Systemy operacyjne
Transkrypt
Systemy operacyjne
Radosław Frąckowiak Systemy operacyjne ITA-107 Wersja 1 Warszawa, wrzesień 2009 Radosław Frąckowiak ITA-107 Systemy operacyjne 2008 Radosław Frąckowiak. Autor udziela prawa do bezpłatnego kopiowania i dystrybuowania wśród pracowników uczelni oraz studentów objętych programem ITAcademy. Wszelkie informacje dotyczące programu można uzyskać: [email protected]. Wszystkie inne nazwy firm i producentów wymienione w niniejszym dokumencie mogą być znakami towarowymi zarejestrowanymi przez ich właścicieli. Inne produkty i nazwy firm używane w treści mogą być nazwami zastrzeżonymi przez ich właścicieli. Strona i-2 Radosław Frąckowiak ITA-107 Systemy operacyjne Wprowadzenie Informacje o kursie Opis kursu Kurs zawiera informacje dotyczące administrowania systemem Microsoft Windows Server 2008. Przedstawia zagadnienia, z którymi spotyka się osoba odpowiedzialna za zarządzanie serwerami w przedsiębiorstwie. Kurs rozpoczynamy od przeglądu rodziny serwerów. Omawiamy podstawowe role i funkcjonalności serwera oraz narzędzia, z których korzystają administratorzy systemów w swojej codziennej pracy. Uczymy, w jaki sposób udostępniać zasoby, zarządzać dostępem do nich i jak korzystać z usług katalogowych Active Directory. Pokazujemy, w jaki sposób monitorować serwer i zabezpieczać się przed awarią i utratą danych Cel kursu Celem kursu jest przedstawienie zagadnień związanych z administrowaniem Microsoft Windows Server 2008, dzięki którym będziesz w stanie samodzielnie zarządzać serwerem. Uzyskane kompetencje Po zrealizowaniu kursu będziesz: • • • • • • • • • • • potrafił wybrać i zainstalować odpowiedni system potrafił korzystać z narzędzi do zarządzania serwerem rozumiał koncepcję i budowę Active Directory potrafił zarządzać kontami użytkowników, komputerów i grup potrafił delegować kontrolę administracyjną do części zasobów przedsiębiorstwa potrafił udostępniać zasoby plikowe, drukarki i regulować dostęp do nich wiedział jak wykorzystać DFS, Offline, kompresję i szyfrowanie, by efektywnie i bezpiecznie zarządzać składowaniem danych potrafił korzystać z GPO, by zarządzać środowiskiem pracy użytkownika wiedział jak monitorować stan serwera potrafił robić kopie bezpieczeństwa i przywracać z nich utracone dane potrafił zarządzać serwerem przy pomocy PowerShell Strona i-3 Radosław Frąckowiak ITA-107 Systemy operacyjne Zakres tematyczny kursu Opis modułów W Tab. 1 przedstawiony został opis modułów, zawierający podział na zajęcia. Każde zajęcie jest zaplanowane na 90 minut. Wykładowca może dostosować harmonogram do swoich potrzeb. Tab. 1 Zakres tematyczny modułów Numer moduł Tytuł Opis Moduł 1 Instalacja i konfiguracja Windows Server 2008 W tym module znajdziesz informacje dotyczące instalacji systemu Windows Server 2008. Dowiesz się, jakie produkty są dostępne i czym się one charakteryzują. Poznasz minimalne wymagania sprzętowe systemu. Nauczysz się, jak zainstalować system i wstępnie go skonfigurować. Zapoznasz się z działaniem technologii Plug and Play i zarządzaniem sterownikami urządzeń w środowisku Microsoft Windows. W tym module znajdziesz informacje dotyczące narzędzi używanych do zarządzania systemem Windows Server 2008. Dowiesz się, jak przeprowadzić wstępną konfigurację serwera przy pomocy Initial Configuration Task. Nauczysz się dodawać role serwera. Zapoznasz się z konsolą MMC (Microsoft Managament Console) i dowiesz się, w jaki sposób używać jej do administrowania serwerami zdalnymi. W tym module znajdują się informacje dotyczące konfiguracji i zarządzania dyskami w systemie Windows Server 2008. Nauczysz się korzystać z narzędzi Disk Manager i DiskPart, by przy ich pomocy przygotować dysk do pracy. Dowiesz się jak zorganizować przestrzeń na dysku, oraz jak wdrożyć dyski odporne na awarie. W module tym znajdziesz informacje na temat funkcjonowania usługi Active Directory oraz korzyści z jej stosowania. Poznasz budowę logiczna i fizyczną Active Directory. Dowiesz się, w jaki sposób zarządzać obiektami jednostek organizacyjnych, przy pomocy różnych narzędzi. Nauczysz się delegować kontrolę administracyjną do wybranej części drzewa katalogu. W tym module znajdziesz informacje dotyczące zarządzania kontami użytkowników i komputerów. Dowiesz się, do czego służą konta lokalne i domenowe oraz nauczysz się je tworzyć przy pomocy różnych narzędzi. Poznasz opcje związane z kontem użytkownika. Nauczysz się korzystać z szablonów kont. Dowiesz się, co to są konta wbudowane i do czego służą. W tym module znajdziesz informacje dotyczące wykorzystania grup w administracji dostępem do zasobów i nadawania praw użytkowników. Dowiesz się, co to są grupy wbudowane i jak je można wykorzystać. Poznasz różnice między poszczególnymi rodzajami grup. Nauczysz się je tworzyć i modyfikować. Dowiesz się, co to są tożsamości specjalne. Moduł 2 Narzędzia do zarządzania serwerem Moduł 3 Zarządzanie dyskami Moduł 4 Wprowadzenie do Active Directory Moduł 5 Zarządzanie kontami użytkowników i komputerów Moduł 6 Zarządzanie grupami Strona i-4 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie dostępem do zasobów Moduł 9 Zarządzanie składowaniem danych Moduł 10 Zarządzanie środowiskiem drukowania Moduł 11 Wprowadzenie do GPO Moduł 12 Monitorowanie Procesów, Usług i Zdarzeń Moduł 13 Archiwizacja danych Moduł 14 Wprowadzenie do PowerShell W module tym znajdziesz informacje na temat zarządzania dostępem do zasobów. Poznasz uprawnienia standardowe i specjalne, oraz dowiesz się, w jaki sposób nadawać je użytkownikom do obiektów. Zostanie wyjaśnione pojęcie dziedziczenia uprawnień oraz sposób, w jaki można je wykorzystać. W module tym znajdziesz informacje dotyczące zarządzania danymi przechowywanymi na serwerach Dowiesz się jak, jak zwiększyć bezpieczeństwo danych przy wykorzystaniu szyfrowania plików. Poznasz sposób tworzenia wirtualnej przestrzeni nazw i replikacji folderów miedzy serwerami. Dowiesz się, w jaki sposób ograniczać użytkownikom dostępne miejsce na serwerach oraz możliwość zapisywania określonych typów plików. Poznasz narzędzia raportowania. W tym module znajdziesz informacje dotyczące wdrażania drukarek w firmie. Nauczysz się, jak instalować drukarki lokalne i sieciowe oraz jak zarządzać ich sterownikami. Dowiesz się jak tworzyć pulę drukarek, nadawać im priorytety oraz konfigurować drukarki tak, aby były dostępne w określonych godzinach. Nauczysz się także zarządzać buforem wydruku. W tym module znajdziesz informacje dotyczące zarządzania środowiskiem pracy użytkowników przy pomocy Group Policy. Nauczysz się korzystać z narzędzia Group Policy Management Control, tworzyć obiekty GPO i stosować je do określonych grup komputerów i użytkowników. Dowiesz się, w jaki sposób przy pomocy GPO konfigurować wybrane ustawienia. W tym module dowiesz się, w jaki sposób monitorować serwery. Poznasz odpowiednie narzędzia i nauczysz się przy ich pomocy obserwować obciążenia poszczególnych podsystemów oraz określać wąskie gardła systemu. Dowiesz się, w jaki sposób zarządzać dziennikami zdarzeń. W tym module dowiesz się, w jaki sposób przywracać utracone dane. Poznasz narzędzie do tworzenia i odzyskiwania kopii bezpieczeństwa. Dowiesz się jak odzyskać z backupu pojedyncze pliki oraz całe dyski. Poznasz funkcjonalność Shadow Copy i nauczysz się z niej korzystać. W tym module poznasz podstawy niezbędne do korzystania z interpretera poleceń PowerShell. Dowiesz się, w jaki sposób przy jego wykorzystaniu można wykonywać czynności administratorskie związane z zarządzaniem serwerami. Strona i-5 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 1 Wersja 1 Instalacja i konfiguracja Windows Server 2008 Spis treści Instalacja i konfiguracja Windows Server 2008 ................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Przykładowe rozwiązanie ........................................................................................................... 10 Porady praktyczne ..................................................................................................................... 13 Uwagi dla studenta .................................................................................................................... 14 Dodatkowe źródła informacji..................................................................................................... 14 Laboratorium podstawowe ................................................................................................................ 16 Problem 1 (czas realizacji 30 min).............................................................................................. 16 Problem 2 (czas realizacji 15 min) ............................................................................................. 17 Laboratorium rozszerzone ................................................................................................................. 19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące instalacji systemu Windows Server 2008. Dowiesz się, jakie produkty są dostępne i czym się one charakteryzują. Poznasz minimalne wymagania sprzętowe systemu. Nauczysz się, jak zainstalować system i wstępnie go skonfigurować. Zapoznasz się z działaniem technologii Plug and Play i zarządzaniem sterownikami urządzeń w środowisku Microsoft Windows. Cel modułu Celem modułu jest wprowadzenie do systemów operacyjnych Microsoft Windows Server 2008 oraz nauka instalacji systemu i jego podstawowej konfiguracji. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • Wiedział, jakie są różnice pomiędzy poszczególnymi wersjami systemu Microsoft Windows Server 2008 i którą z nich wybrać dla realizacji określonego projektu • potrafił zainstalować system i wstępnie go skonfigurować • rozumiał jak działa Plug and Play i zarządzanie sterownikami Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Przygotowanie teoretyczne Przykładowy problem Zostałeś zatrudniony w nowej firmie na stanowisku informatyka. Jest to niewielkie przedsiębiorstwo, bardzo dynamicznie rozwijające się. W ciągu kilku pierwszych dni swojej nowej pracy przyglądałeś się istniejącej infrastrukturze informatycznej i stwierdziłeś, że pracownicy używają komputerów stacjonarnych i przenośnych z systemem Windows XP Professional i Vista Business. Udostępniają sobie pliki i drukarki pracując w Grupie Roboczej. Niestety, często pojawiają się problemy z dostępem do plików. Kiedy osoba udostępniająca folder nie pojawi się w pracy, to inni użytkownicy nie mogą z niego korzystać jeśli wcześniej nie zrobili sobie jego kopii. Przydałoby się centralne miejsce przechowywania zasobów plikowych. Podobnie rzecz się ma z drukarkami. Przykładowo urządzenie drukujące stoi w biurze Administracji i jest udostępnione przez notebooka pani Kasi. Kiedy ostatnio pani Kasia była na urlopie, użytkownicy dzwonili do Ciebie informując, że nie mogą drukować na jej drukarce. Musiałeś interweniować i każdemu dzwoniącemu instalować sterowniki do tej drukarki. Zajęło Ci to mnóstwo czasu. Wiesz, że problemy te można rozwiązać korzystając z serwera i taką propozycję przedstawiłeś przed zarządem. Pomysł się spodobał. Musisz zaproponować odpowiedni produkt, a potem wdrożyć go w firmie. Zainstalujesz go i skonfigurujesz urządzenia. Będzie to początek do wdrażania usług, które usprawnią pracę Twoich użytkowników. Podstawy teoretyczne Microsoft Windows Server 2008 jest najbardziej zaawansowaną wersją systemów rodziny Windows Server, zaprojektowaną do obsługi nowoczesnych usług sieciowych, aplikacji i usług sieci Web. Został stworzony na bazie sprawdzonego systemu Windows Server 2003 rozbudowanego o nowe funkcjonalności, takie jak nowe Webowe narzędzia, technologie wirtualizacji, zaawansowane bezpieczeństwo oraz narzędzia pomagające oszczędzać czas, redukować koszty i tworzyć solidne podstawy infrastruktury informatycznej w przedsiębiorstwie. Windows Server 2008 jest dostępny w różnych wersjach, które pozwalają organizacji dobrać optymalne rozwiązanie w zależności od wykorzystywanych serwerów i przewidywanych obciążeń. Windows Server 2008 Standard Windows Server 2008 Standard jest najbardziej popularnym produktem z rodziny serwerów. Z wbudowanymi rozszerzonymi możliwościami Web i zintegrowaną technologią wirtualizacji został zaprojektowany, by zwiększyć niezawodność i elastyczność infrastruktury serwerów. Zawansowane funkcje bezpieczeństwa pozwalają zabezpieczyć dane i sieć oraz dostarczyć niezawodne fundamenty do prowadzenia biznesu. Wydajne narzędzia pozwalają na większą kontrolę nad serwerami, usprawniając konfigurację i zarządzanie nimi. Platforma aplikacji i sieci Web Windows Server 2008 udostępnia organizacjom możliwość korzystania z zaawansowanych rozwiązań opartych o technologię Web, dostarczając narzędzia do administracji i diagnostyki. Internet Information Services 7.0 Serwer IIS 7.0 (ang. Internet Information Services 7.0) tworzy wydajną platformę usług i aplikacji Web. Modułowa budowa pozwala administratorom na szeroki zakres kontroli nad serwerem, a dzięki elastycznej architekturze łatwo dostosować serwer do potrzeb. Dzięki bogatym funkcjom administracji wdrażanie aplikacji jest proste i wydajne. Wirtualizacja Wiele organizacji kładzie duży nacisk na optymalne wykorzystanie zasobów, pozwalające na ograniczenie kosztów i co za tym idzie na zwiększenie konkurencyjności na rynku. Technologie wirtualizacji serwerów oparte o Windows Server Hyper-V i Terminal Services pomagają sprostać Strona 3/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 tym wyzwaniom poprzez konsolidację serwerów, zapewniając wyższy poziom niezawodności i skalowalności. Windows Server Hyper-V Zawiera wszystko, co niezbędne do korzystania z wirtualizacji maszyn. Hyper-V umożliwia działom IT redukowanie kosztów, zwiększanie wydajności serwerów oraz tworzenie bardziej dynamicznych infrastruktur IT. Hyper-V udostępnia większą elastyczność poprzez połączenie niezawodnej platformy z pojedynczym zbiorem zintegrowanych narzędzi do zarządzania fizycznymi i wirtualnymi zasobami. Terminal Services Usługi terminalowe w Windows Server 2008 Standard udostępniają łatwą do administrowania platformę umożliwiającą dostęp do centralnie zarządzanych aplikacji i usług poprzez Internet używając HTTPS. Dzięki temu nie ma potrzeby tworzenia dostępu poprzez wirtualne sieci prywatne (VPN) lub otwieranie niechcianych portów na firewall. Na Terminal Services składają się m.in. następujące komponenty: • Terminal Services RemoteApp – udostępnia użytkownikom aplikację na serwerze w taki sposób, jakby była uruchamiana na komputerze lokalnym. Dzięki temu użytkownik może uruchamiać programy ze zdalnej lokalizacji równolegle ze swoimi lokalnymi programami. • Terminal Services Web Access – umożliwia uruchamianie zdalnych aplikacji w oknie przeglądarki Web. • Terminal Services Gateway – pozwala autoryzowanym użytkownikom na zdalny dostęp do serwera terminali z dowolnego urządzenia podłączonego do Internetu, na którym można uruchomić Remote Desktop Connection (RDC) 6.0. Presentation Virtualization Presentation Virtualization izoluje procesy od grafiki i I/O, umożliwiając użytkownikom uruchamianie aplikacji w jednej lokalizacji, a kontrolowanie jej w innej. Tworzy wirtualną sesję, w której uruchomiona aplikacja udostępnia użytkownikowi interfejs. Application Virtualization Application Virtualization separuje warstwę konfiguracji aplikacji od systemu operacyjnego. Umożliwia uruchomienie aplikacji na kliencie bez jej instalowania i umożliwia administrowanie nią z centralnej lokalizacji. Bezpieczeństwo Im więcej ludzi korzysta z zasobów organizacji z różnych lokalizacji, urządzeń i platform, tym ważniejsze staje się spełnienie wymagania, by tylko autoryzowany personel miał dostęp do ważnych informacji. Jednocześnie istotne jest, by uprawnione osoby nie odczuwały utrudnień z tym związanych, co mogłoby negatywnie wpłynąć na ich produktywność. Dostępne w Windows Server 2008 Standard rozwiązania zapewniają wielopoziomowe zabezpieczenie danych firmy bez obniżania wydajności. Windows Server 2008 Standard zawiera narzędzia do kontroli, bezpiecznego uruchamiania i szyfrowania danych: • Network Access Protection (NAP) – udostępnia funkcjonalność pozwalającą na definiowanie wymaganego „stanu zdrowia” sieci i zabronieniu komputerom, które tych wymagań nie spełniają, na komunikację z siecią (np. definicja może zawierać wymaganie programu antywirusowego z aktualną bazą zagrożeń). W ten sposób można zdefiniować minimalny poziom zabezpieczenia wszystkich komputerów, które chcą podłączyć się do zasobów. Strona 4/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 • BitLocker – zapewnia dodatkowe zabezpieczenie danych poprzez pełne szyfrowanie woluminów, chroniące przed uzyskaniem nieuprawnionego dostępu. • Read-Only Domain Controller – umożliwia łatwe rozmieszczenie kontrolerów domeny w lokalizacjach, w których niemożliwe jest zagwarantowanie fizycznego bezpieczeństwa serwera. Jest to szczególnie użyteczne w oddziałach, w których użytkownicy uwierzytelniani są poprzez WAN. Dzięki dostępnej tylko do odczytu replice znajdującej się w pobliżu użytkowników, logowanie przebiega szybciej. • Windows Server Hardening – umożliwia zabezpieczenie systemów poprzez ochronę krytycznych usług serwera przed nieprawidłowymi aktywnościami związanymi z systemem plików, rejestrami i siecią. Dodatkowe cechy systemu związane z bezpieczeństwem to: • wsparcie dla Public Key Infrastructure (PKI) • nowy dwukierunkowy firewall • wsparcie kryptografii nowej generacji Solidne podstawy pod rozwój biznesu, niezawodność i wydajność Z zaawansowaną obsługą Web, technologią wirtualizacji i rozszerzonym bezpieczeństwem, Windows Server 2008 udostępnia wszechstronną i solidną platformę dla wymagających aplikacji: • Server Manager – oparte o Microsoft Management Console (MMC) narzędzie umożliwiające dodawanie, usuwanie i konfigurowanie ról serwera, usług i funkcjonalności. • Windows Deployment Services – zbiór komponentów współpracujących z Windows Server 2008 Standard w celu łatwego, szybkiego, a jednocześnie bezpiecznego rozmieszczania systemu operacyjnego Windows na komputerach w sieci przy wykorzystaniu sieciowej instalacji. Eliminuje konieczność ręcznej instalacji systemu na każdej stacji w oparciu o płyty CD lub DVD. • Windows PowerShell – platforma skryptowa, dzięki której można zautomatyzować często wykonywane zadania administracyjne. Ujednolica i upraszcza skryptowe zarządzanie środowiskiem. • Next Generation TCP/IP – nowa implementacja stoku protokołów TCP/IP, poprawiająca skalowalność i wydajność. • Server Core – dostępna opcja instalacji pozwalająca na wdrożenie określonej roli serwera korzystając z minimalnych wymagań sprzętowych. Pozwala na ograniczoną instalację systemu z niezbędnymi podsystemami potrzebnymi do uruchomienia danej usługi. Dzięki temu ograniczono zapotrzebowanie zarówno na zasoby sprzętowe serwera, jak i konserwację systemu. Windows Server 2008 Enterprise Windows Server 2008 Enterprise cechuje się większą skalowalnością i wyższym poziomem dostępności, posiadając przy tym wszystkie cechy systemu Windows Server 208 Standard. Dodatkowo obsługuje bardziej zaawansowane konfiguracje sprzętowe oraz zawiera technologie przeznaczone dla przedsiębiorstw, takie jak klastry pracy awaryjnej i Active Directory Federation Services. System ten jest zalecany dla firm średniej i dużej wielkości. Oferuje zwiększoną niezawodność tam, gdzie wykorzystywane są krytyczne dla organizacji aplikacje, takie jak bazy danych, systemy pocztowe, usługi drukowania i plików: • Failover Clustering – wydajny, łatwy w skonfigurowaniu i zarządzaniu klaster pracy awaryjnej. Wiele serwerów pracujących w klastrze pozostaje w stałej komunikacji. Jeśli jeden z nich staje się niedostępny (np. awaria lub planowane wyłączenie) inny natychmiast zaczyna udostępniać jego usługi. Użytkownicy mają ciągły dostęp. Klastry pracy awaryjnej w Windows Server 2008 Enterprise obsługują do 16 węzłów. Strona 5/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 • Fault-Tolerant memory Synchronization – odporny na błędy mechanizm synchronizacji pamięci. Dzięki niemu mogą istnieć dwa identyczne obrazy pamięci, co zapewnia kompletną odporność sprzętową (podobną do kopii lustrzanych RAID 1 dla HDD). • Cross-File Replication – mechanizm replikacji polegający na skanowaniu grupy plików i replikacji pojedynczej części danych do kilku plików. Replikując podobne pliki tylko raz redukujemy ruch w sieci. Windows Server 2008 Datacenter Windows Server 2008 Datacenter oferuje funkcjonalność wersji Windows Server 2008 Enterprise, rozbudowaną o obługę większej ilości pamięci i procesorów. Zapewnia również nieograniczone prawa używania obrazu wirtualnego. Zaprojektowany do obsługi aplikacji krytycznych dla firm, które wymagają najwyższego poziomu skalowalności i dostępności. Dynamic Hardware Partitioning Windows Server 2008 Datacenter pracuje z jedną lub kilkoma izolowanymi partycjami sprzętowymi. Każda z nich ma przydzielone swoje procesory, pamięć i urządzenia I/O niezależne od innych sprzętowych partycji. Dzięki temu można wymieniać lub dodawać procesory i pamięć do tych partycji bez restartowania serwera (np. można wymienić procesor sygnalizowany jako uszkodzony lub dodać dodatkowy procesor do partycji mocno obciążonej). Windows Web Server 2008 Windows Web Server 2008 to wersja systemu przeznaczona do zastosowania jako bezpieczna platforma sieci Web. Zintegrowany z IIS 7.0, ASP.NET i Microsoft .NET Framework pozwala organizacji na szybkie i łatwe publikowanie stron, usług i aplikacji Web. Windows Server 2008 dla systemów opartych na procesorach Itanium Dla serwerów z 64-bitowym procesorem Intel Itanium stworzono specjalną, wysoce wydajną wersję systemu, stanowiącą konkurencję dla systemów UNIX opartych na architekturze RISC. Jest ona przeznaczona do obsługi skalowalnych baz danych i aplikacji LOB (Line-of-Business). Niektóre funkcje znane z innych wersji systemów Server 2008 mogą być niedostępne. Porównianie właściwości technicznych W tabeli (tab. 1) przedstawiono maksymalne ilości obsługiwanych procesorów i pamięci oraz niektóre z funkcjonalności w zależności od platformy sprzętowej dla różnych wersji systemów Windows Server 2008. Tab. 1 Obsługiwany sprzęt i funkcjonalności przez różne edycje systemu Windows Server2008 Specyfikacja Web Standard Enterprise Datacenter Itanium Procesory X86 4 4 8 32 - Procesory X64 4 4 8 64 - Procesory IA64 - - - - 64 RAM X86 4 GB 4 GB 64 GB 64 GB - RAM X64 32 GB 32 GB 2 TB 2 TB - RAM IA64 - - - - 2 TB Hot Add Memory - - X X X Hot Replace Memory - - - X X Strona 6/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Hot Add Processors - - - X X Hot Replace Processors - - - X X Failover Cluster Nodes - - 16 16 8 Fault Tolerant Memory Sync - - X X X Cross-File Replication - - X X X Terminal Services Gateway - 250 bez limitu bez limitu - Virtual Image Use Rights - 1 4 bez limitu bez limitu Wymagania sprzętowe Wymagania sprzętowe dla Windows Server 2008 są zależne od konfiguracji systemu, zainstalowanych aplikacji i dodatków wybranych w czasie procesu instalacji: • Procesor: • Minimalny: 1 GHz (procesor x86) lub 1,4 GHz (procesor x64). • Zalecany: 2 GHz lub szybszy. • Należy zwrócić uwagę, że wydajność procesora jest zależna nie tylko od częstotliwości taktowania zegara, ale również od ilości rdzeni i rozmiaru cache procesora. • Uwaga! Procesor Intel Itanium jest wymagany w przypadku systemu Windows Server 2008 dla komputerów z procesorem Itanium. • Pamięć: • Minimalna: 512 MB RAM. • Zalecana: 2 GB RAM lub większa (instalacja pełna), 1 GB RAM lub większa (instalacja Server Core). • Maksymalna (systemy 32-bitowe): 4 GB (Standard) lub 64 GB (Enterprise i Datacenter). • Maksymalna (systemy 64-bitowe): 32 GB (Standard) lub 2 TB (Enterprise, Datacenter i systemy dla komputerów z procesorem Itanium). • Dysk: • Minimalny: 10 GB. • Zalecany: 40 GB lub większy. • Uwaga! Komputery z ponad 16 GB pamięci RAM wymagają większej ilości miejsca na dysku dla potrzeb stronicowania, hibernacji i plików zrzutu. • Pozostałe: • stacja DVD-ROM • monitor o rozdzielczości SVGA (800 x 600) lub większej • klawiatura i mysz firmy Microsoft lub zgodne urządzenie wskazujące Licencjonowanie Istnieją trzy modele licencjonowania, zależne od edycji systemu Windows Server 2008: 1. Licencja Serwera i na połączenie – wymaga zakupu licencji na każdy serwer i licencji dostępowej CAL (ang. Client Access Licenses) dla każdego użytkownika lub urządzenia: Strona 7/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 a) Device CAL – licencja dostępowa przypisana do każdego urządzenia, umożliwiająca korzystanie z niego wielu użytkownikom. b) User CAL – licencja dostępowa przypisana do każdego użytkownika, umożliwiająca mu korzystanie z wielu urządzeń 2. Licencja na procesor i na połączenie – wymaga zakupu licencji „Processor licence” dla każdego procesora w serwerze i licencji na połączenie (CAL) dla każdego użytkownika lub urządzenia. Ten sposób licencjonowania jest wykorzystywany w edycji Datacenter i w systemach dla procesorów Itanium. 3. Licencja Serwera – wymaga zakupu licencji tylko na serwer, licencje dostępowe dla klientów nie są wymagane (model możliwy do wykorzystania tylko w wypadku systemu Web Server Edition). Alternatywą dlą licencjonowania „na użytkownika lub na urządzenie” opisanego powyżej może być licencjonowanie w trybie na serwer „per Server”. W tym wypadku każdy z serwerów ma przypisane do siebie licencje dostępowe CAL definiujące maksymalną liczbę klientów mogących podłączyć się do serwera w jednym czasie. Powyższe sposoby licencjonowania mogą być wykorzystane w przypadku edycji Standard i Enterprise. Instalacja systemu Instalacja systemu została znacznie uproszczona w porównaniu z poprzednimi wersjami Windows. Nie wymaga nadzorowania instalacji, ponieważ większość konfiguracji (zdefiniowanie hasła administratora, podanie nazwy komputera, ustawienia sieci) odbywa się po zainstalowaniu systemu. Płyta instalacyjna zawiera wszystkie edycje systemu – należy wybrać tę, do której posiadamy klucz produktu. Jeśli go nie mamy lub podamy nieprawidłowy, nie uda się przeprowadzić aktywacji systemu. Jeśli nie dokonamy tego w ciągu 30 dni od instalacji, system przestanie funkcjonować. Po pierwszym uruchomieniu serwer możemy skonfigurować przy pomocy narzędzia Initial Configuration Tasks, opisanego w Module 2. Serwer w wersji Core Instalacja Server Core jest minimalną wersją systemu Server 2008 pozbawioną graficznego interfejsu użytkownika i zapewniającą minimalne środowisko dla uruchamiania następujących ról serwera: • • • • • • • • usługi domenowe w usłudze Active Directory usługi LDS w usłudze Active Directory (AD LDS) serwer DHCP serwer DNS usługi plików serwer wydruku usługi multimediów strumieniowych serwer sieci Web (IIS) By zrealizować te podstawowe role, instalowane są tylko binaria niezbędne do obsłużenia tych zadań. Nie jest instalowana np. powłoka Explorera. Taka instalacja oferuje następujące korzyści: • Zmniejszenie nakładów na konserwację i zarządzanie, ponieważ instalowane jest tylko to co niezbędne (mniej plików, mniej uruchomionych usług). • Mniejsza płaszczyzna ataków wynikająca z mniejszej liczby uruchomionych usług. • Mniejsze wymagania dotyczące konfiguracji sprzętowej (mniejsze zapotrzebowanie na pamięć operacyjną i przestrzeń na dysku). Strona 8/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Instalacja Server Core wymaga początkowej konfiguracji za pomocą wiersza poleceń. Po skonfigurowaniu serwer może być zarządzany lokalnie lub zdalnie (przy użyciu połączenia terminalowego) za pomocą wiersza poleceń. Inne metody zdalnego zarządzania to Microsoft Management Console lub narzędzia wiersza poleceń przeznaczone do obsługi zdalnej. Zarządzanie sterownikami urządzeń Windows wspiera specyfikację Plug and Play, która definiuje, w jaki sposób komputer wykrywa i konfiguruje nowo dodane urządzenia oraz automatycznie instaluje ich sterowniki. W związku z tym, że sterowniki urządzeń są uruchamiane jako część systemu operacyjnego z nieograniczonym dostępem do komputera, ważnym jest, by były używane tylko takie, które są znane i zaufane (podpisane cyfrowo). Instalacja urządzenia w Windows Instalacja nowego urządzenia w systemie Windows przebiega w kilku krokach. Jeśli któryś z warunków związanych z bezpieczeństwem nie zostanie spełniony lub pakiet sterownika nie zostanie odnaleziony, proces instalacji jest przerywany: 1. Kiedy użytkownik podłącza urządzenie, Windows wykrywa je i sygnalizuje usłudze Plug and Play. 2. Plug and Play identyfikuje urządzenie. 3. Plug and Play przeszukuje magazyn sterowników by odnaleźć odpowiedni pakiet sterowników. Jeśli operacja zakończy się sukcesem wykonywany jest krok 8 lub w przypadku niepowodzenia krok 4. 4. Windows próbuje znaleźć odpowiedni pakiet sterowników przeszukując następujące lokalizacje: • foldery wyspecyfikowane w rejestrze HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curent wartość DeviceEntry) – domyślnie %systemroot%\inf • witrynę Windows Update • nośnik dostarczony przez użytkownika (klucz Version, 5. Windows sprawdza, czy użytkownik posiada odpowiednie uprawnienia do umieszczenia pakietu sterownika w magazynie sterowników – użytkownik musi posiadać prawa administratora lub lokalne zasady komputera muszą zezwalać na instalację sterowników przez standardowego użytkownika. 6. System sprawdza, czy pakiet sterowników posiada ważny podpis cyfrowy. Jeśli podpis jest prawidłowy, ale użyty certyfikat nie znajduje się w magazynie zaufanych wystawców, użytkownik proszony jest o potwierdzenie operacji. 7. Windows umieszcza kopię pakietu w magazynie sterowników. 8. Odpowiednie pliki są kopiowane do docelowej lokalizacji (najczęściej do %systemroot%\windows 32\drivers). 9. Konfigurowane są rejestry, dzięki czemu Windows wie, w jaki sposób używać nowego sterownika. 10. Plug and Play uruchamia sterowniki tak, by system mógł korzystać z nowego urządzenia. Zarządzanie sterownikami odbywa się przy pomocy narzędzia Device Manager. Przy jego pomocy można aktualizować sterowniki, jeśli posiadamy ich nowsze wersje. Jeśli po wgraniu nowego sterownika urządzenie działa nieprawidłowo, możemy skorzystać z funkcji przywracania sterownika do starej wersji. Korzystając z programu Device Manager możemy również wyłączyć urządzenie. Polega to na tym, że fizyczne urządzenie nadal jest podłączone do komputera, lecz jego sterownik jest wyłączony. Dzięki temu urządzenie nie funkcjonuje, a zasoby przez nie używane mogą być wykorzystane przez inne urządzenie. Strona 9/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Podsumowanie W tym rozdziale przedstawione zostały najważniejsze informacje potrzebne do wdrożenia serwera z rodziny Windows Server 2008. Dowiedziałeś się, jakie wersje systemu są dostępne i jaką funkcjonalność posiadają. Posiadając tę wiedzę możesz wybrać odpowiedni systemem i zainstalować go w przedsiębiorstwie, a znając zasadę działania technologii Plug and Play możesz skonfigurować urządzenia w Twoim komputerze. Przykładowe rozwiązanie Instalacja systemu Windows Server 2008 Po uruchomieniu komputera z płyty DVD przywita nas ekran instalatora, gdzie musimy wybrać język oraz związany z nim format czasu i klawiatury. Po zdefiniowaniu tych ustawień zatwierdzamy je przyciskiem Next. Kolejny ekran umożliwia nam wybranie kilku opcji: 1. Install now – dalszy proces instalacji systemu. 2. What to know before installing Windows – wymagania sprzętowe i znane problemy mogące wystąpić w procesie instalacji. 3. Repair your computer – używane w czasie awarii systemu pozwala na skorzystanie z: c) Windows Complete PC Restore – przywracanie systemu z kopii zapasowej w przypadku niemożności jego naprawy. d) Windows Memory Diagnostic Tools – narzędzie sprawdzające poprawność działania pamięci komputera. e) Command Prompt – możliwość użycia narzędzi wiersza poleceń w celu diagnostyki i naprawy systemu. W następnym oknie wybieramy wersję systemu, którą chcemy zainstalować i potwierdzamy przyciskiem Next. Windows zapyta się o klucz produktu i poprosi o zaakceptowanie licencji. Kolejne okno to pytanie o typ instalacji, jeśli komputer uruchomiliśmy z płyty, aktywna będzie tylko opcja Custom (advanced). Upgrade jest dostępny przy uruchomieniu instalatora z poziomu poprzedniej wersji Windows Server. Kolejny krok to wskazanie miejsca instalacji systemu. Możemy tu podzielić dysk na logiczne części i sformatować partycję a także zainstalować dodatkowe sterowniki do urządzeń nie obsługiwanych w procesie instalacji. Po wykonaniu tych czynności następuje automatyczna instalacja, kończąca się ponownym uruchomieniem komputera. W czasie pierwszego logowaniu ustawiamy hasło dla Administratora. System jest teraz gotowy do przeprowadzenia wstępnej konfiguracji, którą można wykonać korzystając z narzędzia Initials Configuration Task lub z wiersza poleceń dla instalacji systemu w wersji Core. Podstawowa konfiguracja serwera w wersji Core Mimo że istnieje możliwość zarządzania serwerem Core przy pomocy narzędzi graficznych (Microsoft Management Console), to i tak wcześniej niezbędna jest wstępna konfiguracja systemu, możliwa do przeprowadzenia tylko przy pomocy narzędzi wiersza poleceń. Omówimy podstawowe polecenia umożliwiające zarządzanie taką instalacją. Konfiguracja interfejsów sieciowych Jedną z pierwszych czynności po zakończonej instalacji serwera jest skonfigurowanie karty sieciowej, polegające na przypisaniu adresu IP, maski, bramy domyślnej i serwera DNS. Polecenie ipconfig Polecenie ipconfig wyświetla wartości aktualnej konfiguracji sieci TCP/IP oraz umożliwia odświeżenie lub usunięcie konfiguracji protokołów DHCP (ang. Dynamic Host Configuration Strona 10/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Protocol) i DNS (ang. Domain Name System). Posłużymy się tym poleceniem by wyświetlić aktualne ustawienia karty sieciowej. Skorzystamy z przełącznika /all, by uzyskać informacje szczegółowe: ipconfig /all Polecenie netsh Narzędzie netsh jest uruchamiane w wierszu poleceń i służy do obsługi skryptów. Pozwala na wyświetlanie i modyfikowanie konfiguracji sieciowej komputerów lokalnych lub zdalnych. Polecenie działa w tzw. kontekście, zwierającym zestaw poleceń specyficznych dla danej usługi. Chcąc przypisać statyczny adres do karty sieciowej musimy sprawdzić, jaki interfejs reprezentuje ją w naszym systemie. Skorzystamy z polecenia: netsh interface ipv4 show interfaces Na ekranie zostanie wyświetlona informacja, z której możemy się dowiedzieć, jakie nazwy połączeń funkcjonują w naszym systemie. W naszym przypadku interesuje nas Local Area Connection. Sprawdzamy i zapamiętujemy wartość w kolumnie Idx dla tego połączenia, ponieważ od tej chwili będziemy się nią posługiwać konfigurując dany interfejs. Aby przypisać odpowiednie adresy do karty sieciowej, wydajemy komendę: netsh interface ipv4 set address name="idx" source=static address=adres mask=maska_podsieci gateway=brama_domyślna W poleceniu tym ustawiamy statyczny adres, maskę podsieci i domyślną bramę. Musimy jeszcze przypisać serwer DNS, który będzie rozwiązywał nazwy komputerów. Użyjemy polecenia: netsh interface ipv4 add dnsserver name="idx" address=adres index=1 gdzie index=1 oznacza kolejność dodanego adresu na liście serwerów DNS dostępnych dla interfejsu sieciowego. Zmiana nazwy komputera i podłączenie do domeny Kolejnym krokiem, który chcemy wykonać, jest przypisanie nazwy komputera i podłączenie go do domeny. Polecenie hostname Wydajemy komendę wyświetlającą nazwę komputera: hostname Polecenie netdom Polecenie netdom służy do zarządzania domeną i jej relacjami zaufania. W czasie instalacji systemu nazwa komputera jest generowana automatycznie. Chcemy ją zmienić na taką, która będzie pozwalała jednoznacznie identyfikować maszynę w naszej sieci. W tym celu wydajemy polecenie: netdom renamecomputer nazwa_komputera /NewName:nowa_nazwa Po zmianie nazwy niezbędne jest ponowne uruchomienie komputera. Możemy to zrealizować komendą: shutdown /r /t 0 gdzie: • /r – zamyka i ponownie uruchamia system • /t – definiuje czas, po jakim nastąpi wyłączenie komputera (w naszym wypadku natychmiast) Strona 11/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Teraz możemy przyłączyć komputer do domeny wydając komendę: netdom join nazwa_komputera /domain:nazwa_domeny /userd:nazwa_użytkownika /passwordd:hasło W poleceniu tym oprócz bieżącej nazwy komputera podajemy nazwę domeny, do której chcemy przyłączyć stację, a także nazwę konta w domenie i hasło użytkownika, który ma prawo do przeprowadzenia takiej operacji. Przyłączenie komputera do domeny również wymaga restartu. Zarządzanie kontami użytkowników Często musimy ustawić nowe hasło dla osoby zarządzającej serwerem Core lub przypisać konto użytkownika lub grupę istniejącą w domenie do lokalnej grupy administratorów. Polecenie net Polecenie net może być wydawane z linii komend lub umieszczane w skryptach, które automatyzują zadania administracyjne. Aby uzyskać informacje o możliwości użycia tego polecenia, w linii poleceń wpisujemy: net help Chcąc zmienić hasło użytkownika, wpisujemy: net user nazwa_użytkownika nowe_hasło Aby dodać konto użytkownika z domeny do lokalnej grupy administratorów, należy wydać polecenie: net localgroup Administrators /add nazwa_domeny\nazwa_użytkownika Pozostałe czynności Aktywacja serwera Dla poprawnego funkcjonowania serwera niezbędna jest jego aktywacja. Możemy ją wykonać korzystając z dostępnego w systemie skryptu języka VBScript: slmgr.vbs –ato Chcąc zobaczyć szczegółowe informacje na temat naszej licencji, musimy użyć odpowiedniego parametru: Cscript slmgr.vbs –dlv Narzędzie to ma szersze zastosowanie związane z licencjami. Dzięki niemu możemy np. odinstalować klucz produktu, usunąć go z rejestru lub na przykład sprawdzić, do kiedy nasz system jest aktywny . Wszystkie dostępne opcje można poznać wykonując skrypt slmgr.vbs bez żadnych parametrów. Konfiguracja zapory Jeśli chcemy administrować serwerem Core zdalnie przy pomocy konsoli MMC, musimy najpierw skonfigurować Firewall. Jeśli tego nie zrobimy, to przy próbie nawiązania połączenia otrzymamy komunikat z błędem. Aby temu zapobiec, użyjemy narzędzia netsh: netsh advfirewall firewall set rule group="Remote Administration" new enable=yes Powyższa komenda ustawi na zaporze reguły, dzięki którym będziemy mogli podłączyć się do serwera dowolną przystawką konsoli MMC. Jeśli chcemy ograniczyć zdalne zarządzanie do konkretnego narzędzia konsoli MMC, w powyższym poleceniu zamiast wartości Remote Administrator wpisujemy nazwę reguły podaną w tab. 2. Tab. 2 Przystawki konsoli MMC i odpowiadające im grupy reguł Strona 12/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Przystawka MMC Grupa reguł Event Viewer Remote Event Log Management Services Remote Services Management Shared Folders File and Printers Sharing Task Scheduler Remote Scheduled Task Management Reliable and Performance Performance Logs and Alerts, File and Printer Sharing Disk Management Remote Volume Management Windows Firewall with Advanced Security Windows Firewall Remote Management Np. chcąc skonfigurować regułę umożliwiającą zdalną administrację przystawką Disk Management, na serwerze Core wydajemy polecenie: netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes Zarządzanie sterownikami urządzeń przy pomocy Device Manager Device Manager służy do konfigurowania i monitorowania poprawności działania urządzeń oraz zarządzania ich sterownikami. Po uruchomieniu narzędzia należy rozwinąć typ urządzania, którym chcemy zarządzać, a następnie wskazać interesujące nas urządzenie i z menu kontekstowego wybrać polecenie Properties. Na zakładce General możemy odczytać informacje dotyczące producenta, a także sprawdzić status urządzenia. Zakładka Driver udostępnia kilka przycisków: • Driver Details – informacje o plikach sterownika, ich wersji i producencie • Update Driver – umożliwia zainstalowanie nowego sterownika • Roll Back Driver – jeśli po wgraniu nowego sterownika urządzenie działa nieprawidłowo, możemy przywrócić poprzednią wersję • Disable – wyłącza urządzenie • Uninstall – odinstalowuje sterownik urządzenia Porady praktyczne • Przed wdrożeniem Microsoft Windows Server 2008 zastanów się nad wyborem edycji systemu. Pomyśl, jakich funkcjonalności potrzebujesz i na jak wydajnym sprzęcie zainstalujesz system. • Zastanów się nad wyborem sposobu licencjonowania. Możesz używać jednocześnie licencji User CAL i Device CAL, lecz zalecane jest korzystanie z jednego typu licencjonowania ze względu na prostsze zarządzanie licencjami w firmie. Policz, jaki tryb licencjonowania będzie najbardziej opłacalny w Twojej firmie i taki wybierz. • Przy wyborze sprzętu, na którym zainstalujesz system, upewnij się, że jest on zgodny z systemem Windows Server. Będziesz pewny, że nie spotkasz się z problemami niekompatybilności. Skorzystaj z listy HCL (ang. Hardware Compatibility List), na której znajdują się komputery i sprzęt komputerowy, przetestowane gruntownie w systemie Windows. Aby uzyskać najnowszą listę HCL, odwiedź witrynę http://www.microsoft.com/whdc/hcl/default.mspx. • Serwer powinien mieć jak największą dostępność. Jeśli jest to możliwe, wybierz taki sprzęt, który ma zdublowane podsystemy (karty sieciowe, zasilacze) oraz posiada dyski odporne na awarie (kontroler macierzy dyskowej RAID, dyski Hot Swap). Strona 13/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 • Przygotuj się do instalacji wykonując następujące kroki: a) Sprawdź kompatybilność aplikacji. Możesz to zrobić korzystając z narzędzia Microsoft Application Compatibility Toolkit. b) Jeśli do serwera jest podłączony UPS, należy odłączyć kabel szeregowy, by instalator nie wykrywał urządzenia podłączonego do portu szeregowego (może to spowodować problemy). c) Jeśli robisz upgrade systemu, stwórz wcześniej kopie zapasowe serwera. d) Na czas instalacji wyłącz oprogramowanie antywirusowe. e) Przetestuj pamięć RAM korzystając z narzędzia diagnostyki pamięci systemu Windows. f) Przygotuj na nośniku (płyta CD, DVD lub dysk flash USB) sterownik pamięci masowej dostarczony przez producenta. • Pomyśl o programie antywirusowym chroniącym serwer. Bardzo często programy, które są darmowe dla systemów klienckich, nie dają się zainstalować na systemach serwerowych lub operacja taka jest niezgodna z licencją. • Nie zapomnij aktywować serwera. Masz na to 30 dni. • Chcąc zainstalować nowe sterowniki urządzeń, jeśli to możliwe, przetestuj je w środowisku testowym. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • wiesz, jakie edycje systemu Microsoft Windows Server 2008 są dostępne i czym się charakteryzują • umiesz dobrać odpowiednią wersję systemu w zależności od potrzeb • potrafisz określić minimalne wymagania sprzętowe • potrafisz dobrać odpowiedni sposób licencjonowania • wiesz, w jaki sposób zainstalować system Windows Server 2008 • znasz podstawowe polecenia wiersza poleceń • potrafisz przeprowadzić podstawową konfigurację serwera • rozumiesz w jaki sposób funkcjonuje usługa Plug and Play • potrafisz zarządzać sterownikami urządzeń Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. W przewodniku znajdują się między innymi informacje na temat instalacji Windows Server 2008, wykonywania uaktualnienia i wykonywania dodatkowych zadań administracyjnych podczas instalacji. 2. Instalacja serwera w opcji Server Core, http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr266.mspx Poradnik dotyczący instalacji i konfiguracji serwera w wersji Core. Zawiera instrukcje dotyczące instalowania, początkowej konfiguracji, instalowania ról i funkcji serwera oraz zarządzania nim. Strona 14/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 3. O czym pamiętać przy przejściu z x86 na x64, http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr328_01.mspx Informacje i porady dla użytkowników decydujących się na migrację do architektury x64. Strona 15/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Laboratorium podstawowe Problem 1 (czas realizacji 30 min) Jesteś administratorem w przedsiębiorstwie. Twoja firma zakupiła zakupiła nowy system operacyjny Microsoft Windows Server 2008. Nie został dostarczony zamówiony przez Was sprzęt, sprzęt na którym będziesz mógł zainstalować nowy system, system dlatego postanawiasz przetestować go na starszym komputerze. Zainstalowałeś system, system lecz z uwagi na to, że instalacja Server Core nie posiada interfejsu użytkownika, musisz ręcznie dokończyć proces konfiguracji za pomocą narzędzi wiersza poleceń. Ustaw staw hasło dla konta administratora, zmień zmie domyślną nazwę komputera, skonfiguruj skonfigur statyczny adres IP, dołącz serwer do firmowej domeny nwtraders.msft oraz aktywowuj serwer. Ponadto skonfiguruj zaporę, zaporę by można było zarządzać tym serwerem zdalnie. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Core. 2. Zaloguj się na konto administratora • Naciśnij na klawiaturze Prawy Alt+Delete. • W dostępnym polu wpisz hasło: Alamakota1.. i naciśnij Enter. 3. Zmień hasło dla konta administratora • W oknie wiersza poleceń wpisz komendę: komendę 4. Zdefiniuj statyczny adres IP • Aby sprawdzić aktualnie przypisany adres do karty sieciowej, w oknie wiersza poleceń wpisz: W powyższym haśle kropka jest jego częścią. net user Administrator P@ssw0rd ipconfig /all • Aby wyświetlić informacje o interfejsach sieciowych, w oknie wiersza poleceń wpisz: wpisz netsh interface ipv4 show interfaces • Zanotuj numer wyświetlany w kolumnie ldx dotyczący interfejsu sieciowego o nazwie Local Area Connection. • W celu ustawienia adresu, adresu w wierszu poleceń wpisz (ID to numer spisany z kolumny Idx, zaś X – numer serwera podany przez prowadzącego zajęcia): zajęcia) netsh interface ipv4 set address name="ID" name= source=static address=192.168.1. mask=255.255.255.0 gateway=192.168.1.200 address=192.168.1.X • Wpisz polecenie ipconfig /all i skontroluj, czy dla interfejsu sieciowego został przypisany statyczny adres IP. • W wierszu poleceń wpisz (ID to numer spisany z kolumny Idx): netsh interface ipv4 add dnsserver name="ID" name= address=192.168.1.200 index=1 Jeśli statyczny adres IP przypiszemy dla niewłaściwej karty sieciowej, to można powrócić do używania adresu DHCP przy pomocy polecenia netsh interface ipv4 set address name="ID"" source=dhcp, source=dhcp gdzie ID to numer spisany z kolumny ldx. 5. Zmień nazwę serwera • W celu określenia bieżącej nazwy serwera w wierszu poleceń wpisz: hostname • Aby zmienić nazwę komputera wpisz (nazwa_komputera nazwa_komputera to bieżąca Strona 16/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 nazwa komputera, zaś nowa_nazwa – nowa nazwa podana przez prowadzącego zajęcia): netdom renamecomputer nazwa_komputera /NewName:nowa_nazwa • Potwierdź klawiszem Y zgodę na zmianę nazwy. • Uruchom ponownie komputer przy pomocy polecenia: shutdown /r /t 0 6. Dodaj komputer do domeny • Zaloguj się na konto administratora (hasło P@ssw0rd). • W wierszu poleceń wpisz (nazwa_komputera to nazwa nadana w poprzednim zadaniu): netdom join nazwa_komputera /domain:nwtraders.msft /userd:Administrator /passwordd:P@ssw0rd • Uruchom ponownie komputer. 