SPRÁVA SÍTÍ MICROSOFT WINDOWS příručka k semináři
Rozvojový projekt „Systémová podpora Informačního centra jako Centra excelence“
Projekt v rámci realizace I. Etapy Státní informační politiky ve vzdělávání (SIPVZ), zpracovala Střední průmyslová škola a Střední odborné učiliště, Trutnov, Školní 101
© SPŠ a SOU, Trutnov, Školní 101. 2004 - Všechna práva vyhrazena. URL: http://www.spssoutu.cz
Správa sítí Microsoft Windows
1. Vývoj síťových operačních systémů První síťový operační systém, který se rozšířil v běžných sítích s osobními počítači, byl systém Novell Netvare. Tento systém vycházel od počátku z principu sítí klient – server. Pro jednoduché sítě se poté začal používat systém Lantastic, který umožňoval provoz sítě peer to peer (rovný s rovným). Z tohoto principu také vycházela síť Microsoft. Tato síť pracovala v prostředí stanic s operačním systémem MS-DOS a poté i v prvních verzích Windows. Zde se pro práci v síti peer to peer rozšířil systém Windows 3.11 for Workgroups. Teprve nástup systému Windows NT zavedl v prostředí Microsoft síť klient – server. V praxi se více rozšířila verze Windows NT 3.51 (vycházela také vzhledově ze systému Windows 3.x). Po nástupu Windows 95 se vzhled a ovládání tohoto systému přeneslo i do platformy NT (znamená New Technology) a vznikla verze Windows NT 4.0. Tato verze Windows se rozdělila na dvě větve – systém pro pracovní stanice (Windows NT 4.0 Workstation) a pro server (Windows NT 4.0 server). I když jsou tato Windows NT ve verzi 4 velice podobná platformě Windows 95 a mají téměř shodná ovládání, tak jádro je úplně jiné. Windows NT jsou od základu stavěná jako síťové stanice a server, s prostředky pro práci v síti a solidní zabezpečení. Poměrně dlouhou dobu vyvíjela firma Microsoft dvě různé platformy – Windows 9x a NT.
Platforma Windows 9x Reprezentovaná verzemi 95, 98 a ME (Millenium Edition) byla určena hlavně pro samostatně pracující stanice, převážně pro domácí použití. Další vývoj těchto systémů byl po roce 2000 víceméně zastaven.
Platforma Windows NT Tato platforma reprezentovaná verzemi NT 4.0 Workstation, 2000 a XP Professional je určena hlavně pro práci v síti. Tyto systémy jsou bezpečnější, stabilnější, ale také náročnější na hardware. Z těchto systémů řady NT pro pracovní stanice vychází i serverové systémy, které se i stejně nazývají a pro odlišení se název doplňuje označením Server. To byly systémy NT 4.0 server, 2000 server. Nejnovější verze serveru, Windows 2003 server, vychází ze systému XP, ale protože měla pozdější uvedení na trh, tak má i jiné označení. Ještě se můžete setkat s verzí XP Home, které jsou odlehčenou verzí XP určenou pro domácí použití nebo samostatně pracující stanice. V dalším se budeme věnovat již jen posledním verzím Windows XP Professional a Windows 2003 server.
2. Instalace stanice a serveru Instalace je poměrně jednoduchá a u obou systémů velice podobná. Zvládnout ji může i zručnější uživatel. Pokud máte nový počítač, sestavený ze značkových dílů, tak proběhne z velké části automaticky a jste pouze dotázáni na základní údaje. Pod pojmem značkové díly se rozumí takové prvky, které byly pro daný systém „homologovány“, to znamená, že byly úspěšně testovány. Pokud vyhovují požadavkům, tak jsou uvedeny na HCL (Hardware Compatibility List), který je přístupný na Internetových stránkách firmy Microsoft (www.microsoft.com). Pokud tam vaše součásti nenajdete, tak to nemusí nutně znamenat, že nebudou fungovat, ale jejich zprovoznění se systémem může být v některých případech náročnější.
Strana 1/13
Správa sítí Microsoft Windows Pro úspěšnou instalaci je nutné splnit alespoň minimální hardwarové požadavky. Firma Microsoft uvádí minimální a doporučené nároky na vybavení. I když splněním minimálních nároků jste schopni systém nainstalovat (pro instalaci stanice procesor od 233 MHz, RAM 64 MB, HDD 1,5 GB), tak práce s takovým systémem je velice nepohodlná. Je vhodné řídit se spíše než uváděným minimem hodnotou doporučenou. Pokud budete mít minimum RAM, tak při běžné práci musí být paměť průběžně uvolňována a dochází velice často ke „swapování“ (odkládání momentálně nepotřebných dat v paměti na HDD). Tato činnost může zpomalovat systém až několikanásobně. A na HDD minimální velikosti budete mít pouze vlastní systém ale už ne prostor pro práci. Ale nových počítačů se tyto problémy většinou netýkají. Pro použití ve školním prostředí jsou vhodné systémy řady NT, pokud to je jen trochu možné a máte postačující hardware. Je vhodné na těchto systémech stavět počítačovou síť typu klient server. Výhodou je jejich stabilita, víceuživatelské prostředí, možnosti zabezpečení a centrální správa. Řada systémů Windows 9x je vhodná spíše pro jednouživatelské prostředí. U serveru základní instalace také není nijak zvlášť odlišná od instalace XP. Ale poté je nutné rozhodnout o organizaci sítě, provést správné začlenění serveru a přiřadit mu jednotlivé role. To už je záležitost pro odborníky, kteří tyto operace provedou. Dále je nezbytné mít rozmyšlenou organizaci sítě. Server může být začleněn do fungující sítě bez jakýchkoli speciálních služeb (samostatný, standalone). Pro jeho plné využití je ale vhodné použít server jako základ doménového modelu sítě, kde server má funkci řadiče domény. Standardně je nutné po instalaci systému provést aktivaci (získat aktivační klíč) na základě prokázání nákupu příslušné licence. U verzí Corporation pro hromadné licence ve větších firmách nebo školní licence (nakoupené například prostřednictvím MS Select for Education) tato aktivace není nutná. Pro server je nutné kromě vlastní licence nakoupit také příslušný počet klientských licencí pro počítače (uživatele), které se budou k němu připojovat (CAL - Client Access Licence).
