INSTALACE OPERAČNÍHO SYSTÉMU A JEHO KONFIGURACE I. WINDOWS

INSTALACE OPERAČNÍHO SYSTÉMU A JEHO KONFIGURACE I. – WINDOWS

Bc. Petr Štěrba

ORLOVÁ 2013

Název:

Instalace operačního systému a jeho konfigurace I. – Windows

Autor:

Bc. Petr Štěrba

Vydání:

první

Počet stran:

80

Určeno pro projekt:

Dílčí kvalifikace – nástroj pro efektivní získání kvalifikace a cesta k rychlé změně kompetencí

Číslo projektu:

CZ.1.07/3.2.07/03.0122

Vydavatel:

Gymnázium a Obchodní akademie, Orlová, p. o.

© Bc. Petr Štěrba © Gymnázium a Obchodní akademie, Orlová, p. o.

Obsah

OBSAH Úvod .......................................................................................................................................... 2 Používané symboly ............................................................................................................ 3 1. Instalace OS Windows Server 2008 ........................................................... 4 1.1 Trocha teorie na začátek ...................................................................................... 4 1.2 Hardwarové předpoklady pro instalaci ......................................................... 6 1.3 Průvodce instalací ................................................................................................... 7 2. Instalace roli serveru Windows Server 2008 ...................................... 15 2.1 Prostředí pro další konfiguraci serveru ............................................ 15 2.2 Instalace a konfigurace Active Directory a DNS .............................. 16 2.2.1 Active Directory a doména .......................................................................... 16 2.2.2 Instalace AD a řadiče domény .................................................................... 23 2.2.3 Správa uživatelů v prostředí AD................................................................ 32 2.2.4 Správa účtů PC v AD, připojení stanice Win7 k doméně ................. 38 2.2.5 Správa uživatelů z příkazové řádky ......................................................... 47 2.2.6 Použití skupin v AD ........................................................................................ 50 2.3 Webová internetová informační služba IIS7.0 ................................ 57 2.4 Terminálová služba ................................................................................... 70 3. Závěr .................................................................................................................. 79 Použitá literatura

1

2

ÚVOD Vážení čtenáři, Otevřeli jste studijní materiál, který vás má seznámit s vybranými kapitolami v prostředí Windows Server 2008, s jeho instalací a konfigurací. Zaměřili jsme svou pozornost na strukturu serverového systému Windows Server 2008 a upozorníme na oblasti, v nichž byly provedeny změny oproti předchozím verzím. Seznámíte se s instalací Active Directory a s nastavením serveru do role řadiče domény. Předpokládá se, že máte základní znalosti z teorie sítí v oblasti protokolů DNS, HTTP, které budete potřebovat k pochopení instalace a konfigurace vybraných rolí serveru. Zvláštní kapitolu věnujeme nastavení zásad skupiny, které ovlivňují funkčnost některých systémových modulů, jako např. řízení uživatelských účtů. Při instalaci si ověříte, že správa systému má podobnou filosofii jako u lokálních Windows Vista a následných verzí. V Ovládacích panelech najdeme většinu ekvivalentních položek. Ve většině témat se budeme přímo zabývat praktickou implementací příslušné teorie v konkrétním prostředí. Tedy jakási kuchařka či manuál pro řešení konkrétních úkolů. Naučíte nainstalovat a konfigurovat také další role Windows serveru 2008, např. DNS, Souborová služba, Terminálovou službu a IIS 7 (službu webového serveru). Vyzkoušíme si nainstalovat vedle serveru také klienta a okamžitě ověřit funkčnost nainstalované služby. Platnost všech nastudovaných teoretických i experimentálních poznatků využijete při řešení souvislých úloh aplikovaných na skupinu fiktivních firem, které byste mohli řešit v pozici Správce operačních systémů. Teoretický materiál bude vložen jako e‐learningový kurz do prostředí LMS Moodle, doplněn praktickými úlohami a kontrolními testy. Po průchodu celého kurzu budete mít přehled o instalaci a konfiguraci prostředí Windows Server 2008. Přeji hodně trpělivosti a studijních úspěchů.

POUŽÍVANÉ SYMBOLY Průvodce studiem – vstup autora, doplnění textu

Informace – co se v kapitole dovíte

Klíčová slova

Čas potřebný ke studiu kapitoly

Důležité – pojmy nebo početní vztahy

Příklad – objasnění problematiky nebo řešený příklad

Úkol k zamyšlení nebo cvičení

Otázky a úkoly – řešení najdete v rámci opory

Řešení úkolů – vážou se na konkrétní úkoly a otázky

Část pro zájemce – rozšíření látky, pasáže jsou dobrovolné

Shrnutí – shrnutí látky, shrnutí kapitoly

Literatura

Korespondenční úkol

3

1 Instalace OS Windows Server 2008

4

1. INSTALACE OS WINDOWS SERVER 2008 V této kapitole se seznámíte se základními pojmy spojenými s instalací OS Windows na serveru, s hardwarovými nároky, s výběrem vhodné edice a typu instalace. Ujasníte si význam jednotlivých rolí serveru a zopakujete si jednotlivé služby, které mohou být nainstalovány na serveru. Klíčovou tematikou je průběh instalace serveru.

Klíčová slova Formát WIM, prostředí předinstalace, edice Windows Server 2008, úplná instalace, instalace jádra, UAC, AD DS, AD‐FS, AD LDS, AD RMS, DNS, DHCP, NPS, RRAS, SNMP, GPO, BITS

1.1 Trocha teorie na začátek Operační systém požívá novou architekturu s následujícími vlastnost‐ mi:  Windows Server 2008 je tvořen systémem nezávislých modulů, které lze jednoduše přidat i odebrat. Systém je ukládán jako bitová kopie disků ve formátu WIM (windows imaging format) podporující kompresi a ukládání instancí  Obsahuje tzv. prostředí předinstalace – prostředí pro správce, které umožňuje vybrat spouštěcí aplikaci, která se má aktivovat po natažení OS  Zabezpečení OS zvyšuje nástroj Řízení uživatelských účtů (User Account control – UAC). Každá aplikace běží buď v režimu uživatele, nebo správce. Při spuštění aplikace, která vyžaduje režim správce, se objeví bezpečnostní hláška, jejíž funkce je ovlivněna nastavením Zásad skupiny. Před instalací si budeme muset ujasnit výběr edice Windows Server 2008 a je tedy vhodné uvědomit si jejich základní vlastnosti:  Standart Edition – podporuje operační paměť 4 GB na 32 bitové platformě a 32 GB na 64 bitové platformě. Podporuje dvoucestný a čtyřcestný symetrický multprocesing (SMP). Poskytuje všechny základní služby.  Enterprice Edition – oproti standardní edici poskytuje větší škálovatelnost, má navíc službu Cluster Services a Active Directory


5

Federated Services. Navíc podporuje vyšší RAM 32 GB na 32 bitové platformě a 2 TB na 64 bitové platformě a 8 CPU.  Datacenter Edition – má vylepšené funkce pro nastavování clusterů a pro konfiguraci velkého objemu paměti RAM 64 GB na 32 bitové platformě a 2 TB na 64 bitové platformě. Vyžaduje minimálně 8 CPU a podporuje až 64 CPU. Používaná pro velmi výkonné servery.  Windows Web Server 2008 ‐ slouží k poskytování webových služeb a role aplikačního serveru. Neobsahuje kromě jiných i funkci Active Directory, nemůže plnit roli řadiče domény. Tyto informace vám pomohou rozhodnout se na základě požadavků kladených na instalovaný server. Typy instalací:  Úplná – instalace všech funkcí v jednotlivých edicích. Umožňuje libovolnou kombinací rolí. Pro správu je nainstalováno plné uživatelské rozhraní.  Instalace jádra – minimální instalace pro omezenou skupinu rolí a tím i funkčnost serveru. Výhodou této instalace je režie určitých rolí je snížená a pro vybrané role je tak k dispozicí více zdrojových prostředků Přehled vybraných rolí ve Windows Server 2008  Active Directory Domain Services (AD DS) – správa objektů v síti  Active Directory Federation Services (AD FS) ‐ rozšíření služby AD DS o webové služby  Active Directory Lightweight Directory Services (ADLDS) – správa ukládání dat aplikací, které využívají adresářové služby AD  Active Directory Rights Management Services (ADRMS) – zajišťuje kontrolovaný přístup k chráněným souborům, mailům, chráněným webovým stránkám apod.  DNS Server – překlad názvů na IP adresy  Aplikační Server – umožňuje hostování služeb vytvořených pomocí .NET technologií (např. ASP.NET)  Webový server IIS – umožňuje hostování webových stránek (speciální případ aplikačního serveru)  DHCP Server – dynamické přidělování konfigurace protokolu TCP/IP  Tiskové služby – spravuje tiskové ovladače a síťové tiskárny, používá služby: tiskový server, LPD services a Internet printing  Terminálové služby – umožňuje spustit aplikaci, která je nainsta‐ lovaná na vzdáleném serveru. Při spuštění programu běží na serveru a po síti se přenesou jen vytvořená data.


6

 Služba síťové zásady a přístupu (NPAS) – spravuje směrování a přístup ke vzdáleným sítím. Používá služby zásad NPS, směrování RRAS a autorizace HCAP Přehled vybraných služeb ve Windows Server 2008 Nainstalovaných služeb je celá řada; pro správu sítí, dat, pro zabezpečení, pro správu aplikací, zálohování apod. Uveďme jen některé z nich.  .NET Framework 3.0 –máme k dispozici rozhraní API.NET pro vývoj aplikací  Nástroje clusteringu – umožňují spolupráci více serverům  Nástroje pro vzdálenou správu – vzdálená správa jiných systémů Windows Server 2008  Služba SNMP ‐ služba pro zjednodušenou správu sítí  Správa zásada skupiny (GPO) – umožňuje správu skupin na jednom místě  BITS (Background Intelligent Transfer Servis) – umožňuje přenosy dat na pozadí. Server ji používá při komunikaci s klient

1.2 Hardwarové předpoklady pro instalaci Důležité je volné místo na disku o Minimálně 8GB pro instalaci čistého systému o Doporučuje se 40 GB pro instalaci jádra OS o Doporučuje se 80 GB pro plnou instalaci Pro zabezpečení výkonného serveru je vhodné navýšit volné místo alespoň o 10% . Tato část textu připomínající telefonní seznam s velkým množstvím zkratek a cizích slov vám bude sloužit v okamžiku rozhodování při plánování instalace serverů v konkrétních firmách.

