Instalujeme server. Mistrovství v Microsoft Windows Server

Instalujeme server Tak jako se lidské tělo neobejde bez srdce či fotbalový zápas bez rozhodčího, neobejdou se větší počítačové sítě bez serveru (nebo serverů). Server je tedy srdcem takové sítě. Jedná se o nejdůležitější počítač (počítače), který může mít různé úkoly od řízení chodu celé sítě přes uchování dat, správu běhu aplikací až po správu tisku. Aby server pracoval tak, jak se od něj očekává, je třeba jej správně nainstalovat a nakonfigurovat. K instalaci serverového operačního systému nelze přistupovat jako k přibližně dvouhodinové záležitosti sestávající Z rotujícího disku CD-ROM v počítači a několika klepnutí myší nebo stisknutí kláves na klávesnici. Je nutné si uvědomit, že právě server je počítačem, jehož instalace by měla ze všech počítačů „vydržet" v provozu nejdéle. Nutným předpokladem úspěšné instalace je její pečlivá příprava. Ta se skládá z několika důležitých kroků, které jsou blíže popsané v dalších odstavcích.

Co vlastně znamená „server”? Nebo jinak. Kdy je možné o počítači říci, že je serverem? Podle nainstalovaného operačního systému? Podle hardwaru počítače? Nebo podle účelu jeho používání? Nejblíže ke správné odpovědi je poslední možnost. Definice serveru je velmi jednoduchá - jedná se o počítač, který v síti, k níž je připojen, poskytuje služby (od slova „serve" - „sloužit"). Je úplně jedno, jakým operačním systémem daný počítač disponuje, taktéž nezáleží ani na hard-warové výbavě. Dnes se koneckonců můžete velmi často setkal s běžnými uživatelskými počítači, které jsou na tom / pohledu hardwarové výbavy (zejména typu a rychlosti procesoru a velikosti pevného disku) lépe než servery. Na čem tedy záleží? Uveďme si krátký příklad.Právě jste se vrátili z dovolené, na které jste pořídili množství obrázků svým digitálním fotoaparátem. Z fotoaparátu obrázky ihned po příchodu do práce zkopírujete do počítače, a protože se chcete o zážitky podělit s kolegy, zapnete sdílení složky, do které jste fotografie uložili, a zpřístupníte ji tak v síti. V tuto chvíli je váš počítač serverem. Kromě toho samozřejmě plní i roli klientského počítače, které se budeme věnovat v další kapitole. Takovému typu serverů se říká souborové servery. Váš počítač bude mít ale spoustu omezení. Jednak je možné a velmi pravděpodobné, že si vaše obrázky nebude moci prohlížet více než 10 uživatelů najednou, jednak se také může velmi snadno stát, že zatímco se vaši kolegové a kolegyně baví prohlížením obrázků, je počítač tak vytížen, že běžná práce s ním je velmi zdlouhavá, ne-li nemožná. Aby se tato a ještě další omezení odstranila, byly pro servery vyvinuty serverové operační systémy. Ty se orientují na co nejkvalitnější poskytování služeb v síti a s počítačem zpravidla nepracuje žádný uživatel přímo. I kdyby pracoval, nebyly by odezvy grafického uživatelského rozhraní takové, jaké uživatel očekává a které jsou u běžných klientských počítačů. Protože se v každé síti vyskytují požadavky na sdílení souborů, na tisk na síťové tiskárny a další, měl by v každé síti existovat alespoň jeden server. Ten může samozřejmě dané služby kombinovat. Pokud to však jeho vytížení či nekompatibilita nedovolí, je nutné přidat další servery, pochopitelně se serverovými operačními systémy.

Příprava instalace Pojďme si na úvod položit několik důležitých otázek: • Pro jaké účely se bude server používat? • Jaký serverový operační systém by se měl na server nainstalovat? • Jaká kapacita pevných disků bude pro používání serveru třeba? • Jak by měla vypadat fyzická a logická struktura disků? • Jaký typ instalace bude pro daný server nejrozumnější? Odpovědi na tyto otázky jsou tím správným vodítkem pro budoucí úspěšné a dlouhodobé používání serveru. Některé věci lze během používání upravit, jiné je však nutné nastavit hned na začátku. Jistě, nejsou zde zmíněné veškeré náležitosti, jako například velikost paměti či rychlost a typ procesoru. Na druhou stranu — kolik správců v malých firmách má možnost si dopředu jednoznačně nadiktovat své požadavky na server, když na finančních prostředcích „sedí" osoba, která není investicím do výpočetní techniky nebo investicím vůbec příliš nakloněna? Protože budeme dále v této knize pracovat se serverem s minimální konfigurací a s jedním pevným diskem, jsou z pohledu hardwaru nejdůležitější výše uvedené otázky. Příprava instalace sestává z dobrého naplánování funkcí a konfigurace serveru a ze shromáždění veškerých údajů, které jsou pro instalaci nutné. Rozhodně není vhodné instalaci bezhlavě spustit a během ní teprve shromažďovat potřebné údaje a narychlo vymýšlet konfiguraci.

Mistrovství v Microsoft Windows Server 2003

1

Funkce serveru Server je počítačem, který v síti nabízí služby. Které konkrétní služby jsou potřeba, zák-ži na konkrétní síti a na požadavcích společnosti. Server může mít například následující rok1: • Souborový server • Databázový server • Aplikační server • Terminálový server • Tiskový server • Řadič domény • Server DNS • Server WINS • Server DHCP • Poštovní server • Webový server • Server FTP • Server NNTP • Server POP3 či IMAP4 • Server se službou vzdálené instalace (RIS) • Server WINS • Server pro vzdálené připojení • Server POP3 • Server s certifikačním úřadem • Server s certifikačním úřadem a další. Lze říci, že některé role jsou zastoupené ve všech sítích, zatímco ostatní jsou k dispozici pouze v některých. Je velmi důležité zvážit, které role budou v dané síti třeba, neboť od toho se odvíjejí ostatní požadavky na instalaci. Dále je důležité vědět, které role můžete později již nainstalovanému serveru doplnit bez nutnosti větších změn v konfiguraci, a pro jaké role bude nutné vyčlenit samostatný server. V naší síti budeme postupně pracovat s následujícími rolemi: • Souborový server • Tiskový server • Řadič domény • Server DNS • Server DHCP • Server se službou vzdálené instalace Tylo role může zajistit jediný server, navíc je lze kdykoli odebrat a znovu přidal. Z toho to pohledu bude instalace bez potíží a další informace nejsou v tuto chvíli potřeba. Poznámka Pokud všem uvedeným pojmům přesně nerozumíte, nic se neděje. Při plánování instalace se jim stejně nedá vyhnout a podrobněji se některým z nich budeme věnovat dále.


2

Jaký operační systém nainstalovat? Řada systémů Windows Server 2003 přichází v několika různých verzích (viz tabulka 1.1). Verze systému

Popis

Windows Server 2003, Web Edition

Tato verze je určena k poskytování hostitelských služeb na webu. Vzhledem k tomu, že je optimalizována pouze pro webové aplikace, postrádá některé důležité služby a není proto určena pro běžné vnitropodnikové sítě.

Windows Server 2003, Standard Edition

Tato verze je určena pro sítě organizací všech velikostí. Nabízí řešení pro veškeré běžné služby a stává se tak opravdu standardem.

Windows Server 2003, Enterprise Edition

Tato verze je určena pro větší prostředí, podporuje technologii clusterování a je velmi dobře škálovatelná. Je určena pro prostředí s kritickými aplikacemi.

Windows Server 2003, Datacenter Edition

Tato verze je určena pro prostředí s vysokými požadavky na bezpečnost, rychlost a škálovatelnost. Umožňuje konsolidovat více serverů na jeden hardware.

Tabulka 1.1 Přehled verzí systému Windows Server 2003

Každá verze má odlišné minimální požadavky na hardware (v tabulce níže jsou uvedeny požadavky 32bitových verzí systémů): Verze systému

Minimální systémové požadavky

Windows Server 2003, Web Edition

CPU min. 133 MHz (doporučeno 550 MHz), 128 MB RAM (doporučeno 256 MB), 1,5 GB místa na disku Systém podporuje maximálně 2 GB paměti RAM a nejvíce 2 procesory

Windows Server 2003, Standard Edition

CPU min. 133 MHz (doporučeno 550 MHz), 128 MB RAM (doporučeno 256 MB), 1,5 GB místa na disku Systém podporuje maximálně 4 GB paměti RAM a nejvíce 4 procesoiy

Windows Server 2003, Enterprise Edition

CPU min. 133 MHz (doporučeno 733 MHz), 128 MB RAM (doporučeno 256 MB), 1,5 GB místa na disku Systém podporuje maximálně 32 GB paměti RAM a nejvíce 8 procesorů

Windows Server 2003, Datacenter Edition CPU min. 400 MHz (doporučeno 733 MHz), 512 MB RAM (doporučeno 1 GB), 1,5 GB místa na disku Systém podporuje maximálně 64 GB paměti RAM a vyžaduje nejméně 8, nejvíce 32 procesorů

Tabulka 1.2 Systémové požadavky a možnosti systémů Windows Server 2003

Pro malou a středně velkou síť je určená verze Windows Server 2003, Standard Edition. Jednoduše proto, že splňuje požadavky na zamýšlené služby a také proto, že verzi Windows Server 2003, Enterprise Edition bychom nebyli schopni plně využít. Poznámka Podrobné informace o využití jednotlivých služeb ve verzích systému Windows Server 2003 v českém jazyce naleznete na webové stránce společnosti Microsoft na adrese http://www.microsoft.com/cze/windowsserver2003/evaluation/choosing/.

Disková kapacita Odpověď na otázku, kolik diskového prostoru bude pro funkce serveru třeba, je záležitostí správného odhadu a jednoduché matematiky. Požadavek místa na disku pro samotný systém je dán přímo výrobcem -1,5 GB. Neznamená to, že po instalaci bude na disku tato kapacita obsazená. Jistě nebudou nainstalované veškeré součásti operačního systému, navíc je nutné počítat s místem pro stránkovací soubor systému a s místem pro budoucí aktualizace Service Pack. Je dobré mít pro tyto případy k dispozici ještě přibližně 1 GB volného místa. Další místo zaberou instalované aplikace. Ačkoli zatím neplánujeme roli aplikačního, da-labázového či poštovního serveru, je nutné myslet na antivirové programy, zálohovací ná-stroje apod. Pro tyto účely a pro případné další rozšiřování serveru by mělo postačovat 5 GB místa. Největší prostor bude nutné ponechat pro samotné soubory, které budou k dispozici pro všechny uživatele (souborový server) a pro soubory jednotlivých uživatelů. Pro tento účel platí známé pravidlo, že žádný disk není dost velký. To je ve většině případů pravda, na druhou stranu se dá pomocí systémových prostředků zajistit omezení prostoru na disku pro jednotlivé uživatele. Toto rozhodnutí však musí padnout na začátku a také je nutné je hned začít uplatňovat. Pro běžnou práci s počítačem by každému uživateli měl postačovat 1 GB místa na disku. Existují samozřejmě výjimky, a to na obě strany, které je nutné vzít v úvahu. Nyní je vše ostatní otázka matematiky. Budeme-li počítat s prostředím 30 uživatelů, vyjde nám požadavek na celkem 38 GB místa na disku, což již dnes není technologický ani vel ký finanční problém. Pokud budete mít možnost vyjádřit se k nákupu nového serveru a váš názor někdo vez nic v úvahu, doporučuji zvolit hardware, do kterého bude možné kdykoli později přidal další fyzický disk. Pouze tak si zajistíte možnost využití serveru i v rolích databázové či aplikační.


3

Fyzická a logická struktura disků Dostáváme se k jednomu ze zásadních kroků. I zde platí podobné pravidlo jako v před chozím odstavci: žádný počet fyzických disků není dostatečným a případný rozumný po čet disků stejně není kam umístit. Zde jste více než v jiných oblastech velmi často omezeni místem pro další disky a financemi. Pro fyzickou strukturu (tedy kolik mít fyzických dis ku) platí několik jednoduchých a srozumitelných pravidel: • Operační systém by měl být umístěn na jiném fyzickém disku než stránkovací soubor. • Data aplikací by měla být oddělena od systému i aplikací, v případě databázových aplikací je třeba mít k dispozici ještě další fyzické disky pro protokoly transakcí. • Pro operační systém a další důležitá data je vhodné vytvořit diskové struktury odolné proti chybám (zrcadlené svazky, svazky typu RAID-5). Názory na logické uspořádání disků se velmi liší. Jsou případy, kdy se například jediný disk serveru rozdělí na 3 logické jednotky - na prvním je nainstalován operační systém, na druhém data nainstalovaných aplikací a na třetím data uživatelů. Jako důvod správci uvádějí zejména jednoduché přeinstalování systému bez nutnosti zálohování a následného obnovení dat a větší přehled. Tyto důvody se mohou na první pohled zdát jako smysluplné, skutečnost je však jiná. I když by v takovém případě došlo k přeinstalování systému (tedy k nahrazení předchozího systému jeho novou instalací), ztratí se u dat důležité stavové informace sdílení složek, oprávnění přístupu ke složkám a souborům, případně omezení místa na disku (diskové kvóty). A o lepším přehledu by se dalo hovořit snad pouze v případě, že by server používali běžní uživatelé - správcům musí stačit rozdělení souborů do složek, nikoli na logické jednotky. V takto nakonfigurovaném prostředí dochází navíc často k situaci, kdy je třeba na server uložit větší objem dat, na žádné z jednotek však není pro tento celek dostatek místa, i když v celkovém součtu by se dané místo našlo. Řešení je jednoduché. Pokud nenaleznete zvláště závažné důvody (například nutnost formátovat každou jednotku jiným systémem souborů nebo pro různé účely využít systémové kvóty), vytvářejte na každém disku pouze jedinou logickou jednotku. Nepřipravíte se o žádnou rychlost přístupu (což je argument, který také někdy můžete slyšet od „správce", jenž zcela nepochopil rozdíly mezi logickými a fyzickými disky), a pokud vše pečlivě naplánujete, nepřipravíte se ani o přehled na disku. A pokud v budoucnu nebudete mít pro větší množství dat místo, je řešení jediné - přidat další disk. V našem případě vyjdeme z toho nejjednoduššího řešení. Z hlediska výkonu není sice op timální, ale je nejlevnější a pro malou síť postačující. V kapitolách, které se budou týkat funkcí spojených s disky, budete upozorněni na další možné konfigurace, jež by pro da nou funkci byly vhodné. Použijeme jeden fyzický disk, který rozdělíme na dvě logické jednotky - C: a D:. Pracovat budeme zatím s jednotkou C:, jednotku D: si ponecháme pro Službu vzdálené instalace (RIS).

Typ instalace Ačkoli to na první pohled není u operačních systémů Microsoft patrné, možností instalace je několik. Od klasické, dobře známé instalace z disku CD-ROM, až po automatickou instalaci či instalaci klonováním disků. Pokud však stojíte před otázkou instalace servero-vého operačního systému do čistého počítače, nezbude nic jiného, než zvolit instalaci z disku CD-ROM. Je totiž dobré si celý instalační proces projít (pro případné budoucí automatické instalace), navíc by například automatickou instalaci ani nebylo kde připravit (potřebujete pro to počítač alespoň se systémem Windows XP Professional, pro systém Windows 2000 Server systém Windows 2000 Professional).

Další informace a nastavení V průběhu samotné instalace budete nuceni zadat další informace, které je vhodné nul dopředu připravené. Některé záležitosti jsou zcela banální a může je zadat jakýkoli kolemjdoucí, neboť na nich není činnost systému závislá. Některé informace jsou však velmi podstatné, neboť na nich závisí činnost systému a není možné je později upravit. Připravte si tedy následující informace: • Jméno uživatele a název organizace, na kterou je produkt zaregistrován • Typ licencování klientských přístupů • Kód Product Key (ten zpravidla naleznete na zadní části krabičky od disku CD-ROM) • Název počítače • Heslo správce • Název pracovní skupiny, ve které bude počítač zařazen U některých z pojmů se ještě v průběhu instalace zastavíme a doplníme důležité informace.


4

Instalace serverového operačního systému Tato kapitola obsahuje podrobný postup instalace včetně důležitých dialogových oken a doplňujících obrázků. Pro úspěšnou instalaci budete potřebovat instalační disk CD-ROM se systémem Windows Server 2003, Standard Edition a „čistý" počítač. 1. V systému BIOS počítače je nutné nastavit následující posloupnost spouštěcích za řízení: • Jednotka CD-ROM • Pevný disk Samotné nastavení vždy záleží na typu systému BIOS, proto je není možné jednoduše a univerzálně popsat. Podrobné informace naleznete v příručce dodané k počítači, případně k základní desce. 2. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows Server 2003 a restartujte nebo zapněte počítač. 3. Instalace systému by se měla automaticky spustit. Pokud k tomu nedojde, ověřte znovu pořadí spouštěcích zařízení. Pokud již byl v počítači dříve nainstalován nějaký operační systém, může se stát, že systém bude pro instalaci z disku CDROM vyžadovat stisk libovolné klávesy. 4. Spustí se textový režim instalace a zobrazí se obrazovka s nadpisem Instalace systému Windows. 5. Na obrazovce Vítá vás instalační program stiskněte klávesu Enter. 6. Na obrazovce Licenční smlouva systému Windows potvrďte stiskem klávesy F8 souhlas s uvedenými podmínkami. Poznámka Před stiskem klávesy F8 si licenční smlouvu dobře přečtěte. Pokud s ní nebudete souhlasit, stiskněte klávesu Esc a instalace se přeruší.

7. Na další obrazovce je nutné vytvořit, případně upravit strukturu pevného disku. Stiskněte klávesu C, čímž budete moci vytvořit oddíl pro instalaci operačního systému. 8. V části Vytvořit oddíl o velikosti (MB) je zobrazená maximální dostupná velikost pevného disku. Pokud máte v serveru pouze jediný disk, snižte tuto hodnotu o 1 000 MB (tedy 1 GB). Zůstane tak místo nutné pro pozdější instalaci a konfigu raci Služby vzdálené instalace (RIS, Remote Installation Service). Pokud máte v počítači více pevných disků, můžete ponechat maximální uvedenou velikost. Poté stiskněte klávesu Enter. 9. V seznamu oddílů by měl být označen právě vytvořený oddíl jako C:. Pokud není, označte jej, a poté klepněte na klávesu Enter. 10. V dalším dialogu můžete vybrat systém souborů, kterým bude oddíl naformátován. Pokud nemáte pochybnosti o kvalitě povrchu disku, označte položku Zformátovat oddíl systémem souborů NTFS (Rychle) - ušetříte si čas. Pokud máte pochybnosti, označte položku Zformátovat oddíl systémem souborů NTFS. V takovém případě dojde při formátování k fyzické kontrole povrchu a případné vadné bloky se vyřadí z používání. Proběhne naformátování oddílu a poté začne ko pírování souborů do instalační složky systému Windows Server 2003. Poznámka Systém Windows 2000 neumožňuje provést rychlé formátování oddílu při instalaci operačního systému. První možnost tedy není k dispozici.

11. Po zkopírování souborů dojde k restartování systému a instalace bude pokračovatv grafickém režimu. 12. V dialogovém okně Místní a jazykové nastavení případně upravte nastavení národního prostředí a klávesnice a klepněte na tlačítko Další. 13. V dialogovém okně Přizpůsobit software zadejte údaje, které jste shromáždili před spuštěním instalace, a poté klepněte na tlačítko Další. Poznámka Jméno uživatele a název organizace lze kdykoli později změnit přímým zásahem do registru systému. Potřebné položky naleznete ve větvi HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion.

14. V dialogovém okně Kód Produkt Key zadejte kód pro instalaci operačního systému a poté klepněte na tlačítko Další. 15. V dialogu Způsob správy licencí zaškrtněte políčko odpovídající typu licencování, které jste určili. Pokud ponecháte zaškrtnutou možnost Na server, zadejte počet souběžných připojení a poté klepněte na tlačítko Další.


5

Obrázek 1.1 Dialogové okno Místní a jazykové nastavení

Obrázek 1.2 Dialogové okno Přizpůsobit software

Poznámka Typ licencování Na server umožňuje současné připojení zadanému počtu klientských počítačů. Každý další pokus o připojení nad limit je ze strany serveru odepřen. Při nastaveni licencování Na zařízení je maximální počet současně připojených zařízení dán zakoupenou licencí, stejně tak při licencování Na uživatele. Další informace o licencování produktů Microsoft naleznete na webové stránce na adrese http://www.microsoft.com/cze/lndowsserver2003/howtobuy/licensing/.


6

Obrázek 1.3 Zadání kódu Product Key

Obrázek 1.4 Nastavení data a času


7

16. V dialogu Název počítače a heslo správce zadejte název počítače (například SRVR001) a heslo správce (například K@f!cko - pozor, heslo je citlivé na velká a malá písmena). Pokračujte klepnutím na tlačítko Další. Poznámka Pokud vám zadané heslo připomíná slovo kafíčko, je to v pořádku. Náhradou některých znaků ale vzniklo poměrně bezpečné heslo splňující tzv. požadavky na složitost, které pro případného útočníka není snadno uhádnutelné.

17. V dialogovém okně Nastavení data a času zadejte aktuální datum, čas a vyberte správné časové pásmo. Pokračujte klepnutím na tlačítko Další. 18. V dialogu Nastavení sítě zaškrtněte políčko Vlastní nastavení a poté klepněte na tlačítko Další. 19. V dialogu Síťové součásti vyberte položku Protokol sítě Internet (TCP/IP) a poté klepněte na tlačítko Vlastnosti. 20. V dialogovém okně Protokol sítě Internet (TCP/IP) — vlastnosti zadejte adresu IP 192.168.10.2 a masku podsítě 255.255.255.0. Ostatní hodnoty nezadávejte a klepněte na tlačítko OK. Pokračujte klepnutím na tlačítko Další. Poznámka Můžete zadat i jinou adresu IP. Více informací o protokolu TCP/IP a adresování serverů a počítačů naleznete v kapitole 3, „Učíme počítače komunikovat v síti".

21. V dialogovém okně ponechejte výchozí nastavení (tj. zaškrtnuté políčko Počítač není připojen k síti nebo je připojen k síti bez domény a bude členem ná sledující skupiny SKUPINA) a klepněte na tlačítko Další. 22.

Obrázek 1.5 Vlastní nastavení sítě

Pruvodce instalací systému Windows Server 2003 má nyní dostatek informací k tomu, aby provedl úplnou instalaci samotného systému. Nyní již nebude nutné zadávat žádné další informace a po dokončení instalace dojde k restartování počítače.


8

Obrázek 1.6 Konfigurace adresy a dalších parametrů protokolu IP

Úkony po instalaci Ačkoli je systém Windows Server 2003 novým produktem obsahujícím stovky ovladačů pro současná hardwarová zařízení na trhu, může se stát, že pro některé zařízení nebudou ovladače k dispozici. V takovém případě je nutné získat potřebné ovladače od výrobce zařízení nebo je stáhnout z webové stránky HCL (Hardware Compatibility List) na adrese http://www.microsoft.com/hcl a poté je nainstalovat do systému. Pokud dosáhnete stavu, kdy se v dialogovém okně Správce zařízení nebude vyskytovat žádný otazník či vykřičník, lze říci, že instalace serverového operačního systému je úspěšně dokončena. Je velkým omylem myslet si, že nyní lze server nasadit do ostrého provozu. Jak bylo uvedeno dříve, může server plnit různé role, a je jasné, že pro každou z nich je nutné provést další konfiguraci. V této knize budeme další konfiguraci provádět postupně tak, jak bude potřeba, ale v ostrém provozu není v některých případech záhodno příliš otálet. Pokud však ponecháte systém tak, jak se nainstaloval, a chcete jej začít používat, můžete tak činit po dobu 30 dnů od instalace. Do té doby je nutné provést aktivaci produktu.

Aktivace systému Windows Systém Windows Server 2003 obsahuje funkci nazvanou Aktivace systému Windows (WPA, Windows Produkt Activation). Ta je další zbraní společnosti Microsoft v boji proti krádežím softwaru a zabraňuje instalaci stejného systému do jiného počítače. Při instalaci systému jste museli zadat 25místný kód Produkt Key. Systém Windows Server 2003 vygeneruje ještě další kód, který reprezentuje hardwarové součásti počítače. Kód vzniklý sloučením těchto dvou je nutné odeslat do střediska Microsoft Clearinghouse prostřednictvím Internetu nebo jej předat telefonicky. Pokud využijete Internet, neměla by re gistrace trvat déle než několik sekund. Při telefonické aktivaci budete nuceni oznámit 50místný kód a poté do systému zadat 42místný potvrzovací identifikátor získaný ze střediska Microsoft Clearinghouse. Teprve po úspěšné aktivaci bude systém funkční bez omezení. Ve středisku Microsoft Clearinghouse dochází k ověření, zda společnost Microsoft produkt se zadaným kódem Produkt Key vyrobila a zda tento systém nebyl ještě nainstalován. Aby byla aktivace úspěšná, musel být produkt vyroben a ještě nesmí být nikde nainstalován (přesněji řečeno aktivován). V opačném případě se aktivace nezdaří a produkt přestane po vypršení lhůty pro aktivaci fungovat.


9

Obrázek 1.7 Seznam hardwaru

Tip S aktivací produktu zbytečně nespěchejte. Vždy nejdříve proveďte konfiguraci systému a všech hardwarových zařízení a systém používejte nejméně týden, během kterého ověříte jejich správnou funkčnost. Teprve poté, co si budete absolutně jisti správnou funkcí systému a zařízení, proveďte aktivaci. Vyhnete se tak případné nové aktivaci, pokud byste byli nuceni nahradit některé zařízení za jiné.

Existují ještě další možnosti instalace? Je velmi pravděpodobné, že většina správců si tuto otázku ještě nikdy nepoložila. A po-kud ano, začala zřejmě pátrat po nástrojích od jiných výrobců, které by jiný typ instalace umožňovaly.

V případě systému Windows Server 2003, stejně jako u jeho předchůdce, se pro dalši možnosti nemusí chodit daleko - jsou totiž podporované přímo v samotném systému. Mezi další možnosti instalace systému Windows Server 2003 patří: Instalace po sítiInstalace po síti se nijak mc neliší od instalace z disku CD-ROM. Pokud obě instalace porovnáme, je třeba u instalace po síti provést navíc následující kroky: • V síti sdílet složku obsahující instalační soubory operačního systému. • Mít připraveného síťového klienta pro spuštění v počítači, do kterého chcete sy stém instalovat. • V cílovém počítači před instalací vytvořit na disku oddíl o velikosti alespoň 1,5 GB.


10

Bezobslužná instalace (po síti i z disku CD-ROM) Tento typ instalace je podrobně probrán v další kapitole. Veškeré odpovědi poskytované instalačnímu programu se seskupí do textového souboru se speciálním formátem a instalačnímu programu se „vnutí" jako parametr. Výhodou takové instalace je výrazná úspora času, neboť není nutné u počítače sedět a čekat na další dialogové okno k zadání informací. Tento typ instalace se pro výraznou úsporu času používá spíše u klientských počítačů. U serverů je sice možná, pravděpodobně se s ní však v praxi nesetkáte. Instalace duplikací disků Všechny předchozí instalace mají jednu nevýhodu. Téměř vůbec nebo jen velmi omezeně totiž neumožňují zároveň systém nakonfigurovat, popřípadě nainstalovat a nakonfigurovat další aplikace. Instalace duplikací disků tedy vychází z myšlenky běžné instalace operačního systému, případné instalace aplikací, konfigurace systému i aplikací a následného klonování takto vytvořeného disku do jiného počítače. S výhodou lze tuto instalaci využívat u většího množství stejných pracovních stanic. Před duplikací disku je však nutné spustit ve zdrojovém počítači nástroj SYSPREP (Příprava systému), který odebere jedinečné identifikátory systému (například název počítače) a zajistí jejich vytvoření při dalším spuštění. U serverových operačních systémů se tento způsob instalace nepoužívá. Navíc, společnost Microsoft nenabízí žádný nástroj pro převedení bitové kopie disku na jiný. Je tedy nutné použít nástroje od jiných výrobců. Vzdálená instalace Vzdálená instalace je speciálním případem instalace, které je věnována kapitola 19, „Přibývají další uživatelé...". Systém Windows Server 2003 je prvním serverovým systémem, který lze tímto způsobem instalovat. Služba vzdálené instalace v systému Windows 2000 Server umožňovala pouze instalaci operačního systému pro klientské počítače Windows 2000 Professional.

Závěr Server je počítačem, který v síti nabízí své služby klientům. Počet serverů v síti není omezen, zpravidla však bývá o několik řádů nižší než počet klientských počítačů. Velmi důležitým krokem je výběr správné verze serverového operačního systému. Ve většině případů bude vyhovujícím systém Windows Server 2003, Standard Edition. Velké sítě s náročnými aplikacemi mohou být vybaveny systémem Windows Server 2003, Enterprise Edition. Poskytovatelům webových služeb v Internetu nebo pro internetové prezen-tace je určen systém Windows Server 2003, Web Edition. Před instalací serverového operačního systému je třeba nejprve ověřit, zda počítač splňuj e minimální hardwarové požadavky a zda je hardware s operačním systémem kompati bilní. Poté je potřeba připravit si další informace, které bude instalační program požadovat (název počítače, jméno uživatele a název organizace, heslo správce a další) a navrhnout vyhovující počet fyzických disků a jejich případné rozdělení na logické jednotky. Poté lze přistoupit k samotné instalaci. Systém lze instalovat přímo z instalačního disku CD-ROM nebo lze využít i alternativní metody - instalaci po síti, automatickou instalaci, případně instalaci duplikací disků. Nejčastějším případem je instalace z disku CD-ROM.

Stav sítě V tuto chvíli máme nainstalovaný první počítač v síti - server s názvem SRVR001.


11

Instalujeme klientské počítače Klientské počítače jsou v počítačové síti základním pracovním prostředkem mnoha uživatelů. V sítích jich bývá nepoměrně více než serverů a na jejich správné funkci záleží spokojenost a produktivita uživatelů. Počet klientských počítačů však může být noční můrou správců, kteří do nich musí nainstalovat a nakonfigurovat operační systém a aplikace. Pokud budete muset instalovat pouze několik počítačů, vyhradíte si na ně příslušný čas (jeden či více dnů) a instalaci za tuto dobu bez potíží provedete. Instalace podobná předchozí instalaci serveru (tedy z disku CD-ROM) by měla trvat přibližně jednu hodinu, další čas si vynutí konfigurace systému a instalace aplikací. Pokud před vámi bude úkol instalovat několik desítek počítačů, začnou vás pravděpodobně zajímat případné další možnosti instalace, pokud možno automatické, které mohou čas instalace výrazně zkrátit. Optimálním případem je stav, kdy je konfigurace všech klientských počítačů jednotná. Nejen že tak lze instalaci provést za nejkratší dobu, ale správce pak v případě potíží uživatelů přesně ví, jak konfigurace počítače vypadá, a nemělo by jej překvapit ze strany uživatelů nic nečekaného. V následujících odstavcích se podíváme na více možností instalace a provedeme instalaci klientských počítačů.

Kdo je klientským počítačem? Klient je opakem serveru. Pokud tedy server nabízí v síti své služby, je klientem počítač, který je využívá. Příkladem používání služeb serverů je přístup k dokumentům uloženým na serveru, tisk na tiskárny připojené k tiskovým ser-verum nebo třeba požadavek na přidělení adresy IP od serveru DHCP. Podobně jako u serverů nelze ani zde jednoznačně určit klienta podle operačního systému. Instalovaným operačním systémem na klienty ve firemním prostředí by měl být jednoznačně systém Windows XP Professional (případně Windows 2000 Professional). Klientský počítač se také může stát v síti serverem - to v případě, kdy například umožníte svým kolegům přistupovat na váš disk za účelem stažení souborů nebo jim umožníte tisknout na tiskárnu, která je připojená a nainstalovaná ve vašem počítači. Tyto případy jsou však spíše výjimkou pokud se je ale chystáte využít, mějte na paměti, že operační systém pro klientské počítače umožní současné připojení nejvíce 10 počítačům. Pokud je nutné pro konkrétní účel tuto hodnotu navýšit, není jiné řešení, než uvedené prostředky přenést na serverový operační systém.

Příprava instalace Než se pustíte do instalace operačního systému do klientského počítače, měli byste mít připravené veškeré informace, které budete během instalace potřebovat. Ještě předtím je ale potřeba, aby samotný počítač splňoval některé náležitosti:

Minimální požadavky na hardware Typ a rychlost procesoru

Pro instalaci operačního systému Windows XP Professional potřebujete nejméně procesor Pentium II 233 MHz (doporučeno je 300 MHz). Systém Windows 2000 Professional vyžaduje alespoň procesor Pentium 133 MHz. velikost operační paměti

Systém Windows XP Professional vyžaduje paměť RAM 64 MB (doporučeno je 128 MB). Systém Windows 2000 Professional vyžaduje paměť RAM 32 MB, doporučená hodnota je 64 MB. velikost pevného disku

Pro instalaci systému Windows XP Professional potřebujete nejméně 1,5 GB volného místa na pevném disku, pro instalaci systému Windows 2000 Professional pak 1 GB. Tyto hodnoty však neznamenají, že po instalaci bude samotný systém na pevném disku „okupovat" celé zmíněné místo. Je však nutné mít na paměti, že do operačního systému lze kdykoli později přidat další součásti, a jednou za čas je nutné nainstalovat aktualizaci Service Pack, která obsahuje opravy chyb systému a přináší i nové funkce, a jež samozřejmě vyžaduje určité volné místo na disku.

Kompatibilita hardwaru Co je platné, když máte počítač s nejnovější grafickou kartou, pokud pro ni neexistují ovladače pro daný systém? Kromě minimálních požadavků na hardware je tedy dobré mít ještě jistotu, že použitý hardware počítače je kompatibilní s operačním systémem, který budete instalovat. O kompatibilitě se můžete přesvědčit na webové stránce se seznamem kompatibilního hardwaru HCL (Hardware Compatibility List) na adrese http://www.microsoft.com/hcl. Zde naleznete seznam jednotlivých hardwarových součástí, případně ce lých počítačů. V některých případech jsou zde ke stažení i otestované ovladače. Pokud máte nový model počítače či některé hardwarové součásti, může se stát, že v uvedeném seznamu potřebný hardware nenajdete. Není se co divit, pečlivé otestovaní hardwaru nějaký čas trvá. V takovém případě nezbývá, než požádat o pomoc výrobce, případně si z jeho webové stránky stáhnout potřebné ovladače.


12

Kapacita disků O minimálním požadovaném volném místě na disku již byla řeč výše. Jaká je ale maximální velikost disků? Nemá cenu spekulovat o nejoptimálnější velikosti, neboť požadavky firem a uživatelů se liší, a navíc je třeba se přizpůsobit trhu. Obecně platí, že data uživatelů by měla být uložena na serverech. Jsou tak lépe zabezpečena, neboť servery se pravidelně zálohují, a navíc je mají uživatelé k dispozici z jakéhokoli počítače v síti. Pokud se tedy řeší otázka, jaký objem dat potřebují uživatelé ke své práci, měla by být výsledkem velikost pevného disku na serveru, nikoli na stanici. V klientském počítači tedy potřebujete velikost, která bude postačovat pro instalaci operačního systému, aplikací, případně dalších doplňků, umožní uživatelům přihlásit se (je tedy nutné mít na disku místo pro vytvoření profilu uživatele) a dále umožní uživatelům ukládat jistý objem dat, případně využívat funkci Soubory offline pro automatické ukládání dat ze serverů. U živatele je však potřeba upozornit na skutečnost, že za místně uložená data nelze z pohledu správce převzít odpovědnost, a že v případě havárie počítače a ně mohou přijít. Poznámka Další informace o funkci Soubory offline naleznete v kapitole 21, „Firma se rozhodla nakoupit přenosné počítače".

Fyzická a logická struktura disků V drtivé většině případů by měl v klientském počítači k běžné práci postačovat jediný fyzický disk. Výjimku mohou tvořit případy, kdy uživatel potřebuje vysoký výkon diskové ho podsystému (například u počítače pro zpracování grafiky), a kdy se sestavuje více fyzických disků do polí RAID. Logická struktura disku určuje možnosti uživatele při práci s diskem - jednoduše řečeno, zda bude mít uživatel k dispozici pouze jednotku C: nebo i další. Pokud nemáte na k l i entské počítače žádné další požadavky (týkající se například omezení místa na disku pro uživatele, kteří počítač využívají jako souborový server), bude zcela jistě stačit jednotka C: a disk tak nebude nutné dělit na oddíly. Argument, že je nutné či vhodné oddělil ulo lená data od operačního systému, zde neobstojí vzhledem k ukládání dat na server ne bo do upřednostňované složky Dokumenty, kterou lze z pohledu správce domény také automaticky přesměrovat na server, pro to není žádný důvod. Spíše naopak - někteří uživatelé by mohli být zmateni, pokud budou mít k dispozici více jednotek.

Systém souborů Během instalace operačního systému budete muset zformátovat pevný disk některým ze systémových souborů FAT, FAT32 či NTFS. Volba příslušného systému závisí na: •

•

• •

Způsobu využití systému Pokud bude v počítači více operačních systémů (v tzv. konfiguraci multi-boot), je nutné u jednotek s daty, ke kterým se přistupu je ze všech systémů, použít systém souborů, který je pro všechny systémy společ ný. Navíc musí být každý systém nainstalován na jednotce se systémem souborů, který je pro daný systém určen (například systém MS-DOS nelze nainstalovat na systémy souborů FAT32 či NTFS). Počtu a velikosti nainstalovaných pevných disků Spolu se zvyšováním kapacity systémů se možnost výběru systému souborů omezuje. Například svazky větší než 32 GB nelze formátovat jiným systémem než NTFS. Systémy Windows XP Professional i Windows 2000 Professional umí pracovat se svazkem větším než 32 GB zformátovaným systémem souborů FAT32, ale neumí jej vytvořit. V takovém případě by bylo nutné nejprve svazek zformátovat například v systému Windows 98. Požadavcích zabezpečení Jediný systém souborů, který je schopen zabezpečit soubory či složky na pevném disku, je systém NTFS. Žádný ze systémů FAT tuto vlastnost nemá. Požadavcích na využití dalších možností systémů souborů Pokud budete chtít využívat funkce, jako jsou diskové kvóty, kompresi dat, šifrování či připojené jednotky, je nutné zvolit systém NTFS.

Kromě uvedených a většinou již dobře známých výhod či nevýhod jednotlivých systémů jsou zajímavé i následující informace uvedené v tabulce:

Tabulka 2.1 Omezení systémů souborů v systémech Windows XP Professional a Windows 2000 Professional

Z uvedených informací vyplývá, že pokud bude v počítači nainstalován pouze systém Windows XP Professional (nebo Windows 2000 Professional), bude vhodné disk zformátoval systémem souborů NTFS.


13

Ostatní náležitosti Před spuštěním instalace si připravte následující informace: ♦ Jméno uživatele a název organizace, na kterou je produkt zaregistrován Jedná se o informace, které se zobrazí v dialogovém okně Systém. Tyto informace lze později kdykoli změnit, pouze však přímo v registru systému. Poznámka Při instalaci systému Windows XP Professional není možné zadat jako jméno uživatele Administrátor.

• Kód Product Key (ten zpravidla naleznete na zadní části krabičky od disku CD-ROM) Pokud budete provádět instalaci z média získaného v rámci multilicenčního programu společnosti Microsoft, získáte tento kód od správce licencí vaší organizace. • Název počítače Název počítače musí být v síti jedinečný. Je velmi vhodné připravit si řadu názvů počítačů, která bude zároveň nezávislá na jménech uživatelů. • Heslo místního správce (účtu Administrátor) Jedná se o jeden ze dvou místních účtů, které po instalaci existují. Zároveň se jedná o správce počítače, a heslo by tak mělo být „silné". • Název pracovní skupiny, ve které bude počítač zařazen Nyní máte k dispozici všechny informace, které jsou nutné k úspěšné instalaci systému Windows XP Professional. Nic tedy nestojí v cestě se do instalace pustit.

Instalace z disku CD-ROM Tato kapitola obsahuje podrpbný postup instalace včetně důležitých dialogových oken a doplňujících obrázků. Pro úspěšnou instalaci budete potřebovat instalační disk CD-ROM Se systémem Windows XP Professional a „čistý" počítač. 1. V systému BIOS počítače je nutné nastavit následující posloupnost spouštěcích za řízení: • Jednotka CD-ROM • Pevný disk Samotné nastavení vždy záleží na typu systému BIOS, proto je není možné jednoduše a univerzálně popsat. Podrobné informace naleznete v příručce dodané k počítači, případně k základní desce. 2. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows XP Professional a restartujte nebo zapněte počítač. 3. Instalace systému by se měla automaticky spustit. Pokud k tomu nedojde, ověřte znovu pořadí spouštěcích zařízení. Pokud již byl v počítači dříve nainstalován nějaký operační systém, může se stát, že bude systém pro instalaci z disku CDROM vyžadovat stisk libovolné klávesy. 4. Spustí se textový režim instalace a zobrazí se obrazovka s nadpisem Instalační program systému Windows XP Professional. 5. Na obrazovce Vítá vás instalační program stiskněte klávesu Enter. 6. Na obrazovce Licenční smlouva systému Windows XP potvrďte stiskem klávesy F8 souhlas s uvedenými podmínkami. Poznámka Před stiskem klávesy F8 si licenční smlouvu dobře přečtěte. Pokud s ní nebudete souhlasit, stiskněte klávesu Esc a instalace se přeruší.


14

Obrázek 2.1 Dialogové okno Instalační program systému Windows XP Professional

Obrázek 2.3 Vytvoření oddílů na pevném disku během instalace


15

Obrázek 2.2 Licenční smlouva systému Windows XP

7. Na další obrazovce je nutné vytvořit, případně upravit strukturu pevného disku. Stiskněte klávesu C. Budete tak moci vytvořit oddíl pro instalaci operačního systému. 8. V části Vytvořit oddíl o velikosti (MB) je zobrazená maximální dostupná velikost pevného disku. Tuto hodnotu ponechejte a stisknutím klávesy Enter pokračujte v instalaci.