3. Síťový model Již při instalaci pracovní sítě jste při konfiguraci síťových služeb dotazování na zařazení stanice do skupiny nebo domény. Rozdíl těchto dvou modelů je velice podstatný: Pracovní skupina je pouze seskupení počítačů, není zajištěna jednotná správa a zabezpečení. Nevyžaduje nutně server, může tedy pracovat i jako síť peer to peer. Doména je seskupení počítačů do organizační jednotky, kde všechny stanice sdílejí jeden model zabezpečení a centrální správy. Tyto funkce zabezpečuje pro každou doménu server ve funkci řadiče domény. Výhodou je možnost nastavení zabezpečení a definice uživatelských účtů na jednom místě. To je typicky důležité ve školní síti. Umožňuje každému uživateli přihlášení k libovolné stanici v síti bez nutnosti nastavovat jeho účet na všech stanicích. Na mnoha školách stále přetrvává systém přihlašování všech uživatelů k danému počítači prostřednictvím jediného účtu (například PC1). V těchto případech potom každý pracuje „anonymně“, nelze dostatečně zajistit funkčnost sítě a její zabezpečení, včetně zabezpečení uživatelských dat a nastavení. Uživatelé si vzájemně „škodí“. Proto je vhodné nastavit pravidla v síti tak, aby se každý uživatel (žák i učitel) přihlašoval prostřednictvím svého unikátního účtu. Práce s vytvořením individuálních účtů pro všechny uživatele se správci velice rychle vrátí v podobě daleko menších nároků na další správu sítě. Pro větší počet stanic lze použít více serverů ve funkci řadičů pro jednu doménu a tím zvýšit výkon a spolehlivost sítě. Lze také nastavit vztahy mezi jednotlivými doménami, kdy není nutné na propojených sítích mít zřízené účty v jednotlivých doménách, ale lze zajistit centrálně přístup správným nastavením pravidel zabezpečení. Strana 2/13
Správa sítí Microsoft Windows
4. Síťové protokoly Pro činnost počítačové sítě je nezbytná správná konfigurace jejich jednotlivých prvků. Základem nastavení je síťový protokol, jakýsi „společný jazyk“. Dnes jsou téměř všechny sítě postaveny na rodině protokolů TCP/IP (Transmission Control Protocol / Internet Protocol). Tento protokol má tu výhodu, že se používá jak v lokálních sítích, tak i v Internetu. Umožňuje také škálovat sítě podle potřeby a řídit efektivitu provozu jak uvnitř jednotlivých sítích, tak hlavně mezi sítěmi. Další, méně používané protokoly jsou NetBeui a IPX/SPX. Je sice možné v jedné síti zároveň provozovat více protokolů, ale z hlediska výkonnosti je výhodnější se této kombinaci vyhnout. V další části se popisuje protokol TCP/IP a jeho model. Na základě rozdělení síťových modelů do vrstev je možný rychlejší vývoj, protože se mohou řešit izolovaně problémy na jednotlivých vrstvách a není nutné stále řešit komplexně všechny služby. Jsou dané jednotlivé vrstvy, jejich funkce a služby a definováno rozhraní mezi nimi. Pro popis sítí založených na TCP/IP se používá OSI model (rozdělený do 7 vrstev) nebo TCP/IP model (rozdělený do 4 vrstev, některé vrstvy jsou sloučeny). TCP/IP protokol je tvořen celou soustavou jednotlivých protokolů, které zajišťují jednotlivé služby pro síťovou komunikaci. Nezabývají se většinou záležitostmi nejnižší vrstvy, ta je řešena podle modelu OSI a z něj vycházejících norem.
Hlavní protokoly TCP/IP a jejich účel: ICMP (Internet Control Message Protocol) – slouží pro výměnu stavových a chybových informací. Jeho služeb využívá například často používaný příkaz PING pro zjištění dostupnosti určité stanice v síti. ARP (Address Resolution Protocol) – slouží pro zjištění fyzické adresy zařízení (MAC adresy) na základě jeho IP adresy (síťové, logické). RARP (Reverse ARP) – plní obdobnou funkci jako ARP, ale v opačném směru (zjištění IP adresy na základě MAC adresy). TCP (Transmission Control Protocol) – slouží pro řízení komunikace, spojování jednotlivých IP paketů, kontrolu jejich doručení, vytváří virtuální spojení mezi komunikujícími aplikacemi. Protože najednou může komunikovat více aplikací, tak využívají různých portů TCP (jakýchsi adres), například Internetový prohlížeč s protokolem HTTP používá port 80. UDP (User Datagram Protocol) – přenáší data mezi komunikujícími aplikacemi bez garance jejich doručení, nezajišťuje řízení toku. Také pracuje s různými porty UDP. Telnet – umožňuje připojení k jinému počítači a spravovat ho (vzdálený přístup). SSL (Secure Sockets Layer) – slouží pro zabezpečenou (šifrovanou) komunikaci, například ve webovém prohlížeči je využíván tento protokol pro přístup do neveřejných stránek (adresa začíná https://... místo http://...). Pokud komunikace neprobíhá přes https, tak lze odchytit například při přihlašování na síti vaše heslo a zneužít ho. DNS protokol (Domain Name System) – slouží pro přiřazování IP adres doménovým jménům. Například adresa www.spssoutu.cz je dostupná na IP adrese 62.77.118.6. Díky této službě můžete zadávat v prohlížeči www adresy a nemusíte si pamatovat IP adresy, systém si je zjistí sám prostřednictvím této služby.