Cvičení 1 Pro uvedené firmy navrhněte v rámci návrhu sítě vhodnou edici Windows Server 2008, vyberte potřebné služby; svoji volbu zdůvodněte. (Podrobné informace o jednotlivých firmách najdete v Příloze 1)     

Stavební firma Metrostav,s.r.o. VSO, s.r.o ‐ vývoj a výroba speciálních ochranných a funkčních oděvů. RELAX, s.r.o. ‐ Odlehčovací pobytové a rehabilitační centrum Comenius ‐ vzdělávací středisko Království hraček – výroba hraček na zakázku


1.3 Průvodce instalací 1. Z instalačního média spustíme Setup.exe 2. Po načtení instalačních souborů se objeví požadavek na nastavení jazyka

3. Po kliknutí tlačítka Další se objeví panel, na kterém klikneme Nainstalovat a zahájíme samotnou instalaci.

4. Poté jsme požádáni o zadání kódu

Vložte licenční kód

7


8

5. Zvolíme edici OS Windows Server

Standard úplná instalace

Nutno zaškrtnout

6. Potvrdíme souhlas s licenční politikou

Nutno zaškrtnout a stisknout Další

7. Zvolíme typ instalace

Zde kliknout

(Vlastní – nová instalace ; Upgrade‐oprava stávající instalace)


9

8. Pokud máte v serveru víc disků, zvolíme disk pro instalaci systému

9. Po výběru disku se objeví panel, na kterém sledujeme průběh instalace

A teď jen čekáme, až se dokončí všechny kroky. Pozn. Pokud chceme provést upgrade systému, spustíme Windows Server, otevřeme si instalační médium a odtud spustíme upgrade systému.

10

1 Instalace OS Windows Server 2008 10. Po ukončení instalace se počítač automaticky restartuje a objeví se následující obrazovka. Klikneme OK

11. Vytvoříme heslo pro Administratora (dodržujte pravidla pro silné heslo)

Zadej heslo potvrďj

Provedeme první přihlášení účtu Administrátor k serveru. Přihlášení bude trvat delší dobu, neboť se vytváří nový profil.


11

12. Vytváří se profil administrátora

13. Po vytvoření profilu se objeví Okno počáteční konfigurace umožňující další konfiguraci serveru.

Před další instalací si zopakujme základní znalosti spojené s adresováním (IP adresa, maska, brána, DNS server), doména, lokální doména.


12

14. Nastavíme název počítače a název domény (sledujte označené pořadí jednotlivých kroků)

1 2

3

3 4

5

1 – na panelu konfigurace vyberu Zadat název a doménu počítače 2 – na kartě Vlastnosti Systému, na záložce Název počítače stiskneme Změnit 3 – vypíšeme Název počítače a název pracovní skupiny, klikneme Další 4 – primární příponu nastavíme na local (doména nebude součástí sítě internet) a klikneme OK 5 – na kartě změna názvu počítače klikneme OK Změna názvu a přípony vyžaduje restart počítače, jak ukazuje hlášení


13

Tlačítkem Zavřít v okně Vlastnosti systému získáme hlášení

Odložím restart, protože chci nastavit další parametry

15. Nastavíme síť (viz kroky 1 – 4)

1

2

4

3

14


Nastavíme protokol TCP/IP podle požadavků a potvrdíme OK

Restartujeme počítač. Další konfiguraci můžeme provést v druhém oddílu Prošli jsme základní instalaci OS Windows Server 2008. Vyzkoušíme si opakovaně instalovat vybrané varianty edicí operačního systému s respektováním hardwarových požadavků (potřebná operační paměť a velikost disku). Porovnáme jednotlivá prostředí. Nainstalujeme si pro porovnání operační systém na pracovní stanici, kterou pak použijeme pro připojení k serveru

Cvičení 2 Nainstalujte pro uvedené firmy servery s OS Windows. Vhodně je pojmenujte a proveďte dokumentaci. (Podrobné informace o jednotlivých firmách najdete v Příloze 1)  Metrostav,s.r.o. ‐ stavební firma  VSO, s.r.o ‐ vývoj a výroba speciál‐ ních ochranných a funkčních oděvů.  RELAX, s.r.o. ‐ Odlehčovací pobyto‐ vé a rehabilitační centrum  Comenius ‐ vzdělávací středisko  Království hraček – výroba hraček na zakázku

Servery adresujete dle uvedené sítě; hodnotu x zjistíte z nastavení VMnet8.

2 Konfigurace rolí na Windows Server 2008

15

2. KONFIGURACE ROLÍ SERVERU WINDOWS SERVER 2008 V této kapitole se seznámíte se základními službami, které umožní nastavení rolí Windows Serveru 2008, a vyzkoušíte si jejich konfiguraci. Zaměříme se na instalaci domény, konfigurace serveru jako řadiče domény, instalace webového serveru. Procvičíte si konfiguraci terminálového serveru a v rámci konfigurace rolí prostudujete také problematiku správy uživatelských účtů a zásad skupin.

Klíčová slova Active Directory, řadič domény, DNS server, doménový strom, subdoména, důvěryhodnost domén, IIS7 Web server, Terminálový server, počítačový a uživatelský účet, uživatelský profil, domovský adresář, cestovní profil a jeho význam, nastavení oprávnění a práv, sdílení adresářů, přihlašovací skript (login script) Seznamte se s prostředím pro nastavení dalších vlastností serveru. Vraťte se k teoretickému úvodu v první kapitole a přečtěte si text věnovaný rolím serveru.

2.1 Prostředí pro další konfiguraci serveru a) Další konfiguraci lze provádět z prostředí Úlohy počáteční konfigurace Aktualizace serveru, Vlastní nastavení.

Přehled vlastností, které můžeme nakonfigurovat

16

2 Konfigurace rolí na Windows Server 2008 b) Nainstalovaný server můžeme také spravovat z prostředí Server Manager. Spustíme pomocí START Administrative Tools Správa Serveru

Charakteristika významu jednotlivých položek: Role ‐ v oddíle je přehled nainstalovaných rolí včetně přehledu událostí vztahujících se k dané roli za posledních 24 hodin Funkce – obsahuje přehled nainstalovaných funkcí včetně možností přidat nebo odebrat funkci Diagnostika – umožňuje sledovat výkon PC, spravovat server a zařízení Konfigurace – zpřehledňuje konfiguraci počítače Úložiště – umožňuje správu jednotek

2.2 Instalace a konfigurace Active Directory 2.2.1 Active Directory a doména Active Directory představuje komplexní řešení správy firemní sítě. Ve své podstatě se jedná o distribuovanou adresářovou službu vytvořenou firmou Microsoft, která ukládá a organizuje informace o všech pojmenovaných objektech v síti, jako jsou uživatelé, počítače, tiskárny apod. Pracuje s adre‐ sářem, což je databáze, v níž jsou uloženy všechny informace o objektech sítě. Její struktura je navržena především pro čtení a vyhledávání, v menší míře pro zápis změn.

Active Directory a DNS

17

Může obsahovat objekty různého typu, jako certifikát, text, obrázek apod. Přístup k záznamům můžeme omezit pravidly zapsanými v ACL(Access Listu). Active Directory tak plní roli centrální autentizační autority umožňující bezpečné ověření uživatelů, počítačů i služeb. Active Directory využívá aplikační protokol LDAP (Lightweight Directory Access Protocol), který přenáší data v standardizovaném textovém formátu LDIF (LDAP Data Interchange Format) a při přenosu je vždy kóduje pomocí LBER (Lightweight Basic Encoding Rules). Různorodé informace jsou tak jednoduše dekódovány. Protokol LDAP je popsán pomocí    

Informačního modelu Funkčního modelu Jmenného nodelu Bezpečnostního model

V informačním modelu jsou definovány kategorie objektů, které může adresářová služba vytvořit (třídy objektů). Jsou definovány jako seskupení atributů. Informační model představuje tzv. Schéma (šablony objektů v Active Directory) Příklad některých používaných atributů Název atributu Význam atributu DisplayName Zobrazované jméno Location Umístění Company Název společnosti Description Popis Department Oddělení MemberOf Následuje výčet skupin Mail Adresa elektronické pošty Jmenný model seznamuje s organizací a umístěním objektů v databázi. Jedná se o stromové uspořádání, v němž objekt může být kontejnerem (obsahuje další objekty – tzv. následovníky) nebo koncovým objektem (bez následovníků). Pro jednoznačné určení objektu se používá DN, obsahující úplnou cestu k objektu v databázi (konkrétní nastavení atributů). Příklad V doméně firemni.cz. V kontejneru (ou - organizační jednotce) prac je umístěn uživatel Franta Veselý, pro kterého je DN = cn=Franta Veselý,ou=prac,dc=firemni,dc=cz. DC = firemni DC = cz řadiče domény ou= prac (organizační jednotka) cn= comp cn= users uživatelé

počítače

cn= franta.vesely

18


Pro identifikaci se používá také RDN ‐ Relative Distinguished Name - nepotřebujeme udávat úplnou cestu např. cn=Franta Veselý,ou=prac GUID – globally unique identifier – identifikace je neměnná, i když se objekt přemístí v rámci lesa. Jedná se o jedinečné 128 bitové číslo, které je přiřazeno každému objektu (jeho rodné číslo) - u každého objektu jiné KANONICKÝ ZÁPIS DN Firemni.cz/prac/Franta.Veselý Funkční model popisuje činnosti, které je možno provádět s objekty v adresáři (celkem 9 činností) Příklady činností Bind Zahájí autentizace Unbind Ukončí spojení Autentizace Abandon Klient žádá o ukončení zasílání informací na poslední dotaz Compare Porovnává hodnotu atributu se zadaným údajem Dotazování search Vyhledávání pomocí filtru Delete Vymaže objekt Add Přidá objekt Změna Update Modify Změní některé parametry objektu Modify RDN Změní umístění objektu Ukázka filtrů