7. Dodaj użytkownika domenowego do lokalnej grupy administratorów • Zaloguj się na konto administratora (hasło P@ssw0rd). • W wierszu poleceń wpisz: net localgroup Administrators /add nwtraders\testuser • Aby zobaczyć, czy użytkownik został dodany do grupy, w wierszu poleceń wpisz: net localgroup Administrators 8. Aktywuj serwer • W wierszu poleceń wpisz: 9. Sonfiguruj zaporę dla zdalnej administracji • W wierszu poleceń wpisz: slmgr.vbs –ato netsh advfirewall firewall set rule group="Remote Administration" new enable=yes Problem 2 (czas realizacji 15 min) Na Twoim serwerze jest zainstalowana aplikacja do zarządzania danymi z maszyny produkcyjnej. Chcesz ją tak skonfigurować, by co jakiś czas łączyła się do maszyny i pobierała z niej dane. Wiesz, że można do tego celu wykorzystać połączenie modemowe. Zanim kupisz odpowiedni modem chciałbyś przetestować to rozwiązanie, dlatego zdecydowałeś się użyć pożyczonego, starego modemu. Zainstaluj go na sterownikach standardowych, a później wyłącz go do czasu, aż skonfigurujesz aplikację. Po przetestowaniu rozwiązania odinstaluj modem. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. 2. Zaloguj się do domeny na konto z uprawnieniami administracyjnymi • • • • • 3. Uruchom program Device Manager • Wybierz Start -> Control Panel. • W oknie Control Panel wybierz Device Manager. • W oknie User Account Control wybierz Continue. 4. Zainstaluj • W oknie Device Manager wybierz NazwaKomputera i naciśnij prawy Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwaKomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Strona 17/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 sterownik modemu przycisk myszy. • Z menu kontekstowego wybierz Add legacy hardware. hardware • W oknie Welcome to the Add Hardware Wizard naciśnij Next. • W oknie The wizard can help you install other hardware wybierz opcję Install the hardware that i manually select from a list (Advanced) i naciś Next. naciśnij • Na liście zaznacz Modems i naciśnij Next. • W oknie Install New Modem zaznacz opcję Don’t detect my modem; modem I will select it from a list i naciśnij Next. • Na liście Models zaznacz Standard 56000 bps Modem odem i naciśnij Next. • Zaznacz port COM1 i naciśnij Next, a w następnym oknie zakończ instalację przyciskiem Finish. 5. Przejrzyj właściwości zainstalowanego modemu • W oknie Device Manager rozwiń Modems i podwójnie kliknij Standard 56000 bps Modem. Modem • Przełączając się pomiędzy kolejnymi zakładkami sprawdź ustawienia urządzenia. • Na zakładce Driver wybierz Driver Details. Jakie pliki sterownika są używane przez to urządzenie? • W oknie Driver File Details naciśnij OK. • W oknie Standard 56000 bps Modem Properties naciśnij OK. 6. Wyłącz modem • W oknie Device Manager rozwiń Modems i podwójnie kliknij Standard 56000 bps Modem. Modem • Na zakładce Driver wybierz przycisk Disable. • W oknie informacyjnym, które się pojawi, wybierz Yes, a następnie OK. Jak zmienił się status wyświetlanego urządzenia? 7. Włącz urządzenie • W oknie Device Manager rozwiń Modems i podwójnie podwójni kliknij Standard 56000 bps Modem. Modem • Na zakładce General wybierz przycisk Enable Device. Device • W oknie Device Problems Troubleshooting Wizard naciśnij Next, a następnie Finish i Close. 8. Odinstaluj modem • W oknie Device Manager rozwiń Modems i dwukrotnie kliknij Standard 56000 bps Modem. Modem • Na zakładce Driver wybierz przycisk Uninstall. • W oknie Confirm 56000 bps Modem wybierz OK. • Wyloguj się Strona 18/19 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 1 Instalacja i konfiguracja Windows Server 2008 Laboratorium rozszerzone Zadanie 1 (czas realizacji 90 min) Firma, w której pracujesz, dynamicznie się rozwija. Zapadła decyzja o zakupie systemu do wspomagania zarządzania przedsiębiorstwem klasy ERP. Wdrażanych będzie kilka modułów, między innymi planowanie i optymalizacja produkcji, obsługa klienta i handel elektroniczny. Prawidłowe funkcjonowanie tego systemu będzie bardzo istotnym elementem biznesu, dlatego musi być on oparty na stabilnej platformie zapewniającej ciągłość pracy. Zostałeś członkiem zespołu projektowego i jesteś odpowiedzialny za wybór sprzętu i systemu operacyjnego, na którym będzie instalowane rozwiązanie ERP. W firmie posiadacie już serwery Microsoft Windows Server 2008, masz już doświadczenie w administrowaniu nimi, dlatego wiesz, że przyszły system też będzie z tej rodziny. Jednym z założeń jest wysoka stabilność i dostępność systemu, dlatego musisz zastanowić się, jaką edycję wybrać. Przemyśl to i dokonaj wyboru. Swoją decyzję musisz uzasadnić przed zarządem, dlatego przygotuj to w formie pisemnej. Inwestycję musisz uwzględnić w budżecie, dlatego potrzebujesz również przedstawić kosztorys sprzętu. Korzystając z Internetu znajdź odpowiednią konfigurację serwera i postaraj się oszacować jego koszty. Pamiętaj by sprawdzić, czy wybrany sprzęt znajduje się na liście HCL. Strona 19/19 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 2 Wersja 1 Narzędzia do zarządzania serwerem Spis treści Narzędzia do zarządzania serwerem.................................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Przykładowe rozwiązanie ............................................................................................................. 9 Porady praktyczne ..................................................................................................................... 11 Uwagi dla studenta .................................................................................................................... 12 Dodatkowe źródła informacji..................................................................................................... 12 Laboratorium podstawowe ................................................................................................................ 12 Problem 1 (czas realizacji 30 min).............................................................................................. 12 Problem 2 (czas realizacji 15 min) ............................................................................................. 14 Laboratorium rozszerzone ................................................................................................................. 16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące narzędzi używanych do zarządzania systemem Windows Server 2008. Dowiesz się, jak przeprowadzić wstępną konfigurację serwera przy pomocy Initial Configuration Task. Nauczysz się dodawać role serwera. Zapoznasz się z konsolą MMC (Microsoft Managament Console) i dowiesz się, w jaki sposób używać jej do administrowania serwerami zdalnymi. Cel modułu Celem modułu jest zapoznanie z wybranymi narzędziami używanymi do administrowania serwerem oraz pokazanie sposobu dostosowania narzędzi do potrzeb administratora. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, w jaki sposób wstępnie skonfigurować serwer po instalacji • potrafił dodać role i funkcje serwera • potrafił skonfigurować konsolę MMC do zarządzania serwerem lokalnym i zdalnym Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Przygotowanie teoretyczne Przykładowy problem Jesteś administratorem w niewielkim przedsiębiorstwie. Posiadacie serwer Microsoft Windows Server 2008. Jest on dość mocno obciążony, ponieważ pracuje jako serwer plików i kontroler domeny. Chcecie wdrożyć serwer wydruku, dlatego postanawiasz rolę tę zainstalować na nowym komputerze. Zakupiłeś nowy sprzęt i przeprowadziłeś instalację systemu. Teraz pozostała Tobie jego konfiguracja. Dostałeś od kolegów potrzebne informacje takie jak nazwa dla tego komputera i adres IP. Serwer będzie członkiem domeny nwtraders.msft. Niedawno jeden z komputerów uległ awarii. Okazało się, że zapomniano go aktualizować. Ktoś wykorzystał lukę w zabezpieczeniach, włamał się do niego i uszkodził ważne pliki. Chcesz uniknąć takiej sytuacji, dlatego planujesz tak skonfigurować serwer by sam się aktualizował. Twój starszy kolega będzie zarządzał serwerem wydruku, ale Ty chcąc mu pomóc, zainstalujesz niezbędne dodatki by komputer mógł pełnić tę rolę. Zainstalujesz również narzędzia do zdalnego zarządzania innymi serwerami, a także umożliwisz zdalne zarządzanie tym serwerem. Jesteś odpowiedzialny za śledzenie zdarzeń w logach systemowych. Masz pod swoją opieka dwa serwery, więc postanawiasz, że zamiast robić to na każdym z nich z osobna, skonfigurujesz sobie narzędzie, dzięki któremu będziesz mógł wykonywać to zadanie z jednego miejsca. Podstawy teoretyczne Administrator potrzebuje wydajnych, wygodnych w obsłudze narzędzi umożliwiających zarządzanie serwerami w organizacji. Windows Server 2008 posiada zestaw narzędzi do instalacji ról i funkcji oraz konfiguracji i monitorowanie serwerów. Initial Configuration Task Po zainstalowaniu systemu Windows Server 2008, jedną z pierwszych czynności, jaką należy wykonać, jest jego wstępna konfiguracja. W procesie instalacji, w odróżnieniu od wcześniejszych systemów rodziny Windows, nie nadajemy nazwy komputera ani nie konfigurujemy ustawień sieciowych. Czynności te możemy przeprowadzić po zakończeniu instalacji korzystając z narzędzia Initial Configuration Task (Rys. 1) Strona 3/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Rys. 1 Narzędzie Initial Configuration Task 1. Set time zone – umożliwia ustawienie czasu systemowego i wybranie strefy czasowej. 2. Configure Network – uruchamia okno Network Connections. Po wybraniu połączenia sieciowego pozwala na skonfigurowanie karty sieciowej, polegające na przypisaniu adresu IP, maski, bramy domyślnej i serwera DNS. Domyślnie karta sieciowa jest skonfigurowana w taki sposób, by potrzebne wartości zostały pobrane automatycznie przy wykorzystaniu usługi DHCP 3. Provide computer name and domain – uruchamia System Properties gdzie po wybraniu przycisku Change zmieniamy nazwę komputera. Umożliwia również zdefiniowanie czy pracujemy w grupie roboczej czy w domenie. a) Grupa robocza. W czasie instalacji, Windows automatycznie tworzy grupę roboczą. W celu przyłączenia komputera do innej grupy należy podać jej nazwę (Rys. 2). Cechy grupy roboczej: • W grupie roboczej wszystkie komputery są równe – żaden komputer nie ma kontroli nad innymi. • Każdy komputer posiada zbiór kont użytkowników. Chcąc korzystać z różnych komputerów w grupie roboczej, na każdym z nich musimy mieć stworzone konto użytkownika. • Najczęściej w grupie roboczej pracuje nie więcej niż 10 – 20 komputerów. b) Domena Aby przyłączyć komputer do domeny należy podać jej nazwę i zatwierdzić przyciskiem OK (Rys. 2), a następnie w oknie Windows Security, wpisać nazwę i hasło użytkownika uprawnionego do wykonania tej czynności. Cechy domeny: • Przynajmniej jeden komputer jest serwerem. Administrator sieci używa serwera do kontroli zabezpieczeń i uprawnień do wszystkich komputerów w domenie. • Posiadając konto użytkownika w domenie można przy jego pomocy logować się na dowolnym komputerze w domenie. • Umożliwia centralne zarządzanie dużą ilością komputerów. Strona 4/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Rys. 2 Okno zmiany nazwy komputera i określenia pracy w domenie/grupie roboczej 4. Enable automatic updating and feedback – umożliwia skonfigurowanie serwera w celu automatycznego pobierania i instalacji poprawek (ang. updates), wysyłania do Microsoft raportów o błędach w celu ich usunięcia, oraz zezwolenia na zbieranie przez Microsoft anonimowych informacji o systemie, w celu podniesienia jakości produktów i usług. Uaktualnianie systemu jest jedną z niezbędnych czynności umożliwiającą zapewnienie jego stabilności i bezpieczeństwa. Korzystając z Windows automatic updating możemy skonfigurować komputer tak, by będąc w trybie online, Windows automatycznie sprawdzał, czy są ważne uaktualnienia i instalował je. Dostępne opcje: • Install updates automatically (recommended) - system będzie automatycznie pobierał i instalował potrzebne uaktualnienia. • Download updates but let me choose whether to install them - system będzie automatycznie pobierał potrzebne uaktualnienia, a użytkownik musi potwierdzić ich instalację. • Check for updates but let me choose whether to download and install them – system będzie informował o dostępnych nowych aktualizacjach, a użytkownik zatwierdza ich pobranie i instalację. • Never check for updates (not recommended) – aktualizacja komputera jest wyłączona. 5. Download and install updates – ręczne uruchomienie sprawdzenia dostępnych aktualizacji w Windows Update i zatwierdzenie ich instalacji. 6. Add roles – uruchomienie Wizarda pozwalającego na zainstalowanie i skonfigurowanie roli serwera. Rola serwera jest zbiorem programów, które po zainstalowaniu i prawidłowym skonfigurowaniu umożliwiają komputerom pełnienie specyficznych funkcji dla użytkowników i innych komputerów w sieci. Role charakteryzują się: • Opisują główną funkcję, cel użycia komputera. Specyficzny komputer może być dedykowany do pełnienia jednej roli, mocno wykorzystywanej w przedsiębiorstwie, lub może posiadać wiele ról lekko wykorzystywanych. • Umożliwiają użytkownikom zorganizowanie dostępu do zasobów zarządzanych przez inny komputer takich jak strony Web, drukarki, pliki. • Często zawierają swoją własna bazę danych, umożliwiającą kolejkowanie żądań użytkowników i komputerów, lub zapisywanie informacji o sieciowych użytkownikach lub komputerach korzystających z danej roli. Przykładem jest Active Directory Domain Services zawierającą bazę danych, przechowującą nazwy i hierarchiczne powiązania wszystkich komputerów w sieci. • Raz prawidłowo zainstalowana i skonfigurowana rola jest uruchamiana automatycznie przy starcie komputera Strona 5/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem 7. Add features – uruchomienie Wizarda pozwalającego na zainstalowanie i skonfigurowanie funkcji serwera. Funkcja systemu jest zbiorem programów, które nie są bezpośrednio częścią roli komputera. Może wspierać lub rozszerzać funkcjonalność jednej lub kilku ról, w zależności od konfiguracji serwera. Przykładem może być funkcja Failover Clustering, zwiększająca funkcjonalność takich ról jak File Services i DHCP Server, pozwalając połączyć serwery w klaster (większa redundancja i wydajność). 8. Enable Remote Desktop – umożliwia włączenie funkcji zdalnego zarządzania danym komputerem (domyślnie grupa Administratorów) 9. Configure Windows Firewall – włączenie zapory pomagającej chronić komputer przed uzyskaniem do niego dostępu poprzez Internet lub sieć (więcej szczegółowych informacji na temat konfiguracji Windows Firewall znajdziesz w podręczniku ITA 108 Technologie sieciowe Windows 2008). Microsoft Management Console 3.0 Microsoft Management Console (MMC) udostępnia narzędzia administracyjne, które można użyć do zarządzania siecią, komputerami, usługami i innymi komponentami systemu. Narzędzia są dodawane do konsoli w postaci przystawek (ang. Snap-ins). Dzięki temu możliwe jest stworzenie spersonalizowanego zestawu narzędzi używanego przez administratora w codziennej pracy. System po zainstalowaniu dostarcza użytkownikowi predefiniowane konsole składające się z pojedynczych przystawek lub ich kombinacji pozwalając wykonywać określone zadania w systemie. Dla zilustrowania tego możemy uruchomić Event Viewer Console wydając polecenie eventvwr.msc, oraz Computer Management Console poleceniem compmgmt.msc. Event Viewer Console zawiera tylko przystawkę umożliwiającą podgląd zdarzeń. Ta sama przystawka jest częścią konsoli Computer Management Console zawartą pod kategorią System Tools. Porównując zawartość podglądu zdarzeń w obydwóch lokalizacjach, zobaczymy identyczne dane. Predefiniowane konsole są dostępne w folderze Administrative Tools. Aby uruchomić pustą konsolę wydajemy polecenie mmc. W celu jej konfiguracji należy wybrać polecenie Add/remove Snap-in z menu File. W oknie, które się pojawi zaznaczamy interesującą nas przystawkę w części Available snap-ins i przyciskiem Add> zatwierdzamy wybór. Przy wyborze niektórych przystawek może pojawić się dodatkowe okno umożliwiające wyspecyfikowanie czy dana przystawka będzie wykorzystywana do zarządzania komputerem lokalnym czy zdalnym. W tym drugim wypadku należy podać jego nazwę. W celu dodania kolejnych przystawek czynność należy powtórzyć. Po potwierdzeniu przyciskiem OK narzędzie jest gotowe do użycia. Można je zapisać na dysku w celu późniejszego użycia. Konsola może pracować w kilku trybach (menu File/Options): • Author mode – daje użytkownikom pełen dostęp do konsoli, umożliwiając dodawanie lub usuwanie przystawek, tworzenie nowych okien, tworzenie nowych zadań i widok wszystkich części drzewa narzędzi. • User mode – full access – zabrania użytkownikom dodawania i usuwania przystawek i zmiany ich właściwości. Użytkownicy mają pełen dostęp do drzewa. • User mode – limited access, multiple window – zabrania użytkownikom dostępu do tych części drzewa, które nie są widoczne w konsoli. • User mode – limited access, single window – otwiera przystawki w konsoli w trybie pojedynczego okna i nie zezwala użytkownikowi na dostęp do tych części drzewa, które nie są widoczne w tym pojedynczym oknie. Strona 6/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Server Manager Narzędzie Server Manager ułatwia zadania związane z zarządzaniem i zabezpieczaniem wielu ról serwera. Udostępnia pojedynczy punkt do administrowania serwerem, wyświetlania jego statusu, identyfikowania problemów z konfiguracją działających ról i zarządzania wszystkimi rolami zainstalowanymi na serwerze. Server Manager umożliwia wydajniejszą administrację serwerem, pozwalając administratorom przy pomocy jednego narzędzia na: • Wyświetlanie oraz modyfikowanie zainstalowanych na serwerze ról i funkcji • Wykonywanie cyklicznych zadań związanych z serwerem takich jak uruchamianie i zatrzymywanie usług, zarządzanie kontami użytkownika • Określanie stanu serwera, identyfikowani zdarzeń krytycznych, analizowanie i rozwiązywanie problemów z konfiguracją. Na rysunku (Rys. 3) przedstawiono fragment konsoli Server Manager dla serwera London. Widać, że na komputerze zainstalowano role Active Directory Domain Services, DHCP Server oraz DNS Server. Jako funkcja zainstalowano narzędzie Group Policy Management. Wyraźnie widać, z jakich przystawek została zbudowana konsola: • Event Viewer – udostępnia widok komunikatów o zdarzeniach w systemie i innych programach • Reliability and Performance – narzędzie do monitorowania niezawodności i wydajności systemu • Device Manager – umożliwia wyświetlenie listy sprzętu zainstalowanego w komputerze i konfigurowanie ich właściwości • Task Schedule – służy do ustawienia harmonogramu zadań uruchamianych automatycznie • Windows Firewall with Advanced Security – narzędzie do konfigurowania zasad związanych z bezpieczeństwem sieciowym komputerów • Services – uruchamianie, zatrzymywanie i konfigurowanie usług • WMI Control – umożliwia konfigurację i kontrolę usług Windows Management Instrumentation (WMI) • Windows Server Backup – narzędzie do robienia kopii zapasowej i przywracania serwera • Disk Management – przystawka do zarządzania dyskami i wolumenami. Poszczególne narzędzia będziemy poznawać i wykorzystywać w następnych modułach. Rys. 3 Fragment konsoli Server Manager dla serwera London Strona 7/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem ServerManagerCmd.exe Server Manager w systemie Windows Server 2008 zawiera narzędzie wiersza poleceń, ServerManagerCmd.exe, umożliwiające użytkownikom przeprowadzanie automatycznej instalacji lub usuwania ról i funkcji, oraz wyświetlanie logów tych operacji. Korzystając z opcji tego narzędzia można wyświetlić role i funkcje zainstalowane lub dostępne do instalacji na danym komputerze. ServerManagerCMD.exe można używać z plikiem odpowiedzi (XML) w celu przyspieszenia automatycznych, powtarzających się instalacji ról i funkcji. Przykładowe użycie polecenia: Servermanagercmd –query Wyświetla listę wszystkich ról i funkcji zainstalowanych i dostępnych do instalacji na serwerze. Można użyć krótkiej formy używając parametru –q Servermanagercmd –install <Id> Instaluje rolę lub funkcję wyspecyfikowaną w Id. Patrz tabele (Tabela 1 i Tabela 2).Zwróć uwagę, że niektóre role nie mają komendy umożliwiającej ich zainstalowanie, można tylko instalować poszczególne usługi ról składające się na daną rolę. Dzieje się tak, kiedy usługi ról nie mogą być instalowane w tej samej instancji komendy Serwer Managera. Servermanagercmd –help Wyświetla pomoc. Można użyć krótkiej formy używając parametru –?. Tabela 1 Wybrane Role i usługi Ról oraz odpowiadające im komendy w narzędziu ServerManagerCmd.exe Role i usługi Ról Wartość komendy <Id> DHCP Server DHCP Print Services Print-Server • Print Server • Internet Printing • LPD Service • Print-Services • Print-Internet • Print-LDP-Service DNS DNS File Services Brak • • • • • • • Distributed File System (DFS) DFS Namespace DFS Replication File Server Resource Manager Services for Network File System Windows Search Services Windows Server 2003 File Services Active Directory Domain Services • • • • • • • FS-DFS FS-DFS-Namespace FS-DFS-Replication FS-Resource-Manager FS-NFS-Services FS-Search-Service FS-Win2003-Services • • • • ADDS-Domain-Controller ADDS-Identity-Management ADDS-NIS ADD-Password-Sync Brak • Active Directory Domain Controller • Identity Management for UNIX • Server for Network Information Service • Password Synchronization Strona 8/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Tabela 2 Wybrane Funkcje oraz odpowiadające im komendy w narzędziu ServerManagerCmd.exe Funkcje Wartość komendy <Id> Wireless Networking Wireless-Networking Windows Server Backup Backup Telnet Server Telnet-Server Bitlocker Drive Encryption BitLocker Remote Server Administrative Tools RSAT • Role administration tools • Active Directory Cerificate Services • Web Server (IIS) • Failover Clustering • • • • RSAT-Role-Tools RSAT-ADCS RSAT-Web-Server RSAT-Clustering Podsumowanie W tym rozdziale przedstawione zostało narzędzie Initial Configuration Task używane przez administratora w celu przeprowadzenia wstępnej konfiguracji serwera po procesie instalacji systemu. Omówiona została także Microsoft Management Console, użycie konsoli zdefiniowanych w systemie oraz tworzenie własnych, przy pomocy dostępnych przystawek. Zaprezentowane zostało również narzędzie Server Manager wraz z dostępnym z wiersza poleceń ServerManagerCmd.exe. Przykładowe rozwiązanie Wstępna konfiguracja serwera Po zainstalowaniu serwera przystępujemy do jego wstępnej konfiguracji. Możemy użyć narzędzi znajdujących się w Control Panel, w tym konsol zawartych w folderze Administrative Tools, lecz najwygodniej jest skorzystać z narzędzia Initial Configuration Task. Narzędzie to jest uruchamiane automatycznie przy każdym uruchomieniu systemu do czasu wyłączenia tej opcji (ustawienie znacznika Do not show this windows at logon w dolnej części okna konsoli). Zaczynamy od ustawienia aktualnego czasu. Wybieramy opcję Set time zone. W oknie Date and Time sprawdzamy czy zegar komputera wskazuje poprawne wartości czasu i daty. Jeśli nie, korygujemy je korzystając z przycisku Change date and time… Następnie korzystając z przycisku Change time zone… wybieramy właściwą strefę czasową. Kolejnym krokiem jest skonfigurowanie ustawień sieciowych. Na serwerach wskazane jest by adresy kart sieciowych były przypisane manualnie zamiast wykorzystania konfiguracji automatycznej. Klikamy Configure networking, co spowoduje otworzenie okna Network Connection. Wybierając właściwości (ang. Properties) połączenia Local Area Connection, dostępne w menu kontekstowym, przypisujemy adres IP, bramę i serwery DNS dla danego połączenia. Więcej informacji na temat konfiguracji ustawień sieciowych znajdziesz w podręczniku ITA 108 Technologie sieciowe Windows 2008. Następnie należy zmienić nazwę komputera oraz określić grupę roboczą lub domenę, w której będzie pracował serwer. Wybieramy Provide computer name and domain, a w oknie Computer Name przycisk Change… W czasie instalacji nazwa komputera została stworzona automatycznie. Zmieniamy ją na nazwę, która pozwoli nam łatwo zidentyfikować komputer w sieci, pamiętając by była ona zgodną z konwencją stosowaną w naszej firmie. W sekcji Member of zaznaczamy opcję Strona 9/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Domain i podajemy nazwę domeny, której komputer będzie członkiem (w naszym wypadku nwtraders.msft). Po zatwierdzeniu przyciskiem OK pojawi się okno Windows Security, gdzie wpisujemy nazwę konta w domenie i hasło użytkownika, który ma prawo do przeprowadzenia takiej operacji. Jeśli akcja powiedzie się, zostanie wyświetlone okno z informacją Welcome to the nwtraders.msft domain, a następnie komunikat o konieczności restartu komputera w celu wprowadzenia zmian. Po uruchomieniu serwera ponownie zostanie uruchomione narzędzie Initial Configuration Tasks. W celu zapewnienia regularnych aktualizacji naszego systemu klikamy Enable automatic updating and feedback i wybieramy opcję Manually configure settings. W sekcji Windows automatic updating wybieramy przycisk Change Settings. Chcemy, by nasz system raz w tygodniu sprawdzał dostępne aktualizacje i instalował je. Zaznaczamy opcję Install updates automatically (recommended) i wybieramy z listy rozwijanej dzień tygodnia oraz godzinę tej akcji. Warto również zaznaczyć opcję Recommended updates, dzięki czemu będą pobierane nie tylko aktualizacje krytyczne, lecz również rekomendowane. Przyciskiem OK zatwierdzamy wprowadzone ustawienia. Nie chcąc pozostawiać działającego systemu bez aktualizacji do czasu ich automatycznego pobrania zdefiniowanego w poprzednim kroku, wymuszamy bieżącą aktualizację systemu wybierając Download and install updates. W oknie Windows Update klikamy Check for updates. Komputer połączy się z witryną Windows Update, sprawdzi, jakie aktualizacje są wymagane dla naszego serwera i pozwoli użytkownikowi wybrać, które z nich mają zostać zainstalowane. Nasz serwer będzie pełnił rolę serwera drukarek. Aby zainstalować wymagane komponenty systemu, w oknie Initial Configuration Task wybieramy Add roles, w celu uruchomienia Wizarda. W oknie Before You Begin (zapoznaj się wyświetlanymi informacjami) wybieramy Next. Na liście dostępnych ról zaznaczamy Print Services i potwierdzamy przyciskiem Next. Możemy przeczytać informacje wprowadzające do usług drukowania i klikamy przycisk Next. Upewniamy się, że w oknie Select Role Services jest zaznaczona opcja Print Server. Zatwierdzamy instalację przyciskiem Install. Jeśli proces przebiegł prawidłowo, w oknie Installation Results zostanie wyświetlony komunikat installation succeseeded. Zamykamy Wizarda przyciskiem Close. Jako administratorzy będziemy chcieli w przyszłości zarządzać zdalnymi serwerami. Jednym ze sposobów jest instalacja narzędzi do zdalnej administracji określoną rolą lub funkcją. Wybieramy Add features by uruchomić Wizard, który przeprowadzi nas przez proces instalacji. W oknie Select Futures odszukujemy na liście i rozwijamy Remote Server Administration Tools. Aby zarządzać usługami katalogowymi rozwijamy Active Directory Domain Services Tools i zaznaczamy Active Directory Domain Controller Tools. Zatwierdzamy wybór przyciskiem Next, a następnym oknie potwierdzamy instalację przyciskiem Install. Jeśli proces przebiegł prawidłowo, w oknie Installation Results zostanie wyświetlony komunikat installation succeseeded. Zamykamy Wizarda przyciskiem Close. Serwery zwykle znajdują się w specjalnych pomieszczeniach (serwerowniach) o ograniczonym dostępie. Nie zawsze znajdują się one w tej samej lokalizacji, w której pracuje osoba zarządzająca nimi. Wygodną funkcją jest Zdalny Pulpit umożliwiająca zdalne zarządzanie komputerem. Funkcjonalność ta musi zostać włączona na komputerze, do którego chcemy się będziemy się podłączać. Jeśli chcemy by inni administratorzy zdalnie zarządzali naszym serwerem w oknie Initial Configuration Task wybieramy Enable Remote Desktop. W oknie System Properties na zakładce Remote w sekcji Remote Desktop zaznaczamy opcję Allow connections from computer running any version of Remote Desktop. Pojawi się okno z informacją o dodaniu wyjątków do zapory Windows umożliwiających korzystanie z tej usługi. Zatwierdzamy ustawienia wybierając kolejne przyciski OK. Strona 10/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Przygotowanie własnej konsoli Microsoft Management Console Jednym z codziennych zadań wykonywanych przez administratora jest przeglądanie informacji zapisywanych w logach w celu określenia poprawności działania systemu i aplikacji oraz kontroli zdarzeń związanych z bezpieczeństwem serwera. Stworzymy własną konsolę, która umożliwi nam realizację tych zadań na lokalnym serwerze i serwerze zdalnym London. Wybieramy menu Start i wydajemy polecenie mmc. Pojawi się okno User Account Control wymagające potwierdzenia przyciskiem Continue. Wybieramy menu File -> Add/Remove Snapin…. W oknie Add or Remove Snap-ins w sekcji Available snap-ins zaznaczamy Event Viewer. Klikamy przycisk Add, co spowoduje wyświetlenie okna Select Computer. Upewniamy się, że jest zaznaczona opcja Local computer (the computer this console is running on) i zatwierdzamy wybór przyciskiem OK. Ponownie w sekcji Available snap-ins zaznaczamy Event Viewer i klikamy przycisk Add. W oknie Select Computer zaznaczamy opcję Another Computer i wpisujemy nazwę serwera do którego się podłączymy – w naszym wypadku London. Zatwierdzamy wybór przyciskiem OK. Zamykamy okno Add or Remove Snap-ins przyciskiem OK. W celu zapisania skonfigurowanej konsoli wybieramy menu File -> Save As… i w polu File name wpisujemy nazwę, pod jaką chcemy ją zapamiętać oraz podajemy lokalizację (np. Desktop). Zamykamy okno przyciskiem Save. Rozwijając przystawki dla poszczególnych komputerów możemy teraz przeglądać zdarzenia zapisane w ich logach . Porady praktyczne • Jeśli po uruchomieniu serwera nie pojawia się konsola Initial Configuration Task możesz wywołać ją poleceniem oobe.exe • Bardzo ważny jest prawidłowo ustawiony czas na serwerze i stacjach klienckich. Jeśli nie jest, może być przyczyną problemów z logowaniem. Komputery pracujące w domenie synchronizują czas z sieciowym źródłem czasu, którym jest kontroler domeny pełniący role PDC (Primary Domain Controler) – więcej informacji na temat uzyskasz w module 4. • Pamiętaj, że serwer powinien mieć przypisany adres statyczny. • Nie zapominaj o aktualizacjach - komputer jest wrażliwy na zagrożenia związane z bezpieczeństwem. Aktualizacja systemów jest jedną z podstawowych czynności ograniczających te zagrożenia. W przedsiębiorstwach, do zarządzania aktualizacjami komputerów wykorzystuje się Windows Server Update Services (WSUS) – usługę umożliwiającą zarządzanie pobieraniem aktualizacji, dystrybucją ich w sieci i raportowanie stanu komputerów. • Loguj się do systemu, jako zwykły użytkownik, bez praw administratora. Po zalogowaniu się użytkownika z prawami administratora, system, nad którym przejmuje on kontrolę, może być narażony na ataki ze strony złośliwych użytkowników. • Do otwierania określonych narzędzi wymagających uprawnień administracyjnych używaj polecenia runas. Dzięki temu uruchomiony program będzie działał w kontekście innego użytkownika (administratora), a system będzie bezpieczniejszy. • Konfiguruj konsole MMC dodając przystawki w taki sposób by zawierały dodatki z których korzystasz na co dzień – będziesz pracował wydajniej. • Jeśli jakieś narzędzia używasz często, warto utworzyć skróty korzystające z polecenia runas, dzięki temu będziesz pracował wydajniej bez stwarzania zagrożenia dla bezpieczeństwa. • Korzystając z konsoli podłączonej do zdalnego komputera pamiętaj, że na nim też musisz posiadać odpowiednie prawa. • Większość narzędzi dostępnych w systemie wymaga większych praw do ich użycia niż prawa zwykłego użytkownika. Niekoniecznie musisz być członkiem grupy Administrators by z nich skorzystać. W systemie istnieją wbudowane grupy, które posiadają przypisane Strona 11/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem odpowiednie prawa potrzebne do zarządzania określoną częścią systemu (więcej w module 6). • Nie wszystkie czynności można wykonać przy pomocy przystawek do zdalnego zarządzania komputerem. Do konfiguracji niektórych funkcjami systemu (np. dostępnych w Panelu Sterowania) używaj narzędzia Remote Desktop. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • wiesz, jakie czynności należy wykonać by przeprowadzić wstępną konfigurację serwera po procesie instalacji. • umiesz korzystać z narzędzia Initial Configuration Task • potrafisz zmienić nazwę komputera oraz przyłączyć go do domeny lub grupy roboczej • umiesz skonfigurować konsolę MMC • wiesz w jaki sposób zainstalować role i funkcje na serwerze Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. W przewodniku znajdują się między innymi informacje na temat instalacji Windows Server 2008, wykonywania uaktualnienia i wykonywania dodatkowych zadań administracyjnych podczas instalacji. 2. Windows Server Initial Configuration Tasks http://technet.microsoft.com/en-us/library/cc755215.aspx Dokumentacja narzędzia Initial configuration Task na witrynie Technet. 3. Install Windows Server 2008 Server Roles with Server Manager http://technet.microsoft.com/en-us/library/dd283014(WS.10).aspx Opis narzędzia Serwer Manager na witrynie Technet. Laboratorium podstawowe Problem 1 (czas realizacji 30 min) Po zainstalowaniu serwera, chcesz go tak skonfigurować, byś mógł przy jego pomocy zarządzać innymi serwerami w sieci. Będziesz zarządzał serwerem w zdalnej lokalizacji, dlatego chcesz mieć szybki dostęp do informacji o aktualnym dla niej czasie. Chcesz mieć również wpływ na to jakie aktualizacje będą pobierane i instalowane na serwerze. Twój serwer będzie udostępniał pliki dla użytkowników, dlatego chcesz mieć zainstalowane narzędzia do administrowania tą rolą. Będziesz zarządzał zdalnymi kontrolerami domeny, dlatego chcesz zainstalować dodatkowe narzędzia pomocne przy tym zadaniu. Czasami będziesz łączył się do swojego serwera ze stacji roboczej, dlatego chcesz włączyć możliwość używania Zdanego Pulpitu Zadanie Tok postępowania Strona 12/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem 1. Uruchom maszynę wirtualną 2. Zaloguj się na konto z uprawnieniami administracyjnymi • Uruchom maszynę wirtualną 2008 Templ. 3. Uruchomienie narzędzia Initial Configuration Tasks • Jeśli po zalogowaniu się nie uruchamia się automatycznie narzędzie Initial Configuration Tasks wybierz Start i w polu Start Search wpisz Oobe.exe i potwierdź Enterem. • W oknie User Account Control wybierz Continue. 4. Ustawienie drugiego zegara z informacją o czasie w oddziale firmy • W programie Initial Configuration Tasks w sekcji Provide Computer Information wybierz Set time zone. • W oknie Date and Time wybierz zakładkę Additional Clocks. • Zaznacz pole Show this clock. • W Select time zone wybierz (GMT+01:00) Sarajevo, Skopje, Warsaw, Zagreb. • W Enter display name wpisz Oddzial Opole. • Klinknij przycisk Apply. • Kliknij zegar na pasku. • Powinny pojawić się dwa zegary. • W oknie Date and Time naciśnij OK. 5. Konfiguracja sposobu uaktualniania serwera • W programie Initial Configuration Tasks w sekcji Update this Server wybierz Enable automatic updating and feedback. • W oknie które się pojawi wybierz Manually configure settings. • W sekcji Windows automatic updating wybierz przycisk Change Setting… • W oknie konfiguracji zaznacz Check for updates but let me choose whether to download and install them i naciśnij OK. • W oknie User Account Control wybierz Continue. • W oknie Manually Configure Settings naciśnij Close. 6. Dodanie roli serwera plików • W programie Initial Configuration Tasks w sekcji Customize This Server wybierz Add roles. • W oknie Before You Begin wybierz Next. • W oknie Select Server Roles z listy ról wybierz File Services a następnie przycisk Next. • W oknie File Services przeczytaj Introduction to File Services a następnie wybierz Next. • W oknie Select Role Services zaznacz: • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. — — — — — — — — File Server Distributed File System DFS Namespace DFS Replication File Server Resource Manager Windows Server 2003 File Services File Replication Service Indexing Services Strona 13/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem • Wybierz przycisk Next • W oknie Create a DFS namespace wybierz Create a name space later using the DFS Management snap-in in Server Manager a następnie wybierz przycisk Next. • W oknie Configure Storage usage Monitoring zaznacz Local Disk (C:) a następnie przycisk Next. • W oknie Set Report Option wybierz Next. • W oknie Confirm Installation Selection przeczytaj podsumowanie zdefiniowanych opcji i naciśnij Install. • W oknie Installation Results powinna być wyświetlona informacja Installation succeesed. Jeśli tak jest to wybierz przycisk Close. W przeciwnym razie poproś o pomoc wykładowcę. 7. Dodanie narzędzi administracyjnych do zarządzania kontrolerami domeny, GPO i PowerShell • W programie Initial Configuration Tasks w sekcji Customize This Server wybierz Add features. • W oknie Select Features na liście znajdź i zaznacz: — Group Policy Management — Windows PowerShell • W oknie Select Features na liście Features rozwiń Remote Server Administration Tools -> Role Administration Tools -> Active Directory Domain Services Tools i zaznacz Active Directory Domain Controller Tools, a następnie wybierz przycisk Next. • W oknie Confirm Installation Selections zapoznaj się z podsumowaniem i naciśnij przycisk Install. • W oknie Installation Results powinna być wyświetlana informacja Installation succeesed. Jeśli tak to wybierz przycisk Close. W przeciwnym razie poproś o pomoc wykładowcę. 8. Właczenie Remote desktop • W programie Initial Configuration Tasks w sekcji Customize This Server wybierz Enable Remote Desktop. • W oknie System Properties na zakładce Remote w sekcji Remote Desktop zaznacz allow connections from computer running any version of Remote Desktop (less secure). • Pojawi się okno z informacją że firewall został odpowiednio skonfigurowany. Wybierz OK. • W oknie System Properties wybierz OK. 9. Dokumentowa nie konfiguracji • W programie Initial Configuration Tasks na dole ekranu wybierz Print, e-mail, or save this information. • Zapisz raport w domyślnym położeniu. • Pozamykaj wszystkie okna. • Wyloguj się. Problem 2 (czas realizacji 15 min) Dostałeś zadanie aktualizacji dokumentacji konfiguracji serwerów w twojej firmie. Musisz udokumentować konfigurację serwerów DHCP, które znajdują się w innych miastach. Postanawiasz skonfigurować potrzebne narzędzia by zrobić to zdalnie. Zadanie Tok postępowania 1. Uruchom • Uruchom maszynę wirtualną 2008 Templ. Strona 14/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem maszynę wirtualną 2. Zaloguj się na konto z uprawnieniami administracyjnymi • • • • • 3. Instalowanie narzędzia do zarządzania zdalnym serwerem DHCP przy pomocy Server Manager Console • Wybierz menu Start -> All Programs -> Accessories i naciśnij prawy przycisk na Command Prompt. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control wybierz Continue. • Aby zobaczyć zainstalowane role i dodatki w oknie wiersza poleceń wpisz: Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. servermanagercmd.exe –query • Przejrzyj skonfigurowane właściwości. • Aby zainstalować narzędzie do zdalnego zarządzania serwerem DHCP wydaj polecenie: Servermanagercmd.exe –install RSAT-DHCP –resultPath c:\addroleresults.xml • W pliku addroleresults.xml zostanie zapisany rezultat operacji. • Po skończeniu instalacji zamknij okno wiersza poleceń. 4. Zarządzanie zdalnym serwerem DHCP • Wybierz menu Start i wydaj polecenie: runas /user:[email protected] mmc • W oknie które się pojawi wpisz hasło P@ssw0rd. • W oknie konsoli wybierz menu File -> Add/Remove Snap-in… • Na liście Available snap-ins zaznacz DHCP i naciśnij przycisk ADD> a następnie OK. • W konsoli kliknij prawym przyciskiem myszy DHCP i z menu kontekstowego wybierz Manage authorized Servers. • W oknie Manage DHCP servers zaznacz London.nwtraders.msft i naciśnij OK. • Przejrzyj ustawienia serwera DHCP i zamknij konsolę. • Wyloguj się. Strona 15/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 2 Narzędzia do zarządzania serwerem Laboratorium rozszerzone Strona 16/16 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 3 Wersja 1 Zarządzanie dyskami Spis treści Zarządzanie dyskami ............................................................................................................................ 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Przykładowe rozwiązanie ............................................................................................................. 7 Porady praktyczne ....................................................................................................................... 9 Uwagi dla studenta .................................................................................................................... 10 Dodatkowe źródła informacji..................................................................................................... 10 Laboratorium podstawowe ................................................................................................................ 12 Problem 1 (czas realizacji 20 min).............................................................................................. 12 Problem 2 (czas realizacji 25 min) ............................................................................................. 14 Laboratorium rozszerzone ................................................................................................................. 15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Informacje o module Opis modułu W tym module znajdują się informacje dotyczące konfiguracji i zarządzania dyskami w systemie Windows Server 2008. Nauczysz się korzystać z narzędzi Disk Manager i DiskPart, by przy ich pomocy przygotować dysk do pracy. Dowiesz się jak zorganizować przestrzeń na dysku, oraz jak wdrożyć dyski odporne na awarie. Cel modułu Celem modułu jest zaprezentowanie różnych możliwości konfiguracji dysków i związanych z nimi funkcjonalności oraz zapoznanie z dostępnymi narzędziami. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • • • • wiedział, jak zainicjować nowy dysk potrafił tworzyć partycje i woluminy wiedział, jakie są różnice między systemami plików potrafił zarządzać wolumenami oraz wdrażać dyski odporne na awarie Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym Strona 2/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Przygotowanie teoretyczne Przykładowy problem Jesteś Administratorem świeżo zainstalowanego serwera Microsoft Windows Server 2008. Zanim użytkownicy w Twojej firmie zaczną z niego korzystać musisz odpowiednio skonfigurować dyski. Serwer posiada trzy dyski twarde o pojemności 16 GB, pochodzące od jednego producenta. System został zainstalowany na pierwszym dysku w systemie, na partycji o rozmiarze 9 GB. Chcesz rozszerzyć ją o 1 GB. Prawidłowe działanie tego serwera jest bardzo ważne dla firmy, ponieważ będą na nim przechowywane ważne dane. Aby zabezpieczyć się przed awarią dysku, na którym jest zainstalowany system postanawiasz utworzyć lustrzaną kopię partycji systemowej. W celu zabezpieczenia partycji z danymi przedsiębiorstwa wykorzystasz RAID-5. Potrzebujesz również 5 GB partycję, na której będą przechowywane raporty. Niestety, na pierwszym dysku nie będzie już tyle wolnego miejsca, dlatego stworzysz na nim partycję 2 GB i skorzystasz z dysku zainstalowanego w folderze, z którego będzie korzystał dział finansów generujący najwięcej zestawień. Podstawy teoretyczne Jednym z podstawowych zadań, które należy wykonać zanim serwer będzie gotowy do użycia jest konfiguracja dysków. Zwykle w procesie instalacji tworzymy partycję, na której jest instalowany system. Czasem zajmuje ona całą przestrzeń dostępną na dysku fizycznym, lecz często obejmuje tylko jego część. Po zainstalowaniu systemu należy zarządzić pozostałym miejscem na dysku tak, by było ono dostępne dla użytkowników i aplikacji. Disk Management Disk Management (Rys. 1) jest narzędziem systemowym do zarządzania dyskami twardymi i woluminami lub partycjami, które się na nich znajdują. Przy jego pomocy możemy inicjować dyski, tworzyć woluminy i formatować je w systemie plików FAT, FAT32 lub NTFS. Narzędzie to pozwala wykonywać większość zadań związanych z dyskami bez potrzeby restartu systemu. Umożliwia również zarządzanie dyskami komputerów zdalnych. Rys. 1 Narzędzie Disk Management Strona 3/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Inicjalizacja nowego dysku Nowy dysk pojawia się w systemie, jako niezainicjowany (ang. Not Initialized). Zanim zaczniemy go używać musimy najpierw go zainicjować. Jeśli uruchomimy Disk Management po dodaniu dysku, pojawi się Initialize Disk Wizard, który pomoże nam w tym procesie. Jeśli się tak nie stanie, możemy zrobić to sami. W narzędziu Disk Management, klikamy prawym przyciskiem myszy na wybranym dysku i z menu kontekstowego wybieramy polecenie Initialize Disk. W oknie dialogowym Initialize Disk wybieramy dysk lub dyski, które chcemy zainicjować. Możemy wybrać jeden z dwóch dostępnych styli partycji: • master boot record (MBR) – pierwszy sektor dysku jest zarezerwowany na przechowywanie tablicy partycji i master boot record. Pozostała część dysku jest podzielona na partycje, a informacja o nich jest przechowywana w tablicy partycji. MBR na dyskach podstawowych wspiera dwa typy partycji, podstawową (ang. primary) i rozszerzoną (ang. extended). Partycja podstawowa może mieć przypisaną literę dysku lub punkt montowania. Partycja rozszerzona może być dzielona na jeden lub więcej dysków logicznych, każdy z nich może być sformatowany i mieć przypisaną literę dysku lub punkt montowania. Dyski podstawowe ze stylem partycji MBR mogą posiadać do czterech partycji podstawowych lub trzy partycje podstawowe i jedną, na której jest wiele dysków logicznych • GUID partition table (GPT) – używa extensible firmware interface (EFI). Na początku dysku GPT nadal znajduje się MBR (jest on jednak wykorzystywany tylko po to, by dysk był rozpoznawany przez narzędzia nierozpoznające dysków GPT). Zaraz za nim umiejscowiony jest główny nagłówek GPT, który definiuje bloki na dysku dostępne dla partycji oraz przechowuje informacje o liczbie i rozmiarach partycji na dysku. Nagłówek GPT przechowuje także informacje na temat swojej własnej lokalizacji na dysku oraz wskaźnik na zapasowy nagłówek GPT znajdujący się w końcowych sektorach dysku. Zapasowy nagłówek GPT wykorzystywany jest w razie uszkodzenia nagłówka głównego. Przestrzeń na dysku pomiędzy nagłówkami głównym i zapasowym jest wykorzystana na partycje podstawowe. Każda partycja zawiera również swój nagłówek zawierający informacje o typie partycji, początkowym i końcowym bloku partycji na dysku oraz unikalny GUID partycji. Na dyskach mogą znajdować się również inne typy partycji często wymagane przez GPT, EFI system partition (ESP) i Microsoft Reserved Partition (MSR). Partycja ESP musi znajdować się na pierwszym dysku w systemie i jest wymagana do uruchomienia systemu operacyjnego. Na innych dyskach nie jest obowiązkowa. W wypadku instalacji wersji 64 bitowej systemu Windows Server 2008, proces instalacyjny tworzy zarówno ESP jak i MSR. Tworzenie woluminu na dysku podstawowym. W celu stworzenia nowego woluminu wybieramy interesujący nas dysk, klikamy go prawym przyciskiem myszy na przestrzeni Unallocated i z menu kontekstowego wybieramy polecenie New Simple Volume. Zostanie uruchomiony Wizard, w którym podajemy wielkość woluminu, przypisujemy literę dysku lub ścieżkę (punkt montowania) oraz wybieramy system plików. • Litera dysku – najczęściej dla woluminu przypisujemy literę z alfabetu. Dzięki temu upraszczamy odwoływanie się do tego zasobu. • Dysk zainstalowany – możemy przypisać punkt montowania dysku w dowolnym pustym folderze na innym lokalnym woluminie sformatowanym w systemie NTFS. Podobny jest do skrótu wskazującego na partycję lub wolumin. Użytkownik odwołuje się do niego poprzez zdefiniowaną nazwę a nie literę dysku. • System plików – struktura używana do organizowania danych na dysku. Po zainstalowaniu nowego dysku twardego, zanim będziemy mogli przechowywać na nim dane lub programy, należy go sformatować wybierając system plików: • NTFS – preferowany system plików, zdolny do automatycznego odzyskiwania sprawności po niektórych błędach dyskowych, umożliwiający obsługę dużych dysków. Rozszerzone Strona 4/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami zabezpieczenia przechowywanych danych z możliwością nadawania uprawnień do poszczególnych plików i folderów oraz z wbudowanym szyfrowaniem. • FAT32 – wraz z mniej użytecznym FAT używane były przez wcześniejsze wersje systemu operacyjnego Windows (Windows95, Windows 98 i Millenium). Nie posiada zabezpieczeń takich jak NTFS – każdy użytkownik, który ma dostęp do partycji lub woluminu może czytać wszystkie znajdujące się tam pliki. Posiada ograniczenia wielkości partycji do 32 GB i maksymalnej wielkości pliku 4 GB. Tab. 1 Porównanie cech trzech systemów plików FAT FAT 32 NTFS Maksymalny rozmiar partycji 4 GB 32 GB 2 TB Rozmiar sektora Od 16 KB do 64 KB Od 4 KB Od 4 KB Zabezpiecznia Atrybuty pliku Atrybuty pliku Uprawnienia dostępu do pliku i folderu oraz szyfrowanie Kompresja - - Plików, folderów i dysków Rozszerzanie woluminu podstawowego Możemy dodać więcej przestrzeni do istniejącej partycji podstawowej lub dysku logicznego rozszerzając je na przyległą, nieużywaną przestrzeń na tym samym dysku fizycznym. Aby to wykonać wolumin musi być niesformatowany, lub sformatowany w systemie plików NTFS. W celu rozszerzenia podstawowego woluminu w narzędziu Disk Manager klikamy prawym przyciskiem myszy wolumin, który chcemy rozszerzyć i z menu kontekstowego wybieramy polecenie Extend Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się na ekranie. Zmniejszenie woluminu podstawowego Możemy zmniejszyć przestrzeń używaną przez partycje podstawowe lub dyski logiczne tworząc przyległe, nieużywane miejsce na tym samym dysku. Na przykład, jeśli potrzebujemy dodatkowej partycji a nie możemy dołożyć nowego dysku to wystarczy zmniejszyć istniejącą partycję a odzyskaną przestrzeń wykorzystać na stworzenie nowej partycji. Operacja ta jest możliwa tylko dla woluminów podstawowych sformatowanych w systemie NTFS i nieposiadających plików systemowych. W czasie zmniejszania partycji pliki na dysku są realokowane w celu uzyskania wolnego miejsca. Aby zmniejszyć wolumin podstawowy korzystając z narzędzia Disk Manager klikamy prawym przyciskiem myszy wolumin, który chcemy zmniejszyć i z menu kontekstowego wybieramy polecenie Shrink Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się na ekranie. Zmiana dysku podstawowego na dynamiczny Dyski dynamiczne posiadają większą funkcjonalność niż dyski podstawowe, ponieważ umożliwiają tworzenie woluminów składających się z przestrzeni należących do kilku dysków fizycznych i pozwalają tworzyć dyski odporne na awarię (RIDE-0 oraz RAID-5). Woluminy na dyskach dynamicznych nazywane są woluminami dynamicznymi. Bez względu na to, czy dyski dynamiczne używają stylu partycji MBR czy GPT, możemy utworzyć do 2000 dynamicznych woluminów (zalecana liczba woluminów dynamicznych nie powinna przekraczać 32). W celu konwersji dysku podstawowego na dysk dynamiczny należy w programie Disk Manager kliknąć prawym przyciskiem myszy dysk podstawowy, który chcemy konwertować i z menu kontekstowego wybrać polecenie Convert to Dynamic Disk. Należy postępować zgodnie z instrukcjami pojawiającymi się na ekranie. Strona 5/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Tworzenie woluminu prostego Wolumin prosty (ang. simple volume) jest zbudowany z przestrzeni znajdującej się na jednym dysku dynamicznym. Przestrzeń ta może być ciągła lub mogą to być różne obszary. Wolumin prosty można rozszerzyć o przestrzeń znajdująca się na tym samym dysku lub dysku dodatkowym. Jeśli wolumin prosty zostanie rozszerzony na inne dyski dynamiczne to staje się woluminem łączonym. Wolumin prosty tworzymy w narzędziu Disk Manager klikając prawym przyciskiem myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu kontekstowego wybieramy polecenie New Simple Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się na ekranie. Tworzenie woluminu łączonego Wolumin łączony (ang. spanned volume) zawiera przestrzeń dyskową z więcej niż jednego fizycznego dysku. Jeśli wolumin prosty nie jest woluminem systemowym lub rozruchowym, możemy rozszerzyć go na inne dyski tworząc wolumin łączony. Do stworzenia takiego woluminu potrzebne są przynajmniej dwa dyski dynamiczne (maksymalnie można wykorzystać 32 dyski) połączone w jedną całość. W celu stworzenia woluminu łączonego należy w programie Disk Manager kliknąć prawym przyciskiem myszy niewykorzystane miejsce na wybranym dysku dynamicznym i z menu kontekstowego wybrać polecenie New Spanned Volume. Postępować zgodnie z instrukcjami pojawiającymi się na ekranie Tworzenie woluminu rozłożonego Wolumin rozłożony (ang. striped volume) jest woluminem dynamicznym, na którym dane są przechowywane naprzemiennie na dwóch lub więcej dyskach fizycznych. Zapisywane dane dzielone są na bloki tworzące pasek a następnie są zapisywane jednocześnie na wszystkich dyskach wchodzących w skład woluminu. Dzięki temu wolumin rozłożony oferuje dużą wydajność - dostęp do danych rozłożonych na wielu dyskach jest realizowany z wykorzystaniem wielu głowic jednocześnie. Pamiętać jednak należy, że rozwiązanie takie nie jest odporne na awarie, jeśli jeden z dysków ulegnie uszkodzeniu tracimy dostęp do wszystkich danych. Wolumin rozłożony nie może być rozszerzany. Wolumin rozłożony tworzymy przy pomocy narzędzia Disk Manager. Klikamy prawym przyciskiem myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu kontekstowego wybieramy polecenie New Striped Volume. Postępujemy zgodnie z instrukcjami pojawiającymi się na ekranie. Tworzenie woluminu dublowanego Wolumin dublowany (ang. mirrored volume) zwany RAID-1, jest woluminem odpornym na uszkodzenia. Dane z jednego dysku są kopiowane i zapisywane na drugi dysk. Zawartość dysków jest identyczna, a w razie awarii jednego z nich dane są nadal dostępne na dysku drugim. Wolumin dublowany nie może być rozszerzony. W celu stworzenia woluminu dublowanego należy w programie Disk Manager kliknąć prawym przyciskiem myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu kontekstowego wybrać polecenie New Mirrored Volume. Postępować zgodnie z instrukcjami pojawiającymi się na ekranie. Tworzenie woluminu RAID-5 Wolumin RAID-5 jest woluminem odpornym na uszkodzenia. Zapis danych odbywa się na minimum trzech dyskach fizycznych. Oprócz danych na dyski zapisywane są dane nadmiarowe (wyliczana wartość) służące do rekonstrukcji danych w razie awarii. Jeśli jeden z dysków fizycznych ulegnie Strona 6/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami uszkodzeniu, można odtworzyć dane, które były na nim przechowywane na podstawie danych z innych dysków i danych nadmiarowych. Wolumin RAID-5 nie może być dublowany i rozszerzony. Aby stworzyć woluminu RAID-5 należy w programie Disk Manager kliknąć prawym przyciskiem myszy wolne miejsce na dysku dynamicznym, na którym chcemy stworzyć wolumin i z menu kontekstowego wybrać polecenie New Mirrored Volume. Postępować zgodnie z instrukcjami pojawiającymi się na ekranie. Narzędzie wiersza polecenia DiskPart Diskpart.exe jest narzędziem wiersza poleceń umożliwiającym zarządzanie obiektami (dyskami, partycjami lub woluminami) przy użyciu skryptów lub poprzez bezpośrednie wydawanie komend. Przed użyciem komendy narzędzia Diskpart, należy najpierw wylistować, a potem wybrać obiekt, którego dane operacje będą dotyczyć i ustawić na nim fokus. W celu wyświetlenia dostępnych obiektów i ustalenia ich numerów lub liter dysków należy użyć komend list disk, list volume lub list partition. Komendy list disk i list volume wyświetlają wszystkie dyski i woluminy w komputerze. Komenda list partition wyświetli tylko partycje na dysku, na którym jest ustawiony fokus. Możemy wybrać obiekt posługując się jego numerem lub literą dysku np. disk 0, partition 1, volume 3 lub volume C. Po wybraniu obiektu, fokus pozostaje ustawiony na nim, dopóki nie ustawimy go na innym obiekcie. Niektóre komendy automatycznie zmieniają fokus. Na przykład, kiedy tworzymy nową partycję, fokus automatycznie zostanie ustawiony na niej. Podsumowanie W tym rozdziale przedstawione zostały narzędzia Disk Manager i DiskPart. Zostało zademonstrowane, w jaki sposób przy ich pomocy zarządzać dyskami, partycjami i woluminami. Omówiono dostępne style partycji oraz systemy plików FAT32 i NTFS. Zaprezentowano dyski podstawowe i dynamiczne i związane z nimi funkcjonalności, w tym dyski odporne na awarie. Przykładowe rozwiązanie W celu realizacji postawionego zadania posłużymy się narzędziem Disk Management. Zaczniemy od rozszerzenia partycji systemowej. W konsoli Disk Management wybieramy Disk 0 i klikamy prawym przyciskiem dysk C (Rys. 2). W menu kontekstowym wybieramy polecenie Extend Volume… W oknie Welcome to the Extend Volume Wizard klikamy przycisk Next. W oknie Select Disks w sekcji Select the amount of Spice in MB wpisujemy 1024 i klikamy Next. W oknie Completing the Extend volume Wizard zapoznajemy się z podsumowaniem i klikamy przycisk Finish. Rys. 2 Fragment narzędzia Disk Manager - rozszerzanie partycji systemowej Chcąc zabezpieczyć nasze dane przed awarią skonfigurujemy dyski odporne na awarie. Zanim do tego przejdziemy, trzeba je najpierw konwertować na dyski dynamiczne. W tym celu klikamy dowolny z dysków (Disk 0, Disk 1 lub Disk 2) prawym przyciskiem myszy i z menu kontekstowego wybieramy polecenie Convert to Dynamic Disk. W oknie Convert to Dynamic Disk należy wskazać dyski, które chcemy konwertować – w naszym przypadku zaznaczamy wszystkie i klikamy OK. Zostanie wyświetlone okno Disk to Convert, w którym będzie podana informacja, które z Strona 7/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami wybranych dysków mogą być konwertowane na dyski dynamiczne. Po kliknięciu przycisku Convert pojawi się okno informujące, że po konwersji tych dysków na dynamiczne nie będzie można uruchamiać systemu z żadnego woluminu oprócz tego, na którym system jest aktualnie. Potwierdzamy chęć konwersji przyciskiem Yes. Teraz zabezpieczymy nasz wolumin systemowy robiąc jego kopię lustrzaną na inny dysk. W tym celu klikamy na woluminie C prawym przyciskiem myszy i z menu kontekstowego wybieramy polecenie Add Mirror. W oknie Add mirror należy wybrać dysk fizyczny, na którym będzie przechowywany zdublowany wolumin. Zaznaczamy Disk 1 i klikamy przycisk Add Mirror. Na dysku Disk 1 zostanie stworzony wolumin o takiej samej wielkości, co wolumin systemowy na dysku Disk 0. Następnie zostanie uruchomiony proces synchronizacji, w którym wszystkie dane z dysku źródłowego będą przekopiowywane na dysk docelowy. Do czasu jego zakończenia dysk Disk 1 będzie oznaczony informacyjną ikoną (trójkąt z wykrzyknikiem) (Rys. 3). Synchronizacja zdublowanych woluminów może trwać nawet kilka godzin, lecz nie przeszkadza to w normalnej eksploatacji woluminu. Rys. 3 Synchronizacja dysków zdublowanych Następnym krokiem będzie stworzenie 2 GB woluminu Raporty na dysku Disk 0, stworzenie na nim folderu Finanse i podłączenie do niego woluminu 3 GB znajdującego się na dysku Disk 2. Aby to wykonać klikamy prawym przyciskiem nieużywaną przestrzeń na dysku Disk 0 (ang. Unallocated). W menu kontekstowym wybieramy polecenie New Simple Volume i w Wizardzie, który się uruchomi klikamy przycisk Next. W oknie Specify Volume Size w sekcji Simple volume size in MB wpisujemy 2048 i klikamy przycisk Next. W oknie Assign Drive Letter or Path upewniamy się, że w sekcji Assign the following drive letter jest wybrana litera E i naciskamy przycisk Next. W oknie Format Partition upewniamy się, że w sekcji File system jest wybrana opcja NTFS, a w sekcji Volume Label wpisujemy Raporty. Stawiamy znacznik przy opcji Perform a quick format (szybkiego formatowania możemy używać, jeżeli jesteśmy pewni, że dysk nie zawiera błędów) i naciskamy przycisk Next. Sprawdzamy podsumowanie wybranych opcji i naciskamy przycisk Finish. Korzystając z Exploratora Windows na woluminie Raporty tworzymy folder Finanse. W programie Disk Manager klikamy prawym przyciskiem myszy nieużywaną przestrzeń dysku Disk 2, z menu kontekstowego wybieramy polecenie New Simple Volume i w oknie powitalnym Wizarda klikamy przycisk Next. W oknie Specify Volume Size w sekcji Simple volume size in MB wpisujemy wartość 3072 i naciskamy Next. W oknie Assign Drive Letter or Path zaznaczamy opcję Mount in the following empty NTFS folder, wpisujemy ścieżkę do utworzonego wcześniej folderu E:\Finanse i naciskamy przycisk Next. W oknie Format Volume upewniamy się, że w sekcji File system jest wybrana opcja NTFS, a w sekcji Volume Label wpisujemy Raporty Finanse. Stawiamy znacznik przy opcji Perform a quick format i naciskamy przycisk Next. Sprawdzamy podsumowanie wybranych opcji i naciskamy przycisk Finish. Korzystając z Exploratora Windows sprawdzamy, czy operacja powiodła się. W celu utworzenia woluminu pracującego w RAID-5 w narzędziu Disk Manager klikamy prawym przyciskiem myszy nieużywaną przestrzeń dowolnego dysku w systemie i w menu kontekstowym wybieramy polecenie New RAID-5 Volume. W oknie Welcome to the New RAID-5 volume Wizard klikamy przycisk Next. W oknie Select Disk w sekcji Available wyświetlane są dostępne dyski, a naszym zadaniem jest wybranie tych, które będą uczestniczyły w RAID-5. Zaznaczamy jeden z Strona 8/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami wybranych dysków i klikamy przycisk Add>. Powoduje to wyświetlenie go w sekcji Selected. Operację powtarzamy dla kolejnego dysku. W sekcji Selected muszą znajdować się przynajmniej 3 dyski. Dostępna wielkość dla woluminu RAID-5 równa jest najmniejszej, nieużywanej przestrzeni z dysków go tworzących. W polu Select the amount of space in MB wpisujemy 2048 i klikamy przycisk Next. W oknie Assign Drive Letter or Path nie zmieniając zaproponowanej litery dysku naciskamy przycisk Next. W oknie Format Volume upewniamy się, że w sekcji File system jest wybrana opcja NTFS, a w sekcji Volume Label wpisujemy Dane. Stawiamy znacznik przy opcji Perform a quick format i naciskamy przycisk Next. Sprawdzamy podsumowanie wybranych opcji i naciskamy przycisk Finish. Korzystając z narzędzia DiskPart wyświetlimy szczegółowe informacje o dysku Disk 0 i woluminach na nim istniejących. Uruchamiamy wiersz poleceń i wydajemy polecenie diskpart. Następnie wpisujemy polecenie list disk. Jako jego wynik zostanie wyświetlona informacja o dyskach dostępnych w systemie. Chcąc ustawić fokus na dysku Disk 0, wprowadzamy komendę select disk 0. Aby wyświetlić szczegółowe informacje wpisujemy detail disk. Otrzymujemy między innymi informacje o producencie i modelu dysku (w przypadku używania maszyn wirtualnych będzie to Virtual HD ATA Device), a także o istniejących na nim woluminach i stanie ich zdrowia(Rys. 4). . Rys. 4 Wynik polecenia detail disk narzędzia DiskPart Aby zakończyć działanie narzędzia DiskPart w linii komend wpisujemy exit. Porady praktyczne • MBR obsługuje woluminy o rozmiarze do 4 TB, a GPT do 18 Exabajtów • Pamiętaj, że GPT nie wspiera dysków wymiennych takich jak USB, Firewire oraz dysków podłączonych jako magazyn dla klastra. • Chcąc skonfigurować dysk zainstalowany pamiętaj, że ścieżka punktu montowania może wskazywac tylko na pusty folder na dysku podstawowym lub dynamicznym z formatem plików NTFS. • Aby zmodyfikować ścieżkę folderu, w którym jest zamontowany dysk, musisz usunąć i stworzyć ją na nowo. Nie można edytować jej bezpośrednio. • Usuwanie i reorganizacja partycji lub woluminów często wiąże się z niszczeniem istniejących danych. Nie zapomnij o zrobieniu wcześniej ich kopii zapasowej. • Wiele z funkcji serwera jest możliwych do wykorzystanie tylko wtedy, gdy używanym systemem plików jest NTFS, np. nadawanie uprawnień do plików i folderów, szyfrowanie. • Stosując dyski zainstalowane możemy używać więcej niż 26 dysków na komputerze lokalnym (omijamy ograniczenie związane oznaczeniami literowymi) • Korzystając z dysków odpornych na awarie (RAID-1, RAID-5), wskazane jest, by używać dyski pochodzące od tego samego producenta, tego samego modelu i o takiej samej pojemności. Strona 9/15 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • Moduł 3 Zarządzanie dyskami Warto także posiadać takie same kontrolery i dyski w zapasie, by w razie awarii szybko je wymienić minimalizując w ten sam sposób ewentualny czas przestoju. Należy korzystać z podglądu zdarzeń w dzienniku systemowym w celu wykrycia ewentualnych problemów z woluminem RAID-5, a także określenia ich przyczyn (uszkodzenie dysku, awaria kontrolera) Przed konwersją dysku podstawowego na dynamiczny, przeanalizuj, czy będziesz korzystał z funkcjonalności dostępnych w dyskach dynamicznych. Jeśli nie chcesz używać woluminów łączonych, rozłożonych, dublowanych lub RAID-5 pozostaw dysk, jako dysk podstawowy Kiedy zmniejszasz wolumin, niektóre nieprzenaszalne pliki (np. plik wymiany, miejsce składowania shadow copy) nie mogą być automatycznie realokowane i w związku z tym nie możesz zmniejszyć zajmowanej przez wolumin przestrzeni poniżej punktu zajmowanego przez taki plik. Jeśli chcesz zmniejszyć partycję bardziej, przenieś plik wymiany na inny dysk, skasuj pliki shadow copies i zmniejsz wolumin. Na koniec przenieś plik wymiany z powrotem. Jeśli liczba uszkodzonych sektorów (ang. bad sectors) wykryta przez dynamiczną funkcję ich remapowania jest zbyt duża, nie będziesz mógł zmniejszyć wielkości woluminu. W takim wypadku przenieś dane i wymień dysk Do przenoszenia danych między dyskami nie używaj narzędzi kopiujących na poziomie bloków. Kopiują one także tablicę uszkodzonych sektorów i nowy dysk będzie miał je zaznaczone, jako uszkodzone mimo że tak nie jest. Dyski dynamiczne nie wspierają komputerów przenośnych, dysków wymiennych, dołączanych poprzez interfejs Universal Serial Bus (USB) lub IEEE 1394 (zwanych także FireWire), a także dysków podłączonych przez współdzieloną magistralę SCSI. Nie można konwertować woluminu dynamicznego na partycję. Trzeba najpierw przenieść wszystkie dane, usunąć wszystkie istniejące na dysku woluminy dynamiczne i potem konwertować dysk na dysk podstawowy. Jeśli przekonwertujesz na dysk dynamiczny dysk zawierający partycje startową i systemową, możesz zdublować ją na inny dysk dynamiczny. Dzięki temu, w wypadku uszkodzenia woluminu startowego z systemem możesz uruchomić komputer z dysku posiadającego lustrzaną kopię. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • • • • rozumiesz różnice między dyskami podstawowymi i dynamicznymi umiesz zarządzać dyskami przy pomocy narzędzia Disk Manager i DiskPart. potrafisz tworzyć partycje i woluminy a także zmieniać ich parametry wiesz, jakie są różnice między stylami partycji MBR i GPT, oraz systemem plików NTFS i FAT32 • wiesz, co to są dyski odporne na awarię i jak one działają Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Rand Morimoto, Michael Noel, Omar Droubi, Ross Mistry, Chris Amaris, Windows Server 2008 PL. Księga Experta., Helion, 2009 W części 9 w rozdziale 28 „Odporność na błędy na poziomie systemu plików i zarządzanie nim” zostały szerzej omówione zagadnienia poruszane w tym module. 2. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Strona 10/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Informacje dotyczące tego modułu znajdują się w rozdziale trzecim. 3. Disk Management http://technet.microsoft.com/en-us/library/cc770943.aspx Opis narzędzia Disk Manager na witrynie Technet. Strona 11/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Laboratorium podstawowe Problem 1 (czas realizacji 20 min) Jesteś administratorem w przedsiębiorstwie. Na nowo zainstalowanym serwerze musisz stworzyć strukturę dysków logicznych. Serwer posiada 3 dyski fizyczne. Na jednym z nich, na wydzielonej przestrzeni jest zainstalowany system operacyjny. Musisz stworzyć dysk, na którym będą przechowywane dane. Chcesz stworzyć dodatkowy dysk logiczny, gdzie będą zapisywane raporty. Aby struktura folderów była przejrzysta, postanawiasz dysk z raportami zamontować w folderze Raporty na woluminie Dane. Stwierdzasz, że stworzone woluminy są zbyt małe, dlatego rozszerzasz je korzystając z odzyskanej przestrzeni na dysku Disk 0 i wykorzystując przestrzeń dysku Disk 1. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. 2. Zaloguj się na konto z uprawnieniami administracyjnymi • • • • • 3. Uruchomienie programu Disk Management • Wybierz Start -> Administrative Tools -> Computer Management. • W oknie User Account Control wybierz Continue. • W drzewie consoli rozwiń Storage i wybierz Disk Management. 4. Stworzenie nowego woluminu prostego • W dolnej części okna kliknij prawym przyciskiem myszy pole Unallocated dysku Disk 0. • Z menu kontekstowego wybierz New Simple Volume. • W oknie Wizarda kliknij Next. • W oknie Specify Volume Size wpisz wielkość 1000 i naciśnij Next. • W oknie Assign Drive Lettter or Path kliknij Next. • W oknie Format Partition w polu Volume label wpisz Dane i naciśnij Next. • W oknie podsumowania kliknij Finish. 5. Rozszerzenie istniejącej partycji • • • • 6. Stworzenie woluminu i podczepienie go w istniejącym folderze • Na dysku E:\ stwórz folder Raporty. • W narzędziu Disk Management, w dolnej części okna kliknij prawym przyciskiem myszy pole Unallocated dysku Disk 0. • Z menu kontekstowego wybierz New Simple Volume. • W oknie Wizarda kliknij Next. • W oknie Specify Volume Size naciśnij Next. • W oknie Assign Drive Lettter or Path, zaznacz opcję Mount in the following empty NTFS folder, w dostępnym polu wpisz E:\Raporty i naciśnij Next. Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwaKomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Zaznacz partycję Dane i kliknij na niej prawym przyciskiem myszy. Z menu kontekstowego wybierz Extend Volume. W oknie wizarda kliknij Next. W oknie Select Disks, w polu Select the amount of space in MB: wpisz 500 i naciśnij Next. • W oknie podsumowania kliknij Finish. Strona 12/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami • W oknie Format Partition w polu Volume Label wpisz Raporty Finansowe i naciśnij Next. • W oknie podsumowania kliknij Finish. • W Eksploratorze Windows zobacz strukturę stworzoną na dysku Dane (E:) (E:). • Stwórz w folderze Raporty plik test.txt • W narzędziu Disk Management,, w dolnej części okna kliknij prawym przyciskiem myszy na wolumenie Raporty Finansowe i wybierz Change Drive Letter and Paths… • W oknie Change Drive Letter and Paths for Raporty Finansowe wybierz Add Add. • W oknie Add drive Letter or Path naciśnij OK. • W Eksploratorze Windows zobacz strukturę stworzoną na dysku Raporty Finansowe (F:). • Stwórz na dysku Raporty Finansowe (F:) folder o nazwie Raporty dzienne dzienne. • Przejdź na dysk E: do folderu Raporty i zobacz, że folder Raporty dzienne znajduje się w tej lokalizacji. 7. Odzyskiwanie wolnego miejsca na woluminie • W narzędziu Disk Management,, w dolnej części okna kliknij prawym przyciskiem myszy wolumenie Dane i wybierz Shrink Volume. Volume • W oknie Shrink E: naciśnij Shrink. Zobacz, że na dysku pojawiła się wolna przestrzeń. 8. Konwersja dysku na dynamiczny • W narzędziu Disk Management,, w dolnej części okna kliknij prawym przyciskiem myszy Disk 0 i z menu kontekstowego wybierz Convert to Dynamic Disk… • W oknie Convert to Dynamic Disk naciśnij OK. • W oknie Disk to Convert naciśnij Convert. • W oknie Disk Management naciśnij Yes. 9. Powiększenie • Zaznacz wolumin Raporty Finansowe i kliknij na niej prawym woluminu Raporty przyciskiem myszy. • Z menu kontekstowego wybierz Extend Volume. • W oknie Wizarda W kliknij Next. • W oknie Select Disks naciśnij Next. • W oknie podsumowania kliknij Finish. 10. Powiększenie woluminu Dane o przestrzeń na innym dysku fizycznym • • • • Zaznacz partycję Dane i kliknij na niej prawym przyciskiem myszy. Z menu kontekstowego wybierz Extend Volume. W oknie Wizarda W kliknij Next. W oknie Select Disks, w części Available zaznacz Disk 1 i naciśnij przycisk ADD>. • W polu Select the amount of space in MB: wpisz 1500 i naciśnij Next. • Naciśnij Finish. • W oknie Disk Management naciśnik Yes. Strona 13/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami Problem 2 (czas realizacji 25 min) Jesteś administratorem w przedsiębiorstwie. Serwer którym administrujesz przechowuje strategiczne dane. Chcesz się zabezpieczyć przed awarią i związanym z tym ewentualnym ograniczeniem dostępności serwera, dlatego decydujesz się, by wykorzystać dyski odporne na awarię. Postanawiasz zdublować dysk systemowy. systemowy. Aby zwiększyć szybkość operacji na dysku z danymi na wolumenie Dane implementujesz Stripe.. Wolumin, na którym Twoi użytkownicy będą zapisywać raporty tworzysz jako RAID-5. Zadanie Tok postępowania 1. Usunięcie woluminów • Zaznacz volumin Dane i kliknij na nim prawym przyciskiem myszy. • Z menu kontekstowego wybierz Delete Volume. • W oknie Delete spanned volume naciśnij Yes. Jeśli pojawi się informacja, że dysk jest używany naciśnij Yes. • Zaznacz wolumin Raporty Finansowe i kliknij na niej prawym przyciskiem myszy. • Z menu kontekstowego wybierz Delete Volume. Jeśli pojawi się informacja, że dysk jest używany naciśnij Yes. • W oknie Delete simple volume naciśnij Yes. 2. Stworzenie • Zaznacz wolumin C: i kliknij na nim prawym przyciskiem myszy. mirroru woluminu • Z menu kontekstowego wybierz Add Mirror. systemowego • W oknie Add Mirror zaznacz Disk 1 i naciśnij Add Mirror. • W oknie Disk Management naciśnij Yes. Poczekaj na zakończenie synchronizacji voluminów. voluminów 3. Stworzenie woluminu typu stripe • W dolnej części okna kliknij prawym przyciskiem myszy pole Unallocated dysku Disk 0. • Z menu kontekstowego wybierz New Striped Volume… • W oknie Wizarda kliknij Next. • W oknie Select Disks, w polu Select the amount of space in MB wpisz 3000 3000. • W oknie Select Disks, w części Available zaznacz Disk 1 i naciśnij przycisk ADD. • Powtórz powyższą czynność dla dysku Disk 2 i naciśnij przycisk Next. • W oknie Assign Drive Letter or Path kliknij Next. • W oknie Format Volume w polu Volume Label wpisz Dane i naciśnij Next Next. • Naciśnij Naciś Finish. • W oknie Disk Management naciśnij Yes. 4. Stworzenie woluminu typu RAID- 5 • W dolnej części okna kliknij prawym przyciskiem myszy pole Unallocated dysku Disk 0. • Z menu kontekstowego wybierz New RAID-5 Volume… Volume • W oknie Wizarda kliknij Next. • W oknie Select Disks, w części Available zaznacz Disk 1 i naciśnij przycisk ADD>. Strona 14/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 3 Zarządzanie dyskami • Powtórz powyższą czynność dla dysku Disk 2 i naciśnij przycisk Next. • W oknie Assign Drive Lettter or Path kliknij Next. • W oknie Format Partition w polu Volume Label wpisz Dokumenty Publiczne i naciśnij Next. • W oknie podsumowania kliknij Finish. Poczekaj chwilę na utworzenie woluminu. Laboratorium rozszerzone Strona 15/15 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 4 Wersja 1 Wprowadzenie do Active Directory Spis treści Wprowadzenie do Active Directory ..................................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 7 Uwagi dla studenta ...................................................................................................................... 7 Dodatkowe źródła informacji....................................................................................................... 7 Laboratorium podstawowe .................................................................................................................. 8 Problem 1 (czas realizacji 25 min)................................................................................................ 8 Problem 2 (czas realizacji 15 min) ............................................................................................... 9 Laboratorium rozszerzone ................................................................................................................. 11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory Informacje o module Opis modułu W module tym znajdziesz informacje na temat funkcjonowania usługi Active Directory oraz korzyści z jej stosowania. Poznasz budowę logiczna i fizyczną Active Directory. Dowiesz się, w jaki sposób zarządzać obiektami jednostek organizacyjnych, przy pomocy różnych narzędzi. Nauczysz się delegować kontrolę administracyjną do wybranej części drzewa katalogu. Cel modułu Celem modułu jest zapoznanie z usługą Active Directory, oraz narzędziami wykorzystywanymi do zarządzania nią, a także z jednostkami organizacyjnymi wykorzystywanymi do uproszczenia administracji obiektami. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, co to jest usługa katalogowa Active Directory, oraz będziesz znał jej budowę logiczna i fizyczną • potrafił tworzyć jednostki organizacyjne i delegować kontrolę administracyjną • rozumiał, w jaki sposób usługa Active Directory pomaga zarządzać zasobami w sieci Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory Przygotowanie teoretyczne Przykładowy problem W Twojej firmie działa usługa katalogowa Active Directory. Wiesz, że przy jej pomocy można znacznie uprościć proces administrowania środowiskiem informatycznym w przedsiębiorstwie. W przyszłości będziesz ją wykorzystywał do zarządzania komputerami i środowiskiem pracy użytkowników. Chcesz przy wykorzystaniu jednostek organizacyjnych stworzyć hierarchię, która będzie odpowiadała strukturze Twojej firmy i ułatwi później zarządzanie stacjami przyłączonymi do domeny. Stworzysz w testowej jednostce organizacyjnej IT Test, jednostkę odpowiadającą Twojemu miastu. W niej trzy jednostki związane z działami w twojej firmie: Produkcja, Logistyka, Ksiegowość. W każdej z nich stworzysz jednostkę Komputery i Użytkownicy. Wykorzystasz do tego różne narzędzia by ocenić, którymi pracuje się najwygodniej. Dla kierownika działu księgowości przypiszesz uprawnienia pozwalające na resetowanie haseł podległych mu użytkowników. Podstawy teoretyczne Usługa katalogowa Active Directory (ang. Active Directory Domain Services) udostępnia rozproszoną bazę danych, która przechowuje i zarządza informacjami o zasobach sieci oraz danymi specyficznymi dla aplikacji potrafiących z tej bazy korzystać. Administratorzy mogą używać AD DS do organizowania elementów sieci takich jak użytkownicy, komputery i inne urządzenia w hierarchiczną strukturę. Struktura ta zawiera las, domeny w lesie, a w nich jednostki organizacyjne. Usługi katalogowe umożliwiają użytkownikom pojedyncze logowanie, dzięki czemu autoryzowani użytkownicy mają dostęp do wszystkich zasobów sieciowych. Funkcje Active Directory Usługi katalogowe pełnią następujące funkcje: • Centralna kontrola zasobów sieciowych takich jak serwery, udostępnione pliki i drukarki sprawia, że tylko autoryzowani użytkownicy mają do nich dostęp • Możliwość centralnej administracji rozproszonymi komputerami, usługami sieciowymi i aplikacjami przy użyciu narzędzi o spójnym interfejsie. • Bezpieczne przechowywanie wszystkich zasobów, jako obiektów w logicznej, hierarchicznej strukturze. Logiczna struktura AD DS Logiczna struktura Active Directory składa się z następujących elementów • Obiekt – najbardziej podstawowy element. Klasa obiektu jest szablonem dla typu obiektu, który można stworzyć w Active Directory. Każda klasa obiektu jest zdefiniowana, jako grupa atrybutów definiujących możliwe wartości, które można przypisać do obiektu. Każdy obiekt posiada unikalną kombinację wartości atrybutów. • Jednostka organizacyjna (OU) – obiekt-kontener, umożliwiający organizowanie innych obiektów w sposób ułatwiający wykonywanie czynności administracyjnych. Łączenie obiektów w jednostki organizacyjne powoduje, że łatwiej je wyszukiwać i administrować nimi. Można także delegować kontrolę do zarządzania jednostkami organizacyjnymi. Jednostki organizacyjne można zagnieżdżać w innych jednostkach, co jeszcze bardziej upraszcza administrowanie obiektami. • Domena – podstawowa jednostka funkcjonalna logicznej struktury Active Directory, jest zbiorem administracyjnie zdefiniowanych obiektów które dzielą wspólną bazę katalogu, zasady zabezpieczeń i relacje zaufania z innymi domenami. Drzewo domen – domeny, które są zgrupowane razem w hierarchiczna strukturę. Kiedy dodajemy następną domenę do drzewa, staje się ona „domeną dzieckiem” (ang. domain child). Domena, do której dziecko zostało przyłączone, nazywa się domeną rodzicem (ang. parent domain). Strona 3/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory Nazwa domeny dziecka jest kombinacją jej nazwy z nazwą domeny rodzica formie nazwy Domain Name System (DNS) np. corp.nwtraders.msft. Oznacza to, że drzewo posiada wspólną przestrzeń nazw DNS. • Las – kompletna instancja Active Directory, korzystająca ze wspólnego schematu, konfiguracji oraz wykazu globalnego. Może się składać z jednej lub kilku domen. Fizyczna struktura AD DS W odróżnieniu do logicznej struktury, modelującej administracyjne wymagania, struktura fizyczna Active Directory optymalizuje ruch sieciowy, określając, kiedy i gdzie wystąpi ruch związany z replikacją i logowaniem. Elementy struktury sieciowej to: • Kontrolery domeny – komputery z zainstalowanym systemem Microsoft Windows Server 2008 i usługą Active Directory. Każdy z nich przechowuje bazę katalogu i pełni funkcje związane z jej replikacją. Kontroler domeny może obsługiwać tylko jedną domenę. W celu zapewnienia ciągłości działania usług katalogowych, każda domena powinna posiadać więcej niż jeden kontroler domeny. • Site – grupa dobrze połączonych ze sobą komputerów. Po skonfigurowaniu site, kontrolery domeny w znajdujące się w nim, często się ze sobą komunikują redukując opóźnienia związane z replikacją między nimi. Site są tworzone w celu optymalizowania dostępnego pasma pomiędzy kontrolerami znajdującymi się w różnych lokalizacjach. • Partycje Active Directory – baza danych AD jest logicznie podzielona na partycje katalogu. Każda z nich jest jednostką replikacji posiadającą swoją własną topologię replikacji. Wszystkie kontrolery domeny w tym samym lesie maja dwie wspólne partycje katalogu: partycje schematu i konfiguracji. Dodatkowo, wszystkie kontrolery w tej samej domenie współdzielą tą sama partycję domeny. • Partycja domeny – zawiera replikę wszystkich obiektów w domenie, włączając w to użytkowników, grupy, komputery i jednostki organizacyjne. Partycja domeny jest replikowana tylko pomiędzy kontrolerami domeny znajdującymi się w tej samej domenie. • Partycja konfiguracji – zawiera topologię lasu. Jest tylko jedna partycja konfiguracji wspólna dla całego lasu. Przechowuje informacje dotyczące istniejących domen i site-ów, rozmieszczenia kontrolerów domen i istniejących połączeń pomiędzy nimi, oraz dostępnych usługach. Partycja konfiguracji jest replikowana pomiędzy wszystkimi kontrolerami w lesie. • Partycja schematu – zawiera schemat lasu. Replikowana pomiędzy wszystkimi kontrolerach domeny w lesie, przechowuje definicje wszystkich obiektów i atrybutów, które mogą być tworzone w katalogu, oraz zasady ich tworzenia i manipulowania nimi. • Opcjonalna partycja aplikacji – przechowuje informacje o aplikacjach w Active Directory. Każda aplikacja określa sposób przechowywania, kategoryzowania i użycia wykorzystywanych przez nią informacji. W przeciwieństwie do partycji domeny, partycja aplikacji nie może przechowywać obiektów zabezpieczeń takich jak konta użytkowników. W celu zabezpieczenia się przed niepotrzebną replikacją specyficznych partycji aplikacji, możemy zdefiniować, który z kontrolerów domeny w lesie będzie przechowywał jej kopię. Przykładem może być DNS zintegrowany z Active Directory – korzysta z dwóch partycji aplikacji: ForestDNSZones i DomainDNSZones. Masters Operations Kiedy zostanie zmodyfikowany któryś z obiektów w domenie, zmiana ta zostanie replikowana pomiędzy wszystkimi kontrolerami w domenie. Niektóre zmiany, np. dotyczące schematu są replikowane pomiędzy wszystkimi domenami w lesie. Taki typ replikacji nazywamy multimaster replication. Jeśli w jednym czasie na dwóch kontrolerach w domenie zostanie zmodyfikowany ten sam atrybut tego samego obiektu może występie konflikt replikacji. Aby temu zapobiec używamy Strona 4/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory single master replication, mechanizmu polegającego na wyznaczeniu jednego kontrolera domeny odpowiedzialnego za przeprowadzanie pewnych szczególnie wrażliwych modyfikacji w katalogu. Dzięki temu nie ma możliwości by zmiany te nastąpiły w jednym czasie w różnych miejscach w sieci. Active Directory używa single master replication do ważnych zmian takich jak dodanie nowej domeny lub zmiany schematu. Operacje używające single master replication są łączone razem w specyficzne role w lesie lub w domenie. Role te są nazywane operations master roles. Dla każdej z nich tylko jeden kontroler domeny, który jest odpowiedzialny za tę rolę może robić zmiany w katalogu i jest nazywany operations master dla danej roli. Active Directory przechowuje informacje o kontrolerach domeny, które są odpowiedzialne za specyficzne role. Active Directory definiuje pięć operations master roles, dwie związane z lasem i trzy z domeną. Role związane z lasem: • Schema master – kontroluje wszystkie zmiany związane ze schematem, zawierającym główną listę klas obiektów i atrybutów, które można użyć do tworzenia wszystkich obiektów AD takich jak użytkownicy, komputery lub drukarki • Domain naming master – kontroluje dodawanie i usuwanie domen w lesie. W czasie tworzenia nowej domeny, tylko kontroler, który przechowuje tę rolę może dokonać odpowiednich wpisów w AD. Chroni przed dodaniem domen o takich samych nazwach. Istnieje tylko jeden schema master i domain namig master w całym lesie Role związane z domeną: • Primary domain controller emulator (PDC) – pracuje jako Microsoft Windows NT primary domain controller wspierając kontrolery zapasowe (BDC) z systemem Windows NT. Zarządza zmianami haseł dla komputerów z systemem Windows NT, Windows 95 lub Windows 98. Minimalizuje opóźnienia replikacji związane ze zmianą hasła - kiedy klient z systemem Windows 2000 lub późniejszym zmienia hasło na kontrolerze domeny, jest ono natychmiast przesyłane do serwera posiadającego rolę emulatora PDC. Jest źródłem czasu dla wszystkich kontrolerów w domenie. • Relative identifier master (RID) - kontroler domeny, który przydziela blok RID-ów dla każdego kontrolera w domenie. Kiedy kontroler w domenie tworzy nowy podmiot zabezpieczeń (np. konto użytkownika, grupę, komputer), przypisuje do obiektu unikalny identyfikator (SID). Składa się on z identyfikatora domeny, który jest taki sam dla każdego obiektu tworzonego w tej domenie i RID-u, który jest unikalny w danej domenie. • Infrastructure master – kiedy obiekt jest przenoszony z jednej domeny do innej, infrastructure master uaktualnia obiekt odniesienia znajdujący się w domenie pierwotnej wskazujący na obiekt w nowej domenie. Obiekt odniesienia zawiera globalny unikalny identyfikator (GUID), nazwę wyróżniającą i SID. Nazwa wyróżniająca i względna nazwa wyróżniająca Komputery klienckie używają Lightweight Directory Access Protocol (LDAP) do przeszukiwania i modyfikowania obiektów w bazie Active Directory. • Nazwa wyróżniająca - LDAP używa nazwy reprezentującej obiekt w AD, jako serię komponentów powiązanych z logiczną strukturą. Identyfikuje domenę, w której obiekt się znajduje i kompletną ścieżkę, pod którą jest osiągalny. Nazwa wyróżniająca musi być unikalna w całym lesie. • Wględna nazwa wyróżniająca – nazwa unikalnie identyfikująca obiekt w kontenerze, w którym się znajduje. Nie może być dwóch obiektów o takiej samej nazwie w jednym kontenerze. Strona 5/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory Np. dla użytkownika Jan Kowalski znajdującego się w jednostce organizacyjnej Logistyka w domenie nwtraders.msft, każdy z elementów logicznej struktury jest reprezentowany przez następującą nazwę wyróżniającą: CN=Jan Kowalski,OU=Logistyka,DC=nwtraders,dc=msft • CN - nazwa ogólna (ang. common name) obiektu w kontenerze • OU – jednostka organizacyjna (ang. organizational unit) zawierająca obiekt. Jeśli obiekt znajduje się w zagnieżdżonych jednostkach to może być więcej wartości OU. • DC – komponent domeny (ang. domain komponent) taki jak „com”, „edu” czy „msft”. Zawsze są przynajmniej dwa komponenty domeny, chyba, że domena jest domena podrzędną. Narzędzia do zarządzania obiektami Active Directory Microsoft Windows Server 2008 udostępnia kilka narzędzi, przy pomocy których można tworzyć, modyfikować i usuwać obiekty w AD: • Active Directory Users and Computers – Przystawka do konsoli MMC do zarządzania jednostkami organizacyjnymi, użytkownikami u grupami. • Narzędzia wiersza poleceń usług katalogowych – Zbiór narzędzi (Dsadd,Dsmod,Dsrm) które w użyciu z parametrami pozwalają tworzyć, modyfikować i usuwać obiekty. Wygodne do użycia w skryptach. • Lightweight Directory Access Protocol Data Interchange Format Directory Exchange (Ldifde) – narzędzie wiersza poleceń do zarządzania obiektami. Używa pliku wejściowego zawierającego informacje o obiekcie i akcji, jakiej należy na nim wykonac. Informacje te są przechowywane, jako serie rekordów oddzielonych pustymi liniami. • Windows Script Host – można tworzyć obiekty używając aplikacji Windows lub skryptów Windows korzystając z komponentów udostępnianych przez Active Directory Service Interface (ADSI). Jednostki organizacyjne Szczególnie użytecznymi obiektami w AD są jednostki organizacyjne. Są to kontenery, w których mogą się znajdować użytkownicy, grupy, komputery, inne jednostki organizacyjne, a także opublikowane w usłudze AD zasoby plikowe i drukarki. Jednostki organizacyjne są najmniejszymi elementami, do których można przypisać zasady grup (GPO) lub delegować kontrolę administratorską. Wykorzystując je, można tworzyć kontenery w domenie reprezentujące hierarchiczną, logiczną strukturę organizacji. Zagnieżdżając jednostki organizacyjne w innych można modelować strukturę firmy minimalizując liczbę domen wymaganych w sieci. Delegowanie kontroli do jednostek organizacyjnych Delegowanie kontroli administracyjnej do jednostek organizacyjnych umożliwia przypisanie użytkownikom lub grupom uprawnień do zarządzania określonymi obiektami w usłudze Active Directory. Dzięki temu można ograniczyć grupę administratorów posiadających uprawnienia do całej struktury AD dając im możliwość zarządzania tylko jej pewną częścią, a także pozwala przydzielić podstawowe zadania administracyjne zwykłym użytkownikom (np. resetowanie haseł). Kontrolę administracyjną można delegować na trzy sposoby: • Delegowanie uprawnień do zarządzania całym kontenerem, a co za tym idzie wszystkimi znajdującymi się w nim obiektami • Delegowanie uprawnień do zarządzania (tworzenie, modyfikowanie, usuwanie) obiektami danego typu (użytkownicy, komputery, grupy) • Delegowanie uprawnień do modyfikowania określonych atrybutów wybranych obiektów, np. zmiana hasła użytkowników Kontrolę najwygodniej można delegować korzystając z kreatora delegowanie kontroli Delegation of Control Wizard dostępnego w konsoli Active Directory Users and Computers. Strona 6/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory Aby go uruchomić, należy wybrać z menu kontekstowego otworzonego na wybranej jednostce organizacyjnej polecenie Delegate Control. Zostanie uruchomiony Wizard, w którym należy wskazać użytkownika lub grupę, dla której wykonujemy akcję, wybrać z listy zadanie, jakie pozwolimy wykonywać i określić, czy będzie to dotyczyło wszystkich obiektów w jednostce czy tylko wybranych. Dodatkowe, specjalne uprawnienia niedostępne w kreatorze należy nadać bezpośrednio na obiekcie. Podsumowanie W tym rozdziale przedstawiona została usługa Active Directory. Omówiono jej budowę fizyczną i logiczną a także wyjaśniono pojecie master operations. Przedstawiono specyficzne obiekty, jakimi są jednostki organizacyjne oraz omówiono delegowanie kontroli administracyjnej do części struktury AD. Porady praktyczne • W jednostkach organizacyjnych nie mogą znajdować się obiekty z innych domen • Chcąc skorzystać z delegowania kontroli administracyjnej należy być członkiem grupy Account Operators, Domain Admins, lub Enterprise Admins. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • • • • rozumiesz, dlaczego stosuje się usługi katalogowe umiesz zarządzać jednostkami organizacyjnymi potrafisz delegować kontrolę administracyjną wiesz, jaka jest fizyczna i logiczna struktura AD Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Rand Morimoto, Michael Noel, Omar Droubi, Ross Mistry, Chris Amaris, Windows Server 2008 PL. Księga Experta., Helion, 2009 W części 2 zostały omówione zagadnienia związane z usługą Active Directory takie jak projektowanie usługi katalogowej, projektowanie struktury jednostek organizacyjnych i grup, infrastruktura Active Directory 2. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. W przewodniku znajdują się między innymi informacje na temat instalacji Windows Server 2008, wykonywania uaktualnienia i wykonywania dodatkowych zadań administracyjnych podczas instalacji. Informacje dotyczące tego modułu znajdują się w rozdziale drugim. Strona 7/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory Laboratorium podstawowe Problem 1 (czas realizacji 25 min) Jesteś administratorem w przedsiębiorstwie. Twoja firma rozwija się i przygotowuje się do otworzenia nowego oddziału w kolejnym mieście. Chcesz stworzyć testową strukturę jednostek organizacyjnych dla tej lokalizacji. Wiesz, że będą tam trzy działy. Dwa z nich, IT i Finanse będą kilkuosobowe, natomiast w dziale logistyki będzie pracowało kilkadziesiąt osób. Projektujesz strukturę (Rys. 1) i wdrażasz w swoim środowisku. Rys. 1 Projekt struktury jednostek organizacyjnych Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. 2. Zaloguj się na konto zwykłego użytkownika • • • • • 3. Uruchomienie programu Active Directory Users and Computers • Wybierz Start -> Administrative Tools -> Active Directory Users and Computers. • Zapoznanie się ze strukturą domeny nwtraders.msft. 4. Stworzenie jednostki organizacyjnej przy pomocy polecenia Dsadd • Wybierz Start i w polu Start Search wpisz: Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. runas /user:[email protected] cmd • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie wiersza poleceń wpisz: dsadd ou ou=OUNazwakomputera,ou="IT Test",dc=nwtraders,dc=msft • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy jednostka organizacyjna została stworzona. 