Obrázek 2.4 Definice velikosti vytváření oddílu na pevném disku

9. V seznamu oddílů by měl být označen právě vytvořený oddíl jako C:. Pokud ne-n i , označte jej, a poté klepněte na klávesu Enter.


16

Obrázek 2.5 Oddíl, do kterého proběhne instalace systému Windows XP Professional


17

10. V dalším dialogu můžete vybrat systém souborů, kterým bude oddíl naformátován. Pokud nemáte pochybnosti o kvalitě povrchu disku, označte položku Zformátovat oddíl systémem souborů NTFS (Rychle) - ušetříte si čas. Pokud máte po chybnosti, označte položku Zformátovat oddíl systémem souborů NTFS. V takovém případě dojde při formátování k fyzické kontrole povrchu a případné vadné bloky se vyřadí z používání. Proběhne naformátování oddílu a poté začne ko pírování souborů do instalační složky systému Windows XP Professional. Poznámka Systém Windows 2000 Professional neumožňuje při instalaci systému provést rychlé formátování oddílu. První možnost tedy není k dispozici.

11. Po zkopírování souborů dojde k restartování systému a instalace bude pokračovat v grafickém režimu. 12. V dialogovém okně Místní a jazykové nastavení v případě nutnosti upravte na stavení národního prostředí a klávesnice a klepněte na tlačítko Další. 13. V dialogovém okně Kód Product Key zadejte kód pro instalaci operačního systému a poté klepněte na tlačítko Další. 14. V dialogovém okně Přizpůsobit software zadejte jméno uživatele a název organizace, která operační systém licencuje. 15. V dialogovém okně Název počítače a heslo správce zadejte název počítače (například PC001) a heslo správce (například K@f!cko). Pokračujte klepnutím natlačítko Další. Obrázek 2.6 Grafický režim instalace systému Windows XP Professional

Obrázek 2.7 Konfigurace místního a jazykového nastavení


18

Obrázek 2.8 Zaclání kódu Product Key při instalaci systému

Obrázek 2.9 Dialogové okno přizpůsobení softwaru


19

Poznámka Počítačům nikdy nedávejte názvy podle jmen lidí, kteří s nimi pracují. Dříve či později se stane, že někteří pracovníci odejdou, jiní do firmy přijdou nebo si prostě jen vymění pracovní místa mezi sebou. V takovém případě mohou být názvy počítačů matoucí. Je optimální připravit si řadu názvů počítačů a postupovat podle ní.

Obrázek 2.10 Zadání názvu počítače a hesla správce

16. V dialogovém okně Nastavení data a času zadejte aktuální datum, čas a vyberte správné časové pásmo. Pokračujte klepnutím na tlačítko Další. 17. V dialogu Nastavení sítě zaškrtněte políčko Vlastní nastavení a poté klepněte na tlačítko Další. 1 8 . V dialogu Síťové součásti vyberte položku Protokol sítě Internet (TCP/IP) a poté klepněte na tlačítko Vlastnosti. 19. V dialogovém okně Protokol sítě Internet (TCP/IP) —vlastnosti zadejte adresu IP 192.168.10.17 a masku podsítě 255.255.255.0. Ostatní hodnoty nezadávejte a klepněte na tlačítko OK. Pokračujte klepnutím na tlačítko Další. Poznámka Můžete zadat i jinou adresu IP. Informace o použití právě této adresy a další informace o protokolu TCP/IP a adresování serverů a počítačů naleznete v kapitole 3, „Učíme počítače komunikovat v síti".

20. V dialogovém okně Pracovní skupina nebo doména počítače ponechejte vý-chozí nastavení (tj. zaškrtnuté políčko Počítač není připojen k síti nebo je připojen k síti bez domény a bude členem následující skupiny SKUPINA) a klepněte na tlačítko Další.


20

Obrázek 2.11 Nastavení protokolu IP

Průvodce instalací systému Windows XP Professional má nyní dostatek informací k tomu, aby provedl úplnou instalaci samotného systému. Nyní již nebude nutné zadávat žádné další informace a po dokončení instalace dojde k restartování počítače.

Instalace ovladačů zařízení l'o prvním přihlášení k systému Windows XP Professional pod účtem Administrátor klepněte v Nabídce Start pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce na položku Vlastnosti. V dialogovém okně Vlastnosti systému přejděte na kar tu Hardware a klepněte na tlačítko Správce zařízení. Zobrazí se dialogové okno Správce zařízení se seznamem nainstalovaného hardwaru. Obrázek 2.13 Správce zařízení se seznamem hardwarových zařízení

Pokud budou některá zařízení zobrazena s otazníkem či vykřičníkem, není jejich instalace v pořádku. Pravděpodobně nebyl v systému k dispozici správný ovladač. Na takto označené zařízení klepněte pravým tlačítkem myši a zvolte příkaz Aktualizovat ovladač. Spustí se Průvodce aktualizací hardwaru, jemuž je nutné poskytnout správný ovladač. Po správné instalaci ovladače by měl otazník u zařízení zmizet.

Ověření správné funkce systému Při základním ověření správné instalace a funkcí systému postačuje náhled na události po-mocí nástroje Prohlížeč událostí. V Nabídce Start klepněte na položku Ovládací pa-nely, poté na kategorii Výkon a údržba, dále na ikonu Nástroje pro správu a poté poklepejte na ikonu Prohlížeč událostí. Projděte všechny uvedené protokoly a zjistěte, zda neobsahují závažné chyby související s funkcí systému.

Ověření připojení k síti Vnabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz CMD. Spus-tí se příkazový řádek systému Windows XP Professional. Na příkazovém řádku zadejte příkaz PING na adresu IP serveru nainstalovaného v předchozí kapitole (tedy PING 192.168.10.2). Pokud bude test úspěšný, zadejte příkaz PING SRVR001, tedy test PING na název počítače. I ten by měl být úspěšný.


21

Obrázek 2.12 Konečná fáze instalace systému Windows XP Professional

Uvedené tři jednoduché testy by měly postačovat k ověření správné funkce počítače předtím, než spustíte instalaci aplikací. Pokud se během nich vyskytnou jakékoli chyby či nejasnosti, nepokračujte dále, dokud je neodstraníte.

Automatická instalace systému Řekněme, že předchozí instalace operačního systému Windows XP Professional trvala přibližně 45 minut. Během instalace bylo nutné zadat několik důležitých informací, bez kterých by instalace nemohla pokračovat, včetně například souhlasu s licencí. Zamysleli jste se někdy nad tím, proč trávit u instalace počítače zbytečný čas, když čas nutný pro poskytnutí informací lze vyčíslit jednotkami minut? Samotnou instalaci zřejmě nezkrátíme, ale své odpovědi bychom mohli poskytnout instalačnímu programu a průvodci instalací systému Windows XP Professional najednou. Půjde to? Odpověď je naštěstí pozitivní. Ano, půjde to. Veškeré odpovědi a informace zapíšeme do jednoduchého textového souboru, který poté vnutíme instalačnímu programu jako parametr. U počítače tak bude nutná pouze chvilková přítomnost při spuštění instalace systému. Poté lze zbývající čas využít rozumněji než pouhým sledováním nic neříkajícího průběhu instalace. Jak má ale takový textový soubor vypadat? Takzvaný soubor odpovědí má přesně definovaný formát sestávající z oddílů, klíčů a jejich hodnot. Všechny oddíly, příslušné klíče a možné hodnoty jsou popsané v souborech nápovědy na instalačním disku CD-ROM se systémem Windows XP Professional. To je sice v pořádku, ale začít vytvářet soubor na zelené louce, byť podle této nápovědy, není jednoduchá ani rychlá věc. V tomto ohledu na správce společnost Microsoft myslí již od systému Windows 2000 Professional a nabízí pro tento účel nástroj Správce instalace.

Příprava souboru odpovědí Soubor odpovědí, který po vytvoření použijeme k instalaci zbývajícího počtu klientských počítačů, vytvoříme podle následujícího postupu. Upozorňuji, že příprava souboru může proběhnout v počítači, který nemusí mít nutně nainstalován systém Windows XP Professional. 1. Na jednotce C: vytvořte složku s názvem DEPLOY. 2. Do jednotky CD-ROM vložte disk CD-ROM se systémem Windows XP Professio nal. Přejděte do složky Support\Tools a poklepejte na soubor DEPLOY. Zobrazí se jeho obsah - celkem 10 souborů. Poznámka Soubor DEPLOY má úplný název DEPLOY.CAB. Známé přípony jsou však v systému Windows XP Professional (i v systémech Windows 2000) skryté. Pokud je chcete zobrazovat, klepněte v nabídce Nástroje okna aplikace Průzkumník Windows na položku Možnosti složky a na kartě Zobrazení zrušte zaškrtnutí políčka Skrýt příponu souborů známých typů.


22

Obrázek 2.14 Dialogové okno Možnosti složky

3. Stiskem kombinace kláves Ctrl+A označte všech 10 souborů a v nabídce Soubor klepněte na příkaz Extrahovat. 4. V dialogovém okně Vyberte místo určení, rozbalte položky Tento počítač a Místní disk C: a klepněte na složku DEPLOY vytvořenou v prvním kroku. 5. Extrakci provedete klepnutím na tlačítko Extrahovat. 6. Ve složce DEPLOY na jednotce C: poklepejte na soubor Setupmgr (nebo Setupmgr.exe, pokud jste zapnuli zobrazování přípon). Spustí se nástroj Správce instalace systému Windows, jehož první fází je Průvodce Správcem instalace systému Windows. Průvodce spustíte klepnutím na tlačítko Další. Obrázek 2.15 Úvodní dialogové okno Průvodce Správcem instalace systému Windows


23

7. V dialogovém okně Nový nebo existující soubor odpovědí ponechte zaškrtnuté políčko Vytvořit nový soubor odpovědí a klepněte na tlačítko Další. 8. V dialogovém okně Produkty určené k instalaci ponechte zaškrtnuté políčko Bezobslužná instalace systému Windows a klepněte na tlačítko Další. 9. V dialogovém okně Platforma ponechte zaškrtnuté políčko Systém Windows XP Professional a klepněte na tlačítko Další. 10. V dialogovém okně Úroveň interakce s uživatelem zaškrtněte políčko Plně automatická instalace a klepněte na tlačítko Další Obrázek 2.16 Dialogové okno Úroveň interakce s uživatelem

11. V dialogovém okně Distribuční složka klepněte na políčko Tento soubor bude použit k instalaci z disku CD-ROM a poté klepněte na tlačítko Další. 12. Nyní již začínají odpovědi a poskytování informací instalačnímu programu. V dialogovém okně Licenční smlouva zaškrtněte políčko Souhlasím s podmínkami licenční smlouvy a poté klepněte na tlačítko Další. Poznámka Tento krok bude při instalaci systému Windows XP Professional simulovat stisk klávesy F8 jako souhlas s licencí.

13. V části Upravovat software zadejte jméno uživatele a název organizace, která produkt licencuje. Můžete zadat jména jako v předchozí instalaci (Jaroslav Hluboký a Studny s.r.o.). Pokračujte klepnutím na tlačítko Další. Poznámka Vyvarujte se zadání jména uživatele Administrátor. Systém Windows XP Professional toto jméno neuznává a jeho automatická instalace by se tak zastavila.

14. V části Nastavení monitoru zadejte počet barev, velikost obrazu a horizontální frekvenci monitoru cílového počítače. Pozor - aby se tato nastavení uplatnila, musí mít Správce instalace systému Windows XP Professional k dispozici ovladač pro grafický adaptér instalovaného počítače! Pokračujte klepnutím na tlačítko Další. 15. V části Časové pásmo zadejte správné časové pásmo (GMT + 01:00) Praha, Bratislava, Budapešť, Bělehrad, Lublaň. Pokračujte klepnutím na tlačítko Další. 16. V části Podskytování kódu Produkt Key (zde je chybička v systému) zadejte kód Produkt Key ze zadní strany obalu disku CD-ROM se systémem Windows XP Pro fessional a klepněte na tlačítko Další. 17. V části Názvy počítačů zadejte název počítače, který budete instalovat (PC002) a klepněte na tlačítko Přidat. Pokračujte klepnutím na tlačítko Další. 18. V části Heslo správce zadejte dvakrát heslo K@f!cko a zaškrtněte políčko Zašifrovat heslo správce v souboru odpovědí. Pokračujte klepnutím na tlačítko Další. 19. V části Síťové součásti zaškrtněte políčko Vlastní nastavení, poté klepněte na položku Protokol sítě Internet (TCP/IP) a dále klepněte na tlačítko Vlastnosti. Zaškrtněte políčko Použít adresu IP a zadejte adresu 192.168.10.18 a masku podsítě 255.255.255.0. Ostatní položky ponechte ve výchozím nastavení. Klepnutím na tlačítko OK zavřete dialogové okno Vlastnosti protokolu sítě Internet (TCP/IP) a pokračujte klepnutím na tlačítko Další. 20. V části Pracovní skupina nebo doména ponechte výchozí nastavení s názvem SKUPINA a klepněte na tlačítko Další. 21. V části Telefonní subsystém ponechte výchozí nastavení a klepněte na tlačítko Další. 22. V části Místní nastavení ponechte výchozí nastavení a klepněte na tlačítko Další. 23. V části Jazyky klepněte na položku Středoevropské jazyky a poté klepněte na tlačítko Další. 24. V části nastavení prohlížeče a prostředí použijte nastavení odpovídající svému prostředí. Pokud si nejste nastavením jisti, zaškrtněte položku Použít výchozí nastavení aplikace Internet Explorer. Poté klepněte na tlačítko Další. 25. V části Instalační složka zaškrtněte políčko Následující složka a zadejte název složky Windows. Zajistíte tak konzistenci s dříve nainstalovaným počítačem. Pokračujte klepnutím na tlačítko Další. 26. V části Instalovat tiskárny klepněte na tlačítko Další. 27. V části Spustit jednou klepněte na tlačítko Další.


24

28. V části Další příkazy klepněte na tlačítko Dokončit a v dialogovém okně Správce instalace systému Windows zadejte, případně upravte, cestu a název složky, ve které bude soubor odpovědí vytvořen. Můžete ponechat výchozí na stavení směrované do složky C:\DEPLOY s názvem unattend.txt. Poté klepněte na tlačítko OK. 29. Nyní je soubor vytvořen a uložen. Průvodce ukončíte klepnutím na křížek v pravé horní části okna. V aplikaci Průzkumník Windows nyní přejděte do složky DEPLOY na jednotce C: a ote řete soubor unattend.txt. Projděte si seznam vygenerovaných oddílů, klíčů a jejich hod-not, Pokud naleznete překlep či jinou nepřesnost, můžete ji přímo v souboru opravil. Pře klepy bývají častou chybou, která mívá za následek zastavení instalace a čekání na zadá ní správné hodnoty. Spolu se souborem unattend.txt se také vytvořil soubor unattend.bat. Ten můžete s čis-ty m svědomím odstranit, neboť jej nebudeme k ničemu potřebovat.

Použití souboru odpovědí pro automatickou Instalaci dalšího počítače V předchozí části jsme vytvořili soubor odpovědí, který plně postačuje pro úplnou automatickou instalaci systému Windows XP Professional do jednoho počítače. Otázkou zůstává, jak tento soubor vnutit jako parametr instalačnímu programu. Jak jste se mohli přesvědčit při instalaci předchozího počítače, není v žádném místě možné instalaci přerušit a poté ji pomocí nějakého příkazu zase znovu spustit. Při instalaci Z disku CD-ROM to tedy nebude nijak jednoduché. Ani v případě, kdy ke spuštění instalace použijete takzvané spouštěcí diskety, nebude situace jiná. Spouštěcí diskety, které je v případě systému Windows XP Professional nutné stáhnout z Internetu, nahrazují pouze nemožnost spouštění počítače z jednotky CD-ROM, ale jinak mají průběh naprosto stejný se spuštěním a instalací z disku CD-ROM. Nástroj pro vytvoření spouštěcích disket pro systém Windows XP Professional (jazykové verze CZ a EN) naleznete na přiloženém disku CD-ROM. Pro úspěch zamýšlené akce je nutné znát menší trik: 1. V systému BIOS nového počítače nastavte následující pořadí zařízení pro spuštění počítače: • Jednotka CD-ROM • Pevný disk • Disketa (nebo jiné zařízení) 2. Soubor unattend.txt přejmenujte na WINNT.SIF a uložte jej na prázdnou disketu. Pokud disketa obsahuje soubory či složky, je možné ji použít, soubor WINNT.SIF však musí být vždy uložen v její kořenové složce. 3. Disketu vložte do disketové jednotky, do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows XP Professional a spusťte nebo restartujte počítač. Při spuštění počítače z instalačního disku CD-ROM se instalační program „podívá" do disketové jednotky, zda je v ní disketa se souborem WINNT.SIF. Pokud ano, soubor načte a bude se jím při instalaci řídit. Pokud ne, proběhne běžná instalace systému. Po dokončení instalace vyjměte disketu z disketové jednotky. Poznámka U systému Windows 2000 Professional lze postupovat identicky, s tím rozdílem, že soubor odpovědí vytvořený Správcem instalace neobsahuje klíč ProductID s kódem Product Key. Pokud tedy chcete, aby byla instalace plně automatická, je nutné soubor odpovědí upravit následujícím způsobem:

1.

Soubor odpovědí otevřete v aplikaci Poznámkový blok. Do oddílu [UserData] obsahujícího jméno uživatele a název organizace a počítače přidejte položku ProductID=12345-12345-12345-12345-12345 (uvedený příklad kó du je z pochopitelných důvodů neplatný). Poznámka Úplný popis všech oddílů, klíčů a dalších parametrů naleznete v souboru Deploy.chm v části Odkaz a je pouze v angličtině.


25

Instalace systému ve větších sítích Pokud jste si pečlivě prošli, případně vyzkoušeli, postup automatické instalace systému Windows XP Professional, možná vás napadla otázka, jak by se vše dalo využít při instalaci více počítačů, když je soubor odpovědí určen pro jediný počítač (obsahuje jedinečné parametry, jako je název počítače, kód Product Key či adresu IP). Jistě, jedním řešením je připravit tolik souborů odpovědí, kolik se bude instalovat počítačů. To je však ve větších prostředích záležitost velmi nesystémová, u které navíc může dojít k omylům či nepřesnostem, jež se projeví v tu nejnevhodnější dobu - tedy při instalaci. Pojďme se na „jedinečné" parametry podívat podrobněji.

Kód Product Key Pokud provádíte automatickou instalaci z „krabicových" médií se systémem Windows XP Professional, je opravdu nutné zajistit, aby každý počítač měl jedinečný kód Product Key. V opačném případě se nejdéle po 30 dnech od instalace setkáte s potížemi při aktivaci produktu. V takovém případě je tedy kód Product Key nutné považovat za jedinečný pani metr. Pokud jste získali instalační média se systémem Windows XP Professional v rámci některého z multilicenčních programů společnosti Microsoft, musíte k nim mít i jediný univerzální kód Product Key. V takovém případě se tento kód použije k instalaci všech počítačů a není jej tedy nutné považovat za jedinečný parametr.

Název počítače Název počítače je zcela jasně jedinečným parametrem, který musí být při každé instalaci jiný. To je nutné při automatické instalaci vždy zohlednit.

Adresa IP Adresa IP je na tom stejně jako název. Jedná se o jedinečný parametr instalace, který se nemůže v síti vyskytovat více než jedenkrát. Výjimku tvoří případ, kdy by počítače již bě-hem instalace získávaly adresu IP od serveru DHCP.

Ostatní parametry Parametrů, které se mohou (ale nutně nemusí) lišit, je celá řada. Například adresy IP ser-veru DNS, jiné nastavení serveru proxy pro aplikaci Internet Explorer, jiné nastavení ve-likosti obrazu, počtu barev či horizontální frekvence monitoru a další. K těmto parame trum se tedy dá přistupovat podobně jako k názvu či adrese IP počítače. Jakým způsobem se tedy toto všechno dá zohlednit v automatické instalaci? Odpovědí je soubor UDF.

Jedinečný databázový soubor UDF Na úvod jedna důležitá informace. Následující postup nelze použít při automatické instalaci z disku CD-ROM. V takovém případě opravdu nelze jedinečnost parametrů zajistit jinak než vytvořením souboru odpovědí pro každý počítač. Soubor UDF lze použít pro automatickou instalaci operačního systému po síti nebo obecně tam, kde lze spustit instalační program spolu s parametry na příkazovém řádku. Při instalaci po síti je nutné se vyrovnat s několika změnami oproti instalaci z disku CD-ROM. Patří sem: • Nutnost vytvořit v síti sdílenou složku s instalačními soubory systému Windows XP Professional (tedy s obsahem složky i386 z instalačního disku CD-ROM). Počítači s touto složkou se říká distribuční server. • Spustit cílový počítač ze spouštěcí diskety systému MS-DOS. • Vytvořit a naformátovat v cílovém počítači oddíl o velikosti alespoň 1 GB. • Spustit v cílovém počítači síťového klienta pro systém MS-DOS a pomocí příkazu net u s e se připojit ke sdílené složce s instalačními soubory. Poznámka Síťový klient pro systém MS-DOS je k dispozici na instalačním disku CD-ROM se systémem Windows NT 4.0 Server.

Pokud všechny kroky úspěšně překlenete, přichází na řadu spuštění instalace s jedním či dvěma parametry (nejčastější případy). Tím prvním parametrem je pochopitelně soubor odpovědí, druhým (volitelným) parametrem je jedinečný databázový soubor UDF (Uni-queness Database File). Soubor UDF má stejnou strukturu jako běžný soubor odpovědí. Navíc obsahuje oddíl [ U n i q u e l D s ] s jedinečnými identifikátory instalovaných počítačů, a dále obsahuje pro každý počítač (tedy pro každé jedinečné ID) pouze ty parametry, které se oproti souboru odpovědí musí změnit. Příklad souboru UDF pro počítač PC003, který bude mít jiný název, jinou adresu IP, jinou horizontální frekvenci monitoru (70 Hz) a jinou barevnou hloubku (32bitovou) a pro počítač PC004, který bude mít oproti počítači PC002 pouze jiný název a adresu IP: [UniquelDs] PC003=UserDat a , Display, p a r a m s . M S _ T C P I P . Adapter 1 PC004=UserData,params.MS_TCPIP.Adapterl [ P C 0 0 3 : U s e r D a t a ] ComputerName=PC003


26

[PC03:Display]

Vrefresh=70 BitsPerPel=32 [ PC003:params.MS_TCPI P . Adapter 1] IPAddress=192.168.10.19 [ PC004: U s e r O a t a ] ComputerName=PC004 [ I P C00 4: pa ra ms. MS _ TCPI P.A dap te rl] [ l P A d d r e s s = 1 9 2 . 1 6 8 . 1 0 . 2 0 ]

Použití souboru UDF je jednoduché. V případě instalace počítače PC003 či PC004 se použijí všechny informace uvedené v souboru odpovědí s výjimkou těch, které jsou pro počítač PC003 definované v souboru UDF (neboli parametry uvedené v souboru UDF mají prioritu nad parametry v souboru odpovědí). Syntaxe instalačního programu WINNT.EXE bude se všemi parametry v případě instalace počítače PC003 následující (předpokládejme, že soubor odpovědí má název unattend.txt a soubor UDF název unattend.udf a že jsou oba uložené na disketě): WINNT.EXE

/u:a:\unattend.txt

/ u d f :pc003,a:\unattend.udf

Při instalaci počítače PC004 bude syntaxe velmi podobná: W INNT.EXE

/ u: a:\unattend.t xt

/ udf: pc 004,a:\unattend.udf

Shrnuto a podtrženo budete například pro instalaci 100 počítačů po síti potřebovat pou-Ze 2 textové soubory — první s odpověďmi, druhý s výjimkami pro jednotlivé počítače. Pro automatickou instalaci z disku CD-ROM ale budete potřebovat 100 souborů odpovědí. I'o/orným správcům nyní ještě může hlavou vrtat jedna věc - jak bylo uvedeno dříve, je při instalaci v síti nutné nejprve spustit počítač ze spouštěcí diskety systému MS-DOS, pole vytvořit a naformátovat oddíl o velikosti alespoň 1 GB, a teprve potom je možné spustit instalaci. V takovém případě je ale jisté, že vytvořený oddíl bude naformátován systémem FAT. Znamená to, že po dokončení instalace budou v počítači dva oddíly C: a D: stím, že oddíl C: bude zabírat 1 GB místa na disku a bude zformátován systémem FAT, zatím co dalším oddílem až do konce disku bude oddíl D: zformátovaný NTFS? V souladu s dříve uvedenými informacemi by bylo ideálním řešením, aby po dokončení Instalace na disku existoval jediný oddíl C: zabírající celou kapacitu disku a zformátovaný lystémem NTFS. Ačkoli se to zdá téměř nemožné, lze to zajistit. A to poměrně jednoduše. Do oddílu [Unattended] souboru odpovědí stačí pouze přidat následující dva řádky: FileSystem=ConvertNTFS Extend0EMPartition=1

První z nich zajistí převedení vytvořeného oddílu na systém souborů NTFS, druhý z nich jej rozšíří na velikost celého fyzického disku.

Aktivace systému Samozřejmě ani u klientských operačních systémů Windows XP Professional nelze vynechat nutnost aktivace. Ta se však vztahuje pouze na „krabicové" verze systému. Pokud tedy chcete instalovat více počítačů najednou, nelze použít stejný kód Product Key, neboť by to při aktivaci produktu vypadalo jako jediný systém nainstalovaný ve více počítačítačích, což je v rozporu s licenční smlouvou, se kterou musíte před spuštěním instalace souhlasit. Aktivaci naopak nevyžadují verze systému Windows XP Professional zakoupené prostřed nictvím multilicenčního programu nebo programu Select. V těchto případech má každá společnost či organizace pro všechny instalace jediný kód Product Key. Systém lze aktivovat pomocí Internetu (což je nejrychlejší a nejjednodušší řešení) nebo pomocí telefonu. Pokud chcete provést aktivaci automaticky již během instalace systému, je nutné na to pamatovat na několika úrovních: 1. Systém musí mít během instalace přístup k Internetu. Zejména pokud pro přístup k Internetu používáte server proxy, je nutné jej zadat do souboru odpovědí. 2. Soubor odpovědí musí obsahovat záznam, který zajistí automatickou aktivaci systému. 3. Soubor odpovědí musí obsahovat klíč UnattendSwitch. První případ lze vyřešit přidáním klíčů HTTP_Proxy_Server = http: //proxyserver: port, kde proxyserver je názvem počítače plnícího roli serveru proxy a port je číslo portu serveru proxy, Proxy_Enable = 1 a Proxy_Override = l o c a l do oddílu [Proxy]. Druhý případ lze vyřešit přidáním klíče A u t o A c t i v a t e = Yes do oddílu [ U n a t t e n d e d ] , ve třetím případě se do oddílu [ U n a t t e n d ] přidá klíč UnattendSwitch = Y e s . Poznámka Přidání zmíněných klíčů ještě nezajistí, že aktivace opravdu proběhne. Zabránit aktivaci mohou například potíže počítače s připojením k Internetu nebo chybné nastavení sítě.

Závěr Klientem je v síti počítač využívající služeb serverů. Postup instalace klientských počítačů je až na operační systém velmi 27 Mistrovství v Microsoft Windows Server 2003

podobný postupu u serverů podle předchozí kapitoly. Navíc, vzhledem k tomu, že se u klientských počítačů dá předpokládat téměř stejná konfigurace, je možné s výhodou využívat automatické instalace, a tam, kde je to výhodné, instalace duplikováním disků. Pokud chcete použít automatickou instalaci z disku CD-ROM, je nutné, aby měl soubor odpovědí název winnt.sif a byl uložen v kořenové složce diskety, která bude v okamžiku spouštění počítače v disketové jednotce. Při automatické instalaci většího počtu počítačů po síti je vhodné použít jedinečný databázový soubor. Vyhnete se tak nutnosti vytvářet pro každý počítač vlastní soubor odpovědí. Jedinečný databázový soubor UDF obsahuje klíče a hodnoty, které se liší od klíčů a hodnot uvedených v souboru odpovědí, a jež mají při instalaci přednost. Do 30 dnů po instalaci systému je nutné provést aktivaci produktu (v případě instalace systému z „krabicového" média). V opačném případě nebudete moci systém používat.

Stav sítě V síti jsou nyní nainstalované všechny klientské počítače a pomocí nástroje PING je vyzkoušena síťová komunikace mezi nimi a serverem.


28

Učíme počítače komunikovat v síti l'ři nákupu počítačů pro potřeby společnosti se dnes již automaticky předpokládá, že bude nutné, aby komunikovaly v síti. Tento předpoklad má samozřejmě svůj důvod - je nutné mít přístup k prostředkům v síti, ať se jedná o složky s firemními dokumenty, obrázky či jinými důležitými informacemi nebo například o tisk na síťové tiskárny. Do standardní výbavy každého nového počítače tak dnes j iž patří hardwarové zařízení, které počítač nutně potřebu je ke správné komunikaci. To se týká dokonce i přenos ných počítačů. Toto zařízení - síťový adaptér - je ale pouze nutnou podmínkou pro připojení počítače k síti, samotný však k plné spokojenosti nestačí. Zajišťuje fyzické připojení počítače a přenos elektrických signálů. Vedle toho ještě musí exis-tovat další součásti, které poskytuje pouze tzv. síťový operační systém. Tím je z dílny společnosti Microsoft každý operační systém Windows od verze Windows 3.11 for Workgroups. Jednou z nejdůležitějších softwarových součástí je tzv. protokol.

Co je to protokol? Pokud půjdete po ulici a osloví vás například turista hovořící pro vás zcela neznámou řečí, budete jistě v první chvíli překvapeni a poté ze sebe možná dostanete pár slov či posunků, které pro něj budou znamenat, že jeho řeči nerozumíte a nejste mu tedy schopni nijak pomoci. Aby taková komunikace proběhla úspěšně, museli byste jeho ře-či jednak rozumět a jednak se také v jeho řeči vyjádřit, aby i on porozuměl vám. Případně byste mohli oba začít hovořit česky, což se zase na druhou stranu od cizích turistů v Čechách očekávat nedá. Zkrátka - oba byste museli mluvil stejným jazykem. Komunikace počítačů probíhá velmi podobným způsobem. Jazyku, který počítače mezi sebou používají, se v jejich případě říká komunikační protokol, zkráceně protokol. Pokud si mají dva počítače povídat a navzájem si rozumět, je nutné, aby používaly stejný protokol. Ten je tak další nezbytnou součástí pro úspěšnou komunikaci v síti. Héliem doby, po kterou se počítače a sítě vyvíjejí, se objevilo více komunikačních protokolů. Některé společnosti definovaly ve svých operačních systémech vlastní protokol, jiné použily takzvaný otevřený protokol. V operačních systémech Windows je od jejich počátku k dispozici protokolů několik. Ne každý se však hodí pro každé prostředí, některé zase mohou být pro určité sítě nutností. První otázkou při implementaci sítě tedy je, který protokol je pro dané prostředí nejvhodnější. Při takovém rozhodování je nutné vzít v úvahu několik náležitostí. Jedná se zejména o odpovědi na následující otázky: • Jak složitá je topologie sítě? • Kolik počítačů bude v síti pracovat? • Bude síť připojena k Internetu? • Jaké operační systémy se v síti vyskytují?

Jaký protokol zvolit? V síťových operačních systémech Windows XP Professional a Windows Server 2003 je k dispozici několik protokolů. Ty se mezi sebou velmi liší (ani by nebylo moudré mít k dispozici více velmi podobných protokolů) a ne všechny lze vždy používat ke stejným účelům. Jednoduše se dá říci, že každý z nich je vhodný pro konkrétní typ sítě společnosti. Na první pohled se může zdát, že nejrozumnějším řešením v případě, že si nejste jisti, který protokol bude pro konkrétní síť nejlepší, je nainstalovat všechny protokoly a v souladu s názorem „ony se už nějak dohodnou" ponechat správnou volbu protokolu a celou komunikaci na počítačích. Rád bych na tomto místě před podobnou úvahou varoval. Pokud byste totiž toto řešení prakticky použili, vystavili byste se zbytečným problémům při odstraňování potíží v případě, že by komunikace v síti neprobíhala podle předpokladů. O zbytečném zatížení sítě ani nemluvě. Předtím, než se pustíte do implementace jakékoli sítě, je nutné vše dobře a s rozmyslem naplánovat. Součástí procesu plánování je samozřejmě i volba vhodného (a pokud možno jediného) protokolu. Dále se podrobněji podíváme na některé protokoly systémů Windows 2000 a vyšších.


29

NetBEUI Protokol NetBEUI (NetBIOS Extended User Interface) je velmi jednoduchým protokolem, který společnost Microsoft začlenila do svého prvního síťového operačního systému v ro-ce 1993. V té době byly počítačové sítě relativně malé a vždy se jednalo o místní sítě LAN (Local Area Network). Taková síť je pro nasazení protokolu NetBEUI optimálním prostředím. Instalace protokolu je velmi rychlá a funkce sítě spolehlivé. Obrovskou výhodou protokolu NetBEUI je možnost používat jej bez jakékoli konfigura-ce. Znamená to, že po jeho instalaci mohou počítače mezi sebou okamžitě komunikovat, a n i ž by bylo potřeba nastavovat jakékoli další parametry. To bylo v počátcích sítí optimální, neboť z pohledu správců byla tehdy síť zcela novou technologií, kterou byli schopni nakonfigurovat velmi rychle bez téměř jakýchkoli znalostí. Navíc se protokol NetBEUI instaloval spolu s operačním systémem Windows jako výchozí protokol a nebylo nutné jej instalovat zvlášť. Postup instalace protokolu NetBEUI se v systému Windows XP Professional oproti předchozím systémům změnil. Protokol již nenajdete na „typickém" místě spolu s ostatními (viz obrázek 3-1). Důvodem této změny je současné prostředí — protokol NetBEUI se již téměř nepoužívá, takže není důvod jej v systému ponechávat. Je k dispozici na instalačním disku CD-ROM se systémem Windows XP Professional. Obrázek 3.1 Protokol NetBEUI mezi nabízenými protokoly k instalaci chybí

Instalace protokolu NetBEUI

Postup jeho instalace je v systému Windows XP následující: 1. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows XP Professional a přejděte do složky D:\VAULEADD\MSFT\NET\NETBEUI (písme no D zde vyžaduje označení jednotky CD-ROM, které může být ve vašem počíta či jiné). 2. Soubor NBF.SYS zkopírujte do složky %systemroot%:\system32\drivers\ a soubor NETNBF.EVF do složky %systemroot%\inf\. 3. Otevřete okno Připojení k místní síti — vlastnosti a k přidání protokolu NetBEt JI použijte tlačítko „Nainstalovat...". Mezi nabízenými protokoly nyní bude zobra zena položka Protokol NetBEUI. Poznámka Pokud nejsou zobrazené přípony souborů, resp. ve složce WINDOWS nevidíte složku INF, klepněte v okně Průzkumník Windows v nabídce Nástroje na položku Možnosti složky. Na kartě Zobrazení poté zrušte zaškrtnutí políčka Skrýt příponu souborů známých typů, resp. zaškrtněte políčko Zobrazovat skryté soubory a složky.

Podstatnou nevýhodou protokolu NetBEUI je z dnešního pohledu nemožnost směroval jej mezi sítěmi. Znamená to, že pokud má vaše společnost větší síť (řádově stovky počí-taču nebo více poboček), nebude možné protokol NetBEUI používat, neboť nemusíte mu přístu p ke všem počítačům. Ještě větší praktickou a „viditelnou" nevýhodou je však v sou-ladu s nesměrovatelností protokolu nemožnost připojit síť založenou na protokolu NetBEUI k Internetu. Proto se v praxi s protokolem NetBEUI setkáte již jen výjimečně a pokud zvažujete, který protokol v síti používat, protokolu NetBEUI se z těchto důvodů raději vyhněte. Nevýhody zde již dnes výrazně převažují nad výhodami.


30

TCP/IP Protokol TCP/IP byl vyvinut v roce 1970 pro testovací síť amerického ministerstva obrany známou jako ARPANET, která se později rozrostla do dnes známého Internetu. Protokol TCP/IP používaly již od svého uvedení také operační systémy UNIX. Přetrvání protokolu TCP/IP v roli dominantního a jediného protokolu sítě Internet je dodnes dostatečně silnou známkou jeho spolehlivosti a funkčnosti. Další výhodou je jeho navržení pro jakékoli počítačové platformy. I systémy řady Windows 2000 a vyšší již používají protokol TCP/IP jako výchozí. To výrazně urychluje instalaci nového systému, neboť po dokončení instalace operačního systému vás již nečekají žádná další restartování počítače, na která bylo nutné si zvykat v předchozích systémech po jakékoli změně v síťových součástech. V porovnání s protokolem NetBEUI je ale nutné protokol TCP/IP nakonfigurovat. To lze provést již během instalace systému nebo kdykoli poté. V praxi se spíše využívá druhá varianta, tedy pozdější instalace. Jednak během instalace nemusí být jasno o konkrétních parametrech, případně nemusí být jasno o přesné roli počítače. Navíc instalaci operačního systému ve většině případů provádí externí společnost nebo pracovník, který nemá o konfiguraci protokolu žádné informace. Správná konfigurace vyžaduje znalosti adresování protokolu IP, vytváření podsítí, znalosti dalších služeb v síti, které s protokolem TCP/IP spolupracují, případně znalost nástrojů pro odstraňování potíží. Jedná se o velice rozsáhlé téma, které by vydalo na samostatnou knihu (mnoho jich již také vyšlo). Znamená to, že návrh konfigurace protokolu TCP/IP pro konkrétní síť by měl provést odborník, u kterého máte jistotu, že na nic nezapomene a že jeho návrh bude odpovídat standardům. Další informace pro konfiguraci našeho prostředí naleznete dále v této kapitole. Nespornou výhodou protokolu TCP/IP je jeho směrovatelnost, což v praxi znamená, že se s jeho pomocí můžete dostat do libovolné vzdálené sítě (za předpokladu, že jste k ní připojeni). Síť založená na protokolu TCP/IP tedy není ve svém růstu protokolem nijak omezena. Dostatečným důkazem tohoto tvrzení budiž každodenní práce s Internetem. Velmi často se o pojmu TCP/IP mluví jako o jednom protokolu. Pravdou však je, že TCP/IP je celá sada protokolů, která se skládá z několika vrstev. Pro běžnou práci správce však není znalost těchto podrobností nutně důležitá. Jako příklad protokolů, jež jsou Součástí sady TCP/IP, z nichž s některými jste se již setkali; lze uvést protokoly ICMP, [GMP, IP, TCP, UDP, HTTP, FTP, SMTP, SNMP, POP3, IMAP4 či NNTP. Protokol TCP/IP je jednoznačně fenoménem dnešní doby mezi síťovými protokoly a lze jej jedině doporučit. I v malé síti je pro případ dalšího růstu (se kterým musí z principu počítat každá společnost) vhodné nasadit ihned protokol TCP/IP i za cenu nutné konfigurace.

NWLink Když společnost Novell vyvinula svůj operační systém Novell NetWare, opatřila jej pro komunikaci v síti vlastním protokolem IPX/SPX (Internetwork Packet Exchange/Sequen-ced Packet Exchange). Ten vyvinula sama pouze pro své systémy, nikdy nezveřejnila jeho podrobnosti a navždy zůstal pouze jejím vlastnictvím. Při vývoji síťových operačních systémů Windows kladla společnost Microsoft mj. důraz na spolupráci svých síťových klientů se systémy NetWare společnosti Novell. Původně se obě společnosti dohodly, že klienta pro přístup k prostředkům systému NetWare, který bude součástí systému Windows, vytvoří společnost Novell. Poté, co k naplnění tohoto záměru nedošlo, stál před společností Microsoft problém: Jak vyřešit komunikaci vlastních klientů s protokolem NetBEUI nebo TCP/IP s klienty se systémem NetWare s protokolem IPX/SPX? Výsledkem je vlastní implementace protokolu IPX/SPX, kterou společnost Microsoft nazvala v systémech Windows 2000 a vyšších NWLink. Nové verze systémů Novell NetWare již obsahují protokol TCP/IP. V takovém případě padá nutnost zabývat se nasazením protokolu NWLink po boku protokolu IPX/SPX, což si-tuaci výrazně usnadňuje a zejména činí přehlednější. ()dpověď na otázku, jaký protokol zvolit, se tedy zdá jednoznačná. Pokud chcete mít spolehlivou síť, používáte systémy Windows, nechcete zbytečně ztrácet čas při případném odstraňování potíží a chcete být připojeni k Internetu, zvolte protokol TCP/IP. Zajistíte si l a k prostředí, které bude rychlé, jednoduše škálovatelné, postavené na stabilních a ověřených technologiích, připravené pro připojení k Internetu a mimo jiné také připravené prozabezpečení komunikace. Jakým způsobem se protokol TCP/IP konfiguruje, jaké nástroje jsou pro konfiguraci k dispozici a jak odstraňovat potíže, je vysvětleno dále.


31

Adresování protokolu TCP/IP Pokud vesvých serverech i klientských počítačích ponecháte protokol TCP/IP ve výchoz í m stavu po instalaci, existuje poměrně velká pravděpodobnost, že komunikace mezi po-čítači bude funkční. Na to se však nelze spolehnout a v prostředí domény stav „dou-fání, že to vyjde" ani nelze doporučit. Konfiguraci protokolu TCP/IP se tedy v žádném případě nevyhnete, na druhou stranu se v malé síti obsahující řádově desítky počítačů ne jedná o nic extrémně složitého. Každý počítač musí mít přiřazenu jedinečnou adresu IP masku podsítě, případně další konfigurační parametry, které jsou popsané dále.