Strana 3/13
Správa sítí Microsoft Windows RPC (Redirector Protocol) – umožňuje i nesíťovým aplikacím využívat sítě, například uložit data na síťový disk. Máte namapovaný síťový disk pod písmenem F: a při ukládání na tento disk systém zajistí, že se data přenesou po síti na příslušný server (přesměruje je). Přitom pro vlastní aplikaci se tento proces jeví stejně jako při ukládání na disk C:. BOOTP (BOOT strap protocol) – umožňuje stanici při startu požádat server o přidělení IP adresy, používá se například u bezdiskových stanic. Protože celý systém je uložený na serveru (a ne na lokálním disku), tak po zapnutí na stanici neběží žádný systém. Proto by stanice nemohla komunikovat se serverem. Řeší se to síťovou kartou, která obsahuje BOOTROM, což je malá paměť, která pomocí protokolu BOOTP umí po zapnutí navázat spojení se serverem a spustit inicializaci operačního systému. TFTP (Trivial File Transfer Protocol) – slouží pro jednoduchý přenos dat, například upgrade BIOSu (firmware). FTP (File Transfer Protocol) – slouží pro přenos dat po Internetu, například stahování (download) programů z nějakého serveru (FTP serveru). Nahrávání dat na server (upload) slouží například k aktualizaci webových stránek na serveru. HTTP (Hyper Text Transfer Protocol) – slouží pro přenos hypertextových dat. To jsou data, obsahující texty, obrázky a další prvky a umožňují sledování myšlenkového toku (přecházení na další stránky) pomocí hypertextových odkazů. Používá se hlavně v Internetu pro zobrazování www stránek (hypertextový odkaz = ručička). POP3 (Post Office Protocol) – slouží pro elektronickou poštu, pro příjem zpráv. SMTP (Simple Mail Transmission Protocol) – slouží také pro E-mail, pro odesílání zpráv. Podrobně jsou všechny vlastnosti a parametry protokolů i všech síťových služeb popsány v doporučeních RFC, která vydávají mezinárodní standardizační organizace ISO, TIA/EIA a další.
5. Jmenné služby Základním identifikátorem každého počítače v sítích TCP/IP je IP adresa (například 62.77.118.6). Protože práce s těmito číselnými adresami by byla poměrně obtížná, tak se většinou používají místo číselných údajů různé systémy jmen. Potom stačí zadávat jména, která jsou snáze zapamatovatelná a systém pomocí jmenných služeb zajistí jejich překlad na číselné adresy. Dříve se používala služba WINS, tu využívají spíše starší programy. Nyní se používá služba DNS. Oba typy jmenných služeb mohou být zajištěny na Windows serveru. Stačí je doinstalovat a správně konfigurovat. Na jednom serveru mohou zároveň běžet obě služby. Aby stanice tyto služby mohly využívat, tak na nich musí být správně nastaveny odkazy na jmenné servery. To lze nastavit ve vlastnostech protokolu TCP/IP ve vlastnostech sítě pro dané síťové připojení. Zde je nutné zadat do příslušných polí IP adresu serveru DNS (případně i záložního) a obdobně i WINS serveru. Pokud používáte službu dynamické přidělování IP adres, tedy službu DHCP, tak tyto vlastnosti nenastavujete na jednotlivých stanicích, ale centrálně, ve vlastnostech DHCP serveru. Při instalaci DNS serveru je nutné rozlišovat, zda bude tyto služby zajišťovat pouze pro místní síť, nebo pro přístup z vnitřní sítě do Internetu. DNS server může plnit zároveň obě funkce.
Strana 4/13
Správa sítí Microsoft Windows Při konfiguraci DNS serveru je nutné nadefinovat jednotlivé zóny a vazby mezi nimi. Nejjednodušší je použití průvodce instalací DNS. Musíte zadat název příslušné domény, kterou bude server obsluhovat. Například spssoutu.cz, tak jak se jména používají v Internetu. Pro vnitřní síť je nutné tato jména odlišit, proto se zadává přípona ve tvaru LOCAL, například SKOLA.LOCAL. Záznamy v této zóně umožňují komunikovat s dalšími stanicemi v síti zadáváním jejich jmen a není nutné zadávat jejich IP adresy. Například pro použití síťové tiskárny zadáte jméno počítače a název sdílené tiskárny. A při požadavku na tisk se automaticky vyšle dotaz na jmenný server, který vrátí IP adresu, příslušnou tomuto jménu. A dále už komunikace probíhá přímo na tuto adresu (číselnou). Trochu odlišně probíhá komunikace v Internetu. Chcete zobrazit obsah nějakého serveru. Zadáte v prohlížeči danou adresu, například www.seznam.cz. Zase se automaticky naváže spojení s DNS serverem. A ten vrátí IP adresu, pokud ji nalezne ve svých záznamech. Samozřejmě není prakticky možné, aby všechny Internetové názvy byly v daném serveru. Proto je tato služba řešena hierarchicky. To znamená, že každý DNS server má zadanou vazbu na nadřízený server. A pokud nenalezne příslušný záznam, postoupí tento dotaz dále. Pokud ani nadřízený server nezná adresu, postupuje ji dále. Každá doména (například CZ, DE, COM, …) má svůj kořenový server a na něm bude příslušný záznam, nebo pro nějakou doménu nižší úrovně bude vědět kam dotaz směrovat. Službu DNS svým zákazníkům většinou zajišťuje poskytovatel připojení. Buď ji zajišťuje přímo, nebo poskytuje nadřízený DNS server pro váš vlastní. Se službou DNS také souvisí registrace domény. Jestliže chcete registrovat svoji doménu v Internetu (například www.firmaxyz.cz), tak musíte požádat pro danou doménu registrátora o přidělení. A v žádosti musíte uvést, na kterých DNS serverech budou záznamy o daném jménu umístěny. Pokud používáte webhosting (máte www stránky dané domény umístěny u firmy, která toto nabízí jako službu) tak tyto služby automaticky zajišťuje provozovatel daného serveru.