5. Stworzenie jednostek organizacyjnych przy pomocy narzędzia Ldifde • Na dysku Dane (E:) stwórz folder Tools. • Otwórz notatnik i wpisz poniższy przykład: dn: ou=IT,ou=OUNazwakomputera,ou="IT Test",DC=nwtraders,DC=msft changetype: add objectClass: organizationalUnit dn: ou=Finance,ou=OUNazwakomputera,ou="IT Test",DC=nwtraders,DC=msft Strona 8/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory changetype: add objectClass: organizationalUnit dn: ou=Logistic,ou=OUNazwakomputera,ou="IT Test",DC=nwtraders,DC=msft changetype: add objectClass: organizationalUnit • Zapisz plik w lokalizacji E:\Tools jako import.ldf. • W oknie wiersza poleceń wpisz: Ldifde –i –k –f D:\Tooles\import.ldf • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy jednostki organizacyjne zostały stworzone. 6. Stworzenie jednostek organizacyjnych przy pomocy Windows Script Host • Otwórz notatnik i wpisz poniższy przykład: Set objDom = GetObject("LDAP://ou=Logistic,ou=OUNazwakomputera,ou=It Test,dc=nwtraders,dc=msft") Set objOU = objDom.Create("OrganizationalUnit","ou=Managers") objOU.SetInfo Set objDom = GetObject("LDAP://ou=Logistic,ou=OUNazwakomputera,ou=It Test,dc=nwtraders,dc=msft") Set objOU = objDom.Create("OrganizationalUnit","ou=Personel") objOU.SetInfo • Zapisz plik w lokalizacji E:\Tools jako ouadd.vbs. • W oknie wiersza poleceń wpisz: wscript C:\ouadd.vbs • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź, czy jednostki organizacyjne zostały stworzone. • Wyloguj się. Problem 2 (czas realizacji 15 min) Stworzyłeś testową strukturę jednostek organizacyjnych. Okazało się, że są potrzebne pewne modyfikacje, ponieważ struktura twojej firmy zmieniła się. Postanawiasz zmodyfikować testową strukturę tak, by odpowiadała ona Twoim potrzebom. W jednostce OUNazwakomputera chcesz wypełnić pole opisu. Dział Finanse nie przeniesie się do tej lokalizacji, dlatego musisz usunąć tą jednostkę organizacyjną. Dział IT zostanie przeniesiony do innej lokalizacji. W lokalizacji tej posiadasz jednego zaawansowanego użytkownika i chcesz dać mu prawa do wykonywania pewnych czynności administracyjnych. Między innymi chcesz, by mógł resetować hasła użytkownikom, którzy je zapomnieli oraz tworzyć konta komputerów. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. Strona 9/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory 2. Zaloguj się na konto zwykłego użytkownika • • • • • 3. Modyfikacja jednostki organizacyjnej OUNazwakomput era • Wybierz Start i w polu Start Search wpisz: Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. runas /user:[email protected] cmd • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie wiersza poleceń wpisz: Dsmod ou ou=OUNazwakomputera,ou="IT Test",dc=nwtraders,dc=msft –desc "Nowy oddzial - testy" • Wybierz Start -> Administrative Tools -> Active Directory Users and Computers. • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy jednostka organizacyjna OUNazwakomputera została zmodyfikowana. 4. Usunięcie jednostki organizacyjnej przy pomocy polecenia Dsrm • W oknie wiersza poleceń wpisz: Dsrm ou=Finance,ou=OUNazwakomputera,ou="IT Test", dc=nwtraders,dc=msft • Na pytanie, czy na pewno chcesz usunąć obiekt, odpowiedz twierdząco wybierając Y. • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy jednostka organizacyjna Finance została usunięta. 5. Przenoszenie jednostki • Wybierz menu Start -> Administrative Tools i naciśnij prawy przycisk na Active Directory Users and Computers. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. • W oknie narzędzia Active Directory Users and Computers znajdź obiekt ou=IT,ou=OUNazwakomputera,ou=”IT Test”,dc=nwtraders,dc=msft. • Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz Move. • W oknie Move rozwiń nwtraders -> Locations, zaznacz jednostkę organizacyjną odpowiadającą nazwie Twojego komputera i naciśnij OK. • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy jednostka organizacyjna IT została przeniesiona. 6. Delegowanie kontroli do jednostki zarządzanie hasłami użytkowników • W konsoli Active Directory Users and Computers znajdź obiekt ou=Personel,ou=Logistic,ou=OUNazwakomputera,ou="IT Test",dc=nwtraders,dc=msft, kliknij na nim prawy przycisk myszy i wybierz Delegate Control. • W oknie Welcome to the Delegation of Control Wizard wybierz Next. • W oknie Users and Groups naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz NazwakomputeraUser, a następnie wybierz OK. • Naciśnij przycisk Next. • W oknie Task to Delegate wybierz: Strona 10/11 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 4 Wprowadzenie do Active Directory — Reset user passwords and force password change at next logon — Read all user information • Wybierz Next, a następnie Finish. 7. Delegowanie kontroli do jednostki – zarządzanie kontami komputerów • W konsoli Active Directory Users and Computers znajdź obiekt ou=Logistic,ou=OUNazwakomputera,ou= "IT Test",dc=nwtraders,dc=msft, kliknij na nim prawy przycisk myszy i wybierz Delegate Control. • W oknie Welcome to the Delegation of Control Wizard wybierz Next. • W oknie Users and Groups naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz NazwakomputeraUser, a następnie wybierz OK. • Naciśnij przycisk Next. • W oknie Task to Delegate zaznacz Create a custom task to delegate i naciśnij Next. • W oknie Active Directory Object Type zaznacz Only the following object in the folder, na liście zaznacz Computer object. • Pod listą zaznacz: — Create selected object in the folder — Delete selected object in the folder • • • • Wybierz Next. W oknie Permission na liscie zaznacz Read, Write. Wybierz Next, a następnie Finish. Wyloguj się Laboratorium rozszerzone Strona 11/11 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 5 Wersja 1 Zarządzanie kontami użytkowników i komputerów Spis treści Zarządzanie kontami użytkowników i komputerów ............................................................................ 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 8 Uwagi dla studenta ...................................................................................................................... 9 Dodatkowe źródła informacji....................................................................................................... 9 Laboratorium podstawowe ................................................................................................................ 10 Problem 1 (czas realizacji 40 min).............................................................................................. 10 Problem 2 (czas realizacji 20 min) ............................................................................................. 14 Laboratorium rozszerzone ................................................................................................................. 15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące zarządzania kontami użytkowników i komputerów. Dowiesz się, do czego służą konta lokalne i domenowe oraz nauczysz się je tworzyć przy pomocy różnych narzędzi. Poznasz opcje związane z kontem użytkownika. Nauczysz się korzystać z szablonów kont. Dowiesz się, co to są konta wbudowane i do czego służą. Cel modułu Celem modułu jest zapoznanie z zagadnieniami związanymi z kontami lokalnymi i domenowymi użytkowników oraz z kontami komputerów, w szczególności z ich tworzeniem i modyfikowaniem ich właściwości. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, jaka jest różnica pomiędzy kontem użytkownika lokalnym a domenowym • potrafił tworzyć konta użytkowników i komputerów oraz modyfikować ich właściwości • rozumiał, w jaki sposób konta są wykorzystywane w usłudze Active Directory Wymagania wstępne Przed przystąpieniem do pracy z tym modułem powinieneś: • znać budowę usługi Active Directory • rozumieć, do czego służy usługa Active Directory Mapa zależności modułu Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem do realizacji tego modułu należy zapoznać się z materiałem zawartym w module 4. Rys. 1 Mapa zależności modułu Strona 2/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów Przygotowanie teoretyczne Przykładowy problem Rozszerzono tobie zakres obowiązków. Będziesz teraz odpowiedzialny za zarządzanie kontami użytkowników i komputerów. Musisz stworzyć konta użytkowników pracujących w różnych działach. Firma zakupiła nowe komputery, które będą przyłączane do domeny. Będzie to robił jeden z pracowników i chcesz by nadawał nazwy komputerów według listy, którą mu przekażesz. Zanim to nastąpi Ty stworzysz według niej konta komputerów w domenie. Chcesz w przyszłości zaoszczędzić sobie pracy, dlatego stworzysz szablony kont użytkowników dla każdego działu. Na jednym z komputerów będzie zainstalowana nowa aplikacja do rejestracji czasu pracy pracowników. Do jej działania potrzebne jest konto, ponieważ jeden z serwisów potrzebuje do go uruchomienia się. Dlatego na tym komputerze stworzysz konto lokalne Podstawy teoretyczne Konto użytkownika Konta użytkowników w Active Directory reprezentują fizyczne osoby, które korzystają z zasobów sieciowych. Można je również wykorzystywać, jako dedykowane konta usług do uruchamiania niektórych aplikacji. Konta użytkowników są oznaczane również, jako podmioty zabezpieczeń – obiekty katalogu, które mają automatycznie przypisane identyfikatory zabezpieczeń (SID), używane do dostępu do zasobów sieciowych. Jedne z głównych zastosowań kont użytkowników to : • Autentykacja tożsamości użytkownika – konto użytkownika umożliwia użytkownikowi logowanie się do komputera lub domeny z tożsamością, którą może potwierdzić domena. Każdy użytkownik powinien mieć swoje własne konto i hasło. • Autoryzacja dostępu do zasobów sieciowych – Po procesie autentykacji, na podstawie nadanych uprawnień do zasobu, użytkownik ma do niego dostęp lub też jest on mu zabroniony. W kontenerze Users, w przystawce Active Directory Users and Computers, znajdują się trzy konta wbudowane, które są tworzone automatycznie w czasie tworzenia domeny. Każde z tych kont posiada inne kombinacje praw i uprawnień. Największe posiada konto administratora, a najbardziej ograniczone konto gościa(Tabela 1). Tabela 1 Opis kont wbudowanych na kontrolerze domeny z system Microsoft Windows Server 2008 Konto domyślne Opis Administrator Konto Administratora ma pełną kontrolę w domenie. Może przypisywać prawa użytkownikom i kontrolować uprawnienia dostępu do zasobów. Wskazane jest by używać tego konta tylko do zadań wymagających administracyjnego uwierzytelnienia. Powinno mieć nadane bardzo silne hasło Konto Administratora jest domyślnie członkiem wbudowanych grup w AD: Administrators, Domain Admins, Enterprise Admins, Group Policy Creator Owners, i Schema Admins. Nie może być nigdy skasowane i usunięte z grupy Administrators, ale może zostać wyłączone lub mieć zmienioną nazwę. Jest pierwszym kontem tworzonym w czasie instalacji nowej domeny przy pomocy kreatora Active Directory Domain Services Installation Wizard Strona 3/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Guest Moduł 5 Zarządzanie kontami użytkowników i komputerów Konto gościa jest używane przez osoby, które nie posiadają aktualnie swojego konta w domenie, lub ich konto jest wyłączone (nie skasowane). Konto to nie wymaga hasła. Można nadawać prawa i uprawnienia jak każdemu innemu kontu. Domyślnie konto Guest jest członkiem grupy wbudowanej Guests i grupy domenowej globalnej Domain Guests, która umożliwia użytkownikom logowanie do domeny. Domyślnie konto gość jest wyłączone i zalecane jest by takim pozostało. HelpAssistant (instalowane z sesją Remote Assistence) Główne konto do zestawienia sesji Remote Assistance, tworzone automatycznie w momencie, gdy zażądamy takiej sesji. Ma ograniczony dostęp do komputera. Konto HelpAssistance jest zarządzane przez usługę Remote Desktop Help session Manager. Jest kasowane automatycznie jeśli nie ma oczekujących żądań Remote Assistance Jeśli prawa i uprawnienia kont wbudowanych nie są zmodyfikowane lub wyłączone przez administratora sieci, mogą być użyte przez złośliwego użytkownika (lub usługę), do nielegalnego zalogowania się do domeny na konto administratora lub gościa. Dobrą praktyka zabezpieczenia tych kont jest ich wyłączenie lub zmiana ich nazwy. Ponieważ jest zachowywany ich SID, konta nadal zachowują wszystkie swoje właściwości takie jak opis, hasło, przynależność do grup, profil i wszystkie przypisane prawa i uprawnienia. Aby uzyskać korzyści zabezpieczeń autentykacji i autoryzacji użytkownika, należy stworzyć indywidualne konta dla wszystkich użytkowników korzystających z sieci. Można potem dodawać każde konto do grup w celu kontroli praw i uprawnień przypisanych do nich. Dla zabezpieczenia domeny przed atakami należy wymagać mocnych haseł i zaimplementować zasady blokowania kont. Odpowiednio skomplikowane hasło redukuje możliwość jego odgadnięcia lub pomyślnego ataku słownikowego. Zasady blokowania hasła ograniczają atakującemu możliwość powtarzanie kolejnych nieudanych prób logowania, określając, ile nieprawidłowych prób może wystąpić zanim konto zostanie zablokowane. Każde konto użytkownika w Active Directory posiada kilka opcji określających jak przebiegnie logowanie i autentykacja w sieci. W tabeli (Tabela 2) znajdują się ustawienia związane z konfiguracją hasła i specyficznymi informacjami związanymi z bezpieczeństwem kont użytkowników. Tabela 2 Niektóre z opcji związanych z domenowym kontem użytkownika Opcja konta Opis User must change password at next logon Wymusza na użytkowniku zmianę hasła przy następnym logowaniu. Należy włączyć tę opcję by mieć pewność, że użytkownik jest jedyna osoba znającą swoje hasło User cannot change password Zabrania użytkownikowi zmiany hasła. Opcja używana, kiedy administrator zarządza jakimś kontem np. kontem gościa lub tymczasowym Password never expires Zabezpiecza hasło przed wygaśnięciem. Ustawienie rekomendowane dla kont używanych przez usługi posiadających mocne hasło Store password using Umożliwia zalogowanie się do sieci Windows użytkownikom komputerów Apple. W innych przypadkach Strona 4/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów reversible encryption niepolecane jest włączanie tej opcji Account is disabled Nie zezwala na zalogowanie się przy użyciu tego konta. Używane dla kont będących szablonami lub dla użytkowników, którzy nie będą dłuższy czas korzystać z niego Przed tworzeniem kont użytkowników należy przyjąć dla nich konwencję nazewniczą. Ustala ona sposób identyfikacji kont w domenie. Powinna ona uwzględniać konta użytkowników o takich samych nazwiskach oraz konta tymczasowe. Konta mogą być tworzone w dowolnym kontenerze w domenie. W małych organizacjach można wykorzystać do tego jednostkę organizacyjną Users, a w większych zalecane jest umiejscowienie ich w strukturze usługi Active Directory ze względu na sposób, w jaki mają być zarządzane. Tworzenie konta lokalnego Konta lokalne są tworzone na lokalnym komputerze i przechowywane w bazie SAM (Security Accounts Manager). Mogą być wykorzystywane tylko do logowania na komputerze, na którym zostały stworzone i wykorzystane do nadania praw w systemie i uprawnień do zasobów lokalnych. Konto lokalne tworzymy przy wykorzystaniu przystawki Local Users and Groups, która jest również częścią konsoli Computer Management. Wybierając w kontenerze Users polecenie New User wypełniamy formularza podając nazwę konta, opis, hasło oraz wypełniając związane z nim opcje. Nazwa użytkownika nie może być identyczna z nazwą innego konta użytkownika lub grupy istniejącego na tym komputerze> może zawierać do 20 znaków za wyjątkiem: „/ \ [ ] ; :| = , + * ? < >. Tworzenie konta domenowego Konto użytkownika domenowego możemy stworzyć przy pomocy przystawki Active Directory Users and Computers lub przy użyciu narzędzi wiersza poleceń. • Active Directory Users and Computers – w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New->User. W oknie New Object – User podajemy imię i nazwisko użytkownika, oraz podać nawę logowania. Nazwy logowania UPN użytkowników dla kont domenowych muszą być unikalne w usłudze Active Directory. Pełne nazwy domenowych kont użytkowników muszą być unikalne w kontenerze, w którym są tworzone. • Dsadd – narzędzie wiersza poleceń. dsadd user <UserDN> [-samid<SAMName>] -pwd {<Password>|*} gdzie: • <UserDN> - nazwa wyróżniająca LDAP dodawanego obiektu typu użytkownik • -samid – ustawia wartość SAMName • <SAMName> - unikalna nazwa Security Accounts Manager (SAM) dla użytkownika. Jeśli wartość ta nie zostanie wyspecyfikowana, dsadd spróbuje stworzyć tę wartość na używając pierwszych 20 znaków z nazwy zwykłej (CN) wartości UserDN • -pwd - ustawia wartość hasła • <Password> - wyspecyfikowane hasło przypisane do konta użytkownika. Jeśli ten parametr zostanie ustawiony jako *, to przy uruchomieniu tej komendy będzie trzeba je podać Modyfikowanie konta domenowego Z kontami użytkowników jest związanych wiele atrybutów. Odpowiednio pogrupowane są dostępne na różnych zakładkach okna właściwości użytkownika (Rys. 2). Mogą być używane przez Strona 5/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów użytkowników jako źródło informacji o innych użytkownikach (dane teleadresowe) oraz przez administratorów do definiowania zasad i środowiska pracy osób logujących się na te konta. Rys. 2 Okno właściwości obiektu użytkownika Najczęściej używane opcje we właściwościach konta użytkownika: • General - nazwa, opis, biuro, telefony oraz adresy e-mail i strony domowej użytkownika • Address – ulica, skrytka pocztowa, miasto, województwo, kod pocztowy oraz kraj • Account – Nazwy logowania, godziny, w których użytkownik może się logować i komputery, z których to może zrobić, opcje dotyczące konta i data jego wygaśnięcia • Profile – ścieżką wskazująca miejsce przechowywania profilu, skrypt logowania, ścieżka do folderu domowego, mapowanie dysku sieciowego • Telephone – numery telefonu domowego, pagera, komórkowego, faksu oraz telefonu IP • Organization – stanowisko pracy, dział, firma, menedżer oraz podwładni • Member Of – grupy ,do których należy użytkownik • Dial-in – uprawnienia usługi dostęp zdalny, w tym opcje oddzwaniania, adres IP i routing • Environment – Opcje startowe połączenia terminalowego takie jak uruchamiany program, mapowanie dysków, drukarek • Session – konfiguracja zachowania sesji terminalowych w przypadku bezczynności i rozłączonych połączeń • Remote Control – konfiguracja zarządzania zdalną sesją użytkownika • Terminal Services Profile – definiowanie profilu użytkownika korzystającego z sesji terminalowej Szablony użytkownika W celu uproszczenia tworzenia nowych kont użytkowników można skorzystać z tzw. szablonów kont. Są to specjalne konta, posiadające skonfigurowane atrybuty, których wartości często Strona 6/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów powtarzają się w innych kontach. Aby stworzyć nowe konto na podstawie szablonu należy kliknąć na nim prawym przyciskiem myszy i menu kontekstowego wybrać polecenie Copy. W oknie Copy Object – User należy wypełnić unikalne atrybuty związane z kontem. Część atrybutów z szablonu konta zostanie przekopiowanych do nowego konta. Są to: • dla karty Address – wszystkie wartości atrybutów z wyjątkiem Street • dla karty Account - wszystkie wartości atrybutów z wyjątkiem User logon name • dla karty Profile - wszystkie wartości atrybutów (dla Profile path i Home folder zostaną zmodyfikowane tak by odpowiadały nazwie logowania użytkownika) • dla karty Organization - wszystkie wartości atrybutów z wyjątkiem Title • dla karty Member Of - wszystkie wartości atrybutów Szablony kont często są tworzone dla poszczególnych działów w firmie, ponieważ osoby w nich pracujące często mają podobne potrzeby korzystania z zasobów sieci, a co za tym idzie są członkami tych samych grup zabezpieczeń. Należy pamiętać, by nazwa szablonu odróżniała to konto od pozostałych i aby było ono wyłączone (konta nieużywane do logowania zawsze powinny być wyłączone) Odblokowywanie konta Konto użytkownika może zostać zablokowane, jeśli wystąpi zbyt dużo nieudanych prób logowania w określonym czasie. Próg blokady konta ustawia się w konfiguracji zabezpieczeń usługi Active Directory. Blokada konta zabezpiecza przed próbą włamania polegającą na odgadywaniu kolejnych haseł. Różnież sam użytkownik może sobie konto zablokować nie pamiętając hasła, lub kiedy pozostając zalogowanym na jednym komputerze zmieni sobie hasło na innym. Przy zablokowanym koncie użytkownik zostanie o tym fakcie poinformowany w momencie próby logowania. Nie będzie mógł się zalogować dopóki administrator nie odblokuje konta, lub nie upłynie czas, po którym konto zostanie odblokowane automatycznie. Konto komputera Podobnie jak użytkownik również każdy komputer z systemem Windows NT, Windows 2000, Windows XP lub Windows Vista lub serwer z systemem Windows Server 2003 lub 2008 należący do domeny posiada swoje konto w usłudze Active Directory. Jest ono wykorzystywane do uwierzytelniania komputera, inspekcji jego dostępu do sieci i zasobów domeny a także do zarządzania środowiskiem pracy użytkownika, automatycznej instalacji oprogramowania przy pomocy AD i inwentaryzacji. Konto komputera może być stworzone na dwa sposoby: • uprawniony użytkownik przyłącza komputer do domeny, w której nie ma stworzonego obiektu odpowiadającego kontu komputera. W takim wypadku konto zostanie automatycznie stworzone przez system w wbudowanej jednostce organizacyjnej Computers. Oczywiście administrator może później przenieść konto komputera do dowolnej innej jednostki organizacyjnej • Administrator tworzy obiekt komputera przy pomocy odpowiednich narzędzi w wybranej przez siebie jednostce organizacyjnej i informuje użytkownika o nazwie obiektu. Użytkownik nazywa komputer według wskazówek administratora i przyłącza go do domeny. Tworzenie konta komputera Podobnie jak konto użytkownika konto komputera możemy stworzyć przy pomocy przystawki Active Directory Users and Computers lub przy użyciu narzędzi wiersza poleceń. • Active Directory Users and Computers – w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New-> Computer. W oknie New Object – Computer (Rys. 3) należy podać nazwę komputera (nazwa używana przez systemy starsze niż Windows 2000 zostanie uzupełniona automatycznie). Strona 7/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów Dsadd - narzędzie wiersza poleceń. dsadd computer <ComputerDN> • gdzie <ComputerDN> - nazwa wyróżniająca LDAP dodawanego obiektu typu komputer Rys. 3 Okno tworzenia konta komputera Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z kontami tworzonymi w usłudze Active Directory. Omówiono konta użytkowników i komputerów. Przedstawiono sposób tworzenia i modyfikowania kont. Wyjaśniono różnice miedzy kontami domenowymi i lokalnymi. Omówiono wbudowane konta domenowe. Porady praktyczne • W celu zapewnienia bezpieczeństwa nie zezwalaj by kilku użytkowników korzystało z jednego konta • Jeśli konto Administratora jest wyłączone, może być nadal używane w celu dosania się do kontrolera domeny w trybie bezpiecznego uruchamiania (ang. Safe Mode) • Aby zmodyfikować godziny logowania wielu użytkownikom jednocześnie przytrzymaj klawisz Ctrl i klikaj na kolejnych użytkowników. Kliknij prawym przyciskiem myszy na zaznaczone konta i z menu kontekstowego wybierz Properties. Potem na zakładce Account kliknij Logon Hours i ustaw dostępne lub zabronione godziny • Lokalnych kont użytkowników nie można tworzyć na kontrolerach domeny • Nowy użytkownik o takiej samej nazwie jak poprzednio skasowany nie otrzymuje automatycznie uprawnień i przynależności do grup jakie posiadało skasowane konto ponieważ identyfikator zabezpieczeń (SID) dla każdego konta jest unikalny. Jeśli chcesz zduplikować skasowane konto musisz odtworzyć wszystkie uprawnienia i członkostwo w grupach ręcznie. • Jeśli nowo dodawany komputer do domeny ma zainstalowany system starszy niż Windows 2000, podczas tworzenia konta zaznacz opcję Assign this computer account as a preWindows 2000 computer. Spowoduje to utworzenie hasła komputera bazującego na jego nazwie. • Komputery z systemami Windows 95 i Windows 98 nie posiadają zaawansowanych funkcji zabezpieczeń, dlatego nie można stworzyć dla nich kont komputerów Strona 8/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów • Jeśli poziom funkcjonalności domeny jest ustawiony na Windows Server 2008, atrybut lastLogonTimestamp jest wykorzystywany do śledzenia ostatniego logowania użytkownika lub komputera. Atrybut ten jest replikowany w obrębie domeny i może być przydatny do odtworzenia historii użytkownika lub komputera . Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • • • • rozumiesz do czego służą lokalne i domenowe konta użytkowników umiesz tworzyć konta i je modyfikować potrafisz korzystać z narzędzi do zarządzania kontami użytkowników i komputerów wiesz do czego służą szablony kont Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Informacje dotyczące tego modułu znajdują się w rozdziale drugim. Strona 9/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów Laboratorium podstawowe Problem 1 (czas realizacji 40 min) Jesteś administratorem w przedsiębiorstwie. Zakupiłeś komputer przenośny dla przedstawiciela handlowego. Nie będzie on pracował w domenie, dlatego musisz stworzyć dla niego konto lokalne. Dostałeś informację z działu kadr o zatrudnieniu kilku nowych osób i musisz pozakładać dla nich konta w domenie. Poinformowano Cię również, że w niedalekiej przyszłości będzie zatrudnionych kilkadziesiąt nowych osób, dlatego postanawiasz postanawiasz pozakładać konta używając różnych narzędzi, by przetestować je i móc w przyszłości skorzystać z najbardziej wygodnego i najmniej pracochłonnego. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. 2. Zaloguj się na konto zwykłego użytkownika • • • • • 3. Stworzenie konta użytkownika lokalnego • Wybierz menu Start -> Administrative Tools i naciśnij prawym przycisk przyciskiem myszy Server Manager. • Z menu kontekstowego wybierz Run as Administrator. Administrator • W oknie User Account Control w polu User name wpisz NazwakomputeraAdmin w polu Password wpisz P@ssw0rd i naciśnij NazwakomputeraAdmin, OK OK. • W drzewie konsoli rozwiń Server Manager (Nazwakomputera) -> Configuration -> Local Users and Groups. • Kliknij prawym przyciskiem myszy Users. • Z menu kontekstowego wybierz New User. • W oknie New User uzupełnij pola: Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. — User name: Pierwsze trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład: TomKow) — Full name: Twoje Imię i Nazwisko (Przykład: Tomasz Kowalski) — Password: P@ssw0rd i powtórz je w polu Confirm Password. • Naciśnij przycisk Create. • Naciśnij przycisk Close. • Wyloguj się. 4. Przetestowanie konta • • • • Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz Nazwacomputera\Pierwsze Pierwsze trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład: Vancouver Vancouver\TomKow). • W polu Password wpisz P@ssw0rd i naciśnij Enter. Pojawi się informacja o konieczności zmiany hasła. • Wybierz OK. • W polu New password wpisz P@ssw0rd123 i powtórz je w polu Confirm Strona 10/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów Password Password. • Naciśnij Enter. Pojawi się informacja, że hasło zostało o zmienione. zmienione • Wybierz OK. 5. Stworzenie konta przy pomocy Active Directory Users and Computers • Wybierz menu Start -> Administrative dministrative Tools Tool i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. Computers • Z menu kontekstowego wybierz Run as Administrator. Administrator • W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin w polu Password wpisz P@ssw0rd i naciśnij NazwakomputeraAdmin, OK OK. • W oknie narzędzia Active Directory Users and Computers znajdź obiekt ou=Nazwakomputera,ou=Location ,dc=nwtraders,dc=msft. ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft • Naciśnij Naciśn na nim prawy przycisk myszy i z menu kontekstowego wybierz New -> User. • W oknie New Object – User uzupełnij pola: — First Name: Twoje Imię (Przykład: Tomasz) — Last Name: Twoje Nazwisko (Przykład: Kowalski) — User Logon name: Pierwsze trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska (Przykład: TomKow) Pole User logon name (pre-Windows Windows 2000) zostanie uzupełnione automatycznie. • Wybierz Next. • W następnym oknie w polu Password wpisz P@ssw0rd i powtórz je w polu Confirm Password. • Wyczyść pole User must change password at next logon i wybierz Next. • Naciśnij przycisk Finish. • Wyloguj się z systemu. 6. Przetestowanie konta • • • • 7. Stworzenie konta użytkownika przy pomocy polecenia dsadd • Wybierz W Start i w polu Start Search wpisz: Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz nazwę konta, które stworzyłeś w poprzednim ćwiczeniu (Pierwsze ( trzy litery Twojego imienia oraz pierwsze trzy litery Twojego nazwiska). • W polu Password wpisz P@ssw0rd i naciśnij Enter runas unas /user:[email protected] cmd • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie wiersza poleceń wpisz: dsadd user “cn=UserPierwszeTrzyLiteryTwojegoNazwiska, PierwszeTrzyLiteryTwojegoNazwiska, ou=it test,dc=nwtraders,dc=msft” -samid User UserPierwszeTrzyLiteryTwojegoNazwiska -pwd pwd P@ssw0rd Dla użytkownika Kowalski nazwa konta to UserKow. • Wybierz Start -> Administrative Tools -> Active Directory Users and Co Computers. • Sprawdź prawdź, czy konto użytkownika zostało utworzone. utworzone • Zamknij okno wiersza poleceń. Strona 11/15 Radosław Frąckowiak ITA-107 Systemy operacyjne 8. Stworzenie konta użytkownika przy pomocy narzędzia Csvde Moduł 5 Zarządzanie kontami użytkowników i komputerów • Otwórz notatnik i wpisz poniższy przykład: DN,objectClass,sAMAccountName,userPrincipalName,displayName,userAc countControl "cn= "cn=NazwakomputeraTestUser,ou=Nazwakomputera,ou=Locations,dc=nwtra TestUser,ou=Nazwakomputera,ou=Locations,dc=nwtra ders,dc=msft",user, ders,dc=msft",user,NazwakomputeraTestUser,NazwakomputeraTestUser NazwakomputeraTestUser @nwtraders.msft, @nwtraders.msft,Nazwakomputera TestUser,514 Wartość atrybutu userAccountControl 514 oznacza, oznacza że konto będzie wyłączone, a wartość 512 włącza konto. • Zapisz plik w lokalizacji E:\Tools jako import.txt. • Wybierz W Start i w polu Start Search wpisz cmd. • W oknie wiersza poleceń wpisz: csvde -i -f E:\Tools\import.txt -b NazwakomputeraAdmin Nazwakomputera nwtraders.msft P@ssw0rd • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto użytkownika zostało utworzone. 9. Stworzenie konta użytkownika przy pomocy narzędzia Ldifde • Otwórz notatnik i wpisz poniższy przykład: # Tworzenie konta Jan Nazwakomputera dn: cn=Jan Nazwakomputera,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft Changetype: Add objectClass: user sAMAccountName: JanNazwakomputera userPrincipalName: [email protected] displayName: Jan Nazwakomputera • Zapisz plik w lokalizacji E:\Tools jako adduser.ldf. • Wybierz W Start i w polu Start Search wpisz cmd. • W oknie wiersza poleceń wpisz: ldifde -i –k -f E:\Tools\adduser.ldf -b NazwakomputeraAdmin Nazwakomputera nwtraders.msft P@ssw0rd • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto użytkownika zostało utworzone. 10. Stworzenie konta użytkownika przy pomocy Windows Script Host • Otwórz notatnik i wpisz poniższy przykład: Set objOU = GetObject("LDAP://OU= GetObject("LDAP://OU=Nazwakomputera,OU=Locations,dc=nwtraders,dc=m ,OU=Locations,dc=nwtraders,dc=m sft") Set objUser = objOU.Create("User", "cn=Nazwakomputera "cn=NazwakomputeraPraktykant") objUser.Put "sAMAccountName", "Nazwakomputera "NazwakomputeraPraktykant" objUser.SetInfo objUser.AccountDisabled = FALSE objUser.ChangePassword "", "P@ssw0rd" objUser.Put "userPrincipalName", "NazwakomputeraPraktykant@nwtraders [email protected]" objUser objUser.SetInfo • Zapisz plik w lokalizacji E:\Tools jako newuser.vbs vbs. • Wybierz W Start i w polu Start Search wpisz: runas /user:[email protected] cmd • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie wiersza poleceń wpisz: Strona 12/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów wscript E:\Tools\newuser.vbs • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź, czy konto użytkownika zostało stworzone. • Pozamykaj wszystkie okna. 11. Stworzenie konta komputera przy pomocy Active Directory Users and Computers • Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. • W oknie narzędzia Active Directory Users and Computers znajdź obiekt ou=Nazwakomputera,ou=Locations, dc=nwtraders,dc=msft. • Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz New -> Computer. • W oknie New Object – Computer w polu Computer name wpisz Nazwakomputera-001 i naciśnij OK. • Odśwież widok i sprawdź, czy konto komputera zostało stworzone. 12. Stworzenie konta komputera przy pomocy polecenia dsadd • • • • Wybierz Start i w polu Start Search wpisz: Runas /user:[email protected] cmd W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. W oknie wiersza poleceń wpisz: dsadd computer “cn=Nazwakomputera002,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft” • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto komputera zostało utworzone. • Wyloguj się. Strona 13/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów Problem 2 (czas realizacji 20 min) Dostałeś polecenie by uzupełnić dane teleadresowe powiązane z użytkownikami. Będą one wykorzystywane przez innych do wyszukiwania osób pracujących w firmie. Zbliża się inwentaryzacja sprzętu i chcesz uzupełnić atrybuty opisujące lokalizację komputerów. Ułatwi to pracę osobom wykonującym spis w sprawnym odnalezieniu komputerów. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. 2. Zaloguj się na konto zwykłego użytkownika • • • • • 3. Modyfikacja konta użytkownika przy pomocy Active Directory Users and Computers • Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. • W oknie narzędzia Active Directory Users and Computers znajdź obiekt cn=NazwakomputeraPraktykant,ou=Nazwakomputera,ou=Locations, dc=nwtraders,dc=msft. • Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz Properties. • W oknie NazwakomputeraPraktykant uzupełnij pola: Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. — Zakładka General First name: Nazwakomputera Last name: Praktykant Display name: Nazwakomputera Praktykant Description: konto studenta praktykanta Office: Biuro projektowe Telephone number: 7332356 — Zakładka Address Street: Pogodna City: Nazwakomputera • Wybierz OK. 4. Modyfikacja konta użytkownika przy pomocy polecenia dsmod • • • • Wybierz Start i w polu Start Search wpisz: Runas /user:[email protected] cmd W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. Chcesz zmienić następujące atrybuty dla konta Jan Nazwakomputera: — — — — First name: Jan Last Name: Nazwakomputera Display name: Jan Nazwakomputera User logon name: [email protected] Strona 14/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 5 Zarządzanie kontami użytkowników i komputerów — — — — — — — — — Password: P@ssw0rd123 Description: Konto do testu polecenia Dsmod Office: Data Center Telephone number: 213-0101 E-mail: [email protected] Job Title: Konto testowe Department: Data Center Company: NWTraders Telephone numbers -> Home: 213-0101 • W oknie wiersza poleceń wpisz: dsmod user "cn=Jan Nazwakomputera,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft " -fn Jan -ln Nazwakomputera –display “Jan Nazwakomputera” -upn [email protected] –pwd P@ssw0rd123 –desc „Konto do testu polecenia Dsmod” -office „Data Center” -tel 213-0101 –email [email protected] -title “Konto testowe” –dept „Data Center” -company NWTraders -hometel 213-0101 • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto użytkownika zostało zmodyfikowane. 5. Modyfikacja konta komputera przy pomocy polecenia dsmod • Chcesz zmienić dla konta Nazwakomputera-001 atrybut lokalizacji na Nazwakomputera. • W oknie wiersza poleceń wpisz: dsmod computer "cn=Nazwakomputera001,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" -loc Nazwakomputera • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź czy konto komputera zostało zmodyfikowane. Laboratorium rozszerzone Strona 15/15 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 6 Wersja 1 Zarządzanie grupami Spis treści Zarządzanie grupami ............................................................................................................................ 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ..................................................................................................................... 11 Uwagi dla studenta .................................................................................................................... 11 Dodatkowe źródła informacji..................................................................................................... 12 Laboratorium podstawowe ................................................................................................................ 13 Problem 1 (czas realizacji 45 min).............................................................................................. 13 Laboratorium rozszerzone ................................................................................................................. 18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące wykorzystania grup w administracji dostępem do zasobów i nadawania praw użytkowników. Dowiesz się, co to są grupy wbudowane i jak je można wykorzystać. Poznasz różnice między poszczególnymi rodzajami grup. Nauczysz się je tworzyć i modyfikować. Dowiesz się, co to są tożsamości specjalne. Cel modułu Celem modułu jest zapoznanie z zagadnieniami dotyczącymi używania grup w codziennej administracji zasobami w środowisku Active Directory, w tym tworzenie, modyfikowanie i wykorzystanie grup wbudowanych. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, jakie są zakresy i typy grup, czym się różnią i jak je wykorzystać • potrafił tworzyć grupy i modyfikować ich właściwości • rozumiał, w jaki sposób korzystać z grup by uprościć codzienną administrację Wymagania wstępne Przed przystąpieniem do pracy z tym modułem powinieneś: • znać budowę usługi Active Directory • rozumieć, do czego służy usługa Active Directory Mapa zależności modułu Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem do realizacji tego modułu należy zapoznać się z materiałem zawartym w module 4. Rys. 1 Mapa zależności modułu Strona 2/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Przygotowanie teoretyczne Przykładowy problem W Twojej firmie jest ponad 300 kont użytkowników domenowych. Każdy z nich ma przypisane indywidualne prawa do różnych udostępnionych zasobów w sieci. Ostatnio 20 użytkownikom z działu logistyki nadawałeś uprawnienia do modyfikowania folderu z raportami. Strasznie długo to trwało, ponieważ każdego z nich trzeba było wyszukać, dodać do listy związanej z zabezpieczeniami folderu i każdemu z nich zmienić domyślne uprawnienie Read na Modify. Poczytałeś dokumentację i stwierdziłeś, że znacznie ułatwisz sobie te czynności wykorzystując grupy użytkowników. Co więcej, okazało się, że w systemie już są jakieś grupy stworzone automatycznie, które również będziesz mógł wykorzystać. Podstawy teoretyczne Grupa jest zbiorem kont użytkowników, komputerów i innych grup, który może być zarządzany, jako pojedynczy element. Użytkownicy i komputery należący do danej grupy są nazywani członkami grupy. Grupy w Active Directory Domain Services (AD DS) są obiektami katalogu i mogą być umieszczane bezpośrednio w domenie lub kontenerze jednostki organizacyjnej. AD DS udostępnia zbiór domyślnych grup tworzonych podczas instalacji, oraz umożliwia tworzenie własnych. Grupy mogą być używane do: • Uproszczenia administracji dzięki przypisywaniu uprawnień do współdzielonych zasobów grupie zamiast indywidualnym użytkownikom. Takie nadanie uprawnień daje taki sam dostęp do zasobu dla wszystkich członków grupy. • Delegowania kontroli administracyjnej poprzez jednokrotne przypisanie praw użytkownika do grupy poprzez Zasady Grup (ang. Group Policy). Później wystarczy dodać członków do takiej grupy by uzyskali takie same prawa jak ta grupa. • Tworzenie list dystrybucyjnych poczty elektronicznej Grupy są charakteryzowane poprzez zasięg (ang. scope) i typ. Zasięg grupy określa czy jest ona widoczna tylko w domenie, w której została stworzona czy w też całym lesie. Typ grupy mówi nam, czy można ją użyć do przypisywania uprawnień (grupy zabezpieczeń), czy tylko jako listę dystrybucyjną poczty e-mail (grupy dystrybucyjne). Istnieją również grupy, w których nie można modyfikować ani wyświetlić członkostwa. Są one nazywane grupami specjalnymi lub tożsamościami specjalnymi. Reprezentują one różnych użytkowników w różnym czasie w zależności od okoliczności. Np. grupa Everyone jest grupą specjalną reprezentującą wszystkich aktualnych użytkowników sieci włączając w to gości i konta użytkowników z innych domen. Grupy domyślne Grupy domyślne są predefiniowanymi grupami zabezpieczeń tworzonymi automatycznie podczas instalacji domeny Active Directory. Mogą być używane do ułatwienia kontroli dostępu do współdzielonych zasobów i delegowania specyficznych administracyjnych ról związanych z domeną. Wiele domyślnych grup ma automatycznie przypisane zestawy praw, dzięki którym autoryzowani członkowie mogą wykonywać specyficzne czynności w domenie, takie jak logowanie do lokalnego systemu lub robienie kopii bezpieczeństwa plików i folderów (np. członkowie grupy Backup Operators mają prawa do przeprowadzenia operacji backupu dla wszystkich kontrolerów domeny. Dodanie użytkownika do grupy powoduje uzyskanie przez niego: • wszystkich praw przypisanych do grupy Strona 3/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami • wszystkich uprawnień, która grupa ma nadane do współdzielonych zasobów Grupy domyślne znajdujące się w kontenerze Builtin posiadają zasięg lokalnej domeny i nie może być zmieniony ani to, ani typ grupy. Pozostałe grupy są umieszczone w jednostce Users. Część z nich ma zasięg globalny a część lokalny w domenie. Można je przenieść z tego kontenera do innych grup lub jednostek organizacyjnych w domenie, lecz nie można tego zrobić do innych domen. Grupy w kontenerze Builtin Tabela 1 Grupy domyślne w AD w kontenerze Builtin wraz z ich charakterystyką Grupa Opis Domyślne prawa w systemie Account Operator Członkowie tej grupy mogą Allow log on locally; Shut down tworzyć, modyfikować i usuwać the system. konta użytkowników, grup, i komputerów znajdujących się w kontenerach Users, Computers i innych jednostkach organizacyjnych z wyłączeniem jednostki Domain Controllers. Członkowie tej grupy nie mają uprawnień do do modyfikowania grup Administrators i Domain Admin oraz nie mogą usuwać kont będącymi członkami tych grup. Mogą logować się lokalnie do kontrolerów domeny i mogą je wyłączać. Ponieważ grupa ta posiada znaczne możliwości należy dodawać do niej tylko zaufanych użytkowników. Administrators Członkowie tej grupy mają pełną kontrolę nad wszystkimi kontrolerami w domenie. Do grupy tej domyślnie należą grupy Domain Admins i Enterprie Admins oraz konto użytkownika Administrator. Ponieważ grupa ta posiada pełną kontrolę w domenie należy dodawać do niej tylko zaufanych użytkowników Strona 4/18 Access this computer from the network; Adjust memory quotas for a process; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects. Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Backup Operators Członkowie tej grupy mogą robić kopię bezpieczeństwa plików i ją odtwarzać na wszystkich kontrolerach w domenie niezależnie od indywidualnych uprawnień przypisanych do tych plików. Grupa ta może również logować do kontrolera domeny i go wyłączyć. Nie posiada domyślnych członków. Ponieważ grupa ta posiada duże prawa na kontrolerach domeny należy dodawać do niej tylko zaufanych użytkowników. Guest Domyślnie członkiem jej jest grupa Nie posiada domyślnych praw Domain Guest oraz konto Guest (domyślnie wyłączone) Incoming Forest Trust Builders Członkowie tej grupy mogą Nie posiada domyślnych praw tworzyć jednokierunkowe, przychodzące relacje zaufania do głównej domeny w lesie. Network Configuration Operators Członkowie tej grupy mogą Nie posiada domyślnych praw zmieniać ustawienia TCP/IP oraz odnawiać i usuwać adres IP na kontrolerach w domenie. Grupa nie ma domyślnych członków Performance Monitor User Członkowie tej grupy mogą Nie posiada domyślnych praw lokalnie lub zdalnie monitorować liczniki wydajności na kontrolerach domeny nie będąc członkami grup Administrators lub Performance Log Users Performance Log Users Członkowie tej grupy mogą Nie posiada domyślnych praw lokalnie lub zdalnie zarządzać licznikami wydajności na kontrolerach domeny nie będąc członkami grupy Administrators Pre-Windows 2000 Compatible Access Członkowie tej grupy moją prawo Access this computer from the czytania wszystkich użytkowników network; Bypass traverse i grup w domenie. Grupa ta jest checking. używana w celu zachowania wstecznej kompatybilności z systemami Windows NT 4.0 i wcześniejszymi Print Operators Członkowie tej grupy mogą Allow log on locally; Shut down zarządzać, tworzyć, współdzielić i the system. usuwać drukarki przyłączone do Strona 5/18 Back up files and directories; Allow log on locally; Restore files and directories; Shut down the system Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami kontrolerów domeny. Mogą również zarządzać obiektami drukarek w AD. Posiadają również prawo do lokalnego logowania się do kontrolera domeny i do jego wyłączenia. Nie posiada domyślnych członków. Ponieważ grupa ta może instalować i odinstalowywać sterowniki urządzeń na kontrolerach domeny, należy dodawać do niej tylko zaufanych użytkowników. Remote Desktop User Członkowie tej grupy mogą zdalnie Nie posiada domyślnych praw logować się do kontrolerów domeny. Nie posiada domyślnych członków Replicator Grupa ta wspiera replikację Nie posiada domyślnych praw katalogu i jest używana na kontrolerach domeny przez usługę File Replication. Nie posiada domyślnych członków. Nie dodaje się użytkowników do tej grupy. Server Operators Członkowie tej grupy mogą na kontrolerach domeny logować się interakcyjnie, tworzyć i usuwać udostępnione zasoby, uruchamiać i zatrzymywać niektóre usługi, robić backup i go odtwarzać, formatować twardy dysk i wyłączać serwer. Nie posiada domyślnych członków. Ponieważ grupa ta posiada duże prawa na kontrolerach domeny należy dodawać do niej tylko zaufanych użytkowników. Users Członkowie tej grupy mogą Nie posiada domyślnych praw wykonywać najbardziej typowe zadanie jak uruchamianie aplikacji, używanie lokalnych i sieciowych drukarek, zablokowanie serwera. Domyślnie członkami są grupy Domain Users, Authenticated Users i Interactive. Dodatkowo każde konto użytkownika tworzone w domenie jest członkiem tej grupy. Strona 6/18 Back up files and directories; Change the system time; Force shutdown from a remote system; Allow log on locally; Restore files and directories; Shut down the system Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Grupy w kontenerze Users Tabela 2 Grupy domyślne w AD w kontenerze Users wraz z ich charakterystyką Grupa Opis Domyślne prawa w systemie Cert Publisher Członkowie tej grupy są Nie posiada domyślnych praw uprawnieni do publikowania certyfikatów dla użytkowników i komputerów. Nie posiada domyślnych członków DnsAdmins Członkowie tej grupy mają Nie posiada domyślnych praw ( jest instalowana z administracyjny dostęp do usługi usługą DNS) serwera DNS. Nie posiada domyślnych członków. DnsUpdateProxy ( jest instalowana z usługą DNS) Członkowie tej grupy są klientami Nie posiada domyślnych praw DNS, mogącymi dokonywać dynamicznych aktualizacji w imieniu innych klientów jak np. serwery DHCP. Nie posiada domyślnych członków. Domain Admins Członkowie tej grupy mają pełną kontrolę nad domeną. Domyślnie, grupa ta jest członkiem grupy Administrators na wszystkich kontrolerach domeny, stacjach roboczych i serwerach członkowskich w czasie, gdy są przyłączone do domeny. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada pełną kontrolę w domenie należy dodawać do niej tylko zaufanych użytkowników. Domain Computers Grupa ta zawiera wszystkie stacje Nie posiada domyślnych praw robocze i serwery przyłączone do domeny. Domyślnie każde stworzone konto komputera jest automatycznie członkiem tej grupy. Strona 7/18 Access this computer from the network; Adjust memory quotas for a process; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects. Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Domain Controllers Grupa ta zwiera wszystkie Nie posiada domyślnych praw kontrolery domeny w domenie. Domain Guest Grupa ta zawiera domenowych gości Domain Users Grupa ta zawiera wszystkich Nie posiada domyślnych praw domenowych użytkowników. Domyślnie, każde konto użytkownika tworzone w domenie staje się członkiem tej grupy automatycznie. Może być użyta do reprezentowania wszystkich użytkowników w domenie. Enterprise Admin (pojawia się tylko w głównej domenie lasu) Członkowie tej grupy maja pełną kontrolę nad wszystkimi domenami w lesie. Domyślnie grupa ta jest członkiem grupy Administrators na wszystkich kontrolerach domen w lesie. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada pełną kontrolę w lesie należy dodawać do niej tylko zaufanych użytkowników wszystkich Nie posiada domyślnych praw Access this computer from the network; Adjust memory quotas for a process; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects. Group Policy Creator Członkowie tej grupy mogą Nie posiada domyślnych praw Owner modyfikować zasady grup (GPO) w domenie. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada znaczące prawa w domenie należy dodawać do niej tylko zaufanych użytkowników. IIS_WPG (instalowana z IIS) Grupa procesu roboczego Internet Nie posiada domyślnych praw Information Services (IIS). RAS and IAS Servers Serwery w tej grupie mają dostęp Nie posiada domyślnych praw do właściwości zdalnego dostępu użytkowników Strona 8/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Schema Admins (pojawia się tylko w głównej domenie lasu) Moduł 6 Zarządzanie grupami Członkowie tej grupy mogą Nie posiada domyślnych praw modyfikować schemat Active Directory. Domyślnie członkiem tej grupy jest konto Administrators. Ponieważ grupa ta posiada znaczące prawa w lesie należy dodawać do niej tylko zaufanych użytkowników. Zasięg grup Zasięg grupy określa czy może być ona użyta w domenie, w której istnieje czy w całym lesie. Wiąże się to również z tym, kto może być jej członkiem i czy ona sama może być zagnieżdżona w innej grupie. Dostępne są grupy o trzech zasięgach: domenowa grupa lokalna, globalna i uniwersalna. Domenowe grupy lokalne Członkami grup domenowych lokalnych mogą być inne grupy oraz konta z domen Windows Server 2003, Windows 2000, Windows NT i Windows Server 2008. Grupy te mogą mieć nadane uprawnienia tylko do zasobów znajdujących się w domenie. Grupy o zasięgu domenowym lokalnym pomagają definiować i zarządzać dostępem do zasobów w pojedynczej domenie. Mogą posiadać następujących członków: • • • • • Grupy o zasięgu globalnym Grupy o zasięgu uniwersalnym Konta Inne grupy o zasięgu domenowym lokalnym Mieszaninę powyższych Dla przykładu, chcąc dać dostęp pięciu użytkownikom do jakiejś drukarki, możemy dodać ich do listy uprawnień danej drukarki. Jeśli w przyszłości będziemy chcieli umożliwić tym użytkownikom korzystanie z nowej drukarki, ponownie będzie trzeba wyspecyfikować te pięć kont na liście uprawnień nowej drukarki. Korzystając ze strategii grup można ułatwić sobie administrowanie tworząc grupę z zasięgiem domenowym lokalnym i przypisując jej uprawnienia do drukarki. Następnie umieścić pięć kont użytkowników w grupie o zasięgu globalnym a tą grupę dodać do domenowej lokalnej. Jeśli w przyszłości będzie trzeba dodać tym użytkownikom uprawnienia do nowej drukarki, wystarczy dodać do jej listy uprawnień stworzoną wcześniej grupę o zasięgu domenowym lokalnym. Wszyscy członkowie grupy z zasięgiem globalnym otrzymają dostęp do urządzenia. Grupy o zasięgu globalnym Członkami grup globalnych mogą być inne grupy oraz konta, lecz tylko znajdujące się w domenie, w której grupa została zdefiniowana. Grupy te mogą mieć nadane uprawnienia w każdej domenie w lesie. Wskazane jest, aby grup globalnych używać do codziennego zarządzania obiektami katalogu, takimi jak konta użytkowników i komputerów. Ponieważ grupy globalne nie są replikowane poza własną domenę, można często zmieniać listę ich członków bez generowania ruchu związanego z replikacją katalogu globalnego. Grupa o zasięgu uniwersalnym Członkami grup uniwersalnych mogą być inne grupy oraz konta z dowolnej domeny w lesie. Grupy te mogą mieć nadane uprawnienia w każdej domenie w lesie. Strona 9/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Grup uniwersalnych można używać do łączenia grup z różnych domen. Aby to zrobić należy dodać konta do grup o zasięgu globalnym i zagnieździć je w grupach uniwersalnych. Kiedy używa się tej strategii, zmiany członkostwa w grupach globalnych nie mają wpływu na grupy uniwersalne. Typy grup Istnieją dwa typy grup: dystrybucyjne i zabezpieczeń. Grupy dystrybucyjne mogą być użyte tylko w aplikacji poczty elektronicznej ( np. Microsoft Exchange Server 2007) do wysyłania e-mail do kilku użytkowników. Grupy te nie mogą być wykorzystywane do funkcji związanych z zabezpieczeniami, co oznacza, że nie są wyświetlane na poufnych listach kontroli dostępu (ang. Discretionary Access Control Lists). Jeśli potrzebna jest kontrola dostępu do współdzielonych zasobów należy korzystać z grup typu zabezpieczeń. Korzystając z grup zabezpieczeń można: • Przypisywać prawa w AD DS. Prawa użytkownika są przypisywane do grup zabezpieczeń w celu określenia tego, co członkowie tych grup mogą zrobić w zasięgu domeny lub lasu. Prawa użytkownika są automatycznie przypisywanego do niektórych grup zabezpieczeń w czasie instalacji AD DS by pomóc zdefiniować administracyjne role w domenie. • Przypisywać uprawnienia do zasobów. Uprawnienia różnią się od praw użytkownika. Określają one, kto ma dostęp do zasobów i definiują poziom tego dostępu, np. Read lub Full Control. Niektóre uprawnienia do obiektów w domenie są nadawane automatycznie dając różny poziom dostępu dla domyślnych grup zabezpieczeń takich jak Account Operator czy Domain Admin Podobnie jak grupy dystrybucyjne, grupy zabezpieczeń również mogą być użyte, jako listy e-mail. Wysyłając wiadomość e-mail do grupy, zostanie on wysłany do wszystkich jej członków. Grupy specjalne W Microsoft Windows Server 2008, oprócz grup znajdujących się w kontenerach Users i Builtin istnieją grupy specjane (tożsamości specjane), nieposiadające typowych list członków, które można by modyfikować. Mogą one reprezentować różnych użytkowników w różnym czasie w zależności od ich aktywności. • Anonymous Logon – grupa reprezentuje użytkowników i usługi, które mają dostęp do komputera i jego zasobów poprzez sieć bez użycia nazwy konta, hasła i nazwy domeny. • Everyone – grupa reprezentuje wszystkich bieżących użytkowników sieci, włączając w to gości i użytkowników z innych domen. Zawsze, kiedy użytkownik loguje się do sieci jest automatycznie dodawany do tej grupy • Network – grupa reprezentuje użytkowników, którzy uzyskują dostęp do zasobu poprzez sieć w przeciwieństwie do użytkowników, którzy korzystają z tego zasobu po uprzednim lokalnym zalogowaniu się do komputera, na którym jest udostępniony dany zasób. Kiedy użytkownik uzyskuje dostęp do zasobu w sieci jest automatycznie dodawany do tej grupy. • Interactive – reprezentuje użytkowników zalogowanych lokalnie i uzyskujących dostęp do zasobu na tym komputerze. Zawsze, gdy użytkownik uzyskuje dostęp do zasobu na komputerze, na którym się lokalnie zalogował, jest automatycznie dodawany do tej grupy Interactive. Grupy specjalne mogą być wykorzystywane do przypisywania praw użytkownika i uprawnień, lecz lista członków nie może być modyfikowana ani wyświetlana. Zasięg grupy nie dotyczy tożsamości specjalnych. Strona 10/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Tworzenie grup W AD DS grupy są tworzone w domenach. Można do tego wykorzystać przystawkę Active Directory Users and Computers narzędzie wiersza poleceń. Posiadając odpowiednie uprawnienia grupy można tworzyć w dowolnym miejscu struktury AD. • Active Directory Users and Computers – w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New>Group. W oknie New Object – Group podajemy nazwę grupy, oraz wybieramy jej zasięg i typ. • Dsadd – narzędzie wiersza poleceń. dsadd group <GroupDN> [-samid<SAMName>] -secgrp {yes|no} –scope {l|g|u} gdzie: • • • • • <GroupDN> - nazwa wyróżniająca LDAP tworzonego obiektu grupy -samid – ustawia wartość SAMName <SAMName> - unikalna nazwa Security Accounts Manager (SAM) dla grupy. -secgrp – ustawia wartość typu grupy {yes|no} – specyfikuje, jaki typ grupy ma być utworzony, dla grupy zabezpieczeń (yes), dla dystrybucyjnej (no) • -scope - ustawia wartość zasięgu grupy • {l|g|u} – specyfikuje, jaki zasięg ma posiadać tworzona grupa, dla grupy domenowej lokalnej (l), dla globalnej (g) i uniwersalnej (u) Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z wykorzystaniem grup do efektywnego zarządzania prawami użytkowników i uprawnieniami Omówione zostały grupy dystrybucyjne i zabezpieczeń oraz grupy o zasięgu domenowym lokalnym, globalnym i uniwersalnym. Przedstawiono funkcje grup wbudowanych wraz z przypisanymi im prawami. Wyjaśniono, w jaki sposób tworzyć grupy i nimi zarządzać. Porady praktyczne • Zalecane jest, aby członkowie domyślnych grup z rozszerzonymi prawami w systemie wykorzystywali polecenia Run As do wykonywania zadań administracyjnych. • Wskazane jest używanie grup globalnych lub uniwersalnych zamiast domenowych lokalnych przy zarządzaniu uprawnieniami do obiektów Active Directory, które są replikowane przez katalog globalny. • Członkostwo grup uniwersalnych nie powinno być często modyfikowane, ponieważ zmiany takie są replikowane pomiędzy wszystkimi katalogami globalnymi w całym lesie. Z tego powodu wskazane jest by na liście członków grup uniwersalnych znajdowały się grupy (globalne lub uniwersalne) zamiast indywidualnych konta użytkowników. • Można przenosić grupy pomiędzy domenami. Możliwe jest to jednak tylko dla grup o zasięgu uniwersalnym. Prawa i uprawnienia przypisane do takiej przeniesionej grupy są tracone i musza być nadane na nowo. • Na komputerach z uruchomionym systemem Windows NT lub wcześniejszym, grupa Anonymous Logon domyślnie jest członkiem grupy Everyone. • Jeśli domena, w której tworzysz grupę ma skonfigurowany poziom funkcjonalności, jako Windows 2000 mixed, możesz wybrać tylko grupę typu zabezpieczeń zasięgu domenowym lokalnym lub zabezpieczeń. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: Strona 11/18 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • Moduł 6 Zarządzanie grupami rozumiesz, w jaki sposób uprościć zarządzanie przy pomocy grup umiesz stworzyć grupy i dodać do nich użytkowników potrafisz zastosować odpowiednie zasięgi typy grup wiesz co to są i czym się charakteryzują grupy wbudowane i grupy specjalne Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Informacje dotyczące tego modułu znajdują się w rozdziale drugim. Strona 12/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie, która posiada kilka oddziałów. Chcesz stworzyć na serwerze lokalną grupę, której członkowie będą mogli zarządzać kopiami bezpieczeństwa wykonywanymi na tym komputerze. Twoi koledzy przygotowali projekt grup domenowych, które należy utworzyć w Twojej lokalizacji. W pierwszym etapie postanawiasz stworzyć grupy obejmujące jeden dział – Human Resources. Projekt przewiduje stworzenie dwóch grup Globalnych dla działu HR. Członkami jednej mają być zwykli użytkownicy, a drugiej kadra zarządzająca średniego szczebla. Chcesz również stworzyć grupy Domenowe Lokalne, których członkowie będą mieli dostęp z odpowiednimi uprawnieniami do udostępnionych folderów. Grupa Uniwersalna będzie skupiała wszystkich użytkowników działu HR ze wszystkich domen Twojej organizacji. Musisz także przypisać użytkowników z działu HR do odpowiednich grup. Kolejny krok to przypisanie grup globalnych do odpowiednich grup domenowych lokalnych i grup globalnych do grupy uniwersalnej. Na koniec przypiszesz konto użytkownika odpowiedzialnego za zarządzanie członkostwem grup globalnych. Plan grup do stworzenia: Grupa lokalna: Operator kopii zapasowej Grupy domenowe: G Nazwakomputera HR Managers, G Nazwakomputera HR Personnel, DL Nazwakomputera HR Managers Full Control, U Nazwakomputera All HR, DL Nazwakomputera HR Personnel Read, G Nazwakomputera IT Admins Zadanie Tok postępowania 1. Uruchom maszynę wirtualną • Uruchom maszynę wirtualną 2008 Templ. 2. Zaloguj się na konto zwykłego użytkownika • • • • • 3. Stworzenie grupy lokalnej • Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Server Manager. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. • W drzewie konsoli rozwiń Server Manager (Nazwakomputera) -> Configuration -> Local Users and Groups. • Kliknij prawym przyciskiem myszy Groups. • Z menu kontekstowego wybierz New Group. • W oknie New Group w polu Group name wpisz Operator kopii zapasowej. • Naciśnij przycisk Create. • Naciśnij przycisk Close. 4. Stworzenie grup przy pomocy Active Directory Users and • Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control, w polu User name wpisz Naciśnij na klawiaturze Prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Strona 13/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Computers • • • • • • • • • 5. Stworzenie grup przy pomocy polecenia dsadd Moduł 6 Zarządzanie grupami NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. W oknie narzędzia Active Directory Users and Computers znajdź obiekt ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft. Naciśnij na nim prawy przycisk myszy i z menu kontekstowego wybierz New -> Group. W oknie New Object – Group w polu Group name wpisz G Nazwakomputera HR Managers i naciśnij OK. W drzewie konsoli ponownie naciśnij prawym przyciskiem myszy jednostkę organizacyjną Nazwakomputera i wybierz polecenie New -> Group. W oknie New Object – Group w polu Group name wpisz DL Nazwakomputera HR Managers Full Control. W sekcji Group scope zaznacz Domain local i naciśnij OK. W drzewie konsoli ponownie naciśnij prawym przyciskiem myszy jednostkę organizacyjną Nazwakomputera i wybierz polecenie New -> Group. W oknie New Object – Group w polu Group name wpisz U Nazwakomputera All HR. W sekcji Group scope zaznacz Universal i naciśnij OK. • Wybierz Start i w polu Start Search wpisz: runas /user:[email protected] cmd • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie wiersza poleceń wpisz: dsadd group "cn=G Nazwakomputera HR Personnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" – samid "G Nazwakomputera HR Personnel" -secgrp yes -scope g • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź, czy konto grupy zostało utworzone. • W oknie wiersza poleceń wpisz: dsadd group "cn=DL Nazwakomputera HR Personnel Read,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" –samid " DL Nazwakomputera HR Personnel Read" -secgrp yes -scope l • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź, czy konto grupy zostało utworzone. • W oknie wiersza poleceń wpisz: dsadd group "cn=G Nazwakomputera IT Admins,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft" –samid " G Nazwakomputera IT Admins" -secgrp no -scope g • W oknie narzędzia Active Directory Users and Computers odśwież widok i sprawdź, czy konto grupy zostało utworzone. 6. Dodanie członków do grup • Wybierz menu Start -> Administrative Tools i naciśnij prawym przyciskiem myszy Active Directory Users and Computers. • Z menu kontekstowego wybierz Run as Administrator. • W oknie User Account Control, w polu User name wpisz NazwakomputeraAdmin, w polu Password wpisz P@ssw0rd i naciśnij OK. • W oknie Active Directory Users and Computers kliknij prawym przyciskiem myszy nwtraders.msft. Strona 14/18 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 7. Dodawanie grup globalnych do grupy uniwersalnej Moduł 6 Zarządzanie grupami Z menu kontekstowego wybierz Find. W oknie Find Users, Contacts, and Groups wybierz zakładkę Advanced. Naciśnij przycisk Field -> User -> City. W polu Value wpisz Nazwakomputera i naciśnij Add. Naciśnij przycisk Field -> User -> Job Title. W polu Value wpisz HR Personnel i naciśnij Add. Wybierz Find now. Kliknij na pierwszego użytkownika w sekcji Search results. Trzymając wciśnięty przycisk Shift przewiń listę i kliknij na ostatnim użytkowniku. Kliknij prawym przyciskiem myszy na zaznaczonym obszarze i z menu kontekstowego wybierz Add to group. W oknie Select Group wpisz G Nazwakomputera HR Personnel i naciśnij OK. W oknie informacyjnym naciśnij OK. Zamknij okno Find Users, Contacts, and Groups. W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera HR Personnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. Z menu kontekstowego wybierz Properties. W oknie G Nazwakomputera HR Personnel wybierz zakładkę Members. Sprawdź czy na liście członków są konta użytkowników, które dodałeś. W oknie Active Directory Users and Computers kliknij prawym przyciskiem myszy nwtraders.msft. Z menu kontekstowego wybierz Find. W oknie Find Users, Contacts, and Groups wybierz zakładkę Advanced. Naciśnij przycisk Field -> User -> City. W polu Value wpisz Nazwakomputera i naciśnij Add. Naciśnij przycisk Field -> User -> Job Title. W polu Value wpisz HR Manager i naciśnij Add. Wybierz Find Now. Kliknij prawym przyciskiem myszy na użytkowniku w sekcji Search results i z menu kontekstowego wybierz Add to group. W oknie Select Group wpisz G Nazwakomputera HR Managers i naciśnij OK. W oknie informacyjnym naciśnij OK. Zamknij okno Find Users, Contacts, and Groups. W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera HR Managers,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. Z menu kontekstowego wybierz Properties. W oknie G Nazwakomputera HR Manager wybierz zakładkę Members. Sprawdź czy na liście członków jest użytkownik, którego dodałeś. • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=U Nazwakomputera All HR,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. Strona 15/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami • Z menu kontekstowego wybierz Properties. • W oknie U Nazwakomputera All HR Properties wybierz zakładkę Members. • Kliknij przycisk Add. • W oknie select Users, Contacts, Computers, or Groups wpisz G Nazwakomputera HR Personnel i naciśnij OK. • Kliknij przycisk Add. • W oknie select Users, Contacts, Computers, or Groups wpisz G Nazwakomputera HR Managers i naciśnij OK. • Naciśnij OK. 8. Dodawanie grup globalnych do grup domenowych lokalnych • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera HR Managers,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. • Z menu kontekstowego wybierz Properties. • W oknie G Nazwakomputera HR Managers Properties wybierz zakładkę Member Of. • Kliknij przycisk Add. • W oknie select Users, Contacts, Computers, or Groups wpisz DL Nazwakomputera HR Managers Full Control i naciśnij OK. • Kliknij przycisk OK. • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera HR Pesronnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. • Z menu kontekstowego wybierz Properties. • W oknie G Nazwakomputera HR Personel Properties wybierz zakładkę Member Of. • Kliknij przycisk Add. • W oknie select Users, Contacts, Computers, or Groups wpisz DL Nazwakomputera HR Personnel Read i naciśnij OK. • Kliknij przycisk OK. 9. Zmiana zakresu grupy i nazwy • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera IT Admins,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. • Z menu kontekstowego wybierz Properties. • W oknie G Nazwakomputera IT Admins na zakładce General w sekcji Group Scope zaznacz Universal. • W sekcji Group type zaznacz Security. • Naciśnij OK. • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera IT Admins,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. • Z menu kontekstowego wybierz Rename. • Wpisz U Vancouver IT Admins i naciśnij Enter. • W oknie Rename Group w polu Group name (pre-Windows 2000) wpisz U Vancouver IT Admins. Strona 16/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami • Naciśnij OK. 10. Przypisanie managera do grup globalnych • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera HR Managers,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. • Z menu kontekstowego wybierz Properties. • W oknie G Nazwakomputera HR Managers Properties wybierz zakładkę Managed By. • Kliknij przycisk Change. • W oknie Select Users, Contacts, Computers, or Groups wpisz NazwakomputeraUser i naciśnij OK. • Zaznacz opcję Manager can update membership list. • Naciśnij OK. • W oknie narzędzia Active Directory Users and Computers kliknij obiekt cn=G Nazwakomputera HR Personnel,ou=Nazwakomputera,ou=Locations,dc=nwtraders,dc=msft prawym przyciskiem myszy. • Z menu kontekstowego wybierz Properties. • W oknie G Nazwakomputera HR Personnel Properties wybierz zakładkę Managed By. • Kliknij przycisk Change. • W oknie Select Users, Contacts, Computers, or Groups wpisz NazwakomputeraUser i naciśnij OK. • Zaznacz opcję Manager can update membership list. • Naciśnij OK. Strona 17/18 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 6 Zarządzanie grupami Laboratorium rozszerzone Strona 18/18 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 7 Wersja 1 Zarządzanie dostępem do zasobów Spis treści Zarządzanie dostępem do zasobów ..................................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 7 Uwagi dla studenta ...................................................................................................................... 7 Dodatkowe źródła informacji....................................................................................................... 8 Laboratorium podstawowe .................................................................................................................. 9 Problem 1 (czas realizacji 45 min)................................................................................................ 9 Laboratorium rozszerzone ................................................................................................................. 16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Informacje o module Opis modułu W module tym znajdziesz informacje na temat zarządzania dostępem do zasobów. Poznasz uprawnienia standardowe i specjalne, oraz dowiesz się, w jaki sposób nadawać je użytkownikom do obiektów. Zostanie wyjaśnione pojęcie dziedziczenia uprawnień oraz sposób, w jaki można je wykorzystać. Cel modułu Celem modułu jest zapoznanie z zagadnieniami dotyczącymi zarządzania dostępem do zasobów a w szczególności nadawanie uprawnień do folderów udostępnionych i na poziomie NTFS Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, co to są uprawnienia i jak z nich skorzystać definiując poziom dostępu do zasobu • potrafił stworzyć udostępniony folder i nadać do niego uprawnienia dla użytkowników i grup • rozumiał, na czym polega dziedziczenie uprawnień Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Przygotowanie teoretyczne Przykładowy problem Twoim zadaniem jest stworzenie odpowiedniej struktury katalogów, w której użytkownicy z poszczególnych działów będą przechowywać swoje dokumenty, oraz przypisać dla nich odpowiednie uprawnienia w taki sposób, by tylko osoby z odpowiednich działów miały dostęp do odpowiadającym im folderów. Dodatkowo w jednym z folderów będą zainstalowane udostępnione aplikacje. Musisz odpowiednio nadać uprawnienia do niego. Podstawy teoretyczne Kontrola dostępu Kontrola dostępu jest procesem autoryzacji użytkowników, grup i komputerów podczas dostępu do obiektu w sieci lub na komputerze. Kluczowymi pojęciami z tym związanymi są uprawnienia, własność obiektu, dziedziczone uprawnienia, prawa użytkownika i audyt obiektu. Uprawnienia Uprawnienia definiują typ dostępu przydzielany użytkownikowi lub grupie do obiektu lub do właściwości obiektu. Używając interfejsu kontroli dostępu, można nadawać uprawnienia NTFS do obiektów takich jak pliki i foldery, obiektów Active Directory, rejestrów lub obiektów systemu takich jak procesy. Uprawnienia mogą być przypisane do użytkownika, grupy lub komputera. Dobrą praktyką jest nadawanie uprawnień dla grup, ponieważ zwiększa to wydajność systemu podczas weryfikowania dostępu do obiektu. Do każdego obiektu można nadać uprawnienia dla: • grup, użytkowników i innych obiektów posiadających identyfikator zabezpieczeń (SID) w domenie • grup i użytkowników w domenie i domenach zaufanych • lokalnych użytkowników i grup na komputerach gdzie dany obiekt się znajduje Uprawnienia związane z obiektem zależą od jego typu. Np. uprawnienia, które mogą być związane z plikiem mogą być różne od uprawnień dotyczących klucza rejestru. Jednak niektóre uprawnienia są wspólne dla większości typów obiektów. Są to: • • • • Read Modify Change owner Delete Ustawiając uprawnienia definiujemy poziom dostępu dla grup lub użytkowników. Np. możemy pozwolić jednemu użytkownikowi czytać zawartość pliku, innemu robić w nim zmiany, a wszystkim innym zabronić do niego dostępu. Podobnie można ustawić uprawnienia do drukarki gdzie kilku użytkowników może ją konfigurować a pozostali używać tylko do drukowania. Właściciel obiektu Właściciel jest przypisywany w momencie, gdy obiekt jest tworzony. Domyślnie, właścicielem obiektu jest jego twórca. Nie ma znaczenia, jakie posiada on uprawnienia do obiektu, ponieważ zawsze może je zmienić. Dziedziczenie uprawnień Dziedziczenie ułatwia administratorom nadawanie uprawnień i zarządzanie nimi. Właściwość ta polega na tym, że obiekty znajdujące się w kontenerze automatycznie otrzymują wszystkie dziedziczone od niego uprawnienia. Np. wszystkie pliki w folderze w momencie tworzenia dziedziczą uprawnienia od tego folderu. Strona 3/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Prawa użytkownika Prawa użytkownika dają specyficzne przywileje dla użytkowników i grup w środowisku komputerów. Administrator może przypisywać określone prawa do grup lub kont indywidualnych użytkowników. Umożliwiają one użytkownikom wykonywanie specyficznych akcji takich jak interaktywne logowanie do systemu czy wykonywanie kopii zapasowej plików i folderów. Prawa użytkownika różnią się od uprawnień, ponieważ są przypisywane do kont użytkownika, a uprawnienia są połączone z obiektem. Mimo, że prawa użytkownika mogą być przypisywane do indywidualnych kont użytkowników, zalecane jest by nadawać je korzystając z grup. Do przypisywania praw użytkownikom wykorzystywana jest przystawka Local Security Settings. Audyt obiektu Posiadając prawa administratora można śledzić zakończone sukcesem lub porażką dostępy użytkowników do obiektów. Korzystając z interfejsu kontroli dostępu użytkownika można wybrać obiekt, który chcemy sprawdzać, lecz najpierw trzeba uruchomić tą funkcjonalność przy pomocy przystawki Local Security Settings włączając Audit object Access w Local Policy. Następnie można zobaczyć te powiązane z bezpieczeństwem zdarzenia w dzienniku Security w narzędziu Event Viewer. Zarządzanie uprawnieniami Każdy kontener i obiekt w sieci posiada połączony ze sobą zbiór informacji o kontroli dostępu. Informacje te służą do kontroli typu dostępu dla użytkowników i grup. Uprawnienia są zdefiniowane w deskryptorze bezpieczeństwa obiektu i są przypisane do użytkowników i grup. Typowym przykładem obiektu z deskryptorem zabezpieczeń jest plik. Np. dla pliku raport.xls wbudowana grupa Administrators może posiadać uprawnienia Full Control, a grupa G Finanse tylko Read i Write. Każde przypisanie uprawnień do użytkownika lub grupy jest reprezentowane w systemie, jako zapis kontroli dostępu (ang. access control entry). Zbiór takich zapisów w deskryptorze zabezpieczeń obiektu jest znany, jako lista kontroli dostępu (ang. access control list). W ten sposób do pliku raport.xls lista ACL posiada dwa wpisy ACE, jeden dla grupy Administrators i drugi dla G Finanse (Rys. 1). Rys. 1 Okno interfejsu kontroli dostępu Strona 4/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Istnieją dwa typy uprawnień: • Uprawnienia przypisane bezpośrednio – nadawane bezpośrednio na obiekcie przez użytkownika. • Uprawnienia dziedziczone – propagowane do obiektu od obiektu nadrzędnego (rodzica). Ułatwiają zadania związane z zarządzaniem uprawnieniami i zapewniają spójność uprawnień dla wszystkich obiektów wewnątrz kontenera. Domyślnie, obiekty wewnątrz kontenera dziedziczą od niego uprawnienia w momencie, kiedy są tworzone. Na przykład, kiedy tworzymy folder o nazwie MojeRaporty, wszystkie tworzone w nim podfoldery i pliki automatycznie dziedziczą od niego uprawnienia. Folder MojeRaporty posiada uprawnienia przypisane bezpośrednio a podfoldery i pliki mają uprawnienia dziedziczone. Jeśli uprawnienia nie maja być dziedziczone należy w folderze nadrzędnym w ustawieniach uprawnień specjalnych w sekcji Apply onto wybrać opcję This folder only. Uprawnienia specjalne dostępne są poprzez zakładkę Permissions. W przypadku, gdy chcemy by tylko kilka plików lub folderów w kontenerze nie dziedziczyło uprawnień należy wybrać na każdym z nich polecenie Properties, następnie zakładkę Security, kliknąć przycisk Advanced a potem odznaczyć opcję Include inheritable permissions from this object’s parent. Jeśli check box Allow lub Deny powiązany z uprawnieniem jest wyszarzony, oznacza to uprawnienie jest dziedziczone z folderu nadrzędnego. Są trzy metody zmiany dziedziczonych uprawnień: • Zaznaczyć przeciwne uprawnienie (Allow lub Deny), aby nadpisać dziedziczone uprawnienie • Wyczyścić check box Include inheritable permissions from this object’s parent. Będzie wtedy można zmodyfikować dziedziczone uprawnienie lub usunąć użytkownika lub grupę z listy ACL. W takim wypadku uprawnienia plik lub folder nie będzie dłużej dziedziczył uprawnień od folderu nadrzędnego • Zrobić pożądaną zmianę na folderze nadrzędnym, a plik lub folder poniżej odziedziczy ustawienie W większości przypadkach ustawienie Deny nadpisuje Allow, nie dotyczy to sytuacji, kiedy folder dziedziczy konfliktowe ustawienia od różnych rodziców. W takim wypadku obiekt dziedziczy ustawienie od rodzica bliższego w drzewie folderów. Zarządzając dostępem możemy korzystać z uprawnień standardowych i specjalnych. Uprawnienia standardowe są zdefiniowanymi zastawami uprawnień wykorzystywanymi najczęściej przez administratorów w codziennym zarządzaniu. Uprawnienia specjalne są bardziej szczegółową listą uprawnień. Z nich budowane są uprawnienia standardowe. Tabela 1 Uprawnienia standardowe i wchodzące w ich skład uprawnienia szczegółowe Uprawnienia specjalne Full Modify Read & List Folder Control Execute Contents (tylko dla folderów) Read Write Traverse Folder/Execute File x x x x List Folder/Read Data x x x x x Read Attributes x x x x x Read Extended Attributes x x x x x Create Folders/Append Data x x x Create Folders/Append Data x x x Write Attributes x X x Strona 5/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Write Extended Attributes x x x Delete Subfolders and Files x Delete x x Read Permissions x x x x x x Change Permissions x Take Ownership x Synchronize x x x x x x Dostęp do folderu na serwerze plików może być określony na dwóch poziomach: uprawnień ustawionych na udostępnionym folderze i uprawnień NTFS zdefiniowanych na folderze (mogą być także na pliku). Uprawnienia udostępnienia często są wykorzystywane przy zarządzaniu dostępem do komputerów z systemem plików FAT32, lub innych komputerów nieobsługujących systemu NTFS. Uprawnienia udostępnienia i NTFS są niezależne w sensie ustawiania ich na folderze. Rzeczywiste uprawnienia do udostępnionego folderu zależą zarówno od uprawnień do udostępnionego folderu jak i od uprawnień NTFS – bardziej restrykcyjne są obowiązujące. Tabela (Tabela 2) przedstawia sugerowane uprawnienia dla różnych typów udostępnionych folderów. Jest to jedna z alternatyw, ponieważ niektórzy doświadczeni administratorzy preferują nadawanie uprawnień Full Control dla grupy Everyone, a ograniczanie dostępu dopiero na poziomie NTFS. Tabela 2 Sugerowane uprawnienia dla różnych typów folderów Typ folderu Uprawnienia udostępnionego Uprawnienia NTFS folder Folder Publiczny Folder dostępny dla wszystkich Nadane uprawnienie Nadane uprawnienie Modify Change do grupy Users dla grupy Users Folder do wrzucania Nadane uprawnienie Nadane uprawnienie Write Change dla grupy Users. zastosowane tylko do tego Folder gdzie użytkownicy folderu (ang. This folder only) mogą umieszczać tajne Nadane uprawnienie Full dla grupy Users (opcja raporty, które czytać Control dla grupy dostępna w Advanced). mogą tylko grupy kierowników kierowników Jeśli każdy z użytkowników potrzebuje pewnych uprawnień do plików, które umieścił w tym folderze, można stworzyć wpis uprawnień dla grupy Creator Owner i zasosować do do podfolderów i plików (ang. Subfolder and files Only Folder aplikacji Folder zawierający Nadane uprawnienie Nadane uprawnienie Read dla grupy Users. Read,Read and Execute i List folder Content dla grupy Strona 6/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów aplikacje uruchamiane z sieci Foldery domowe Indywidualny folder dla każdego użytkownika. Tylko użytkownik ma do niego dostęp Users. Nadane uprawnienie Full Control dla każdego użytkownika na odpowiadającym mu folderze. Nadane uprawnienie Full Control dla każdego użytkownika na odpowiadającym mu folderze. Każdy obiekt posiada zbiór połączonych z nim efektywnych uprawnień. Na zakładce Effective Permissions w opcjach Advanced Security Settings można wyświetlić uprawnienia nadane bezpośrednio użytkownikowi oraz uzyskiwane przez niego poprzez przynależność do grup. Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z zarządzaniem dostępem do obiektów. Wyjaśnione zostały uprawnienia standardowe i specjalne, oraz zasady ich dziedziczenia. Omówiono, w jaki sposób nadawać uprawnienia do folderu udostępnionego i uprawnienia NTFS. Porady praktyczne • Dziedziczone uprawnienie, które jest zabronione (ang. Deny) nie uniemożliwia dostępu, jeśli obiekt ma bezpośrednio przypisane uprawnienie zezwalaj (ang. Allow). Uprawnienie nadane bezpośrednio ma pierwszeństwo nad uprawnieniem dziedziczonym. • W systemie Wndows Server 2008 i Windows Server 2003, domyślnie grupa Everyone nie zawiera w sobie grupy Anonymous, więc uprawnienia przypisane grupie Everyone nie dotyczą grupy Anonymous • Pomimo tego że uprawnienia List Folder Contents i Read & Execute mają takie same uprawnienia szczegółowe, to są one dziedziczone w różny sposób. Uprawnienie List Folder Contents jest dziedziczone przez foldery, ale nie przez pliki i powinno być widoczne tylko, kiedy widzimy uprawnienia folderu. Uprawnienie Read & Execute jest dziedziczone zarówno przez pliki, jaki foldery i jest widoczne zawsze widoczne w podglądzie uprawnień plików i folderów. • Grupy i użytkownicy, którzy mają uprawnienie Full Control do folderu mogą usunąć dowolne pliki w folderze niezależnie od nadanych do nich uprawnień • Nadając użytkownikowi uprawnienie Full Control do folderu pozwala się jemu na przejęcie na własność tego folderu • Jeśli chcesz zarządzać dostępem do folderu tylko poprzez NTFS, nadaj uprawnienia do udostępnionego folderu, jako Full Control dka grupy Everyone. • Uprawnienia NTFS mają wpływ zarówno na dostęp lokalny jak i zdalny. Są wykorzystywane niezależnie od używanego protokołu. Uprawnienia udostępnionego folderu nie działają na użytkowników korzystających lokalnie z zasobu, oraz na użytkowników korzystających z serwera terminali, na którym jest udostępniony zasób. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • rozumiesz co to są uprawnienia • umiesz zarządzać uprawnieniami • potrafisz zarządzać dziedziczeniem uprawnień Strona 7/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów • wiesz, czym się różnią uprawnienia podstawowe od szczegółowych Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional.. Informacje dotyczące tego modułu znajdują się w rozdziale trzecim Strona 8/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie. Wraz z kolegami zaprojektowałeś strukturę folderów na dyskach serwerów Rys. 2 . Rys. 2 Projekt struktury folderów Musisz teraz stworzyć foldery, udostępnić je i przypisać uprawnienia do nich zgodnie z tabelą Tabela 3. Tabela 3 Uprawnienia do folderów Folder Grupa Uprawnienia NTFS Uprawnienia dla folderu udostępnionego E:\Public Authenticated Users Traverse Folder / Change Execute File List Folder / Read Data Read Permissions E:\Public\Accounting E:\Public\HR Nazwakomputera\Administrators Full Control DL NWTraders Accounting Personnel Full Control Full Control Nazwakomputera\Administrators Full Control DL NWTraders HR Personnel Full Full Control Control Nazwakomputera\Administrators E:\HR Reports Full Control DL NWTraders HR Personnel Full Control Full Control DL NWTraders Accounting Managers Read Read Należy również przeprowadzić testy, by mieć pewność, że użytkownicy mogą korzystać z folderów zgodnie z planem. Chcesz, by na zdalnym serwerze w centrali był stworzony folder NazwakomputeraFolder, udostępniony pod nazwą Nazwakomputera Admins Folder, w którym będzie przechowywana dokumentacja, z której korzystają wszyscy administratorzy przedsiębiorstwa. Usuń grupie Users uprawnienia NTFS do tego folderu, a grupie G NazwakomputeraAdmins daj uprawnienia Modify. Zabierz grupie Everyone uprawnienia do udostępnionego folderu i daj tylko dla G NazwakomputeraAdmins. Chcesz zezwolić na 15 jednoczesnych połączeń do tego folderu. Chcesz w przyszłości monitorować wykorzystanie przestrzeni dyskowej przez poszczególnych użytkowników. Po stworzeniu folderu HR skopiowałeś tam pliki działu Human Resources. Chcesz, by właścicielem ich był użytkownik HRManager. Strona 9/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Użytkownik NazwakomputeraUser zgłasza Tobie, że nie może zapisywać plików w folderze Public – sprawdź jego uprawnienia efektywne. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Zaloguj się na konto z uprawnieniami administracyjnymi • Uruchom maszynę wirtualną 2008 Templ. 3. Stwórz strukturę folderów i przypisz im uprawnienia • Na dysku E: stwórz folder Public. • Kliknij na nim prawy przycisk myszy i z menu kontekstowego wybierz Properties. • W oknie Public Properties wybierz zakładkę Sharing. • Kliknij przycisk Advanced Sharing. • W oknie User Account Control wybierz Continue. • W oknie Advanced Sharing zaznacz pole wyboru Share this folder. • Wybierz przycisk Permissions. • W oknie Permissions for Public w sekcji Group or user names zaznacz Everyone i naciśnij przycisk Remove. • Kliknij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz Authenticated Users i naciśnij OK. • W sekcji Permissions for Authenticated Users zaznacz pole Change w kolumnie Allow. • Naciśnij OK. • Naciśnij OK. • W oknie Public Properties wybierz zakładkę Security. • Wybierz przycisk Advanced. • W oknie Advanced Security Settings for Public wybierz przycisk Edit. • Odznacz opcję Include inheritable permissions from this object’s parents. • W oknie Windows Security wybierz Copy. • W sekcji Permision entries zaznacz System i kliknij przycisk Remove. • Powtórz czynność dla innych wpisów z pominięciem Administrators (Nazwakomputera\Administrators). • Kliknij przycisk Add. • W oknie Select User, Computers, or Group wpisz Authenticated User i naciśnij OK. • W oknie Permission Entry for Public w sekcji Apply to wybierz This folder only. • W sekcji Permissions zaznacz w kolumnie Allow: • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. — Traverse folder / execute file — List folder / read data — Read permissions • Naciśnij OK. Strona 10/16 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • Moduł 7 Zarządzanie dostępem do zasobów Naciśnij OK. Naciśnij OK. Naciśnij Close. W folderze Public stwórz dwa foldery: — Accounting — HR W trakcie tworzenia folderów pojawi się okno User Account Control. Należy wybrać przycisk Continue. • Kliknij prawym przycisk myszy folder fo Accounting i z menu kontekstowego wybierz Properties. • W oknie Accounting Properties wybierz zakładkę Security. • Wybierz W przycisk Continue. • W oknie User Account Control wybierz Continue.. • W oknie Permissions for Accounting kliknij Add. • W oknie Select User, Computers, or Group wpisz DL NWTraders Accounting Personnel Full Controli naciśnij OK. • W oknie Permissions for Accounting zaznacz Full Control w kolumnie Allow i naciśnij OK. • Naciśnij OK. • Kliknij prawym przyciskiem przycisk myszy folder HR i z menu kontekstowego wybierz Properties. • W oknie HR Properties wybierz zakładkę Security. • Wybierz przycisk Continue. • W oknie User Account Control wybierz Continue.. • W oknie Permissions for Accounting kliknij Add. • W oknie Select User, Computers, or Group wpisz DL NWTraders HR Personnel Full Control i naciśnij OK. • W oknie Permissions for Accounting zaznacz Full Control w kolumnie Allow i naciśnij OK. • Naciśnij OK. • Wyloguj się. 4. Testowanie uprawnień do folderów udostępnionych • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz HRUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter W Wybierz Start i w polu Start Search wpisz: \\ \Nazwakomputera\Public\Accounting Powinno pojawić się okno Network Error, Error w którym wybierz Diagnose. W oknie Windows Network Diagnostics zapoznaj się z komunikatem i naciśnij Cancel. • Wybierz W Start i w polu Start Search wpisz: E: :\Public\Accounting Powinno pojawić się okno Accounting z informacją o braku uprawnień - naciśnij Cancel. • Wybierz W Start i w polu Start Search wpisz: Strona 11/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów \\Nazwakomputera\Public\HR • Stwórz w folderze HR plik tekstowy. • Wybierz Start i w polu Start Search wpisz: E:\Public\HR • Stwórz w folderze HR plik tekstowy. • Wyloguj się. 5. Stworzenie i udostępnienie folderu HR Reports • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Na dysku E: stwórz folder HR Reports. Kliknij na nim prawy przycisk myszy i menu kontekstowego wybierz Properties. W oknie HR Reports Properties wybierz zakładkę Sharing. Kliknij przycisk Advanced Sharing. W oknie User Account Control wybierz Continue. W oknie Advanced Sharing zaznacz pole wyboru Share this folder. W oknie Comments wpisz Raporty działu Human Resources. Wybierz przycisk Permissions. W oknie Permissions for HR Reports w sekcji Group or user names zaznacz Everyone i naciśnij przycisk Remove. Kliknij przycisk Add. W oknie Select Users, Computers, or Groups wpisz DL NWTraders HR Personnel Full Control i naciśnij OK. W sekcji Permissions for DL NWTraders HR Personnel Full Control zaznacz pole Full Control w kolumnie Allow. Kliknij przycisk Add. W oknie Select Users, Computers, or Groups wpisz DL NWTraders Accounting Managers Read i naciśnij OK. W sekcji Permissions for DL NWTraders Accounting Managers Read sprawdź czy jest zaznaczone pole Read w kolumnie Allow. Naciśnij OK. Naciśnij OK. W oknie HR Reports Properties wybierz zakładkę Security. Naciśnij przycisk Edit. W sekcji Group or user names zaznacz Users. W sekcji Permisions for Users zaznacz Modify w kolumnie Allow. Naciśnij OK. Naciśnij Close. Wyloguj się • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz AccountingManager. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz Start i w polu Start Search wpisz: • • • • • • • • • • • • • 6. Testowanie udostępnionego folderu \\Nazwakomputera\HR Reports Strona 12/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów • Stwórz w folderze nowy plik tekstowy. Powinno pojawić się okno Destination Folder Access Denied. Denied Jeżeli nie, to oznacza, że nadano nieprawidłowe uprawnienia dla grup naciśnij Cancel. • • • • • • • Wyloguj się. Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz HRUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter W Wybierz Start i w polu Start Search wpisz: \\ \Nazwakomputera\HR Reports • Stwórz w folderze nowy plik tekstowy. Wylogu się Wyloguj 7. Tworzenie i udostępnianie folderu na zdalnym komputerze • • • • • • • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz [email protected]. [email protected] W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Wybierz menu Start -> Administrative Tools -> - Share and Storage Management Management. W oknie Share and Storage Management wybierz menu Action i polecenie Connect to another Computer. W oknie Connect to Another computer zaznacz Another computer i wpisz London. Naciśnij Ok. Wybierz menu Action -> Provision Share. W oknie Shared Folder Location w polu Location wpisz E: E:\NazwakomputeraFolder i naciśnij Next. W oknie informującym o braku folderu i pytaniu o jego stworzenie naciśnij OK. W oknie Provision a Shared Folder Wizard naciśnij Yes. W oknie NTFS Permission zaznacz Yes, change NTFS permissions i naciśnij przycisk Edit Permissions. W oknie Permissions for NazwakomputeraFolder naciśnij przycisk Advanced Advanced. W oknie Advanced Security Settings for NazwacomputeraFolder Nazwacomputera odznacz opcje Include inheritable permissions from this object’s parent parent. W oknie Windows Security naciśnij Copy. Naciśnij OK. W oknie Permissions for NazwakomputeraFolder zaznacz grupę Users i naciśnij przycisk Remove. Naciśnij przycisk Add. W oknie Select Users, Computers, or Groups wpisz G NazwakomputeraAdmins i naciśnij OK. W oknie Permissions for NazwakomputeraFolder w sekcji Permissions for G NazwakomuteraAdmins zaznacz uprawnienie Modify w kolumnie Strona 13/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Allow Allow. • Naciśnij OK. • W oknie NTFS Permission wybierz Next. • W oknie Share Protocols w polu Share name wpisz Nazwakomputera Admins Folder i naciśnij Next. • W oknie SMB Settings w polu Description wpisz Folder Administratorow miasta Nazwakomputera. • Wybierz przycisk Advanced. • W oknie Advanced na zakładce User Limits zaznacz Allow this number users i wpisz wartość 15. • Zaznacz pole Enable access-based enumeration i naciśnij OK. • W oknie SMB Settings naciśnij Next. • W oknie SMB Permissions zaznacz opcję Users and groups have custom share permissions i naciśnij przycisk Permissions. Permissions • W oknie Permissions for Nazwakomputera Admins Folder zaznacz grupę Everyone i naciśnij przycisk Remove. • Naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz G NazwakomputeraAdmins i naciśnij OK. • W sekcji Permisions for G NazwakomputeraAdmins zaznacz Change w kolumnie Allow • Naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz Administrators i naciśnij OK. • W sekcji Permisions for Administrators zaznacz Full Control w kolumnie Allow Allow. • Nacisnij OK. • W oknie SMB Permissions naciśnij Next. • W oknie DFS Namespace Publishing naciśnij Next. Next • W oknie Review Settings and Create Share naciśnij Create. • W oknie Confirmation naciśnij Close. • Wybierz Start i w polu Start Search wpisz \\London London. Zobacz, że wśród dostępnych udziałów na serwerze London jest stworzony przez Ciebie folder Nazwakomputera Admins Folder. Folder • Otwórz udział i stwórz w nim plik tekstowy. 