Adresa IP Aby počítač pomocí protokolu TCP/IP komunikoval v síti, musí mít přiřazenu správnou adresu IP, která spadá do zvolené sítě nebo tzv. podsítě. Adresa IP je 32bitové číslo, k l e té se rozděluje na čtyři části po 8 bitech oddělené tečkou (tzv. oktety). Příklady adresy IP: 1. 1.2.3.4 2. 102.13.16.237 3. 216.254.1.18

Pro adresu IP platí následující obecná pravidla: 1. Počítači nelze přiřadit první adresu z vybrané sítě Taková adresa IP neurču je konkrétní počítač, ale označuje síť. 2. Počítači nelze přiřadit poslední adresu z vybrané sítě Tato adresa se použí vá pro tzv. všesměrové vysílání (broadcasting) ve vybrané síti. 3. Každý z oktetů může nabývat hodnoty 0 až 255 Větší číslo se pomocí 8 bitů ani nedá vyjádřit a 0 je také číslo. 4. Adresa IP každého počítače musí být v síti jedinečná Pokud se v síti objeví 2 stejné adresy IP, vznikne konflikt adres. V lepším případě se to uživatel či správ ce počítače dozví ze zobrazeného okna či zapsané události. Oba počítače jsou však vyřazené z činnosti, dokud nebude sjednána náprava. . Pokud vyjdete z uvedených pravidel, lze velmi jednoduše spočítat, pro kolik počítačů je v jedné síti s protokolem TCP/IP místo. Adresa IP může být teoreticky jakákoli adresa z rozsahu 0.0.0.0 až 255.255.255.255. Možností je tedy celkem 232 - 2 = 4 294 967 294. V praxi však existují další omezení, takže výsledný počet počítačů by byl ještě nižší. Najdou se tedy pro vaši síť ještě některé volné adresy IP nebo je nutné věřit internetovým skeptikům, kteří tvrdí, že obor adres IP je již téměř vyčerpán? Odpověď je jednoduchá, i když může vypadat poněkud vyhýbavě, a lze ji uhrát na obě strany - adresy IP pro vaši síť se zcela jistě najdou, i když je celý obor internetových adres IP již téměř vyčerpán. Dalo by se říci, že přesně zde platí pravidlo o vlku, který se nažral a koza zůstala celá. Neveřejné adresy IP Na stav, aby v interních sítích byl vždy k dispozici dostatek adres IP, se myslelo mnohem dříve, než byla nainstalovaná první síť se systémem Windows 2000. Protože se vždy jedná o interní síť, která není propojená s žádnou jinou sítí, lze pro adresování počítačů opakovaně využít stejný rozsah adres IP. Pro různé velikosti interních sítí jsou k dispozici následující neveřejné rozsahy adres IP určené organizací IANA, která odpovídá za přidělování adres IP v Internetu: 1. 10.0.0.0-10.255.255.255 2. 172.16.0.0-172.31.255.255 3. 192.168.0.0-192.168.255.255 Tyto možnosti jsou dostatečné i pro sítě s několika tisíci počítači a zároveň poskytují do-slatečný výběr. Je tedy pouze na vás, kterou podsíť si z nabízených vyberete. Ať si však vyberete jakoukoli, máte téměř stoprocentní jistotu, že už ji někdo někde používá. Protože však nejste s touto „neznámou" sítí propojeni, nemusíte mít žádné obavy. Dokonce se nemusíte obávat ani pozdějšího připojení své sítě využívající nabízené neveřejné rozsahy k Internetu. Pomocí technologií známých jako server proxy nebo překlad síťových adres (Network Address Translation, NAT) to lze poměrně snadno zajistit. Síť zů-Stává v takovém případě před internetovým světem skrytá, přesto s počítači v Internetu komunikují všechny interní počítače, kterým to povolíte. Protože je drtivá většina sítí malých, tj. obsahujících řádově desítky počítačů, bude nejčastější volbou podsíť ze třetího rozsahu. Třetí rozsah nabízí celkem 256 podsítí, přičemž v každé z nich lze adresovat maximálně 254 počítačů (připomínám, že první a poslední adresu IP z daného rozsahu nelze pro adresování počítačů použít). Volba podsítě pro malou síť připomíná ve většině případů loterii. Nevyhneme se jí ani led a pro adresování počítačů zvolíme například podsíť 192.168.10.0/24. Použitelný rozsah adres IP bude tedy 192.168.10.1 až 192.168.10.254. Veřejné adresy IP Velmi zjednodušeně lze říci, že veřejnými adresami IP můžeme nazývat jakékoli adresy, které nejsou neveřejnými, to znamená adresy nespadající do sítí uvedených v předchozím odstavci. Příkladem je adresa 111.112.113.114 nebo 170.180.190.200. Rozhodně to ale není tak, že by se každá neveřejná adresa musela nutně v Internetu používat. Spousta společností má k dispozici 32 Mistrovství v Microsoft Windows Server 2003

dostatečný počet adres IP, ale zatím je nepoužívají. Pokud tedy zjistíte, že se konkrétní adresa v Internetu ještě nepoužívá, neznamená to, že tento stav bude trvat věčně. Nikdy v takovém případě nevíte dne ani hodiny, kdy k jejímu použití může dojít. Z podstaty tvorby adres IP vyplývá, že veřejných adres IP je nesrovnatelně více než neveřejných. To je samozřejmě v pořádku, neboť to odpovídá i reálnému prostředí - Inter-net přece tvoří na celém světě více počítačů než jakoukoli interní síť. Poznámka Pokud budete později připojovat síť k Internetu, nemůžete si veřejné adresy zvolit náhodně podobně, jako jsme to udělali výše s adresami pro naši síť. 0 tyto adresy požádejte svého poskytovatele služeb sítě Internet, který vám jistě vyhoví (při požadavku na malý počet adres zpravidla zdarma).

Neveřejné adresy IP a internet Jak již bylo výše uvedeno, nemusíte se v případě použití neveřejných adres obávat toho, že síť nebude možné připojit k Internetu. Díky technologiím, jako je například překlad sílových adres (NAT), je interní síť před Internetem skrytá, přesněji řečeno skryté jsou používané interní adresy. Taková síť by ani beze změny adresování nešla Internetu otevřít, neboť internetové směrovače neumějí s neveřejnými adresami IP pracovat, a pokud by k n i m dorazil paket IP obsahující jako cílovou adresu některou z neveřejných adres IP ( l e d y například paket vracející se z webového serveru společnosti Microsoft), bez upozornění by jej zahodily a přenos by se nezdařil. Někdo by nyní mohl položit jednoduchou otázku: Když je interní síť před Internetem sk r yt a , není úplně jedno, jakou podsíť si pro její adresování vybereme? Odpověď je v takovém případě jednoduchá. Záleží na tom, zda síť je nebo ji plánujete později připojit k Internetu. Pokud ne, můžete si teoreticky zvolit jakoukoli podsíť. Pokud ano, vyberte si určitě neveřejnou podsíť. V opačném případě síť bude pracovat spolehlivě, a l e nebudete mít v Internetu přístup k serverům, které používají adresy IP kryjící se vašimi vybranými adresami. A co když to budou právě některé důležité servery?

Maska podsítě Maska podsítě je také 32bitové číslo, které se podobně jako adresa IP rozděluje do čtyř oktetu po 8 bitech. Její role je v adresování IP velmi důležitá, neboť maska podsítě nim je, zda jsou počítače ve stejné síti a budou spolu komunikovat přímo bez dalších zařízení nebo zda je pro jejich komunikaci nutné přidat směrovač. Uvedeme si jednoduchý příklad. Výchozí maskou podsítě pro zvolenou neveřejnou podsíť je 255.255.255.0 (tak zní definice). Ve dvojkovém zápisu vypadá maska takto: 11111111.11111111.1111111.00000000. Pokud budeme během adresování počítačů měnit část adresy IP, která se vyskytuje nad nulami masky podsítě, budou spolu počítače komunikovat přímo. To odpovídá adresování počítačů 192.168.10.1, 192.168.10.2, 192.168.10.3 atd. Pokud bychom při adresování změnili část adresy IP vyskytující se nad jedničkami masky podsítě, zařazujeme počítač do jiné sítě a pro komunikaci bude nutné použít směrovač. Tomuto případu odpovídá adresování 192.168.10.1, 192.168.11.1, 192.168.12.1 atd. V části „Neveřejné adresy IP" výše jsme pro síť vybrali adresování 192.168.10.0/24. Co znamená zápis /24? Pokud si napíšete výchozí masku této podsítě ve dvojkové soustavě, získáte číslo 11111111.11111111.11111111.00000000. Nyní spočítejte jedničky - je jich 24. Zápis /24 je tedy pouze jiným vyjádřením masky podsítě 255.255.255.0. Jedná se o tzv. notaci CIDR (Classless InterDomain Routing). Ještě jednou je tedy nutné dodat, že maska podsítě plní velmi důležitou roli, a proto je nutné s ní zacházet velmi obezřetně. Poznámka Jednotlivé oktety masky podsítě nemusí vždy nabývat pouze hodnot 0 nebo 255, ale je důležité, aby při zápisu masky ve dvojkové soustavě byla řada jedniček zleva spojitá. V praxi, zejména ve větších sítích, se můžete setkat například s maskou podsítě 255.252.0.0. Rozbor těchto případů je však mimo možnosti této knihy.

Instalace protokolu TCP/IP Instalace protokolu TCP/IP probíhá v systémech Windows 2000 a vyšších automaticky během instalace systému. Protokol TCP/IP je tak při ponechání typické instalace jediným nainstalovaným protokolem (viz obrázek 3.2). Samotný protokol sice umožňuje počítačům komunikovat, z pohledu uživatele však musí být v systému nainstalované ještě další služby a klienti.

Klient sítě Microsoft Klient sítě Microsoft je síťovou součástí, pomocí které je počítač schopen využívat prostředky, jež mu síť se systémy Microsoft nabízí. Pokud by tento klient v počítači chyběl, nebylo by možné přistupovat ke sdíleným složkám, tisknout na síťové tiskárny apod. Komunikace by tak byla z pohledu uživatele nepoužitelná. Jak název napovídá, je tento klient určen pouze pro sítě se systémy Microsoft. Pokud byste chtěli využívat prostředky operačních systémů Novell NetWare, bylo by nutné kromě protokolu NWLink nainstaloval i klienta systému NetWare. Klienta sítě Microsoft není nutné konfigurovat. Jedinou konfigurovatelnou položkou, která se zobrazí po klepnutí na tlačítko Vlastnosti, je Služba vzdáleného volání procedur (Re-mote Procedure Call). Tuto funkci plní v systému Windows XP Professional ve výchozím nastavení Lokátor systému Windows, což je pro naše účely vyhovující.


33

Obrázek 3.2 Dialogové okno vlastností Připojení k místní síti v systému Windows XP Professional

Obrázek 3.3 Instalace Klienta systému NetWare

Sdílení souborů a tiskáren v sítích Microsoft Služba Sdílení souborů a tiskáren v sítích Microsoft je „protipólem" klienta sítě Microsoft, fedná se o službu, která zajišťuje, že sdílené složky nebo tiskárny v daném počítači budou k dispozici vzdáleným klientům, kteří tyto prostředky chtějí v síti využívat. Pro úplné po-chopení situace lze jednoduše říci, že klient sítě Microsoft v místním počítači komuniku je se službou Sdílení souborů a tiskáren v sítích Microsoft v jiném počítači a obdobné že klient sítě Microsoft v jiném počítači komunikuje se službou Sdílení souborů a tiskáren v sítích Microsoft v místním počítači. V počítači se systémem Windows XP Professional nelze službu Sdílení souborů a ti s k á r e n v sítích Microsoft vůbec konfigurovat. Všechny tři uvedené součásti - Protokol sítě Internet (TCP/IP), Klient sítě Microsoft a Sdílení souborů a tiskáren v sítích Microsoft - jsou nezbytnými součástmi pro plnohodnotnou funkci počítače se systémem Windows XP Professional v síti.


34

Konfigurace protokolu TCP/IP Na instalaci protokolu TCP/IP je nutné se dobře připravit. Je nutné určit následující náležitosti: 1. Jakou podsíť použít pro adresování sítě. 2. Jaké adresy IP použít pro servery. 3. Jaké adresy IP použít pro tiskárny, případně další zařízení. 4. Jaké adresy IP použít pro klientské počítače. 5. Jaká bude adresa IP výchozí brány. 6. Jaké budou další parametry protokolu IP (servery DNS, WINS, název domény apod.). 7. Jaký druh adresování zvolit. Jakou podsíť použít pro adresování sítě

Tato otázka již byla zodpovězená výše. Pro adresování sítě s řádově desítkami počítačů byla vybrána síť 192.168.10.0/24. V síti lze tedy adresovat až 254 zařízení, masku podsítě budou mít všechna zařízení 255.255.255.0. Poznámka Pokud byste věděli, že během relativně krátké doby (tj. během až jednoho roku) síť poroste a začnou přibývat počítače, bylo by rozumné zvolit podsíť, která může obsahovat více zařízení než zmíněných 254. Jaké adresy použít pro servery

V závislosti na počtu serverů (stávajícím i předpokládaném) je vhodné vymezit určité rozmezí adres IP pouze pro ně. V naší síti máme jediný server, i s předpokládaným nárůstem během dalších let by počet serverů neměl přesáhnout 10. Pro servery tedy vyhradíme rozsah adres IP 192.168.10.2 až 192.168.10.11. Jaké adresy použít pro tiskárny, případně další zařízení

Vzhledem k velikosti sítě je rozumným odhadem ponechat pro tiskárny, případně další síťová zařízení, celkem 5 adres IP. Vyhradíme pro ně adresy IP 192.168.10.12 až 192.168.10.16. Jaké adresy použít pro klientské počítače

Pokud jsou klientské počítače tím posledním, co je třeba adresovat, potom nám pro ně zbyly adresy IP v rozsahu 192.168.10.17 až 192.168.10.254. V síti tak může být nejvíce 238 počítačů. Jaká bude adresa výchozí brány

Výchozí brána je adresa IP zařízení, kterému počítače předávají veškeré pakety, jež nejsou určené pro vnitřní síť (například pakety pro komunikaci v Internetu, komunikace mezi pobočkami apod.). Vzhledem k tomu, že naše síť bude zatím samostatná a nebude připojena ani k Internetu ani k žádné jiné síti, nebudeme výchozí bránu v tuto chvíli potřebovat. Je však nutné pro ni do budoucna rezervovat adresu IP. Bývá dobrým zvykem vyhradit pro výchozí bránu (někdy označovanou také jako „směrovač") první použitelnou adresu IP z dané sítě. Tou je v našem případě adresa 192.168.10.1. Jaké budou další parametry protokolu IP

Na tomto místě je nutné shromáždit další konfigurační parametry protokolu IP. Patří sem adresy IP serveru (či serverů) DNS, serveru (či serverů WINS), typ uzlu počítače, název domény apod. Podrobně se budeme některým zmíněným parametrům věnovat v dalších kapitolách. Jaký druh adresování zvolit

Celý vybraný rozsah adres IP umožňuje adresovat až 254 zařízení. Adresa 192.168.10.0 označuje vybranou síť a nelze ji použít pro adresování zařízení, adresa 192.168.10.255 je adresou, která bude v naší síti určena pro všesměrové vysílání (broadcast). To je standardní nastavení protokolu TCP/IP v systému Windows, které není nutné dále konfigurovat. Po vyhrazení adres IP pro servery, tiskárny a jiná zařízení nám pro klientské počítače zbylo 238 adres. Tyto informace je nutné pečlivě zvážit a určit, zda budeme adresy přiřazovat zařízením ručně nebo využijeme protokol DHCP, který může tuto práci udělat automaticky Za nás. Obě možnosti mají své výhody i nevýhody, v některých případech navíc automa-tické adresování použít nelze. V dalších odstavcích je popsaná ruční konfigurace parame-tru protokolu TCP/IP. Neznamená to, že je pro danou síť nejvhodnější, v tuto chvíli je však pro základní vysvětlení a konfiguraci nejjednodušší. Další informace o možnostech adresování naleznete v kapitole 8, „Potřebujeme v síti využívat další služby?". V liv na výběr adres IP mohou mít i další okolnosti. Je nutné vždy zvážit všechny náležitosti a okolnosti spojené s daným síťovým prostředím a dobře se na adresování protokolu TCP/IP připravit. Pozdější změna adresování může být pro uživatele i správce bolestnou záležitostí.


35

Konfigurace serveru Server je v síti proto, aby poskytoval požadované služby. Může být takzvaným souboro-vým serverem (tedy serverem, na kterém jsou uložené firemní dokumenty, případně další materiály ve sdílených složkách), aplikačním serverem (například serverem s nainstalova nyní informačním systémem), webovým serverem (serverem s webovými službami, jako je například WWW, FTP či NNTP), poštovním serverem (serverem určeným k přenosu a příjmu elektronické pošty a ke správě poštovních schránek) nebo například tiskovým serverem, to znamená serverem, jenž zpracovává tiskové úlohy a odesílá je místním tis kárnám. Kromě uvedených služeb může server zajišťovat i služby týkající se síťové i n f r a s t r u k t u r y (například DHCP, DNS, WINS nebo může být certifikačním úřadem). V drtivé většině případů plní server služby, na které se odkazujeme buď přímo adresou IPnebo pomocí názvu, jenž je v jiném místě v síti spojen s adresou IP podobně, jako je v telefonním seznamu spojen název společnosti s telefonním číslem. Tehdy je nutné za-jistit, aby měl server stále stejnou adresu IP, neboť její změna by mohla vyvolal potíže s komunikací mezi klientskými počítači a serverem. Navíc, pokud bude server zajišťovat zmíněné služby DHCP či DNS, je trvalá adresa IP nutností. Serverům tedy přidělujte adresy IP a další konfigurační parametry protokolu IP vždy ručně. Budete tak mít jistotu, že adresa IP se v žádném případě nezmění, a zároveň budete kdykoli schopni říci, jakou adresu IP má daný server přidělenu. To se hodí i v případě, kdy potřebujete odstraňovat potíže s komunikací. Zkrátka, adresy IP serverů nosí správci sítí v hlavě.

Nastavení parametrů protokolu IP serveru 1. V Nabídce Start přejděte na položku Ovládací panely, poté na Síťová připoje ní a klepněte na položku Připojení k místní síti. 2. V dialogovém okně Připojení k místní síti - stav klepněte na tlačítko Vlastnos ti. Zobrazí se dialogové okno Připojení k místní síti — vlastnosti. 3. Klepněte na položku Protokol sítě Internet (TCP/IP) a poté klepněte na tlačít ko Vlastnosti. 4. V dialogovém okně Protokol sítě Internet (TCP/IP) - vlastnosti zaškrtněte po líčko Použít následující adresu IP a zadejte adresu 192.168.10.2. 5. Do pole Maska podsítě zadejte hodnotu 255.255.255.0. 6. Ve spodní části zaškrtněte políčko Použít následující adresy serverů DNS a za dejte adresu 192.168.10.2 (server je zároveň serverem DNS a je tedy sám sobě kli entem). Poté klepněte na tlačítko Upřesnit. Další informace o konfiguraci služby DNS naleznete v kapitole 6, „Proč a jak se v síti překládají názvy". Obrázek 3.4 Dialogové okno s nastavením protokolu TCP/IP serveru

Poznámka Adresu serveru DNS je nutné nastavit správně. V opačném případě nebude funkční doména a uživatelé mohou mít například potíže se vůbec přihlásit.


36

7. Na kartě DNS ověřte zaškrtnutí políček Připojit přípony DNS primární domé ny a specifické domény připojení, Připojit příponu DNS domény nadřaze né primární doméně a Zaregistrovat adresy tohoto připojení v systému DNS. Klepněte na tlačítko OK. 8. Klepnutím na tlačítko OK zavřete dialogové okno Protokol sítě Internet (TCP/IP) - vlastnosti. 9. Zaškrtněte políčko Po připojení zobrazit ikonu v oznamovací oblasti a poté klepněte na tlačítko Zavřít. 10. Klepnutím na tlačítko Zavřít zavřete dialogové okno Připojení k místní síti - stav. V oznamovací oblasti se poté zobrazí ikona právě nakonfigurovaného připojení. Poznámka Pokud zaškrtnete poličko Použít následující adresy serverů DNS a nezadáte žádnou adresu IP, potom pokud je počítač se serverovým systémem Windows 2000 zároveň serverem DNS, doplní si automaticky adresu 127.0.0.1, která představuje zpětnou smyčku operačního systému. Klient DNS je i v takovém případě plně funkční. Zajímavostí je, že tuto adresu není možné zadat ručně.

Konfigurace klientských počítačů Klientské počítače v síti využívají síťové služby. Proto, aby mohly pomocí protokolu TCP/IP komunikovat, musí být správně nakonfigurované. Obecně lze říci, že není až tak podstatné, aby byla funkční komunikace mezi klienty (pomineme-li například sdílení důležitých „dokumentů", jako jsou soubory MP3 mezi dvěma spolupracovníky). Mnohem důležitější je komunikace mezi nimi a servery. Klient potřebuje také komunikovat s řadičem domény, který ověří přihlášení uživatele, se serverem DNS, jenž provede překlad potulovaných názvů na adresy IP, se souborovým serverem s firemními dokumenty, s tiskovým serverem, kam odesílá tiskové úlohy apod. Pokud je nastavení protokolu TCP/IP správné, měla by být funkční komunikace mezi jakýmikoli počítači v síti (pokud nejsou nakonfigurovaná další omezení). Protože není důležité, aby měl klientský počítač vždy stejnou adresu IP, otevírá se kromě ruční konfigurace i možnost konfigurace automatické. Tou se však budeme zabývat v dal-ších kapitolách, neboť vyžaduje další konfiguraci na serveru. Nyní se podíváme na ruční konfiguraci.

Nastavení parametrů protokolu IP klientských počítačů 1. V Nabídce Start přejděte na položku Ovládací panely, poté na Síťová připojení a klepněte na položku Připojení k místní síti. 2. V dialogovém okně Připojení k místní síti - stav klepněte na tlačítko Vlastnosti. Zobrazí se dialogové okno Připojení k místní síti - vlastnosti. 3. Klepněte na položku P r o t o k o l s í t ě I n t e r n e t ( T C P / I P ) a poté klepněte na tlačítko Vlastnosti. 4. V dialogovém okně Protokol sítě Internet (TCP/IP) vlastnosti zaškrtněte políčko Použít následující adresu IP a zadejte adresu 192.168.10.17. 5. Do pole Maska podsítě zadejte hodnotu 255.255.255.0. 4.

Ve spodní části zaškrtněte políčko Použít následující adresy serverů DNS a zadejte adresu 192.168.10.2 (serverem DNS je pro všechny klientské počítače dříve nakonfigurovaný server). Poté klepněte na tlačítko Upřesnit. Obrázek 3.5 Dialogové okno s nastavením protokolu TCP/IP klientského počítače


37

Poznámka Adresu serveru DNS je nutné nastavit správně. V opačném případě nebude funkční doména a uživatelé mohou mít například potíže se vůbec přihlásit.

5. Na kartě DNS ověřte zaškrtnutí políček Připojit přípony DNS primární domény a specifické domény připojení, Připojit příponu DNS domény nadřazené primární doméně a Zaregistrovat adresy tohoto připojení v systému DNS. Klepněte na tlačítko OK. 6. Klepnutím na tlačítko OK zavřete dialogové okno Protokol sítě Internet (TCP/IP) - vlastnosti. 7. Zaškrtněte políčko Po připojení zobrazit ikonu v oznamovací oblasti a poté klepněte na tlačítko Zavřít. 8. Klepnutím na tlačítko Zavřít zavřete dialogové okno Připojení k místní síti - stav. V oznamovací oblasti se poté zobrazí ikona právě nakonfigurovaného připojení. U dalších počítačů postupujte obdobně, podle bodu 4 ale zadejte adresu IP v posledním oktetu vždy o 1 vyšší (192.168.10.18, 192.168.10.19...).

Ověření instalace a funkčnosti protokolu TCP/IP Po instalaci a úspěšné konfiguraci protokolu TCP/IP je vhodné ověřit správnou komunikaci daného počítače. Případné potíže tak můžete odhalit a odstranit ještě dříve, než se naplno projeví v síti. Nesprávná nebo vůbec žádná komunikace pomocí protokolu TCP/IP muže mít mnoho příčin. Mezi nejčastější patří chybná instalace protokolu, fyzicky přerušené spojení počítače se sítí, nesprávně nastavená adresa IP či hybějící vazba mezi protokolem a síťovým adaptérem. Dále se podíváme, jak lze případné potíže detekovat a odstranit.

Nástroje pro odstraňování potíží s protokolem TCP/IP Systémy Windows 2000 a vyšší přicházejí s celou řadou nástrojů určených ke konfigura-ci, ale zejména k odstraňování potíží s protokolem TCP/IP. Na využití dvou nejpoužívanějších se podíváme nyní. Nástroj IPCONFIC

Nástroj IPCONFIG není v systémech Windows 2000 a vyšších žádnou novinkou, přibyly zde však další možnosti pro konfiguraci protokolu TCP/IP. My se podíváme na způsob jeho nejčastějšího využití. Představte si situaci, kdy počítač přestane nebo vůbec nezačne komunikovat se serverem. Pokud ostatní počítače se serverem komunikují, budeme pravděpodobně hledat příčinu v počítači, který přestal komunikovat, nikoli na serveru. Nejprve by nás mělo zajímat, zda má počítač přiřazenu správnou adresu IP: 1. Na příkazovém řádku zadejte příkaz ipconfig (okno příkazového řádku otevřete zadáním příkazu cmd v nabídce Spustit). Zobrazí se základní konfigurační informace protokolu TCP/IP - adresa IP a maska podsítě. nebo 2. Na příkazovém řádku zadejte příkaz ipconfig /all. Zobrazí se podrobnější konfigurační informace protokolu TCP/IP. Pokud se zobrazí očekávaná adresa IP (to znamená adresa IP z rozsahu 192.168.10.17 až 192.168.10.254) a maska podsítě 255.255.255.0, je adresa IP v pořádku. Pokud se zobrazí jiná adresa IP, opravte konfiguraci protokolu TCP/IP počítače podle informací uvedených výše. Poznámka Pomocí nástroje IPCONFIC lze informace o adrese IP, masce podsítě a dalších parametrech pouze zobrazovat, nikoli konfigurovat. Nástroj PING

Nástroj PING také není žádným nováčkem. Pro svou činnost využívá protokol ICMP, po-mocí kterého získává přenosový protokol IP informace o tom, zda se přenos paketů do cí-le zdařil či nikoli. Pomocí vhodného postupu lze nástroj PING využít k detekci místa, kde komunikace pomocí protokolu TCP/IP končí. Následující postup je tedy nutné dodržet: 1. Na příkazovém řádku zadejte příkaz ping 127.0.0.1. Tento příkaz provede otestování funkčnosti zpětné smyčky v systému. Netyká se vu-bec síťového adaptéru ani jeho konfigurace, a pokud byste si jej představili jako „sondu do systému", tak se v operačním systému otočí, aniž by se „dotkl" adaptéru, Pokud bude na zadaný příkaz pozitivní odezva, je v systému vše v pořádku a je možné pokračoval dalším krokem. Pokud se nezobrazí správná odezva, je problém jednoznačně ve špatné instalaci protokolu TCP/IP. Protože se ale tento protokol instaluje spolu se systémem, můžeme říci, že je poškozená instalace operačního systému. 2. Na příkazovém řádku zadejte příkaz ping adresalP (adresa IP zobrazená příkazem IPCONFIG, například 192.168.10.17). Tento příkaz postoupí v testování protokolu TCP/IP o krok dále. Nyní pomyslná „sonda" prochází mimo jiné i síťovým adaptérem, její cesta je tedy o krok delší. V operačním systému se „zadrhnout" nemůže - to jsme ověřili v předchozím kroku. Pokud se tedy nedočkáte pozitivní odpovědi, hledejte chybu v síťovém adaptéru. Příčiny neúspěšného provedení zadaného příkazu mohou být dvě. První z nich je přerušené fyzické spojení mezi síťovým adaptérem testovaného počítače a rozbočovačem (případně přepínačem) - tedy situace stejná, jako když ze síťového adaptéru vytáhnete kabel. Jedná se o nejčastější příčinu. Druhou příčinou je zrušení vazby mezi protokolem TCP/IP a síťovým adaptérem. V takovém případě je sice protokol TCP/IP v systému správně nainstalován, ale nepoužívá se. K takovému stavu však může dojít pouze ručním zásahem. Rozhodně se nejedná o automatické nastavení. Ukázka přerušené vazby je na obrázku 3.6.


38

Obrázek 3.6 Protokol TCP/IP nemá vazbu se síťovým adaptérem

Řešením této chyby je obnovení vazby (zaškrtnutí políčka u protokolu TCP/IP), případně ověření správně připojeného konektoru kabelu na obou koncích. 3. Na příkazovém řádku zadejte příkaz ping adresaIPjinéhopočítače (například ping 192.168.10.20). Tímto příkazem ověříte komunikaci s jiným počítačem ve stejné síti. Pokud má počítač potíže s komunikací se serverem, zatímco ostatní počítače se serverem běžně komunikují, objeví se pravděpodobně chyba v předchozích krocích. Pokud by nyní testovaný počítač komunikoval s jiným počítačem, ale se serverem nikoli, bude potřeba hledat chybu v zařízení zajišťujícím fyzické propojení počítačů (rozbo-čovač, přepínač). Při ověřování komunikace či odstraňování potíží nepoužívejte příkaz PING spolu s názvem počítače. Tím byste si do cesty hledání potíží přidali další krok, který by byl v tuto chvíli zbytečný. Nejprve by totiž muselo dojít k překladu názvu na adresu IP a teprve poté by proběhl příkaz zadaný v kroku 2. Pokud by název nebyl správně přeložen, nemusí se příkaz PING úspěšně provést, a to by mohlo vyvolat domněnku, že komunikace pomocí protokolu TCP/IP nefunguje. Opak může být v takové situaci pravdou - komunikace mezi počítači funguje, nefunguje pouze služba, která překládá názvy.

Výstupy nástroje PING Pokud není odezva na použití nástroje PING s adresou IP pozitivní, zobrazí se jedna ze dvou možných negativních odpovědí. Pojďme se na ně podívat: 1. Vypršel časový limit žádosti Příkaz PING je směrován na adresu IP, se kterou je schopen testující počítač běžně komunikovat, ale počítač s touto adresou IP neodpovídá. Příčinou je nesprávná funkce počítače, od kterého se odpověď očekává (případně není vůbec spuštěn) nebo je v cestě mezi dvěma počítači zablokován protokol ICMP, který nástroj PING využívá. 2. Cílový hostitel není dostupný Příkaz PING je směrován na adresu IP, ke které z výchozího počítače neexistuje směrování (tedy žádná cesta). Příčinou je v takovém případě chyba v konfiguraci protokolu IP výchozího počítače. Nejběžnější je absence adresy IP jako výchozí brány, v některých případech se jedná o absenci přidaného směrování nad rámec výchozí brány (například chybějící parametr -p v příkazu ROUTE ADD).


39

Síťový adaptér a více protokolů Pokud má některý počítač nainstalováno více protokolů (ať již z historického důvodu, zvědavosti správce či testování), neboli v jiné řeči, pokud počítač mluví více jazyky, může taková konfigurace zbytečně zatěžovat vaši síť. Pro optimální vytížení sítě a stoprocentní funkčnost síťových služeb je vhodné a doporučené používat pouze nutné protokoly. V drtivé většině případů by měl postačovat protokol TCP/IP. Případ použití více protokolů si ukážeme na příkladu použití protokolů TCP/IP a NWLink ve dvou počítačích. V naší síti sice protokol NWLink v tuto chvíli nainstalován není, příklad však ukazuje, co by se v případě, pokud by byl nainstalován, stalo. Při instalaci jakéhokoli protokolu do systému Windows 2000 a vyšších dojde k automa-tickému vytvoření vazby se všemi přítomnými síťovými adaptéry. Navíc ve vazbách ještě existuje hierarchie neboli pořadí. Toto pořadí můžete zobrazit následujícím způsobem,: 1. V Nabídce Start přejděte na položku Ovládací panely a poté klepněte pravým tlačítkem myši na položku Síťová připojení. Otevře se okno Síťová připojení se zobrazenými připojeními. 2. V nabídce Upřesnit klepněte na položku Upřesnit nastavení. Otevře se dialogo vé okno Upřesnit nastavení obsahující informace o vazbách a pořadí protokolu Z obrázku je zřejmé, že prvním v pořadí vazeb je protokol NWLink. Pokud tedy první po-čítač chce komunikovat se svým kolegou (druhým počítačem), odešle do sítě stejnou in-formaci pomocí obou protokolů. Druhý z počítačů přijme obě informace; protože má ale stejné pořadí vazeb protokolů, zpracuje pouze informace odeslané pomocí protokolu

Obrázek 3.7 Vazby mezi protokoly a síťovým adaptérem a jejich pořadí

Obrázek 3.8 Změna pořadí protokolu TCP/IP


40

NWLink. Z toho vyplývá, že počítače vždy komunikují tím prvním protokolem v pořadí vazeb, na kterém se shodnou. Ačkoli se to může zdát zvláštní, budou tyto dva počítače komunikovat pomocí protokolu NWLink, zatímco s ostatními počítači v síti budou komunikovat pomocí protokolu TCP/IP. Pokud je v takové situaci použití protokolu NWLink odůvodněné, nelze proti tomu nic namítat a musíte se s tím smířit. Pokud však protokol NWLink zůstal v počítači a už se nevyužívá, je třeba jej odebrat. V opačném případě se bude síť zbytečně zahlcovat nevyužitelnými informacemi. V případě, že se rozhodnete protokol NWLink v síti ponechat, zvažte možnost změnit pořadí vazeb. Komunikace mezi počítači tak může být rychlejší. Změnu pořadí vazeb provedete následujícím způsobem: 1. V dialogovém okně Upřesnit nastavení klepněte na položku Protokol sítě Internet (TCP/IP) a poté klepnutím na příslušnou šipku v pravé části dialogového okna posuňte protokol nahoru či dolů. Postup můžete opakovat i pro další službu či klienta. Pokud si na tomto místě stále ještě říkáte, že vaše síť je dost malá na to, abyste museli řešit takové podrobnosti, zvažte situaci ještě jednou. Pokud trochu nahlédnete do funkce sítí, zjistíte, že v sítích může odesílat informace v daný okamžik pouze jediný počítač. Pokud se ve stejnou dobu snaží komunikovat více počítačů najednou, dojde v síti Ethernet ke konfliktu a počítače komunikaci po náhodném čase opakují. Při zbytečné konfiguraci více protokolů se tak může i v malých sítích vyskytovat větší počet kolizí, neboť v síti se může pohybovat až několikrát více paketů než při použití pouze jediného protokolu.

Protokol IP v budoucnu Již delší dobu je jasné, že brzo dojde k vyčerpání veškerých adres IP použitelných v Internetu. Tyto obavy jsou vzhledem k neustálému rustu Internetu pochopitelné a jistě přijde doba, kdy je bude nutné řešit a úspěšně vyřešit. Jedním z nových návrhů, který by v tom měl pomoci, je nová tvář protokolu IP - IPv6.

Protokol TCP/IP verze 6 (IPV6) Protokol IP se od svého vzniku v roce 1981 ani jednou nezměnil. Velmi se však změnilo prostředí, ve kterém se protokol používá nyní od tehdejšího prostředí. Návrh protokolu IP tehdy nepočítal s následujícími situacemi: 1. Rychlý exponenciální růst Internetu a s ním postupné vyčerpání adres pro tokolu IP Počet adres IP je relativně nedostatečný a nutí organizace používat me tody, jako je například NAT. Pokud dojde ke spojení větších organizací, může být nedostatečný i rozsah neveřejných adres IP. 2. Rychlý růst Internetu a nutnost, aby jeho směrovače pracovaly s velkými směrovacími tabulkami Hlavní směrovače v Internetu dnes musí spravovat ví ce než 85 000 položek ve směrovací tabulce. 3. Potřeby jednodušší konfigurace Ačkoli lze protokol IP konfigurovat ručně i pomocí protokolu DHCP, je dnes velký tlak na to, aby se proces konfigurace dá le zjednodušil. 4. Požadavek na zabezpečení na úrovni vrstvy protokolu IP Soukromá komu nikace v Internetu vyžaduje zabezpečení dat. Pro tento účel již existuje standard protokol IPSec, ten je však volitelný, nikoli povinný.

Protokol IPv6 tyto nedostatky odstraňuje pomocí nových vlastností. 2 těch nejzajímavějších je to délka adresy 128 bitů (16 bajtů), což je několikanásobně větší rozsah oproti současnému protokolu IP, automatická konfigurace adresy IP pomocí serveru DHCP i bez něj, vestavěné zabezpečení IPSec a další rozšiřitelnost protokolu. Protokol IPv6 není s dnešním protokolem IP (IPv4) kompatibilní. Pokud byste tedy chtěli v síti protokol IPv6 nasadit a poté byste ji připojili k Internetu, bylo by nutné použít mechanismus, který bude schopen převádět informace protokolu IPv6 na informace protokolu IPv4. Možností je v takovém případě více, například použití směrovače IPv6/IPv4. Protokol IPv6 je součástí systémů Windows XP a řady systémů Windows 2003. Jeho instalace se v jednotlivých systémech liší. Zatímco například v systému Windows Server 2003 je možné jej přidat obdobně, jako kterýkoli jiný protokol (viz obrázek 3-9), do systému Windows XP je nutné jej nainstalovat pomocí příkazu ipv6 install spuštěného na příkazovém řádku.


41

Obrázek 3.9 Instalace protokolu IPv6 v systému Windows Server 2003 Popis protokolu IPv6 je téma na samostatnou knihu a další podrobnosti jsou mimo rámec této kapitoly. Nemusíte jej tedy instalovat, neboť se jím dále v síti ani nebudeme zabývat. Může se ale hodit v budoucnu; proto je dobré vědět, že systémy řady Windows XP a Windows Server 2003 jej podporují.

Závěr V této kapitole jste nejprve vybrali protokol pro prostředí sítě a provedli konfiguraci protokolu TCP/IP serveru i klientských počítačů. Nejprve jste pro síť vybrali rozsah adres IP (tzv. podsíť) 192.168.10.0/24, provedli přípravu rozdělení adres pro různá zařízení a nakonec provedli konkrétní konfiguraci. Konfigurace proběhla ve všech případech ručně a byla náhodně otestovaná s využitím nástroje PING. Pokud by se v síti vyskytly s protokolem TCP/IP potíže, máte k dispozici nástroje a postup, pomocí kterého lze najít místo, jež potíže způsobuje, a můžete je následně odstranit. Pokud by kdykoli v síti přibyl systém Novell NetWare, máte informace, co je třeba nainstalovat a jakým způsobem provést konfiguraci protokolu NWLink a příslušného klien ta. Pokud bude nutné instalovat další protokol do klientských počítačů, kteří již mají pro-tokol TCP/IP, víte, kde se dá zjistit a hlavně upravit pořadí vazeb protokolů s konkrétními službami. Pokud bude v budoucnu nevyhnutelné přejít na protokol TCP/IP verze 6, víte, že to u systémů řady Windows XP a Windows Server 2003 nebude problém, a znáte postup jeho instalace.


42

Prostředí pracovní skupiny Po úspěšné instalaci máme nyní k dispozici jeden server a několik pracovních stanic. Jedná se prakticky o výchozí instalaci malé sítě, která do konce knihy ještě projde výraznými změnami. Ty budou jednak reprezentovat její přizpůsobení konkrétním potřebám a možnostem organizace a jednak bude k dispozici uživatelům. Tato kapitole se za-bývá zpřístupněním sítě uživatelům tak, aby s počítači mohl začít pracovat i někdo jiný než jenom správce.

Uživatelské účty Aby mohl uživatel s počítačem vůbec začít pracovat, po-třebuje se přihlásit pomocí existujícího účtu. Zároveň je vhodné, aby měl každý z uživatelů v počítači zajištěno alespoň základní soukromí, tedy aby si každý z nich mohl své prostředí upravit v rámci možností podle svých před-stav, případně aby měl výhradní přístup k vlastním doku-mentům. Pro tyto účely není rozhodně nejlepším nápadem sdílet jediný účet a už vůbec ne účet uživatele Administra-tor. Každý z uživatelů tedy bude mít svůj vlastní účet, který je nutné vytvořit.

Vytvoření uživatelského účtu 1. Přihlaste se k běžnému klientskému počítači pomocí účtu Administrátor. 2. V Nabídce Start klepněte na položku Ovládací panely. Zobrazí se okno Ovládací panely. Pokud je v pravé části okna zobrazen nadpis Vyberte kategorii úkolů, klepněte v levém podokně na položku Přepnout do klasického zobrazení. Poté v pravé části poklepejte na položku Nástroje prosprávu. 3. Poklepáním na položku Správa počítače spustíte konzolu Správa počítače. 4. Rozbalte položku Místní uživatelé a skupiny a poté pravým tlačítkem myši klepněte na položku Uživatelé. 5. Klepněte na položku Nový uživatel. Zobrazí se dialogové okno Nový uživatel (viz obrázek 4.1). Obrázek 4.1 Dialogové okno Nový uživatel

6. Do pole Uživatelské jméno zadejte jméno, které bude uživatel používat při při hlašování (například jarosla.vh). 7. Do pole Jméno a příjmení zadejte celé jméno a příjmení uživatele. Jedná se o po ložku, která bude zobrazena v konzole Správa počítače po klepnutí na položku uživatelé (například Jaroslav Hluboký). Tip Prohoďte v tomto případě jméno s příjmením. Při hledání účtu tak budete moci účty seřadit podle příjmení.

8. Do pole Popis můžete zadat charakteristiku uživatele (například Vedoucí ob chodního oddělení). 9. Do polí Heslo a Potvrzení hesla zadejte heslo, pomocí kterého se musí uživatel poprvé přihlásit.