(&(objectClass=user)(!(cn=franta.veselý))) // všichni uživatelé kromě Franty Veselého

(objectCategory=*)

// všechny objekty

Bezpečnostní model souvisí s procesem ověřování, definuje, jak přistupovat k datům z hlediska bezpečnosti. S bezpečností souvisí proces sledování operací a jejich zápis do tzv. logů (eventog). Máme‐li zájem o logování operací nad Active Directory Domain Services (AD DS), což představuje operace vytváření, změn či odstraňování počítačových a uživatelských účtů nebo skupin, můžeme využít nabízenou funkci auditování (sledování) AD DS. Obdobným způsobem jsme mohli auditovat tyto operace i v dřívějších verzích Windows Server, ale prostředí Windows Server 2008 nabízí rozšíření a především zpřesnění auditu. Nově můžeme auditovat jen vybranou podkategorii (vylepšené nastavení nabízí Windows Server 2008 R2), u změn se loguje původní i nová hodnota (nejen kdo a jaký atribut změnil) a také se změnily ID událostí. Auditování událostí nad AD DS je ale komplikovaná záležitost, a tak musíme dobře zvážit, co potřebujeme sledovat. Jde-li nám o podezřelé operace, o failed


19

události nebo chceme‐li mít podrobný přehled o vytváření a mazání účtů, nabízí Windows Server 2008 kategorii Directory Service Access (DS Access), která spolu s detailním nastavením SACL nám dává šanci sledovat tisíce údajů (nevhodným nastavením si pouze zaplníme log). Zaměříme se hlavně to, abychom dokonale zvládli účelné nastavení filtrování pomocí SACL. Vedle DS Access existuje ještě kategorie Account Management, která je vhodná ke sledování změn jak lokálních účtů na stanici, tak doménových účtů na doméno‐vém řadiči. Nenabízí sice tolik možností sledování jako DS Access, ale její nastavení je jednodušší a pro běžné sítě naprosto dostačující. Pokud chceme zapnout auditování, budeme postupovat podle následujících kroků:  zapneme auditování o globálně pomocí auditovací politiky o pro jednotlivé podkategorie – podpora od Windows Server 2008,  pomocí příkazu auditpol.exe (Windows Server 2008)  pomocí nové rozšířené auditovací politiky (Windows Server 2008 R2)  nastavíme jaké operace a které objekty chceme sledovat – pomocí SACL  případně nastavíme výjimky pro atributy – u objektu, který nechceme logovat, nastavíme atribut searchFlags na hodnotu 256 Postup zapnutí globálního auditování na řadiči domény spustíme Group Policy Management otevřeme politiku, třeba Default Domain Controllers Policy, v Group Policy Management Editor  proklikáme se do Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy  otevřeme položku Audit directory service access  zaškrtneme Define these policy settings a zvolíme, chceme‐li sledovat úspěšné či neúspěšné události ‐ Success a Failed  


20

Zapnutí auditování pro podkategorie Přehled volitelných podkategorií:    

Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication

Nastavení pomocí auditpol.exe Nemáme‐li Windows Server 2008 R2, pak nemůžeme použít Group Policy, Musí nám stačit řádkový příkaz auditpol.exe. Konfiguraci provádíme na doménových řadičích, na všech, kde chceme, aby se auditování uplatnilo. Příklady použití auditpol: Výpis subkategorií Auditpol /list /subcategory:* Auditpol /list /subcategory:"DS Access"

Zjištění aktuálního nastavení Auditpol /get /category:* Auditpol /get /category:"DS Access"

Změna nastavení Auditpol /set /subcategory:"directory service changes" /success:enable Auditpol /set /subcategory:"Detailed Directory Service Replication" /success:disable /failure:disable

Nastavení pomocí Group Policy   

 

spustíme Group Policy Management otevřeme vybranou politiku, třeba Default Domain Controllers Policy, v Group Policy Management Editor proklikáme se do Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policy/DS Access otevřeme položku Audit directory service access vybereme podkategorie a nastavíme u nich Success nebo Failed


21

Pro práci s Active Directory (AD) si zopakujte Fyzická struktura AD (určena řadičem domény DC – počítač, na kterém se nachází celá AD nebo její část) Logická struktura AD ( les, strom, doména, organizační jednotka – hierarchická struktura – viz Obr.1

Forest - les

Obr. 1 Seskupení domén

Tree - strom

Tree - strom

2 domény 3 domény

OU

OU

OU

Většinou stačí jedna doména. Dvě a více domén použijete, když chcete např. nastavit odlišnou zásadu pro hesla, což se nastavuje vždy na celou doménu.

doména Na chvíli se zastavme a srovnejme si tu spoustu pojmů. Odpovězte si na pár otázek, a pokud si nebudete vědět rady, nahlédněte do předchozích odstavců. 1. Jaký význam má Active Directory a co umožňuje? 2. Jaký úkol má řadič domény 3. Vysvětlete zkratky LDAP, LDIF, LBER. 4. Je zadáno DN = cn=Jan Novák,ou=odbyt,dc=exim,dc=org. Zapište ho

v kanonickém tvaru a načrtněte si strukturu objektů pro zadané DN. 5. Jaký význam má auditování nad AD DS a uveďte možnosti jeho nastavení.

22


Důležitým pojmem je Globální katalog  umožní najít objekt bez ohledu na to, v které doméně se nachází  poskytuje informace o členství v univerzálních skupinách, využívají se v procesu přihlašování. Bez globální ho katalogu při přihlašování se uživatel může přihlásit pouze lokálně na počítač. Když nechceme použí globální katalog, vyřešíme to zapnutím funkce universal group membership caching (UGMC) na danou site. V tomto případě si DC ukládá informace lokálně. Při prvním přihlášení uživatele se dotáže globálního katalogu a uloží vrácené hodnoty do cache, kde je uchovává a obnovuje. Při dalším přihlášení se použije informace z této cache.

K nastavení globálního katalogu použijeme prostředí Active Directory Sites and Services, kde procházíme přes odpovídající site (sítě) na hledaný DC (řadič domény). Ukážeme na něj, klikneme pravým tlačítkem na NTDS Settings a zvolíme Properties.

Cvičení 3 Pro uvedené firmy servery s OS Windows. Navrhněte strukturu objektů v AD, pojmenujte domény, organizační jednotky a některé účty a zakreslete jejich uspořádání. V navržených strukturách zapište úplná jména DN, případně RDN (Podrobné informace o jednotlivých firmách najdete v Příloze 1)  Metrostav,s.r.o. ‐ stavební firma  VSO, s.r.o ‐ vývoj a výroba speciál‐ních ochranných a funkčních oděvů.  RELAX, s.r.o. ‐ Odlehčovací pobyto‐vé a rehabilitační centrum  Comenius ‐ vzdělávací středisko  Království hraček – výroba hraček na zakázku

2 Active direktory, řadič domény

23

2.2.2 Instalace AD a řadiče domény A nyní se pokusme Windows Server 2008 nakonfigurovat jako řadič domény. Vybereme si Active Directory Domain Services. 1.

Instalaci zahájíme výběrem Přidat roli a zaškrtnutím služby AD DS


24

-

Po dokončení instalace vidíme, že instalace byla úspěšně dokončena, a v přehledu rolí v prostředí Server Manager, že služba je nainstalována, ale že zatím není server nastaven jako řadič domény. 2. Spustíme proces nastavení serveru do role řadiče domény a jeho připojení ke službě DNS, která se tímto také nainstaluje.


3.

25

Kliknutím na název služby přejdeme k nastavení řadiče domény‐ spustí se program dcpromo.exe

26 4.

2 Active direktory, řadič domény Zvolíme rozšířený režim a klikneme Další

Proklikáním s volbou Další se dostaneme k důležité volbě postavení Domény; musíte rozhodnout, zda chcete řadič domény připojit k existující doméně či zda chcete vytvořit doménu novou. Jsme na začátku, vytvoříme tedy novou doménu

2 Active direktory, řadič domény 5.

Systém ověří, že se zadaný název domény nepoužívá

Po ukončení procesu klikneme Další

6. Ve všech dalších panelech volíme Další, až se dostaneme k oknu instalace služby DNS. Zeptá se, zda chceme nastavit použávat v síti jen statické adresy (potvrdíme volbu Ne)

27

28 7.

2 Active direktory, řadič domény Probíhá instalace DNS

8. Po instalaci je třeba potvrdit (případně změnit) umístění databáze objektů AD


29

9. Nastavíme heslo pro správce obnovení adresářových služeb

Zadej heslo Potvrď heslo

Nyní se zobrazí přehled o zvoleném nastavení. V případě souhlasu potvrdíme Další, jinak se vrátíme Zpět a provedeme opravy

30


Čekáme na dokončení instalace DNS a po dokončení bude PC restartován Instalace je dokončena a náš server bude plnit roli řadiče domény firemni.local V prostředí Server Manager vidíme nainstalovány dvě služby


31

Přes Start Administrative Tools Uživatelé a služby Active Directory zobrazíme vytvořenou adresářovou strukturu AD firemni.local

Computers - obsahuje účty počítačů připojených k doméně Domain Controlers – obsahuje přehled řadičů domény (zatím jen náš server) Users - obsahuje přehled defaultně vytvořených skupin a uživatelů (Administrator, Guest)

Už při restartu jsme viděli před názvem účtu Administrátor název domény FIREMNI.