8. Zmiana właściciela folderu • Otwórz folder E:\Public. • Kliknij prawym przyciskiem myszy naa folderze HR i z menu kontekstowego wybierz Properties. • Wybierz zakładkę Security. • Kliknij przycisk Advanced. • Wybierz zakładkę Owner. • Kliknij przycisk Edit. • Kliknij przycisk Other users or groups. • W oknie Select Users, Computers, or Groups wpisz HRManager i naciśnij OK. • Zaznacz opcję Replace owner on subcontainers and objects. objects • W sekcji Change owner to zaznacz HRManager. • Kliknij przycisk Apply. • W oknie Windows Security naciśnij OK. Strona 14/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Sprawdź, że w polu Current owner jest wyświetlene HRManager ([email protected]). • Naciśnij OK. • Naciśnij OK. • Naciśnij OK. 9. Sprawdzenie uprawnień do folderu • Kliknij prawym przyciskiem myszy na folderze E:\Public i z menu kontekstowego wybierz Properties. • Wybierz zakładkę Security. • Kliknij przycisk Advanced. • Wybierz Wybi zakładkę Effective Permissions. • Kliknij przycisk Select • W oknie Select Users, Computers, or Groups wpisz NazwakomputeraUser i naciśnij OK. awdź jakie uprawnienia posiada W sekcji Effective permissions sprawdź użytkownik NazwakomputeraUser. • Naciśnij OK. • Naciśnij OK. Strona 15/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Laboratorium rozszerzone Strona 16/16 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 8 Wersja 1 Zarządzanie składowaniem danych Spis treści Zarządzanie składowaniem danych ..................................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 8 Uwagi dla studenta ...................................................................................................................... 9 Dodatkowe źródła informacji....................................................................................................... 9 Laboratorium podstawowe ................................................................................................................ 10 Problem 1 (czas realizacji 45 min).............................................................................................. 10 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych Informacje o module Opis modułu W module tym znajdziesz informacje dotyczące zarządzania danymi przechowywanymi na serwerach Dowiesz się jak, jak zwiększyć bezpieczeństwo danych przy wykorzystaniu szyfrowania plików. Poznasz sposób tworzenia wirtualnej przestrzeni nazw i replikacji folderów miedzy serwerami. Dowiesz się, w jaki sposób ograniczać użytkownikom dostępne miejsce na serwerach oraz możliwość zapisywania określonych typów plików. Poznasz narzędzia raportowania. Cel modułu Celem modułu jest zapoznanie z zagadnieniami związanymi ze składowaniem danych, a w szczególności z szyfrowaniem danych EFS, systemem DFS, oraz narzędziem File Server Resource Manager. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, jak zarządzać danymi przechowywanymi na dyskach serwerów • potrafił skonfigurować wirtualną przestrzeń nazw i replikacje folderów, oraz nałożyć ograniczenia związane zapisywanymi danymi na dyski serwerów • rozumiał, w jaki sposób działa EFS, oraz usługi DFS Wymagania wstępne Przed przystąpieniem do pracy z tym modułem powinieneś: • znać zagadnienia związane z nadawaniem uprawnień do folderów i plików Mapa zależności modułu Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem do realizacji tego modułu należy zapoznać się z materiałem zawartym w module 7 Rys. 1 Mapa zależności modułu Strona 2/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych Przygotowanie teoretyczne Przykładowy problem Ostatnio Twoja firma straciła dwa notebooki. Jeden został skradziony przedstawicielowi handlowemu a drugi jednemu z dyrektorów. Oba pracowały w domenie, więc złodziej chcąc dostać się do nich musi wprowadzić hasło, ale jeśli będzie sprytny to poradzi sobie w inny sposób. Chcesz zwiększyć bezpieczeństwo firmowych danych, szczególnie tych przechowywanych na komputerach przenośnych. Chcesz także by użytkownikom z różnych oddziałów łatwiej i wydajniej pracowało się na wspólnych folderach. Idealnie by było, gdyby takie same foldery z danymi znajdowały się w każdej lokalizacji i by ich zawartość zawsze była aktualna. Wczoraj zauważyłeś, że na jednym z woluminów serwera szybko ubywa wolnej przestrzeni. Przeglądają pobieżnie foldery zauważyłeś, że jeden z użytkowników przechowuje w nim dużo zdjęć i filmów. Chcesz ograniczyć dostępną dla użytkowników przestrzeń, co zmusi ich do efektywniejszego nią zarządzania. Postanawiasz ustawić limit na 1 GB, ale przy przekroczeniu 800 MB chcesz być o tym powiadamiany. Chcesz również sprawdzić czy użytkownicy nie zajmują niepotrzebnie przestrzeni dyskowej przechowując w swoich folderach zdublowane pliki Podstawy teoretyczne System szyfrowania plików (ang. Encrypting File System) System szyfrowania plików (EFS) udostępnia podstawową technologię szyfrowania dla przechowywanych plików na dyskach z systemem plików NTFS. Funkcje zabezpieczeń związane z autentykacją logowania i uprawnieniami do plików zabezpieczają zasoby sieciowe przed nieautoryzowanym dostępem. Jednak każdy, kto posiada fizyczny dostęp do komputera np. do skradzionego notebooka może obejść zabezpieczenia systemu operacyjnego instalując nowy system na komputerze, dzięki czemu uzyska dostęp do danych. Szyfrując ważne dane z wykorzystaniem EFS dodajemy inną warstwę zabezpieczeń. Zaszyfrowane pliki pozostają bezpieczne nawet, jeśli atakujący posiada pełen dostęp do nośnika danych na komputerze. Technologia szyfrowania wykorzystana w EFS jest oparta na kluczach publicznych i korzysta ze zintegrowanych usług systemowych, czyniąc ją łatwą w zarządzaniu, trudną do ataku i przezroczystą dla użytkownika. Jeśli użytkownik próbujący otworzyć zaszyfrowany plik posiada powiązany z nim prywatny klucz, to będzie mógł korzystać z pliku i pracować z nim jak z normalnym dokumentem. Użytkownik bez prywatnego klucza do pliku będzie miał zabroniony dostęp. Ponieważ EFS jest mocno zintegrowany z NTFS, szyfrowanie i deszyfrowanie jest transparentne. Kiedy użytkownik otwiera plik, jest on deszyfrowany przez EFS i dane mogą być odczytane z dysku. W momencie zamknięcia pliku, EFS szyfruje go i zapisuje na dysku. Autoryzowani użytkownicy mogą nie zdawać sobie sprawy, że pracują na zaszyfrowanych plikach, ponieważ nie jest to dla nich widoczne. EFS jest szczególnie użyteczny do w stosunku do ważnych danych przechowywanych na przenośnych komputerach używanych przez konsultantów i przedstawicieli handlowych, którzy często pracują poza biurem. Może również być wykorzystywany na komputerach współdzielonych przez kilku pracowników. W domyślniej konfiguracji EFS umożliwia włączenie szyfrowania plików bez szczególnych administracyjnych zabiegów. Z punktu widzenia użytkownika jest po prostu ustawieniem odpowiedniego atrybutu pliku. Szyfrować można również całe foldery, wtedy każdy stworzony lub dodany do niego plik będzie szyfrowany. Odszyfrować plik mogą tylko autoryzowani użytkownicy i wskazani agenci odzyskiwania (ang. data recovery agents). Inni użytkownicy mimo posiadania Strona 3/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych odpowiednich uprawnień NTFS - nawet uprawnienia Take Ownership – nie mogą go otworzyć bez autoryzacji. Dotyczy to również użytkownika z prawami lokalnego administratora, jeśli nie jest on agentem odzyskiwania (DRA). EFS wykorzystuje standardową procedurę kryptograficzną szyfrowania kluczy. Dane, w celu zachowania szybkości działania są szyfrowane przy użyciu symetrycznego klucza szyfrowania pliku (FEK). FEK jest następnie szyfrowany bezpieczniejszym kluczem asymetrycznym. W momencie, kiedy użytkownik szyfruje plik, EFS używa unikalnego klucza FEK do zaszyfrowania danych a potem szyfruje FEK przy pomocy klucza publicznego z publicznego klucza certyfikatu należącego do użytkownika. Zaszyfrowany FEK jest przechowywany w nagłówku pliku (tzw. EFS metadata). Kiedy użytkownik deszyfruje plik, EFS odszyfrowuje FEK korzystając z prywatnego klucza i wykorzystuje go do deszyfracji pliku. Zaszyfrowany plik zawiera zaszyfrowane dane i nagłówek z polem do przechowywania kopii zaszyfrowanego FEK dla autoryzowanych użytkowników zdefiniowanych, jako agenci odzyskiwania. Właściwości związane z szyfrowaniem plików: • Nie można szyfrować systemowych plików i folderów • Nie można szyfrować plików i folderów, które są skompresowane • Jeśli szyfrowany jest cały folder to tymczasowe kopie zaszyfrowanych plików również pozostają zaszyfrowane • Kopiując plik do zaszyfrowanego folderu zostanie on zaszyfrowany. Plik przenoszony do folderu pozostanie w stanie, w jakim był przed wcześniej. • Jeśli plik jest przenoszony lub kopiowany do innego systemu plików, szyfrowanie jest usuwane. • Szyfrowanie pliku nie ma wpływu na przypisane do niego uprawnienia. Administrator nadal może skasować plik nawet, jeśli po zaszyfrowaniu nie może go otworzyć. • Dodatkowi użytkownicy mogą być autoryzowani do dostępu do zaszyfrowanego pliku. • Można szyfrować pliki Offline • Zaszyfrowane pliki mogą być przechowywane w folderach sieci Web przy użyciu WebDav • EFS może być używany z klastrami • Każdy użytkownik, który może deszyfrować plik może również dać do niego dostęp innym użytkownikom –nie jest to limitowane do właściciela pliku. Dlatego powinno się autoryzować tylko zaufane osoby. • Współdzielenie zaszyfrowanych plików wymaga by autoryzowani do ich odczytu użytkownicy mieli dostęp do certyfikatów EFS. Można w tym celu skorzystać z profili mobilnych, przechowywać certyfikaty w profilach użytkowników na komputerach przechowujących zaszyfrowane pliki lub mogą być przechowywane i dostarczane przez Active Directoy. W celu zaszyfrowania pliku lub folderu należy w Windows Explorer kliknąć prawym przyciskiem myszy dany obiekt i z meny kontekstowego wybrać polecenie Properties. W oknie właściwości, na zakładce General klikamy polecenie Advanced. W oknie Advanced Attributes zaznaczamy opcję Encrypt contents to secure data i klikamy OK. W tym samym oknie pod przyciskiem Detail istnieje możliwość wskazania dodatkowych użytkowników, którzy będą mogli odszyfrować plik. System DFS Distributed File System (DFS) jest częścią roli serwera plików (ang. File Services). W jego skład wchodzą dwa komponenty: • DFS Namespace • DFS Replication Do zarządzania nimi można wykorzystać przystawkę DFS Management znajdującą się w folderze Administrative Tools, lub narzędzia wiersza poleceń. Strona 4/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych DFS Namespace Przestrzeń nazw (ang. namespace) jest wirtualnym widokiem udostępnionych w organizacji folderów. Ścieżka do przestrzeni nazw jest podobna do ścieżki UNC (Universal Naming Convention) wskazującej na udostępniony folder np. \\Server1\Publiczne\Raporty. W tym przykładzie udostępniony folder Publiczne i jego podfolder Raporty znajduje się na komputerze Server1. Chcąc dać użytkownikom pojedyncze miejsce dostępu do danych, które są przechowywane na różnych serwerach (np. z powodu wydajności), można wdrożyć przestrzeń nazw podobnie jak przedstawiono to na rysunku (Rys. 2). Namespace Folder Targets Namespace Server Namespace Root Folder \\Nwtraders\Publiczne \\WAR-SVR1\Sprzedaż Raporty Sprzedaż Folder with Targets Warszawa \\GDA-SVR1\Sprzedaż Gdańsk Dok_techniczna \\GDA-SVR2\Dok_techniczna Gdańsk Rys. 2 Przykład wykorzystania DFS namespace • Namespace Server – serwer udostępniający usługę przestrzeni nazw. Może być realizowany na serwerze członkowskim lub kontrolerze domeny • Namespace Root – punkt startowy przestrzeni nazw. Na rysunku (Rys. 2), Public jest nazwą głównego węzła (root). Ścieżka do przestrzeni nazw, z której korzystają użytkownicy by dostać się do zasobów to \\Nwtraders\Publiczny. Jako że Nwtraders jest nazwą domeny, mówimy, że jest to rozwiązanie bazujące na domenie i w takim wypadku jego metadane są przechowywane w bazie Active Directory Domain Services. Dzięki temu możliwe jest wykorzystywanie wielu serwerów przestrzeni nazw, co zwiększa dostępność tej usługi. • Folder – folder niewskazujący na folder docelowy tworzy strukturę i hierarchię przestrzeni nazw. Folder wskazujący na folder docelowy udostępnia użytkownikowi zawartość. Kiedy użytkownik przegląda folder zawierający folder wskazujący na folder docelowy w przestrzeni nazw, komputer klienta otrzymuje wskaźnik, który transparentnie przekierowuje go do folderu docelowego. • Folder target – ścieżka UNC udostępnionego folderu lub innej przestrzeni nazw połączona z folderem w przestrzeni nazw. Wskazuje miejsce przechowywanie danych. Na rysunku (Rys. 2) folder o nazwie Sprzedaż posiada dwa foldery docelowe (folder target), jeden w Warszawie, a drugi w Gdańsku. Folder o nazwie Dok_techniczna ma pojedynczy folder docelowy w Gdańsku. Użytkownicy, którzy przeglądają \\Nwtraders\Publiczne\Raporty\Sprzedaż są przekierowywani do \\WAR-SVR1\Sprzedaż lub \\GDA-SVR1\Sprzedaż, w zależności od tego, w jakiej lokalizacji się znajdują. Przestrzeń nazw można stworzyć w czasie instalacji roli DFS Namespace lub później, uruchamiając przystawkę DFS Management z folderu Administrative Tools. W DFS Management należy kliknąć prawym przyciskiem myszy Namespace, wybrać polecenie New Namespace i postępować zgodnie ze wskazówkami kreatora. Strona 5/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych DFS Replication Replikacja DFS jest efektywnym silnikiem replikacji multiple- master, który można wykorzystać do synchronizowania folderów pomiędzy serwerami połączonymi łączem o ograniczonej przepustowości. Zastępuje znaną z wcześniejszych systemów Windows usługę Dile Replication Service (FRS). Replikacja DFS używa algorytmu kompresji znanego jako Remote Differential Compression (RDC). Wykrywa on zmianę danych w pliku i wyzwala replikację DFS, która synchronizuje tylko zmienione bloki w pliku zamiast całych plików. Używając DFS Replication, należy stworzyć grupę replikacji i dodać do niej replikowany folder. Składniki takie jak: Replication Group, Replicated Folders i Members są przedstawiene na rysunku ( Rys. 3). Replication Group jest zbiorem serwerów, zwanych członkami (ang. Members), biorącymi udział w replikacji jednego lub więcej folderu. Replicated folder jest folderem, którego zawartość jest synchronizowana pomiędzy każdym z członków grupy. Na rysunku są dwa replikowane foldery: Projekty i Raporty. Jeśli dane w którymś z folderów zostaną zmodyfikowane, to zmiany te zostaną replikowane poprzez połączenia (ang. connection) pomiędzy członkami grupy replikacji. Połączenia pomiędzy wszystkimi członkami tworzą topologię replikacji. Rys. 3 Przykład wykorzystanie DFS Replication Tworząc wiele replikowanych folderów w pojedynczej grupie replikacji upraszczamy proces zarządzania, ponieważ topologia, harmonogram i zdefiniowane pasmo dla grupy replikacji jest stosowane do każdego replikowanego folderu. Aby dołączyć Każdy z replikowanych folderów posiada swoje własne ustawienia, takie jak filtry plików i podfolderów, które ograniczają replikację określonej zawartości. Replikowane foldery przechowywane na różnych serwerach mogą znajdować się na ich różnych woluminach i nie muszą być folderami udostępnionymi ani częścią przestrzeni nazw. Strona 6/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych Administrować replikacją można przy pomocy narzędzi DFS Management oraz komend DfsrAdmin i Dfsrdiag. Namespace lub później, uruchamiając przystawkę DFS Management z folderu Administrative Tools. W DFS Management należy kliknąć prawym przyciskiem myszy Namespace, wybrać polecenie New Namespace i postępować zgodnie ze wskazówkami kreatora. File Server Resource Manager File Server Resource Manager jest zbiorem narzędzi, które pomagają administratorom zrozumienie, kontrolę i zarządzanie ilością i typem danych przechowywanych na serwerach. Przy ich użyciu można nakładać ograniczenia wykorzystania przestrzeni dyskowej, definiować, jakie typy plików mogą być przechowywane i generować pełne raporty dotyczące magazynów danych. Dzięki temu File Server Resource Manager jest pomocny nie tylko do efektywnego monitorowania istniejących zasobów, ale również do planowania i implementacji przyszłych zmian. Quota Używając File Server Resource Manager do tworzenia ograniczenia (ang. quota) dla dysku lub folderu, można limitować dla nich użycie przestrzeni dyskowej. Można stworzyć dwa rodzaje ograniczeń: • Hard quota – zabrania użytkownikom zapisywanie plików po przekroczeniu zdefiniowanego ograniczenia i jeśli zostało skonfigurowane, to generuje związane z tym powiadomienie • Soft quota – nie wymusza limitu ograniczenia ale generuje skonfigurowane powiadomienie. Aby określić, co się stanie po przekroczeniu limitu quoty, należy skonfigurować powiadomienie przekroczenia wartości granicznej (ang. threshold). Dla każdej wartości granicznej można zdefiniować powiadomienie e-mail, zapisanie w dzienniku zdarzeń, uruchomienie skryptu lub wygenerowanie raportu. Np. można wysłać powiadomienie do administratora i użytkownika zapisującego plik, jeśli folder przekroczy 80 procent nałożonego limitu, później wysłać inne powiadomienie, jeśli limit zostanie osiągnięty. Dodatkowo można np. uruchomić skrypt, który podniesie limit automatycznie. Tworząc ograniczenia na folderach lub woluminach można korzystać z szablonów ograniczeń (ang. quota template), lub wprowadzać swoje własne ustawienia. Screening Files Tworząc file screen blokujemy zapisywanie określonej grupy plików na woluminie lub w zdefiniowanym folderze. Np. można stworzyć file screen zabraniający użytkownikom przechowywanie plików audio i video w folderach osobistych na serwerze. Można skonfigurować File Server Resource Manager aby generowane były e-maile lub inne powiadomienia gdy taka sytuacja wystąpi. File Screen może być aktywny lub pasywny: • Aktywny nie zezwala na zapisywanie nieautoryzowanych plików na serwerze • Pasywny monitoruje zapisywanie specyficznych plików i generuje powiadomienia, ale nie zabrania ich zapisywania File Screen nie blokuje użytkownikom i aplikacjom dostępu do plików, które były zapisane wcześniej niż ograniczenie zostało nałożone. W celu uproszczenia administracji zalecane jest korzystanie z szablonów ograniczeń, które posiadają predefiniowane grupy blokowanych plików (pliki audio i video, pliki wykonywalne, pliki obrazów i pliki e-mail) oraz konfiguracje powiadamiania o próbie zapisu nieautoryzowanych plików. Strona 7/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych Storage Reports Korzystając ze Storage Reports Management można tworzyć zadania raportów (ang. report tasks), używanych do tworzenia pojedynczego lub okresowych raportów. Dostępne raporty zostały przedstawione w tabeli (Tabela 1). Tabela 1 Raporty dostępne w narzędziu File Server Resource Manager Raport Opis Duplicate Files Wyświetla zduplikowane pliki (pliki z identycznym rozmiarem i tym samym czasem ostatniej modyfikacji) File Screening Audit Wyświetla zdarzenia związane z File Screen, które wystąpiły na serwerze wyspecyfikowanym okresie Files by File Group Wyświetla pliki należące do zdefiniowanych grup Files by Owner Wyświetla pliki grupowane będących ich właścicielami Large Files Wyświetla pliki o określonym lub większym rozmiarze Least Recently Accessed Files Wyświetla pliki, które nie były używane przez określoną liczbę dni Most Recently Accessed Files Wyświetla pliki, które były używane w określonym czasie Quota Usage Wyświetla ograniczenia, których wykorzystanie jest wyższe, niż zdefiniowany procent według użytkowników Oprócz raportu Duplicate Files, wszystkie inne posiadają konfigurowalne parametry (zależne od typu raportu) wpływające na ich zawartość. Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane ze składowaniem danych. Wyjaśniono, w jaki sposób działa szyfrowanie EFS oraz usługi DFS w tym przestrzenie nazw i mechanizm replikacji folderów. Omówiono narzędzia dostępne w File Server Resource Manager oraz możliwości ich wykorzystania w codziennej administracji Porady praktyczne • Kiedy mówimy o szyfrowaniu plików ofline, w rzeczywistości szyfrowana jest cała baza plików offline a nie pojedyncze pliki. Indywidualne pliki nie wyświetlają atrybutu szyfrowania. • Pliki systemowe i pliki znajdujące się w folderze systemowym i jego podfolderach nie mogą być szyfrowane. • Plik nie może być jednocześnie skompresowany i zaszyfrowany • Agent odzyskiwania (DRA) nie jest domyślnie skonfigurowany, lecz zalecane jest stworzenie przynajmniej jednego agenta na wypadek gdyby konto oryginalnie użyte do zaszyfrowania okazało się niedostępne. • Można używać EFS do szyfrowania i deszyfrowania danych na zdalnym komputerze, lecz nie można wysłać zaszyfrowanych danych bez skonfigurowanego WebDAV (Web Distributed Authoring and Versioning). Oczywiście dla zabezpieczenia danych w czasie transmisji powinien być użyty IPSec Strona 8/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych • Nie jest zalecane szyfrowanie folderu Temp, ponieważ może to spowodować błędne funkcjonowanie niektórych aplikacji • Foldery mogą zawierać zarówno foldery docelowe jak i inne foldery DFS ale nie na tym samym poziomie w hierarchii. • Nie próbuj stworzyć przestrzeni nazw opartej na domenie w Windows Server 2008 dopóki poziomem funkcjonalności lasu nie jest Windows Server 2003 lub wyższy. Może się to objawic problemami z usunięciem folderów DFS. • Upewnij się, że wszystkie serwery z grupy replikacji znajdują się w tym samym lesie. Nie można włączyć replikacji serwerów pomiędzy lasami. • Sprawdź czy wszystkie serwery w grupie replikacji mają zainstalowany system Windows Server 2008 R2, Windows Server 2008 lub Windows Server 2003 R2. Replikacja DFS wspiera wszystkie edycje x64 Windows Server 2008 R2 i wszystkie edycje x64 i x86 Windows Server 2008. Replikacja DFS nie jest dostępna dla systemów opartych na Itanium. • Sprawdź u producenta Twojego systemu antywirusowego czy jest on kompatybilny z replikacją DFS. • Przechowuj replikowane foldery na systemie NTFS. • W celu zminimalizowania obciążenia wpływającego na wydajność serwera w czasie generowania raportów, generuj wiele raportów w jednym czasie. Dzięki temu potrzebne dane będą pobrane tylko raz. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • rozumiesz jak działa szyfrowanie EFS i usługi DFS • umiesz skonfigurować replikację folderów i przestrzeń nazw • potrafisz korzystać z narzędzia File Server Resource Manager Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Jonathan Hassell, Windows Server 2008 PL Przewodnik encyklopedyczny , Helion, 2008 Informacje dotyczące tego modułu znajdują się w rozdziale trzecim Strona 9/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie. Zarząd firmy chce mieć pewność, że do pewnych strategicznych danych nikt niepowołany nie będzie miał dostępu. Dostajesz polecenie utworzenia folderu Secret i nadania takich uprawnień NTFS, by wszyscy użytkownicy mogli tam dane zapisywać i je modyfikować. Użytkownicy powinni szyfrować przechowywane tam pliki, pozwalając wybranym przez siebie osobom na dostęp do nich. Na serwerze, którym zarządzasz przechowujesz folder Tools. Chcesz, by folder ten był dostępny także dla użytkowników w innej lokalizacji, którzy łączą się do serwera London. Postanawiasz zrobić replikę tego folderu. W Twojej firmie jest wiele serwerów, które udostępniają foldery. Użytkownicy zwracają Ci uwagę, że trudno im czasami nawigować pomiędzy wieloma udziałami na różnych komputerach. Jako przykład podają Ci folder Public z Twojego serwera i folder Nazwakomputera Admins Folder na serwerze London. Chcą by te dane były w jednym folderze. Chcesz na folderze Secret nałożyć ograniczenie, które nie pozwoli użytkownikom zapisać więcej niż 1GB danych. Chcesz również ograniczyć możliwość zapisywania plików graficznych i video. Twój dysk systemowy szybko się zapełnia. Chcesz sprawdzić czy ktoś nie zapisał na nim dużych plików, lub czy pliki na nim przechowywane nie dublują się Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Zaloguj się na konto z uprawnieniami administracyjnymi • Uruchom maszynę wirtualną 2008 Templ. 3. Stworzenie zaszyfrowanych plików, udostępnienie ich innym użytkownikom i test poprawności konfiguracji. • Na dysku E: stwórz folder Secret. • Kliknij na nim prawy przycisk myszy i z menu kontekstowego wybierz Properties. • W oknie Secret Properties wybierz zakładkę Security. • Wybierz przycisk Edit. • W sekcji Group or user names zaznacz Users (Nazwakomputera\Users). • W sekcji Permisions for Users zaznacz Modify w kolumnie Allow i naciśnij OK. • Naciśnij OK. • W folderze Secret stwórz plik raport.txt i umieść w nim dowolny tekst. • Kliknij plik raport.txt prawym przyciskiem myszy i z menu kontekstowego wybierz Properties. • Na zakładce General wybierz przycisk Advanced. • W oknie Advanced Attributes zaznacz opcję Encrypt contents to secure data i naciśnij OK. • Naciśnij OK. • W oknie Encryption Warning zaznacz opcję Encrypt the file only i naciśnij OK. • Wyloguj się. • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Strona 10/15 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • Moduł 8 Zarządzanie składowaniem danych Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter Otwórz plik raport.txt w folderze E:\Secret. Zostanie wyświetlony komunikat: Access is denied. denied Naciśnij przycisk Ok i zamknij okno. • W folderze Secret stwórz plik instrukcja.txt i umieść w nim dowolny tekst. • Kliknij plik instrukcja.txt prawym przyciskiem myszy i z menu kontekstowego wybierz Properties. • Na zakładce General wybierz przycisk Advanced. • W oknie Advanced Attributes zaznacz opcję Encrypt contents to secure data i naciśnij OK. • Naciśnij przycisk Apply. • W oknie Encryption Warning zaznacz opcję Encrypt the file only i naciśnij OK. • Na zakładce General wybierz przycisk Advanced. • W oknie Advanced Attributes wybierz przycisk Details. Details • W oknie User Access to E:\Secret\instrukcja.txt wybierz przycisk Add. • W oknie Encrypting File System zaznacz NazwakomputeraAdmin Nazwakomputera i naciśnij OK. • Naciśnij OK. • Naciśnij OK. • Naciśnij OK. • Wyloguj się. • Naciśnij na klawiaturze prawy Alt+Delete. • Naciśnij przycisk Switch User. • Naciśnij przycisk Other User. • W polu User Name wpisz NazwakomputeraAdmin Admin. • W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter • Otwórz plik instrukcja.txt w folderze E:\Secret. • Dopisz dowolny tekst i zamknij plik zapisując zmiany. • Kliknij plik raport.txt prawym przyciskiem myszy i z menu kontekstowego wybierz Properties. • Na zakładce General wybierz przycisk Advanced. • W oknie Advanced Attributes wybierz przycisk Details. Details • W oknie User Access to E:\Secret\raport.txt wybierz przycisk Add. • W oknie Encrypting File System zaznacz NazwakomputeraUser i naciśnij OK. • Naciśnij OK. • Naciśnij OK. • Naciśnij OK. • Wyloguj się. • Naciśnij na klawiaturze prawy Alt+Delete. • Naciśnij przycisk Switch User. • Naciśnij przycisk Other User. • W polu User Name wpisz NazwakomputeraUser. Strona 11/15 Radosław Frąckowiak ITA-107 Systemy operacyjne 4. Utworzenie repliki folderu na zdalnym serwerze Moduł 8 Zarządzanie składowaniem danych • • • • W polu Password wpisz P@ssw0rd i naciśnij Enter. Otwórz plik raport.txt w folderze E:\Secret. Dopisz dowolny tekst i zamknij plik zapisując zmiany. Wyloguj się. • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz [email protected]. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz menu Start -> Administrative Tools -> DFS Management. W drzewie konsoli kliknij prawym przyciskiem Replication. Z menu kontekstowego wybierz New Replikation Group. W oknie Replication Group Type naciśnij przycisk Next. W oknie Name and Domain w sekcji Name of replication group wpisz Nazwakomputera Tools. W sekcji Optional description of replication group wpisz Narzedzia uzywane w przedsiebiorstwie. Naciśnij Next. W oknie Replication Group Members wybierz przycisk Add. W oknie Select Computers wpisz Nazwakomputera i naciśnij OK. W oknie Multiple Names Found zaznacz komputer Nazwakomputera i naciśnij OK. W oknie Replication Group Members wybierz przycisk Add. W oknie Select Computers wpisz London i naciśnij OK. Naciśnij Next. W oknie Topology Selection wybierz Next. W oknie Replication group Schedule and Bandwidth wybierz Next. W oknie Primary Member rozwiń listę i wybierz Nazwakomputera. Naciśnij przycisk Next. W oknie Folders to Replicate wybierz przycisk Add. W oknie Add Folder to Replicate, w sekcji Local path of folder to replicate wpisz E:\Tools i naciśnij przycisk OK. W oknie Create Path naciśnij Yes. Wybierz przycisk Next. W oknie Local Path of Tools on Other Members naciśnij przycisk Edit. W oknie Edit zaznacz opcję Enabled. W sekcji Local path of folder wpisz E:\Nazwakomputera Tools i naciśnij przycisk OK. W oknie Create Path naciśnij Yes. Naciśnij przycisk Next. W oknie Review Settings and Create Replication Group przejrzyj zdefiniowane ustawienia i naciśnij przycisk Create. W oknie Confirmation poczekaj na wykonanie konfiguracji i naciśnij Close. W oknie Replication Delay naciśnij OK. W drzewie konsoli rozwiń Replication. Zaznacz Nazwakomputera Tools. Wybierz zakładkę Connections. Kliknij wiersz pod Sending Member: London. • • • • • • • • • • • • • • • • • • • • • • • • • • • • Strona 12/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych • W menu Action kliknij Replicate Now. • W oknie Replicate Now naciśnij OK. • W oknie Resume Schedule Successful naciśnij OK. OK Jeśli pojawią się błędy, należy chwilę poczekać, aż serwery się zsynchronizują. • Wybierz W Start i w polu Start Search wpisz: \\ \London\E$ • Wybierz W Start i w polu Start Search wpisz: runas /user:[email protected] cmd • Podaj hasło P@ssw0rd. • Porównaj zawartość folderów Nazwakomputera Tools na serwerze Lond i Tools na serwerze Nazwakomputera. London • Stwórz nowy plik tekstowy nowy.txt w lokalizacji \\\London\E$\Nazwakomputera Tools. • Przejdź do folderu folder Tools na swoim komputerze i zobacz, zo że nowo stworzony plik pojawił się. Plik powinien pojawić się po kilku sekundach. Jeśli nie jest widoczny należy odświeżyć widok (np. klawiszem funkcyjnym F5. • Otwórz plik nowy.txt, wpisz dowolny tekst i zamknij go zapisując zmiany. • Przejdź do folderu \\london\E$\Nazwakomputera Nazwakomputera Tools, Tools otwórz plik nowy.txt i zobacz, że zmiany w nim pojawiły się ( może to trwać kilka sekund) sekund). • Wyloguj się. 5. Utworzenie struktury przestrzeni nazw. • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Wybierz menu Start -> Administrative Tools i naciśnij prawym przycisk przyciskiem myszy DFS Management. Z menu kontekstowego wybierz Run as Administrator. Administrator W oknie User Account Control w polu User name wpisz [email protected] w polu Password wpisz P@ssw0rd [email protected], i naciśnij OK. W drzewie konsoli kliknij prawym przyciskiem Namespaces i z menu kontekstowego wybierz New Namespace. W oknie Namespace Server w polu Server wpisz Nazwakomputera i naciśnij przycisk Next. W oknie Namespace Name and Settings w polu Name wpisz Nazwakomputera Public Data. Naciśnij przycisk Edit Settings. W oknie Edit Settings w sekcji Shared folder permissions zaznacz opcję Administrators have full access; other users have read and write permissions i naciśnij przycisk OK. Naciśnij przycisk Next. W oknie Namespace Type naciśnij Next. Strona 13/15 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • • • • • Moduł 8 Zarządzanie składowaniem danych W oknie Review Settings and Create Namespace przejrzyj zdefiniowane ustawienia i naciśnij przycisk Create. Create W oknie Confirmation poczekaj na wykonanie konfiguracji i naciśnij Close Close. W drzewie konsoli kliknij prawym przyciskiem \\\nwtraders.msft\Nazwakomputera Nazwakomputera Public Data i z menu kontekstowego wybierz New Folder. W polu Name wpisz Public. Naciśnij przycisk Add. W oknie Add Folder Target wpisz \\Nazwakomputera Nazwakomputera\Public i naciśnij OK OK. Naciśnij OK. W drzewie konsoli kliknij prawym przyciskiem \\\nwtraders.msft\Nazwakomputera Nazwakomputera Public Data i z menu kontekstowego wybierz New Folder. W polu Name wpisz Nazwakomputera Admins Folder. Folder Naciśnij przycisk Add. W oknie Add Folder Target wpisz \\London\Nazwakomputera Nazwakomputera Admins Folder i naciśnij OK. Naciśnij OK. W Wybierz Start i w polu Start Search wpisz: \\ \Nazwakomputera • Otwórz folder Nazwakoputera Public Data i stwórz w nim dowolny plik tekstowy. • Otwórz folder Nazwakomputera Admins Folder. Pojawi się okno Network Error z informacją o braku dostępu. Użytkownik NazwakomputeraUser nie posiada uprawnień dostępu do tego folderu. • • • • • • • Wyloguj się Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz [email protected] [email protected]. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter W Wybierz Start i w polu Start Search wpisz: \\ \Nazwakomputera • Otwórz folder Nazwakomputera Public Data. • Otwórz folder Nazwakomputera Admins Folder i stwórz w nim plik tekstowy lab8.txt. • Wybierz W Start i w polu Start Search wpisz: \\ \London • Otwórz folder Nazwakomputera Admins Folder i zobacz, że plik tekstowy lab8.txt znajduje się w nim. • Wyloguj się. się 6. Nałożenie ograniczenia ilości zajmowanego miejsca na dysku • Naciśnij na klawiaturze prawy Alt+Delete. • Naciśnij przycisk Switch User. • Naciśnij przycisk Other User. Strona 14/15 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 8 Zarządzanie składowaniem danych przez pliki użytkowników. • W polu User Name wpisz NazwakomputeraUser. • W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter • Wybierz menu Start -> Administrative Tools i naciśnij prawym przycisk przyciskiem myszy File Server Resource Manager.. • Z menu kontekstowego wybierz Run as Administrator. Administrator • W oknie User Account Control w polu User name wpisz [email protected] w polu Password wpisz [email protected], P@ssw0rd i naciśnij OK. • W drzewie konsoli rozwiń Quota Management, Management kliknij prawym przyciskiem Quotas i z menu kontekstowego wybierz Create Quota. • W oknie Create Quota w polu Quota path wpisz E:\Secret. E: • Zaznacz opcję Define custom quota properties. • Wybierz przycisk Custom Properties. • W oknie Quota Properties of E:\Secret wciśnij przycisk Copy. • W opcji Limit wpisz 1 GB. • Naciśnij przycisk OK. • Naciśnij przycisk Create. • W oknie ok Save Custom Properties as a Template w polu Template name wpisz 1 GB Limit i naciśnij OK. 7. Zabronienie zapisywania plik ów graficznych i video w folderze. • W drzewie konsoli rozwiń File Screening Management, Management kliknij prawym przyciskiem File Screens i z menu kontekstowego wybierz Create File Screen Screen. • W oknie Create File Screen w polu File screen path wpisz E:\Secret. • Upewnij U się, że jest zaznaczona opcja Derive properties from this file screen template (recommended), (recommended) a na liście wyboru Block Audio and Video Files. • Naciśnij Create. 8. Wyszukiwanie zdublowanych i dużych plików na dysku • W drzewie konsoli znajdź Storage Reports Management, Management kliknij na nim prawym przyciskiem myszy i z menu kontekstowego wybierz Generate Report Now. Reports • W oknie Storage Reports Task Properties w sekcji Scope naciśnij przycisk Add. • W oknie Browse For Folder zaznacz Local Disk (C:) i naciśnij OK. • W sekcji Report data na liście zaznacz Duplicate Files i Large Files. • Mając podświetloną opcję Large Files naciśnij Edit Parameters. • W Minimum file size wpisz 50 i naciśnij OK. • Naciśnij OK. • W oknie Generate Storage Reports naciśnij OK. Jeśli pojawi się okno Microsoft Phishing Filter zaznacz opcję Turn on automatic Phishing Filter (recommended) i naciśnij OK. • Przejrzyj Prze wygenerowane raporty. Ile plików jest większych niż 50 MB.. Ile plików jest zduplikowanych? • Wyloguj się. Strona 15/15 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 9 Wersja 1 Zarządzanie środowiskiem drukowania Spis treści Zarządzanie środowiskiem drukowania ............................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 7 Uwagi dla studenta ...................................................................................................................... 8 Dodatkowe źródła informacji....................................................................................................... 8 Laboratorium podstawowe .................................................................................................................. 9 Problem 1 (czas realizacji 45 min)................................................................................................ 9 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące zarządzania środowiskiem drukowania. Dowiesz się jak przebiega proces drukowania i z jakich komponentów się składa. Poznasz narzędzia, dzięki którym będziesz mógł instalować drukarki, zarządzać nimi i zadaniami drukowania. Dowiesz się jak zarządzać uprawnieniami do drukarek, oraz ich właściwościami. Cel modułu Celem modułu jest zapoznanie z zagadnieniami dotyczącymi drukowania w przedsiębiorstwie, w tym z dostępnymi narzędziami oraz z pojęciami związanymi z procesem drukowania. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, jak przebiega proces drukowania • potrafił zarządzać drukarkami, w tym nadawać uprawnienia, tworzyć pule drukarek i harmonogramy wydruków • rozumiał, jak współpracują między sobą poszczególne komponenty w procesie wydruku Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania Przygotowanie teoretyczne Przykładowy problem W Twojej firmie zakupiono nowe urządzenia drukujące. Są to wydajne maszyny. Każdy z działów dostanie jedną. Chcesz, by tylko użytkownicy z danych działów mogli drukować na nich swoje dokumenty, a ich kierownicy mogli zarządzać wszystkimi dokumentami swoich podwładnych. Chcesz z jednego punktu zarządzać wszystkimi ustawieniami urządzeń, udostępniać je i monitorować ich stan. Chcesz je tak skonfigurować by w razie zacięcia papieru lub innych problemów automatycznie wysyłały się komunikaty. Podstawy teoretyczne Usługi drukowania (ang. Print Services) w Windows Server 2008 umożliwiają udostępnianie drukarek w sieci oraz centralne zarządzanie serwerami wydruku i drukarkami sieciowymi przy użyciu przystawki Print Management w konsoli Microsoft Management Control (MMC). Narzędzie pomaga monitorować kolejki drukarek i otrzymywać powiadomienia, jeśli drukarka zatrzyma przetwarzanie druku. Wspomaga migrację serwera wydruku i rozmieszczenie połączeń do drukarek przy użyciu GPO. Narzędzia do zarządzania serwerem wydruku Dwa główne narzędzia do administracji serwerem wydruku to Server Manager i Print Manager. Korzystając z programu Server Manager można zainstalować rolę Print Services oraz opcjonalne komponenty i funkcje usługi. Wyświetla również w podglądzie zdarzeń informacje związane z drukowaniem oraz posiada instancję przystawki Print Management do zarządzania lokalnym serwerem wydruku. Przystawka Print Management jest dostępna w folderze Administrative Tools. Może być użyta do instalowania, podglądu i zarządzania wszystkimi serwerami wydruku w organizacji. Udostępnia szczegółowe informacje o statusie drukarek i serwerów wydruku w sieci. Pozwala na jednoczesna, zdalną instalację drukarek sieciowych dla grupy komputerów i zdalne monitorowanie kolejek wydruku. Narzędzie Print Management może pomóc odnaleźć drukarki błędnie funkcjonujące przy użyciu filtrów i wysłać powiadomienie e-mail lub uruchomić skrypt dgy drukarka lub serwer wydruku potrzebuje uwagi. Dla drukarek posiadających Web-owy interfejs zarządzania można wyświetlać dodatkowe informacje takie jak poziom tonera i papieru. Usługi związane z rolą Print Services Rola Print Services zawiera trzy podrzędne usługi ról: • Print Server • LDP Service • Internet Printing Razem, te trzy usługi ról udostępniają całą funkcjonalność serwera wydruku. Można je dodać instalując rolę Print Services przy pomocy kreatora Add Roles w programie Server Manager lub później przy pomocy kreatora Add Role Services w programie Server Manager. Print Server Print Server jest wymaganą usługą roli Print Services. Dodaje rolę Print Services do konsoli Server Management i instaluje przystawkę Print Management, używaną do zarządzania wieloma drukarkami lub serwerami wydruku i migracji drukarek do lub z innego serwera wydruku Windows. Po udostępnieniu drukarki, Windows konfiguruje odpowiednio Windows Firewall włączając wyjątki dla File and Printer sharing. LDP Service Strona 3/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania Usługa Line Printer Demon (LPD) instaluje i uruchamia usługę TCP/IP Print Server (LPDSVC), która umożliwia komputerom z systemem UNIX lub innym komputerom korzystającym z usługi Line Printer Remote (LPR) drukowanie na udostępnionej drukarce na tym serwerze. Dodatkowo na zaporze Windows Firewall tworzy wyjątek dla połączeń przychodzących na porcie 515. Internet Printing Usługa Internet Printing tworzy witrynę hostowaną przez Internet Information Services (IIS). Pozwala ona użytkownikom na: • Zarządzanie zadaniami wydruku na serwerze • Użycie przeglądarki Web do podłączenia się i drukowania do udostępnionej na tym serwerze drukarki przy wykorzystaniu Internet Printing Protocol (IPP). (Użytkownicy muszą mieć zainstalowany komponent Internet Printer Client.) Aby zarządzać serwerem przy użyciu witryny Web w przeglądarce należy wpisać adres: http://servername/printers gdzie servername jest ścieżką UNC do serwera wydruku. Drukowanie sieciowe Drukowanie sieciowe umożliwia użytkownikom z różnych lokalizacji korzystanie z odległych urządzeń w celu drukowania dokumentów dla siebie i innych. Serwer wydruku umożliwia wielu klientom współdzielenie jednego lub wielu urządzeń drukujących. Typy danych związane z drukowaniem sieciowym • RAW – język opisu strony gotowej do wysłania do urządzenia drukującego np. PLC lub PostScript. Domyślny typ formatu danych dla zadań wydruku na komputerach z systemem innym niż Windows 2000, XP i Vista. Pliki RAW są zależne od urządzenia – buforowane dane są przeznaczone (odpowiednio formatowane) pod konkretne urządzenie. • EMF - domyślny typ danych używany pomiędzy klientami z Windows Vista i serwerami wydruku Windows Server 2008. Graphics Device Interface (GDI) po wygenerowaniu rozszerzonego metapliku EMF (enhanced metafile) zwalnia kontrolę konsoli nad dalszym przetwarzaniem. Od tej chwili dane EMF są interpretowane w tle, jako wątek bufora wydruku (ang. spooler) i wysyłane do sterownika drukarki. Takie oddzielenie przetwarzania wydruku jest szczególnie użyteczne dla bardzo dużych dokumentów, ponieważ aplikacja nie jest spowolniona przez czas całego przetwarzania. • TEXT – typ danych używany do wysłania zwykłego tekstu, jako zadania wydruku do drukarki (takiej jak urządzenia PostScript) niepotrafiącej zinterpretować takiego tekstu. Bufor wydruku tworzy nowe zadanie, obudowując tekst instrukcjami fabrycznie zaszytymi w urządzeniu drukującym. Architektura drukowania sieciowego W skład komponentów drukowania sieciowego wchodzą bufor wydruku serwera (ang. server spooler) na serwerze wydruku i bufor wydruku klienta (ang. client spooler) na komputerze klienckim. Client Spooler Client spooler (Winspool.drv) jest komponentem systemu operacyjnego Windows, który dostarcza zadania wydruku z aplikacji na komputerze klienckim do serwera wydruku. W systemach Windows Vista, Windows XP Professional i Windows 2000 zadanie wydruku jest dostarczane bezpośrednio do bufora wydruku klienta, a pozostałe systemy Windows korzystają z mechanizmu przekierowania (ang. redirector) potrzebnego do przekazania zadania wydruku do spoolera klienta. Systemy inne niż Windows wymagają innych mechanizmów do obsłużenia zadania wydruku. Strona 4/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania Rysunek (Rys. 1) przedstawia komponenty komputerów klienckich, które generują i wysyłają zadania wydruku. Windows Clients Non-Windows Clients Windows Application Non-Windows Application GDI Printer Driver Client Spooler LPR, AppleTalk, NetWare Network Network Windows Server 2008 Print Server Local Print Device Remote Print Device Remote Print Server Rys. 1 Komponenty komputerów klienckich generujące i wysyłają zadania wydruku. Elementy na rysunku to: • Windows Clients – komputery z systemem Windows • Non-Windows Clients – Komputery z systemem Unix, Apple Macintosh, MS-DOS, klienci NetWare • Windows Application – dowolny program tworzący dane do wydruku. • Non-Windowss Application - dowolny program tworzący dane do wydruku. • Client Spoler – Przetwarza i wysyła zadanie wydruku od klienta do serwera wydruku • Graphics Device Interface (GDI) – udostępnia usługi dla sterownika drukarki takie jak buforowanie, komunikacja klient-serwer i konwersję znaków • Printer Driver – komunikuje się z urządzeniem drukującym, aby wygenerować odpowiedni format z danych dostarczonych przez GDI • Line Printer Remote (LPR) – protokół który wysyła zadanie wydruku do serwera z uruchomionym protokołem Line Priner Deamon (LPD) • AppleTalk – protokół używany przez klientów z systemem Macintosh i serwery Windows z zainstalowana usługa Services for Macintosh • Netware – protokół używaney przez klientów NetWare i serwerów Windows z zainstalowanym NWLink • Local Print Device – urządzenie drukujące przyłączone do lokalnego portu na serwerze • Remote Print Server - urządzenie drukujące bezpośrednio przyłączone do sieci i zarządzane przez serwer wydruku • Remote Print Server – Akceptuje zadania wydruku dla urządzeń, którymi zarządza Strona 5/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania Server Spooler Windows Server 2008 akceptuje i dostarcza zadania wydruku korzystając z różnych protokołów do obsługi różnorodnych systemów klientów i urządzeń drukujących. Spooler serwera jest głównym elementem w sieciowej architekturze wydruku. On i jego komponenty skonsolidowane w pojedynczą architekturę, umożliwiają płynne drukowanie w tle. Ponieważ przetwarzanie wątków dla jednego zadania wydruku musi być zakończone przed rozpoczęciem przetwarzania następnego, spooler wysyła dane do drukarki tylko, jeśli jest ona gotowa otrzymywać więcej danych. Rysunek (Rys. 2) przedstawia Spooler serwera i przetwarzanie zadania wydruku. Clients Network Network Network Windows Serwer 2008 Print Server Server Spooler Print Spooler Service(Spoolsv.exe) Print Router (Spoolss.dll) Local Print Provider (Localspl.dll) Remote Print Provider GDI Printer Driver Print Monitor Language Monitor Local Port Monitor Remote Port Monitor Local Print Device Remote Print Device Remote Print Server Rys. 2 Komponenty Serwera wydruku Elementy na rysunku to: • Print Spooler Services – zarządza procesem wydruku poprzez wyszukanie i załadowanie odpowiedniego sterownika, buforowanie wywołań funkcji wyższego rzędu dla zadań wydruku, zarządzanie harmonogramem wydruków itp. • Print Router – ustala, do którego lokalnego dostawcy drukowania (Local Print Provider) przekierować zlecenie bazując na nazwie drukarki i innych informacjach dostarczonych z zadaniem • Local Print Provider – lokalny dostawca drukowania udostępnia kontrolę zadań i zarządzanie wszystkimi drukarkami, do których ma dostęp poprzez monitor drukowania (ang. Print Monitor) • Print Monitor – przekierowuje zadanie wydruku do monitora języka i monitora portu Strona 6/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania • Language Monitor – udostępnia dwukierunkową komunikację pomiędzy urządzeniem drukującym a klientem • Lokal and Remote Port Monitor – wysyła zadanie wydruku do lokalnego lub zdalnego portu • Graphics Device Interface (GDI) – udostępnia usługi dla sterownika drukarki takie jak buforowanie, komunikacja klient-serwer i konwersję znaków • Printer Driver – komunikuje się z urządzeniem drukującym, aby wygenerować odpowiedni format z danych dostarczonych przez GDI • Remote Print Provider – przekierowuje zadania wydruku do zdalnych serwerów wydruku. • Local Print Device – urządzenie drukujące podłączone do lokalnego portu serwera • Remote Print Device – urządzenie drukujące podłączone bezpośrednio do sieci i zarządzane przez serwer wydruku. • Remote Print Server – akceptuje zadania wydruku przeznaczone do urządzeń drukujących, którymi zarządza. Uprawnienia drukarki Uprawnienia drukarki określają, którymi z jej właściwości można zarządzać. Dotyczy to zmiany jej nazwy i udostępnienie, zezwolenie lub zabronienie dostępu do niej oraz określenia, kto może zarządzać dokumentami. Windows oferuje cztery typy uprawnień do drukarek: • Print – domyślnie, każdy użytkownik może drukować oraz zarządzać swoimi zadaniami wysłanymi do drukarki • Manage ducuments – umożliwia zarządzanie wszystkimi zadaniami znajdującymi się w kolejce wydruku. Dotyczy to również dokumentów drukowanych przez innych użytkowników. • Manage printers – pozwala na zmianę nazwy, usunięcie, udostępnienie i zmianę preferencji drukarki. Umożliwia nadanie uprawnień dla innych użytkowników oraz zarządzanie wszystkimi zadaniami drukarki. Domyślnie członkowie grupy Administrators mają nadane to uprawnienie. • Specialo permissions – zwykle używane tylko przez administratorów systemu, może być wykorzystane do zmiany właściciela drukarki. Instalacja drukarki Drukarkę na serwerze wydruku można zainstalować korzystając z przystawki Print Managemet gdzie w kontenerze Print Servers należy kliknąć prawym przyciskiem myszy serwer, na którym chcemy to zrealizować i z menu kontekstowego wybrać polecenie Add Printer uruchamiające kreatora Network Printer Installation Wizard. Należy zdefiniować sposób podłączenia drukarki wybierając istniejący (lub tworząc nowy) port lokalny lub zdalny (adres IP urządzenia). Kolejnym krokiem jest zainstalowanie odpowiedniego sterownika, albo z listy dostarczonych wraz z systemem lub z nośnika. Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z drukowaniem sieciowym i zarządzaniem drukarkami. Przedstawiono narzędzia przy pomocy, których można instalować drukarki, zarządzać ich właściwościami, oraz zarządzać zadaniami wydruku. Omówiono komponenty systemu biorące udział w procesie drukowania sieciowego Porady praktyczne • Aby zarządzać zdalnym serwerem wydruku musisz być członkiem grupy Print Operators lub Server Operators, lub lokalnej grupy Administrators na serwerze zdalnym. Nie jest to konieczne, jeśli chcesz tylko monitorować serwer. Strona 7/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania • Dla usługi LDP nie jest potrzebna żadna konfiguracja. Jeśli jednak zatrzymasz lub zrestartujesz usługę Print Spooler to usługa TCP/IP Print Server zostanie także zatrzymana, lecz nie uruchomi się automatycznie. • Jeśli używasz komputera z Windows Vista lub Windows Server 2008 do wysłania dokumentów do drukarki lub serwera wydruku, który korzysta z protokołu LDP, możesz użyć kreatora Network Printer Installation i portu drukarki Standard TCP/IP. Jeśłi jednak serwerem wydruku jest komputer z systemem UNIX, musisz zainstalować Line Printer Remote (LPR) Port Monitor. Możesz to zrobić w następujący sposób: • Dla Windows Vista: w folderze Control Panel należy kliknąć Programs and Features, potem Turn Windows features on or off, rozwinąć Print Services, zaznaczyć check box przy LPR Port Monitor i kliknac OK. • Dla Windows Server 2008: w narzędziu server Manager wybierz Add Features, zaznacz check box przy LPR Port Monitor i kliknij OK. • Aby skorzystać z wdrożenia drukarek przy pomocy Group Policy, środowisko musi spełniać następujące wymagania: • Schemat usługi Active Directory Domain Services (AD DS) musi używać wersji Windows Server 2003 R2 lub Windows Server 2008. • Komputery klienckie z Windows 2000, Windows XP, lub Windows Server 2003 muszą używać narzędzia PushPrinterConnections.exe w skrypcie uruchamianym podczas startu komputera lub podczas logowania użytkownika • Jeśli na komputerze z narzędziem Print Management jest włączony firewall to mogą być niewidoczne drukarki na zdalnych serwerach wydruku. Aby temu zapobiec należy do listy wyjątków zapory dodać Print Management Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • rozumiesz, w jaki sposób działa drukowanie sieciowe • umiesz zarządzać drukarkami a w szczególności instalować je, nadawać do nich uprawnienia i udostępniać je • wiesz, w jaki sposób współdziałają między sobą poszczególne komponenty procesu drukowania Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Strona 8/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie. Twoja firma zakupiła nowe urządzenia drukujące i Twoim zadaniem jest skonfigurować środowisko drukarek tak, by spełnić oczekiwania użytkowników. Po konsultacji z nimi zabierasz się do pracy. Najpierw musisz dodać Rolę Serwera wydruku do swojego serwera. Wiesz, że na serwerze London jest zainstalowana drukarka lokalna HP LaserJet 1100 (MS). Chcesz ją zainstalować na swoim serwerze, by móc drukować na niej dokumenty dla Administratora serwera London. Do swojego serwera podłączyłeś do portu LPT1 drukarkę Epson FX Series (80). Posiadasz też urządzenie HP 2500C Series Printer, które ma wbudowaną kartę sieciową. Kupiono również drukarkę IBM 2380 Plus Normal. Ma być dostępna dla wszystkich użytkowników, ale użytkownicy działu sprzedaży powinni mieć pierwszeństwo wydruku na niej, by klienci nie musieli długo czekać na wydruk faktur. Dodatkowo menadżerowie tego działu muszą mieć możliwość zarządzania drukowanymi dokumentami. Niektórzy użytkownicy drukują wielostronicowe raporty na drukarce HP 2500C Series Printer, przez co inni muszą długo czekać. Raporty te nie są pilne, dlatego chcesz, by drukowały się w nocy. Drukarka IBM 2380 Plus jest mocno obciążona, a do tego część wydruków jest bardzo ważna. Nie może zdarzyć się sytuacja, w której ulega ona awarii i trzeba będzie czekać na jej naprawę. Podłączasz do sieci drugie takie samo urządzenie i konfigurujesz pulę drukarek. Przenosisz też bufor wydruku na inny dysk by zwiększyć wydajność systemu. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Dodanie roli Serwera Wydruku • Uruchom maszynę wirtualną 2008 Templ. • • • • • • • • • • • • • • • 3. Dodanie drukarki udostępnionej na serwerze • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz menu Start -> Administrative Tools -> Server Manager. W oknie User Account Control wybierz Continue. W drzewie konsoli kliknij prawym przyciskiem myszy Roles. Z menu kontekstowego wybierz Add Roles. W oknie Before You Begin wybierz Next. W oknie Select Server Roles z listy ról wybierz Print Services, a następnie przycisk Next. W oknie Print Services przeczytaj Introduction to Print Services, a następnie wybierz Next. W oknie Select Role Services wybierz przycisk Next W oknie Confirm Installation Selection przeczytaj podsumowanie zdefiniowanych opcji i naciśnij Install. W oknie Installation Results powinna być wyświetlona informacja Installation succeesed. Jeśli tak jest to wybierz przycisk Close. W przeciwnym razie poproś o pomoc wykładowcę. Wybierz menu Start -> Control Panel. W oknie Control Panel otwórz Printers. W oknie Printers wybierz Add Printer. W oknie Add Printer wybierz The printer that I want isn’t listed. Zaznacz Select a shared printer by name i naciśnij Browse. Strona 9/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania • W oknie Please select the network printer you want to use and click Select to connect to it kliknij London i naciśnij przycisk Select. • Zaznacz HP LaserJet 1100 (MS) i naciśnij przycisk Select. • W oknie Add Printer naciśnij Next. • W oknie Type a printer name naciśnij Next. • W oknie, w którym pojawi się komunikat You’ve successfully added HP LaserJet 1100 (MS) on LONDON naciśnij Finish. 4. Instalacja drukarki lokalnej na porcie LPT1 • • • • • • • • • • 5. Instalacja drukarki lokalnej na porcie sieciowym. • • • • • • • • • • • • • • • • • 6. Tworzenie priorytetów dla drukarek • • • • • W oknie Printers kliknij prawym przyciskiem myszy Add Printer. Z menu kontekstowego wybierz Run as administrator. W oknie User Account Control wybierz Continue. W oknie Choose a local or network printer wybierz Add a local printer. W oknie Choose a printer port upewnij się, że w sekcji Use an existing port jest wybrane LPT1: (Printer Port) i naciśnij Next. W oknie Install the printer driver na liście Manufacturer wybierz Epson, a na liście Printers zaznacz Epson FX Series (80). Naciśnij Next. W oknie Type a printer name naciśnij Next. W oknie Printer Sharing zaznacz Do not share this printer i naciśnij Next. W oknie, w którym pojawi się komunikat You’ve successfully added Epson FX Series (80) naciśnij Finish. Wybierz menu Start -> Administrative Tools ->Print Management. W oknie User Account Control naciśnij Continue. W drzewie konsoli rozwiń Print Servers -> Nazwakomputera (Local). Kliknij prawym przyciskiem myszy Printers. Z menu kontekstowego wybierz Add Printer. W oknie Printer Installation zaznacz Add a TCP/IP or Web Services Printer by IP address or hostname. i naciśnij Next. W oknie Printer Address w polu Type of Device wybierz TCP/IP Device. W polu Printer name or IP address wpisz 192.168.1.101. Odznacz opcję Auto detect the printer driver to use i naciśnij Next. W oknie Detecting TCP/IP Port poczekaj chwilę, aż zostaniesz przeniesiony do następnego okna. W oknie Additional Port Information Required naciśnij Next. W oknie Printer Driver naciśnij Next. W oknie Printer Installation na liście Manufacturer wybierz HP, a na liście Printers zaznacz HP 2500C Series Printer. Naciśnij Next. W oknie Printer Name and Sharing Settings zaznacz opcję Publish this printer to the directory i nacisnij Next. W oknie Printer Found naciśnij Next. W oknie Completing the Network Printer Installation Wizard naciśnij Finish. Wybierz menu Start -> Administrative Tools ->Print Management. W oknie User Account Control naciśnij Continue. W drzewie konsoli rozwiń Print Server -> Nazwakomputera (Local). Kliknij prawym przyciskiem myszy Printers. Z menu kontekstowego wybierz Add Printer. Strona 10/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania • W oknie Printer Installation zaznacz Add a TCP/IP or Web Services Printer by IP address or hostname. i naciśnij Next. • W oknie Printer Address w polu Type of Device wybierz TCP/IP Device. • W polu Printer name or IP address wpisz 192.168.1.102. • Odznacz opcję Auto detect the printer driver to use i naciśnij Next. • W oknie Detecting TCP/IP Port poczekaj chwilę, aż zostaniesz przeniesiony do następnego okna. • W oknie Additional Port Information Required naciśnij Next. • W oknie Printer Driver naciśnij Next. • W oknie Printer Installation na liście Manufacturer wybierz IBM, a na liście Printers zaznacz IBM 2380 Plus. • Naciśnij Next. • W oknie Printer Name and Sharing Settings w polu Printer Name wpisz IBM 2380 Plus Normal. • W polu Share Name wpisz IBM 2380 Plus Normal. • Zaznacz opcję Publish this printer to the directory i nacisnij Next. • W oknie Printer Found naciśnij Next. • W oknie Completing the Network Printer Installation Wizard zaznacz Add another printer i naciśnij Finish. • W oknie Printer Installation zaznacz Add a new printer using an existing port, a na liście zaznacz 192.168.1.102 (Standard TCP/IP). • Naciśnij Next. • W oknie Printer Driver zaznacz Use an existing printer driver on the computer i na liście wybierz IBM 2380 Plus. • Naciśnij Next. • W oknie Printer Name and Sharing Settings w polu Printer Name wpisz IBM 2380 Plus Express. • W polu Share Name wpisz IBM 2380 Plus Express. • Zaznacz opcję Publish this printer to the directory i nacisnij Next. • W oknie Printer Found naciśnij Next. • W oknie Completing the Network Printer Installation Wizard naciśnij Finish. • W konsoli Print Management kliknij prawym przyciskiem myszy drukarkę IBM 2380 Plus Express i z menu kontekstowego wybierz Properties. • Kliknij zakładkę Advanced. • W polu Priority wpisz 10. • Kliknij zakładkę Security. • W sekcji Group or user name zaznacz Everyone i naciśnij przycisk Remove. • Naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz DL Nwtraders Sales Managers Print i naciśnij OK. • W sekcji Permissions for DL Nwtraders Sales Managers Print zaznacz Manage documents w kolumnie Allow. • Naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz DL Nwtraders Sales Personnel Print i naciśnij OK. • Naciśnij przycisk OK. 7. Stworzenie • W drzewie konsoli kliknij prawym przyciskiem myszy Printers. Strona 11/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania drukarki dostępnej w godzinach nocnych. • Z menu kontekstowego wybierz Add Printer. • W oknie Printer Installation zaznacz Add a new printer using an existing port, a na liście zaznacz 192.168.1.101 (Standard TCP/IP). • Naciśnij Next. • W oknie Printer Driver zaznacz Use an existing printer driver on the computer i na liście wybierz HP 2500C Series Printer. • Naciśnij Next. • W oknie Printer Name and Sharing Settings w polu Printer Name wpisz HP 2500C Series Printer nocna. • W polu Share Name wpisz HP 2500C Series Printer nocna. • Zaznacz opcję Publish this printer to the directory i nacisnij Next. • W oknie Printer Found naciśnij Next. • W oknie Completing the Network Printer Installation Wizard naciśnij Finish. • W konsoli Print Management kliknij prawym przyciskiem myszy drukarkę HP 2500C Series Printer nocna i z menu kontekstowego wybierz Properties. • Kliknij zakładkę Advanced. • Zaznacz opcję Available from 8:00 PM To 6:00 AM. • Naciśnij OK. 8. Stworzenie puli drukarek • W drzewie konsoli kliknij prawym przyciskiem myszy Ports. • Z menu kontekstowego wybierz Add Port. • W oknie Printer Port zaznacz Standard TCP/IP Port i naciśnij przycisk New Port. • W oknie Welcome to the Add Standard TCP/IP Printer Port Wizard naciśnij Next. • W oknie Add Port w polu Printer Name or IP address wpisz 192.168.1.103 i nacisnij Next. • W oknie Additional Port Information Required naciśnij Next. • W oknie Completing the Add Standard TCP/IP Printer Port Wizard naciśnij Finish. • W oknie Printer Ports naciśnij Close. • W drzewie konsoli zaznacz Printers. • Kliknij prawym przyciskiem myszy drukarkę Epson FX Series (80). • Z menu kontekstowego wybierz Properties. • Wybierz zakładkę Ports. • Zaznacz opcję Enable printer pooling. • W sekcji Print to the following port(s). Dokuments will print to the first free checked port zaznacz port 192.168.1.103. • Naciśnij OK. 9. Przeniesienie buforu wydruku • Na dysku E: stwórz folder Spool. • W drzewie konsoli narzędzia Print Management kliknij prawym przyciskiem myszy Nazwakomputera (lokal). • Z menu kontekstowego wybierz Properties. • Wybierz zakładkę Advanced. • W polu Spool folder wpisz i naciśnij E:\Spool przycisk Ok. • W oknie Print Server Properties naciśnij Yes. • W drzewie konsoli kliknij Printers. • Kliknij prawym przyciskiem myszy drukarkę Epson Fx Series (80). Strona 12/13 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 9 Zarządzanie środowiskiem drukowania • Z menu kontekstowego wybierz Print Test Page. • W oknie A test page Has been sent to your printer naciśnij Close. • Otwórz folder E:\Spool. Zobacz, że w folderze znajdują się pliki z zadaniem wydruku. • • • • • Zamknij folder. W drzewie konsoli kliknij Printers. Kliknij prawym przyciskiem myszy drukarkę Epson Fx Series (80). Z menu kontekstowego wybierz Open Printer Queue. Queue W oknie Epson Fx Series (80) wybierz menu Printer -> Cancel All Documents Documents. • W oknie Printers potwierdź przyciskiem Yes. Strona 13/13 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 10 Wersja 1 Wprowadzenie do Group Policy Spis treści Wprowadzenie do Group Policy .......................................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 8 Uwagi dla studenta ...................................................................................................................... 8 Dodatkowe źródła informacji....................................................................................................... 8 Laboratorium podstawowe .................................................................................................................. 9 Problem 1 (czas realizacji 45 min)................................................................................................ 9 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące zarządzania środowiskiem przy wykorzystaniu Group Policy. Nauczysz się korzystać z narzędzia Group Policy Management Control, i przy jego pomocy tworzyć i zarządzać obiektami Group Policy Object. Dowiesz się w jaki sposób przypisać GPO dla wybranej grupy komputerów i użytkowników, oraz w jaki sposób edytować ustawienia. Cel modułu Celem modułu jest zapoznanie z zagadnieniami dotyczącymi wykorzystania Group Policy w zarządzaniu środowiskiem informatycznym w firmie. Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, w jaki sposób działają zasady grup • potrafił tworzyć obiekty GPO i zarządzać nimi • potrafił wdrożyć wybrane ustawienie w grupie komputerów lub użytkowników Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy Przygotowanie teoretyczne Przykładowy problem W twojej firmie jest około 500 komputerów i tyle samo użytkowników, którymi jako administrator zarządzasz. Chcesz im wszystkim skonfigurować środowisko pracy. Każdemu użytkownikowi chcesz przekierować folder Moje Dokumenty na udostępniony dysk sieciowy, oraz zmapować dysk na folder Publiczny. Chcesz by wszyscy mieli zainstalowaną drukarkę sieciową oraz ograniczony dostęp do Panelu sterowania. Każdy z użytkowników powinien mieć podobnie wyglądający Pulpit z usuniętymi niektórymi standardowo dostępnymi elementami oraqz stworzonym na nim folderem na dokumenty prywatne. Do zrealizowania tego zadania skorzystasz z zasad grup (ang. Group Policy) Podstawy teoretyczne Zasady Grup (ang. Group Policy) w Windows Server 2008 mogą być wykorzystane do zarządzania konfiguracją grup komputerów i użytkowników, poprzez definiowanie opcji związanych z rejestrami systemu, ustawieniami zabezpieczeń, dystrybucją oprogramowania, skryptów i przekierowaniem folderów. Dzięki Zasadom Grup można w łatwy sposób zredukować koszty zarządzania organizacją. Zdefiniowane ustawienia w zasadach grup są przechowywane w GPO ( Group Policy Object), które są tworzone i edytowane przy pomocy narzędzia Group Policy Management Console (GPMC). Korzystając z tego narzędzia, linkując GPO do site-u, domeny lub jednostki organizacyjnej, można przypisać ustawienia do użytkowników i komputerów znajdujących się w danym obiekcie Active Directory. Jednostka Organizacyjna (OU) jest kontenerem najniższego poziomu w AD, do którego można przypisać ustawienia Group Policy. Ustawienia zdefiniowane w GPO, są przechowywane w dwóch lokalizacjach: w Active Directory w miejscu zwanym kontenerem Group Policy i w folderze Sysvol na kontrolerze domeny gdzie przechowywane są szablony Group Policy. Kontener Group Policy zawiera atrybuty używane do rozmieszczania GPO. Informacje przechowywane w szablonach Group Policy zawierają ustawienia zabezpieczeń, pliki skryptów, informacje służące do instalacji aplikacji, preferencje i szablony administracyjne (ang. Administrative template) bazujące na ustawieniach Group Policy. Szablony administracyjne (pliki z rozszerzeniem *.ADMX) zawierają ustawienia, które są dostępne w sekcji Administrative Templates. W Windows Server 2008 szablony administracyjne mogą być przechowywane lokalnie lub centralnie w folderze Sysvol. Korzystanie z centralnego rozwiązania posiada dwie zalety: • zawartość folderu Sysvol jest replikowana pomiędzy kontrolerami domeny. GPMC zawsze używa szablonów administracyjnych przechowywanych centralnie przed lokalna wersją. Dzięki temu jeden zestaw zaaprobowanych szablonów jest dostępny w całej domenie. • możliwość korzystania z różnych języków szablonów administracyjnych. Jest to szczególnie użyteczne dla środowisk rozciągniętych pomiędzy różnymi krajami i używających różnych języków. Np. jeśli szablony administracyjne są przechowywane w centralnej lokalizacji w folderze Sysvol, jeden administrator domeny może widzieć ustawienia w języku angielskim a inny w francuskim. Group Policy Management Console Narzędzie GPMC udostępnia zunifikowane zarządzanie wszystkimi aspektami zasad grup pomiędzy wieloma lasami w organizacji. Pozwala zarządzać obiektami GPO, filtrami Windows Management Instrumentation (WMI) i powiązanymi z group Policy uprawnieniami w sieci. GPMC zawiera zbiór interfejsów do zarządzania Group Policy opartych o konsolę MMC. Posiada następujacą funkcjonalność: • Importowanie i eksportowanie GPO • Kopiowanie i wklejanie GPO Strona 3/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy • • • • Tworzenie kopii (backup) i odtwarzanie GPO Wyszukiwanie GPO Raportowanie Group Policy Modeling. Umożliwia symulowanie Resultant Set of Policy (RSoP) do planowania wdrożenia zasad grup przed ich implementacja w środowisku produkcyjnym • Group Policy Result. Umożliwia uzyskanie RSoP w celu obserwowania interakcji GPO i rozwiązywania ewentualnych problemów. • Wspomaga tworzenie tabel migracji ułatwiających migrację i kopiowanie GPO pomiędzy domenami i lasami. Tabela migracji jest plikiem mapującym referencje użytkowników, grup komputerów i ścieżki UNC (Universal Naming Convention w źródłowym GPO na nowe wartości w GPO docelowym. • Raporty ustawień GPO i RSoP w postaci HTML które można zapisać i wydrukować Projektowanie struktury jednostek organizacyjnych wspierającej Group Policy W środowisku Active Directory przypisujemy ustawienia Group Policy linkując GPO do site-ów, domen lub jednostek organizacyjnych. Najczęściej większość GPO jest przypisywanych na poziomie OU, dlatego należy upewnić się, że struktura jednostek organizacyjnych wspiera strategię zarządzania przy wykorzystaniu Group Policy. Niektóre ustawienia zasad grup np. dotyczące zasad haseł definiowane są na poziomie domeny. Dobrze zaprojektowana struktura jednostek organizacyjnych upraszcza administrowanie pozwalając wykorzystać dziedziczenie GPO i zapobiega duplikowaniu ustawień w różnych GPO. Projekt struktury jednostek organizacyjnych wymaga balansu pomiędzy wymaganiami dotyczącymi delegowania praw administracyjnych a potrzebami wynikającymi z korzystania z Group Policy. Rekomendacje dotyczące projektowania: • Delegowanie kontroli administracyjnej – należy tworzyć jednostki organizacyjne w domenie i delegować administracyjna kontrolę do specyficznych OU dla określonych użytkowników i grup. Struktura OU będzie efektem wymagań dla delegowania kontroli administracyjnej. • Przypisywanie Group Policy – tworząc strukturę OU należy głównie myśleć o obiektach, którymi chcemy zarządzać. Np. można stworzyć strukturę, której jednostki organizacyjne definiują stacje robocze, serwery i użytkowników. Używając struktury gdzie OU zawierają homogeniczne obiekty takie jak użytkownicy lub komputery (ale nie jedne i drugie jednocześnie), można łatwo wyłączyć te sekcje w GPO, by nie były aplikowane dla danego typu obiektów. Przypisywanie Group Policy dla nowego konta użytkownika lub komputera. Nowe konto użytkownika lub komputera jest domyślnie tworzone odpowiednio w kontenerze CN=users lub CN= Computers. Nie ma możliwości bezpośredniego przypisania Group Policy do tych kontenerów oprócz dziedziczenia GPO zlinkowanego z domeną. Redirusr.exe (dla kont użytkowników) i Redircomp.exe (dla kont komputerów) to dwa narzędzia zawarte w Windows Server 2008 umożliwiające zmianę domyślnej lokalizacji tworzenia kont użytkowników i komputerów, dzięki czemu można łatwo przypisywać GPO bezpośrednio dla nowo tworzonych obiektów kont. Narzędzia te są dostępne na serwerze z rolą Active Directory Services Role w folderze %windir%\system32. Uruchamiając te narzędzia, raz dla każdej z domen, administrator domeny może wyspecyfikować jednostkę organizacyjną gdzie będą umieszczane podczas tworzenia nowe konta użytkowników i komputerów. Umożliwia to administratorom zarządzanie tymi nieprzypisanymi kontami przy użyciu Group Policy przed umieszczeniem ich w kontenerach docelowych, zwiększając tym samym bezpieczeństwo tych kont. Strona 4/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy Kiedy zmiany w Group Policy są aplikowane? Zmiany w Group Policy mogą nie być natychmiast dostępne na komputerach użytkowników, ponieważ zmiana w GPO musi być najpierw replikowana do odpowiedniego kontrolera domeny. Dodatkowo, klient odświeża Group Policy co 90 minut ( z losowym przesunięciem 30 minut). Replikacja GPO pomiędzy kontrolerami domen wykorzystuje dwa niezależne mechanizmy: • Replikacja części przechowywanej w Active Directory jest kontrolowana przez wbudowany system replikacji AD. Domyślnie trwa to mniej niż minutę pomiędzy kontrolerami w tej samej lokalizacji. Proces ten może być wolniejszy dla sieci wolniejszych niż LAN. • Replikacja folderu Sysvol jest kontrolowana przez File Replication Services (FRS) lub Distributed File System Replication (DFSR). W obrębie lokalizacji (site) FRS replikacja występuje co 15 minut. Jeśli kontroler domeny jest w innej lokalizacji proces replikacji zależy od topologii i zdefiniowanych ustawień ( najmniejszy interwał – 15 minut). Głównym mechanizmem odświeżania Group Policy jest start komputera i proces logowania. Jeśli jest konieczne, można wyzwolić odświeżenie Group Policy ręcznie, nie czekając na automatyczne odświeżenie. Aby to zrealizować należy wydać polecenie gpupdate w linii poleceń. Nie można wyzwolić odświeżenia zasad grup korzystając z narzędzia GPMC. Definiowanie zasięgu aplikowania Group Policy Definiując zasięg działania GPO należy wziąć pod uwagę następujące czynniki: • Gdzie GPO będzie linkowany? • Jakie filtrowanie zabezpieczeń zostanie użyte? Filtrowanie zabezpieczeń (ang. security filtering) umożliwia określenie, którzy użytkownicy i jakie komputery otrzymają i zastosują ustawienia zdefiniowane w GPO. Dotyczy to całego GPO i nie może być stosowane do poszczególnych ustawień wewnątrz GPO. • Jakie filtry WMI zostaną zastosowane? Filtry WMI pozwalają dynamicznie określać zasięg GPO bazując na atrybutach docelowego komputera Należy pamiętać, że domyślnie GPO są dziedziczone, kumulowane i mają efekt na wszystkie komputery i użytkowników w kontenerach Active Direktory i ich dzieciach. Są przetwarzane w następującej kolejności: Local Group Policy, site, domena i potem OU, a ostatnio przetwarzane GPO nadpisuje GPO poprzednie. Domyślne dziedziczenie działa w ten sposób, że najpierw jest przetwarzane GPO linkowane do kontenera umieszczonego najdalej od obiektu użytkownika lub komputeram, a GPO linkowane w kontenerach bliższych obiektom nadpisują ustawienia dzieciczone z GPO wykonywanych wcześniej. Wyjątkiem jest ustawienie opcji Enforced (No Override) w linku GPO lub Block Policy Inheritance. Strona 5/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy Rys. 1 Dziedziczenie GPO Można linkować kilka GPO do jednego kontenera Active Directory, lecz należy być świadomym priorytetów przetwarzania. GPO z niższym numerem na liście Group Policy Order Link (wyświetlane na zakładce Linked Group Policy Object w GPMC) jest ważniejsze (Rys. 1). Jednak, jeśli jedno lub więcej linków GPO ma włączona opcję Enforced – najwyżej przypisany link z opcją Enforced ma pierwszeństwo. Opcja Enforced jest właściwością linku a Block Policy Inheritance jest właściwością kontenera. Tworzenie i praca z Group Policy Object Ponieważ zmiany w GPO są implementowane natychmiast zaleca się, aby GPO było nie linkowane do czasu przetestowania w środowisku testowym • Tworzenie nie linkowanego GPO – w drzewie konsoli GPMC należy kliknąć prawym przyciskiem myszy w domenie, w której ma być utworzony obiekt i z menu kontekstowego wybrać polecenie New. W oknie dialogowym New GPO należy podać nazwę i zatwierdzić przyciskiem OK. • Edycja GPO - w drzewie konsoli GPMC należy rozwinąć Group Policy Object, kliknąć prawym przyciskiem myszy GPO, które ma być edytowane i z menu kontekstowego wybrać polecenie Edit. W drzewie konsoli należy odnaleźć i zaznaczyć zasady, które mają być modyfikowane. Znaleźć odpowiednie ustawienie w panelu szczegółów i otworzyć jego właściwości podwójnym kliknięciem. Następnie należy wyedytować ustawienie i nacisnąć przycisk OK. • Linkowanie GPO – w drzewie konsoli GPMC należy kliknąć prawym przyciskiem myszy kontener, do którego ma być linkowane GPO i z menu kontekstowego wybrać polecenie Link an Existing GPO. Inną metodą jest użycie metody drag – and – drop (przeciągnij i upuść). • Tworzenie i linkowanie GPO - w drzewie konsoli GPMC należy kliknąć prawym przyciskiem myszy kontener, do którego ma być linkowane GPO i z menu kontekstowego wybrać polecenie Create a GPO in this Domain, and Link it here. W oknie dialogowym New GPO należy podać nazwę i zatwierdzić przyciskiem OK. W tej procedurze są wykonywane dwie Strona 6/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy akcje: jest tworzone GPO w kontenerze Group Policy Object i linkowane do wskazanego kontenera (np. OU) • Usuwanie linku do GPO - w drzewie konsoli GPMC należy rozwinąć kontener Group Policy Object, kliknąć GPO do którego chcemy usunąć link i w panelu szczegółów wybrać zakładkę Scope. W sekcji Links kliknąć prawym przyciskiem myszy obiekt Active Direktory z linkiem który chcemy usunąć i z menu poleceń wybrać Deete Link(s). Usuwanie linku różni się od usuwania GPO. Jeśli kasowany jest tylko link do GPO, GPO nadal istnieje i linki do niego od innych obiektów AD nadal funkcjonują. Jeśli usuwane jest GPO usuwane są również wszystkie linki do niego. • Wyłączanie konfiguracji użytkownika lub komputera w GPO – jeśli tworzone jest GPO z ustawieniami dotyczącymi tylko użytkowników można wyłączyć ustawienia dotyczące konfiguracji komputera. Dzięki temu zostanie zredukowany czas startu komputera, ponieważ ta część nie będzie przetwarzana w celu sprawdzenia czy jakieś ustawienia istnieją. Jeśli wykorzystane są tylko ustawienia komputera – należy wyłączyć część dla użytkownika. W tym celu w drzewie konsoli GPMC należy rozwinąć kontener Group Policy Object, kliknąć odpowiednie GPO, w panelu szczegółów wybrać zakładkę Details. W sekcji GPO Status wybrać pożądane ustawienie: All settings disabled, Computer configuration settings disabled, Enabled (default), User configuration settings disabled (Rys. 2). Rys. 2 Wyłączanie nieużywanej części Group Policy Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z działaniem zasad grup. Przedstawiono narzędzie Group Policy Management Control, dzięki któremu można tworzyć, Strona 7/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy edytować i usuwać GPO, a także w prosty sposób raportować status wdrażanego rozwiązania. Omówiono przypisywanie GPO do określonych użytkowników i komputerów. Porady praktyczne • Aby zredukować czas potrzebny na przetwarzanie GPO używaj następującej strategii: • Jeśli GPO zawiera tylko ustawienia konfiguracji komputera lub użytkownika, wyłącz część ustawień GPO, które nie są aplikowane. • Jeśli to możliwe łącz kilka mniejszych GPO w jedno większe. Zredukuje to liczbę przetwarzanych GPO oraz ułatwi rozwiązywanie ewentualnych problemów. • Zmiana dokonana w GPO jest replikowana na kontrolery domeny i w rezultacie następuje nowe pobranie przez klientów. Jeśli posiadasz duże, kompleksowe GPO wymagające częstych zmian pomyśl o stworzeniu nowego GPO zawierającego tylko zmiany często podlegające modyfikacjom • Powinieneś wdrożyć procedurę kontroli zmian Group Policy i dokumentować wszelkie zmiany w GPO. Pomoże to rozwiązywać ewentualne problemy. • Używaj Group Policy Modeling, aby zrozumieć jak nowe GPO współpracuje z istniejącymi. • Sprawdzaj nowe GPO w środowisku testowym przed uruchomieniem w środowisku produkcyjnym. • Korzystaj z Group Policy Results, aby dowiedzieć się, które ustawienia GPO są aktualnie zaaplikowane w Twoim środowisku • Używaj GPMC do tworzenia kopii bezpieczeństwa Twoich GPO. • Nie modyfikuj domyślnych GPO (default domain policy i default domain controller Policy) bez uzasadnionej potrzeby. Lepiej stworzyć nowe GPO na poziomie domeny i nadpisać nim ustawienia domyślnych GPO • Zdefiniuj konwencję nazewniczą GPO, aby łatwo je identyfikować ich przeznaczenie • Wyznaczaj tylko jednego administratora dla każdego GPO. Zabezpieczy to przed nadpisywaniem ustawień przez inne osoby • Niektóre ustawienia, takie jak przekierowanie folderów wymagają wylogowania użytkownika i jego ponownego zalogowania. Instalacja oprogramowania przypisana do komputera wymaga jego restartu. • Maksymalna ilośc jednocześnie przetwarzanych GPO dl użytkownika i komputera to 999. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • • • • rozumiesz sposób działania zasad grup umiesz tworzyć i edytować GPO oraz linkować do wybranych kontenerów Active Directory potrafisz zarządzać właściwościami GPO wiesz w jaki sposób testować wdrażane rozwiązanie Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Strona 8/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie. Dostałeś nowe zadanie: szef Twojego oddziału chce, byś skonfigurował środowisko pracy użytkownikom i ograniczył niektóre dostępne funkcje w ich komputerach. Każdy użytkownik po zalogowaniu powinien ujrzeć powitalny komunikat. Dobrze aby miał zmapowany dysk na folder Public serwera w swoim mieście. Na dyskach systemowych jest mało miejsca, dlatego zapadła decyzja, by foldery z dokumentami użytkowników zostały przeniesione na dysk E: do folderu Home. Ważne jest , aby tylko właściciel dokumentów miał do nich dostęp. Pracownicy firmy nie powinni zmieniać konfiguracji komputerów dlatego jedynymi dostępnymi da nich opcjami w Panelu Sterownia mają być Mysz i Klawiatura. Z tego samego powodu należy usunąć menu Właściwości z obiektu Komputer. Należy zabronić dostępu do polecenia Run, Network i Kosza. Każdy powinien mieć zainstalowaną drukarkę z serwera London. Szef podał Ci także kilka mniej restrykcyjnych ustawień – takich, które powinny być skonfigurowane na komputerze użytkownika, ale by mógł on sobie je zmienić. W Twoim oddziale jest wielu użytkowników dlatego zbyt pracochłonne byłoby ręczne konfigurowanie każdego z komputerów. Postanawiasz skorzystać z GPO. Skonfigurujesz Policy i przetestujesz na jednym użytkowniku. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Stworzenie GPO zawierającego skrypt logowania • Uruchom maszynę wirtualną 2008 Templ. • • • • • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz menu Start -> Administrative Tools -> Group Policy Management. W oknie User Account Control wybierz Continue. W drzewie konsoli rozwiń Forest: nwtraders.msft -> Domains -> nwtraders.msft. Kliknij prawym przyciskiem myszy Group Policy Object. Z menu kontekstowego wybierz New. W oknie New GPO w polu Name: wpisz Nazwakomputera – skrypt logowania. Wybierz przycisk OK. W drzewie konsoli rozwiń Group Policy Object. Kliknij prawym przyciskiem myszy Nazwakomputera – skrypt logowania. Z menu kontekstowego wybierz Edit. W konsoli Group Policy Management Editor w sekcji User Configuration rozwiń Policies -> Windows Settings. Zaznacz Scripts (Logon/Logoff). W prawej części okna kliknij prawym przyciskiem myszy Logon. Z menu kontekstowego wybierz Properties. W oknie Logon Properties naciśnij przycisk Show Files. Strona 9/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy • W oknie Exploratora Windows , w menu Tools wybierz pozycję Folder Options. • W oknie Folder Option wybierz zakładkę View. • W sekcji Advanced settings: odznacz opcję Hide extensions for known file types. • Naciśnij OK. • W oknie Exploratora Windows, wybierz menu File -> New -> Text Document. • Zmień nazwę z New Text Document.txt na Logon.vbs. • W oknie Rename wybierz Yes. • Kliknij prawy przycisk myszy na pliku Logon.vbs i zmenu kontekstowego wybierz Edit. • W oknie Open File – security Warning naciśnij Open. • W programie Notepad wpisz następujace polecenia: Set objNetwork = Wscript.CreateObject("WScript.Network") objNetwork.MapNetworkDrive "S:", "\\Nazwakomputera\Public" msgbox "Twoj skrypt dziala!!!!!" • • • • • • • • • • • • • 3. Stworzenie GPO z konfiguracją użytkownika Zamknij plik i zapisz zmiany. Zamknij okno Exploratora Windows. W oknie Logon Properties naciśnij przycisk Add. W oknie Add a Script naciśnij przycisk Browse. W oknie Browse zaznacz plik Logon.vbs i naciśnij Open. Naciśnij OK. Naciśnij OK. Zamknij okno konsoli Group Policy Management Editor. W oknie konsoli Group Policy Management rozwiń Forest: nwtraders.msft -> Domains -> nwtraders.msft - > Locations. Kliknij prawym przyciskiem myszy obiekt Nazwakomputera. Z menu kontekstowego wybierz Link an Existing GPO…. W oknie Select GPO w sekcji Group Policy objects: zaznacz Nazwakomputera – skrypt logowania i naciśnij OK. Zamknij konsolę Group Policy Management. • Na dysku F: stwórz folder Home. • Kliknij na nim prawy przycisk myszy i z menu kontekstowego wybierz Properties. • W oknie Home Properties wybierz zakładkę Sharing. • Kliknij przycisk Advanced Sharing. • W oknie User Account Control wybierz Continue. • W oknie Advanced Sharing zaznacz pole wyboru Share this folder. • Wybierz przycisk Permissions. • W oknie Permissions for Home w sekcji Group or user names zaznacz Everyone i naciśnij przycisk Remove. • Kliknij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz Authenticated Users i naciśnij OK. • W sekcji Permissions for Authenticated Users zaznacz pole Change w kolumnie Allow. • Naciśnij OK. • Naciśnij OK. Strona 10/14 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • Moduł 10 Wprowadzenie do Group Policy W oknie Home Properties wybierz zakładkę Security. Wybierz przycisk Edit. W sekcji Group or user names zaznacz Users (Nazwakomputera\Users). W sekcji Permisions for Users zaznacz Modify w kolumnie Allow i naciśnij OK. Wybierz przycisk Close. Wybierz menu Start -> Administrative Tools -> Group Policy Management. W oknie User Account Control wybierz Continue. W oknie konsoli Group Policy Management znajdź obiekt Forest: nwtraders.msft -> Domains -> nwtraders.msft - > Locations -> Nazwakomputera i kliknij go prawym przyciskiem myszy. Z menu kontekstowego wybierz Create a GPO in this domain, and Link it here… W oknie New GPO w polu Name: wpisz Nazwakomputera – User Standard Configuration. Wybierz przycisk OK. W prawej części okna na zakładce Linked Group Policy Object kliknij prawym przyciskiem myszy Nazwakomputera – User Standard Configuration. Z menu kontekstowego wybierz Edit. W konsoli Group Policy Management Editor w sekcji User Configuration rozwiń Policies -> Windows Settings -> Folder Redirection. Kliknij prawym przyciskiem myszy Documents. Z menu kontekstowego wybierz Properties. W oknie Documents Properties na zakładce Target w polu Setting wybierz Basic – Redirect everyone’s folder to the same location. Upewnij się, że w polu Target folder location jest wybrana opcja Create a folder for each user under the root path. W polu Root Path wpisz \\Nazwakomputera\Home. Wybierz przycisk OK. W oknie Warning wybierz Yes. W konsoli Group Policy Management Editor w sekcji User Configuration rozwiń Policies -> Windows Settings. Kliknij prawym przyciskiem myszy Deployed Printers. Z menu kontekstowego wybierz Deploy Printer. W oknie Deploy Printer(s) naciśnij Browse… W oknie Select printer to deploy zaznacz komputer London i naciśnij przycisk Select. W oknie Select printer to deploy zaznacz drukarkę HP LaserJet 1100 (MS) i naciśnij przycisk Select. W oknie Deploy Printer(s) naciśnij Add >>. Naciśnij OK. W konsoli Group Policy Management Editor w sekcji User Configuration rozwiń Policies -> Administrative Templates: Policy definitions (ADMX files) retrieved from local machine. Zaznacz Control Panel. W prawej części okna kliknij prawym przyciskiem myszy Show Only specified Control Panel items. Strona 11/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy • Z menu kontekstowego wybierz Properties. • W oknie Show Only specified Control Panel items Properties na zakładce Setting zaznacz Enabled. • Wybierz przycisk Show. • W oknie Show Contents wybierz przycisk Add. • W oknie Add Item wpisz Mouse i naciśnij OK. • Wybierz przycisk Add. • W oknie Add Item wpisz Keyboard i naciśnij OK. • Naciśnij OK. • Naciśnij OK. • W lewej części okna zaznacz Desktop. • W prawej części okna kliknij prawym przyciskiem myszy Remove Properties from the Computer icon context menu. • Z menu kontekstowego wybierz Properties. • W oknie właściwości na zakładce Setting zaznacz Enabled. • Naciśnij OK. • W prawej części okna kliknij prawym przyciskiem myszy Remove Recycle Bin icon from desktop. • Z menu kontekstowego wybierz Properties. • W oknie właściwości na zakładce Setting zaznacz Enabled. • Naciśnij OK • W lewej części okna zaznacz Start Menu and Taskbar. • W prawej części okna kliknij prawym przyciskiem myszy Remove Run menu from Start Menu. • Z menu kontekstowego wybierz Properties. • W oknie właściwości na zakładce Setting zaznacz Enabled. • Naciśnij OK. • W prawej części okna kliknij prawym przyciskiem myszy Remove Network icon from Start Menu. • Z menu kontekstowego wybierz Properties. • W oknie właściwości na zakładce Setting zaznacz Enabled. • Naciśnij OK. • Zamknij okno konsoli Group Policy Management Editor. • Zamknij konsolę Group Policy Management. 4. Testowanie konfiguracji • Wybierz menu Start -> Administrative Tools -> Active Directory Users and Computers. • W oknie User Account Control naciśnij Continue. • W oknie narzędzia Active Directory Users and Computers zaznacz nwtraders.msft. • W Menu Action wybierz Find. • W polu name wpisz NazwakomputeraUser. • Naciśnij przycisk Find Now. • W sekcji Search results kliknij prawym przyciskiem myszy NazwakomputeraUser. • Z menu kontekstowego wybierz Move. • W oknie Move rozwiń nwtraders -> Locations, zaznacz jednostkę organizacyjną odpowiadającą nazwie Twojego komputera i naciśnij OK. • Zamknij okna i Wyloguj się. • Naciśnij na klawiaturze prawy Alt+Delete. Strona 12/14 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • Moduł 10 Wprowadzenie do Group Policy Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Po zalogowaniu powinno pojawić się okno z informacją „Twój skrypt dziala!!!!! Zobacz, że na pulpicie nie ma Kosza. Wybierz menu Start i zobacz, że nie ma polecenia Run ani Network. Wybierz Menu Start -> Documents i stwórz nowy dokument. Przejdź do folderu F:\Home\NazwakomputeraUser\Documents Documents i zobacz, że stworzony plik znajduje się w tej lokalizacji. Wybierz Menu Start -> Control Panel i zobacz które elementy są dostępne. kem myszy Computer i Wybierz Menu Start, kliknij prawym przyciskem zobacz, że w menu kontekstowym nie ma polecenia Properties. • Wyloguj się. 5. Stworzenie GPO z preferencjami użytkownika • • • • • • • • • • • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. NazwakomputeraAdmin W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Wybierz menu Start -> Administrative Tools -> Group Policy Management Management. W oknie User Account Control wybierz Continue.. W drzewie konsoli rozwiń Forest: nwtraders.msft -> Domains -> nwtraders.msft nwtraders.msft. K Kliknij prawym przyciskiem myszy Group Policy Object. Object Z menu kontekstowego wybierz New. W oknie New GPO w polu Name: wpisz Nazwakomputera – User Preferences Preferences. W Wybierz przycisk OK. W drzewie konsoli rozwiń Group Policy Object. K Kliknij prawym przyciskiem myszy Nazwakomputera – User Preferences Preferences. Z menu kontekstowego wybierz Edit. W konsoli Group Policy Management Editor w sekcji User Configuration rozwiń Preferences ->> Windows Settings. Settings Kliknij prawym przyciskiem Drive Maps. Z menu kontekstowego wybierz New ->> Mapped Drive. W oknie New Drive Properties w polu Action wybierz Create. W polu Location Lo wpisz \\London\Nazwakomputera Nazwakomputera Admins Folder. Folder Zaznacz opcję Reconnect. W sekcji Drive Letter wybierz opcję Use: X. Naciśnij OK. W konsoli ko Group Policy Management Editor w sekcji User Configuration -> Preferences ->> Windows Settings kliknij prawym przyciskiem Folders. Z menu kontekstowego wybierz New -> Folder. W oknie New Folder Properties w polu Action wybierz Create. Strona 13/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 10 Wprowadzenie do Group Policy • W polu Path wpisz C: \Users\%username%\Desktop Desktop\Private. • Naciśnij OK. • W konsoli Group Policy Management Editor w sekcji User Configuration ->> Preferences -> Windows Settings kliknij liknij prawym przyciskiem Shortcuts. • Z menu kontekstowego wybierz New ->> Shortcut. • W oknie New Shortcut Properties w polu Action wybierz Create. • W polu Name wpisz Tajne. • W polu Location wybierz Desktop. • W polu Target path wpisz E:\Secret. • Naciśnij OK. • W konsoli Group Policy Management Editor w sekcji User Configuration -> Preferences -> Control Panel Settings kliknij prawym przyciskiem Devices. • Z menu kontekstowego wybierz New -> Device. • W oknie New Device Properties w polu Action wybierz Do not use this device (disable). (disable) • W polu Device class naciśnij przycisk. • W oknie Select a Device Class or a Device rozwiń ports (COM & LPT). • Wybierz Communications port (COM1)) i naciśnij przycisk Select. • Naciśnij OK. • Zamknij okno konsoli Group Policy Management Editor. Editor • W oknie konsoli Group Policy Management rozwiń Forest: nwtraders.msft -> Domains -> nwtraders.msft - > Locations. Locations • Kliknij K prawym przyciskiem myszy obiekt Nazwakomputera. Nazwakomputera • Z menu kontekstowego wybierz Link an Existing GPO…. GPO… • W oknie Select GPO w sekcji Group Policy objects: zaznacz Nazwakomputera – User Preferences i naciśnij OK. • Zamknij konsolę Group Policy Management. • Wyloguj się. 6. Testowanie konfiguracji • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Sprawdź, czy zdefiniowanie ustawienia zadziałały. Na pulpicie powinny pojawić się folder Private i skrót do folderu Tajne. Tajne Powinien pojawić się zmapowany dysk X. W Device Manager możesz sprawdzić, że port COM 1 jest wyłączony. • Wyloguj się Strona 14/14 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 11 Wersja 1 Monitorowanie Procesów, Usług i Zdarzeń Spis treści Monitorowanie Procesów, Usług i Zdarzeń ........................................................................................ 