43

10. Poté, co nové heslo pro přihlášení oznámíte uživateli Jaroslav Hluboký, budete dva, kteří je budou znát. Proto je nutné ponechat zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo. Zajistíte tak, že uživatelé budou nuceni heslo změnit, a že to budou pouze oni, kdo budou své heslo znát. Poznámka Dokud uživatel nezmění své heslo, nebude moci začít pracovat s počítačem. Přestože tedy máte jistotu, že ke změně hesla dojde, definujte ihned na úvod uživatelům „silná" hesla, tj. hesla skládající se z rozumného počtu znaků (velkých a malých písmen, případně číslic či speciálních znaků). Vytvoříte tím nepřímo u uživatelů představu, že jejich nové heslo musí být podobně složité, a více tak zabezpečíte přístup k počítači.

11. Klepnutím na tlačítko Vytvořit účet vytvoříte. Poté klepněte na tlačítko Zavřít.

Nastavení dalších vlastností účtů Vytvoření účtu je pouze základním krokem. Podobně jako nestačí operační systém jen nainstalovat, ale je nutné provést jeho další konfiguraci, je vhodné nakonfigurovat i další vlastnosti účtu. 1. Pravým tlačítkem myši klepněte na vytvořený účet a poté v místní nabídce klep něte na položku Vlastnosti. Zobrazí se okno vlastností účtu. 2. Na kartě Je členem ověřte, že uživatelský účet je členem skupiny Users. Jedná se o místní skupinu zabezpečení, která má předdefinované přístupy k potřebným in formacím v systému. Nyní to vypadá, že kromě možností konfigurace na kartě Profil již není co konfigurovat. Opak je pravdou. Je možné konfigurovat i další vlastnosti, pro které však není v systému Windows XP Professional k dispozici grafické rozhraní. Zobrazení informací o účtu

Protože ne všechny informace, které mohou pomoci orientaci správce v místních účtech, jsou k dispozici v grafickém rozhraní systému Windows XP Professional, lze je zobrazit pomocí příkazu net user. Při zadání samotného příkazu net user se zobrazí seznam všech místních účtů daného počítače. Pokud například chcete zjistit všechny vlastnosti právě vytvořeného účtu, zadejte na příkazovém řádku příkaz-. net u s e r j a r o s l a v h

Výpis informací tohoto příkazu může vypadat následovně: U ž i v a t e l s k é jméno J mé n o a p ř í j me n í Komentář Komentář u ž i v a t e l e Směrové č í s l o země Účet je a k t i v n í Účet vypršel

jaroslavh Hluboký J a r o s l a v Vedoucí o b c h o d n í h o o d d ě l e n i 000 (Výchozí Ano Nikdy

systémové n a s t a v e n i )

Hesl o bylo naposledy n asta ven o H e s l o vyprší N e s l o l z e měnit H e s l o je v y ž a d o v á n o Uživatel smí m ě n i t h e s l o

4 / 1 / 2 0 0 3 1 : 4 5 PM 5/14/2003 12:33 PM 4 / 1 / 2 0 0 3 1 : 4 5 PM Ano Ano

Pracovní s t a n i c e b y l a p o v o l e n a Přihlašovací skript Profil uživatele Domovský adresář Naposledy přihlášen

Vše

Povolené p ř i h l a š o v a c í h o d i n y Členství v m í s t n í c h s k u p i n á c h Členství v g l o b á l n í c h s k u p i n á c h

Vše * Us ers *None

Nikdy

Příkaz byl úspěšně dokončen.


44

Nastavení platnosti účtu .

Pokud vytvoříte účet pro uživatele, u kterého dopředu víte, že s ním bude pracovat pouze omezenou dobu (například účet pro dočasného zaměstnance či brigádníka), je možné určit, kdy platnost účtu automaticky vyprší: 1. Spusťte příkazový řádek systému Windows XP Professional 2. Na příkazovém řádku zadejte příkaz net u s e r j a r o s l a v h /Expires:30.4.2003 V takovém případě vyprší účet na začátku dne 30. dubna 2003- Datum vypršení je nutné zadávat ve zkráceném formátu tak, jak je to uvedeno v dialogovém okně Místní a jazyková nastavení na kartě Místní nastavení. Provedené nastavení se projeví ve výpisu příkazu net user jaroslavh na řádku Účet vypršel

4/30/2003 12:00 AM

Nastavení doby, po kterou se uživatel může přihlásit

Pokud má uživatel pracovní dobu každý den od 9 do 17 hodin a neshledáte žádný důvod, proč by měl mít přístup k datům v počítači i mimo tuto dobu, můžete omezit čas přihlašování pouze na pracovní dobu: 1, Spusťte příkazový řádek systému Windows XP Professional 2. Na příkazovém řádku zadejte příkaz net user jaroslavh /Times : Ponděli - Pátek ,9-1/ Ve v ýpisu p říkazu net u s e r j a r o s l a v h se p rov edené n as tavení zob razí n ás led ovn ě: Povolené přihlašovací hodiny P o n d ě l í 9 : 0 0 A M - 5 : 0 0 PM Úterý 9 : 0 0 AM - 5 : 0 0 PM Stře d a 9 : 0 0 AM - 5 : 0 0 P M Čtvrtek 9 : 0 0 AM - 5 : 0 0 PM Pá te k 9 : 0 0 AM - 5 : 0 0 PM

Pokud se uživatel pokusí o přihlášení mimo povolenou dobu, zobrazí se informace na obrázku 4.2. Obrázek 4.2 Informace o časovém omezeni účtu při přihlášení uživatele

Pokud se chcete vrátit k časově neomezené možnosti přihlašování uživatele, zadejte na příkazovém řádku následující příkaz net use r j a r o s l a v h

/Times:all

Další nastavení uživatelských účtů Možnosti dalšího nastavení účtů získáte po zadání příkazu net h e l p u s e r na příkazovém řádku systému Windows XP Professional.


45

Použití uživatelských účtů Uživatelské účty vytvořené v místním počítači jsou uložené v místní databázi SAM (Secu rity Accounts Manager). Vzhledem k tomu, že se jedná o místní účty, je možné se pomocí nich přihlásit pouze k počítači, ve kterém jsou vytvořené, což může uživatele značně omezovat. Bohužel, v tomto režimu práce není jiné řešení. Pokud budou uživatelé nutně potřebovat přihlásit se k jinému počítači, je nutné vytvořit další místní uživatelský účet v daném počítači. Pokud si představíte například čtyři počítače a čtyři uživatele, kteří se potřebují přihlašovat ke všem počítačům, čeká vás práce s vytvořením celkem 16 účtů.

Přihlašování uživatelů a způsob jejich práce Po spuštění počítače se systémem Windows XP Professional zařazeným v pracovní skupině se zobrazí Úvodní obrazovka, která umožňuje přihlášení uživatelů.

Obrázek 4.3 Úvodní obrazovka systému Windows XP Professional

Po klepnutí na vlastní jméno je nutné zadat heslo. Teprve poté se spustí přihlašovací pro ces uživatele, na jehož konci se uživateli zobrazí pracovní plocha. Tento stav představuje bezpečnostní riziko. Každý uživatel, který zapne konkrétní počí-tač, vidí veškeré účty, jež jsou pro přihlášení k počítači k dispozici, a pokud se chce přih l á s i l , stačí mu zadat pouze heslo (pokud je zná nebo pokud vyzkouší heslo uhádnout). Řešením tohoto stavu je následující postup: 1. Přihlaste se jako správce počítače. 2. V Nabídce Start klepněte na položku Ovládací panely a poté na položku Uživatelské účty. 3. Zobrazí se dialogové okno Uživatelské účty. Klepněte na položku Změnit způsob přihlašování a odhlašování uživatelů a zrušte zaškrtnutí políčka Používat úvodní obrazovku. Poté klepněte na tlačítko Použít. 4. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz secpol.msc. Zobrazí se konzola Místní nastavení zabezpečení. 5. Rozbalte část Místní zásady a klepněte na položku Možnosti zabezpečení. 6. V pravé části konzoly poklepejte na položku Interaktivní přihlašování: nezobrazovat naposledy použité uživatelské jméno a zaškrtněte políčko Povolit. Poté klepněte na tlačítko OK. Nyní se již nebude zobrazovat Úvodní obrazovka, ale standardní přihlašovací dialog znaný z předchozích systémů řady Windows NT. Přihlašovací proces ještě dále zabezpečte vynucením použití kombinace kláves Ctrl+Alt+Del. Zabráníte tak možnostem spuštění tzv. trojských koňů, které by se snažily uhádnout jméno a heslo uživatele: Poznámka Jako trojský kůň se v oblasti počítačů označuje program, který simuluje například přihlašovací dialogové okno pro to, aby v uživateli vyvolal pocit, že systém nyní potřebuje zadat jméno a heslo uživatele. Protože uživatel dané okno zná, jméno a heslo bez potíží zadá a trojský kůň tak příslušná pověření získá. Následně pod nimi může začít v počítači škodit. 1. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz secpol.msc. Zobrazí se konzola Místní nastavení zabezpečení. 2. Rozbalte část Místní zásady a klepněte na položku Možnosti zabezpečení. 3. V pravé části konzoly poklepejte na položku Interaktivní přihlašování: nevyžadovat stisknutí kláves Ctrl+Alt+Del a zaškrtněte políčko Zakázáno. Poté klepněte na tlačítko OK.


46

Přihlašovací proces je nyní zabezpečen. Kdykoli dojde ke stisku uvedené kombinace kláves, může mít uživatel jistotu, že řízení se předalo přímo operačnímu systému, nikoli některé „nastrčené" aplikaci. Po přihlášení může uživatel využívat prostředky operačního systému či spouštět aplikace. Nemůže samozřejmě provádět úplnou konfiguraci, neboť není členem skupiny Admi-nistrators. Uživatelé mohou v tuto chvíli používat místní počítač téměř bez omezení, pro běžnou práci jim to ale nestačí. Dříve či později budou uživatelé potřebovat soubory od kolegů z ostatních počítačů. Mohou si je vyměnit na disketě nebo jiném podobném vyměni-telném médiu, takový stav je ale značně nepohodlný a vyžaduje součinnost dvou uživa-telu. Mnohem jednodušší je zajistit přístup do sdílených složek v jiném počítači, kam mů-že uživatel soubor určený pro ostatní uložit. Jak to bude vypadat s přístupem k těmto sdíleným prostředkům v ostatních počítačích? K dispozici jsou dvě možnosti, které si dále nakonfigurujeme.

Přístup ke sdíleným složkám na serveru (méně bezpečný) 1. Přihlaste se k serveru SRVR001 pomocí účtu Administrátor. 2. Na jednotce C: vytvořte složku s názvem ABCD a v ní vytvořte textový soubor. Na složku klepněte pravým tlačítkem myši a v místní nabídce poté klepněte na položku Sdílení a zabezpečení. 3. Na kartě Sdílení zaškrtněte políčko Sdílet tuto složku a ponechte výchozí název sdílení (ABCD). 4. Klepněte na tlačítko Oprávnění a ověřte, zda je pro skupinu Everyone definováno oprávnění Číst. 5. Dialogové okno oprávnění zavřete klepnutím na tlačítko OK a poté klepněte na kartu Zabezpečení. 6. Klepněte na tlačítko Přidat, do pole Zadejte názvy objektů k výběru zadejte text Everyone a poté klepněte na tlačítko Kontrola názvů. Poté klepněte na tlačítko OK. 7. Klepnutím na tlačítko OK zavřete dialog vlastností složky ABCD. 8. Spusťte konzolu Správa počítače, rozbalte položku Místní uživatelé a skupiny a klepněte na položku Uživatelé. 9. V pravém podokně poklepejte na účet Guest a v dialogovém okně vlastností zrušte zaškrtnutí políčka Účet je zablokován. Poté klepněte na tlačítko OK. 10. Nyní se přihlaste jako běžný uživatel k počítači se systémem Windows XP Professional. 11. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte cestu \\SRVR001\ABCD. Zobrazí se obsah složky ABCD.

Přístup ke sdíleným složkám na serveru (více bezpečný) • • • •

• • •

•

Přihlaste se k serveru SRVR001 pomocí účtu Administrátor a Spusťte konzolu Správa počítače, rozbalte položku Místní uživatelé a skupiny a pravým tlačítkem myši klepněte na položku Uživatelé. Klepněte na položku Nový uživatel a vytvořte identický účet se stávajícím (včetně stejného hesla) pro uživatele, jemuž chcete přístup do složky povolit. Zrušte za škrtnutí políčka Při dalším přihlášení musí uživatel změnit heslo. Na jednotce C: vytvořte složku s názvem BCDE a v ní vytvořte textový soubor. Na složku klepněte pravým tlačítkem myši a v místní nabídce poté klepněte na polož ku Sdílení a zabezpečení. Na kartě Sdílení zaškrtněte políčko Sdílet tuto složku a ponechte výchozí název sdílení. Klepněte na tlačítko Oprávnění a ověřte, zda je pro skupinu Everyone definováno oprávnění Číst. Dialogové okno oprávnění zavřete klepnutím na tlačítko OK a poté klepněte na kartu Zabezpečení. Ověřte, zda je v seznamu řízení přístupu místní skupina Users (SRVROOlAUsers). Pokud ne, klepněte na tlačítko Přidat a do pole Zadejte názvy objektů k výběru zadejte přihlašovací jméno uživatele a poté postupně klepněte na tlačítka Kontrola názvů a OK. Dialogové okno vlastností složky zavřete klepnutím na tlačítko OK.

Porovnání zabezpečení obou možností Jak to bývá v běžném životě, platí i zde „něco za něco". Abychom si rozšířili obzor, podívejme se na výsledek obou případů: Je nutné zajistit přístup ke sdíleným složkám pro více uživatelů (nikoli pro jediného jako v uvedených případech). První řešení tedy bude v takovém případě mnohem jednodušší, bohužel však za něj zaplatíte méně zabezpečeným prostředím. Každý vzdáleně přistupující uživatel je zde zosobněn účtem Guest, který je pro tento účel nutné povolit. Není tedy nutné definovat další účty. Na druhou stranu je otevřená možnost (pro kohokoli) využití účtu Guest k místnímu přihlášení k serveru. Další nevýhodou tohoto řešení je stejná úroveň přístupu pro všechny uživatele. V našem případě mohou všichni uživatelé pouze číst obsah složky a jednotlivé položky. Druhé řešení je o poznání bezpečnější a využívá mechanismu tzv. mapování účtů. Pokud jste ve svém počítači přihlášeni stejným přihlašovacím jménem a heslem, jako má účet s potřebnými oprávněními v cílovém počítači, proběhne při přístupu mapování účtu a přístup je povolen. Nevýhodou tohoto řešení je nutnost vytvořit místní účet pro každého uživatele. Výhodou je pak ale možnost definovat pro každého uživatele jinou úroveň přístupu (čtení, zápis a další). Poznámka Při používání vlastnosti mapování účtu je nutné udržet účty na všech místech, kam uživatel přistupuje, ve stejném stavu. To


47

znamená, že pokud uživatel například změní heslo v jednom počítači, měl by to postupně provést ve všech, v opačném případě přestane tato metoda fungovat (viz informace dále).

Tisk na vzdálené tiskárny Pro tisk na síťové tiskárny (tedy tiskárny nainstalované na tiskovém serveru (nikoli v místním počítači)) platí to samé, co pro přístup ke sdíleným složkám. Znovu jsou použitelné obě možnosti, přičemž první z nich lze doporučit pouze v prostředí, kde se nevyžaduje téměř žádné zabezpečení. Skupina Everyone (v prvním případě), případně jednotlivé uživatelské účty (či skupina SRVROOlAUsers) musí mít k tiskárně oprávnění Tisk.

Práce s dalšími počítači Pokud chce uživatel pracovat s dalším počítačem, je bezpodmínečně nutné, aby měl v takovém počítači vytvořen vlastní účet. Z pohledu správce tedy jednoduše řečeno - co počítač, to účet. Téměř neřešitelným problémem je však v takovém prostředí otázka synchronizace hesel. Pokud v síti pracují zodpovědní uživatelé, kteří používají silná hesla, budou si je pravděpodobně také jednou za čas měnit. Je ale nutné si uvědomit, že pokud uživatel změní své heslo, stane se tak pouze v počítači, ke kterému je uživatel právě místně neboli interak-ti v n ě přihlášen (místně = pomocí kombinace kláves Ctrl+Alt+Delete). Pak se ale velmi jednoduše může stát, že přístup k prostředkům v jiných počítačích nebude povolen (jednoduše nebude fungovat mapování účtů). Uživatel tedy musí obejít všechny počítače, přihlásit se ke každému z nich a provést změnu hesla. A zde je kámen úrazu. Při větším počtu počítačů tak bude uživatel zbytečně ztrácet čas změnou hesla, navíc si během přechodného období (než heslo všude změní) bude muset pamatovat hesel více.

Nastavení prostředí uživatelem Při prvním přihlášení každého uživatele se vytvoří uživatelský profil. Ten obsahuje mimo jiné následující data a nastavení: • • • • •

Data aplikací Nastavení aplikací, jako je poštovní profil, konfigurace prostředí aplikace apod. O informacích, které se zde budou ukládat, rozhodují výrobci aplikací. Plocha Všechny položky umístěné na pracovní ploše, tedy to, co uživatel stále vidí před sebou. Oblíbené položky Odkazy na oblíbené webové stránky. Dokumenty Obsah složky Dokumenty dostupné v nabídce Start. Výchozí místo pro ukládání dokumentů. Nabídka Start Položky podnabídky Všechny programy v Nabídce Start.

Pokud vytvoříte v počítači uživatelský účet bez další konfigurace, vytvoří se automaticky při pivním přihlášení uživatele profil na místním disku v cestě %systemroot%\Documents and Settings\%username%. Veškeré změny, které se do profilu zaznamenávají, se tak ukládají na místní disk. Pokud se uživatel přihlásí pomocí dalšího svého místního účtu v jiném počítači, vytvoří se znovu nový profil ve stejné cestě. Pokud chce mít uživatel stej-né nastavení prostředí jako v předchozím případě, musí vše nakonfigurovat znovu. Aby se činnost uživatelů zjednodušila, obsahuje systém Windows XP Professional mož-nost nakonfigurovat takzvaný cestovní (roaming) profil. Uživatel potom nemusí konfigu-rovat v každém počítači profil zvlášť, neboť profil, jejž si již jednou vytvořil, „cestuje" v po-čitačích, ke kterým se uživatel přihlašuje, s ním. Aby vše fungovalo, musí být profil k dispozici uživateli při každém přihlášení, a je tedy vhodné (téměř nutné) jej uložit na server, který je stále k dispozici. Konfigurace cestovních uživatelských profilů není v našem stávajícím prostředí zdaleka triviální záležitostí. Jedná se o dosti nestandardní situaci, která je prakticky v systémech Windows XP Professional novinkou, a pro úplnou konfiguraci vyžaduje poměrně dost práce. Navíc mohu potvrdit, že se i po správné konfiguraci (viz další postup) mohou oblevil potíže, a to naprosto náhodně v různých počítačích. V kapitole 13, „Profily uživatelů", je popsána práce s cestovními profily uživatelů podrobné, konfigurace prostředí se však do té doby změní směrem ke standardu, kde s cestovními profily potíže nebývají. Vylvoření funkčního cestovního profilu v našem prostředí sestává z několika fází. • Vytvoření sdílené složky pro ukládání profilů (na serveru, který je stále k dispozici). • Konfigurace uživatelských účtů. • Vytvoření cestovního profilu.

Vytvoření sdílené složky pro ukládání profilů 1. Přihlaste se k serveru SRVR001 jako správci. 2. Na jednotce C: vytvořte složku Profily. Tuto složku sdílejte a pro skupinu Everyone nastavte oprávnění Úplné řízení. Do oprávnění NTFS (karta Zabezpečení v dialogovém okně vlastností složky Profily) přidejte skupinu Everyone s oprávněními Úplné řízení.


48

Obrázek 4.4 Sdílení složky Profily a nastavení oprávnění ke sdílení

Konfigurace uživatelských účtů Účet uživatele používajícího cestovní profil musí existovat v každém počítači, ke kterému se uživatel zamýšlí přihlašovat. Dále je nutné účet v každém počítači nakonfigurovat takto: 1. V konzole Správa počítače rozbalte položku Místní uživatelé a skupiny a poté přejděte na položku Uživatelé. 2. U každého uživatele zadejte ve vlastnostech účtu na kartě Profil do pole Cesta k profilu cestu \\SRVR001\Profily\%usernanie%. Dialogové okno vlastností účtu zavřete klepnutím na tlačítko OK. Poznámka Systémová proměnná %username% zde nahrazuje přihlašovací jméno uživatele. To můžete samozřejmě zadat také přímo. Proměnnou využijete v případě, kdy provádíte změnu konfigurace u více uživatelů, případně provádíte-li změnu pomocí skriptu.

Vytvoření cestovního profilu 1. Vyberte si libovolný počítač se systémem Windows XP Professional, ve kterém budete později profil konfigurovat a přihlaste se k němu jako uživatel Administrátor. 2. V tomto počítači vytvořte dočasný uživatelský účet, který bude sloužit pouze provytvoření referenčního profilu. Pro tento účet nekonfigurujte cestovní profil. 3. Odhlaste se a přihlaste se pomocí dočasného uživatelského účtu. 4. Vytvoří se místní uživatelský profil. Ten nakonfigurujte podle potřeby (můžete například doplnit zástupce na pracovní plochu, nainstalovat síťové tiskárny či nakonfigurovat Nabídku Start) a poté se odhlaste. Tím je vytvořen referenční profil pro nové uživatele. 5. Přihlaste se jako uživatel Administrátor. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce klepněte na položku Vlastnosti. 6. Na kartě Upřesnit klepněte v části Profily uživatelů na tlačítko Nastavení. V dialogovém okně Profily uživatelů klepněte na profil dočasného uživatele a poté klepněte na tlačítko Kopírovat. 7. Do pole Zkopírovat profil do zadejte úplnou cestu do síťové složky s profilem (například \ \SRVR001\Profily\jaroslavh). 8. V části Povoleno používat uživatelem klepněte na tlačítko Změnit, poté vyberte správný účet a udělte mu oprávnění Úplné řízení. Poté klepněte na tlačítko OK.


49

Systém Windows XP Professional vytvoří v cestě \\SRVR00l\Profily složku jaroslavh a přiřadí k ní příslušná oprávnění skupině Administrátore, uživateli zadanému v kroku 8 a účtu SYSTEM. Pokud je cílová složka v jiném počítači, než ve kterém byl profil vy-tvořen, bude namísto účtu uživatele jaroslavh zobrazen identifikátor zabezpečení. Ten je nutné odebrat, místo něj přidat správného uživatele (mapovaný uživatelský účet, tedy SRVR001\jaroslavh) a udělit mu oprávnění Úplné řízení. Pokud budete chtít vytvořit cestovní profil pro již existujícího uživatele, postupujte ob-dob n ě s tím rozdílem, že nebudete vytvářet dočasného uživatele a jeho profil, ale do cílové složky na serveru zkopírujete aktuální profil uživatele z počítače, se kterým uživatel pracuje. Další informace o profilech naleznete v kapitole 13, „Profily uživatelů". Poznámka Postup s konfigurací cestovního profilu nedoporučuji používat v prostředí se systémy ryze Windows 2000.

Dostupnost dokumentů uživatelů Možná se vám bude zdát, že vytváření a správa cestovních uživatelských profilů jsou v tomto prostředí opravdu zbytečně složité, a rozhodnete se podobné vlastnosti nekonfi-gurovat. V takovém případě by ale bylo vhodné zpřístupnit uživatelům alespoň jejich dokumenty v každém počítači, ke kterému se přihlásí. A tady je čas na menší změnu opro-n předchozímu doporučení pro ukládání soukromých dokumentů. Pokud budou totiž uživatelé používat místní profily a dokumenty budou ukládal do upřednostňované složky Dokumenty, zůstanou uložené pouze v místním počítači. Ne jen že není jisté, zda se k nim uživatel kdykoli dostane, protože počítač nemusí hýl vždy zapnut ale data v klientském počítači navíc obvykle nebývají zabezpečena proti haváriím systému. Proto je vhodnější ukládat citlivá data namísto klientských počítačů na serveru, neboť servery se pravidelně zálohují, a data tak mají alespoň jistý stupeň zabezpečeni. Zpřístupnění dokumentů v každém počítači se systémem Windows XP Professional lze zajistit následujícími kroky: V každém počítači (včetně serveru, na kterém jsou data uložena) vytvořte uživa-telský účet se stejným přihlašovacím jménem i heslem. Na serveru SRVR001 vytvořte na jednotce C: složku Dokumenty. Složku sdílejte a skupině Everyone udělte oprávnění pro sdílení Změnit. Ve vlastnostech každého účtu v každém počítači je nutné na kartě Profil zaškrtnout v části Domovská složka políčko Připojit, dále vybrat písmeno jednotky (doporučuji ponechat písmeno Z:) a do pole k: zadat cestu \\SRVR001\Dokumenty\%username% (viz obrázek 4.5). Po klepnutí na tlačítko OK nebo Použít se na serveru SRVR001 ve složce Dokumenty vytvoří podložka podle přihlašovacího jména uživatele. Není nutné upravovat žádná oprávnění. Obrázek 4.5 Karta Profil s nakonfigurovanou Domovskou složkou


50

Po přihlášení k počítači se systémem Windows XP Professional bude mít uživatel k dispozici navíc disk Z:. Aby toto nastavení našlo své využití, je nyní nutné naučit uživatele ukládat důležité dokumenty právě na tuto jednotku. To může být jedna z nejtěžších fází celého postupu, neboť zvyk je železná košile a u méně vzdělaných uživatelů se takové zvyky mění velmi obtížně. Nevýhodou tohoto poměrně jednoduchého řešení je přístup všech uživatelů k dokumentům jiných uživatelů na serveru SRVR001 ve složce Dokumenty. I to však lze omezit, a to udělením příslušných oprávnění NTFS přímo na serveru: 1. Zobrazte vlastnosti příslušné podsložky %username% (složky s dokumenty konkrétního uživatele), kterou chcete zabezpečit. 2. Na kartě Zabezpečení klepněte na tlačítko Upřesnit, zrušte zaškrtnutí políčka definujícího dědičnost, klepněte na tlačítko Kopírovat a poté na tlačítko OK. 3. Ze seznamu účtů odeberte skupinu SRVROOlAUsers a do seznamu přidejte příslušného uživatele, kterému udělíte oprávnění Měnit. 4. Dialogové okno vlastností složky zavřete klepnutím na tlačítko OK. Nyní je možné ověřit, že jako jeden uživatel se nedostanete k dokumentům ostatních uživatelů. Vytvořili jsme tak řešení pro bezpečný přístup k dokumentům z jakéhokoli počí-tače v, se kterým může uživatel pracovat.

Závěr Pokud se chce uživatel přihlásit k počítači, který je členem pracovní skupiny, musí nul v počítači vytvořen účet. Grafické uživatelské rozhraní pro správu místních účtů ale nenabízí všechny možnosti nastavení. Pokud tedy chcete například uživatele omezit v přihlašování pouze v omezenou dobu nebo chcete nakonfigurovat účet tak, aby se automaticky zakázal k některému datu, je nutné provést to pomocí příkazu net u s e r spuštěného na příkazovém řádku. Uživatelé by měli v každém počítači vždy začít stiskem klávesové kombinace Ctrl+Alt+Del. Pokud není tato možnost nakonfigurovaná (například se používá Úvodní obrazovka), není proces přihlašování bezpečný, neboť jakýkoli uživatel vidí přihlašovací jména všech uživatelů, kteří mají v počítači účet, a pokud by se chtěl přihlásit, zbývá mu uhádnout pouze heslo. Navíc se můžete stát obětí tzv. trojského koně, který se tváří jako součást systému a jenom čeká na zadání vašeho jména a hesla, jež je poté schopen zneužít. Pokud mají mít uživatelé přístup k dokumentům ostatních uživatelů, je možné vytvořit na serveru, který je pro tyto účely neustále zapnut, sdílenou složku, do níž bude možné dokumenty ukládat a číst. Existují dvě možnosti konfigurace oprávnění. Ta méně bezpečná (využití účtu Guest) má jednodušší konfiguraci a správu, ta více bezpečená klade vyšší nároky jak na správce, tak i na uživatele. Obdobně je možné zajistit přístup k síťovým tiskárnám. P ři prvním přihlášení uživatele k počítači se vytvoří profil. Jedná se o soubor nastavení a dat příslušných konkrétnímu uživateli, který nemá vliv na práci ostatních uživatelů. Každý l a k může mít své vlastní prostředí (které si může kdykoli upravit) bez ohledu na ostatní uživatele. Součástí profilu je také složka Dokumenty, což je doporučená složka pro ukládání soukromých dokumentů. Pokud je disk v počítači zformátován systémem sou-boru NTFS, je profil standardně zabezpečen tak, že do něj má přístup pouze konkrétní Uživatel a správce počítače. Dokumenty jsou tak standardně zabezpečeny proti neopráv-nénému přístupu. Nevýhodou je, že profil zůstává uložen v místním počítači i po odhlá-šení uživatele. Pokud se uživatel přihlašuje k více počítačům, je možné zajistit, že bude mít stále stejný a jediný profil. Tomuto typu profilu se říká cestovní a jeho vytvoření a konfigurace byly výše popsány. Obrovskou výhodou takového typu profilu je dostupnost dokumentů ve všech počítačích. Pokud ale uznáte, že vytváření a správa cestovních profilů je v prostře dí pracovní skupiny zbytečně náročnou záležitostí, můžete od ní ustoupit a zůstat u míst-ních profilů. Dokumenty uživatelů můžete ve všech počítačích zpřístupnit vytvořením a zabezpečením domovské složky na serveru. Uživatelé budou mít v každém počílači po přihlášení navíc další jednotku, ve které budou tyto dokumenty k dispozici. Musí ale změ-nit své zvyky, a to ukládat dokumenty na tuto jednotku namísto původní složky Doku menty.


51

Stav sítě Model sítě, který v tuto chvíli provozujeme, se nazývá pracovní skupina. Každý uživatel má místní účet v počítači, který používá pro svou práci. Úplnou konfiguraci účtu jsme provedli pomocí řádkového příkazu net user. Pokud používá více počítačů, má vytvořen v každém počítači stejný účet (použití účtu Guest nelze z bezpečnostního hlediska doporučit). Pro práci s dokumenty jste pro uživatele vybrali jeden z následujících modelů: Cestovní profily Místní profily a domovské složky •

•

Protože správa a vytváření cestovních profilů je v prostředí pracovní skupiny náročnou záležitostí (a ne vždy spolehlivou), doporučuji využívat druhou možnost. Na serveru mohou existovat sdílené složky Profily a Dokumenty.


52

Jak růst s firmou? Dosud se toho v naší fiktivní síti moc nepřihodilo. Došlo k instalaci serverového operačního systému Windows Server 2003 a operačního systému Windows XP Professional do několika klientských počítačů. Uživatelé mají díky exi-stenci účtů možnost přihlásit se a pracovat s téměř všemi počítači (možná úplně všemi, pokud jste opravdu vytvořili účty uživatelů všude) a v každém počítači mají k dispozici své dokumenty, případně celý profil. Možná si ale současně jako správci začínáte klást otázku, zda to všechno není nějak moc složité - jak z pohledu správce, tak i pro uživatele. Pokud dříve či později dojde-te k závěru, že takto to už dál prostě nepůjde, budete mít pravdu. Vytvořené prostředí je při zvyšujícím se počtu uži-vatelu z pohledu správce skutečně neudržitelné, navíc vy-žaduje poměrně velké znalosti uživatelů. Protože jsou různé typy správců a různá prostředí, má kaž-dý své možnosti posunuty trochu jinak. Některý ze správní je ledy schopen takové prostředí udržet pouze při po-čtu řádově jednotek počítačů, některý je schopen toto bří-mě táhnout i pro desítky stanic. Pokud by se tito správci potkali, zřejmě nebudou chápat pozici druhého a bude málo věcí, na kterých se dokážou shodnout. Oba však dojdou k prahu, kdy si řeknou, že už to takto dál nejde. V dalších odstavcích se podíváme na další možnosti sprá-V rostoucího prostředí a provedeme jejich porovnání.

Pracovní skupina Během instalace systému jste v dialogovém okně Pracovní skupina nebo doména počítače ponechali výchozí na-stavení tledy pracovní skupinu s názvem SKUPINA. Základní charakteristiky pracovní skupiny (také označova-né jako sítě peer-to-peer neboli sítě rovnocenných počíta-ču) vyjádřit v následujících bodech: • • • • • • •

Pracovní skupina je jednoduchým a levným řešením připojení malého počtu uživatelů k prostředkům v síti. V prostředí pracovní skupiny jsou všechny počítače na stejné úrovni. Počítače spolu nemohou účinně spolupracovat a nelze je žádným způsobem jednoduše a jednotně spravovat. Uživatel musí mít vytvořený účet v každém počítači, se kterým potřebuje pracovat (ke kterému se potřebuje přihlásit). Uživatelské účty jsou uloženy vždy v databázi zabezpečení (SAM, Security Account Manager) v místním počítači. Pokud chce uživatel využívat prostředky v jiném počítači, musí mít v takovém počítači účet se stejným přihlašovacím jménem a heslem. V opačném případě bude muset vždy při přístupu k síťovým prostředkům zadávat jméno a heslo. Pokud chce uživatel změnit své heslo, měl by tak učinit ve všech počítačích, neboť pouze tak dosáhne konzistence všech svých účtů a bude mít i nadále přístup ke sdíleným prostředkům v ostatních počítačích. Jakékoli nastavení zabezpečení nastavené pomocí konzoly Místní zásady zabezpečení platí pouze pro místní počítač.

Pracovní skupina je primárně určena pro malé sítě s dvěma až deseti uživateli, kdy uživatel potřebuje pracovat více než s jedním počítačem a mít přístup ke sdíleným prostředkům, jako jsou sdílené složky a síťové tiskárny. Ačkoli to vypadá spíše na samé nevýhody, něco pozitivního zde přece jen najdeme. Pořízení celého prostředí a následná správa je relativně levnou záležitostí (pokud samozřejmě nepřekročí rozumnou hranici počtu počítačů). Největší výhodou tohoto prostředí jsou minimální nároky na správu a znalosti správců. Pro větší a rozvíjející se prostředí je tedy nutné najít lepší model, který bude umožňovat jednodušší správu uživatelských účtů i ostatních prvků sítě a nebude závislý na růstu prostředí (je jedno, zda prostředí obsahuje desítky či stovky počítačů). Takovým modelem je doména.


53

Doména Doménu lze definovat jako logické seskupení prostředků v síti. Prostředky se rozumí počítače, uživatelské účty, skupiny uživatelů atd. Jak se bude doména tvářit v porovnání s pracovní skupinou? • V doméně existuje částečné hierarchické uspořádání počítačů. Na vrcholu hiearchie je počítač, který udržuje doménovou databázi, tzv. řadič domény. Nejedná se tedy o síť typu peer-to-peer, ve které jsou si všechny počítače rovny. • Uživatel má pouze jediný, takzvaný doménový účet. Ten může standardně použít k přihlášení ke každému počítači v doméně. • Účet uživatele je uložen v doménové databázi. Doménovou databázi udržuje řadič domény. Pokud je řadičů domény více, vyměňují si repliku doménové databáze (pro případ, že by některý z nich vypadl nebo pokud je v síti velký počet uživatelu a jeden řadič by takový počet nezvládal). • Přístup k prostředkům v jiných počítačích v doméně může být řízen doménovým účtem uživatele. Místní účty v daných počítačích nejsou nutné. • Pokud uživatel mění heslo, týká se to jeho doménového účtu. Se změněným heslem je tedy schopen se ihned poté přihlásit k jinému počítači. • Počítače v doméně lze zabezpečit pomocí nastavení Zásad skupiny definovaných pouze jednou pro celou doménu. Doménové prostředí je jedinou rozumnou volbou pro střední až velká prostředí. Umožňuje mnohem efektivnější správu, poskytuje větší zabezpečení prostředí a ve svém důsledku snižuje celkové náklady na výpočetní techniku.

Správa doménového prostředí V porovnání s pracovní skupinou je správa domény na první pohled mnohem složitější záležitost. Doména totiž v porovnání s pracovní skupinou nabízí mnohem více funkcí. Samozřejmě správcem domény se nelze stát přes noc, neboť každé funkci je třeba dostatečně porozumět a naučit se ji používat na správném místě a ve správné situaci. Hned na začátku je tedy nutné podotknout, že stát se dobrým správcem domény vyžaduje hodiny a hodiny studia a samozřejmě a hlavně praxi. Každá doménová funkce vyžaduje úplné pochopení, k němuž bývá mnohdy nutné vše pečlivě prověřit v laboratorn í m prostředí. Na druhou stranu je nutné podotknout, že i v původní literatuře se lze občas setkat s chybami, které ovšem odhalí pouze praxe. Pokud budete znát možnosti doménového prostředí a budete je umět nakonfigurovat a využívat, bude vaše práce mnohem jednodušší a efektivnější. V praxi se lze také setkat dosti často s opačnou situací. S nainstalovaným doménovým prostředím, jehož správci doméně dobře nerozumí, neznají její vlastnosti a funkce, a po kud je znají, neumějí je používat. Tak lze dosti často vidět i prostředí, kde se některé funkce, které jsou v doménových prostředích běžně k dispozici, řeší nákupem a konfiguraci dalších produktů. Pochopitelně se jedná o zbytečně vynaložené prostředky, navíc to znamená přítomnost dalšího softwaru v počítači, se kterým je nutné se naučit pracovat, je nutné řešit jeho zálohování, případně přenesení do jiného systému v případě havárie počítače atd. atd. Náklady na správu prostředí tím zbytečně rostou.

Závěr Doména je jediným prostředím, které lze efektivně spravovat během jeho změn, růstu i nasazování dalších technologií. Jednoduchým vodítkem pro posouzení, zda je doména spravována optimálně, jsou reakce správců na růst prostředí (to znamená na zvyšováni počtu uživatelů, pracovních stanic či obdobných požadavků). Správce, který drží svou do ménu pevně v rukou, nemusí mít žádné obavy před růstem spravovaného prostředí. Na opak, má pro tyto změny připravené postupy, případně upravené nástroje pro správu pro své kolegy či kolegyně, kteří nejsou plnohodnotnými správci domény, ale odpovídají a mají oprávnění k provádění dílčích činností. Pokud se správci růstu prostředí bojí, ne mají buď dostatečné znalosti nebo správu prostředí zanedbali.


54

Proč a jak se v síti překládají názvy Na začátek si vše ukažme na příkladu. Pokud chcete ze svého telefonu zavolat spolupracovníkům, pravděpodobně si jejich jméno vyhledáte v telefonním seznamu svého mobilního přístroje. Co když ale takový záznam v telefonu nemáte? V takovém případě pravděpodobně požádáte někoho jiného, aby vám telefonní číslo na kolegu či kolegyni poskytl, a hned poté, pokud předpokládáte, že jim nebudete volat naposledy, je zavedete do svého telefonního seznamu. Všichni tuto činnost již provádějí jaksi automaticky, přičemž na podstatu věci vůbec nemyslí. Koneckonců to ani není třeba. Na pozadí se v takovém případě odehrává proces překladu jmen spolupracovníků na jejich telefonní čísla. Proč? Jednoduše proto, protože lidé si lépe pamatují jména než konkrétní čísla. Právě proto existují telefonní seznamy v mobilních telefonech, v elektronické nebo papírové podobě. Síť mobilních i pevných telefonů je na tom z tohoto pohledu velmi podobně jako počítačová síť. Telefony, stejně jako počítače, mezi sebou komunikují pomocí čísel (u počítačů se jedná o adresy IP, u telefonů o telefonní čísla), uživatelé naproti tomu používají raději názvy. Každý tedy používá to, co je mu bližší. A aby se uživatelé s přístroji dohodli, je nutné, aby mezi nimi a počítači (nebo telefony) existovala služba, která bude umět potřebné údaje oběma stranám přizpůsobit. Této službě se říká „Překlad názvů".

Názvy počítačů V kapitole 2, „Instalujeme klientské počítače", jste provedli Instalaci několika pracovních stanic. Každý počítač během Instalace získal svůj název (PC001, PC002, v případě serveru SRVR001). Kolik má takový počítač vlastně názvů? Odpověď je jednoduchá. Každý počítač má dva názvy. Zajímavější bude, když si názvy počítače PC001 napíšeme pod sebe: 1. název PC001 2. název PC001 Vypadá to divně, že? Ano, máte pravdu. Ale pouze do té míry, že to tak „vypadá". Každý název je totiž určen pro něco úplně jiného. První z názvů (vzhledem k jejich rovnosti si tady můžete vybrat) je takzvaný hostitelský název (host name) počítače (nebo jiného zařízení). Obrázek 6.1 V poli Název počítače je uveden hostitelský název počítače

Druhý z názvů je takzvaným názvem rozhraní NetBIOS (Network Basic Input/Output System). Obrázek 6.2 Název rozhraní NetBIOS počítače


55

Nyní jste se opravdu přesvědčili o tom, že jsou oba názvy stejné. V čem se liší, si řekneme dále.