6. Active Directory Pokud používáte doménový model sítě, tak musíte v této síti mít minimálně jeden server Windows ve funkci řadiče domény s nainstalovanou službou Active Directory. Tato služba vytváří databázi všech objektů a jejich vlastností. Jsou v ní uloženy informace o všech uživatelských účtech, počítačích zařazených v doméně, nastavených právech a bezpečnostních politikách. Při přihlašování uživatele (ale i při startu počítače) jsou zadané informace (jméno a heslo) ověřovány na řadiči domény podle záznamů v Active Directory (AD). Výhodou soustředění všech těchto informací do jedné služby je jejich snadná centrální správa, možnost replikace na další servery a zabezpečení. Po instalaci serveru musíte provést jeho povýšení do role řadiče a nainstalovat službu AD. Pro její funkci je nejprve nutné zajistit správnou funkci DNS pro vnitřní síť, protože tyto služby jsou vzájemně provázané. Služba AD se objevila jako novinka u verze Windows 2000 server a úspěšně se prosazuje i nové verzi serveru.
7. Systémové nástroje Nastavení systému se provádí podobně jako u ostatních verzí Windows, prostřednictvím Ovládacích panelů a jednotlivých položek. U serveru jsou navíc k dispozici další prostředky pro správu služeb serveru. Ty jsou soustředěny pod položkou Nástroje pro správu, dostupnou z ovládacích panelů nebo nabídky Start Programy. Některé z těchto položek jsou dostupné i na pracovní stanici. Pomocí položek z této skupiny můžete provádět prakticky všechna naStrana 5/13
Správa sítí Microsoft Windows stavení služeb serveru a běžné administrativní úkony při provozu sítě. Většinu operací lze provádět i prostřednictvím příkazové řádky. Přehled alespoň nejdůležitějších nástrojů je uveden dále.
Uživatelé a počítače služby AD V této konzoli je možné spravovat účty uživatelů, počítačů a serverů v dané doméně. Lze vytvářet nové účty, zobrazovat a měnit jejich vlastnosti (hesla, umístění, jména, …), povolovat a zakazovat je, případně je rušit. Výhodou AD proti předchozí verzi serveru je možnost (alespoň částečně) hierarchicky členit jednotlivé objekty do skupin, nazývaných Organizační jednotky (OU). Vhodným členěním uživatelů si můžete ušetřit práci při správě systému (například vytvořením OU podle jednotlivých tříd a začleněním žáků těchto tříd do příslušných OU). Velice důležitým prvkem, který lze nastavovat v této konzoli je možnost přiřazení přístupových práv a možnost definovaní bezpečnostních politik (pravidel) pro jednotlivé objekty v AD.
DNS Konzole pro konfiguraci a správu této služby. Pokud neprovedete nějaký neregulérní zásah do systému, tak zde není nutné běžně nic měnit. Ale v případě potíží zde můžete zjistit příčinu problémů. Máte zde (mimo jiné) přehled jmen a IP adres všech počítačů vaší sítě.
WINS Pokud máte nainstalovanou tuto službu a používáte ji, můžete zde opět zjistit informace o jménech a adresách počítačů a případně do nich zasahovat.
Průvodce konfigurací serveru Zde můžete pomocí průvodců přidělovat serveru další funkce a provést instalaci a konfiguraci příslušných služeb (např. AD, DNS, DHCP a další).
Správce služby Terminal Services Tato služba umožňuje pracovat v režimu terminálu. To znamená, že z klientské stanice se naváže spojení s příslušným terminálovým serverem a spustí se potřebný program. Tento program běží na serveru a na stanici jsou jen přenášena data pro zobrazení, naopak na server se přenáší vstupy z klávesnice a myši. Protože jako klientská stanice stačí i slabý počítač (486 s 16 MB RAM), tak je možné tímto způsobem provozovat jejich prostřednictvím i moderní, poměrně náročné programy (například Windows XP a MS Office). K využití této služby je ale nutné zakoupení přístupových licencí k terminálovému serveru (Terminal CAL). Kromě možnosti provozu programů na serveru tato služba umožňuje také administraci, neboli vzdálený přístup k serveru (jeho spravování z jiného počítače stejně jako byste seděli přímo u serveru). Standardně můžete i bez zakoupení licencí terminálu provozovat až 2 vzdálená připojení pro správu.