Cvičení 4 V nově vytvořené doméně vytvořte systém objektů pro uvedené firmy dle návrhu ze Cvičení 3. Objekty jednotlivých firem vkládejte do samostatných organizačních jednotek, které dále vhodně rozčleníte.  Metrostav,s.r.o. ‐ stavební firma  VSO, s.r.o ‐ vývoj a výroba speciál‐ních ochranných a funkčních oděvů.  RELAX, s.r.o. ‐ Odlehčovací pobyto‐vé a rehabilitační centrum  Comenius ‐ vzdělávací středisko  Království hraček – výroba hraček na zakázku

Správa uživatelských účtů v prostředí Active directory

32

2.2.3 Správa uživatelů v prostředí Active directory V prostředí Uživatelé a počítače služby Active Directory (AD) můžeme řešit správu všech objektů AD – uživatelé, skupiny, organizační jednotlky, účty počítačů, tiskárny apod. Mezi základní operace s objekty AD patří :    

přidat zrušit upravit přesunout v rámci databáze.

Můžeme změnit doménu, její úroveň i řadič domény (tzn. databázi připojí‐me k jiné doméně či k jinému řadiči).

Zaměříme se na operaci s uřivatelskými úšty, které patří k těm nejčastějším.  Tvorba volných uživatelů a nastavení jejich vlastností Vytvoření volného uživatele (umístěn v přehledu Builtin)

Pro lepší přehled objektů (tedy i uživatelských účtů) slouží organizační jednotky. Vytvořme jednotky Provoz, Odbyt a Vedení.


33

Název OU

Vedení rozčleníme dále na personalistiku a ekonomiku – získáme následující strom. Firemni.local

vedení

ekonomika

provoz

odbyt

personalistika

Do jednotlivých organizačních jednotek umístíme potřebné objekty (uživatelské účty, počítače, apod.) a zpřehledníme tak jejich správu (vyhledávání, nastavení vlastností, odstraňování) V prostředí vedení jsme vytvořili uživatelský účet reditel a nastavím mu vlastnosti


34

Záložky pro vložení osobních údajů Záložka Účet:

Výpis skupin obsahujících daný

Nastavení doby přihlášení

Nastavení vlastnosti hesla Nastavení platnosti hesla

Výběr počítačů pro

Záložky Telefonické připojení, Vzdálené řízení a Profil terminálové služby slouží pro povolení vzdáleného přihlašování jako součást některých služeb (VPN, Terminálového serveru, Remote service, apod. ) V záložce Prostředí lze nastavit program, který se spustí po přihlášení


35

Významnou záložkou je Profil – pro nastavení cesty k domovskému adresáři, k síťovému profilu (možnost nastavení jednotného uživatelského profilu pro skupinu uživatelů) a k přihlašovacímu skriptu (pro definici prostředí po přihlášení).

¨

Logovací skript login.txt umístěný ve sdíleném adresáři pod názvem WINFIRMA\netlogin BACHA!!! Lépe je psát jen login.txt a umístit jej do defaultně sdáleného adresáře \\server\netlogon U adresáře Home se nastaví sdílení $Home. Jméno adresáře smutny se v šabloně nahradí parametrem %username%. Kopírování účtů Nastavení Vlastností uživatelských účtů je spojeno s velkým počtem úkonů a při velkém počtu uživatelských účtů časové náročné. Tuto situaci lze využít vytvořením uživatelské šablony, kterou pak kopírujeme a měníme jen název účtu a další parametry, kterými se odlišuje. Ostatní zůstanou společné. Zásady jmen a hesel uživatelských účtů  Zobrazované jméno se nesmí v jedné doméně vyskytovat vícekrát.  Délka zobrazovaného jména max. 64 znaků.  Přihlašovací název účtů nesmí obsahovat znaky „/\,=+*<>;?“– bez diakritiky.  Max. délka přihlašovacího jména může být až 256 znaků (doporučuje se použít maximálně 64 znaků).  Windows je case sensitive. Doporučuje se vytvořit si vhodný systém přihlašovacích jmen.  Heslo – řetězec tvořený kombinací velkých malých písmen, číslic a speciálních znaků – silné heslo – minimální délku lze nastavit v registru, případně v místních zásadách zabezpečení. (Start‐>Nástroje pro správu‐>Místní zabezpečení)


36

hesl

Uzamčení účtu

Zálohování hesla Může se stát, že zapomeneme heslo k účtu. Je možné sice heslo resetovat a změnit, ale pokud má uživatel šifrované soubory, e‐maily, hesla k účtům v internetu, všechno bude ztraceno. Důležitým účtem je také správcovský účet Administrator, jehož heslo je důležité mít někde uloženo. Ve Windows Server 2008 existuje možnost resetovat heslo bez ztráty těchto důležitých dat. Pozor!!! Disketu pro resetování hesla nelze generovat u řadiče domény (Lze aplikovat u Windows Vista, Windows 7 i Windows Server 2008)

Jak na to? – Vytvořte médium pro resetování hesla 1. Zmáčkneme kombinaci kláves CTRL + ALT + DEL a vybereme možnost Změnit heslo

2. Dále vybereme možnost Vytvořit disketu pro resetování hesla, čímž spustíme průvodce, a klikneme Další. 3. Vybereme USB Flash a klikneme Další. 4. Do zobrazeného pole zadáme heslo k účtu a klikneme Další. 5. Po vytvoření diskety klikneme Dokončit.


37

Použití diskety pro resetování hesla, když neznáme heslo 1. Na přihlašovací obrazovce zvolíme vytvořit nové heslo (spustíme průvodce) a klikneme Další 2. Přečteme si úvodní informace o heslu a klikneme Další 3. Vložíme médium (disketa nebo flash) se souborem pro resetování hesla a klikneme Další 4. Po dokončení resetování hesla postupujeme dle pokynů průvodce Jaká je podstata funkce média pro resetování hesla: V rámci procesu vytvoření diskety pro resetování hesla se vytvoří dvojice veřejného a soukromého klíče. Heslo je šifrování veřejným klíčem a na disketu se uloží soukromý klíč. Heslo se neukládá. Při použití diskety se momentální heslo dešifruje soukromým klíčem, vytvoří se nové heslo a zašifruje stejným klíčem, takže se žádné informace neztratí. Uživatelské profily Obsahují celkové nastavení uživatele a prostředí, kam se ukládají dokumenty, nastavení uživatelské plochy. Vytváří se při prvním přihlášení uživatele. Ve Windows se používají tři typy uživatelských profilů:  Lokální – uložený na místním počítači (na stanici)  Cestovní – uložený na řadiči domény (přístupný z kteréhokoli počítače v doméně). Cestu k profilu lze zapsat ve vlastnostech uživatele AD na záložce Profil.  Mandatorní (povinný) – založený a uložený na server. Upravovat jej může správce systému. Je vázán na uživatele, skupiny nebo organizační jednotky. Je možno zabezpečit např. skupině uživatelů společnou plochu.

Cvičení 5 V prostředí AD Windows Server 2008 vytvořte návrh síťové struktury firmy Pekárna v doméně firma.local vedení firmy Organizační jednotky: pekarna provoz sklad Firma pekárma Orlová prodejny Karviná ekonomika Dětmarovice Uživatelské účty:  vedení ‐ Václav Pekárek, Ivana Pekárková – majitelé firmy  ekonomika – Jana Spořilová – účetní, Zuzana Nováková – fakturace, objednávky  prodejny – Orlová – Franta Orel – dopravce, Kamila Vorlová – prodavačka Karviná – Laďa Tichý – dopravce, Martina Tichá – prodavačka Dětmarovice – Jirka Slabý – dopravce, Vlasta Slabá – prodavačka  provoz – Karel Pekař, Pepa Pekař, Béďa Pekař ‐ pekaři, David Soudný ‐ skladník

Počítačové účty v Active directory

38

2.2.4 Správa účtů PC v prostředí Active directory Účty počítačů se v Active Directory nacházejí defaultně v OU Computers a představují počítače připojené k doméně. Většinou vznikají v okamžiku připojení stanice do domény, ale je možno je vytvořit i na serveru.

Instalace pracovní stanice s OS Windows 7 Instalační disk se vytvoří zcela automaticky, takže za předpokladu, že jsme schopni na daném PC otevřít příslušný nosič s OS Windows 7, můžete zahájit instalaci velmi jednoduše ‐ kliknete na "Setup.exe". Výše zmíněným způsobem vytvořené instalační disky jsou ale také bootovací. To znamená, že operační systém můžete nainstalovat i na počítač, kde ještě žádný operační systém není. Stačí jen v BIOSu přehodit bootovací pořadí tak, aby jako první došlo k bootování z USB či DVD disku. Poté už se dá spustit klasická instalace. (Do BIOSu se dostaneme po restartu např. tlačítkem F2)

Pozor na licence Pokud jste si pořídili Windows 7 digitálně a stáhli jste si ISO soubor, máte možnost z něj vytvořit instalaci pouze na jednom médiu. Jakmile provedete instalaci na vybraný počítač, máte právo mít v držení jednu záložní kopii. V případě, že jste z vytvořeného disku instalaci nesmazali, stává se tato vaší záložní kopií.