Název rozhraní NetBIOS Název rozhraní NetBIOS je identifikátorem, který používají služby NetBIOS spuštěné v počítači. Jeho délka je nejvíce 16 znaků. Prvních 15 znaků jsou běžné znaky a 16. znak je speciální - určuje funkci počítače (viz tabulka 6.1). Název NetBIOS

16. znak

Služba

SRVR001

00

Workstation

SRVR001

20

Server

SRVR001

01

Messenger

Tabulka 6.1 Příklady názvů NetBIOS

Názvy NetBIOS se používají k identifikaci prostředků v sítích NetBIOS. Obor názvů rozhraní NetBIOS je plochý (není hierarchický). To znamená, že název se používá samostatné a nikdy nemá žádnou příponu. Tím je však omezena jeho použitelnost - pokud by byl na názvech NetBIOS založen Internet, mohl by v celém Internetu existovat jediný po-čítač s názvem WWW. Z toho dále vyplývá, že žádné dva názvy spolu nemají nijakou souvislost a název NetBIOS tedy musí být v síti jedinečný. Následuje souhrn charakteristických vlastností názvů rozhraní NetBIOS: • Názvy NetBIOS se používají pro služby vyžadující rozhraní NetBIOS. Systémy Win dows XP Professional a Windows 2000 Professional toto rozhraní nepotřebují, po kud se však v síti vyskytují počítače s předchozími operačními systémy Windows, musí v síti existovat služba překladu názvů NetBIOS. • Název NetBIOS nemusí být nutně shodný s hostitelským názvem počítače. • Název NetBIOS musí být v síti jedinečný. Jediný počítač může být v síti reprezentován více názvy NetBIOS, neboť může plnit více různých služeb. Všechny místní názvy NetBIOS zobrazíte zadáním příkazu nbtstat -n na příkazovém řádku: C:\>nbtstat -n Pripojení k místni siti : Adredsa IP u z l u : 192.168.10.17 ID o b o r u : [] T a b u l k a m í s t n í c h n á z v ů systému NetBIOS Název PC001 SKUPINA PCOOl PCOO1 SKUPINA SKUPINA MSBROWSE

<00> <00> <20> <03> <1E> <1D> <01>

Typ

Stav

JEDINEČNÉ SKUPINA JEDINEČNÉ JEDINEČNÉ SKUPINA JEDINEČNÉ SKUPINA

Registrovaný Registrovaný Registrovaný Registrovaný Registrovaný Registrovaný Registrovaný

Hostitelský název H o s t i t c l s k ý název je jednoznačnou identifikací počítače nebo zařízení, pomocí které je Lze v síti nalézt Hostitelské názvy jsou standardem v Internetu. V porovnání s názvy NetBios mají větší použitelnost, neboť hostitelský název je částí úplného názvu v doméně (FQDN, Fully Qualified Domain Name), který představuje hierarchický obor názvů. To znamení, že více počítačů v síti může mít

stejný hostitelský název, přičemž se od sebe odlišují příponou DNS (Domain Name System).


56

Obrázek 6.3 Hostitelský název a úplný název v doméně

Například úplný název v doméně (FQDN) SRVR001.studny.local má dvě části. SRVR001 je hostitelským názvem a studny.local je příponou. Možná, že byste se například v Internetu mohli setkat s názvem SRVR001.jinadomena.cz. V takovém případě je hostitelský název počítače, ke kterému byste se takto připojili, stejný jako náš - SRVR001, ale úplný název v doméně se liší příponou (v tomto připadě jinadomena.cz). Pravděpodobnost, že byste se v Internetu setkali s hostitelským názvem SRVR001, je asi velmi malá, ale pokud si místo názvu SRVR001 dosadíte název WWW, budete jistě souhlasit, že s tímto výskytem není v Internetu problém. Hostitelský název se při instalaci počítače odvozuje od zadaného názvu při instalaci. Přípona názvu se buď doplní automaticky (pokud je počítač členem domény), nebo ji lze zadat později. Následuje souhrn charakteristických vlastností hostitelských názvů: • Hostitelský název se používá k určení počítače nebo jiného zařízení v sítích s pro tokolem TCP/IP. • Hostitelský název nemusí být nutně stejný s názvem rozhraní NetBIOS. • Maximální délka hostitelského názvu je 63 znaků. • Jediný hostitel může být v síti znám pod více hostitelskými názvy. Hostitelský název počítače se systémem Windows XP Professional (nebo Windows 2000 Professional) lze zobrazit pomocí nástroje HOSTNAME zadaného na příkazovém řádku: C: \>hostname pcOOl Systémy Windows 2000 a vyšší používají primárně hostitelské názvy. Mohlo by se tedy zdát, že na názvy rozhraní NetBIOS není nutné brát ohled. Ačkoli by to bylo z pohledu Správy domény žádoucí, málokdy se však stane, že v celé síti se nevyskytuje ani jeden počítač s předchozím z operačních systémů Windows. Sítě tedy nejsou homogenní a na názvy NetBIOS a jejich překlad je nutné neustále myslet.

Překlad názvů Protože je v sítích žádoucí, aby se pracovalo s názvy počítačů, je nutné zajistit jejich překlad na adresy IP. Proto je velmi důležité dobře pochopit všechny metody překladu hos-t ilelských názvů i názvů rozhraní NetBIOS a znát přesně postupy, ve kterých se uplatňují. V následujících odstavcích se podíváme na různé typy přístupů k překladu názvů a poté si vše vyzkoušíme.

Statické řešení překladu názvů Statické řešení je velmi podobné tištěnému telefonnímu seznamu. Prostě do něj nahlédnete, vyhledáte konkrétní osobu a její telefonní číslo. Aby vše pracovalo, musí mít takový seznam po ruce každý, kdo jej potřebuje. Přcvedeno do prostředí počítačů: Každý počítač, který chce komunikovat s ostatními pomocí názvů, jež přijal od uživatele nebo aplikací, musí mít po ruce tabulku, ve které je k dispozici konkrétní název a odpovídající adresa IP. Ne výhody statického překladu Nevýhoda takového řešení může být zřejmá ihned - pokud je záznam chybný (adresa IP je uvedena chybně), ke komunikaci nedojde. Taková situace se ale může vyskytnout velmi často - změna adresy IP není v sítích s protokolem TCP/IP žádným ojedinělým procesem. Sami si položte otázku, v jak velkém prostředí (tady jde pouze o počet počítačů a způsob adresování protokolu IP) budete schopni statický překlad názvů udržet funkční. Výhody statického překladu 57 Mistrovství v Microsoft Windows Server 2003

Na druhou stranu má tento způsob i své výhody - není například nutno konfigurovat v síti další služby, které by řešily překlad adres jiným způsobem. A nejen konfigurovat. Spra-vovat je, zálohovat, řešit případné potíže. Kde tedy naleznete využití pro statický překlad názvů? V sítích, které obsahují malý počet klientských počítačů se statickým adresováním protokolu TCP/IP, v sítích, kde není m o ž n é k o n f i g u r o v a t d a l š í sl u ž b y p r o d y n a m i c k ý p ř e k la d n á z v ů n e b o u k o n k ré t n íc h p o č í ta č u , j e ž s e n a p ř í k l a d k s í t i p ř i h l a š u j í v z d á l e n ě a k t e r é p o t ř e b u j í k o m u n i k o v a t p o u z e s konkrétními počítači.

Statické řešení překladu názvů NetBIOS Pro tyto účely je v operačních systémech Windows vyhrazen soubor s názvem LMHOSTS. Má-li se tento soubor účastnit procesu překladu názvů, musí být splněné následující podmínky: • Název souboru musí být LMHOSTS (bez přípony). • Soubor musí být uložen ve složce %systernroot%\system32\drivers\etc. • Soubor musí obsahovat potřebné položky. • Na kartě WINS v dialogu vlastností připojení k síti musí být zaškrtnutá položka Po volil hledání v souboru LMHOSTS.

Obrázek 6.4 Povoleni souboru LMHOSTS

Příklad obsahu souboru LMHOSTS: 192.168.10.2 192.168.10.17 192 .1 68 .10 .18

SRVR001 PC001 PC002

Každý řádek souboru LMHOSTS může obsahovat pouze jednu adresu IP a jediný název rozhraní NetBIOS. Statické řešení překladu hostitelských názvů Pro tyto účely je v operačních systémech Windows vyhrazen soubor s názvem HOSTS. Má-li se tento soubor účastnit procesu překladu názvů, musí být splněné následující podmínky: • Název souboru musí být HOSTS (bez přípony). • Soubor musí být uložen ve složce %systemroot%\system32\drivers\etc. • Soubor musí obsahovat potřebné položky. Příklad obsahu souboru HOSTS: 192.168.10.2 192.168.10.17 192.168.10.18

SRVR001 S R V R 0 0 1 . n a s e f i r m a . c z PC001 PC001.nasefirma.cz PC002 PC002.nasefirtna.cz

SRVR001.studny. 1ocal PC001. studny. 1 ocal

Rozdíl mezi souborem HOSTS a LMHOSTS je vidět na první pohled. Každý řádek souboru HOSTS může obsahovat pouze jednu adresu IP, ale více hostitelských či úplných názvů v doméně.


58

Dynamické řešení překladu názvů V každé firmě existuje telefonní seznam. Jsou dvě možnosti, jak jej zpřístupnit všem, kteří jej potřebují. Buďto jej vytisknout na papír a předat všem zaměstnancům k používání (v lepším případě odeslat jako přílohu elektronickou poštou) nebo jej udržovat centrálně a toto místo zpřístupnit (například pomocí webového prohlížeče). Druhý způsob má samozřejmě výhodu — dojde-li v seznamu ke změně, bude ihned po jediné úpravě k dispozici všem uživatelům. První případ by znamenal úpravu potřebného dokumentu a nové rozeslání všem zaměstnancům. To je jistě složitější, navíc není jis-té, že jej všichni začnou ihned používat nebo že si všichni ve své poštovní schránce (byl-li tímto způsobem odeslán) najdou ten správný dokument. Dynamický překlad názvů je velmi podobný druhému způsobu - udržování jediné databáze, k níž mají přístup všichni, kdo ji potřebují. Dynamické řešení překladu názvů NetBIOS Názvy NetBIOS a korespondující adresy IP jsou pro tento případ uložené v databázi služby WINS (Windows Internet Name Service). Databáze WINS musí být uložená na serveru WINS a server WINS je možné nainstalovat jako součást operačního systému Windows Server 2003 nebo Windows 2000 Server. To znamená, že v síti musí být alespoň jeden počítač se serverovým operačním systémem, jinak jsou jakékoli úvahy nad zavedením dynamického překladu názvů NetBIOS scestné. Jak se příslušné názvy a adresy IP do databáze dostanou? Každý počítač, který je klientem WINS (to znamená, že má definovánu adresu IP serveru WINS), provede při spuštění registraci všech svých názvů NetBIOS u daného serveru. Ten je zapíše do databáze a zpřístupní je tak ostatním počítačům či jiným zařízením v síti. Co když se počítač registrovat neumí? Potom je vždy k dispozici možnost zadat jeho názvy NetBIOS a příslušnou adresu IP ruč-ně. Vytvoří se tím statický záznam, který není možné odstranit jinak než opět ručně. Zároveň je u statických záznamů nutné kontrolovat jejich správnost a v případě nesouladu vše napravit. Jak se udrží informace aktuální? Při každém vypnutí počítač odešle serveru WINS požadavek na uvolnění záznamů. Při dal š í m spuštění počítače se situace opakuje a počítač registruje znovu své názvy NeBios do databáze WINS. Pokud má v tu dobu jinou adresu IP, zaregistruje názvy spolu s touto adresou.

Co když se ale počítač nevypne korektně a nestačí tedy zaslat serveru WINS požadavek na uvolnění registrovaných názvů? Nebo co když server WINS není v oka-mžiku vypnutí počítače k dispozici? Nevadí. Pokud server WINS zaznamená požadavek na registraci aktivních názvů NetBios ve své databázi, vyzkouší pomocí nástroje PING, zda jsou aktivní záznamy funkční, Po-kud ne, přeregistruje je novými. Pokud ano, nový požadavek na registraci od klienta odmítne. Jak již bylo předesláno, systémy Windows 2000 a vyšší pracují primárně s hostitelskými n.ázvy.

Dynamické řešení překladu hostitelských názvů Hostitelské názvy a příslušné adresy IP jsou pro tento účel uložené v databázi služby DNS (Domain Name System). Služba DNS představuje hierarchický prostor názvů a ukládá informace v takzvaných zónách. Zóny DNS je možné ukládat několika způsoby - buď jsou uložené v souborech na serverech se službou DNS nebo jsou součástí doménové databáze. Důležité je pamatovat si, že co zóna, to jeden soubor (v případě uložení ve formě souboru). Službu DNS je možné instalovat jako součást serverového operačního systému Windows 2000 Server nebo Windows Server 2003. Jak se hostitelské názvy a adresy IP do databáze dostanou? Počítače se systémem Windows XP Professional nebo Windows 2000 Professional mají schopnost zaregistrovat automaticky svůj hostitelský název a adresu IP do databáze služby DNS. Po zápisu jsou záznamy k dispozici všem ostatním klientům v síti. Co když jsou v síti počítače, které se zaregistrovat neumí? V takovém případě existují dvě možnosti. Příslušný záznam (nebo záznamy, pokud má počítač více adres IP) je možné vytvořit ručně. Pokud se pro adresování IP počítačů používá v síti server DHCP (který je součástí systému Windows 2000 Server nebo Windows Server 2003), lze jej nakonfigurovat tak, aby tuto registraci prováděl za klienty. To se vyplatí zejména v případě, pokud se v síti vyskytují klientské počítače se systémy Windows 95, 98, NT 4.0 apod. Jak se udrží informace aktuální? Při vypínání klientský počítač neodesílá serveru DNS žádné informace ani požadavky na odstranění svých záznamů. O jejich odstranění se musí postarat server DNS sám. Tato možnost však nemusí být vždy nakonfigurovaná. Ani v takovém případě se ale nic neděje. Při spuštění počítače se provede nová registrace s novou adresou IP a nový záznam je znovu aktuální. V zóně DNS poté budou dva záznamy se stejným názvem počítače, ale S jinou adresou IP. Na překlad názvů však tato situace nemá žádný vliv. Protože systémy řady Windows 2000 a vyšší pracují s hostitelskými názvy, je vhodné přemýšlet o nasazení služby DNS jako 59 Mistrovství v Microsoft Windows Server 2003

prostředku pro jejich překlad.

Překlad názvů v naší síti Při instalaci serveru neproběhla instalace služby WINS ani DNS. Při instalaci klientských počítačů byly jedinými parametry protokolu TCP/IP adresa IP a maska podsítě. Žádné adresy IP serveru WINS, žádné adresy IP serverů DNS. Pojďme se tedy podívat na překlad názvů v naší síti.

Hostitelské názvy Překlad hostitelských názvů nejlépe vyzkoušíme pomocí nástroje PING. 1. Přihlaste se k počítači PC001 jako správci. 2. Na příkazovém řádku zadejte příkaz PING SRVR001. 3. Výsleďek by měl být podobný následujícímu: C:\>ping srvrOOl P ř í k a z PING na srvrOOl

[192.168.10.2]

Odpověď Odpověď Odpověď Odpověď

bajty=32 bajty=32 bajty=32 bajty=32

od od od od

192.168.10.2: 192.168.10.2: 192.168.10.2: 192.168.10.2:

s délkou 32 bajtů:

čas=2ms TTL=128 č a s < 1ms TTL=128 č a s < 1ms TTL=128 č a s < 1ms TTL=128

S t a t i s t i k a p i n g pro 1 9 2 . 1 6 8 . 1 0 . 2 : Pakety: O d e s l a n é = 4, P ř i j a t é = 4, Ztracené = 0 ( z t r á t a 0%), P ř i b l i ž n á doba do p ř i j e t í m i l i s e k u n d á c h : M i n i m u m = 0ms, M a x i m u m = 2ms, Průměr = 0ms

odezvy v

4. Nyní se přihlaste k serveru SRVR001 jako správci. 5. Na příkazovém řádku zadejte příkaz PING PC001. 6. Výsledek by měl být podobný následujícímu: C : \ > p i n g pc001 P ř í k a z P I N G na pc001 [ 1 9 2 . 1 6 8 . 1 0 . 1 7 ] s 32 b a j t ů d a t : Odpověď Odpověď Odpověď Odpověď

od od od od

192.168.10.17: 192.168.10.17: 192.168.10.17: 192.168.10.17:


č a s < 1ms TTL=128 čas=1ms TTL=128 č a s < 1ms TTL=128 č a s < 1ms TTL=128

S t a t i s t i k a p i n g pro 1 9 2 . 1 6 8 . 1 0 . 1 7 : P a k e t y : O d e s l a n é = 4 , P ř i j a t é = 4 , Z t r a c e n é = 0 ( z t r á t a 0%) , P ř i b l i ž n á doba do p ř i j e t í m i l i s e k u n d á c h : M i n i m u m = 0m s , Maximum = l m s , Průměr = 0ms

odezvy v

Názvy NetBIOS Překlad názvů NetBIOS prověříme pomocí cest UNC. 1. Přihlaste se k počítači PC001 jako správci. 2. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte cestu UNC WSRVR001.

Mělo by se zobrazit okno se sdílenými prostředky počítače SRVR001 (viz obrázek 6.5). 3. Nyní se přihlaste k serveru SRVR001 jako správci. 4. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte cestu UNC WPC001. Pokud se zobrazí dialogové okno s požadavkem na zadání hesla pro účet Guest v počítači PC001, spusťte v počítači PC001 program Průzkumník Windows a v nabídce Nástroje klepněte na položku Možnosti složky. Poté na kartě Zobrazení zrušte zaškrtnutí políčka Použít zjednodušené sdílení souborů (Doporučeno). Mělo by se zobrazit okno se sdílenými prostředky počítače PC001 (viz obrázek 6.6).


60

Obrázek 6.5 Sdílené prostředky počítače SRVR001

Obrázek 6.6 Sdílené prostředky počítače PC001

Jak to tedy vlastně všechno je? Neinstalovali jsme žádnou ze služeb WINS ani DNS, nekonfigurovali jsme žádný ze souborů HOSTS ani LMHOSTS v žádném počítači, a přesto jsme pomocí názvů počítačů mohli komunikovat. Pro pochopení tohoto procesu je nutné znát postupy uplatňování jednotlivých možností překladu názvů. Nebo se lze zeptat obecně. Pokud se v síti používá služba WINS a v počítači je nakonfigurován také soubor LMHOSTS, co se uplatní? Co má přednost? Platí to samé pro službu DNS a soubory HOSTS? Udělejme si v tom tedy jasno. Znalost správné posloupnosti při překladu názvů vám ve složitějších sítích umožní nakonfigurovat co nejjednodušší řešení, o nutnosti znát tyto postupy pro odstraňování potíží ani nemluvě.

Postupy při překladu názvů Postupy pro překlad názvů jsou pevně dané a lze je modifikovat jen částečně. Hostitelské názvy K počítači PC001 se přihlásíte jako Administrátor a na příkazovém řádku zadáte příkaz PING SRVR001. Co se stane dále? Proběhne následující proces: 1. Počítač se zeptá sám sebe, zda se nejmenuje SRVR001. Odpověď je pochopitelně negativní, a přejde se tedy k dalšímu kroku. 2. Počítač se podívá do své mezipaměti DNS, zda se v ní nenachází záznam s mapo váním názvu SRVR001 na adresu IP. Pokud zde požadovaný záznam nebude, pře jde se k dalšímu kroku. 3. Počítač předá požadavek na překlad názvu serveru DNS. Náš počítač PC001 jej však nemá komu předat, neboť nemá definovánu adresu IP. Zde překlad hostitel ských názvů končí. Pravděpodobně vás nyní napadají další otázky. Jak je možné, že v předchozím případu došlo k překladu hostitelského názvu? Jaká je role souboru HOSTS? S odpovědí na první otázku ještě chvíli počkejme, odpověď na druhou otázku je následující:


61

Pokud soubor HOSTS obsahuje položky s hostitelskými názvy a adresami IP zařízení, potom se tyto položky ihned po uložení souboru HOSTS na pevný disk načtou do mezipaměti DNS počítače. To znamená, že takové záznamy se přeloží v kroku 2. Mezipaměť DNS

Mezipaměť DNS je součástí všech systémů Windows 2000 a vyšších. Slouží k tomu, aby K při častých požadavcích na překlad stejných názvů zbytečně nezatěžoval server DNS a požadavek se vyřešil místně. Zde jsou příkazy zadávané na příkazovém řádku pro prá-ci s mezipaměti DNS: Ipconfig /displaydns zobrazí obsah mezipaměti DNS. Ipconfig /flushdns vyprázdní obsah mezipaměti (samozřejmě poté ihned načte obsah souboru HOSTS). Tento příkaz se používá v případě, kdy je mapování názvu na adresu IP v mezipaměti neaktuální a je nutné obnovit komunikaci. Názvy NetBIOS Pokud například v počítači SRVR001 zadáte v dialogovém okně Spustit do pole Otevřít cestu DNC WPC001 a poté stisknete klávesu Enter, proběhne následující proces překla du názvu NetBIOS: 1. Počítač se zeptá sám sebe, zda právě on není tím, který je uveden v cestě UNC Pokud ne, přejde k dalšímu kroku. 2. Počítač se podívá do své mezipaměti NetBIOS a vyhledá mapování názvu na adresu IP. Pokud mapování nenalezne, pokračuje dalším krokem. 3. Počítač odešle žádost o překlad názvu prvnímu funkčnímu serveru WINS, jeho/adresa IP je uvedena v parametrech protokolu TCP/IP. Pokud není adresa IP za dána nebo server WINS nemá informaci o mapování požadovaného názvu na adresu IP, pokračuje se následujícím krokem. 4. Počítač do sítě odešle pomocí všesměrového vysílání (broadcasting) dotaz, zda v místní síti existuje počítač s daným názvem. Pokud počítač v místní síti neexistuje nebo existuje ve vzdálené síti, přejde se k dalšímu kroku. Všesměrové vysílání totiž neprochází přes směrovače. 5. Počítač bude hledat mapování názvu NetBIOS na adresu IP v souboru LMHOSTS. Zde překlad názvů NetBIOS končí. V souboru LMHOSTS lze u jednotlivých položek definovat poněkud odlišné chování. Pokud za ně připojíte řetězec #PRE, dojde při obnovení mezipaměti NetBIOS k načtení takového záznamu do mezipaměti NetBIOS a dotazy na tyto názvy jsou tak vyřizovány v prvním kroku a velmi rychle. Soubor LMHOSTS se vždy prochází sekvenčně. Pokud byste jej potřebovali v síti nasadit, zajistěte, že nejčastěji volané názvy budou uvedené mezi prvními. Mezipaměť NetBIOS Mezipaměť NetBIOS je součástí operačních systémů Windows (i nižších než Windows 2000). Časté příkazy pro práci s mezipaměti NetBIOS: nbtstat -c nbtstat -r

vypíše názvy vzdálených počítačů z mezipaměti (zde se například zobrazí položky ze souboru LMHOSTS následované řetězcem #PRE) vypíše přeložené názvy vzdálených počítačů (pomocí služby WINS nebo všesměrovým vysíláním)

Nyní odpověď na otázku, jak to bylo s překladem názvu počítače SRVR001, když překlad skončil u souboru HOSTS. Ona to totiž není až tak pravda. Lépe řečeno, společnost Microsoft ve svých produktech poněkud upravila postup překladu hostitelských názvů v tom smyslu, že pokud se název nepodaří přeložit standardním postupem, postupuje se dále tak, jako by se jednalo o název rozhraní NetBIOS. Pokud je však název delší než 15 znaků, překlad názvů se ukončí s negativním výsledkem.

Jak to tedy poté s překladem vypadalo? Poté, co nebyl záznam SRVR001 nalezen v souboru HOSTS, proběhla kontrola jeho přítomnosti v mezipaměti NetBIOS. Tam samozřejmě nalezen také nebyl, takže se přešlo k dotazu na server WINS. Jenže počítač PC001 nemá žádný server WINS ve vlastnostech protokolu TCP/IP definován, takže ani tudy cesta nevedla. Přešlo se tedy k všesměrovému vysílání (broadcasting) a vzhledem k tomu, že se oba počítače nacházejí ve stejné síti (192.168.10.0/24), pomocí tohoto vysílání se zjistila adresa IP a překlad byl vyřešen.


62

Proč ve vnitřní síti používat službu DNS Jak bylo na příkladu překladu názvu serveru SRVR001 ukázáno výše, přesto, že se jednalo o hostitelský název, byl nakonec přeložen pomocí jedné z metod používaných pro názvy NetBIOS. Pokud by bylo možné přeložit název některou z metod pro překlad hostitelských názvů, bylo by jistě vše rychlejší. Klientské počítače se systémem Windows 2000 a vyšším používají v doméně se systémem Windows 2000 a vyšším (tedy v doméně Active Directory) výhradně službu DNS. Kromě překladu názvů totiž tato služba zajišťuje jednu velmi zásadní věc, kterou je informace o umístění služeb v síti. Převedeno do jednoduché řeči se jedná o následující problematiku: Jako běžný uživatel přijdete k počítači se systémem Windows XP Professional, zapnete jej, vyčkáte na přihlašovací okno a poté zadáte svá pověření (tedy uživatelské jméno a heslo k doménovému účtu). Nyní je na klientském počítači, aby zajistil vyhledání řadiče domény (tedy počítače, který má jako jediný informaci o vašem účtu), jenž je schopen ověřil vaše přihlášení. Podle čeho to má ale klient zjistit? Nebo má snad tuto informaci zapsanou někde uvnitř v systému? Tyto informace u sebe klienti nenosí. Ani by to nemělo význam. Představte si situaci, kdybyste vypnuli svůj počítač po dobu l4denní dovolené a mezitím by v síti proběhlo přidání dalšího řadiče domény a hned poté odebrání původního. Nový řadič domény by měl jistě jiný název než jeho předchůdce a váš přihlašovací proces by se nezdařil. Tak to tedy není. Systémy Windows 2000 a vyšší se v doménách se stejným systémem orientují výhradně podle informací od služby DNS. Služba DNS tedy poskytuje informace o tom, který z po-čítačů je řadičem domény, případně i o dalších rolích. Klientské počítače ani nemají jinou cestu, jak tyto informace získat. Přítomnost služby DNS je tak v doménovém prostředí nevyhnutelná.

Instalace a konfigurace služby DNS Službu DNS lze instalovat pouze jako součást serverového operačního systému. Službu DNS nainstalujete podle následujících pokynů. 1. 2.

3. 4. 5.

6.

Přihlaste se k počítači SRVR001 jako správci. V Nabídce Start přejděte na položku Ovládací panely a poté klepněte na položku Přidat nebo odebrat programy. V levé části okna Přidat nebo odebrat programy klepněte na příkaz Přidat nebo odebrat součásti systému. V okně Průvodce součástmi systému Windows klepněte na položku Síťové služby a poté klepněte na tlačítko Podrobnosti. V okně Síťové služby zaškrtněte položku Domain Name System (DNS) a poté klepněte na tlačítko OK. Klepnutím na tlačítko Další spustíte instalaci služby DNS. Během instalace můžete být požádáni o vložení instalačního disku CD-ROM se systémem Windows Server 2003.

Proběhne instalace služby DNS, která nebude vyžadovat restartování systému.

Konfigurace služby DNS Nyní je tŕeba server DNS nakonfigurovat. Mapování názvů prostředků s adresami IP se na ser ver u DNS ukládá v takzvaných zónách. Formát názvů zón je již poměrně známy ze jména z Internetu. Někdy se lze také setkat s názvem doména, což ale není

úplně přesné označení (zóna totiž může obsahovat prostředky pro více domén). Nadále tedy budeme používat výhradně termín zóna. Další otázkou v pořadí je název zóny. Tady je hlavním vodítkem použití zóny. Pokud bude sloužit k překladu názvů zařízení na adresy IP ve vnitřní síti, můžete si vymyslet název, jaký chcete. Pokud má sloužit pro překlad názvů na adresy IP v Internetu, je nutné zvolit takový název, který se ještě v Internetu nevyskytuje a jenž je v Internetu platný. Zároveň je nutné tento název zaregistrovat u odpovědné organizace (v Čechách je to od října 2003 kromě NIC několik dalších organizací). Obrázek 6.7 Výběr součástí operačního systému Windows


63

Obrázek 6.8 Síťové služby systému Windows Server 2003

Vzhledem k tomu, že naše zóna bude sloužit výhradně ve vnitřní síti, nazveme ji stud-ny.local. Zónu vytvoříte podle následujících pokynů. 1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku DNS. Zobrazí se konzola s názvem serveru SRVR001. 2. V levém podokně rozbalte položku serveru, poté klepněte pravým tlačítkem myši na položku Zóny dopředného vyhledávání a zvolte položku Nová zóna. V Průvodci vytvořením zóny klepněte na tlačítko Další. 3. V dialogovém okně Typ zóny ponechte zaškrtnutou položku Primární zóna a klepněte na tlačítko Další. 4. Do pole Název zóny zadejte text studny.local. Pokračujte klepnutím na tlačítko Další 5. V dialogovém okně Soubor zóny ponechte zaškrtnuté políčko Vytvořit nový soubor s následujícím názvem i název souboru studny.local.dns. Klepněte na tlačítko Další. 6. V části dynamická aktualizace zaškrtněte políčko Povolit nezabezpečené a zabezpečené dynamické aktualizace a poté klepněte na tlačítko Další. Obrázek 6.9 Povolení dynamické aktualizace zóny

Poznámka Označení nezabezpečené je zde plně v právu. U vnitřní sítě se však nejedná o žádný velký problém, proto nás tato situace nemusí moc pálit. Navíc nebude trvat dlouho a zónu si řádně zabezpečíme.

7. Průvodce vytvořením zóny dokončíte klepnutím na tlačítko Dokončit. Posledním krokem je konfigurace stávajících počítačů tak, aby mohly informace v zóně využívat. Týká se to konfigurace protokolu TCP/IP a zón DNS ve všech počítačích. Vzhledem k lomu, že jsme nakonfigurovali dynamické aktualizace informací v zóně DNS, ne bude nutné žádné další informace do zóny přidávat. Konfigurace serveru SRVR001

1. V Nabídce Start přejděte postupně na položky Ovládací panely, Síťová připojení a poté klepněte pravým tlačítkem myši na položku Připojení k místní síti. 2. V místní nabídce klepněte na položku Vlastnosti.


64


65

Obrázek 6.10 Čerstvě vytvořená zóna DNS studny.local

3. V okně vlastností připojení k místní síti klepněte na položku Protokol sítě Internet (TCP/IP) a poté na tlačítko Vlastnosti. Otevře se okno vlastností protokolu TCP/IP. 4. Do pole Upřednostňovaný server DNS zadejte adresu IP serveru SRVR001 192.168.10.2. Server tedy bude sám sobě klientem DNS. Poznámka Pokud je počítač serverem DNS, musí mít jako adresu IP serveru DNS svou vlastní adresu. Pouze tak se vyhnete potížím a chybovým zprávám v protokolu DNS.

5. Postupným klepnutím na tlačítko OK zavřete všechna okna. 6. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce klepněte na položku Vlastnosti. 7. V dialogovém okně Vlastnosti systému klepněte na kartu Název počítače a poté na tlačítko Změnit. 8. V dialogovém okně Změnit název počítače klepněte na tlačítko Další. 9. V dialogovém okně Přípona DNS a název počítače pro rozhraní NetBIOS zadejte do pole Primární přípona DNS tohoto počítače název zóny studny.local. Klepnutím na tlačítko OK zavřete okno. 10. V dialogovém okně Změny názvu počítače nyní v části Úplný název počítače vidíte název srvr00l.studny.local, tedy název sestávající z hostitelského názvu a přípony DNS. Tento název musí být v síti jedinečný. Dialogové okno zavřete klepnutím na tlačítko OK. Tato změna vyžaduje restartování počítače. 11. Po restartování počítače spusťte znovu konzolu DNS a v levém podokně klepněte na zónu studny.local. V pravé části okna si poté všimněte vytvořeného záznamu A (Hostitel) serveru SRVR001. Konfigurace klientských počítačů

1. Přihlaste se k počítači PC001 jako správci. 2. V Nabídce Start klepněte na položku Ovládací panely. V okně Ovládací panely poté poklepejte na panel Síťová připojení. 3. V pravé části okna Síťová připojení klepněte pravým tlačítkem myši na položku Připojení k místní síti a poté v místní nabídce na položku Vlastnosti. 4. V dialogovém okně Připojení k místní síti — vlastnosti klepněte na položku Protokol sítě Internet a poté na tlačítko Vlastnosti. 5. Do pole Upřednostňovaný server DNS zadejte adresu IP počítače SRVR001 - 192.168.10.2. Poté klepněte na tlačítko OK. Dialogové okno vlastností připojeni zavřete klepnutím na tlačítko Zavřít. 6. Dále postupujte podle výše uvedených bodů 6 až 10. Změna bude vyžadovat restartování počítače. Zavřete všechna okna a klepnutím na tlačítko Ano restartujte počítač. Po restartování počítače PC001 spusťte v počítači SRVR001 konzolu DNS a zobrazte obsah zóny studny.local. Mezi položkami se objevila nová — hostitelský záznam počítače PC001 a příslušná adresa IP. Pokud položku nevidíte a vše jste nastavili správně, ještě chvilku počkejte. Zřejmě se v počítači PC001 ještě nespustily služby sítě. Poznámka Systém Windows XP Professional je navržen tak, že umožní přihlášení uživateli ještě před spuštěním síťových služeb. Pro většinu domácích uživatelů je to naprosto vyhovující záležitost, neboť spuštění počítače je tak oproti předchozím verzím rychlejší. V našem prostředí to však není úplně optimální. Ještě později se k této záležitosti vrátíme.

V konzole DNS poklepejte na položku Záznam Start of Authority a všimněte si hodno-ty v poli Sériové číslo. Nyní má hodnotu 3. Toto číslo vždy začíná hodnotou 1 a zvedá se o jedničku při každé změně. Dosud proběhly dvě změny, proto má nyní hodnotu 3. Tuto hodnotu můžete upravit, v našem prostředí to však nebude mít žádný efekt. V praxi dávejte na editaci této hodnoty pozor - zejména v případech, kdy se setkáte s více servery DNS. Nyní se přihlaste k serveru SRVR001 jako správci a na příkazovém řádku zadejte příkaz PING PC001. Odpověď by měla být podobná následující: C:\>ping pc001 Příkaz PING na pc00l.studny.1ocal [192.168.10.17] s délkou 32 bajtů:


66

Odpověď Odpověď Odpověď Odpověď

od od od od

192.168.10.17: 192.168.10.17: 192.168.10.17: 192.168.10.17:


čas čas čas čas

< < < <

lms lms lms lms

TTL=128 TTL=128 TTL=128 TTL=128

Statistika ping pro 192.168.10.17: Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%), Přibližná doba do přijeti odezvy v milisekundách: Minimum = Oms, Maximum = Oms, Průměr = Oms Nyní porovnejte tento výstup s výstupem příkazu PING PC001 z části Překlad názvů v naší síťi výše. Našli jste rozdíl? Ačkoli rozdíl nemusí být na první pohled postřehnutelný, je velmi podstatný. V prvním přépadě bylo ve výstupu zobrazeno Příkaz PING na pc00l, zatímco ve druhém případě Příkaz PING na pc00l.studny.1ocal .

Závěr Zatímco uživatelé používají pro komunikaci s ostatními počítači v síti názvy, počítače mezi sebou komunikují pomocí adres IP. Adresy IP jsou však pro uživatele nezapamatova-telné, a pro úspěšnou komunikaci uživatel <-> počítač je tak nutné používat službu, která tuto komunikaci zjednoduší. Každý počítač vystupuje v síti pod dvěma názvy (hostitelský název a název rozhraní NetBIOS). Zatímco systémy Windows 2000 a vyšší používají primárně hostitelské názvy, starší operační systémy komunikují pomocí názvů rozhraní NetBIOS. Pro překlad každého názvu na adresu IP existují jiné metody, které lze navíc rozdělit na statické a dynamické. Pro překlad hostitelských názvů se používá statický soubor HOSTS nebo dynamická služba DNS, pro překlad názvů NetBIOS se používá statický soubor LMHOSTS či dynamická služba WINS. Dále existují jednoznačné postupy, které říkají, kdy se která možnost uplatní. Zatímco služba WINS umožňuje dynamickou aktualizaci záznamů již od svého vzniku, služba DNS je schopna akceptovat dynamické aktualizace až od systému Windows 2000 Server. Mezi klienty, kteří jsou schopni své jméno registrovat, patří operační systémy Windows 2000/XP/2003, pro starší operační systémy to může provádět server DHCP v systému Windows 2000/2003. Služba DNS se instaluje jako součást operačního systému a její instalace nevyžaduje re-startování počítače. Poté je nutné nakonfigurovat zónu (či zóny), za niž bude server DNS odpovědný, tedy pro kterou bude provádět překlad názvů na adresy IP. Pokud je počítač zároveň serverem DNS, je třeba, aby byl sám sobě klientem, to znamená, že jako upřednostňovaný server DNS musí mít nastavenu vlastní adresu IP. Ačkoli se konfigurace služby DNS může zdát komplikovaná, není tomu tak. Oproti systému Windows NT 4.0 Server je výrazně jednodušší, navíc umožňuje dynamickou aktualizaci klientů.

Stav sítě V síti přibyla instalace služby DNS a server i klienti jsou nyní nakonfigurováni pro její používání. Dále byla u klientských počítačů změněna primární přípona DNS, pomocí které klienti vědí, ve které doméně DNS mají záznamy vyhledávat.


67

Instalujeme Doménu V kapitole 5, Jak růst s firmou?", jsme provedli krátké porovnání prostředí pracovní skupiny a domény. Zároveň jsme uvedli, že prostředí domény je rozumné pro střední a velké sítě, ve kterých by správa uživatelských účtů v pracovní skupině již byla nikdy nekončící a vyčerpávající dřina. Kromě jednodušší správy účtů nabízí doména ještě další a další funkce týkající se správy ostatních objektů, které se v síti běžně vyskytují. Umožňuje provádět jednoduchou a automatickou instalaci operačního systému dalších klientských počítačů, jejich aplikací, určovat úroveň zabezpečení počítačů a například i určit, jak který klientský po-čítač bude pracovat a co bude či nebude konkrétní uživa-te l smět provádět. To vše lze provádět z jediného místa a samozřejmě pouze s patřičnými znalostmi. Co to vlastně doména je, jak vypadá v prostředí systému Windows Server 2003 a jak se instaluje, si uvedeme v dal-ších částech této kapitoly.

Co je to Active Directory? Doména je vlastně databází, která by měla obsahovat všechny objekty v síti (správná doména tyto objekty obsahuje). To znamená, že v doméně by se měly objevit na-příklad veškeré účty uživatelů, skupiny uživatelů, účty počítaču, informace o tiskárnách a informace o dalších ob-jektech. Tyto další objekty sice nebývají pro správce tak „viditelné", jako jsou například uživatelské účty, ale jsou reprezentací některých prvků sítě, a měly by tedy rozhodne součástí domény být. Domény tedy lze představit jako logické seskupení objektu v síti. U drtivé většiny objektů totiž vůbec není podstat-né, na jakém fyzickém místě v síti se nacházejí, některé objekty takový atribut ani nemají. Doména neboli doménová databáze však není jen seskupeni objektů. Této databáze se také lze dotazovat na různé věci (například v jakém oddělení pracuje uživatel Jaroslav Hluboký). A protože databáze na položené dotazy odpovídá (a odpovídá na ně dobře), plní roli i jakési služby (služby doménové databáze jsou mnohem rozsáhlejší, pro tuto kapitolu to však není podstatné). Doménu tedy můžeme nazvat databázovou službou a pokud si za slovo „databázovou" dosadíte častěji používané slovo „adresářovou", dostáváte označení „adresářová služba". A názvem adresářové služby se systémem Windows Server 2003 (stejně jako Windows 2000 Server) je Active Directory. Active Directory (AD) je tedy hierarchické úložiště, které zároveň nabízí snadný přístup k uloženým informacím o veškerých prostředcích v síti. Pomáhá uživatelům a aplikacím tyto prostředky nalézt a přistupovat k nim, navíc zajišťuje, že se k informacím dostane pouze oprávněná osoba, tedy taková, která má potřebné oprávnění. I tato oprávnění jsou uložena v databázi Active Directory. Řadič domény Počítač, který plní roli serveru s adresářovou službou, se nazývá řadič domény. Jinými slovy - řadič domény je počítačem, ve kterém je uložena celá databáze Active Directory. Všechny dotazy na adresářovou službu nebo obecně všechny požadavky na přístup k informacím uloženým v doméně vyřizuje právě takový počítač. Role řadiče domény je tak v síti velmi důležitou rolí, na které velmi výrazně závisí správná funkce sítě. Proto se i k počítačům plnícím roli řadiče domény (DC, Domain Controller) přistupuje opatrněji než k ostatním počítačům. Proto mívají tyto počítače vyšší stupeň zabezpečení (jak z pohledu domény, tak i fyzického), instalují se na spolehlivý a dostatečně vybavený hardware. Navíc se málokdy (to platí zejména pro větší prostředí) využívají jako servery plnící další role, například aplikační, databázové, souborové či tiskové servery. Každá společnost s doménovým modelem začne vždy instalací prvního řadiče domény. Žádný řadič domény však není vždy stoprocentní, a může se stát, že za nějaký čas používání odejde jeho hardwarová (například paměť nebo pevný disk) nebo jiná důležitá součást. Co se v takovém případě může stát? Protože je řadič domény jediným počítačem, který udržuje databázi Active Directory, nebude v případě jeho výpadku tato databáze k dispozici. Znamená to, že uživatelé se nebudou moci přihlašovat pomocí svých doménových účtů, nebudou moci získat přístup k prostředkům v síti a podobně. Protože se však výpadku řadiče domény předejít nedá, je nutné tuto situaci vyřešit již při plánování domény. Řešením je v takovém případě více řadičů domény. Více řadičů domény

Každému uživateli stačí k práci v prostředí domény jediný uživatelský účet. Pokud je však v doméně více řadičů domény, nebude to s jediným uživatelským účtem v rozporu? Nebude! Při instalaci dalšího řadiče domény nedochází k vytvoření nové databáze Active Directory, ale vytvoří se takzvaná replika stávající. Každý řadič domény tak bude udržovat stejné adresářové informace (včetně uživatelských účtů). Pokud v takovémto prostředí přestane jeden z řadičů domény pracovat, začnou se klienti automaticky obracet na jiný, a jejich práce tak nebude přerušena ani ztížena..