Správa počítače Konzole, která je dostupná i na samostatné pracovní stanici Windows XP. Používá se pro správu běžných procesů počítače. Umožňuje ale i připojení k jinému počítači a spravovat ho stejně jako místní počítač. V ní je několik velice užitečných položek:
Strana 6/13
Správa sítí Microsoft Windows Prohlížeč událostí V prohlížeči událostí je možné procházet log soubory jednotlivých služeb. Z jednotlivých záznamů je možné odhalit příčinu různých problémů. Sdílené složky Zde je souhrnný přehled všech přístupných zdrojů tohoto počítače (sdílené složky a disky). Zobrazuje přehled relací a otevřených souborů (zde je vidět využití zdrojů tohoto počítače z jiných stanic). Zde můžete zjistit, zda někdo neoprávněně nevyužívá zdroje vašeho počítač (bezpečnostní díru). Kromě vlastního přehledu je zde velice užitečná možnost uzavření otevřených relací nebo souborů. Místní uživatelé a skupiny Umožňují vytvářet a spravovat účty lokálního počítače. K počítači se může přihlásit jen uživatel s platným a povoleným účtem (pokud není nastaveno automatické přihlášení). Pokud je počítač zapojen do domény, tak se ověřování provádí na základě doménového účtu, vytvořeného v AD. Potom můžete při přihlašování vybrat zda se hlásíte do domény nebo jen k tomuto počítači v rozšířených vlastnostech přihlašovacího okna. Účty jednotlivých uživatelů je možné přiřazovat do skupin s různými oprávněními. Pro správu doménových účtů je nutné použít konzoli Uživatelé a počítače služby AD (uvedené výše). Výstrahy a protokolování výkonu Tvorba vlastních protokolů, které budou monitorovat určité vlastnosti systému (čítače), například využití procesoru, disku, sítě a podobně. Toto je vhodné použít při ladění výkonu počítače a odhalení úzkých míst systému. Správce zařízení Ve správci zařízení je souhrnný přehled všech hardwarových součástí počítače a jejich stav, například grafické karty, síťové, zvukové karty, diskových mechanik a další. Lze zde zjistit stav zařízení, podrobnosti o jeho ovladačích a prostředcích. Pokud je u nějaké položky otazník nebo výstraha, tak toto zařízení nepracuje správně. Potom zde lze aktualizovat ovladač, případně dané zařízení zakázat (nebo povolit). Důležitá vlastnost zde přibyla proti předchozím verzím a to možnost vrátit předchozí ovladač (po jeho aktualizaci). To je ale nutné provést v případě potřeby hned po aktualizaci, pokud zjistíte nefunkčnost. Úložiště Umožňuje provést defragmentaci disku (přerovnání jeho obsahu pro zvýšení výkonu). Pomocí položky Správa disků zjistíte informace o všech připojených diskových jednotkách. Vidíte jednotlivé oddíly, jejich stav a souborový formát. Můžete zde na nevyužitém prostoru disku vytvářet další oddíly a formátovat je. Lze zde také nastavit písmeno jednotky, kterým se budete na příslušný logický disk odkazovat. Již existující oddíly nelze měnit (nebo odstraňovat) bez ztráty dat. Tyto operace ale lze případně provádět nástroji třetích stran (Partition Magic). Služby a aplikace Obsahuje přehled služeb systému, jejich stav a způsob spouštění. Pokud nějakou chcete využívat, tak musí být spuštěná.
Strana 7/13
Správa sítí Microsoft Windows Pro snazší správu vaší sítě si můžete sami vybrat pro vás důležité a často používané nástroje a sestavit si vlastní soubor správních nástrojů. Stačí spustit MMC (Microsoft Managament Console) pomocí položky Start Spustit. Pomocí položky Přidat nebo odebrat moduly snap-in v nabídce Soubor umístíte do kořenové konzole vybrané moduly. Celé nastavení MMC si můžete pojmenovat a uložit.
Uživatelské profily Pro snazší správu sítě lze využít i uživatelské profily. To jsou osobní nastavení systému, platná pro konkrétního uživatele (uložená ve složce Documents and settings). Je možné zajistit uživatelům jednoduše jejich stejné nastavení prostředí tím, že tyto jejich profily se automaticky při odhlášení ukládají na server a při dalším přihlášení (i na jiné stanici) se opět zkopírují do příslušného počítače. Toto lze nastavit ve vlastnostech uživatele v položce cestovní profily a výběrem místa jeho umístění na serveru. Je možné vytvořit také povinný profil (mandatory), který nastaví správce a přiřadí ho uživateli nebo uživatelům. Při přihlášení se těmto uživatelům dle přiřazeného profilu nastaví prostředí, které si mohou podle potřeby měnit. Ale při jejich odhlášení se neaktualizuje tento povinný profil, to znamená, že při příštím přihlášení mají opět to základní prostředí definované správcem (a ne svoje úpravy).
Registry Některá nastavení lze přímo provádět v registrech. Registry jsou uloženy v systémovém souboru, ve kterém jsou informace o všech součástech systému a jejich nastavení. Nahrazuje soubory INI, které se používaly ve starších verzích Windows. Podobné konfigurační soubory měly i jednotlivé aplikace. Tyto INI soubory všech aplikací a systému (kromě starých programů) jsou nyní zahrnuty do jednoho systémového registru. Změnou některých nastavení pomocí běžných nástrojů se mění i údaje v registru. V případě potřeby je možné přímo procházet a upravovat položky registru pomocí příkazu Regedit. Položek je zde několik tisíc a není vždy jednoduché se v nich vyznat. Bez dostatečné znalosti není vhodné do těchto údajů zasahovat a měnit je. Všechny položky registru jsou rozděleny do klíčů (jakýchsi skupin). V klíči Hkey_Local_Machine jsou položky týkající se počítače, v klíči Hkey_Users údaje platné pro všechny uživatele a v klíči Hkey_Current_User nastavení právě přihlášeného uživatele. Jako příklad použití tohoto nástroje může být odstranění nežádoucí aplikace nebo viru. Některá taková aplikace se automaticky spouští už při startu systému a může škodit. Potom může být jedno z řešení přímý zásah do registru. V klíči \Hkey_Local_Machine\Software\Microsoft\Windows\CurentVersion\Run je uveden seznam položek, které se spouští už při startu systému. ☺ Pokud je zde podezřelá položka, je možné ji odstranit. Podobně mohou být některé záškodnické aplikace spouštěny až při přihlášení uživatele, potom zkuste hledat v klíči \Hkey_Users a dále stejně jako předchozím případě.