HW nároky    

Windows XP SP2, Windows Vista, nebo Windows 7 (32‐bit nebo 64‐bit) Pentium 233 MHz procesornebo rychlejší (300 MHz doporučeno) 50MB volného místa na disku DVD‐R mechaniku nebo 4GB USB flashku

Potřebujete je také Microsoft .NET Framework 2.0 nebo vyšší. Na počítači, na který instalujete Windows 7, musíte mít administrátorská práva. Windows 7 USB/DVD Download Tool 1.0.30.0 - Freeware 74322 stažení 2,5 MB

Postup instalace Po spuštění SETUP.exe Poté postupujeme podle následujících krolů

Nahrávají se instalační soubory (čekáme)


39

Jsme vyzváni k volbě jazyka (necháme češtinu)

V tomto okně klikneme na šipku Nainstalovat

Instalace probíhá


40

Zaškrtneme a klikneme

Zvolíme novou

Pokud budeme chtít na pracovní stanici vytvořit vedle systémového oddílu také oddíl pro data, v tomto okně klikneme na Možnosti jednotky


Objeví se volba Nový

Vyplním velikost oddílu pro systém a kliknu Použít

Potvrdím OK Objeví nový oddíl, kliknu Další

Sledujeme, jak probíhá průběh jednotlivých kroků instalace

41


42

Po ukončení všech kroků jsme vyzváni k restartu

Zadáme jméno Případně i název PC

Klikneme Další


Po výběru se PC zařadí do skupiny Workgroup a je připojen do sítě s využitím DHCP

43

Instalace dokončí nastavení

Po dokončení nastavení je počítač přihlášen, máme základní nabídku start a dolní lištu.


44 Po přihlášení dostaneme pracovní plochu.

Nyní je stanice připravena pro lokální provoz, k instalaci dalšího software, připojení lokální tiskárny apod.

Připojení pracovní stanice Windows 7 do domény Pokud je pracovní stanice určena pro zařazení do sítě s doménou a máme‐li k dispozici nainstalovaný server, který je řadičem domény se službou DNS, uděláme před připojením do domény následující úpravy: 1. Po instalaci Windows 7 je účet Administrátor zakázaný a bez hesla ; povolíme jej a nastavíme heslo : Příslušnou úpravu musíme provádět v příkazovém řídku.  Spustíme příkazový řádek jako Správce


45

 Ověříme, že účet Administrátor je zakázaný

 Administrátora povolíme a nastavíme heslo

net userAdministrator /active:yes net user Administrator heslo 2. Pokud náš server je Serverem DNS, nastavíme jejho IP do konfigurace DNS v TCP/IP  Zvolíme v nabídce Start Ovládací panely a Vybereme Síť a internet a poté Centrum síťových připojení a sdílení

 Zvolím nastavení adapteru (síťové karty) – Ipv4


46

Doplníme adresu DNS serveru a kliknu OK 3. Připojme stanici do vytvořené domény  V nabídce Start zvolím Počítač, pravým tlačítkem vyvolám kontextovou nápovědu a vyberu Vlastnosti

Vyberu Změnit nastavení Zvolím změnit a v následujícím okně vypíšu název domény


47

Budeme vyzváni k zadání hesla Administrátora a po určité době se objeví hlášení „Vítejte v doméně …“

Stanici musím restartovat.

Tak, a jsme v doméně. Co jsme tím získali?    

 

Mohu pro přihlášení k serveru používat „doménové účty“, které jsou založeny na serveru a nejsou vytvořeny na stanici Stejný účet mohu používat k přihlášení z kterékoli stanice připojené k téže doméně Připojená stanice se zobrazí jako objekt Computer v Active Directory a je možno ji spravovat z prostředí serveru A především čekám, že budu moci využívat data umístěná na serveru a že budu moci na server ukládat svá data, k nimž se tak dostanu z kteréhokoli počítače v doméně. Nastavením oprávnění mohu svá data zabezpečit. Našli bychom ještě řadu dalších výhod.

V průběhu instalace stanice a její zařazení do domény jsme byli nuceni použít příkazovou řádku. Zopakujme si je a případně přidejme ještě některé další:

Správa účtů z příkazové řádky Spuštění příkazové řádky: Nabídka Start – Spustit ‐ cmd (nebo můžete použít klávesovou zkratku Win + R) Pro manipulaci s účty slouží příkaz net user , Vyzkoušejte jeho použití :   

net user ‐ vypíše místní uživatele. net user Administrator heslo ‐ změna hesla lokálního uživatele Administrator na „heslo“ net user uzivatel ‐ zobrazí informace o lokálním účtu


48

net user uživatel /add vytvoří uživatele „uzivatel“ (vytvořený uživatel je automaticky zařazen do skupiny Users, ověřte to výpisem účtů ze skupiny Users)           

net user uživatel /delete vymaže uživatele „uzivatel“ net user uzivatel /expire:1.11.2013 - pro lokální účet nastaví dobu platnosti net user uzivatel /domain - zobrazí informace o doménovém účtu (třeba poslední změna hesla, přihlášení, logon script, globální skupiny, atd.) net help user - nápověda k příkazu net user net localgroup - vypíše existující lokální skupiny net localgroup zaci - vypíše existující účty v lokální skupině zaci net localgroup /domain - vypíše existující skupiny v doméně net user administrator - vypíše informace o uživateli administrator. net user administrator * - změní heslo účtu administrator (jsme vyzváni k zadání hesla). net user administrator /active:yes - povolí administrátorský účet. net localgroup group_name UserLoginName /add – přidání účtu do skupiny



net localgroup administrators Alena /add - přidání účtu Alena do



skupiny Administrators net localgroup "Power users" UserLoginName /add (více slovní název zapište do uvozovek)

Důležité je mít konzoli spuštěnou s oprávněním správce (pokud jsme přihlášeni jako běžný uživatel), protože jinak sice informace půjdou zobrazit, ale nebude možné je změnit Pro mazání obrazovky slouží příkaz cls

Vyzkoušejte se: 1. 2. 3. 4. 5. 6. 7. 8.

Vypište přehled lokálních uživatelů na Vašem PC Vypište si informace o jednotlivých uživatelích Vytvořte nového uživatele jana.vesela Nastavte jí heslo „heslicko“ Výpisem uživatelů ověřte úspěšnost při vykonání úlohy z bodů 3 a 4 Zakažte uživatele jana.vesela Povolte uživatele jana.vesela (vždy proveďte kontrolu výpisem) Vypište existující lokální skupiny

Cvičení 6 Přihlaste se k serveru pomocí vytvořených doménových účtů


49

Pro komunikaci s Windows 7 je dobré si zapamatovat něco z … Obecné systémové klávesové zkratky Alt + Tab: přepne okna a zobrazí přitom panel s malými náhledy oken Alt + Shift + Tab: přepínání oken v opačném směru Alt + Ctrl + Tab: přepínání oken, přičemž panel s malými náhledy zůstává zobrazen trvale do stisku Esc Win + Tab: přepne okna s 3D efektem Win + Shift + Tab: přepne okna s 3D efektem v opačném směru Win + Ctrl + Tab: přepne okna s 3D efektem, přičemž 3D přehled oken zůstává trvale zobrazen do stisku Esc Win + D: zobrazí plochu / obnoví okna Win + E: otevře průzkumník na položce Počítač (dříve Tento počítač) Win + F: aktivuje hledání Win + Ctrl + F: hledání v síti Win + G: přepíná mezi jednotlivými Gadgety na ploše Win + Shift + G: procházení Gadgetů v opačném pořadí Win + L: uzamknutí počítače Win + P: přepínání způsobu připojení externího monitoru/projektoru Win + R: otevře funkci Spustit Win + X: zobrazí Centrum nastavení mobilních zařízení (hodí se u notebooků)

Win + +/‐ : aktivuje přiblížení a oddálení obrazu Win + F1: otevře nápovědu k systému Windows Win + Pause: otevře okno s informacemi o systému Ctrl + Shift + Esc: zobrazení Správce úloh na záložce Procesy

Pro práci s okny ve Windows 7 Klávesové zkratky Win + Home: očištění plochy od všech ostatních oken kromě aktivního Win + mezerník: zobrazení plochy skrze průsvitné obrysy oken Win + M: minimalizuje všechna okna Win + Shift + M: maximalizuje všechna okna Win + šipka nahoru: maximalizace okna Win + Shift + šipka nahoru: maximalizace okna pouze ve vertikálním směru a obnovení do původní výšky Win + šipka dolů: minimalizace okna Win + šipka vlevo, Win + šipka vpravo: „polomaximalizace“ k levému nebo k pravému okraji obrazovky Win + Shift + levá šipka, Win + Shift + pravá šipka: „polomaximalizace“ okna a zároveň přesunutí na druhý monitor monitor

Skupiny a jejich správa

50

2.2.6 Použití skupin v Active direktory (AD) Skupina v AD mohou obsahovat řadu různých objektů – uživatele, počítače, další skupiny, apod. Spravováním vhodné struktury skupin urychlit správu celé sítě. Existují 2 typy a 3 obory skupin. Typy skupin:  zabezpečené – jsou uvedeny ve volitelných seznamech přístupu (DACL), které jsou součástí popisu objektů. Umožňují nastavit oprávnění k objektům k prostředkům (nejpoužívanější).  distribuční – slouží pro nezabezpečené emailové seznamy, nepoužívají funkce oprávnění, nemají povoleno zabezpečení. Používají se na mailových serverech. Obory skupin: určují, které typy objektů můžeme do skupiny zahrnout, jaká oprávnění a práva jim můžeme udělit  místní doménové – uživatelé této skupiny mají přístup k prostředkům místní domény (např. ke sdíleným složkám). Nejsou zjistitelné mimo hranici domény. Zásady k místní doménové skupině se neukládají do Active direktory, tudíž se nereplikují do globálního katalogu.  globální – uživatelé této skupiny mají přístup k prostředkům podle organizace; lze je vnořovat, abychom mohli udělit přístup k prostředkům v libovolné doméně v doménové struktuře  univerzální – mohou sdružovat objekty z různých domén a také oprávnění lze nastavit v rámci kterékoli domény, což velmi výhodné. Nevýhodu představuje skutečnost, že při jakékoli změně se univerzální skupina ukládá do globálního katalogu a následně musí být replikována na všechny řadiče domény nastavené jako servery globálního katalogu. Windows Server 2008 replikuje pouze změny namísto celých objektů, takže zatížení sítě nebude tak drastické a vytváří lepší podmínky pro použití univerzálních skupin. Použití jednotlivých typů skupin: Globální skupiny používají se především pro objekty, které se vyžadují časté úpravy a intenzívní správu. Nereplikují se mimo vlastní doménu a nejsou součástí replikace globálního katalogu. Nejčastěji se do nich zařadí účty uživatelů i počítačů. Globální skupiny se vnořují do dalších typů skupin. Místní doménové skupiny je vhodné použít pro zajištění přístupu ke sdíleným zařízením v doméně. Například tiskárny. Vytvořím místní


51

doménovou skupinu, připojím k ní oprávnění k použití tiskárny a do skupiny zařadím globální skupinu s uživatelskými účty. Univerzální skupiny použijeme v případě existence více domén, jinak je filosofie obdobná místním doménovým skupinám. Univerzální skupiny tak mohou zajistit přístup k technickým prostředkům různých domén. Lze do ní vnořit globální skupiny z různých domén Chceme‐li nastavit efektivní síť, je nutné dobře chápat typy a obory skupin. Význam skupin se projevil i při vývoji nových verzí systému Windows Server. Vytvoření skupiny Vytváří se v prostředí Správa uživatelů a počítačů v AD

Pojmenovat skupinu

Vybrat obor a typ skupiny

Jste příznivcem příkazové řádky? Dsadd group příkaz pro vytvoření skupiny

Výpis významu dalších parametrů získáte příkazem dsadd group /?


