk Next.
W oknie Confirmation kliknij przycisk Backup.
Poczekaj, aż w oknie Backup Progress, Status będzie Backup
completed.
Naciśnij Close.
Zamknij konsolę Windows Server Backup.
5. Skasowanie
zawartości dysku
•
•
•
•
•
•
•
•
6. Odtworzenie
voluminu z kopi
zapasowej
• Wybierz menu Start -> Administrative Tools -> Windows Server
Backup.
• W oknie konsoli Windows Server Backup wybierz menu Recover.
• W oknie Getting started upewnij się, że jest zaznaczona opcja This
Server.
• W oknie Select backup date kliknij dzisiejszą datę.
• W oknie Select recovery type zaznacz opcję Volumes.
• W oknie Select volumes jako Source volumes zaznacz dysk Dane (E:).
• W kolumnie Destination Volume wybierz z listy Dane (E:).
• W oknie informującym, że dane na dysku docelowym zostaną stracone
naciśnij Yes.
• W oknie Confirmation naciśnij przycisk Recover.
• Poczekaj, aż w oknie Recovery progress, Status wyświetli się jako
Restore of volumes completed.
• Naciśnij Close.
Wybierz menu Start -> Computer.
Kliknij prawym przyciskiem myszy dysk Dane (E:).
Z menu kontekstowego wybierz Format.
W oknie Format Dane (E:) zaznacz opcję Quick Format.
Naciśnij przycisk Start.
W oknie ostrzeżenia naciśnij OK.
Jeśli pojawi się komunikat że dysk jest w użyciu przez inny program lub
proces, wybierz Yes.
• W oknie informacyjnym Format Complete naciśnij przycisk OK.
• Zamknij okno Format Dane (E:).
• Sprawdź, że na dysku E: nie ma już żadnych danych.
Strona 12/14
Moduł 12
Archiwizacja danych
• Zamknij konsolę Windows Server Backup.
• Sprawdź, że na dysku E: dane zostały przywrócone.
7.
• Na dysku Dane (E): skasuj folder Secret i Public.
8. Odtworzenie
wybranych
folderów z kopi
zapasowej
• Wybierz menu Start -> Administrative Tools -> Windows Server
Backup.
• W oknie konsoli Windows Server Backup wybierz menu Recover.
• W oknie Getting started upewnij się, że jest zaznaczona opcja This
Server.
• W oknie Select backup date kliknij dzisiejszą datę.
• W oknie Select recovery type zaznacz opcję Files and folders.
• W oknie Select items to recover w sekcji Availavle items rozwiń
Nazwakomputera i kliknij Dane (E:).
• W prawej części okna trzymając wciśnięty klawisz Ctrl kliknij foldery
Secret i Public.
• W oknie Specify recovery options zaznacz opcje:
— Original location
— Overwrite existing files with recovered files
— Restore security settings
• W oknie Confirmation naciśnij przycisk Recover.
• Poczekaj, aż w oknie Recovery progress, Status wyświetli się jako
Restore of files completed.
• Naciśnij Close.
• Zamknij konsolę Windows Server Backup.
• Sprawdź, że na dysku E: foldery zostały przywrócone.
9. Skonfigurowa • Wybierz menu Start -> Administrative Tools -> Windows Server
nie automatycznej
Backup.
kopii zapasowej
• W oknie konsoli Windows Server Backup wybierz menu Action - >
Backup Schedule.
• W oknie Getting started naciśnij Next.
• W oknie Select backup configuration zaznacz opcję Custom.
• W oknie Select backup items odznacz Dane (E:) i Dokumenty Publiczne
(F:).
• W oknie Specify backup time zaznacz opcję Once a Day, a w polu Select
time of Day ustaw 11:00 PM.
• W oknie Select destination disk naciśnij przycisk Show All Available
Strona 13/14
•
•
•
•
•
•
•
•
•
Moduł 12
Archiwizacja danych
Disks.
W oknie show All Available Disks zaznacz pole wyboru przy dostępnym
dysku i naciśnij OK.
W oknie Select destination disk zaznacz pole wyboru przy dostępnym
dysku.
W oknie informacyjnym naciśnij Yes.
W oknie Label destination disk naciśnij przycisk Next.
W oknie Confirmation naciśnij Finish.
W oknie Summary naciśnij Close.
Zamknij okno Windows Server Backup.
Wyloguj się.
Strona 14/14

Systemy operacyjne

Transkrypt

Podobne dokumenty

Konfiguracja bramki D-Link DVG-2001S

proszę odwiedzić naszą stronę o e-mycie węgierskim