Správce úloh Při práci se systémem se může stát, že některá aplikace „zamrzla“, přestala reagovat. Přehled právě spuštěných aplikací a služeb je možné získat ve správci úloh (dostupný z místní nabídky v Hlavním panelu nebo po stisku Ctrl+Alt+Delete). Zde je přehled právě spuštěných programů a jejich stav. Pokud u některé položky je stav „Neodpovídá“, tak pravděpodobně „zamrzla“. Může to ale být způsobeno i nějakou činností systému, která počítač delší dobu plně zaměstnává.
Strana 8/13
Správa sítí Microsoft Windows ☺ Aplikaci můžete ze správce úloh přímo ukončit. Tím ztratíte rozpracovaná data! V záložce Procesy jsou vypsány spuštěné služby systému (procesy). Zde je vidět, jak zatěžují procesor a kolik zabírají paměti. Také zde lze vybraný proces ukončit, ale u některý systémových služeb toto není možné. Některé služby mohou být spuštěny a nejsou zde přesto vidět. Proto je nutné v případě podezření zkontrolovat i ručně registry. V záložce Výkon je monitorováno zatížení procesoru a využití paměti.
8. Nastavení zabezpečení Každý systém je nutné zabezpečit před možností zneužití vašeho počítače nebo informací v něm uložených neoprávněnými uživateli a vzdáleným přístupem. Často je potřeba zabezpečit systém i před nezodpovědnými oprávněnými uživateli nebo chybnou obsluhou. Nejnovější systémy mají zabudováno množství bezpečnostních nástrojů a mechanismů. Jejich využitím je možno systém zabezpečit, ale je nezbytné je správně nastavit. Žádný systém není 100% bezpečný, takový systém by totiž byl pro běžnou práci nepoužitelný. Proto zabezpečení systému bude vždy kompromis mezi použitelností a bezpečností. Prvky, které nemohou být dostatečně zabezpečeny, mohou být monitorovány. Sledováním log souborů (s uloženými záznamy monitoringu) můžete potom zavčas odhalit bezpečnostní mezery, případně odhalit příčinu problémů.
Hesla Standardně před zahájením práce se systémem řady NT je nutné se přihlásit prostřednictvím platného uživatelského účtu. Tímto způsobem je možné účinně zabránit neoprávněnému přístupu. Heslo si běžně může uživatel sám měnit. Měl by si vybrat takové heslo, které není snadno uhodnutelné a přitom takové, které by si dobře pamatoval (hlavně si ho nikde nepoznamenávat). Dostatečně silné heslo by mělo mít minimálně 6 znaků s kombinací písmen malých a velkých a číslic nebo jiných speciálních znaků. Naprosto nevhodná jsou hesla ve tvaru snadno zjistitelných osobních údajů (křestní jméno, jména dětí, manželky, data narození a podobně), jednoduchých slov a jmen. Je vhodné občas heslo měnit. V nastavení pravidel bezpečnosti je možné zadat minimální požadavky na hesla a na dobu jejich platnosti. Ta bývá standardně nastavena na dobu 42 dnů. To v případě pouze občasného přístupu k počítači může být naopak snížení bezpečnosti. Je vhodné toto nastavit podle okolností a konkrétních podmínek.
Uživatelské účty Vytváří je správce sítě. Zabezpečení je možné nastavit vhodným rozdělením účtů do skupin uživatelů s různými oprávněními. Tyto skupiny si můžete vytvořit dle potřeby. Standardně jsou v systému definovány základní skupiny uživatelů: Administrators (administrátoři) Uživatelé s nejvyšším oprávněním a plným přístupem. V této skupině by měli být pouze zodpovědní a dostatečně zkušení správci (uživatelé). Je vhodné pro běžnou práci s počítačem tyto administrátorské účty nepoužívat. Některé aplikace (například viry) mohou pro svou záškodnickou činnost využívat pouze oprávnění právě přihlášeného uživatele.
Strana 9/13
Správa sítí Microsoft Windows Power users (silní uživatelé) Uživatelé s vyššími oprávněními, mohou nastavovat některé vlastnosti systému, případně instalovat některé programy. Users (uživatelé) Běžní uživatelé, mohou pouze spouštět programy a provádět pouze uživatelská nastavení systému. Backup Operators (operátoři zálohy) Uživatelé s oprávněními přístupu k souborům pro účely zálohování a obnovování dat. U serveru je možné pracovat ještě s dalšími skupinami, které mají obdobné funkce i názvy, ale fungují v rámci celé domény. Již po instalaci systému je možné zadat, že bude po startu systému automaticky provedeno přihlášení. Tento způsob je možné používat u domácího počítače, který používá jeden uživatel. Ve všech ostatních případech je vhodné používat ruční přihlašování jednotlivých uživatelů. Ve vlastnostech jednotlivých uživatelů (u doménových účtů) je možné pro zvýšení bezpečnosti využít další nástroje. Je to například nadefinování počítačů, ze kterých se uživatel může přihlásit a ve kterou dobu. Dále je možné účet vypnout nebo nastavit dobu expirace (vypršení platnosti) účtu a další.