52

Analogicky lze přidat i další objekty AD

Případně lze objekty vypisovat, upravovat apod.

Zásady skupin Představují skupinu pravidel, která pomáhají provádět správu počítačů a uživatelů. Mezi klíčové operace správy patří především:  nastavení zásad pro uzamčení účtů, hesla  přesměrování speciálních složek (např. Dokumenty) na vybrané centrálně spravované místo  uzamčení konfigurace plochy  definice přihlašovací, odhlašovacích skriptů  nastavení pravidel pro instalaci aplikací  konfigurace a údržba webového prohlížeče MS Explorer Existují 2 typy zásad: 1. Místní zásady skupin – jsou uloženy na místním počítači ve složce %systemroot%\System32\GroupPolicy a týkají se pouze tohoto počítače 2. Zásady skupin AD – jsou reprezentovány fyzickými komponentami GPT a GPO. GPT – Group Policy Template – jsou uloženy ve složce Sysvol, pomocí níž replikuje systém zásady skupiny. Složka Sysvol logicky představuje objekt GPO, který slouží jako kontejner pro definované zásady a jejich nastavení; pomocí něj mohou být zásady propojeny na jednotlivé objekty či jejich skupiny. Po vytvoření domény vznikne objekt GPO výchozích zásad pro řadič domény a objekt GPO výchozích zásad domény.


53

Zásady skupiny se týkají pouze uživatelů a počítačů. Pro nastavení Zásad skupiny spustíme program mmc (kořenový adresář konzoly) a přidáme modul snap-in Editor objektů zásad skupiny a uložíme např. jako konzola1.

1

2 3

V prostředí mmc otevřeme uložený soubor konzola1, vidíme nastavení výchozích zásad

Máme možnost nastavit zásady pro počítač nebo pro uživatele

U konfigurace počítače i uživatele se objeví vždy Zásady Předvolby


54

Systémovou komponentou pro klienta zásad skupin je rozšíření uložené jako knihovna DLL. Hlavní knihovnou pro zpracování šablon je Userenv.dll. Architektura zásad skupin Klient zásady skupin Modul zásad

Řadič domény Active Sysvol

Editor správy zásad skupiny

Rozšíření na straně klienta Šablony pro správu Instalace software Skripty Nastavení zabezpečení Přesměrování služby Údržba IE Služba vzdálené instalace

Rozšíření na straně serveru Šablony pro správu Instalace software Skripty Nastavení zabezpečení Údržba IE

Správa práv k vytvoření objektů zásad skupin Operační systém Windows Server 2008 přiděluje správcům automaticky právo vytvářet objekty zásad skupin. Ostatním uživatelům je možno toto právo přidělit delegováním. Delegování – znamená přidělit právo provádět úkony správy i jiným uživatelům než členům skupin Enterprice Admin a Domain Admin Nástroje pro správu ‐>Správa zásad skupiny ‐>Domény (rozbalit konkrétní doménu) Vyberu Obsah zásad skupiny, záložku Delegování, můžeme přidat uživatele nebo skupinu.


55

Dále je třeba nastavit oprávnění pro správu zásad skupin. Můžeme přidělit jedno ze tří oprávnění  Číst  Upravit nastavení  Upravit nastavení, odstraňovat, upravovat zabezpečení

Dědičnost zásad skupin

Pokud se na daný objekt uplatňuje více zásad, použijí se v následujícím pořadí: 1. Místní zásady skupin 2. Zásady skupin lokality 3. Zásady skupin domény 4. Zásady skupin organizační jednotky 5. Zásady skupin vnořené organizační jednotky Chceme‐li přepsat zásadu povolenou v zásadách vyšší úrovně, zakážeme ji v zásadách nižší úrovně (použijeme variantu Není nakonfigurováno). Použití skriptů v zásadách skupin V zásadách skupin lze nadefinovat skripty, které budou spouštěny při startu nebo vypínání počítače, případně při přihlašování nebo odhlašování uživatele. Platí pak pro všechny účty ve vybrané skupině

Pravé tlačítko na myši Vyberu Upravit Dostanu Editor správy

Analogicky lze přidat skripty pro uživatele.

V editoru vyberu z konfigurace počítače Nastavení systému Windows a Skripty a přidáme je


56

Oprava výchozích zásad skupiny Objekty GPO výchozích zásad pro řadič domény a výchozích zásad domény jsou důležité pro správnou činnost služby Active Directory. Pokud dojde k jejich změně, nefungovaly by zásady skupin správně. Je třeba je obnovit do původního stavu. Spustíme nástroj dcgpofix z příkazové řádky. Pokud chceme opravit jen výchozí zásady domény, spustíme dcgpofix /target: doména Pokud chceme opravit jen výchozí zásady řadiče domény, spustíme dcgpofix /target: dc

Cvičení 7 Vytvořte logon skripty pro mapování síťových disků R:, V:pro všechny uživatelské účty v doméně, pojmenujte logon.txt: R:

\\server\Reklamace

V:

\\server\Doprava

Webová internetová informační služba IIS 7.0

57

2.3 Webová internetová informační služba IIS 7 Tvoří součást operačního systému Windows Server 2008 a poskytuje řadu výhod:  

je prostředím pro bezpečný vývoj webových aplikací i jejich hostování. nabízí funkce pro pohodlnou správu a efektivní správu webových stránek

Jako každý webový server umožňuje komunikace s klienty – přijímá a vyřizuje jejich požadavky, navíc poskytuje řadu výhod jak pro uživatele, tak pro tvůrce aplikací: 

    

dává uživateli šanci stahovat a ukládat data prostřednictvím FTP (je součástí IIS7) nebo WebDAV (World Wide Web Distributed Versioning and Authoring), dodávat uživatelům software pomocí Internetu bez potřeby fyzických médií disků CD, DVD apod. nabídnout zájemcům hostování webové služby s možností vývoje obchodních aplikací .pro zaměstnance vytvoření intranetu v oblasti správy nabízí možnost filtrování požadavků, včetně trasování neúspěšných požadavků, což mohou vývojáři využít k ladění obsahuje Modul služby IIS pro prostředí Windows PowerShell

Server je vhodný pro  

Hostování vlastních aplikací (webových stránek) Hostování třetích stran (cizích webových stránek)

Požadovaná funkcionalita serveru – aneb co má webserver zajistit:  

 

Provoz webových aplikací v ASP.NET Oddělení jednotlivých webových aplikací od sebe (aby se neovlivňovaly, aby si neviděly do dat, aby funčnost jedné aplikace nezasahovala do funčnosti aplikace druhé) Windows SQL server 2008 jako databáze Přístup jednotlivých uživatelů ke správě webových aplikací pomocí FTP

Instalace role Webserver IIS7 1. Otevřeme Server Manager, klikneme na Přidat role

58


Web server nelze nainstalovat, pokud v systému nejsou nainstalovány některé funkce, Takže při výběru role Web server se vám otevře další okno, pro potvrzení přidání potřebných funkcí (výhodou je, že všechny jsou součástí instalačního CD, není tedy potřebí hledat a stahovat z internetu.. 2. Vybereme roli Web server

2. Potvrdíme přidání funkcí

1. Vybereme službu

3. Objeví se výběr a my klikneme Další

Objeví se panel pro výběr služba rolí – potvrdíme tlačítkem Další a doplníme služby z oddílu Vývoj aplikací (vše, FTP, Zabezpečení, stav a diagnostika (protokolování a Sledování požadavků), případně další dle aktuálních potřeb. Při výběru se někdy opět objeví potvrzení instalace potřebných funkcí

Webová internetová informační služba IIS 7.0 4.

5.

Po kliknutí na tlačítko Další se objeví panel s vybranými službami a pokud je jejich výčet úplný, klikneme na tlačítko Nainstalovat

6.

59

60


7.

Sledujeme průběh instalace

8.

Instalace byla dokončena

9.

V přehledu rolí vidíme Webový server (IIS) a základní web Default Web Site


61

10.

Označením Default Web Site se objeví obsah adresáře domovská stránka a přehled akcí, které lze s webem provádět

Kliknutím se objeví úvodní

11.