68

Co když doména nestačí? Otázku Co když doména nestačí? nelze chápat tak, že existuje ještě lepší model správy prostředí sítě než je doménový. Je třeba se na ni podívat z pohledu síťového prostředí, které nelze do jedné domény vměstnat (možná by tedy bylo lepší napsat „Co když jedna doména nestačí?"). Nejde o to, že by doména Active Directory byla omezena počtem objektů. Ona tedy je omezena počtem několika milionů objektů, ale to nás jistě trápit nemusí. Je to však výrazný pokrok oproti doméně se systémem Windows NT 4.0, která byla omezena počtem 40 tisíc objektů (i když i toto omezení bylo v našich zeměpisných šířkách nedosažitelné). V praxi se skutečně může někdy stát, že jediná doména nebude pro správu celého prostředí postačovat. Uveďme si situace, kdy k takovému stavu může dojít. • Politické rozhodnutí Tedy rozhodnutí vedení společnosti. Správci sice tato rozhodnutí nijak nevítají, nicméně ve většině případů je musí respektovat. • Jedinečné zásady Pokud bude mít organizace například požadavek, že hesla uživatelů z oddělení vývoje musí být dlouhá nejméně 10 znaků, zatímco hesla ostatních uživatelů musí být dlouhá „pouhých" 8 znaků, je to důvod pro vytvoření další domény. Dva či více různých požadavků na tuto zásadu nelze v prostředí jediné domény aplikovat. • Vytížení síťových linek Když se v doméně vytvoří nový uživatelský účet (nebo jiný objekt), dochází k jeho replikaci na všechny řadiče domény. Pokud bude mít organizace například dvě pobočky, které budou spojeny nespolehlivou a pomalou linkou, nebude možná chtít, aby byla tato linka zatěžována replikacemi adresářové služby. Řešení takového požadavku je ve vytvoření další domény. • Požadavky na názvy domén Název stávající domény nemusí organizaci vyhovovat například pro uživatele z nového oddělení nebo nové pobočky. Vzhledem, k tomu, že doména nemůže mít více názvů, je řešením instalace další domény. V praxi se v našich zeměpisných šířkách lze setkat s prostředími, která mají více domén. Jedná se však spíše o pobočky zahraničních společností nebo o velmi velká prostředí. Pokud se vaší organizace nebude týkat žádná z výše uvedených poznámek, jistě vystačítes jedinou doménou.

Stromy Active Directory Pokud má jedna organizace více domén, má dvě možnosti, jak je logicky uspořádal. Prv-ní z možností je takzvaný doménový strom. Doménový strom se vyznačuje tím, že všechny jeho domény sdílejí souvislý obor názvu Znamená to, že název domény v nejvyšší úrovni (tzv. kořenové domény) se vyskytuje na Konci názvu každé podřízené domény. V uvedeném příkladu se název podřízené domény skládá ze slova europe a z názvu kořenové domény (microsoft.com). Mezi všemi doménami stromu Active Directory (a jejich počet není omezen) existuji takzvané vztahy důvěryhodnosti. V praxi to znamená, že například uživatelé, kleří mají svéúčty v doméně microsoft.com, mohou získat prostřednictvím svého doménového účtu přistup ke sdílené složce v doméně europe.microsoft.com, samozřejmě za předpokladu, že jim jej správce domény europe.microsoft.com udělí. Tyto vztahy důvěryhodností se vy tvářejí automaticky během instalace nových domén a nesou si s sebou dvě významné vlastnosti:

• jeden les • jeden strom • dvě domény

Obrázek 7.1 Příklad stromu Active Directory

• jeden les • dva stromy • dvě domény

Obrázek 7.2 Les Active Directory se dvěma stromy


69

• Vztahy důvěryhodnosti jsou obousměrné V uvedeném příkladu to znamená, že uživatelé z domény microsoft.com mohou přistupovat k prostředkům v doméně europe.microsoft.com a naopak, uživatelé z domény europe.microsoft.com mohou přistupovat k prostředkům v doméně microsoft.com. • Vztahy důvěryhodnosti jsou přenosné (tranzitivní) Pokud si mezi sebou navzájem důvěřují domény microsoft.com a europe.microsoft.com a microsoft.com a asia.microsoft.com, znamená to, že si automaticky důvěřují také domény europe.microsoft.com a asia.microsoft.com. Není tedy nutné vytvářet mezi posledními dvěma jmenovanými doménami ručně vztah důvěryhodnosti.

Lesy Active Directory Organizace, která má jednu doménu (tedy jeden strom) nebo více domén (stále jeden strom), může například koupit jinou zavedenou společnost. Například řekněme, že organizace Studny, s.r.o. koupí společnost Výškové budovy, a.s. Organizace Studny, s.r.o. může mít svou doménu Active Directory s názvem studny.local a společnost Výškové budovy, a.s. může mít také svou doménu s názvem vyskovebudovy.cz. Cílem spojení společností bude jistě mimo jiné propojit i svou síťovou infrastrukturu a správu domén. Řešením takové situace je spojit dvě domény do jedné struktury, požadavek však může znít tak, že obě domény si musí ponechat své názvy (důvodem takového rozhodnutí mohou být například požadavky používaných aplikací nebo zvyklosti uživatelů). Vzhledem k naprosto odlišným (tedy nesouvislým) názvům již nelze zvažovat jako výslednou strukturu jediný strom Active Directory, ale stromy dva. Protože je však nutné tyto domény z pohledu jejich správy spojit, je řešením vytvořit dva stromy, oba v jediném lese Active Directory. I mezi dvěma doménami z různých stromů v rámci stejného lesa existují automaticky obousměrné a přenosné vztahy důvěryhodnosti. Proto lze toto prostředí spravovat mnohem efektivněji než kdyby domény zůstaly naprosto oddělené. Nyní jsme se přenesli do poněkud jiných prostředí, než které je naším cílem v této knize pochopit a naučit se spravovat, pro hrubou představu o možných strukturách Active Di-rectory je ale dobré mít o těchto modelech alespoň základní informace. Zde totiž možnosti logických struktur Active Directory končí. Nutno dodat, že stejně jako počet domén ve stromu není omezen ani počet stromů v lese. Dovedete si nyní představit prostředí se dvěma lesy Active Directory? Pokud ano, je vše v pořádku, pokud ne, zde je řešení: představte si například strukturu Active Directory společnosti Microsoft (uvedenou jako příklad na obrázku 7.1) a k tomu doménu Active Di-rectory své společnosti. Ano, pokud se mluví o více lesech, jedná se o naprosto nezávis-lá prostředí, a ve většině případů tedy o naprosto nezávislé společnosti. Otázka na závěr: Pokud nainstalujete jedinou doménu Active Directory, kolik existuje stromů a kolik lesů Active Directory?

Na jaké místo doménu logicky zařadit? Odpověď na tuto otázku je tím jednodušší, čím menší prostředí budeme instalovat. Vzhledem k tomu, že každé prostředí má jedinou kořenovou doménu Active Directory (to je doména, která byla nainstalovaná jako první), je v případě instalace jediné domény situ-ace naprosto jednoznačná. Zajímavější to začíná být v případě, kdy má mít společnost více domén. Pojďme se podívat na několik případů. Prostředí s více doménami, pokud již doména Active Directory existuje Příkladem takové situace může být společnost se sídlem v Praze s již nainstalovanou do ménou Active Directory. Kořenová doména tedy již existuje, a pokud musí dojít k instala-ci i další domény (například pro pobočku v Plzni), musí to být buďto podřízená do ména té stávající (výsledkem buďe jeďiný strom) nebo první doména nového stromu. Zde je však nutné připomenout, že důvodem pro vytvoření dalšího stromu je čistě jen udrže-ni původního názvu, což je u nově instalované domény bezpředmětné. Výsledná struktura domén Active Directory by mohla být podobná té na obrázku 7.3.


70

• jeden les • jeden strom • dvě domény Obrázek 7.3 Výsledná struktura domén Active Directory

prostředí s více doménami, pokud žádná doména neexistuje Příkladem této situace může být podobná firma, která se chystá nainstalovat prostředí Active Directory a již v tuto chvíli ví, že bude potřebovat více domén. Výsledný model může být stejný jako v předchozím případě, může však také vypadat úplně jinak. Z hlediska správy je mnohem přehlednější vědět, že uživatelé v sídle společnosti v Praze budou členy domény s názvem praha.firma.cz a uživatelé v pobočce Plzeň budou členy domény plzen.firma.cz. Další rozšiřování firmy by tak bylo z pohledu správy prostředí konzistentní a všechny domény by byly na stejné úrovni. Jak ale v takovém případě celý model vyřešit? Vždyť dříve bylo uvedeno, že vždy musí existovat pouze jediná kořenová doména, od které se odvíjejí názvy podřízených domén. |ak to může dopadnout, ukazuje obrázek 7.4.

Obrázek 7.4 Výsledná struktura domén Active Directory

Prostředí s jedinou doménou V tomto případě není z pohledu návrhu doménového modelu co řešit. Výsledné prostředí bude sestávat z jediného lesa o jednom stromu obsahujícím jedinou doménu Active Di-rectory. Mimochodem, všimli jste si, že zde je uvedena odpověď na otázku z odstavce Lesy Active Directory?


71

Obrázek 7.5 Výsledná struktura Active Directory

Jaký má mít doména název? Názvy domén Active Directory se v porovnání s doménami se systémem Windows NT 4.0 změnily. Nyní odpovídají názvům, na které jsme zvyklí z Internetu. Zatímco například dříve by se doména jmenovala FIRMA, nyní má navíc ještě příponu (například FIRMA.CZ). Samostatný název FIRMA je názvem rozhraní NetBIOS, zatímco název FIRMA.CZ je názvem DNS. Názvy NetBIOS využívají systémy starší než Windows 2000, názvy DNS využívají primárně systémy Windows 2000, Windows XP a řada systémů Windows Server 2003. Z důvodu zpětné kompatibility je tedy nutné definovat stále názvy oba a doména Active Directory tak i nadále vystupuje. Pro klientské počítače se systémem Windows NT <í ,0 Workstation tak bude vystupovat pod názvem FIRMA, zatímco pro klienty se systémem Windows XP Professional pod názvem FIRMA.CZ. Pokud se rozhodnete nainstalovat doménu Active Directory se systémem Windows 2000 Server, je nutné velmi pečlivě zvolit její název, neboť ten později není možné změnit. Název kořenové domény určuje „elektronickou identitu" společnosti. Od něj se odvíjejí názvy případných dalších domén ve stejném stromu. Při jeho volbě je nutné dbát na požadavky vedení společnosti, na znalosti uživatelů, na existenci či neexistenci názvu domény v Internetu a na způsob vedení záznamů zóny DNS internetové domény.

Volba přípony názvu domény Nedílnou součástí názvu domény je její přípona. Při plánování nasazení domény Active Directory stojí většina firem před rozhodnutím, zda použít: • Příponu, kterou lze použít v Internetu Pokud má například společnost prezentaci v Internetu pod názvem firma.cz, může tuto příponu použít i v názvu domény Active Directory. Pokud společnost prezentaci nemá, může tento název samozřejmě použít také a v Internetu se prezentovat později. • Příponu, kterou nelze v Internetu použít Bez ohledu na internetovou prezentaci může společnost použít v názvu domény Active Directory příponu, která se v Internetu nemůže objevit (například local). Každá volba má své výhody i nevýhody a záleží na konkrétním případu, co bude pro společnost výhodnější. Obecně platí, pokud společnost má nebo plánuje prezentaci v Internetu (například firma.cz), měl by být název interní domény Active Directory j i n ý a t a k o v , který se v Internetu nemůže objevit (například firma.local). Takové řešeni je pro správce přehlednější, pokud si navíc společnost sama vede zónu DNS pro svou in-ternetovou prezentaci, je možné správu této zóny oddělit od správy zóny DNS pro potřeby domény Active Directory. Protože naše společnost Studny, s.r.o. jistě bude mít v budoucnu vlastní internetovou pre-zentaci, zvolíme název domény podle výše uvedeného doporučení na studny.local. Pokud budete instalovat doménu se systémem Windows 2000 Server, je třeba věnovat jejímu názvu pečlivou pozornost, neboť později nelze rozhodnutí změnit. Doména Active Directory se systémy Windows Server 2003 umožňuje změnu názvu, pouze však za použití speciálního nástroje Domain Rename Tool, který je k dispozici na instalačním disku CD-ROM se systémem Windows Server 2003 nebo jejž lze stáhnout z webových stránek společnosti Microsoft.


72

Co musí být před instalací domény připraveno? Stejně jako na jakoukoli jinou instalaci je nutné se připravit také na instalaci domény Active Directory. Dále je uveden seznam všech náležitostí, které je vhodné (a ve většině případů nezbytné) dopředu připravit. Vše se týká instalace kořenové domény Active Directory, která bude později provedena. • Operační systém Roli řadiče domény lze nainstalovat pouze v serverovém operačním systému. Budeme tedy potřebovat některý ze systémů řady Windows Server 2003. • Potřebná oprávnění V případě instalace prvního řadiče kořenové domény jenutné přihlásit se jako místní správce počítače. • Název DNS domény Pro naši doménu jsme určili název DNS studny.local. Další informace k názvům domén jsou uvedené výše. • Název NetBIOS domény Tento název je určený pro klientské operační systémy nižší než Windows 2000, které primárně využívají názvy NetBIOS. Instalační program standardně nabízí jako název NetBIOS první část názvu DNS (v našem pří padě studny). Ve většině případů jej můžete ponechat. • Umístění důležitých souborů domény Během instalace je nutné určit umístění databáze Active Directory a protokolů transakcí a složky SYSVOL. Databázi a protokoly transakcí lze kdykoli později přesunout na jiné místo, složky SYSVOL nikoli. • Kompatibilita oprávnění s nižšími systémy Pokud budou v síti pouze servery se systémy řady Windows Server 2003 nebo Windows 2000 Server, není nutné zachovávat oprávnění kompatibilní s nižšími systémy. Toto nastavení se netýká operačních systémů klientských počítačů. • Heslo pro obnovení adresářové služby Pokud byste v budoucnu potřebovali provést obnovení domény Active Directory ze zálohy, je nutné řadič domény spustit v režimu obnovení adresářové služby a přihlásit se pomocí účtu Administrátor a hesla zadaného v tomto kroku instalace domény. Poznámka

•

Toto heslo je jedno z nejdůležitějších. Není nic horšího, než po dvou letech, kdy se náhle vyskytne nutnost obnovit doménu Active Directory, zjistit, že toto heslo neznáte. V takovém případě samozřejmě máte smůlu (kterou jste si ale zavinili sami) a doménu Active Directory neobnovíte.

Síťové součásti Server, který se stane řadičem domény, musí mít správně nakonfigurované síťové součásti a jeho síťové připojení musí být aktivní (síťový adaptér musí být připojen k síti).

Služba DNS Adresářová služba Active Directory je úzce spjata se službou DNS. Tak úzce, že se bez ní neobejde. Využívá ji k vyhledávání informací v síti, stejně tak ji využívají klientské počí-tače při vyhledávání důležitých služeb v síti. Služba DNS je tedy dalším nutným předpokladem pro správnou funkci domény Active Directory. V naší síti jsme službu DNS nainstalovali již dříve a vytvořili jsme zónu DNS s názvemodpovídajícím zamýšlenému názvu domény Active Directory studny.local. Vzhledem k tomu, že služba DNS je skutečně nedílnou součástí domény Active Directory, nabízív případě její nepřítomnosti průvodce instalací domény její automatickou instalaci a konfiguraci. Tohoto průvodce a tento postup lze doporučit v případech, kdy počítač, do kterého se právě instaluje role řadiče domény, bude zároveň serverem DNS. Pokud je v síti více po-čitačů a řadič domény nebude stejný se serverem DNS, je nutné nainstalovat a nakonfigurovat službu DNS před instalací domény.


73

Instalace domény Active Directory V další části provedeme instalaci domény Active Directory do počítače SRVR001. Poté provedeme kontrolu instalace a do domény vložíme všechny klientské počítače (PC001...). Na závěr provedeme několik konfiguračních úkonů důležitých pro zabezpečení domény a zejména zóny DNS.

Instalace domény 1. Přihlaste se k serveru SRVR001 jako správci. V nabídce Spustit zadejte příkaz cmd a poté na příkazovém řádku zadejte příkaz dcpromo. Spustí se Průvodce instalací služby Active Directory. Klepněte na tlačítko Další. 2. V dialogovém okně Kompatibilita s operačními systémy si přečtěte uvedené informace a poté klepněte na tlačítko Další. Poznámka Uvedené informace se týkají operačních systémů Windows 95 a Windows NT 4.0 s aktualizací SP3 nebo nižší. Protože tyto operační systémy v síti nebudou, nemusejí nás tyto informace zajímat. Pokud by v síti tyto systémy byly, není v tuto chvíli možné dělat nic jiného, než pokračovat klepnutím na tlačítko Další.

3. V dialogovém okně Typ řadiče domény ponechte zaškrtnuté políčko Řadič domény pro novou doménu a poté klepněte na tlačítko Další. 3. V dialogovém okně Vytvořit novou doménu ponechte zaškrtnuté políčko Doména v nové doménové struktuře a poté klepněte na tlačítko Další.

Obrázek 7.6 Vytvoření nové domény Active Directory

Obrázek 7.7 Vytvoření nového lesa Active Directory


74

Poznámka Pojem Podřízená doména v existující větvi odpovídá instalaci podřízené domény do stávajícího stromu. Pojem Větev v existující doménové struktuře odpovídá vytvoření nového stromu.

5. V dialogovém okně Název nové domény zadejte do pole Úplný název DNS nové domény řetězec studny.local a poté klepněte na tlačítko Další. 6. V dialogovém okně Název domény v systému NetBIOS ponechte v poli Název domény pro rozhraní NetBIOS název STUDNY a pokračujte klepnutím na tlačitk o Další. 7. V dialogovém okně Umístění databáze a protokolu ponechte výchozí cesty C:\WINDOWS\NTDS pro databázi a C:\WINDOWS\NTDS pro soubory protokolů transakcí. Poté klepněte na tlačítko Další. Poznámka Z hlediska optimalizace a výkonu řadiče domény je optimální umístit soubory protokolů transakcí na jiný fyzický disk, než na kterém je umístěna databáze Active Directory. V našem případě nemáme jiný disk k dispozici, takže ponecháme navržené umístění.

Obrázek 7.8 Uložení databáze domény Active Directory a protokolů transakcí

8. V dialogovém okně Sdílený systémový svazek ponechte výchozí cestu C:\WINDOWS\SYSVOL a poté klepněte na tlačítko Další. Poznámka Svazek SYSVOL není možné později přesunout. Zde je nutné zajistit, aby byl v jednotce, která má dostatek volného místa. Jak uvidíme později, bude obsahovat objekty zásad skupiny, které jeho velikost zvětšují, a pokud by na disku nebyl dostatek místa, můžete mít s funkčností domény problémy.

9. Nyní server provede vyhledání zóny DNS s názvem odpovídajícím zadanému názvu domény. Pokud zónu nalezne, zobrazí informaci o úspěšně provedené diagnostice. Pokud zónu nenalezne, nabídne její automatickou instalaci a konfiguraci. Po přečtení informací klepněte na tlačítko Další. 10. V dialogovém okně Oprávnění ponechte zaškrtnuté políčko Oprávnění kompatibilní pouze s operačními systémy řady Windows 2000 Server nebo Windows Server 2003 a poté klepněte na tlačítko Další. 11. V dialogovém okně Heslo správce režimu obnovení adresářových služeb zadejte do pole Heslo pro režim obnovení a clo pole Potvrzení hesla heslo, kleré použijete při případném obnovení databáze Active Directory ze zálohy. Poté klepněte na tlačítko Další.


75

Obrázek 7.9 Uložení sdílené replikované složky SYSVOL

Obrázek 7.10 Výsledky pokusu o vyhledání zóny DNS studny.local

Poznámka Nepoužívejte stejné heslo, jako je heslo běžného účtu správce. Heslo správce domény by se totiž mělo pravidelně měnit, zatímco toto heslo zůstává stejné. V praxi by se poté mohlo stát, že například po dvou letech činnosti bude nutné obnovit doménu Acti-ve Directory a na heslo pro tento režim si nevzpomenete. Proto je dobré zadané heslo ihned po zadání zaznamenat a uložit na bezpečné místo. Pokud byste v budoucnu instalovali další řadič domény, nemusí být toto heslo stejné. Znovu je dobré si heslo zaznamenat, samozřejmě i s názvem počítače, ke kterému se váže.

12. V dialogovém okně Souhrn prověřte správnost konfigurace všech parametrů domény Active Directory. V případě nepřesností se opakovaným klepnutím na tlačítko Zpět vraťte k danému dialogovému oknu a hodnotu opravte. Pokud souhlasíte, klepněte na tlačítko Další. Tím se spustí instalace řadiče domény. 13. Po dokončení Průvodce instalací služby Active Directory je nutné počítač restartovat.


76

Ověření správné instalace řadiče domény Server SRVR001 je nyní řadičem domény Active Directoiy studny.local. Po instalaci každého řadiče domény je vhodné provést kontrolu správné instalace: 1. K počítači SRVR001 se přihlaste jako správci. Účet Administrátor je nyní jediný účet s nejvyššími oprávněními v doméně studny.local. 2. Spusťte aplikaci Průzkumník Windows a ověřte, zda existuje složka C:\WINDOWS\NTDS se soubory NTDS.DIT (databáze Active Directory) a EDB.LOG (soubor protokolů transakcí). Dále ověřte existenci složky C:\WINDOWS\SYSVOL. 3. V Nabídce Start přejděte na položku Nástroje pro správu a ověřte, zda mezi nástroji přibyly nástroje týkající se správy domény - například nástroje Uživatelé a počítače služby Active Directory, Sítě a služby Active Directory či Zásady zabezpečení domény. Poté klepněte na nástroj Prohlížeč událostí a ověřte, že zde přibyly položky Adresářová služba a Služba replikace souborů. Klepněte na položku Služba replikace souborů a vyhledejte událost 13516. Ta oznamuje, že řadič domény plní svoje funkce. Obrázek 7.11 Událost 13516 v protokolu Služby replikace souborů

4. Spusťte konzolu DNS a ověřte, že v zóně studny.local došlo k vytvoření podedo-mén _msdcs, _sites, __tcp, „udp, DomainDnsZones a ForestDnsZones. První čtyři poddomény jsou z hlediska funkčnosti domény Active Directory velmi d ů l e ž ité. Obsahují totiž takzvané záznamy SRV (Umístění služby - Service locatlon), podle kterých se orientují všechny počítače se systémy Windows 2000/XP/2003 v sítí při hledání důležitých služeb.

5. Na příkazovém řádku zadejte příkaz net share. Zobrazí se sdílené složky počítače včetně položky NETLOGON směrované do složky C:\WINDOWS\SYSVOL\stud-ny.local\ SCRIPTS. Poznámka Složka NETLOGON je důležitá pro systémy nižší než Windows 2000. Obsahuje například skripty, které se spouštějí při přihlašování uživatele. V systémech Windows 2000/XP/2003 se přihlašovací skripty používají poněkud jiným způsobem a jsou uložené v jiné složce.


77

Konfigurace služby DNS na řadiči domény Služba DNS nyní obsahuje jedinou zónu studny.local. Ta je primární zónou s povolenými dynamickými aktualizacemi (viz obrázek 7.12). Obrázek 7.12 Vlastnosti zóny studny.local

Povolení dynamických aktualizací je z pohledu zabezpečení funkce sítě nebezpečné. Teoreticky by se totiž mohlo stát, že by například některý uživatel přejmenoval svůj počítač na SRVR001 a restartoval jej. Po jeho spuštění by došlo k dynamické aktualizaci záznamu SRVR001 na adresu IP onoho klientského počítače, a protože počítač SRVR001 plní v síti celou řadu úloh, byly by všechny úlohy směrované jinam a doména by přestala pracovat. Je tedy nutné tuto zónu zabezpečit tak, aby se podobné chování zcela vyloučilo nebo alespoň velmi omezilo. Proto postupujte podle následujících pokynů: 1. K počítači SRVR001 se přihlaste jako správci a spusťte konzolu DNS. Poznámka Správu služby DNS může provádět také uživatel, který není správcem, ale je členem skupiny DnsAdmins. Tato možnost se vyskytuje ve větších prostředích s decentralizovanou správou.

2. Rozbalte položku Zóny dopředného vyhledávání, pravým tlačítkem myši klepněte na zónu studny.local a z místní nabídky vyberte položku Vlastnosti. 3. Na kartě Obecné klepněte na tlačítko Změnit a poté zaškrtněte políčko Uložit zónu do adresáře Active Directory (dostupné pouze pokud je server DNS řadičem domény). Klepněte na tlačítko OK a v dalším dialogovém okně klepněte na tlačítko Ano. 4. V rozevíracím seznamu Dynamické aktualizace vyberte položku Pouze zabezpečené a poté klepněte na tlačítko OK. 5. Spusťte aplikaci Průzkumník Windows a ve složce C:\WINDOWS\SYSTEM32\DNS ověřte, že neexistuje soubor studny.local.dns. Informace ze souboru studny.local.dns se po změně typu zóny staly součástí doménové databáze Active Directory a soubor se z uvedené cesty přesunul do podsložky BACKUP.

Konfigurace klientských počítačů Všechny nainstalované klientské počítače je nyní třeba vložit do domény. Postupujte podle následujících pokynů: 1. K počítači PC001 se přihlaste jako správci. 2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce na položku Vlastnosti. 3. Na kartě Název počítače klepněte na tlačítko Změnit a poté v části Je členem zaškrtněte políčko Domény a zadejte název studny.local. Poté klepněte na tlačítko OK. 4. V dialogovém okně Změny názvu počítače zadejte jméno Administrátor a heslo (K@f!cko) a klepněte na tlačítko OK. V doméně dojde k vytvoření účtu počítače PC001 a v počítači se zobrazí dialogové okno se zprávou Vítejte v doméně studny.local. 5. Postupným klepnutím na všechna tlačítka OK a Ano provedete restartování počítače. Postup podle bodů 1 až 5 opakujte pro ostatní stanice.


78

Poznámka Pokud nebude možné vytvořit účet počítače v doméně, bude pravděpodobně problém se službou DNS. V takovém případě postupujte podle následujících pokynů.

1.

V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a po té v místní nabídce klepněte na položku Vlastnosti. Na kartě Název počítače by měl být v části Úplný název počítače zobrazen název pc00x.studny.local, kde pcOOx je název konkrétního počítače. Pokud přípona studny.local chybí, tnúzclc1 ji klepnutím na tlačítko Změnit a poté Další doplnit do pole Primární přípona DNS tohoto počítače. Tento zásah vyžaduje restartování počítače. V Nabídce Start klepněte na položku Ovládací panely, poté na položku Připojení k síti a Internetu a ještě na ikonu Síťová připojení. Pravým tlačítkem myši klepněte na položku Připojení k místní síti a v místní nabídce zvolte položku Vlastnosti. 2. Klepněte na položku Protokol sítě Internet (TCP/IP) a poté na tlačítko Vlastnosti. 3. Na kartě vlastností protokolu TCP/IP klepněte na tlačítko Upřesnit a poté klepněte na kartu DNS. Zde ověřte, zda je správně zadaná adresa IP serveru DNS (192.168.10.2) a zda je zaškrtnuté políčko Připojit přípony DNS primární domény a specifické domény připojení. Pokud ne, zaškrtněte je. Dialogová okna zavřete postupným klepnutím na tlačítko OK. Obrázek 7.13 Správná konfigurace karty DNS

5. Spusťte příkazový řádek a zadejte příkaz P I N G studny.local. Pokud se zobrazí odpovědi, je konektivita počítače do sítě v pořádku a služba DNS pracuje správně. 6. Pokud ani poté nelze přidat počítač do domény, ověřte správnou funkci řadiče domény, případně funkci protokolu TCP/IP pomocí postupů popsaných v kapitole 3, „Učíme počítače komunikovat v síti".

Ověření existence účtů počítačů v doméně 1.

K počítači SRVR001 se přihlaste jako správci. 2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na nástroj Uživatelé a počítače služby Active Directory. 3. V levém podokně tohoto nástroje klepněte na kontejner Computers. V pravém podokně by měly být zobrazeny účty počítačů. 4. V levém podokně klepněte na položku Domain Controllers a v pravém podokně ověřte existenci účtu řadiče domény SRVR001. Poznámka Účty řadičů domén jsou v databázi Active Directory z důvodu zabezpečení umístěné ve zvláštní organizační jednotce. Účty z tohoto umístění nepřesunujte!


79

Konfigurace přihlášení k počítači Systémy Windows XP i serverové operační systémy řady Windows Server 2003 se spouštějí rychleji než předchůdci Windows 2000. To není dáno tím, že by jádro systému bylo výrazně pozměněno a spuštění počítače bylo opravdu rychlejší. Jednoduše se pro přihlášení uživatele nečeká na spuštění sítě. Takový stav jistě mnoha milionům zejména domácích uživatelů na světě vyhovuje, neboť své počítače v síti nemají (a společnosti Microsoft tiše děkují, že systémy Windows XP Professional a Windows Server 2003 obsahují konečně vylepšení viditelné na první pohled). V prostředí organizace, která síť používá, to však není úplně nejlepší nastavení, protože naopak někdy může zbrzdit přenesení informací k uživateli až na druhé přihlášení. Tuto funkci lze vypnout a vzhledem k tomu, že v prostředí domény je žádoucí, aby síť pracovala ještě před přihlášením uživatele k počítači, doporučuji tuto vlastnost zakázat podle následujícího postupu: 1.. Přihlaste se k serveru SRVR001 jako správci. 2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na položku domény (studny.local) a v místní nabídce klepněte na položku Vlastnosti. Zobrazí se dialogové okno vlastností domény. 4. Na kartě Zásady skupiny poklepejte na položku Default Domain Policy. Zobrazí se konzola Editor objektů zásad skupiny. 5. V levém podokně konzoly v části Konfigurace počítače rozbalte položku Šablony pro správu, poté položku Systém a klepněte na položku Přihlášení. 6. V pravém okně poklepejte na položku Při spouštění a přihlašování počítače vždy počkat na síť a zaškrtněte políčko Povoleno. Poté klepněte na tlačítko OK. Obrázek 7.14 Zásada v objektu na úrovni domény

Poznámka Uvedené nastavení se týká pouze počítačů se systémy Windows XP Professional a systémů řady Windows Server 2003. Systémy Windows 2000 se standardně chovají tak, jako by toto nastavení bylo vždy povolené (vždy čekají nejprve na síť).


80

Závěr Doména Active Directory přišla v porovnání se svým předchůdcem, doménou SAM se systémem Windows NT 4.0 Server, s mnoha vylepšeními. Ta se týkají možnosti uložení řádově většího množství objektů (uživatelské účty, účty počítačů, skupiny apod.), možností delegování správy pro větší prostředí s více správci nebo například zabezpečení. Přesto se vyskytují prostředí, pro která je jediná doména nedostatečná. Jde spíše o větší společnosti s pobočkami po celém světě nebo například o společnosti, které se nedávno spojily s jinou organizací. V jejich doménové struktuře můžete najít více domén, které mohou být uspořádané ve formě stromu či lesa Active Directory. Strom Active Directory sdružuje jednu či více domén, jejichž názvy jsou souvislé. Stromová struktura je hierarchická, tato hierarchie se však týká pouze názvů. Rozhodně to tedy neznamená, že správci nadřazené domény mohou automaticky spravovat podřízené domény. Nejvyšší privilegia má sice ta doména, která byla nainstalovaná jako první, všechny ostatní domény jsou si z pohledu správy rovny. Někdy je však nutné (například při splynutí dvou organizací) ponechat každé původní doméně vlastní název. Řešením jsou v takovém případě dva stromy (jinak nelze zajistit nesouvislost názvů domén) sdružené v jednom lese. Při instalaci domény je nutné dobře zvolit její název, neboť od něj se odvíjí názvy případných dalších domén. Dále instalace domény vyžaduje službu DNS. Pokud v síti existuje, vytvoří se v zóně se stejným názvem, jako má doména, nové záznamy SRV určující umístění jednotlivých doménových služeb. Pokud zóna se stejným názvem neexistuje nebo pokud v síti vůbec neexistuje služba DNS, nabídne Průvodce instalací domény konfiguraci služby DNS. V takovém případě dojde k instalaci služby DNS a její konfiguraci na řadič domény. Instalace domény znamená úplnou změnu prostředí sítě. Proto je třeba se na tuto situaci dobře připravit, neboť pozdější změny v doméně mohou mít vliv na všechny počítače v síti.

Stav sítě V této kapitole došlo k největší změně v naší síti. Model pracovní skupiny byl změněn na doménu Active Directory. Počítač SRVR001 se stal řadičem domény a všechny klientské počítače členy domény. Na závěr jsme nakonfigurovali zásadu, která zakáže všem uživa-telum v doméně možnost přihlásit se dříve, než dojde ke spuštění síťových součástí. To-to chování, které je nyní stejné jako u systémů Windows 2000, je vhodné do doménových prostředí, neboť správci mají jistotu, že vše v doméně pracuje ihned tak, jak určili.


81

Potřebujeme v síti využívat další služby? Cílem každého rozumného správce sítě je provádět svou práci co nejefektivněji, to znamená pomocí co nejmenšího úsilí zvládat co nejvíce úkolů. Logicky se dá předpokládat, že čím homogennější prostředí spravujete, tím méně práce máte. Příkladem ze zatím probraných oblastí je překlad názvů. Zatímco systémy Windows 2000 Professional a vyšší pracují primárně s hostitelskými názvy zařízení a budou k je-jich překladu na adresu IP pravděpodobně využívat službu DNS, systémy předchozí (například Windows 9x či NT 4.0) pracují s názvy rozhraní NetBIOS a potřebují pro přek la d názvů služby jiné. Výskyt smíšených prostředí, tedy prostředí, ve kterých jsou jak systémy Windows 2000 a vyšší, tak i systémy předchoz í , je ještě dnes poměrně častý, a proto je pro správce ne-vyhnutelné konfigurovat další služby pro jejich správnou funkci. Tedy pokud vše nechtějí provádět ručně. Jiným příkladem týkajícím se i homogenních prostředí je adresování zařízení adresami IP. Pokud počet počítačů a dalších zařízení přesáhne únosnou mez, může být vhod-né nasadit další službu, která bude zajišťovat automatické přiřazování adres IP a dalších parametrů. Příkladů lze uvádět více a více. V této kapitole se seznámíme s dalšími službami pro překlad názvů a pro adresování zaŕízení, jako jsou počítače, tiskárny a další, protokolem IP.

Kompatibilita s předchozími systémy Protože jsme j i ž nainstalovali službu DNS i doménu Active Directory, můžeme si na konkrétním příkladu ukázat rozdil mezi systémy Windows XP Professional a Windows NT 4.0 Workstation.

V kapitole 6, „Proč a jak se v síti překládají názvy?", padla zmínka o procesu vyhledání řadičů domény v doméně Active Directory. Pojďme se na tento postup nyní podívat trochu podrobněji a přitom srozumitelně. Počítač se systémem Windows XP Professional a doména Active Directory Systém Windows XP Professional využívá při přihlašování službu DNS a postup nalezení řadiče domény vypadá následovně. 1. Poté, co uživatel zadá své přihlašovací informace, převezme řízení procesu služba Přihlašování k síti (Netlogon). Této službě klientský počítač dodá veškeré informace, které jsou k nalezení řadičů domény třeba (například vlastní adresu IP, primární příponu DNS a další). 2. Služba Netlogon se následně dotáže služby DNS na záznamy typu SRV ve formátu _ldap._tcp.dc._msdcs.názevdomény - vnašem případě tedy na _ldap._tcp.dc._msdcs.studny.local (viz obrázek 8.1). Obrázek 8.1 Záznam typu SRV v zóně studny.local


82

3. V části Hostitel nabízející tuto službu je uveden počítač srvr00l.studny.local. Jedná se o informaci o řadiči domény. Aby s ním však klient mohl komunikovat, musí služba Netlogon provést ještě druhý dotaz - vyhledat příslušný záznam typu A (viz obrázek 8.2). 4. Klientský počítač je nyní schopen se pomocí nalezené adresy IP spojit s řadičemdomény a získat tak přístup do databáze Active Directory. Uvedený postup je pro lepší pochopení maximálně zjednodušen a popisuje postup nalezení řadiče domény. Znovu je dobré zopakovat, že správná funkce domény závisí mimo j i n é na správné funkci služby DNS. Počítač se systémem Windows NT 4.0 a doména Active Directory Systém Microsoft Windows NT 4.0 Workstation využívá pro nalezení řadiče domény službu Windows NT Locator. Ta pracuje primárně s názvy NetBIOS.

Obrázek 8.2 Záznam typu A v zóně studny.local

1. Po zadání uživatelského jména a hesla se předají potřebné informace pro přihlášení službě Netlogon. 2. Služba Netlogon požádá službu Windows NT Locator o nalezení řadiče domény. Ta v celém procesu používá názvy NetBIOS a hledá záznam řadiče domény. 3. Pokud je k dispozici služba WINS, mělo by dojít k nalezení typu záznamu řadič domény zde, pokud k dispozici není, pokračuje se pomocí všesměrového vysílání, případně pomocí souboru LMHOSTS. 4 . Nalezený záznam se předá službě Netlogon, která poté provede další činnosti. Z uvedených informací je zřejmé, že pokud bude v síti počítač se systémem nižším než Windows 2000 Professional, je vhodné do sítě doplnit službu WINS pro překlad názvů NetBios. Pouze tak, při její správné funkčnosti, budete mít jistotu, že veškeré procesy v síti poběží bez potíží. Vzhledem k postupu při překladu názvů NetBIOS však lze namítnout, že služba WINS ne-ni v síti nutná, neboť dojde k vyhledání záznamu pomocí všesměrového vysílání (broad-casting). To je sice pravda, ale pouze částečná. Všesměrové vysílání neprojde přes směrovače a nebude tak funkční například v síti, která má řadiče domény pouze v cen-trále a je třeba ověřit uživatele přihlašujícího se k počítači na pobočce.

Překlad názvů s využitím služby WINS Protože se lze v praxi ještě velmi často setkat s případem, kdy se v sítích kromě systémů Windows XP Professional nebo Windows 2000 Professional vyskytují operační systémy Win-dows 9x či Windows NT 4.0, je nanejvýše vhodné nainstalovat do takové sítě službu WINS. Službu WINS lze nainstalovat pouze do serverového operačního systému a poté je nutné nakonfigurovat další parametry v klientských počítačích.

Pokud v síti nemáte žádný starší systém než Windows 2000, nemusíte službu WINS instalovat. Do naší sítě však její instalaci provedeme, neboť ukáže postup pro případ, kdy byste ji opravdu v síti potřebovali.


83

Instalace služby WINS 1. 2. 3. 4.

K serveru SRVR001 se přihlaste jako správci. V Nabídce Start přejděte na položku Ovládací panely a poté poklepejte na položku Přidat nebo odebrat programy. V levé části okna Přidat nebo odebrat programy klepněte na položku Přidat nebo odebrat součásti systému. V okně Průvodce součástmi systému Windows klepněte na položku Síťové služby a poté klepněte na tlačítko Podrobnosti. 5. Zaškrtněte políčko Služba Windows Internet Name Service (WINS) a poté postupně klepněte na tlačítko OK a Další. 6. Během instalace služby WINS budete pravděpodobně muset vložit instalační disk CD-ROM se systémem Windows Server 2003- Instalaci ukončíte klepnutím na tlačítko Dokončit.

Konfigurace služby WINS Součástí instalace služby WINS je také konzola pro její správu s výjimečným názvem -WINS. Pokud je v síti jediný server WINS, nevyžaduje po instalaci žádnou konfiguraci. Můžeme se tedy podívat na nástroj, pomocí něhož se provádí jeho správa a na data, která jsou v databázi WINS po instalaci k dispozici. Předtím je ale nutné nakonfigurovat samotný server WINS jako svého klienta.

Konfigurace serveru jako klienta služby WINS 1. Zobrazte vlastnosti Připojení k místní síti a poté vlastnosti protokolu sítě Internet (TCP/IP). 2. V dialogovém okně Protokol sítě Internet (TCP/IP) - vlastnosti klepněte na tlačítko Upřesnit a poté na kartě WINS klepněte na tlačítko Přidat. 3. Zadejte adresu IP serveru SRVR001 (192.168.10.2) a klepnutím na tlačítko Přidat ji přidejte. Dialogové okno zavřete klepnutím na tlačítko OK. 4. Zavřete všechna dialogová okna. V tuto chvíli se server SRVR001 stal svým vlastním klientem služby WINS. Tím má nyní možnost vyhledávat v databázi WINS názvy NetBIOS a zároveň do této databáze registruje všechny své záznamy. O jejich existenci se přesvědčíme za chvíli.

Práce s konzolou a zobrazení obsahu databáze WINS 1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku WINS. Spustí se konzola WINS. 2. V levém podokně klepněte na položku Stav serveru. V pravém podokně potéuvidíte stav serveru. Pokud je vše v pořádku, je ve sloupci Stav zobrazena informace Odpovídá (viz obrázek 8.3).

Obrázek 8.3 Konzola pro správu serveru WINS

3. Dále v levém podokně rozbalte položku s názvem serveru (SRVR001) a klepněte na složku Aktivní registrace. V levé části okna se zobrazí informace o možnosti použití této položky. 4. Na položku Aktivní registrace klepněte pravým tlačítkem myši a v místní nabídce vyberte příkaz Zobrazit záznamy. 5. V dialogovém okně Zobrazit záznamy lze zadat filtr, které záznamy se zobrazí. My chceme zobrazit všechny záznamy, proto klepněte na tlačítko Najít. Poznámka Na kartě Mapování záznamů lze zadat filtr týkající se názvů záznamů. Zde lze používat zástupné znaky (například *). Na kartě Vlastníci záznamů lze filtrovat záznamy podle toho, na kterém serveru WINS došlo k jejich registraci a na kartě Typy záznamů lze definovat zobrazení pouze určitých typů záznamů (Pracovní stanice, Řadič domény, Souborový server a dalších).