Souborový systém Zde lze nastavit přístupová oprávnění k jednotlivým souborům a složkám. V systémech Windows 9x není možné k souborům na lokálních discích nastavovat přístupová práva. V těchto systémech lze práva nastavovat pouze pro sdílení. V systémech NT lze podrobně nastavovat přístupová práva ke všem souborům. Základním předpokladem využití této možnosti je použití souborového systému NTFS (v systémech Windows 9x je souborový systém FAT, případně FAT32). Pokud ale tento systém použijete, tak nebudete mít k těmto souborům přístup ze starších systémů. Toto se ale týká pouze lokálního přístupu, například při provozování více operačních systémů na témže počítači. Výběr příslušného souborového systému provádíte již při instalaci systému. Pokud nevyberete systém NTFS již při instalaci, můžete dodatečně převést souborový systém na NTFS pomocí příkazu Convert. Přístupová práva k libovolné složce nebo souboru lze nastavit ve vlastnostech daného objektu v záložce Zabezpečení. Zde je možné přidávat uživatele a povolovat (nebo zakazovat) jim jednotlivé úrovně přístupu. Pozor zákazové položky mají vyšší prioritu než povolení! Podrobnější členění práv je dostupné po výběru tlačítka Detaily. Zde je potřeba vybrat uživatele a tlačítkem Upravit nastavit podrobně všechny položky, případně nastavit dědění práv nebo vnucení nastavení pro všechny podsložky. V záložce Vlastník můžete zjistit aktuálního vlastníka daného objektu. Velice užitečná pro správce sítě je možnost převzít vlastnictví. Z bezpečnostních důvodů totiž ani správce nemusí mít přístupová oprávnění k souborům (například v domovské složce uživatele). Ale v případě nouze nebo havárie je nezbytné mít možnost přístupu. Proto může administrátor (nebo uživatel s postačujícími oprávněními) převzít vlastnictví. Fakt, že někdo převezme vlastnictví se sice může jevit jako porušení bezpečnosti, ale tato událost je zřejmá a kontrolovatelná. Není totiž možné vlastnictví někomu přidělit, lze ho pouze převzít aktuálně přihlášeným uživatelem (pokud má k tomu oprávnění). Takže ani správce nemůže beze stopy přistupovat k zabezpečeným objektům. Novinkou ve verzi Windows 2003 server jsou skutečná oprávnění (efektivní práva). Tato položka (dostupná ve vlastnostech zabezpečení souboru nebo složky) vám umožní vypsat právě platná práva vybraného uživatele. Přitom se zohledňují i práva Strana 10/13
Správa sítí Microsoft Windows k nadřízeným složkám a práva skupin, jichž je uživatel členem. Základní nastavení přístupových práv k souborům je automaticky nastaveno již při instalaci systému. Běžní uživatelé nemají přístup (nebo jen pro čtení) k systémovým souborům nebo k celé složce Program Files. Také nemají přístup k osobním nastavením jiných uživatelů ve složce Documents and settings.
Zabezpečená komunikace Zvyšuje odolnost systému proti narušitelům. Znamená to, že například při přihlašování jsou autentizační údaje přenášeny po síti v zašifrované podobě. Poměrně důležité je nastavení síly šifrování. Starší systémy používaly slabší šifry. A pokud používáte zároveň starší servery Windows, tak musíte (pro jejich správnou komunikaci) nastavit smíšený režim (mixed). Toto zadáváte při povyšování serveru na doménový řadič. Pokud máte jen nejnovější verze serverů, tak je vhodné tento smíšený režim nepoužívat a dále ještě povýšit úroveň serverů na nejvyšší možnou (a tím na nejbezpečnější). Toto ovšem vyžaduje nainstalovat na stanice Windows 9x klienta sítě, který bude moci komunikovat se serverem (je součástí instalace serveru).
Systémové politiky (zásady skupin) Umožňují nastavovat bezpečnostní pravidla. Na každém počítači lze nastavit Místní zásady zabezpečení, na serveru lze nastavit Zásady zabezpečení domény a Zásady zabezpečení řadiče domény. Zde lze nastavit v jednotlivých klíčích pravidla nebo hodnoty jednotlivých položek. Mimo tato nastavení, platná pro celou doménu (respektive její řadiče) lze nastavovat stejným způsobem zásady skupin i pro jednotlivé oblasti Active Directory. Na jednotlivých úrovních organizační struktury AD lze pro jednotlivé organizační jednotky vytvářet samostatné Objekty zásady skupiny (GPO). Nastavení, definovaná v GPO platí pro všechny objekty a dědí se také pro všechny podřízené jednotky. To znamená, že není nutné zvlášť definovat nastavení pro každý objekt, ale postačí definice zásad organizační jednotky. A vhodným členěním jednotlivých objektů (uživatelů, skupin i počítačů) do příslušných jednotek je možné rychle a efektivně spravovat celou síť. Ve všech zásadách jsou parametry rozděleny do skupiny vztahující se na počítač a skupiny vztahující se na uživatele. Při startu počítače (přihlášení uživatele) se potom aplikují příslušné zásady. Také počítače se totiž automaticky přihlašují do domény při svém startu a přitom aplikují nastavené zásady (pokud jsou počítače řádně zařazeny do domény). Pomocí GPO lze nastavovat přístup k systémovým prostředkům, ovládacím panelům, k položkám pracovní plochy a nabídky Start a mnoho dalších.