Defaultní webovou stránku zobrazíme ve webovém prohlížeči zadáním http:\\localhost nebo http:\\192.168.146.3 . Podrobněji: Při instalaci IIS si můžeme vybírat jednotlivé funkcionality, které chceme, aby server uměl. Některé na sobě závisí, takže, když zaškrtneme např. ASP.NET , vybere se mi řada dalších služeb, které bude ASP.NET pro svůj „běh“potřebovat

62


Kromě ASP.NET nás může zajímat  HTTP Redirecton, který umožní stanovit si podmínky, za kterých bude uživatel přesměrován, např. doménové aliasy apod.  TRACING když něco jde špatně, nebokdyž vyřízené požadavku trvá neúměrně dlouhonebo skončí, můžete si nechat o tomto požadavku vytvořit záznam, z něhož zjistíte, co vprůběho zpracování požadavku stalo, ve kterém okamžiku nastal problém  BASIC AUTHENTICATION, WINDOWS AUTHENTICATION, DIGEST AUTHENTICATION – pokud budete chtít provozovat Internetovou aplikaci, povolíte pravděpodobně Windows authencation,; v případě běžných webových aplikací budete používat různé doměnové metody, které funkgují vždy ‐ .netove(čti dotnetové) metody, např. Forms aplication  URL AUTHORIZATION –hodí se, když chcete nastavit, kdo kam smí , do kterých adresářů  IP AND DOMAI RESTICTION – umožní zpřístupnit web uživatelům jen z některých domén, jen z některých IP rozsahů, můžete zablokovat některé IP adresy nebo Internetový web zpřístupnit jen do některé části sítě apod.  DYNAMICKÁ A STATICKÁ KOMPRESE OBSAHU – vyskytuje se v sekci Performace a doporučuje se zapnout, protože dnešní prohlížeče dokážou požádat webserver, aby jim poslal data zkomprimovaná, takže se nepošle surový kód HTML, ale před odesláním se použije (GZIP), čímž se objem zasílaných dat podstatně zmenší (až na 20%) – šetříme čas i někdy i finance.  MANAGEMENT TOOLS –oddíl obsahující IIS Management Console vizuální nástroj pro strávu webových aplikací IIS Scripts and Tools – obsahuje nástroje příkazové řádky, které můžeme použít např, pro hromadné či dávkové vytváření webů Management Service – pokud chceme v rámci webhostingu umožnit zákazníků, aby z klienta spravovali své weby přes HTTP nebo HTTPS NÁSTROJE IIS6 – většinou nepotřebujeme, jedině, kdybyst e měli vytvořené skripty pod II6 a chtěli jste je překládat pro použití pod IIS7, Vzhledem k tomu, že v IIS7 je skriptování podstatně efektivnější, doporučuje se skripty přepsat. Tyto nástroje se automatickyzapnou, když vyberete k instalaci SMTP ‐ protože od IIS6 nedoznal žádných změn.  FTP SERVER – v serveru 2008 je stejný jako v IIS, v nové verzi Windows Serveru 2008 R2 je již nová verze pod IIS7 s řadou nových možností. Lze ji samostatně stáhnout a doinstalovat do Windows server 2008.


63

Součástí je Hosting WebCore, kterou použijete jen vyjímečně, a to v případě, že webová aplikace používá jen jádro Webserveru.

Po výběru všch potřebných funkcionalit klikneme NEXT , objeví se celková konfigurace a systém zahájí instalaci role. Nyní se podíváme se na Vlastnosti (Features) :  .NET 3.5 – určitě budete potřebovat, a to buď kompletní, nebo jen .NET Framework 3.5.1 (bezpodmínečně nutná je instalace této funkcionality za přrdpokladu, že tento serveru budeme chtít nainstalovat SQL Server)

Výběr dalších vlastností závisí účelově na tom, jaké funkce má daný server plnit. Často vybíranou vlastností je  SMTP Server ‐ pokud budeme chcít z webových aplikací odesílat maily (bohužel stále používá logiku IIS6, která v případě této volby automaticky nainstaluje; ale přesto se jedná stále o nejjednodušší způsob, jak z webových aplikací odesílat maily)

64


Ostatní funkcionality většinou potřebovat nebudete, a pokud přece jen, můžete si je později doinstalovat. V dalším kroku se mi objeví přestad nastavených vlatností a kliknutím na Instal Zahájíme instalaci.

Po ukončení instalace role webserveru, si otevřeme Správce serveru a podíváme se na novou roli, existenci výchozího webového serveru a ověříme jeho funkci


Otevřeme prohlížeč a napíšeme adresu http://localhost

Otevřeme prohlížeč a napíšeme adresu http://localhost

65


66

Průvodce konfigurací Webserveru pro hosting Pro hostování webových stránek je nutné zajistit izolaci jednotlivých uživatelů. K tomu se používají Aplikační pooly (každého uživatele musíme umístit do samostatného poolu). Novinkou od IIS 7 jsou v této souvislosti automaticky vytvářené identity. Pokud si vytvoříme nový Aplikační pool, vytvoří se automaticky identita a uloží se v adresáři IIS pod názvem APPPOOL\Nazev_AP. Je to v podstatě kopie Network Service, jen je pro každý aplikační pool samostatná a také to znamená, že pokud nepotřebujeme nějaké speciální vazby oprávnění např. na SQL Server, nemusíme sami vytvářet uživatele pro jednotlivé Aplikační pooly, IIS to udělá za nás. A nyní si představme, že chceme na našem serveru hostovat webové stránky firmy Northwind a Fabrikant. 1. Vytvoříme pro ně dva samostatné aplikační pooly

2. Nazveme je AP_Northwind AP_Fabrikam 3. Všechny parametry necháme nastavené na výchozích hodnotách, což znamená, že se použije nastavená logika a vytvoří se dvě automatické identity. Ihned se o tom přesvědčíme, neboť musíme nastavit odpovídající práva na souborový systém . 4. Otevřeme na datovém disku D: adresář WWWServers\LocalUser a na adresář Fabrikam nastavíme práva pro identitu IIS APPPOOL\AP_Fabrikam (nastavíme plné řízení):


67

Analogicky na adresář Northwind nastavíme práva pro identitu IIS APPPOOL\AP_Northwind (nastavíme plné řízení). 5. Jakmile máme nastavená práva, vytvoříme vlastní weby. Na datovém disku D: si vytvořím adresář www.fabrikam.com a umístím tam textový soubor default.htm (obsahuje html kód pro úvodní stránku)

Analogicky pro druhou Identitu. 6. Strukturu máme připravenou a nyní vytvoříme weby – v prostředí nainstalovaného IIS v oddíle sites zvolíme Add Web site

Vypíšeme potřebné položky

Vybereme příslušný Pojmenujeme webovou stránku Nastavíme fyzickou t k d áři Případně zvolíme hostname (pro DNS)


68

7. Nyní je potřeba v sekci IIS –Authentication – Anonymous Authentication – bude Anonymous user Identity Application pool Indentity. Tím zajistíme, že vše, co bude v rámci tohoto webu spouštěno, bude spouštěno pod touto identitou. 8. Teď to můžeme vyzkoušet.: 



Přejdeme na klientský počítač, otevřeme webový prohlížeč a zvolíme URL adresu http://www.fabrikam.com (objeví se text „Vítejte na stránkách firmy fabrikam.com“) Poté vyzkoušíme i další vytvořený web.

9. Nyní přejdeme znovu na server a v prostředí Správce úloh (Taskmanageru) si ověříme, že běží dva samostatné procesy. Každá firma má svůj vlastní proces a ten běží pod určitou identitou. 10. volbou oddělených aplikačních poolů jsme zajistili, že na jednom serveru mohou hostovat dva klienti, kteří si navzájem nevidí do dat.

Vzdálená správa  

IIS 7 umožňuje realizovat vzdálenou správu nejen pro administrátory, ale umožnuje přidělit jednotlivým uživatelům práva ve vztahu ke konfiguraci. Tato práva zůstávají zachována i při vzdáleném přístupu. Umožníme mu měnit takové vlastnosti, které jsou ve vztahu k webserveru nepodstatné a umožníme mu konfigurovat jen jeho vlastní web.

Nastavení serveru 1. Na úrovni serveru se můžeme podímat v prostředí na Vlastnosti Delegování (Features Delegation)

Zde vidíme jednotlivé konfigurační sekce a oprávnění, které se rozhodneme uživatelům přiřadit, respektive oprávnění, která lze na úrovni webu přiřadit.


69

2. Konfiguraci lze nastavit společně pro všechny weby nebo pro jednotlivé weby odděleně. (Většinou se spokojíte s výchozím nastavením, které uživateli umožňuje měnit jen věci, na kterých příliš nezáleží.) 3. Nyní zbývá určit, kteří uživatelé budou moci jednotlivé weby konfigurovat. To se děje v nastavení jednotlivých webů. 4. Klepneme na určitý web a v sekci IIS Management Permission vyberete uživatele, kteří budou mít právo měnit konfiguraci tohoto webu. Nastavení klienta Startpage  Klikneme připoj se ke stránce (Connect o a site)

Název serveru, k němuž se připojujeme Název webu

Nyní specifikujeme jméno uživatele a heslo a tím nastavíme spojení a vidíme jen svůj vlastní web

Závěr: Vzdálenou správu lze v IIS 7 nastavit nejen pro administrátory, ale i pro běžné uživatele.