84

Obrázek 8.4 Záznamy zaregistrované serverem SRVR001 v databázi WINS

Na obrázku 8.4 si všimněte záznamu typu [1Ch] Řadič domény. Jedná se přesně o záznam, který vyhledává služba Windows NT Locator při přihlášení uživatele. Databáze WINS nyní obsahuje 7 záznamů, které zaregistroval server SRVR001 ihned po té co jste z něj udělali klienta WINS (tedy po zadání adresy IP na kartě WINS). Jak by to dopadlo nyní, pokud by tyto informace potřeboval některý z klientských počí taču (například se systémem Windows NT 4.0 Workstation)? Aby mohl počítač požádat službu WINS o potřebné informace, musí být klientem WINS. To však žádný z našich počítačů není, neboť v homogenních sítích se systémy Windows 2000 a vyššími ne ní služba WINS třeba. Navíc v okamžiku, kdy se z počítače stane klient služby WINS, provede registraci svých záznamů do databáze a následně provádí registraci při každém dalším spuštění. Služba WINS je dynamickým řešením překladu názvů, proto není nutné zadávat žádné informace ručně. Nyní by tedy bylo vhodné obejít všechny klientské počítače a nakonfigurovat je jako klienty WINS. S touto činností ale ještě počkáme na nasazení další služby do sítě, která poté udělá vše za nás. Na závěr pamatujte - službu WINS budete potřebovat v okamžiku, kdy budou v síti počítače s jinými operačními systémy než se systémem Windows 2000 nebo vyšším. V opačném případě se jedná o zbytečnou službu, která navíc vyžaduje instalaci, konfiguraci a správu a jež bude zatěžovat síť. Centrála, pobočky a služba WINS Ne vždy musí být nutné službu WINS instalovat. Představme si společnost, která má své sídlo a vzdálený sklad. Veškeré počítače včetně serverů jsou v sídle společnosti (vše systémy Windows Server 2003 a Windows XP Professional), ve vzdáleném skladu je jediný klientský počítač (se systémem Windows NT 4.0 Workstation). Sklad je připojen k síti pronajatou linkou o rychlosti například 64 kbps. V takovéto topologii se pro adresování počítačů v sídle společnosti použije jiná podsíť než pro adresování počítače ve skladu. Pro praxi to znamená, že mezi skladem a sídlem společnosti je z pohledu topologie sítě pro správnou komunikaci umístěn směrovač. Představme si nyní proces přihlašování uživatele do domény. Po přihlášení je na službě Windows NT Locator, aby pomocí záznamů rozhraní NetBIOS nalezla řadič domény (z výše uvedených informací již víme, že bude hledat šestnáctkový záznam 1C). Pokud v síti neexistuje server WINS nebo počítač ve skladu není klientem WINS, použije pro nalezení potřebného záznamu druhou metodu, kterou je všesměrové vysílání. To ale neprojde přes směrovač, a dojde tedy na další krok - soubor LMHOSTS. A protože není soubor LMHOSTS v počítači nadefinován, nalezení domény se nezdaří a uživatel se do domény nepřihlásí. Jakým způsobem lze tento problém vyřešit? Řešení existuje několik, z těch nejjednodušších uveďme dvě: Řešení A V centrále se nakonfiguruje server WINS a všechny počítače se nakonfigurují jako klienti WINS (včetně počítače ve skladu). Toto řešení bude funkční s tím, že počítač bude zatěžovat linku 64 kB/s registrací vlastních záznamů při spouštění a svými dotazy na službu WINS během dne. Samozřejmě, že linku 64 kB/s nemůže provoz jednoho počítače nijak ohrozit, při zvyšování počtu počítačů (na řádově desítky až stovky) se však mohou vyskytnout potíže. Vždy ale záleží na tom, jak je linka běžně vytížena kritickými obchodními aplikacemi (kvůli kterým vlastně existuje). U tohoto řešení je dále nutné myslet na to, že kvůli jednomu počítači je nutné instalovat do sítě další službu, jejíž konfigurace, správa a řešení případných potíží bude jistě tvořit další náklady společnosti, nehledě na případný výpadek serveru. Řešení B Počítač ve skladu jistě nepotřebuje komunikovat se všemi počítači v sídle společnosti. Kritické pro něj zřejmě budou pouze servery, výjimečně někteří klienti. Vzniká tedy otázka, zda celou záležitost nevyřešit jednodušeji. V takovém případě může být řešen í m konfigurace souboru LMHOSTS. Ten musí obsahovat záznamy všech počítačů, se kterými bude vzdálený počítač komunikovat, a záznamy o doméně. Jak může takový sou bor vypadat ukazuje následující výpis: 1 9 2 .1 6 8 .1 0 .2 1 9 2 .1 6 8 .1 0 .1 7

SRVR001 #PRE PC001 192.168.10.18 PC002

#DOM:STUDNY


85

V tomto konkrétním případě bude počítač ve skladu komunikovat pouze s počítači SRVR001, PC001 a PC002 a bude schopen nechat ověřit přihlášení uživatele řadiči domény SRVR001 do domény s názvem NetBIOS STUDNY (záznam #DOM). Záznam označení jako #PRE se při spuštění počítače načte do mezipaměti rozhraní NetBIOS, takže komunikace s počítačem SRVR001 bude rychlejší. Porovnání nákladnosti a pracnosti jednotlivých řešení ponechám na vás. K prvnímu řešení lze snad ještě doplnit, že pokud má počítač ve skladu komunikovat pouze s vyjmenovanými počítači v sídle společnosti, je nutné pouze tyto počítače nakonfigurovat jako klienty služby WINS nebo je nekonfigurovat vůbec, ale jejich záznamy přidat do databáze WINS ručně. U druhého řešení je nutné připomenout, že název souboru LMHOSTS nesmí obsahovat žádnou příponu a jeho umístění musí být ve složce %systemroot%\system32\drivers\etc. Další informace o službě WINS a formátu souboru LMHOSTS naleznete v kapitole 6, „Proč a jak se v síti překládají názvy?" a v nápovědě příslušného systému.

Síť se rozrůstá - co s tím? Každá síť fungující společnosti se začne jednou rozrůstat. Mohou pro to existovat různé důvody. Tím nejpříjemnějším jsou jistě lepší a lepší obchodní výsledky a s tím spojené požadavky na další zaměstnance nebo třeba jen více serverů. Tím horším důvodem jsou i nožná neznalosti či neschopnost správců vedoucí k vyššímu počtu serverů, než by bylo třeba. Cílem této kapitoly není řešit konkrétní příčiny, ale spíše v dané oblasti ukázat, že z pohledu správce se není třeba růstu sítě bát, a ukázat řešení pro adresování velkého počtu počítačů protokolem IP. První otázka týkající se sítě (konfigurace parametrů protokolu TCP/IP) se řeší během in-stalace každého počítače. V systémech Windows 2000 a vyšších je během instalace nutné zvolil typické nastavení nebo je nutné zadat konkrétní služby, protokoly a jejich nastaveni (vlastní nastavení). To znamená, že konfigurace parametrů protokolu IP jakéhokoli po-čítače jistě „projde" alespoň jednou rukama některého ze správců. Slovo „projde" je v uvo-zovkách uvedené proto, že konfigurace veškerých parametrů sítě může proběhnout i au-tomaticky například pomocí souboru odpovědí, který zase ale na druhou stranu musí ně-kdo dopředu připravit. Této práci tedy málokterý správce unikne.

Typy adresování protokolu IP Pokud ponecháte při instalaci síťových součástí zaškrtnutou položku Typické nastaveni, nainstalují se základní tři součásti sítě Sdílení souborů a tiskáren v sítích Microsoft, K l í e n t sítě Microsoft a Protokol sítě Internet (TCP/IP) - který bude adresován dynamicky. Pokud chcete jakékoli nastavení v porovnání s typickým nastavením změnit (to se týká i konfigurace adresy IP), je

nutné zvolit položku Vlastní nastavení a potřebné parametry nakonfigurovat ručně.

Ruční (statické) adresování Ruční adresování je určené pro menší prostředí. Na otázku, pro kolik počítačů je vhodné jej ještě použít, ale neexistuje jednoznačná odpověď. Zde spíše záleží na rozložení sítě, počtu, případně i znalostech správců - jinými slovy na době, za kterou jsou schopni provést změnu v konfiguraci u všech počítačů, pokud je změna nutná. Pro některého správce může být oříškem obejít 10 počítačů a potřebné parametry změnit, u některých správců nemusí být žádný problém to samé provést u 50 počítačů. V naší síti jsme zatím prováděli právě ruční adresování počítačů, konkrétně adresy IP, masky podsítě, adresy IP serveru DNS a v této kapitole i serveru WINS. Nyní si představte situaci, kdy se naše síť rozroste na 150 počítačů a následně vznikne pobočka společnosti s několika počítači. Pokud v takovém případě budete chtít, aby mezi sebou byly všechny počítače schopné komunikovat, bude nutné nakonfigurovat další parametr protokolu IP, kterým je výchozí brána. Pak tedy bude nutné všechny počítače obejít (včetně počítačů na pobočce) a nakonfigurovat tento parametr ručně. U systémů Windows 2000 a vyšších (plus Windows NT 4.0) je nutné dodat, že změnu síťových součástí může provádět pouze správce počítače (u systémů Windows XP Professional a Windows Server 2003 to může navíc provádět člen skupiny Network Configuration Operators). Nelze tedy přijít k počítači a změnit parametry protokolu IP, aniž by se uživatel musel odhlásit a vy jste se museli přihlásit jako správce, a toto zdržení bude mít jistě vliv na celkovou produktivitu práce jednotlivých uživatelů. Možná se nyní zdá, že ruční adresování a konfigurace dalších parametrů protokolu IP je spíše na obtíž a nemá žádné výhody. Lze říci, že čím větší prostředí spravujete, tím náročnější práci s ručním adresováním budete mít. Výhodu však tento způsob má - v síti nemusí být k dispozici žádná další služba, a tedy ani žádný další počítač, který by tuto službu plnil. Proto se ruční adresování používá opravdu spíše v malých sítích. Ve větších sítích je nutné a nevyhnutelné si celý proces zjednodušit.


86

Dynamické (automatické) adresování Pokud potřebujete najednou přidat či změnit například adresu IP sekundárního serveru DNS u všech počítačů, čeká vás při ručním adresování spousta práce. Kromě toho, že budete muset všechny počítače obejít, „vyhnat" od nich uživatele, přihlásit se jako správci, upravit parametry, odhlásit se, a poté umožnit uživatelům znovu se přihlásit a pokračovat v práci, je velmi pravděpodobné, že u některého počítače se překlepnete, některý parametr zapomenete vyplnit nebo velmi jednoduše nakonfigurujete například již používanou adresu IP znovu. To jsou jen základní věci, se kterými se můžete setkat. Pokud máte na starosti správu velké sítě, nastávají ještě potíže s fyzickou nedostupností některých počítačů a někdy se dokonce může stát, že ačkoli počítač v síti je a lze s ním komunikovat, jeho fyzické umístění je pro správce oříškem. Většině správců proto bohatě stačí, když musí všechny počítače obejít pouze jednou a vše ostatní se již děje automaticky. Aby automatická konfigurace parametrů protokolu IP pracovala, musí být v síti k dispozici server DHCP (Dynamic Host Configuration Protocol). DHCP se někdy označuje jako služba i jako protokol a obecně lze říci, že obě označení jsou správná.

Služba DHCP Služba DHCP „naslouchá" v síti speciálnímu vysílání klientských počítačů, které jsou nakonfigurované pro automatické adresování, a reaguje na ně nabídkou konfiguračních parametrů protokolu IP. Ve většině případů jde o konfiguraci všech parametrů, v některých případech postačuje pouze souhlas s pokračováním používání již aktuálních parametrů. Server DHCP si veškeré „zapůjčené" parametry ukládá do vlastní databáze a zároveň dbá o to, aby již jednou zapůjčenou adresu IP nezapůjčil některému z dalších počítačů. Aby se však nakonfigurovaný obor adres IP k zapůjčení během několika dnů v síti nevyčer-pal, vrací klientské počítače zapůjčené parametry při vypínání serveru DHCP (pokud je samozřejmě v tu chvíli server DHCP k dispozici). Přítomnost serveru DHCP v síti vylučuje riziko překlepnutí v některém z parametrů jednotlivých počítačů, neboť všechny parametry se definují pouze jednou, a zároveň vyluču-je duplikaci adres IP v síti. Je tedy velmi vítaným pomocníkem všech správců sítě. Nasazení služby DHCP do existujícího prostředí je, podobně jako u ostatních služeb, vhodnédné dobře naplánovat. Pokud se podíváme na naši síť, nebude implementace služby DHCP sestávat pouze z její instalace a konfigurace, ale také z nutnosti zajistit vhodný pře-chod ze statického adresování na dynamické. Na jednotlivé kroky se nyní podíváme po-drobně a postupně službu DHCP nakonfigurujeme a začneme využívat.

Instalace služby DHCP Služba DHCP je součástí operačního systému Windows Server 2003. Pro její instalaci te-dy musíme nutně využít stávající server SRVR001. Druhým řešením by jistě bylo nainsta-lovat další server a nakonfigurovat službu DHCP na něm, v naší relativně malé síti to však není nutné. Instalaci služby DHCP provedete podle následujících pokynů: V Nabídce Start přejděte na položku Ovládací panely a poté klepněte na položku Přidat nebo odebrat programy. V levé části okna Přidat nebo odebrat programy klepněte na položku Přidat nebo odebrat součásti systému. V okně Průvodce součástmi systému Windows klepněte na položku Síťové služby a poté klepněte na tlačítko Podrobnosti. V seznamu síťových služeb zaškrtněte políčko Pomocí protokolu DHCP a poté klepněte na tlačítko OK. Klepněte na tlačítko Další a vyčkejte instalace služby DHCP. Možná, že budete po-žádání o vložení instalačního disku CDROM se systémem Windows Server 2003. Klepnutím na tlačítko Dokončit dokončíte instalaci. Ověření správné instalace služby DHCP

1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku DHCP. Spustí se konzola MMC. 2. V konzole DHCP by měl být uveden server srvrOOl.studny.local spolu s adresou IP. Po klepnutí na server a zpět na položku DHCP by se měl v pravém okně zobrazit stav Neověřeno (viz obrázek 8.5). Obrázek 8.5 Konzola MMC se serverem DHCP srvr001.studny local


87

V tuto chvíli je služba DHCP úspěšně nainstalovaná, nicméně žádnou adresu IP ještě není schopna zapůjčit. Proto je nutné ji dále nakonfigurovat.

Konfigurace služby DHCP Při konfiguraci služby DHCP je nutné určit obor (rozsah) adres, který bude klientům protokolu IP zapůjčovat adresu IP, masku podsítě, případně další konfigurační parametry (výchozí bránu, servery DNS, servery WINS). Tyto informace však nelze zadávat „slepě", ale je potřeba se nad některými z nich před konfigurací serveru DHCP dobře zamyslet. Například pro adresování naší sítě jsme vybrali podsíť IP 192.168.10.0/24. Pro servery jsme vyhradili adresy IP 192.168.10.2 až 192.168.10.11, další adresy IP (192.168.10.12 až 192.l68.10.l6) jsou připravené pro tiskárny či další zařízení a zbytek (192.168.10.17 až 192.168.10.254) je určen pro klientské počítače. Z uvedeného vyplývá, že pokud zadáme na serveru DHCP obor adres IP v rozmezí 192.168.10.1 až 192.168.10.254, nedopadne to v naší síti dobře. Server DHCP je sice schopen určit, zda je adresa IP, kterou má v úmyslu zapůjčit klientovi, v síti aktivní, nám však toto řešení nemůže stačit (tato funkce navíc není ve výchozím stavu povolena). Stačí si představit stav, kdy počítač s adresou IP 192.168.10.17 bude nějakou dobu vypnut a server DHCP poté tuto adresu zapůjčí jinému počítači. Po zapnutí původního počítače dojde nutně ke konfliktu adres IP a oba počítače se stejnou adresou nebudou v síti pracovat. Je tedy nutné najít jiné, lepší řešení. Řešení 1 Změnu adresování IP lze ponechat na večerní či víkendovou dobu, kdy konflikt adres IP neohrozí práci žádného uživatele v síti, a poté provést všechny činnosti najednou. Celý proces by mohl vypadat například takto: 1. Konfigurace serveru DHCP - obor adres IP 192.168.10.17 až 192.168.10.254, masky podsítě a dalších parametrů. 2. Aktivace oboru a ověření serveru DHCP v doméně Active Directory (tyto pojmy budou vysvětleny dále). 3. Změna adresování protokolu IP ve stávajících klientských počítačích. Pokud by se během tohoto procesu přidaly do sítě další počítače s výchozí konfiguraci sítě, začal by server DHCP zapůjčovat adresy IP od nejnižší a mohlo by se stát, že něja-kou dobu budou v síti dva počítače se stejnou adresou IP. Po provedení bodu 3 by se však síť „vyčistila" a konflikt adres IP by nenastal. Tento postup se hodí pro malé sítě, kde jsou například všechny počítače v jedné či více místnostech poblíž sebe a pro organizace, které si mohou výpadek klientských počítačů dovolit. Řešení 2 Změnu adresování IP lze provést během pracovní doby, přičemž nesmí dojít ke konfliktu adres IP. Celý proces by mohl vypadat například takto: 1. Konfigurace serveru DHCP - obor adres IP 192.168.10..% až 192.168.10.254, kde %, aktuálně nejnižší volná adresa IP v síti, masky podsítě a dalších parametrů. 2. Aktivace oboru a ověření serveru DHCP v doméně Active Directory (tyto pojmy budou vysvětleny dále). 3. Změna adresování protokolu IP ve stávajících klientských počítačích a postupné rozšiřování oboru směrem dolů (k nižším adresám IP) až na adresu 192.168.10.17. Pokud by se během tohoto procesu přidal do sítě nový počítač, server DHCP by mu za-půjčil první zadanou adresu IP - například 192.168.10.84. Poté byste například u klient-ikého počítače PC001 změnili adresování protokolu IP z ručního na automatické, a počítač PC001 by následně získal adresu IP 192.168.10.85. Jeho původní adresa 192.168.10.17 by byla na přechodnou dobu „nezapůjčitelná" až do chvíle, kdy by došlo k rozšíření oboru DHCP na tuto adresu. Po tomto postupu je nutné mít na paměti několik věcí: • Bod 3 je nutné provádět v blocích počítačů, které mají souvislé adresy IP, a to od nejvyšších adres IP směrem k nižším. Nejprve tedy změnit adresování u počítačů s ručně přidělenými adresami IP 192.168.10.83, 192.168.10.82, 192.168.10.81, 192.168.10.80 a 192.168.10.79 a následně rozšířit obor DHCP na 192.168.10.79 až 192.168.10.254. • Pokud budete postupovat například v blocích po 5 počítačích, je nutné myslet nato, že po nějakou dobu tyto počítače „zaberou" 10 adres IP. Čím je tedy síť větší, tim menší bloky počítačů musí být. toto řešení je vhodné pro sítě, které si nemohou dovolit výpadky klientských počítačů vinou kolizních adres IP v síti. Je vhodné pro všechny velikosti sítí. Existují i další řešení, která spíše postupují podle řešení 2, ale využívají k tomu další možnosti serveru DHCP, jako jsou například rozsahy vyloučených adres IP. Volba konkrétní postupu je na správci, který musí zvážit výhody či nevýhody všech řešení a vybral nejméně bolestnou cestu. Samozřejmě existuje i řešení další, již od počátku používat v síti službu DHCP. Potom stačí pouze správně nakonfigurovat službu DHCP a přechod z ručního na automatické adresování není nutno řešit. Dalším extrémním případem je přejít souvislosti s dynamickým adresováním na jinou podsíť. Takové řešení je sice také moźné, ale změna typu adresování nebývá pro jeho volbu jediným důvodem.


88

V naší síti vyjdeme z řešení 2 a provedeme výchozí konfigurací serveru DHCP:

1. Spusťte konzolu DHCP. 2. Pravým tlačítkem myši klepněte na položku serveru (srvr001.studny.local) a v místní nabídce vyberte položku Nový obor. Spustí se Průvodce vytvořením oboru. Pokračujte klepnutím na tlačítko Další. 3. V dialogovém okně Název oboru zadejte název (například Centrála společnosti) a popis (Adresování klientských počítačů v centrále). Poté klepněte na tlačítko Další. 4. V dialogovém okně Rozsah adres IP zadejte do pole Počáteční adresa adresu 192.168.10.x, kde x je první volná adresa ve vaší podsíti (například 192.168.10.26), do pole Koncová adresa EP zadejte adresu 192.168.10.254. Pole Délka a Maska podsítě se vyplní automaticky výchozí maskou dané podsítě (v našem případě 24/255.255.255.0). Prověřte správnost masky podsítě, neboť ji není možné změnit bez odebrání a nového vytvoření oboru. Poté klepněte na tlačítko Další. 5. V dialogovém okně Přidat vyloučení ponechte všechny hodnoty prázdné a klepněte na tlačítko Další. 6. V dialogovém okně Doba trvání zápůjčky ponechte výchozí nastavení a klepněte na tlačítko Další. 7. V dialogovém okně Konfigurovat možnosti serveru DHCP zaškrtněte políčko Ano, chci tyto možnosti změnit a pokračujte klepnutím na tlačítko Další. 8. V dialogovém okně Směrovač (Výchozí brána) nezadávejte žádnou hodnotu a klepněte na tlačítko Další. 9. V dialogovém okně Název domény a servery DNS ponechte pole Nadřazená doména prázdné a do pole Adresa IP zadejte adresu 192.168.10.2. Poté klepně te na tlačítko Přidat a pokračujte klepnutím na tlačítko Další. 10. V dialogovém okně Servery WINS zadejte do pole Adresa IP adresu 192.168.10.2, poté klepněte na tlačítko Přidat a dále klepněte na tlačítko Další. Poznámka Bod 10 proveďte pouze v případě, pokud je v síti nakonfigurován server WINS.

11. V dialogovém okně Aktivovat obor zaškrtněte políčko Ne a poté klepněte na tlačítko Další. 12. Průvodce ukončíte klepnutím na tlačítko Dokončit. Poznámka Ačkoli by se zdálo výhodné v dialogovém okně Aktivovat obor ponechat zaškrtnuté políčko Ano, nedělejte to. Po konfiguraci oboru je totiž dobré si veškerá nastavení zkontrolovat, a teprve poté obor aktivovat. Nyní v konzole DHCP zkontrolujte nakonfigurované informace:

• V položce Fond adres byste měli vidět nakonfigurovaný rozsah adres IP (192.168.10.26 až 192.168.10.254). • Položky Zapůjčení a Rezervace by neměly obsahovat žádné hodnoty. • Položka Možnosti oboru by měla obsahovat tři položky (006 Servery DNS, 044 Servery WINS/NBNS a 046 Typ uzlu WINS/NetBIOS nad protokolem TCP/IP). Obrázek 8.6 Možnosti oboru Centrála společnosti serveru DHCP


89

Poznámka Možnost 046 Typ uzlu WINS/NetBIOS nad protokolem TCP/IP je rozhodující pro určeni, jaká bude posloupnost používaných služeb pro překlad názvů rozhraní NetBIOS. Hodnota 0x8 je nejčastější a v takovém případě se počítači z pohledu rozhraní NetBIOS říká uzel H. Překlad názvů NetBIOS potom proběhne přesně podle postupu uvedeného v kapitole 6, „Proč a jak se v síti překládají názvy?". Pokud je vše v pořádku, je možné provést aktivaci oboru:

•

Pravým tlačítkem myši klepněte na obor Centrála společnosti a v místní nabídce zvolte příkaz Aktivovat. Z názvu oboru zmizí červená šipka, což znamená, že obor byl bez potíží aktivován.

Nyní je vše nakonfigurováno, server DHCP přesto ještě nebude pracovat. Ještě je nutné provést jeho ověření v doméně Active Directory.

Ověření serveru DHCP v Active Directory Server DHCP zanedlouho spustíme a začneme v síti využívat jeho služeb. Co se ale sta-ne, pokud server z nějakého důvodu nepoběží (nebo v krajním případě nepoběží pouze služba Server DHCP)? Je možné mít v síti více serverů DHCP? Pokud ano, mohou být na konfigurované stejně?

Opověď na tyto otázky je následující. V síti může být více serverů DHCP, nikoli však se stejnoukonfigurací. Proč tomu tak je, není složité vysvětlit. Server DHCP nemá po svém spuštění žádné informace ani žádnou možnost, jak získat informace o adresách IP, kteréjsou v síti aktivní, pokud je sám nezapůjčil. Znamená to, že pokud byste do sítě přidali další server DHCP se stejnou konfigurací, velmi brzo by se objevil konflikt adres IP, neboť nový server by začal zapůjčovat adresy IP, které jsou v síti aktivní. Otázka instalace serveru DHCP a konfigurace oboru není nijak složitou záležitostí - o tom jsme se přesvědčili před chvílí. Postačují k tomu oprávnění správce daného serveru, a po-kud je služba DHCP nainstalovaná, potom stačí ke konfiguraci členství v doménové skupině DHCP Administrátors. A právě v tom je problém. Pokud totiž některý ze správcu konkrétního serveru nainstaluje službu DHCP a provede konfiguraci a aktivaci oboru, může v celé síti způsobit pořádný chaos. Takové případy se opravdu stávají, ve většině z nich ale nejde o úmysl, ale spíše jen o obyčejné vyzkoušení zamýšlené konfigurace bez domyšlení všech následků. Máme možnost se jako správci domény proti těmto problémům nějak bránit? Ano, máme. Nestačí k tomu ale oprávnění správce domény (členství ve skupině Domain Admins), ale musíte být členy skupiny Enterprise Admins. Pouze tak můžete provést takzvané ověření serveru v doméně Active Directory. Poznámka V systému Windows Server 2003 se vám může povést ověřit server i s oprávněními člena skupiny Domain Admins. To je však možné pouze v případě, kdy les Active Directory obsahuje jedinou doménu. Ověřením se vytvoří v doméně Active Directory záznam, který server DHCP při svém spuštění kontroluje. Pokud záznam existuje, služba DHCP se spustí a začne pronajímat adresy IP. Pokud záznam neexistuje, server DHCP nebude pracovat přesto, že obor je aktivní. Postup pro ověření serveru DHCP v doméně Active Directory 1. Přihlaste se jako člen skupiny Enterprise Admins (náš účet Administrátor toto právo má) k serveru SRVR001 a spusťte konzolu DHCP. 2. Pravým tlačítkem myši klepněte na položku serveru srvr00l.studny.local a v místní nabídce poté klepněte na příkaz Ověřit (viz obrázek 8.7) Obrázek 8.7 Ověření serveru DHCP v doméně Active Directory


90

Po obnovení zobrazení v konzole DHCP by se měla červená šipka u serveru změnit na zelenou. Poznámka Pokud chcete zjistit, které servery DHCP jsou ověřené, klepněte v konzole DHCP pravým tlačítkem myši na položku DHCP a poté v místní nabídce klepněte na příkaz Spravovat ověřené servery. V dialogovém okně uvidíte všechny ověřené servery a zároveň máte možnost zde ověřit další server nebo některý z ověřených serveru odbrat (pokud máte uvedený postup a nutnost ověřit servery DHCP nemusí být vždy 100 procentní jistotou, že se do sítě „nenabourá" jiný server DHCP a nezačne vytvářet v síti chaos. Abyste měli jistotu, že vše bude pracovat tak jak má, musí být splněny následující předpoklady: • •

Musí se jednat o doménu Active Directory (tedy o doménu se systémem Windows 2000 Server nebo Windows Server 2003). Server DHCP musí být nainstalován v systému Windows Server 2003 nebo Win dows 2000 Server a počítač musí být členem domény.

Kontrola ověřením tedy nebude pracovat, pokud například: • Nainstalujete službu DHCP do systému Windows NT 4.0 Server, který je členem domény. • Nainstalujete službu DHCP do systému Windows 2000 Server, který nebude členem domény. • Připojíte do sítě počítač s operačním systémem UNIX s nainstalovanou službou DHCP. • Nainstalujete službu DHCP do systému Windows Server 2003, který bude členem domény Windows NT 4.0. • Dva nezávislé lesy Active Directory budou ve stejné podsíti IP a v každém z nich bude k dispozici ověřený server DHCP. Pokud je v počítači nainstalovaná služba DHCP a server DHCP není ověřen v doméně Active Directory, bude se v protokolu systému zobrazovat událost ID 1046 se stavem Chyba. Popis události může být podobný tomu uvedenému na obrázku 8.8. Obrázek 8.8 Událost informující o neověřeném serveru DHCP

Ověření serveru DHCP se v systémovém protokolu také projeví. Jedná se o událosl ID 1044typu Informace a její popis může být podobný tomu na obrázku 8.9.


91

Obrázek 8.9 Událost informující o ověření serveru DHCP

Nyní je možné již zapojovat do sítě počítače s nainstalovaným výchozím nastavením sítě. První takový počítač získá v našem případě adresu IP 192.168.10.26. Změna adresování protokolu IP u stávajících počítačů

1. K počítači, který byl do sítě přidán naposled (například počítač PC025 s adresou IP 192.l68.10.25), se přihlaste jako správce a změňte adresování protokolu IP na automatické a poté zavřete všechna okna. Obrázek 8.10 Změna adresování protokolu IP na automatické

2 . Spusťte okno příkazového řádku a pomocí příkazu ipconfig /all ověřte, zda po čítač získal novou adresu IP od serveru

DHCP. Výpis příkazu by měl být podod-ný následujícímu: C: \Documents and Settings\Administrator .STUDNY>ipconfig /all Konfigurace protokolu IP systému Windows Název hostitele ............................ : pc025 Primární přípona DNS .............. : studny.local Typ uzlu ...................................... : neznámý Povoleno směrování IP.............. : Ne WINS Proxy povoleno................ : Ne Prohledávací seznam přípon DNS. : studny.local Adaptér sítě Ethernet Připojení k místní síti: Přípona DNS podle připojení Popis ......................................... Fyzická Adresa............................ Protokol DHCP povolen ............

: : : :

setká.local AMD PCNET Family PCI Ethernet Adapter 00-50-56-40-00-CB Ano


92

Automatická konfigurace povolena Adresa IP ................................. : Maska podsítě ........................... : Výchozí brána ......................... : Server DHCP ............................ : Servery DNS ............................ : Zapůjčeno ................................. : Zápůjčka vyprší ........................ :

: Ano 192.168.10.26 255.255.255.0 192.168.10.2 192.168.10.2 8. května 2003 16:44:15 16. května 2003 16:44:15

Pokud adresa IP 0.0.0.0 a některé ze zobrazených informací budou ve výpisu chybět, znamená to, že neproběhla komunikace mezi počítačem a serverem DHCP, kterou bude třeba vynutit ručně (neboť v takovém případě je zbytečné restartovat počítač). V takovém případě zadejte na příkazovém řádku počítače PC025 příkaz ipconfig/renew a poté opa-kujte krok 2. Nyní by již vše mělo být v pořádku. 3. Na serveru SRVR001 spusťte nyní konzolu DHCP. Rozbalte položku serveru, poté rozbalte nakonfigurovaný obor a klepněte na položku Zapůjčení adresy. V pravé části okna by měla být zobrazena aktuální zápůjčka počítači pc025.snul-ny.local. 4 . Nyní bude třeba rozšířit obor DHCP o uvolněnou adresu IP směrem dolů. Pravým tlačítkem myši klepněte na obor Centrála společnosti a v místní nabídce pole klepněte na položku Vlastnosti. 5. V poli Počáteční adresa IP změňte poslední část z 26 na 25 a klepněte na tlačít-

ko OK. Pomoci uvedeného postupu lze postupně přejít na automatické adresování všech klient-ských počítačů v síti. Body 1 až 5 nemusíte provádět pro každý počítač zvlášť, ale můžete vždy konligurovat několik počítačů najednou. Jak velký počet, to bude záležet na mož nostech vaší sítě - čím více počítačů v síti nyní existuje, tím bude počet menší.

Adresování serverů Vzhledem ke specifickým rolím serverů je nutné je adresovat ručně. Ačkoli je protokol DHCP navržen tak, aby počítači zapůjčil pokud možno vždy stejnou adresu, nemusí se to vždy povést a v síti se poté mohou vyskytovat potíže. Vzhledem k tomu, že servery již nyní mají ručně přidělené adresy IP, není co měnit a můžeme se s takovým stavem spokojit. Obecně je důležité, aby se adresy IP určené pro servery neobjevily v oboru serveru DHCP určeného pro adresování dalších zařízení.

Adresování dalších zařízení (tiskáren apod.) Tiskárny, které jsou připojené přímo k síti (nikoli k počítačům pomocí paralelních kabelů nebo kabelů USB), jsou typickými představiteli zařízení, u nichž je vhodné zajistit adresování stejnou adresou IP (podobně jako u serverů), ale zároveň spravovat tuto adresu centrálně (tedy na serveru DHCP). Pro tyto účely má protokol DHCP vyhrazené takzvané rezervace. Tiskárnám se věnujeme v kapitole 14, „Potřebujeme tisknout", adresování pomocí rezervace serveru DHCP si však ukážeme již nyní. Rezervaci může využít jakýkoli klient protokolu IP, tedy i běžný počítač, u kterého je nutné zajistit, že bude mít vždy a za všech okolností stejnou adresu IP. Pokud vytváříme rezervaci, spojujeme adresu IP s fyzickou adresou klienta (adresa MAC, Media Access Control). Rezervaci adresy IP 192.168.10.16 pro tiskárnu s adresou MAC 00-00-12-cc-b9-a0 provedete podle následujících pokynů: 1. K serveru SRVR001 se přihlaste jako správci a spusťte konzolu DHCP. 2. Rozbalte položku serveru srvrOOl.studny.local, poté rozbalte položku oboru pravým tlačítkem myši klepněte na položku Rezervace. 3. V místní nabídce klepněte na položku Nová rezervace. Zobrazí se dialogové okno Nová rezervace. 4. Do pole Název rezervace zadejte popisný název pro rezervaci, do pole Adresa IP zadejte adresu 192.168.10.16 a do pole Adresa MAC zadejte řetězec 000012ccb9a0. Do pole Popis zadejte popis rezervace. 5. V části Podporované typy ponechte zaškrtnuté výchozí nastavení (Oba) a klepněte na tlačítko Přidat. Pokud nyní znovu zobrazíte obsah položky Zapůjčení adresy, bude mezi zapůjčeními uvedena i rezervace (pravděpodobně se stavem Neaktivní rezervace). Přesto, že rezervovaná adresa nespadá do oboru adres IP určených k zapůjčení, bude v případě žádosti konkrétního zařízení zapůjčena. Musí však spadat do stejné podsítě jako obor.

Výpadek služby DHCP Výpadek služby DHCP může nastat úplně stejně, jako výpadek čehokoli jiného. Jedná se tedy o celkem běžnou situaci, a je třeba vědět, co si v takovém případě můžete a nemůžete jako správci dovolit, případně jakými způsoby se na výpadek služby DHCP připravit. Jak bylo již dříve v této kapitole uvedeno, nemohou být v síti dva servery DHCP, které by měly nakonfigurovaný stejný obor. Jak ale zajistit bezchybný stav, pokud server DHCP


93

Obrázek 8.11 Rezervace adresy IP v oboru serveru DHCP

vypadne? Nejprve je nutné podívat se na to, jak výpadek serveru DHCP zasáhne klientské počítače. Adresování klientů při výpadku serveru DHCP Pokud má klient nastavenu automatickou konfiguraci protokolu IP, bude se po spuštění ( a poté v pravidelných intervalech) snažit komunikovat se serverem DHCP. Tato komunikace probíhá formou všesměrového vysílání (jinak by to ani nešlo, když nemá klient adresu IP, a přesto potřebuje v síti komunikovat). Pokud se žádný server DHCP na vysí-lání „neozve", bude klientský počítač reagovat sám. Jak, to záleží na konkrétním operačním systému. Systémy řady Windows 9x a Windows NT

Pokud počítač s operačním systémem nižším než Windows 2000 (s výjimkou systému Windows 98 SE a Windows ME) neobdrží při spouštění od serveru DHCP žádnou ode-zvu, zůstane bez adresy IP. Pokud zadáte na příkazovém řádku příkaz ipconfig, zobrazí se adresa IP 0.0.0.0. Počítač je tak vyřazen z komunikace v síti pomocí protokolu TCP/IP. Systémy řady Windows 2000

Systémy řady Windows 2000 (a systém Windows 98 SE a Windows ME) použijí v přípa-dě nedostupnosti serveru DHCP funkci APIPA (Automatic Private IP Addressing). V tako-vém případě si konkrétní počítač přidělí náhodně vybranou adresu IP z podsítě 169.254.0.0/16. V této podsíti je k dispozici 65 534 adres IP, takže riziko, že si dva počí-tače přidělí stejnou adresu, by mělo být minimální. Aby se však úplně vyloučilo, odešle klient po přidělení vybranou adresu IP pomocí všesměrového vysílání do sítě, kterým zjistí zda je vybraná adresa volná. Pokud ano, ponechá si ji, pokud ne, vybere si jinou a celý postup opakuje. Systémy Windows XP a Windows Server 2003

Systémy Windows XP a řady Windows Server 2003 mají v této oblasti oproti systémům Windows 2000 další rozšíření. Pokud nakonfigurujete klienta s tímto operačním systémem na automatické získávání adresy IP od serveru DHCP, zobrazí se ve vlastnostech pro-tokolu TCP/IP navíc karta Alternativní konfigurace. Na této kartě jsou k dispozici dvě volby: • •

APIPA Funguje stejně jako u systému Windows 2000 (viz popis výše). Uživatelem definovaná konfigurace Zde je možné zadat adresu IP, masku podsítě, výchozí bránu, dvě adresy IP serverů DNS a dvě adresy IP serverů WINS.

Jak by to vypadalo v naší síti?

Pokud by v naší síti vypadla služba DHCP, přiřadily by si počítače se systémem Windows XP Professional při spuštění adresu z podsítě 169.254.0.0/16. Server SRVR001 je adresován ručně, takže se ho výpadek serveru DHCP netýká. Ostatní systémy nepodporující funkci APIPA, případně tiskárny, by zůstaly bez adresy IP. V síti by tak mezi sebou komunikovaly pouze klientské počítače (překlad názvů by v takovém případě nevyužíval službu DNS, ale řešil by se všesměrovým vysíláním), komunikace klientský počítač <- -> server by ale funkční nebyla (počítač je v jiné podsíti než server)! Vzhledem k tomu, že sítě jsou založené převážně na komunikaci klientský počítač <- -> server, vzniká otázka, k čemu je funkce APIPA vůbec dobrá. Pravdou je, že v běžných sítích nenalezne žádné využití, velké využití však má v sítích typu peer-topeer, kde nejsou žádné staticky nakonfigurované počítače. Pokud například nainstalujete malou síť sestávající ze čtyř počítačů se systémem Windows XP Professional, můžete při instalaci systému ponechat výchozí konfiguraci sítě (tj. automatická konfigurace protokolu TCP/IP). Počítače tak budou očekávat, že jim adresu IP, případně další parametry, zapůjčí server DHCP. Ten ale v síti chybí, takže si klienti přiřadí vlastní adresy IP. Všichni ze stejné podsítě tak budou moci komunikovat mezi sebou.


94

A rozšíření o uživatelem definovanou konfiguraci v systému Windows XP Professional? To je odpověď pro uživatele vlastnící přenosný počítač, kteří se pohybují mezi dvěma sítěmi, z nichž jedna používá server DHCP, a druhá nikoli. Takovému uživateli je třeba nakonfigurovat automatické adresování protokolu IP a na kartě Alternativní konfigurace zaškrtnout políčko Uživatelem definovaná konfigurace a zadat adresu IP a další parametry odpovídající síti nevyužívající služby DHCP. Řešení výpadku služby DHCP Naše (malá) sít

Pro zajištění výpadku serveru DHCP je nutné mít v první řadě k dispozici další server. To je velmi omezujícím faktorem pro celou řadu společností, na kterém jakékoli pokusy o zajištění výpadku ve většině případů končí. Ani v naší síti neplánujeme další server, takže otázka zálohy serveru DHCP je pro nás neřešitelná. Větší sítě

Pokud mají společnosti další server, lze na něj nainstalovat službu DHCP a nakonfigurovat „doplňkový" rozsah adres IP. Společnost Microsoft pro tento případ doporučuje rozdělit celý rozsah adres IP v poměru 80/20. Pro naši síť by to znamenalo, že první server DHCP by zapůjčoval adresy 192.168.10.17 až 192.168.10.207 a druhý server DHCP adresy 192.168.10.208 až 192.168.10.254. 20 procent by jako záloha mělo postačovat, neboť se předpokládá, že když dojde k výpadku služby DHCP, budou mít některé počítače již pronajaté adresy IP. Rezervace lze nakonfigurovat na oba servery, neboť v takovém případě nemůže nastat případ, kdy by stejnou adresu získaly dva počítače.