Oddělení Intranetu a Internetu Oddělení Intranetu od Internetu je nutné k zajištění bezpečnosti sítě. To se provádí fyzickým oddělením vnitřní sítě a Internetu prostřednictvím Routeru. Ten může být samostatným fyzickým zařízením (hardwarový router) nebo jen speciální program na serveru. Router kontroluje veškerý provoz a podle nastavených pravidel propouští mezi jednotlivými sítěmi jen oprávněný provoz. Program, který toto zajišťuje, bývá nazýván, Firewall (ohnivá zeď) protože funguje jako protipožární příčka při požáru. Pokud škola nepoužívá vhodný firewall nebo tento není správně nakonfigurovaný, tak je možné proniknout z Internetu do vnitřní sítě. Narušitel (hacker) potom může získat přístup k datům na síti, měnit nastavení sítě nebo počítačů, zneužít vaši síť pro svoje účely a další. Další možnost pro zvýšení bezpečnosti a zvýšení výkonu při připojení do Internetu je použití proxy serveru. To je opět program, který běží na serveru, oddělujícím Intranet a Internet. Pokud počítač z vnitřní sítě chce pracovat s Internetem, tak se obrací vždy pouze na proxy server. Ten požadavek například na načtení konkrétní stránky převezme a svým jménem odešle. A přijatou odpověď předá zpátky stanici, která požadavek poslala. Takže při pohledu z Internetu je vždy vidět jen tento proxy server a není vidět do Strana 11/13
Správa sítí Microsoft Windows vnitřní sítě. Navíc se načtená data na proxy serveru ukládají a při opakovaných požadavcích na tyto informace (i z jiných stanic) jsou předána z této vyrovnávací paměti a tím jsou vyřízeny rychleji.
Pravidla používání ICT Je nezbytné stanovit je v každé škole i organizaci. Jedná se v prvé řadě o Řád počítačové učebny, kde jsou stanovena pravidla používání ICT na učebnách. Měl by být vydaný a podepsaný ředitelem školy a všichni žáci s ním seznámeni. Jedině pak je možné postihovat žáky za jeho nedodržování. Kromě toho je vhodné ještě pro pedagogy a další pracovníky školy zpracovat nějakou příručku, kde je popsána školní síť, dostupné prostředky, organizace dat a přístupů, přihlašování, používání informačních systémů školy a další.
Auditování Je jakási záznamová služba. Protože nelze všechny potencionálně nebezpečné operace nebo přístupy zcela zablokovat, protože by tím byla omezena nebo znemožněna funkce sítě, je nutné tyto aktivity monitorovat. Základní funkce systému jsou běžně protokolovány. A tyto uložené záznamy (log soubory) jsou snadno přístupné prostřednictvím aplikace Prohlížeč událostí (dostupný ve správě počítače). Rozšířené možnosti protokolování můžete dále nastavit v Zásadách skupiny (GPO). Zde je možné například zapnout auditování přihlášení uživatelů. Další z možností je auditování přístupu k objektům, kdy po zapnutí této položky je možné pro určitý soubor, složku nebo jiný objekt nastavovat ve vlastnostech objektu možnosti protokolování.
9. Tiskové služby Při práci v síti je možné využívat nejen lokální, ale i síťové tiskárny. To jsou tiskárny, které sou připojeny k jiným stanicím v síti, případně přímo připojené do počítačové sítě prostřednictvím print serveru. Pokud chcete vytvořit z tiskárny u konkrétního počítače síťovou tiskárnu, tak musíte povolit její sdílení. Lze také nastavit přístupová práva pro tuto tiskárnu. Na stanicích je případně nutné tuto síťovou tiskárnu nainstalovat. Potom z libovolné stanice můžete na tuto tiskárnu tisknout. Fyzické připojení tiskáren je většinou prostřednictvím paralelního portu (LPT) nebo USB. Další možností je komunikace tiskárny s počítačem prostřednictvím infračerveného portu (IR) nebo Bluetooth. Případně má tiskárna zabudovanou síťovou kartu a tiskový server, pak je přímo připojena k počítačové síti jako ostatní počítače a lze se na ni odkazovat prostřednictvím její IP adresy prostřednictvím protokolu IPP (Internet printing protocol). Ten umožňuje i přímo přes Internet provádět tisky na veřejné tiskárny. Vaše tiskárna bude ale většinou uvnitř Intranetu a nebude přímo z venku přístupná.
10. Spolupráce s jinými systémy Na základě standardních síťových protokolů, hlavně TCP/IP je možná spolupráce různých systémů. Díky členění TCP/IP do vrstev, které řeší na komunikaci na příslušné úrovni nezávisle na jiných vrstvách, je možná komunikace prostřednictvím různých přenosových médií. Část lokální sítě může být propojena koaxiálním kabelem, část TP, optickým kabelem nebo bezdrátovým spojem a přitom může fungovat komunikace přes takovou síť i Internet se spoji ATM, T1 a dalšími. Komunikace pracovních stanic může probíhat nejen uvnitř sítě Windows, ale i se serverem Novell nebo Unix (Linux). K tomu je potřeba podpora na straně serveru a na straně stanice. Zde musí být nainstalována klientská podpora příslušného systému. Pro komunikaci se serverem Novell Netvare musíte nainstalovat příslušného klienta. Stačí ve vlastnos-
Strana 12/13
Správa sítí Microsoft Windows tech síťového připojení vybrat instalaci dalších služeb. Tímto způsobem je instalován klient vytvořený firmou Microsoft a získáte základní možnosti přístupu k serveru Novell. Pokud chcete využít všechny možnosti jiného systému, je nutné nainstalovat klienta vytvořeného přímo firmou Novell. Tím získáte přístup nejen k síťovým složkám a souborům serveru Novell, ale i k tiskovým službám, správě serveru, portálovým a dalším službám. Na straně serveru Novell je podpora stanic Windows standardně nainstalovaná, lze konfigurovat i podporu pro stanice Unix (Linux).
Strana 13/13