Terminal Services

70

Terminálová služba Umožňuje uživateli spouštět aplikace na vzdáleném serveru, kde probíhá proces spuštění i zpracování údajů. Po síti běží jen data ze zařízení – display, myš, klávesnice. Klient se přihlásí k serveru a vzdáleně používá aplikaci – virtuální relace. Význam  Zjednodušená správa aplikací ( na jednom místě) i uživatelských dat  Všichni uživatelé používají jednu verzi aplikace  Ekonomická úspora – stačí mít jeden výkonný server a uživatel může mít k dispozici jen tenkého klienta a server Klíčové prvky terminálové služby: 1. Server terminálové služby 2. Klient terminálové služby 3. Správa licencí terminálové služby Pro vzdálený přístup k aplikacím existuje ve Windows server 2008 několik možností:  Vzdálená aplikace Terminálové služby (Remote App) – což je program, ke kterému uživatel vzdáleně přistupuje přes terminálovou službu. Místo aby měl uživatel k dispozici plochu na terminálovém serveru, funguje aplikace RemoteApp ve vlastním okně. Pokud spouští na Terminálovém serveru více aplikací, sdílení prostřednictvím RemoteApp s terminálovým serverem jedinou relaci (běží v tomto jediném okně).  Brána terminálové služby (TS Gateway) – umožní autorizovaným uživatelům připojení ke vzdálené ploše, které se realizuje pomocí protokolu RDP nad protokolem HTTPS, přenos dat je tedy šifrován a může procházet firewallem i síťové překlady NAT.  Služba TS Web Access – umožňuje přístup k aplikacím prostřednictvím webového prohlížeče. Výchozí webová stránka této služby obsahuje funkční odkazy na příslušné programy, které jsou nastaveny jako vzdálené aplikace (RemoteApps). Při instalaci tétoslužby je nainstalována také služba IIS7, která zabezpečí přístup k těmto programům. Pro nastavení terminálové služby se požaduje licenční server (licence se vydává na 52 – 89 dní (náhodně vygenerováno). V tomto časovém intervalu se přidělené licence nevracejí do fondu licencí. Pokud se klient v daném časovém intervalu nepřihlásí, je licence vrácena do fondu licencí. Licenční server

relace

Klient

Terminálový server

Terminal Services

71

Infrastruktura terminálového serveru (hw vybavení, počet serverů) vychází z analýzy  počtu uživatelů, kteří se budou hlásit k terminálovému serveru  jaké aplikace budou spouštět  způsob vykonávané práce  pracovníci vstupu dat – žádná zátěž  znalostní pracovníci – vytváření dokumentů, tabulek, prezentace – mírná zátěž  experti – použití specializovaného software, grafiky – velká zátěž Výpočet velikosti potřebné paměti (např. uživatelé budou spouštět 4 programy, které budou potřebovat 15MB RAM a 24MB virtuální paměti). Pro 100 uživatelů tedy asi 1,5GB RAM 2,4 GB místa na disku. Instalace terminálového serveru Ve správci serveru přidáme roli Terminálový server a vybereme požadované služby

Na dalším panelu nastavíme bezpečnostní opatření a způsob licencování

72

Terminal Services

Existuje licencování podle uživatele nebo vázané na zařízení. Dále vybereme seznam skupin uživatelů, kteří se mohou přihlašovat k terminálovému serveru.

Nastaveno pro doménové uživatele

Zobrazí se nastavená konfigurace pro instalovaný terminálový server a potvrzením zahájíme instalaci

Terminal Services

73

Po ukončení instalace se ve správci serveru přibyla další role a prostředí pro její správu

Poté bychom potřebovali instalovat aplikace, které budou uživatelé spouštět - přes Ovládací panely

74

Terminal Services

Pozor!!! Používejte aplikace, které umožní spouštění ve víceuživatelském prostředí. Tyto aplikace  ukládají data odděleně od místních dat  uživatelská data se ukládají podle uživatele  uživatelé jsou autorizováni podle uživatelského jména Pro instalaci aplikací se na terminálovém serveru používá režim instalace, který zaručí, že aplikace budou nakonfigurovány pro přístup více uživatelů. Není třeba žádných složitých postupů, stačí provést instalaci pomocí nástroje Instalovat program na terminálový server. Všechny konfigurační údaje a posléze i změny se ukládají jak do klíčů HKCU a HKLM, tak do klíče HKLM\Software\Microsoft\Windows NT\Current Version\Terminal Server\Install. Pokaždé, když se aplikace pokusí o přístup ke klíčům HKCU a HKLM, použije terminálová služba klíč HKLM\Software\Microsoft\Windows NT\Current Version\Terminal Server\Install. Soubory .ini a knihovny DLL si kopíruje do domovského adresáře klienta nebo do jeho profilu. V prostředí Instalovat program na terminálový server lze také nastavit relaci  pomocí příkazu Change User s parametry  /Query – zobrazí aktuálně nastavený režim  /Execute – nastaví terminálovou službu do režimu spouštění  /Install – nastaví terminálovou službu do režimu instalace  pomocí příkazu Change logon s parametry  Query – zobrazí aktuální stav přihlášení  /Enable – povolí přihlášení uživatele  /Disable – nepovolí přihlášení uživatele Pro komunikaci terminálového serveru s uživateli se používá režim spouštění, když se připojuje uživatel. Aplikace vyžadují někdy po instalaci použití skriptů pro kompatibilitu aplikací jako je Rootdrv.cmd – přiřadí písmeno k domovskému adresáři každého uživatele (pokud existuje) – provede mapování SetPath.cmd – odebere cesty k proměnným a umožní skriptům pracovat bez pevně nastavených cest.

Terminal Services

75

Tyto skripty jsou umístěny ve složce %systemRoot%Aplication Compatibility Scripts. Mají podobu dávkových souborů a je možno si je podle potřeb upravit. Po ukončení instalace aplikace je třeba v režimu instalace:  Provést potřebné změny v nastavení.  Nastavit cestu k souborům pro jednotlivé uživatele (přiřadit písmeno)  Nakonfigurovat nastavení registru v klíči HKLM\Software\Microsoft\Windows NT\Current Version\Terminal Server\Compatibility\Application (všechny změny jsou typu REG_DWORD viz správa registru)

Nastavení přístupu k terminálovému serveru (protokol RDP):

Přidat uživatele nebo

Nastavit úroveň

Dialogové okno RDP-Tcp obsahuje řadu karet: Obecné – nastavení šifrování (buď kompatibilní s klientem nebo lze požadovat silné šifrování) a zabezpečení ( pokud chcete zvýšit úroveň zabezpečení, zaškrtnete

Nastavení přihlášení (vhodné neměnit , použít výchozí nastavení)

76

Terminal Services

Relace – nastavíme, jak bude terminálová služba odpojovat relace

Prostředí – nastavíme aplikaci, která se spustí při přihlášení (Přepíše

nastavení pro klienty Vzdálené plochy) Vzdálené řízení – povolí a nastaví podmínky pro vzdálenou plochu Nastavení klienta – určí způsob správy obrazovky a přesměrování klienta (zakázáno mapování zvuku)

Síťový adaptér – určí, ke kterým síťovým adapterům na serveru se lze připojit (standardně k jakémukoli) Zabezpečení – nastavení oprávnění pro vybrané uživatele či skupiny. Existují 3 základní oprávnění: Full Control – plná kontrola nad všemi relacemi (vlastními i cizími) User Access – omezená kontrola jen nad vlastními relacemi (mohou se dotázat na existující relace, připojit se k jiné relaci) Guest Access – mohou se jen připojit, další oprávnění nemají Způsob připojení – přes vzdálenou plochu Získávání informací o terminálové službě a její správa lze získat buď v grafickém prostředí Správce terminálové služby, nebo z příkazového řádku.

Terminal Services

Správce TS

Informace z příkazové řádky – pomocí příkazů query process

přehled uskutečněných procesů

query user

přehled připojených klientů

query session

přehled vytvořených relací

77

78

Terminal Services

Další příkazy query termserver přehled přístupných terminálových serverů Shadow [Název relace] [ID relace] [/Server : Název serveru] [/v] převzetí

vzdáleného řízení relace Reset Session [Název relace] [ID relace] [/Server : Název serveru] [/v] obnovení uživatelské relace Logoff [Název relace] [ID relace] [/Server : Název serveru] [/v] odpojení uživatelské relace TSCon [Název relace] [ID relace] [/Password : heslo] [/v] připojení k uživatelské relaci TSDisCon [Název relace] [ID relace] [/Server : Název serveru] [/v] odpojení uživatelské relace TSKill ID Procesu|Název procesu [/Server : Název Serveru] [/ID : ID relace] [/a] [/v] ukončení daného procesu v dané relaci, případně pomocí parametru /a ve všech relacích Msg [Uživatelské jméno|Název relace|@název souboru|ID relace\*] [/Server : Název Serveru] [zpráva] Posílání zpráv z konzoly vybraným uživatelům uvedený znak @ umožňuje definovat soubor s přehledem uživatelských jmen a relací, znak * umožní odeslat zprávu všem relacím. Přidáme-li parameter /W, bude služba čekat na potvrzení, doba čekání je zadaná v parametru /TimepočetSekund

Nastavení uživatelského profilu a domovského adresáře v terminálové službě V nabídce uživatelé a služby v AD

Nastavit cestu

P:

Nastavit dom. složku

Licencování terminálové služby Přístup k terminálové službě vyžaduje licencování. Licence je vázána na uživatele nebo na počítač. Pokud licenční soubor nemůže nabídnout licenci, neumožní terminálový server připojení. Pro vyzkoušení je možné využít toho, že prvních 120 dní po zavedení terminálové služby lze klientům udělit dočasnou licenci, nemáme‐li aktivní licenční server.

Závěr

79

Závěr Vážení čtenáři, pokud jste dospěli k této kapitole, získali jste učritý přehled o instalaci Operačního systému Windows, a to jak serveru, tak klientské stanice.. Zaměřili jsme se především na grafické rozhraní a v určitých místech jste se dotkli i správy prostřednictvím příkazové řádky. Pokud se budete touto problematikou zabývat častěji, jistě si zafixujete potřebné metody práce a jistě přijdete na chuť i příkazové řádce, a to hlavně z hlediska úspory času. Přeji Vám v dalším studiu hodně vytrvalosti.

80

Použitá literatura 1. STANEK, William R. Mistrovství v Microsoft Windows Server 2008: [kompletní informační zdroj pro profesionály]. Vyd. 1. Brno: Computer Press, 2009, 1364 s. ISBN 978‐80‐251‐2158‐0. 2. BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978‐80‐251‐2817‐6. http://technet.microsoft.com/cs‐cz/library

INSTALACE OPERAČNÍHO SYSTÉMU A JEHO KONFIGURACE I. WINDOWS

Recommend Documents