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 7 Uwagi dla studenta ...................................................................................................................... 7 Dodatkowe źródła informacji....................................................................................................... 8 Laboratorium podstawowe .................................................................................................................. 9 Problem 1 (czas realizacji 45 min)................................................................................................ 9 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Informacje o module Opis modułu W tym module znajdziesz informacje dotyczące zarządzania wydajnością systemu. Dowiesz się, w jaki sposób używać narzędzi umożliwiających śledzenie wykorzystania podstawowych komponentów systemu zarówno w trybie rzeczywistym jak i zbierając dane na przestrzeni określonego czasu. Nauczysz się korzystać z narzędzi raportujących poziom niezawodności systemu. Cel modułu Celem modułu jest zapoznanie z zagadnieniami dotyczącymi śledzenia wydajności systemu, wykrywania i usuwania wąskich gardeł w systemie oraz monitorowania niezawodności systemu i zdarzeń mających na to wpływ Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, co to są liczniki i jak się je śledzi • potrafił, posługiwać się narzędziami do monitorowania wydajności i niezawodności systemu • rozumiał jakie komponenty systemu mogą mieć wpływ na wydajność Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Przygotowanie teoretyczne Przykładowy problem Jeden z serwerów w Twojej firmie podejrzanie zwolnił. Użytkownicy skarżą się, że pewnych godzinach muszą długo czekać na otwarcie plików, które znajdują się na udostępnionym folderze. Postanawiasz przy wykorzystaniu odpowiednich narzędzi monitorować serwer by znaleźć przyczynę problemów i ją wyeliminować. Podstawy teoretyczne Windows Server 2008 zawiera narzędzie Windows Reliability and Performance Monitor (Monitor niezawodności i wydajności. Jest to przystawka do konsoli Microsoft Management Console (MMC), która łączy w sobie funkcjonalność wcześniejszych pojedynczych narzędzi zawartych w Performance Logs and Alerts, Server Performance Advisor i System Monitor. Zawiera także monitor niezawodności, który pozwala śledzić zmiany w systemie i porównywać je do zmian w stabilności systemu, udostępniając graficzne widoki ich zależności. Wydajność określa szybkość, z jaką komputer realizuje zadania aplikacji i systemu. Całkowita wydajność systemu może być ograniczona przez szybkość dostępu do dysku twardego, ilość pomięci dostępnej dla uruchomionych procesów, maksymalnej prędkości procesora oraz maksymalnej przepustowości karty sieciowej. Po zidentyfikowaniu sprzętowego ograniczenia wydajności, pracownicy IT mogą monitorować pojedyncze aplikacje i procesy, aby ocenić jak wiele dostępnych zasobów one zużywają. Osoby odpowiedzialne mogą dokonywać pełnej analizy wydajności zarówno aplikacji mającej wpływ na obciążenie jak i całkowitej przepustowość systemu, co może pomóc w stworzeniu planu dostarczenia i rozszerzania przepustowości systemu wraz z wzrastającymi potrzebami. Windows Reliability and Performance Monitor umożliwia śledzenie nagłych zmian obciążeń systemu przez aplikacje lub usługi i generowanie alertów lub podejmowanie akcji, które zdefiniował użytkownik wcześniej zdefiniował na wypadek przekroczenia optymalnej wydajności. Niezawodność systemu określa stabilność systemu umożliwiając analizę trendów na podstawie informacji o zdarzeniach mogących mieć wpływ na ogólną stabilność systemu, takich jak instalacja oprogramowania, aktualizacje systemu operacyjnego i awarie sprzętu. Informacje potrzebne do określenia niezawodności systemu są zbierane od momentu jego instalacji. Niezawodność może być obniżona przez nieoczekiwane zatrzymanie działania aplikacji (aplikacja przestaje odpowiadać), zatrzymanie i restart usługi, nieprawidłowe zainicjowanie sterownika, lub w najgorszym przypadku, kiedy system operacyjny ulega awarii. Narzędzie Reliability Monitor udostępnia szybki, graficzny widok średniej niezawodności systemu. Dodatkowo, śledzi zdarzenia, które mogą pomóc zidentyfikować przyczyny obniżenia niezawodności. Zapisywane są nie tylko uszkodzenia czy błędy (dotyczące pamięci, twardych dysków, aplikacji czy systemu operacyjnego), ale również kluczowe zdarzenia dotyczące konfiguracji systemu ( instalacja nowych aplikacji i aktualizacja systemu operacyjnego). Dzięki temu można obserwować następujące w czasie zmiany systemu i niezawodność, co pozwala wycofać pewne zmiany w systemie które obniżyły niezawodność. Kluczowe nowości w monitorowaniu niezawodności i wydajności • Data Collector Sets – ważną nowością w Windows Reliability and Performance Monitor jest Data Collector Set ( zestaw modułów zbierających dane), który grupuje moduły zbierające dane w elementy nadające się do wielokrotnego wykorzystania, które można stosować w różnych scenariuszach monitorowania wydajności. Po zapisaniu grupy modułów zbierających dane w Zestawie modułów zbierających dane operacje takie jak planowanie można zastosować do całego zestawu poprzez jedną zmianę właściwości. W narzędziu dostępne są Strona 3/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń także domyślne szablony Zestawu modułów zbierających dane, pomagające administratorom systemu od razu rozpocząć zbieranie danych specyficznych dla określonej roli serwera lub scenariusza monitorowania. • Kreatory i szablony do tworzenia dzienników – umożliwiają dodawanie liczników, które mają być zapisywane w dziennikach, ich automatyczne uruchomienie, zatrzymanie oraz czas trwania przy wykorzystaniu interfejsu kreatora, dzięki czemu czynności te są bardzo uproszczone. Dodtakowo czynności te mogą zostać zapisane w postaci szablonów, co umożliwia ich późniejsze wykorzystanie na innych komputerach bez powtarzania czynności wyboru liczników i ustawiania harmonogramów. Funkcje Performance Logs and Alerts współpracują z Windows Reliability and Performance Monitor, dzięki czemu mogą używać używając dowolnego Zestawu modułów zbierających dane. • Widok zasobów – główną stroną narzędzia Windows Reliability and Performance Monitor jest widok zasobów(Rys. 1), zawierający graficzny przegląd wykorzystania w czasie rzeczywistym procesora, dysków, sieci i pamięci. Każdy z tych elementów można rozwinąć, co pozwala określić, które procesy korzystają z tych zasobów. W poprzednich wersjach systemów ta funkcjonalność była dostępna tylko w narzędziu Task Manager w dodatku ograniczonym zakresie. Rys. 1 Główny widok narzędzia Windows Reliability and Performance Monitor • Przyjazne dla użytkowników raporty diagnostyczne – zestaw raportów diagnostycznych znany z programu Server Performance Advisor z systemu Windows Server 2003, poprawionym czasem ich generowania. Monitorowanie specyficznych aktywności systemu przy użyciu Performance Monitor Performance monitor umożliwia graficzną prezentację wbudowanych w system Windows liczników wydajności zbieranych w czasie rzeczywistym lub przeglądanych w postaci historycznych danych. Strona 4/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Przed realizacją tego zadanie należy upewnić się, że użytkownik należy do grupy lokalnych administratorów lub jest zalogowany, jako członek grupy Performance Log Users która ma nadane prawa Log on as a batch Job. • Uruchomienie Performance Monitor 1. Uruchomić Windows Reliability and Performance Monitor. 2. W drzewie konsoli należy rozwinąć Reliability and Performance, rozwinąć Monitoring Tools I kliknąć Performance Monitor. Performance Monitor umożliwia dodanie specyficznych liczników wydajności do bieżącego widoku. • Dodanie liczników do bieżącego widoku Performance Monitor 1. W pasku menu powyżej wyświetlonej grafiki Performance Monitor kliknąć przycisk Add (+), lub w dowolnym miejscu grafiki kliknąć prawym przyciskiem myszy i z menu kontekstowego wybrać polecenie Add Counters. 2. W oknie Add Counters w sekcji Available Counters należy wybrać liczniki mające się pojawić w widoku Performance Monitor. Sugerowane liczniki: • • • • • • • • • • Memory: % Committed Bytes In Use Memory: % Committed Bytes In Use Memory: Page Faults/sec PhysicalDisk: Disk Read Bytes/sec PhysicalDisk: Disk Reads/sec PhysicalDisk: Disk Write Bytes/sec PhysicalDisk: Disk Writes/sec Processor: % Idle Time Processor: Interrupts/sec System: Threads 3. Po wybraniu liczników należy kliknąć przycisk OK. Tabela (Tab. 1) opisuje dostępne czynności w oknie Add Counters. Tab. 1 Czynności dostępne w oknie Add Counters Zadanie Wybór źródłowego liczników komputera Wyświetlenie liczników wybranej opisu Procedura dla Wybrać komputer z rozwijalnej listy lub kliknąć przycisk Browse, aby znaleźć inny komputer. Liczniki mogą być dodane dla komputera lokalnego lub innego komputera w sieci do którego posiadamy dostęp. grupy Wybrać Show description w lewym dolnym rogu strony. Opis zostanie odświeżony po wybraniu innej grupy Dodanie grupy liczników Podświetlić nazwę grupy i nacisnąć przycisk Add Szukanie instancji licznika Podświetlić grupę liczników lub rozwinąć grupę i kliknąć licznik, który ma być dodany wpisać nazwę procesu w polu Instances of selected object i kliknąć przycisk Search. Nazwa procesu, która została wpisana będzie dostępna do ponownego użycia na liście wyszukiwania dla innych liczników. Jeśli grupa liczników nie posiada wielu instancji, wyszukiwanie Strona 5/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń nie jest dostępne Dodanie tylko wybranej instancji licznika Podświetlić grupę liczników lub licznik na liście, wybrać proces z listy pojawiającej się w sekcji Instances of selectes object i kliknąć przycisk Add 4. Monitorowanie aktualnej aktywności wybranych liczników w Performance Monitor • Domyślnym widokiem narzędzia Performance Monitor jest wykres liniowy (Rys. 2). W widoku tym widok jest przesuwany z lewej do prawej. Umożliwia to obserwowanie zmiany aktywności każdego z liczników w porównaniu do wartości poprzednich w krótkim okresie czasu ( 2 minuty). Po umieszczeniu wskaźnika myszy nad linią wykresu zostaje wyświetlona szczegółowa informacja dotycząca licznika, który jest reprezentowany przez tą linię. Rys. 2 Wykres liniowy w narzędziu Performance Monitor • Możliwa jest zmiana sposobu wyświetlania aktualnego zbioru liczników przy użyciu rozwijanej listy w menu. Histogram bar wyświetla informacje w czasie rzeczywistym, umożliwiając obserwację zmian aktywności każdego z liczników • Widok Report pokazuje aktualne wartości każdego z wybranych liczników w formie tekstu • W zależności od widoku, każdy z liczników jest wyświetlany w legendzie z kolorem, w jakim jest dostępny na wykresie, skalą, nazwą licznika, jego instancją, obiektem którego dotyczy i komputera z którego jest pobierany. • Można zamrozić aktualny widok klikając przycisk Stop na pasku narzędzi. Aby przywrócić obserwacje od punktu, który jest aktualnie zatrzymany należy kliknąć Play.. Strona 6/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Przeglądanie stabilności systemu przy wykorzystaniu narzędzia Reliability Monitor Narzędzie Reliability Monitor jest przystawką konsoli MMC umożliwiającą przegląd stabilności systemu i analizę trendów ze szczegółowymi informacjami o indywidualnych zdarzeniach mających wpływ na stabilność systemu. Dane są zbierane od momentu instalacji systemu. • Uruchomienie Reliability Monitor 1. Uruchomić Windows Reliability and Performance Monitor. 2. W drzewie konsoli należy rozwinąć Monitoring Tools i kliknąć Reliability Monitor. • Wykres Stability System – bazując na zbieranych danych dotyczących życia systemu, każda data w wykresie System Stability zawiera graficzny punkt, pokazujący wartość indeksu stabilności dla tego dnia. System Stability Index jest wartością od 1 (najmniej stabilny) do 10 (najbardziej stabilny) i jest średnią ważoną obliczaną z liczby specyficznych awarii zapisanych w okresie czasu. Reliability Events opisują te specyficzne zdarzenia. Reliability Monitor zarządza roczną historią stabilności systemu i zdarzeń związanych z niezawodnością. • W system Stability Report są zapisywane następujące zdarzenia związane z niezawodnością systemu • System Clock Changes – w tej kategorii zawarte są zmiany czasu systemowego Przechowywane informacje: Old Time, New Time, Date • Software (Un)Instalss – instalacja lub usuwanie oprogramowania zawierająca komponenty systemu operacyjnego, aktualizacje Windows, sterowniki i aplikacje. Przechowywane informacje: Software, Version, Activity, Activity Status, Date • Application Failures - awarie aplikacji, między innymi przerwanie działania, nie odpowiadanie Przechowywane informacje: Application, Version, Failure Type, Date • Hardware Failures – awarie dysku i pamięci Przechowywane informacje: Component Type, Device, Failure Type, Date • Windows Failure – awaria system operacyjnego oraz jego uruchamiania Przechowywane informacje: Failure Type, Version, Failure Detail, Date • Miscellaneous Failures – Awarie mające wpływ na stabilność i nie są zawarte w powyższych kategoriach (np. nieoczekiwane wyłączenie systemu) Przechowywane informacje: Failure Type, Version, Failure Detail, Date Podsumowanie W tym rozdziale przedstawione zostały informacje dotyczące monitorowania wydajności i niezawodności serwerów przy wykorzystaniu dostępnego narzędzia Windows Reliability and Performance Monitor Porady praktyczne • Instalacja Windows musi być uruchomiona przynajmniej 24 godziny zanim dane będą wyświetlane w System Stability Chart • Po zainstalowaniu systemu będzie można zobaczyć minimalną ilość zdarzeń związanych z niezawodnością. Zainstaluj aplikacje i urzadzenia by zobaczyć ich więcej Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • rozumiesz, co to jest wydajność i niezawodność systemu • umiesz monitorować liczniki związane związane z podsystemami • potrafisz śledzić niezawodność systemu Strona 7/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Strona 8/12 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś odpowiedzialny za niezawodne działanie serwerów w swojej firmie. Do Twoich obowiązków należy monitorowanie ich stanu – codzienna analiza logów systemowych i okresowe sprawdzanie wydajności serwerów. Właśnie zawiesił Ci się Explorer. Chcesz zrestartować proces. Chcesz tak skonfigurować Monitor Wydajności by na jednym wykresie móc obserwować wykorzystanie procesora i pamięci swojego serwera i serwera zdalnego London. Podejrzewasz, że na zdalnym serwerze London w godzinach południowych, kiedy pracuje największa liczba użytkowników może brakować pamięci operacyjnej. Chcesz skonfigurować automatyczne zbieranie informacji codziennie przez najbliższe 2 tygodnie oprócz weekendów w godzinach od 11 do 13. Dane te wykorzystasz później do analizy problemu. Chcesz również przetestować swój system korzystając z gotowych raportów. Codziennie rano przeglądasz logi na serwerach. By ułatwić sobie prace chcesz przygotować konsolę zawierającą niezbędne narzędzia. Chcesz stworzyć swoje widoki. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Restart procesu Explorera • Uruchom maszynę wirtualną 2008 Templ. • • • • • • • • • • • • • • • • • • 3. Monitorowani e serwerów w czasie rzeczywistym i monitorowanie rejestrowane Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Naciśnij na klawiaturze prawy Alt+Delete. Wybierz Start Task Manager. Wybierz zakładkę Processes. Wybierz menu View -> Select Columns. W oknie Select Process Page Columns wybierz PID (Process Identifier) i CPU Time. Naciśnij OK. Przejrzyj uruchomione procesy. Kliknij prawym przyciskiem proces explorer.exe. Z menu kontekstowego wybierz End Process. W oknie Windows Task Manager naciśnij przycisk End process. Wybierz menu File -> new Task (Run). W oknie Create New Task wpisz explorer.exe i naciśnij OK. Zamknij okno Windows Task Manager. • Wybierz Start i w polu Start Search wpisz: runas /user:[email protected] cmd • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie wiersza poleceń wpisz perfmon.msc. • W oknie Reliability and Performance Monitor wybierz Monitoring Tools -> Performance Monitor. Strona 9/12 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • • • Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń W prawej części okna kliknij na zielonym przycisku +. W oknie Add Counters dla Local computer rozwiń na liście Memory. Zaznacz licznik Pages/sec i naciśnij Add. Naciśnij OK. W prawej części okna kliknij na zielonym przycisku +. W polu Select counters from computer wpisz \\London London. W oknie Add Counters dla \\London rozwiń na liście Processor. Zaznacz licznik % Processor Time i naciśnij Add. W oknie Add Counters dla \\London rozwiń wiń na liście Memory. Zaznacz licznik Pages/sec i naciśnij Add. Naciśnij OK. Sprawdź, czy monitorujesz dwa liczniki ze swojego serwera i dwa liczniki z serwera London. • W oknie Reliability and Performance Monitor rozwiń Data Collector Sets Sets. • Kliknij prawym przyciskiem myszy User Defined. • Z menu kontekstowego wybierz New ->> Data Collector Set. Set • W oknie Create new Data Collector Set w polu Name wpisz Monitorowanie serwera London. London • Zaznacz opcję Create manually (Advanced). • Naciśnij Next. • Dla zaznaczonej zaznac opcji Create data logs wybierz Performance counter. counter • Naciśnij Next. • W oknie Which performance counters would you like to log? Naciśnij przycisk Add. • W polu Select counters from computer wpisz \\London London. • W oknie Add Counters dla \\London rozwiń na liście Memory. • Na liście zaznacz z licznik Page Fault/sec i naciśnij Add. Add • Na liście zaznacz z licznik Available Bytes i naciśnij Add. Add • Na liście zaznacz z licznik Committed Bytes i naciśnij Add. • Naciśnij OK. • W opcji Sample interwal wpisz 3. • W opcji Units upewnij się, że są wybrane sekundy. • Naciśnij Next. • Naciśnij Next. • W oknie Create the data collector set? Naciśnij aciśnij przycisk Finish. • W oknie Reliability and Performance Monitor rozwiń Data Collector Sets -> User Defined. • Kliknij K prawym przyciskiem myszy Monitorowanie serwera London. London • Z menu kontekstowego wybierz Properties. • W oknie Monitorowanie serwera London properties wybierz zakładkę Schedule Schedule. • Naciśnij przycisk Add. • W polu Beginning date wybierz jutrzejszą datę. • Zaznacz opcję Expiration date i wybierz datę 2 tygodnie późniejszą. • W sekcji Lunch w polu Start time wybierz godzinę 11:00:00 AM. • Odznacz Saturday i Sunday. • Naciśnij OK. Strona 10/12 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • 4. Testowanie wydajności systemu Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń Wybierz zakładkę Stop Condition. Zaznacz opcję Overall duration i w polu poniżej wpisz 2. W polu Units wybierz Hours. Naciśnij OK. • W oknie Reliability and Performance Monitor rozwiń Data Collector Sets -> System. • Kliknij prawym przyciskiem myszy System Performance. Performance • Z menu kontekstowego wybierz Start. • Odczekaj około 1 minuty. • Kliknij prawym przyciskiem myszy System Performance. Performance • Z menu kontekstowego wybierz Stop. • W oknie Reliability and Performance Monitor rozwiń Reports -> System -> System Performance. • Kliknij dostępny raport. • Przejrzyj P raport w prawej części okna. Jakie jest użycie pamięci? Jakie jest użycie procesora? • Zamknij narzędzie Reliability and Performance Monitor. Monitor 5. Zarządzanie dziennikami zdarzeń • Wybierz W Start i w polu Start Search wpisz: runas /user:[email protected] mmc • W oknie C:\Windows\System32\runas.exe wpisz hasło P@ssw0rd. • W oknie Console1 wybierz menu File ->> Add/Remove Snap-in… Snap • Na liście Available snap-ins zaznacz Event Viever i naciśnij przycisk ADD> . • W oknie Select Computer naciśnij OK. • Na liście Available snap-ins zaznacz Event Viever i naciśnij przycisk ADD> . • W oknie Select Computer zaznacz opcję Another computer. computer • Naciśnij przycisk Browse. • W polu Enter the object name to select (examples) wpisz London. • Naciśnij przycisk OK. • Naciśnij przycisk OK. • Naciśnij przycisk OK. • W lewej częsci okna Console1 rozwiń Event Viewer (Local) -> Windows Logs Logs. • Kliknij prawym przyciskiem myszy Application. • Z menu kontekstowego wybierz Properties. • W oknie Log Properties – Application w polu Maximum log size (KB) wpisz 100000. • Zaznacz opcję Archive the log when full, do not overwrite events. events • Nacisnij OK. • Kliknij prawym przyciskiem myszy Security. • Z menu kontekstowego wybierz Create Custom View. • W oknie Create Custom View w polu Logged ustaw Last 30 days. • W polu <All Event IDs> wpisz 4635. • Naciśnij N OK. • W oknie Save Filter to Custom View w polu Name wpisz wylogowanie Strona 11/12 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • • • • • • Moduł 11 Monitorowanie Procesów, Usług i Zdarzeń użytkownika. Naciśnij przycisk New Folder. W oknie Enter name of the New folder wpisz Moje widoki. Naciśnij OK. Naciśnij OK. W oknie Save Filter to Custom View w sekcji select where to save the Custom view zaznacz Moje widoki i naciśnij OK. Przejrzyj zawartość stworzonego widoku logu Security. W lewej częsci okna Console1 rozwiń Event Viewer (Local) -> Windows Logs. Kliknij prawym przyciskiem myszy System. Z menu kontekstowego wybierz Clear Log. W oknie Event Viewer naciśnij przycisk Save and Clear. W oknie Save As w polu File name wpisz System Log kopia. Naciśnij przycisk Save. Zamknij okna. Wyloguj się. Strona 12/12 ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 12 Wersja 1 Archwizacja danych Spis treści Archwizacja danych .............................................................................................................................. 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 8 Dodatkowe źródła informacji....................................................................................................... 9 Laboratorium podstawowe ................................................................................................................ 10 Problem 1 (czas realizacji 45 min).............................................................................................. 10 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych Informacje o module Opis modułu W module tym znajdziesz informacje dotyczące zabezpieczenia danych przed utratą. Dowiesz się, w jaki sposób wykonywać kopie zapasowe korzystając z Shadow Copies jak i Windows Server Backup. Nauczysz się tworzyć harmonogramy automatycznych kopii, oraz przywracać utracone dane w wypadku ich usunięcia lub awarii dysków. Cel modułu Celem modułu jest zapoznanie z zagadnieniami związanymi z zabezpieczaniem danych przed utratą, a w szczególności z wykorzystaniem „kopii w tle” i codziennym wykonywaniem kopii zapasowych danych przechowywanych na serwerach Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, jak działa mechanizm Schadow Copy • potrafił, skonfigurować harmonogram wykonywania automatycznych kopii zapasowych • rozumiał potrzebę zabezpiecznia danych przed utratą Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem. Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych Przygotowanie teoretyczne Przykładowy problem Chcesz by dane przechowywane na serwerach w twojej firmie były bezpieczne. Na razie nie było awarii dysków, ale zdajesz sobie sprawę z konsekwencji takiego zdarzenia. Ponadto zdarza się, że użytkownicy przez przypadek kasują pliki znajdujące się na serwerze plików. Chcesz zabezpieczyć się przed takimi zdarzeniami tworząc kopie zapasowe. Czasami użytkownicy modyfikują pliki nadpisując dane, a po jakimś czasie potrzebna jest ich poprzednia wersja. Chcesz, by mogli oni sami w prosty sposób przeglądać zmiany, jakie w nich występowały. Podstawy teoretyczne Windows Server 2008 zawiera kilka rozwiązań, które mogą być używane razem w celu tworzenia kopii bezpieczeństwa i zapewnienia odtworzenia systemu i danych. Są to: • Shadow Copies (kopia w tle) • Narzędzia Windows Server Backup (w ich skład wchodzi przystawka Windows Server Backup Microsoft Management Console, narzedzie wiersza poleceń Wbadmin i komendy Windows PowerShell dla Windows Server Backup) • Windows Recovery Environment (zawiera Windows Complete PC Restore, Windows memory Diagnostic Tool i wiersz poleceń) Można używać tych narzędzi do następujących zadań związanych z tworzeniem i odzyskiwaniem kopii bezpieczeństwa(Tab. 1): Tab. 1 Narzędzia i zadania, jakie można przy ich pomocy wykonać Narzędzie Zadanie Shadow Copies of Shared Folders (w Tworzenie kopii w tle plików lub folderów w przystawce Shared Folders) udostępnionym zasobie Backup Schedule Wizard (w przystawce Tworzenie harmonogramów dla automatycznego Windows Server Backup) wykonywania kopii zapasowej Backup Once Wizard (w przystawce Tworzenie Windows Server Backup) zapasowej Polecenie Wbadmin systemstatebackup jednorazowej, dodatkowej kopii start Tworzenie kopii zapasowej danych dotyczących stanu systemu (ang. system state) Recovery Wizard (w przystawce Windows Odzyskiwanie Server Backup) woluminów plików, folderów, aplikacji i Dysk instalacyjny Windows do dostępu Odzyskiwanie systemu operacyjnego (krytycznych do Windows Recovery Environment i kopi woluminów) lub całego serwera (wszystkich tworzonych przy pomocy Windows woluminów) Server Backup Polecenie Wbadmin systemstaterecovery start Odzyskiwanie danych dotyczących stanu systemu Catalog Recovery Wizard (w przystawce Odzyskiwanie katalogu zaierajacego informacje o Windows Server Backup) – dostępny przeprowadzonych kopiach tylko gdy katalog kopii jest uszkodzony Strona 3/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych Shadow Copies współdzielonych folderów Shadow Copies współdzielonych folderów tworzy kopię w punkcie czasu plików znajdujących się na współdzielonym zasobie takim jak serwer plików. Funkcjonalność ta jest zawarta w przystawce Shadow Copies of Shared Folders w konsoli Microsoft Management Console. Korzystając z niej użytkownicy mogą zobaczyć pliki i foldery istniejące w określonych punktach czasu w przeszłości. Dostęp do wcześniejszych wersji plików jest bardzo użyteczna, ponieważ można: • przywrócić pliki przypadkowo skasowane – jeśli jakiś plik został przypadkowo skasowany, można otworzyć jego poprzednią wersje i zapisać w bezpiecznym miejscu. • przywrócić pliki przypadkowo nadpisane - jeśli jakiś plik został przypadkowo nadpisany, można przywrócić jego poprzednią wersję • porównać wersje plików – można użyć poprzednich wersji plików w celu porównania różnic pomiędzy nimi Należy pamiętać, że korzystanie z „kopii w tle” nie zastępuje tworzenia regularnych kopii zapasowych. Shadow Copies of Shared Folders można włączyć tylko na poziomie woluminu a nie jest możliwe wyspecyfikowanie folderów i plików, które mają być kopiowane lub nie. Funkcjonalność Shadow Copies jest we wszystkich wersjach Windows Server 2008 ( zarówno w 32 bitowej jaki 64 bitowej), jednak interfejs użytkownika nie jest dostępny w instalacji Server Core. Włączenie i konfigurowanie Shadow Copies of Shared Folders Jeśli “kopia w tle” zostanie włączona na woluminie z domyślnymi opcjami, harmonogram zostanie ustawiony w taki sposób, że kopia zostanie wykonana o godzinie 7.00. Domyślne miejsce przechowywanie będzie na tym samych woluminie i zostanie ustawione na 10 procent dostępnego miejsca. Rys. 1 Okno konfiguracji Shadow Copies W celu włączenia Shadow Copies of Shared Folders należy: • Wybrać Start -> Administrative Tools i kliknąć Computer Management. Strona 4/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych • W drzewie konsoli kliknąć prawym przyciskiem myszy Shared Folders i z menu kontekstowego wybrać polecenie All Task, a potem Configure Shadow Copies (Rys. 1). • W oknie Select a volume, wybrać wolumin, na którym ma być włączone „kopiowanie w tle” i kliknąć przycisk Enable. • Pojawi się komunikat mówiący, że funkcjonalność zostanie włączona na domyślnych ustawieniach i mogą one być niewłaściwe dla serwerów z mocno obciążonymi podsystemami I/O. Należy wybrać Yes, jeśli chcemy kontynuować, lub No, jeśli chcemy wybrać inny wolumin i ustawienia. • Aby zmienić domyślny harmonogram i ustawienia należy kliknąć przycisk Settings. Windows Server Backup Windows Server Backup jest funkcją Windows Server 2008, która udostępnia zbiór kreatorów i innych narzędzi, umożliwiających tworzenie zadań podstawowych kopii zapasowych i odzyskiwania dla serwerów. Funkcjonalność ta została przeprojektowana i wprowadzona w nowej technologii, a wcześniejszy Ntbackup.exe, dostępny w poprzednich wersjach systemu Windows został usunięty. Windows Server Backup zawiera przystawki MMC i narzędzia wiersza poleceń, które udostępniają kompletne wsparcie dla codziennych kopii zapasowych i odzyskiwania. Dostępne są cztery kreatory, które instruują, w jaki sposób zrobić kopię i ją odzyskać. Windows Server backup może być użyty do zrobienia kopii zapasowej całego serwera,, wybranego woluminu lub stanu systemu. Odzyskiwać można woluminy, foldery, pliki, niektóre aplikacje i stan systemu. Jeśli zdarzy się awaria dysku można przeprowadzić przywrócenie systemu, które przywróci kompletny system przy użyciu pełnej kopii zapasowej serwera i Windows Recovery Environment. Windows Server Backup może być użyty do tworzenia i zarządzania kopiami zapasowymi na komputerze lokalnym lub komputerach zdalnych. Aby z niego korzystać użytkownik musi być członkiem grupy Administrators lub Backup Operators. W Windows Server 2008 firewall jest domyślnie włączony. Może on powodować problemy przy próbie zarządzania kopiami na komputerach zdalnych i może być potrzebna modyfikacja jego reguł. Nie ma on wpływu na zarządzanie komputerem lokalnym. Windows Server Backup używa usługi Volume Shadow Copy Service (VSS) i technologi kopii na poziomie bloków danych przy tworzeniu kopii zapasowej systemu operacyjnego, plików, folderów i woluminów. Po wykonaniu pierwszej, pełnej kopii zapasowej, można skonfigurować narzędzie tak, by automatycznie wykonywało przyrostową kopię danych zapisując tylko dane zmienione od czasu wykonania ostatniej kopii. Nawet przy wyborze pełnej kopii, proces będzie zajmował mniej czasu niż we wcześniejszych wersjach Windows. Windows Serwer Backup używa funkcjonalności VSS, która jest wbudowana w aplikacje takie jak Microsoft SQL Server do zabezpieczania danych aplikacji. Podczas wykonywania kopii zapasowej należy wskazać lokalizację gdzie będzie tworzona kopia zapasowa. Dostępne są następujące możliwości(Tab. 2): Tab. 2 Dostępne magazyny do wykonania kopii zapasowej Typ magazynu Szczegóły Udostępniony folder Jeśli kopia jest zapisywana na zdalnym udostępnionym folderze, kopia zapasowa będzie nadpisywana za każdym razem, gdy będzie tworzona nowa kopia. Opcja ta nie powinna być wybierana, jeśli ma być przechowywana seria kopii zapasowych. Dodatkowo, jeśli podczas tworzenia kopii w folderze, w którym istnieje już inna kopia wystąpi Strona 5/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych błąd, możemy zostać bez żadnej kopii. Można to obejść tworząc podfolder w udostępnionym folderze dla nowej kopii zapasowej DVD, inne medium optyczne lub medium Jeśli kopia zapasowa jest przechowywana na takich dołączane mediach, przywracać można tylko całe woluminy a nie poszczególne pliki czy aplikacje. Dodatkowo nie wspierane jest medium które posiada mniej niż 1 GB wolnego miejsca Lokalny dysk twardy Tworząc kopię zapasową na lokalnym dysku twardym można: • Przewracać pliki, foldery, aplikacje i woluminy • Przywracać dane systemu i system operacyjny jeśli kopia zapasowa zawiera wszystkie krytyczne woluminy Niestety, nie można przywracać systemu operacyjnego jeśli kopia zapasowa jest na tym samym fizycznym dysku co jeden z krytycznych woluminów. Dodatkowo dysk wybrany do przechowywania kopii jest dedykowany temu zadaniu i nie jest widziany w Exploratorze Windows. Zewnętrzny dysk twardy Tworząc kopię zapasową na lokalnym dysku twardym można: • Przewracać pliki, foldery, aplikacje i woluminy • Przywracać dane systemu i system operacyjny jeśli kopia zapasowa zawiera wszystkie krytyczne woluminy • Łatwiej przenosić kopie zapasowe na zewnątrz w celu zapewnienia ochrony Zewnętrzny dysk służący do przechowywania kopii jest dedykowany temu zadaniu i nie jest widziany w Exploratorze Windows. Konfigurowanie automatycznej kopi zapasowej W celu skonfigurowania harmonogramu kopii zapasowej należy: • Zainstalować Windows Server Backup • Wybrać dysk twardy, na którym będzie przechowywana kopia zapasowa i upewnić się że jest on w trybie online. Najlepszą praktyka jest używanie na serwerze zewnętrznego dysku wspierającego USB 2.0 lub IEEE 1394. Powinien być on przynajmniej 2,5 krotnie większy niż pojemność danych które mają być zabezpieczane. Ponadto dysk powinien być pusty, ewentualnie zawierać dane, które nie są potrzebne, ponieważ Windows Server Backup będzie go formatował w trakcie przygotowywania procesu kopii zapasowej. • Zdecydować czy kopia będzie zawierała cały serwer czy wybrane woluminy • Zdecydować czy kopia zapasowa będzie się wykonywała raz dziennie czy częściej • Po uruchomieniu procesu wykonywania kopii zapasowej należy śledzić status korzystając z Messages i Status na domyślnej stronie przystawki Strona 6/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych Rys. 2 Narzędzie Windows Server Backup Stworzenie harmonogramu kopii zapasowej przy użyciu interfejsu Windows Server Backup: • Wybrać Start -> Administrative Tools i kliknąć Windows Server Backup (Rys. 2). • W przystawce w panelu Action pod Windows Server Backup kliknąć Backup Schedule. Spowoduje to uruchomienie kreatora Backup Schedule Wizard. • W oknie Getting started kliknąć Next. • W oknie Select backup configuration wybrać jedną z poniższych opcji i kliknąć Next: • Kliknąć Full Server, aby stworzyć kopię zapasową wszystkich woluminów serwera (opcja rekomendowana) • Kliknąć Custom, aby stworzyć kopię zapasową wybranych woluminów i kliknąć Next. W oknie Select backup items zaznaczyć woluminy, które mają być kopiowane i odznaczyć te które mają być wykluczone. ( Woluminy zawierające komponenty systemu operacyjnego są zaznaczone domyślnie i nie mogą być odznaczone) • Na stronie Specify backup time wybrać jedną z poniższych opcji i kliknąć Next: • Kliknąć Once a Day i wprowadzić godzinę wykonania kopii zapasowej • Kliknąć More than once a Day. Następnie wybrać czas startu w opcji Availabla time, kliknąć czas, kiedy kopia zapasowa ma wystartować i kliknąć Add, aby przenieść czas pod Scheduled time. Powtarzać akcje dla każdego czasu, który ma zostać wybrany. • W oknie Select destination disk, zaznaczyć odpowiedni dysk. Najczęściej dysk lub dyski są wyświetlane na liście. Jeśli nie należy kliknąć Show All Available Disks. • Pojawi się komunikat informujący, że wybrany dysk zostanie sformatowany i istniejące dane zostaną usunięte. Należy wybrać Yes. Jeśli dysk zawiera potrzebne dane należy kliknąć No i zaznaczyć inny dysk. (Od tej chwili dysk będzie niewidoczny w Exploratorze Windows w celu zabezpieczenia przed przypadkowym nadpisaniem Strona 7/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych • W oknie Label destination disk wyświetlany jest dysk wcześniej wybrany. Dołączone są informacje o nazwie komputera, aktualnej dacie i godzinie i nazwie dysku. • W oknie Confirmation należy przeglądnąć informacje podsumowujące i kliknąć Finish. • W oknie Summary kliknąć Close. Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z wykorzystaniem technologii Shadow Copies. Wyjaśniono, w jaki sposób skonfigurować tą funkcjonalność na serwerze. Omówiono narzędzie do tworzenia kopii zapasowych Windows Server Backup i zademonstrowano, w jaki sposób stworzyć harmonogram wykonywania kopii. Porady praktyczne • Przywracając plik przy wykorzystaniu Shadow Copies jego uprawnienia pozostają bez zmian. Jeśli przywracasz plik omyłkowo skasowany jego uprawnienia będą takie jak domyślne uprawnienia folderu, w którym się znajdzie. • Kiedy wyczerpie się miejsce w magazynie, w którym są przechowywane kopie w tle, najstarsze kopie będą nadpisywane, co uniemożliwi ich odzyskanie. • Istnieje ograniczenie przechowywania maksymalnie 64 kopii w tle dla woluminu, jełki zostanie przekroczone, najstarsze kopie będą nadpisywane, co uniemożliwi ich odzyskanie • Kopie w tle są tylko do odczytu – nie ma możliwości ich modyfikowania • Zalecane jest używanie innego dysku, jako magazynu dla Shadow Copies – zwiększy to wydajność • Nie należy włączać Shadow Copies na woluminach gdzie istnieje punkt montowania innych woluminów, ponieważ nie będą one brały udziału w procesie. Wyjątkiem jest sytuacja, kiedy świadomie wykluczamy taki dysk z tworzenia kopii. • Nie powinno się ustawiać harmonogramu kopii częściej niż raz na godzinę – należy pamiętać o ograniczeniu miejsca w magazynie przechowywania i limicie 64 kopii. Przy częstym wykonywaniu kopi łatwo przekroczyć te limity i nadpisane dane nie będą dostępne. • Przed usunięciem woluminu, na którym działa usługa Shadow Copies należy wyłączyć zadanie z harmonogramu, ponieważ w logach będzie pojawiał się błąd Event ID: 7000. Zadanie można usunąć ręcznie wybierając Start -> Administrative Tools i klikając Task Scheduler. W narzędziu tym należy kliknąć Task Scheduler Library, kliknąc rawym przyciskiem myszy zadanie tworzące kopię w tle i z menu kontekstowego wybrać polecenie Delete. • Nie można odzyskiwać kopii zapasowej stworzonej przy pomocy ntbackup.exe korzystając z Windows Server Backup. Można użyć wersji ntbackup.exe dostępnej na witrynie Microsoft. • Nie można użyć Windows Server Backup dla woluminów większych niż 2043 GB. • Woluminy które mają być zabezpieczone przy pomocy kopii zapasowej muszą być podłączone lokalnie i sformatowane w systemie plików NTFS. • Nie można robić kopii zapasowych wykorzystując napędy taśmowe mimo że Windows Server 2008 wpiera je. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • rozumiesz jak działa Shadow Copies • umiesz skonfigurować „kopiowanie w tle” • potrafisz zrobić kopie zapasową przy pomocy Windows Backup Server Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Strona 8/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional. Strona 9/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie. Jesteś odpowiedzialny za bezpieczeństwo danych na serwerze. Zdarza się, że użytkownicy modyfikują pliki udostępnione na serwerze, a potem okazuje się, że potrzebna jest poprzednia ich wersja. Postanawiasz wdrożyć rozwiązanie dzięki któremu użytkownicy sami będą mogli odtwarzać poprzednie wersje plików i folderów. Po uruchomieniu tej funkcjonalności przeprowadzisz testy. Zainstalujesz narzędzie do archiwizacji danych. Zrobisz backup woluminu i spróbujesz go odzyskać by sprawdzić funkcjonowanie narzędzia. Chcesz zautomatyzować proces tworzenia codziennych kopii bezpieczeństwa. Zdefiniujesz zadanie, które będzie robiło backup Systemu codziennie wieczorem. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Skonfigurowa nie Shadow Copies • Uruchom maszynę wirtualną 2008 Templ. • • • • • • • • • • • • • • • • • • • • • • • • 3. Testowanie Shadow Copies Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz menu Start -> Administrative Tools -> Computer Management. W oknie User Account Control wybierz Continue. W drzewie konsoli Computer Management kliknij prawym przyciskiem myszy Shared folders. Z menu kontekstowego wybierz All Tasks -> Configure Shadow Copies. W oknie Shadow Copies w sekcji Select a Volume zaznacz dysk E: i naciśnij Enable. W oknie Enable Shadow Copies naciśnij Yes. Naciśnij przycisk Settings. W oknie Settings naciśnij przycisk Schedule. W oknie E:\ naciśnij przycisk New. W polu start Time ustaw 7:00 AM. Naciśnij przycisk Advanced. W oknie Advanced Schedule Options zaznacz opcję Repeat task. W polu Every wpisz 1 i wybierz wartość hours. Dla opcji Until zaznacz Time i wpisz 3:00 PM. Naciśnij OK. Naciśnij OK. Naciśnij OK. Naciśnij OK. Zamknij konsolę Computer Management. • Na dysku E: stwórz folder Test. • W folderze Test stwórz plik tekstowy test.txt i zapisz w nim dowolny tekst Strona 10/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych • Wybierz menu Start -> Administrative Tools -> Computer Management Management. • W oknie User Account Control wybierz Continue.. • W drzewie konsoli Computer Management kliknij prawym przyciskiem myszy Shared folders. • Z menu kontekstowego wybierz All Tasks ->> Configure Shadow Copies • W oknie Shadow Copies w sekcji Select a volume zaznacz dysk E: i naciśnij przycisk Create Now. • Naciśnij przycisk OK. • Zamknij okno konsoli Computer Management. • Zmodyfikuj zawartość pliku E:\Test\test.txt i zapisz zmiany. • Kliknij K prawym przyciskiem myszy folder Test. • Z menu kontekstowego wybierz Properties. • W oknie Test Properties wybierz zakładke Previous Versions. Versions • W sekcji Folder version zaznacz folder Test i naciśnij przycisk Open. • Otwórz plik test.txt. Plik zawiera tekst przed modyfikacją. • • • • • • • Zamknij plik. plik Zamknij okno Exploratora Windows. W oknie Test Properties kliknij przycisk Restore. W oknie Previous Versions kliknij przycisk Restore. Restore W oknie informacyjnym kliknij przycisk OK. Naciśnij OK. Otwórz plik test.txt i sprawdź jego zawartość. Plik powinien zawierać tekst przed modyfikacją. • Zamknij plik. • Wyloguj się. 4. Instalacja narzędzi do wykonywania kopii bezpieczeństwa. Backup jednego z dysków. • • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. NazwakomputeraAdmin W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Wybierz menu Start -> Administrative Tools ->> Server Manager. Manager W oknie User Account Control wybierz Continue.. W drzewie konsoli kliknij prawym przyciskiem myszy Features. Z menu kontekstowego wybierz Add Features. W oknie Select Features na liście zaznacz Windows Server Backup Features Features. Naciśnij przycisk Next. W oknie Confirm Installation Selections kliknij Install. Install W oknie Installation Results kliknij Close. Zamknij okno Server Manager. Wybierz menu Start -> Administrative Tools -> Windows Server Backup Backup. W oknie User Account Control wybierz Continue.. W oknie konsoli Windows Server Backup wybierz menu me Action Backup Strona 11/14 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • • • • • • Moduł 12 Archiwizacja danych Once. W oknie Backup options kliknij przycisk Next. W oknie Select backup configuration zaznacz opcję Custom. Naciśnij przycisk Next. W oknie Select backup items zaznacz dysk Dane(E:). Odznacz opcję Enable system recovery. Naciśnij przycisk Next. W oknie Specify destination type upewnij się, że jest zaznaczona opcja Local driver. Naciśnij przycisk Next. W oknie Select backup destination kliknij przycisk Next. W oknie Specify advanced option kliknij przycisk Next. W oknie Confirmation kliknij przycisk Backup. Poczekaj, aż w oknie Backup Progress, Status będzie Backup completed. Naciśnij Close. Zamknij konsolę Windows Server Backup. 5. Skasowanie zawartości dysku • • • • • • • • 6. Odtworzenie voluminu z kopi zapasowej • Wybierz menu Start -> Administrative Tools -> Windows Server Backup. • W oknie User Account Control wybierz Continue. • W oknie konsoli Windows Server Backup wybierz menu Recover. • W oknie Getting started upewnij się, że jest zaznaczona opcja This Server. • Naciśnij przycisk Next. • W oknie Select backup date kliknij dzisiejszą datę. • Naciśnij przycisk Next. • W oknie Select recovery type zaznacz opcję Volumes. • Naciśnij przycisk Next. • W oknie Select volumes jako Source volumes zaznacz dysk Dane (E:). • W kolumnie Destination Volume wybierz z listy Dane (E:). • Naciśnij przycisk Next. • W oknie informującym, że dane na dysku docelowym zostaną stracone naciśnij Yes. • W oknie Confirmation naciśnij przycisk Recover. • Poczekaj, aż w oknie Recovery progress, Status wyświetli się jako Restore of volumes completed. • Naciśnij Close. Wybierz menu Start -> Computer. Kliknij prawym przyciskiem myszy dysk Dane (E:). Z menu kontekstowego wybierz Format. W oknie User Account Control wybierz Continue. W oknie Format Dane (E:) zaznacz opcję Quick Format. Naciśnij przycisk Start. W oknie ostrzeżenia naciśnij OK. Jeśli pojawi się komunikat że dysk jest w użyciu przez inny program lub proces, wybierz Yes. • W oknie informacyjnym Format Complete naciśnij przycisk OK. • Zamknij okno Format Dane (E:). • Sprawdź, że na dysku E: nie ma już żadnych danych. Strona 12/14 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 12 Archiwizacja danych • Zamknij konsolę Windows Server Backup. • Sprawdź, że na dysku E: dane zostały przywrócone. 7. • Na dysku Dane (E): skasuj folder Secret i Public. 8. Odtworzenie wybranych folderów z kopi zapasowej • Wybierz menu Start -> Administrative Tools -> Windows Server Backup. • W oknie User Account Control wybierz Continue. • W oknie konsoli Windows Server Backup wybierz menu Recover. • W oknie Getting started upewnij się, że jest zaznaczona opcja This Server. • Naciśnij przycisk Next. • W oknie Select backup date kliknij dzisiejszą datę. • Naciśnij przycisk Next. • W oknie Select recovery type zaznacz opcję Files and folders. • Naciśnij przycisk Next. • W oknie Select items to recover w sekcji Availavle items rozwiń Nazwakomputera i kliknij Dane (E:). • W prawej części okna trzymając wciśnięty klawisz Ctrl kliknij foldery Secret i Public. • Naciśnij przycisk Next. • W oknie Specify recovery options zaznacz opcje: — Original location — Overwrite existing files with recovered files — Restore security settings • Naciśnij przycisk Next. • W oknie Confirmation naciśnij przycisk Recover. • Poczekaj, aż w oknie Recovery progress, Status wyświetli się jako Restore of files completed. • Naciśnij Close. • Zamknij konsolę Windows Server Backup. • Sprawdź, że na dysku E: foldery zostały przywrócone. 9. Skonfigurowa • Wybierz menu Start -> Administrative Tools -> Windows Server nie automatycznej Backup. kopii zapasowej • W oknie User Account Control wybierz Continue. • W oknie konsoli Windows Server Backup wybierz menu Action - > Backup Schedule. • W oknie Getting started naciśnij Next. • W oknie Select backup configuration zaznacz opcję Custom. • Naciśnij przycisk Next. • W oknie Select backup items odznacz Dane (E:) i Dokumenty Publiczne (F:). • Naciśnij przycisk Next. • W oknie Specify backup time zaznacz opcję Once a Day, a w polu Select time of Day ustaw 11:00 PM. • Naciśnij przycisk Next. • W oknie Select destination disk naciśnij przycisk Show All Available Strona 13/14 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • • • • • • Moduł 12 Archiwizacja danych Disks. W oknie show All Available Disks zaznacz pole wyboru przy dostępnym dysku i naciśnij OK. W oknie Select destination disk zaznacz pole wyboru przy dostępnym dysku. Naciśnij przycisk Next. W oknie informacyjnym naciśnij Yes. W oknie Label destination disk naciśnij przycisk Next. W oknie Confirmation naciśnij Finish. W oknie Summary naciśnij Close. Zamknij okno Windows Server Backup. Wyloguj się. Strona 14/14