Závěr Pokud máte síť homogenní (za tímto pojmem se dá představit síť se systémy Windows 2000/XP/2003), je otázka překladu názvů vyřešena sužbou DNS. Pokud se v síti vyskytuji' systémy starší než Windows 2000, které pro svou komunikaci používají primárně názvy rozhraní NetBIOS, mohou se vyskytnout situace, kdy bude nutné zajistit i překlad těchto názvů. Systémovým řešením je v takovém případě instalace a konfigurace služby WINS, ve speciálních případech (například několik málo počítačů na pobočce) může postačovat pouze konfigurace souboru LMHOSTS. Výrazným zjednodušením adresování protokolu IP je služba (protokol) DHCP. Jedná se o službu, jež je součástí systémů Windows Server 2003 (Windows 2000 Server), a která zajišťuje automatické adresování všech zařízení využívajících protokol IP (tedy například i tiskáren). Předtím, než začne server DHCP pracovat, je třeba jej ověřit v doméně Active Directory. Tento krok může provést pouze uživatel, který je členem skupiny Enterprise Admins (členství ve skupině Domain Admins na to svými právy nestačí). Do sítí, ve kterých se používá ruční adresování, je při nasazování služby DHCP nutno po-slupovat opatrně. Protože služba DHCP není schopna zjistit, jaké adresy se již v síti po-užívají (pokud je sama nepronajala), může při neopatrném postupu dojít k výskytu kolize adres IP v síti. Existuje tak několik variant, podle kterých lze při nasazování služby DHCP postupovat. Pokud jsou klientské počítače se systémy Windows 2000/XP adresované automaticky, do-jde při výpadku serveru DHCP k přiřazení adresy z podsítě 169.254.0.0/16. Výsledkem je, že klienti mohou komunikovat mezi sebou, komunikace server <- -> klient ale možná není. Proto je třeba věnovat pozornost i výpadkům služby DHCP. V menších sítích může byl v systémech Windows XP Professional konfigurace nastavení na kartě Alternativní konfigurace (systém Windows 2000 touto možností nedisponuje), ztrácí se tím ale znovu Výhoda používání serveru DHCP. Ve větších sítích je řešením mít více serverů DHCP, kte-ré mají nakonfigurovány obory pro stejné podsítě, ale s rozdělenými adresami IP v po-měru přibližně 80/20 %.

Stav sítě V síti přibyly služby WINS a DHCP. Obě jsou nainstalované na serveru SRVR001. Server DHCP je ověřen v doméně Active Directory a nakonfigurován pro poskytování adres IP klientským počítačům v síti. Klientské počítače se zároveň staly klienty služby WINS.


95

Uživatelé chtějí pracovat V tuto chvíli byste měli mít před sebou prostředí domény s nainstalovanými a nakonfigurovanými službami, které jsou pro její správnou funkci třeba. Cílem tohoto prostředí je, pohledu správce samozřejmě co nejjednodušší správa, z pohledu společnosti je však cílem něco trochu jiného jeho maximální využití uživateli. Protože jsme tedy již postavili základní a stabilní kostru, můžeme do sítě „vpustit" uživatele. Každému uživateli vytvoříme účet, který bude pro činnost v síti potřebovat. Probereme si možnosti konfigurace účtů a provedeme je. Zá-roveň se tak seznámíme s nástroji, které slouží ke správě Uživatelů v doméně a nahlédneme i na základní mechanismy zabezpečení účtů uživatelů.

K čemu slouží uživatelský účet Pokud chce uživatel pracovat v síti, je nutné, aby se nejprve k síti přihlásil. K tomu potřebuje aktivní uživatelský účet a znalost takzvaných pověření - přihlašovacího jmé-na a hesla. Účet je však velmi důležitý ještě k dalším věcem. Patří sem sledování činnosti uživatele a zejména možnost určovat, kde všude v doméně či počítači může nul uživatel přístup a které úlohy může či nemůže provádět. Mnoho správců si „druhou tvář" uživatelských účtů neuvědomuje, přitom ji však automaticky využívá a pracuje s ní. Obecně platí, že s uživatelskými účty je třeba nakládat velmi opatrně, neboť v základním pohledu je to jediná věc, přes kterou musí případný útočník projít, aby se dostal do systému. Pro tyto důvody je nevhodné vytvořit pro celou skupinu uživatelů jediný účet, který by uživatelé sdíleli. Každý musí mít svůj vlastní! Vprostředích domény se systémy Windows lze pracovat se dvěma typy uživatelských účtů: místními a doménovými Rozdíly mezi nimi a práci s místními účty jsme probrali v kapitole 4, „Prostředí pracovní skupiny", v této kapitole se podíváme podrobně na správu doménových účtů.

Vytváříme a konfigurujeme uživatelské účty Pokud si představíte prostředí s několika sty uživatelů, potom jistě pomyšlení na to, že bude nutné vytvořit několik set uživatelských účtů, může výrazně zhoršit náladu. Na dru-hou stranu je pravda, že každé prostředí se vyvíjí, a tak je velmi pravděpodobné, že tyto uživatelské účty vznikaly postupně. Pokud před námi stojí úkol vytvořit „jenom" 20 uživatelských účtů, neměli bychom se ukvapovat a začít je ihned vytvářet, ale spíše si dopředu promyslet strategii, kterou bude možné uplatnit i do budoucna. Vytvoření jednoho účtu může trvat i několik minut, ale také jen několik sekund. A pokud byste v budoucnu potřebovali vytvářet několik desítek účtů denně, jistě bude lepší strávit u této činnosti co nejkratší dobu. Zkrátka jde o to řešit i vytváření nových účtů systémově, to znamená tak, aby byly používané postupy použitelné i v budoucnu, pokud potřeby organizace narostou. Účty je možné vytvářet různými způsoby - od grafického nástroje, který je pro tyto účely připraven, až po skripty, které budou číst informace z připraveného souboru a zapisovat je přímo do doménové databáze Active Directory. V každé z možností vždy existují lepší a horší postupy. My se budeme snažit používat ty lepší.

Vytvoření prvního účtu Až dosud jsme pracovali s účtem Administrátor. Jedná se o vestavěný účet, který je v doméně po její instalaci jako jediný k dispozici pro přihlášení a okamžitou práci. Protože práce s tímto účtem není z pohledu zabezpečení počítačů a sítě příliš optimální, postupně přejdeme k používání jiného účtu a tento účet si ponecháme pouze pro zásadní úkoly správy, které nelze řešit jiným způsobem. Nyní vytvoříme první doménový uživatelský účet a ověříme jeho funkčnost.

1. K počítači SRVR001 se přihlaste jako Administrátor. 2. Spusťte konzolu Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na položku Users, dále přejděte na položku Nový a poté klepněte na položku Uživatel. 4. V dialogovém okně Nový objekt — Uživatel zadejte do příslušných polí jméno a příjmení uživatele (protože se jedná o zkušebního uživatele, lze použít například První Uživatel).


96

Poznámka Všimněte si, že v poli Jméno a příjmení se automaticky generuje celé jméno uživatele. Takto bude poté uživatel zobrazen v nástroji Uživatelé a počítače služby Active Directory. Pokud vám řazení ve formátu jméno a příjmení nevyhovuje, je možné to během vytváření uživatele ručně měnit. Jedná se o výchozí nastavení služby Active Directory, které lze změnit pouze přímým zásahem do její interní struktury. Z pohledu přehlednosti uživatelů by jistě bylo vhodné toto nastavení změnit, na druhou stranu má nástroj uživatelé a počítače služby Active Directory velké možnosti vyhledávání uživatelů, a řazení podle příjmení tak není podstatné.

5. Do pole Přihlašovací uživatelské jméno zadejte například řetězec „uživatel1" (bez uvozovek). V tomto případě se doporučuje vyhnout diakritice, neboť ne každý počítač musí mít pro přihlášení aktivovánu českou klávesnici. Přihlašovací jméno se automaticky zapsalo i do pole Přihlašovací uživatelské jméno (pro systémy starší než Windows 2000). Je možné mít tato dvě jména jiná, obecně se to však nedoporučuje, neboť to klade velké nároky na uživatele. Klepněte na tlačítko Další. Obrázek 9.1 Vytváření nového uživatele

6. Do pole Heslo a Potvrzení hesla zadejte heslo, které bude použito pro první přihlášení pomocí vytvářeného účtu. Doporučuji nepoužívat diakritiku ani písmena Z či Y. Výchozí nastavení domény se systémem Windows Server 2003 je na hesla poměrně přísné. Stanovuje délku nejméně 7 znaků a hesla musí být složitá (heslo musí obsahovat nejméně 3 prvky z následujících: velké písmeno, malé písmeno, číslice, speciální znak). 7. Ponechte zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo. Zajistíte tak, že uživatel bude muset předtím, než začne jakkoli pracovat, změnit své heslo, a bude tak jediným, kdo je bude znát. Tím pádem se jako správci zbavujete odpovědnosti za potíže způsobené cizím uživatelským účtem. Ostatní políčka ponechte nezaškrtnutá, tedy ve výchozím nastavení. Poté klepněte na tlačitko Další. 8. Zobrazí se souhrnné informace o novém uživatelském účtu. Po jejich ověření klep-něte na tlačítko Dokončit. Teprve nyní se účet vytvoří. 9 V konzole nyní zobrazte vlastnosti nově vytvořeného účtu a projděte všechny kar-ly (zejména karty Adresa, Účet, Profil, Telefony, Organizace), abyste získali přehled o dalších informacích, které by měly být součástí uživatelského účtu. Je důležité si uvědomit, že některé z informací (typicky adresa či telefonní čísla) nejsou určené pro vás jako správce prostředí (na co by taky správce potřeboval telefon na všechny uživatele?), ale jsou určené pro samotné uživatele, kteří mohou tyto informace vyhledávat nebo naopak - podle telefonního čísla mohou hledat uživatele. Proto je vhodné ty-to informace zadávat ihned a průběžně je udržovat aktuální.

Ověření nového účtu Po vytvoření nového účtu se pokuste pomocí jeho pověření přihlásit k některému z klientských počítačů. Ještě než se zobrazí pracovní plocha, budete nuceni změnit své heslo. V dialogovém okně Změnit heslo je nutné zadat znovu původní heslo (tedy to, které jste použili k prvnímu přihlášení) a poté dvakrát heslo nové. Úspěšná změna hesla bude potvrzená zprávou na obrazovce a nové heslo se tak okamžitě stává aktivním. Zároveň budete přihlášení k počítači a zobrazí se pracovní plocha. Nyní se na klientském počítači odhlaste a pokuste se pomocí stejného účtu (ale již nového hesla) přihlásit k počítači SRVR001. Pokud se vám zobrazují informace „Místní zásady tohoto systému neumožňují interaktivní přihlašování", je to v pořádku. Účet reprezentuje běžného doménového uživatele, který nemá na řadiči domény co dělat. Výchozí nastavení zabezpečení tak umožňuje přihlásit se k řadiči domény pouze vyjmenovaným skupinám uživatelů, do kterých běžní uživatelé nepatří.


97

Vytvoření dalších účtů Pokud budete u každého z uživatelských účtů vyplňovat všechny atributy, dojdete k závěru, že některé z nich se u skupiny uživatelů opakují (například uživatelé obchodního oddělení budou mít pravděpodobně v poli Oddělení na kartě Organizace uvedeno „Obchodní"), zatímco jiné jsou pro každého uživatelé jedinečné (například telefonní číslo nebo přihlašovací jméno). Abychom si práci co nejvíce ulehčili a nemuseli zadávat všechny údaje (zejména ty, které budou shodné), je vhodné vytvořit šablony účtů, z nichž se budou účty pro nové uživatele vytvářet kopírováním. Firma STUDNY Nyní je na čase připravit si pro účely této knihy personální strukturu naší fiktivní společnosti STUDNY. Společnost bude mít 3 členy vedení, 5 zaměstnanců v obchodním oddělení, 3 zaměstnance v oddělení marketingu, 3 zaměstnance ve skladu a jednoho správce domény. Čas od času se bude ve firmě vyskytovat brigádník, což může být pokaždé jiná osoba, vždy bude ale provádět přibližně stejnou práci. Pracovní doba společnosti bude Po-Pá 8.00-16.00 hodin, sklad bude v provozu nonstop. Pro účely této knihy budou mít jednotliví zaměstnanci jména ve formátu Název oddělení + pořadové číslo (například Obchodí, Sklad3 atd.). Pokud budete vytvářet účty pro reálné uživatele, používejte samozřejmě jejich plná jména a nebojte se používat diakritiku (vyjma přihlašovacího jména a hesla).

Pro vytváření uživatelských účtů si připravíme 4 šablony — každou pro oddělení s více než jedním pracovníkem. Aby byly šablony na první pohled v nástroji Uživatelé a počítače služby Active Directory rozpoznatelné, bude vhodné je pojmenovat podle oddělení (například Obchod, Marketing, Sklad a Vedení), a aby se v konzole dobře hledaly, bude vhodné vložit před daný název stejný znak - například podtržítko „_" (bez uvozovek). Tím zajistíte jejich zobrazení pohromadě. Šablona jinak není nic jiného než běžný uživa-lelský účet. Vytvoření šablon

1. K počítači SRVR001 se přihlaste jako Administrátor a spusťte konzolu Uživatelé a počítače služby Active Directory. 2. Odstraňte zkušební uživatelský účet První Uživatel. 3. V kontejneru Users spusťte proces vytvoření nového uživatele. Do pole Jméno zadejte slovo Obchod, pole Příjmení ponechte prázdné a do pole Jméno a příjmení přidejte před slovo Obchod znak _. 4. Do pole Přihlašovací uživatelské jméno zadejte řetězec obchod a klepněte na tlačítko Další. 5. Do pole Heslo a Potvrzení hesla zadejte složité heslo (minimální délka 8 znaků, kombinace velkých, malých písmen a číslic nebo speciálních znaků), ponechte zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo a pokračujte klepnutím na tlačítko Další. 6. Zkontrolujte zobrazené informace a účet vytvořte klepnutím na tlačítko Dokončit. 7. V konzole Uživatelé a počítače služby Active Directory poté zobrazte vlastnosti právě vytvořeného účtu a vyplňte všechna potřebná pole na kartách Adresa a Organizace. 8. Na kartě Účet klepněte na tlačítko Přihlašovací hodiny a modře ponechte pouze dobu mezi 8. a 16. hodinou. Klepnutím na tlačítko OK zavřete dialogové okno vlastností účtu (šablony). 9. Na účet klepněte pravým tlačítkem myši a poté v místní nabídce zvolte příkaz Zakázat účet. Poznámka Aby se předešlo možnosti zneužití účtu sloužícího jako šablona, je dobré jej zakázat. Pokud by kdokoli věděl heslo k tomuto účtu, nebude schopen jej použít.

• •

Body 3 až 9 opakujte i pro šablony účtů oddělení Marketing, Sklad a Vedení. U šablony pro účty pracovníků skladu ponechte Přihlašovací hodiny na nonstop (výchozí nastavení nového účtu).

Po vytvoření šablon účtů by mělo být zobrazení v konzole Uživatelé a počítače služby Active Directory podobné tomu na obrázku 9.2.


98

Obrázek 9.2 Šablony (zakázané uživatelské účty) pro uživatele firmy STUDNY Vytvoření účtů ze šablon

Příklad vytvoření účtu uživatele si ukážeme na uživateli z obchodního oddělení. Na šablonu _Obchod klepněte pravým tlačítkem myši a poté v místní nabídce klepněte na příkaz Kopírovat. Zobrazí se dialogové okno nového uživatelského účtu. 1. Zadejte jméno a příjmení uživatele (pro účely knihy zadáme pouze křestní jméno Obchod1) a přihlašovací jméno (taktéž obchod1). Poté klepněte na tlačítko Další. 2. Do pole heslo a potvrzení hesla zadejte heslo, které uživatel poprvé použije pro přihlášení. Ponechte zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo a zrušte zaškrtnutí políčka Účet je zablokován. Poznámka Nikdy nepoužívejte heslo shodné s přihlašovacím jménem. Správně s ohledem na zabezpečení tohoto procesu byste měli postupovat tak, že vymyslíte (necháte si vygenerovat) náhodné heslo o minimální délce 10 znaků, které poté spolu s přihlašovacím jménem napíšete na papír, a ten následně předáte v zapečetěné obálce příslušnému uživateli. Tak zajistíte, že pokud bude nových uživatelů více, nebudou se moci přihlásit pomocí účtu jiného uživatele.

Pokud byste například měli za úkol vytvořit větší počet účtů a čas na předání potřebných přihlašovacích informací uživatelům odhadnete na několik dní, je vhodné ponechat účty zakázané a povolit je těsně před předáním informací. Přihlašovací jméno uživatele by mělo být stanoveno interním předpisem společnosti tak, aby i ve větších sítích existovala jednotnost. S ohledem na budoucí rozvoj sítě tak lze například určit, že přihlašovací jméno uživatele bude obsahovat první tři písmena křestního jména, dvě písmena příjmení a následně dvojciferné číslo označující pořadí uživatele se stejným přihlašovacím jménem. Dále by mělo být dáno, že přihlašovací jméno nebude obsahovat písmena s háčky či čárkami ani jiné speciální znaky. Uživatel Karel Láznička by tak měl přihlašovací jméno karlaOl. Po vytvoření účtu zobrazte jeho vlastnosti a doplňte potřebné údaje na kartu Adresa a Organizace. Zároveň náhodně ověřte, že přihlašovací hodiny odpovídají zařazení uživatele do konkrétního oddělení. Obdobně postupujte při vyváření ostatních účtů. Účet pro brigádníky

Protože bude ve firmě najednou maximálně jediný brigádník, je možné, aby všichni brigádníci postupně používali stejný účet. Jeho vytvoření provedete podle kroků uvedených výše s tím rozdílem, že pro něj neexistuje šablona. U tohoto účtu dodržujte následující pravidla: • Při nástupu brigádníka vždy změňte heslo účtu (na účet klepněte pravým tlačítkem myši a v místní nabídce zvolte příkaz Vytvořit nové heslo). Poté zadejte dvakrát nové heslo a zaškrtněte políčko Při dalším přihlášení musí uživatel změnit heslo. • Protože by u brigádníka mělo být jasné, dokdy bude pro firmu pracovat, nastavte ihned po vytvoření nového hesla termín Vypršení platnosti účtu (na kartě Účet). Pokud nastavíte například datum 21. června 2003, vyprší platnost tohoto účtu 21. června o půlnoci, takže celý první letní den bude moci brigádník ještě pracoval. Po vypršení se účet zakáže. Poznámka Vypršení platnosti účtu můžete používat také u běžných uživatelských účtů pro případ odchodu pracovníka ze společnosti nebo při plánované dovolené. Účet znovu zpřístupníte tak, že jej povolíte. U systémů řady Windows 2000 se názvy některých příkazů mohou lišit. Účet Administrátor a Guest


99

Každý uživatel (o správcích nemluvě), který zná alespoň něco málo o systémech Windows řady NT, ví, že standardně obsahují vestavěné účty Administrátor a Guest. Pro případné napadení těchto dvou účtů tedy stačí uhodnout pouze jejich heslo. Zatímco u účtu Guest by případný útočník žádné velké škody pravděpodobně nenapáchal, pomocí doménového účtu Administrátor si může v doméně doslova dělat co chce. Protože těmto pokusům je třeba čelit, je řešením (samozřejmě částečným) přejmenovat Účty Administrátor i Guest a účet Guest je navíc vhodné zakázat. Je to výchozí nastavení. Účet Guest se používá pouze v prostředích, která nevyžadují téměř žádné zabezpečení. My jsme si na začátku knihy ukázali využití tohoto účtu pro přístup z jiného počítače v prostředí pracovní skupiny, nyní je čas jej opravdu zakázat (nebo se alespoň znovu přesvědčit o tom, že se tak již stalo). Přejmenování účtu Administrátor

Nejprve je vhodné najít jméno, které je téměř nemožné uhádnout. Příkladem budiž jmé-no Ton!&check. Dále postupujte podle následujících pokynů: 1. V konzole Uživatelé a počítače služby Active Directory klepněte na kontejner Users a poté v pravém okně pravým tlačítkem myši na účet Administrátor. 2. V místní nabídce klepněte na příkaz Přejmenovat a poté zadejte připravené jméno. Pokud se zobrazí upozornění na nutnost odhlásit se a znovu přihlásit, pokračujte klepnutím na tlačítko Ano. Zobrazí se dialogové okno Přejmenovat uživatele, kde bude v poli Jméno a příjmení zobrazeno zadané jméno. Ostatní pole vyplňte podle obrázku 9.3. Obrázek 9.3 Přejmenování účtu Administrátor

Přejmenování účtu Guest Přestože je účet Guest ve většině prostředí vždy zakázaný, rozhodně se vyplatí přejmenovat i jej. Postup je shodný s postupem přejmenování účtu Administrátor. Pro účely knihy vybereme název a přihlašovací jméno N_vstevn!k. Pro přejmenování těchto dvou účtů existují v systému Windows Server 2003 a Windows 2000 Server jiné, lepší možnosti. Nyní jsme totiž přejmenovali pouze doménové účty Administrátor a Guest. Tyto účty však existují v každém klientském počítači a provádět změnu ručně je velmi neefektivní. Na tyto další možnosti se podíváme v kapitole 22, „Zabezpečení serveru a sítě". Členství ve skupinách

Každý nově vytvořený účet je standardně členem skupiny Domain Users (jedná se o výchozí nastavení domény). Tato skupina je v každém klientském počítači členem místní skupiny Users, což uživatelům uděluje základní oprávnění a práva pro práci s daným počítačem. V principu není nutné s členstvím v této skupině manipulovat, spíše se uživatelský účet přidává do dalších skupin. Informace o členství ve skupinách jsou k dispozici na kartě Je členem v dialogovém okně vlastností uživatelského účtu, případně na kartě Členové v dialogovém okně vlastností konkrétní skupiny. Další informace o práci se skupinami naleznete v kapitole 11, „Není to vše příliš složité?". Ostatní atributy uživatelských účtů U uživatelského účtu máte možnost definovat další atributy. Ty základní, které budeme jako správci nebo uživatelé potřebovat pro většinu práce, jsme již definovali. Ostatní atributy probereme postupně v dalších kapitolách této knihy.


100

Zabezpečení účtů Samotný účet je chráněn pouze přihlašovacím jménem a heslem. Co je však platné jakkoli dlouhé a složité heslo, pokud dojde k jeho prozrazení či zachycení při přenosu v síti? Odpověď na možnosti zneužití účtu je jednoduchá - protože se obecně nedá nikdy stoprocentně zamezit neoprávněnému získání hesla k některému účtu, je nutné nastavit takové zásady, které uživatele donutí pravidelně svá hesla měnit. Jediná taková zásada by však zdaleka účet nezabezpečila. I když si uživatel mění heslo v pravidelných intervalech, může se stát, že jej napadne zadat třeba heslo o velikosti dva znaky. To je samozřejmě krátké, neboť pokud budete chtít heslo uhádnout pomocí útoku, při kterém zkoušíte různé kombinace možných znaků, jistě se vám to dříve či později povede. Je tedy vhodné uživatelům „nařídit", že heslo musí mít minimální délku například 8 znaků. S každým dalším znakem roste exponenciálně počet možných kombinací pro uhádnutí hesla, a celý proces se tak prodlužuje. Mezi další zásady, které lze uživatelům „nařídit", patří například nemožnost znovu použít heslo, které již uživatel v historii několika hesel nazpět použil, dále používat hesla sestávající z různých druhů znaků (tzv. složitá hesla) nebo nutnost používat nově změněné heslo nejméně několik dnů. Další informace k zásadám zabezpečení hesel naleznete v kapitole 22, „Zabezpečení serveru a sítě". Jiný způsob vytváření uživatelských účtů Systém Windows Server 2003 jako jediný umožňuje použít k vytvoření uživatelského účtu příkaz DSADD USER spuštěný na příkazovém řádku. Příkaz pro vytvoření účtu pro uži-vatele Franta v kontejneru Users může vypadat třeba takto: dsadd user CN=Franta,CN=Users,DC=studny,DC=local

-upn f r a n t a @ s t u d n y . l o c a l -mustchpwd Yes

Vytvořený uživatelský účet bude automaticky zakázán, což je z pohledu správy a zabezpečení prostředí v pořádku. Nemá totiž definované žádné heslo. Poznámka Příkaz DSADD umí vytvářet mnohem více objektů, Další podrobnosti a možnosti tohoto příkazu získáte po zaclání příkazu DSADD /? na příkazovém řádku. Podrobnosti k vytváření uživatelských účtů získáte po zadání příkazu DSADD USER /?.

Kam zmizely místní účty? Pokud je klientský počítač členem domény, je možné se na něm přihlásit pomocí doménového účtu (to umožňuje výchozí nastavení uživatelského účtu) nebo pomocí místního účtu. Druhá možnost není v doménovém prostředí standardní, neboť je nutné pro ni vy-tvořit místní účet v daném počítači, v praxi je však někdy rozumným řešením nestan-dardních požadavků. Chcete-li se k počítači přihlásit pomocí místního účtu, je nutné v poli Přihlásit se k vy-bral položku Názevpočtače (místnípočítač). V případě počítače PC001 tedy PC001 (míst-ní počítač). Přihlášení poté neověřuje řadič domény, ale místní počítač proti své databázi SAM, ve které jsou informace o uživatelských účtech a heslech. Pojďme se podívat na server SRVR001. Zde je v poli Přihlásit se k pouze jediná položka STUDNY(tedy název domény). Znamená to, že v počítači SRVR001 neexistují žádné místní účty a pro přihlášení je nutné použít pouze doménový účet. Obecně se tento stav vyskytuje pouze na řadičích domény se systémy řady Windows 2000 a Windows Server 2003. Velmi jednoduše - pokud dojde k povýšení členského serveru v doméně na řadič domény, dojde k odstranění veškerých místních uživatelských účtů a účtů místních skupin. Výjimku tvoří pouze první řadič domény, u kterého se všechny místní účty převedou na doménové. Pokud je počítač řadičem domény, nelze nové místní účty ani vytvářet. Na potvrzení výše uvedeného se můžeme podívat přímo do systému: Přihlaste se k počítači SRVR001 jako správci. 1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku Správa počítače. 2. Dobře si prohlédněte levé podokno konzoly. Není zde uvedena položka Místní uživatelé a skupiny, která je běžnou součástí stejného nástroje, pokud je server pouze členským nebo samostatným serverem.

Poznámka Na řadiči domény se serverovým systémem řady Windows 2000 je v levém podokně této konzoly uvedena mimo jiné položka Místní uživatelé a skupiny s červeným křížkem značícím, že daná volba není k dispozici.

Stav, kdy na řadiči domény neexistují místní účty uživatelů ani skupin, je nový v porovnání s řadiči domény Windows NT 4.0. Na dokreslení celé záležitosti je nutné dodat, že pokud se rozhodnete na členský server nainstalovat roli řadiče domény, o veškeré místní účty s definitivní platností přijdete. Pokud kdykoli později roli řadiče domény odinstalujete, místní účty se neobnoví (opravdu nejsou nikde ukryté). Jediný účet, který se automaticky během procesu odinstalace domény konfiguruje, je místní účet Administrátor, kterému je třeba zadat heslo. Jedna výjimka však u řadičů domény se systémy Windows 2000 Server nebo vyššími existuje. Jedná se o místní účet uživatele Administrátor, pomocí kterého je možné se k serveru přihlásit pouze v režimu obnovení adresářové služby. Heslo tohoto účtu se definuje během instalace role řadiče domény, a je proto nutné si je dobře pamatovat. Pokud byste toto heslo chtěli kdykoli později změnit, je pro řadič domény se systémem Windows 2000 postup následující: 1. Během spouštění počítače stiskněte klávesu F8 a pro spuštění počítače zvolte režim obnovení adresářové služby. Tím


101

zajistíte, že se nespustí služba Active Directory. 2. Přihlaste se pomocí účtu Administrátor pro tyto účely. Stiskněte kombinaci kláves Ctrl+Alt+Del a poté klepněte na tlačítko Změnit heslo. 3. Zadejte aktuální a dvakrát nové heslo. 4. Restartujte počítač. Na řadiči domény se systémem Windows Server 2003 můžete heslo účtu Administrátor pro obnovení adresářové služby změnit ještě snadněji: 1. K počítači se přihlaste jako správce domény a spusťte příkazový řádek. 2. Na příkazovém řádku zadejte příkaz ntdsutil a stiskněte klávesu Enter. 3. Zadejte příkaz reset dsrm password a stiskněte klávesu Enter. Zobrazí se informace Vytvořit nové heslo správce pro režim obnovení adresářových služeb: 4. Zadejte příkaz reset password on server null a stiskněte klávesu Enter. Zobrazí se příkaz Zadejte heslo pro účet správce režimu obnovení adresářové služby: 5. Zadejte nové heslo účtu Administrátor pro obnovení adresářové služby a v dalším kroku toto heslo znovu potvrďte. Pokud proběhlo vytvoření hesla úspěšně, zobrazí se informace Heslo bylo úspěšně nastaveno. Server není nutné restartovat. Heslo pro režim obnovení adresářové služby lze změnit také ve vzdáleném řadiči domény (zadáním příkazu reset password on server na-zevserveru.domena.cz). Vzdálený počítač ale musí být spuštěn v normálním režimu (nikoli v režimu obnovení adresářové služby) a musí mít systém Windows Server 2003. Pokud byste po nějaké době funkčnosti domény zjistili, že neznáte heslo účtu Administra tor pro obnovení adresářové služby daného řadiče domény se systémem Windows 2000 (jedná se o místní účet, takže na každém řadiči domény může být jiné heslo), máte následující možnost, jak je zpětně získat pro svou kontrolu. Tento postup však předpokládá, že v doméně existuje více řadičů a že na daném řadiči domény neběží žádný další software, který na místní přítomnosti role řadiče domény závisí. Postupujte následovně: 1. K dotčenému řadiči domény se přihlaste jako správci. 2. Na příkazovém řádku zadejte příkaz dcpromo a odeberte roli řadiče domény. Tento krok vyžaduje restartování počítače. 3. Na příkazovém řádku zadejte příkaz dcpromo a nainstalujte znovu roli řadiče do mény. Během instalace zadáte heslo pro obnovení adresářové služby, které si již dobře zapamatujte.

Závěr V prostředí domény má každý uživatel k dispozici vlastní doménový účet. Ten může ve výchozím nastavení použít k přihlášení k jakémukoli počítači v doméně s výjimkou řadičů domény. Při vytváření většího množství uživatelských účtů můžete vyjít ze šablon, které jste si před-tím připravili. Každá z nich má totiž vyplněné všechny vlastnosti, takže při vytváření účtu nemusíte stejné atributy (například Oddělení) znovu a znovu vyplňovat, Při vytváření každého účtu je vhodné jej opatřit řádně dlouhým a bezpečným heslem a také zajistit, aby si heslo musel uživatel při prvním přihlášení změnit. Každý uživatel by měl mít svůj vlastní účet, sdílení jediného účtu můžete využít jako vý-jímku například u brigádníků, kteří se ve vaší společnosti střídají. U takovýchto účtů mů-žete vždy při jeho předávání uživateli již nakonfigurovat jeho vypršení. Nebudete jej tak muset hlídat a účet se na konci dne vypršení automaticky zakáže. Potřebujete-li vytvářet najednou opravdu velké množství účtů, můžete v doméně Active Directory se systémem Windows Server 2003 využít příkaz DSADD s příslušnými parametry. Ten mimo jiné umožňuje vytvářet či měnit vlastnosti také u dalších objektů v doméně. Z hlediska zabezpečení domény se jako základní krok doporučuje přejmenovat uživatel-ské účty, které se vyskytují v každé doméně - Administrátor a Guest. Případným útočníkum tak ztížíte možnost jejich napadení. Uživatelský účet přináší uživatelům možnost přihlásit se a pracovat v prostředí domény, správcum navíc možnost definovat pomocí nich oprávnění přístupu a práva v doméně.

Stav sítě V síti vznikly uživatelské účty pro všechny pracovníky společnosti Studny s.r.o. Pro jejich jednoduš š í a rychlejší vytváření jsou k dispozici šablony, každá pro jedno oddělení. Z h l e - d i s k a z a bezpečení domény došlo k přejmenování účtů Administrátor a Guest.


102

Zabezpečení přístupu Operační systémy řady Windows 2000 a vyšší jsou systémy určené pro nasazení do prostředí vyžadujících stabilit u , rychlost a zejména zabezpečení. Organizace pracující s těmito systémy chtějí mít přehled a kontrolovat stav, kdo se vůbec může dostat do jejich prostředí, s jakými daty muže pracovat a jakou úroveň přístupu k datům má. Obecně to neznamená, že každý uživatel, který je schopen se k síti organizace přihlásit, má automaticky přístup ke všem datům. I uvnitř organizace je nutné tyto druhy pří-stupů rozlišovat a mít o nich přehled. S tím bývá spojen další požadavek - vědět, zda se například k citlivým datum nepokouší dostat neoprávněný uživatel, tyto pokusy zaznamenávat a vyhodnocovat. K lomu, aby se uživatel dostal do systému, potřebuje znalost přihlašovacího jména a hesla platného účtu. K tomu, aby se poté dostal k dokumentům, o které má zájem, však potřebuje ještě něco navíc - oprávnění přístupu k souborům. Tato kapitola je úvodem do jednotlivých typů oprávnění a způsobů práce s nimi.

Oprávnění přístupu Uživatelský účet má dvě funkce. První, kterou jsme si již dostatečně probrali a vyzkoušeli, je možnost přihlásit se k místnímu počítači nebo k doméně. Druhou, neméně důležitou funkcí je možnost nakonfigurovat požadovanou úroveň oprávnění k prostředku v síti. Takovým prostředkem může být tiskárna, soubor, složka, uživatelský účet a další. Oprávnění ke zmíněným objektům ale nemusí být možné konfigurovat vždy. Pokud chcete řídit přístup k objektům typu soubor či složka, musí být daný prostředek uložen v oddílu zformátovaném systémem souborů NTFS. Oprávnění k uživatelskému účtu je například možné konfigurovat pouze u doménového účtu, nikoli místního atd. Udělování oprávnění je velmi důležitým procesem. Stačí například malá chybička, překlep či menší neznalost a důležitý dokument si může zobrazit každý z uživatelů; v horším případě zjistíte, že jej někdo odstranil. V takovém případě je třeba mít u velmi důležitých prostředků nakonfigurovanou i funkci auditu, abyste mohli alespoň určit uživatele, který danou operaci provedl. Další informace o auditu naleznete v kapitole 22, „Zabezpečení serveru a sítě".

Oprávnění NTFS Oprávnění NTFS slouží k zabezpečení přístupu k prostředkům v oddílech zformátovaných systémem NTFS. O takovém oprávnění se tedy dá hovořit pouze u operačních systémů, které umožňují formátování tímto systémem souborů. Systémy Windows 2000 a vyšší tuto možnost samozřejmě mají s jediným omezením - systém Windows XP Home Edition sice systém NTFS má, ale možnost konfigurovat oprávnění je výrazně omezena. Oprávnění NTFS je možné udělovat na úrovni složky nebo jednotlivých souborů. Protože je v systémech Windows standardně povolena dědičnost z nadřazených objektů, znamená to, že pokud udělíte uživateli oprávnění na úrovni složky, bude se automaticky týkat podřízených souborů, tedy všech souborů ve složce. Vše si ověříme následujícím postupem. Ověření dědičnosti 1.

2.

Přihlaste se k počítači PC001 jako správci domény (Ton!&check). Pokud máte potíže se zadáním znaku &, použijte klávesovou kombinaci Alt+38. Spusťte aplikaci Průzkumník Windows a na jednotce C: vytvořte složku s názvem Smlouvy. V této složce vytvořte dva textové soubory smlouval.txt a smlouva2.txt (soubory mohou být prázdné). Pravým tlačítkem myši klepněte na složku Smlouvy a v místní nabídce poté klepněte na položku Vlastnosti. V dialogovém okně Smlouvy — Vlastnosti klepněte na kartu Zabezpečení.

Poznámka V části Název skupiny nebo Jméno uživatele jsou zobrazeny uživatelské účty nebo účty skupin, po klepnutí na každou položku se ve spodní části Oprávnění zobrazí příslušná oprávnění. 5. V horní části klepněte na položku Users (PC00l\Users) a poté klepněte na tlačítko Odebrat. Zobrazí se informace, že tuto položku nelze odstranit, neboť dědí oprávnění od nadřazené položky. 6. Klepnutím na tlačítko OK zprávu zavřete a v dialogovém okně vlastností složky 7. Smlouvy poté klepněte na tlačítko Upřesnit. 8. V dialogovém okně Upřesnit nastavení zabezpečení Smlouvy zrušte zaškrtnutí políčka Zdědit po nadřazeném objektu položky oprávnění platné... a poté klepněte na tlačítko Odebrat. 9. Dialogové okno zavřete klepnutím na tlačítko OK. Zobrazí se zpráva o tom, že jste odepřeli všem uživatelům přístup k objektu Smlouvy s dotazem, zda chcete pokračovat. Klepněte na tlačítko Ano. Nyní je třeba ke složce Smlouvy zajistit úplný přístup skupině správců. Na tento krok nezapomínejte, neboť v případě potíží se složkou se rychle dostanete ke konfiguraci oprávnění, kde můžete chybu vyhledat a opravit. Poté nakonfigurujeme


103

oprávnění přístupu pro uživatele Obchodí. 9. Klepněte na tlačítko Přidat. Zobrazí se dialogové okno Vyberte uživatele, počítače nebo skupiny. Pokud je v poli Umístění zobrazen název DNS domény (studny.local), klepněte na tlačítko Umístění a poté vyberte položku PC001 a klepněte na tlačítko OK. 10. V části Zadejte názvy objektů k výběru zadejte text Administrators a poté klepněte na tlačítko Kontrola názvů. Pokud je vše v pořádku, zadaný text by se měl změnit na podtržený text PC00l\Administrators. Poté klepněte na tlačítko OK. 11. V části Oprávnění pro Administrators jsou nyní zaškrtnuta tři políčka. Ve sloupci Povolit zaškrtněte políčko Úplné řízení. Poznámka Nyní jsme zajistili úplný přístup ke složce Smlouvy pro místní skupinu Administrators. Jistě by bylo možné nadefinovat pouze doménovou skupinu Domain Admins, místní skupina je však systémovějším řešením, neboť skupina Domain Admins je v doméně automaticky jejím členem. Pokud byste navíc později počítač odebrali z domény, zůstane nejvyšší oprávnění místní skupině (skupina Domain Admins by v takovém případě z vlastností objektu zmizela). 12. V dialogovém okně vlastností složky Smlouvy nyní klepněte na tlačítko Přidat. V poli Umístění změňte řetězec PC001 na studny.local a v okně Zadejte názvy objektů k výběru zadejte text Obchodí. Poté klepněte na tlačítko Kontrola názvů. 13. Klepněte na tlačítko OK a všimněte si automaticky udělených oprávnění. Ve sloupci Povolit zaškrtněte navíc položku Zapisovat a klepněte na tlačítko OK.

Obrázek 10.1 Výběr uživatele Obchod1

Udělená oprávnění by měla být nyní automaticky zděděna na podřízené objekty. Tuto skutečnost ověříme. •

Jako správce počítače PC001 přejděte do složky Smlouvy a zobrazte vlastnosti souboru smlouva1.txt. Klepněte na kartu Zabezpečení a všimněte si, že obsahuje pouze dva objekty.

•

Klepněte na uživatele Obchod1 a ověřte, jaká oprávnění má tento uživatel udělena. Oprávnění by měla být shodná s oprávněními na úrovni složky Smlouvy s jedinou výjimkou - oprávnění Zobrazovat obsah složky je logicky k dispozici pouze ve vlastnostech složky.

•

Pokuste se některá z oprávnění na úrovni souboai smlouval.txt odebrat. Byli jste úspěšní?

Poznámka Pokud jsou oprávnění zděděna z nadřazeného objektu, není možné je odebírat, aniž byste předtím nezrušili dědičnost. Stav, kdy jsou oprávnění zděděna, zjistíte na první pohled, neboť oprávnění jsou označena světle šedou barvou.

Nyní je třeba udělená oprávnění ověřit. Uživatel Obchod1 má ke složce i k souborům oprávnění Číst, Číst a spouštět a Zapisovat. Měl by tedy být schopen soubor otevřít, prohlédnout si jeho obsah, ten případně změnit a soubor uložit. Ověření oprávnění

1. 2. 3. 4.

K počítači PC001 se přihlaste jako uživatel Obchod1. Přejděte do složky Smlouvy a poklepáním otevřete soubor smlouval.txt Zobrazí se obsah souboru. Změňte nebo spíše doplňte obsah souboru a uložte jej. Nyní se pokuste odstranit soubor smlouva2.txt. Tento krok se vám nepodaří, neboť nemáte potřebná oprávnění. Proto se zobrazí chybová zpráva

V krátkosti jsme se seznámili se základními oprávněními NTFS a s principem dědičnosti, který je v systémech Windows standardně povolen. Následující tabulka uvádí význam jednotlivých oprávnění NTFS. Oprávnění _______ Význam________________________ Poznámka_________________ Číst

Umožňuje číst obsah souboru a jeho atributy

Číst a spouštět

To samé co Číst; pokud se jedná o spustitelný soubor (například EXE), umožňuje jeho spuštění Umožňuje zobrazit obsah složky

Zobrazovat

Je k dispozici pouze ve vlastnostech


104

obsah složky

(ukáže soubory)

složky

Oprávnění

Význam

Poznámka

Zapisovat

Umožňuje vytvářet nové soubory a provádět změny ve stávajících

Měnit

Umožňuje měnit název souboru a odstraňovat existující soubory

Úplné řízení Zvláštní oprávnění

Umožňuje měnit seznam řízení přístupu Nejedná se o žádné konkrétní oprávnění. Jeli toto políčko zaškrtnuto, znamená to, že existují tzv. speciální oprávnění

Tabulka 10.1 Přehled základních oprávnění NTFS

Uživateli Obchod1 jsme udělili oprávnění Číst, Číst a spouštět, Zobrazovat obsah složky a Zapisovat. Při zobrazení souborů se využilo oprávnění Zobrazovat obsah složky, při ote-vření souboru oprávnění Číst a při zápisu oprávnění Zapisovat. Nevyužité zůstalo oprávnění Spouštět, neboť soubor TXT není spustitelným souborem. Oprávnění Zapisovat ale umožňuje také vytváření nových souborů. Ověřte to tak, že ve složce Smlouvy vytvoříte nový textový soubor. Pokud se však pokusíte změnit jeho název, zobrazí se chybová zpráva značící, že nemáte dostatečná oprávnění (nemáte oprávněni Měnit). Název souboru tak zůstane Nový textový dokument.txt. „Specialitky" oprávnění Číst Co přesněji znamená oprávnění Číst? Je možné s oprávněním Číst zobrazit vlastnosti souboru a podívat se například na datum jeho vytvoření a poslední změny? Jaká oprávnění jsou třeba k zobrazení seznamu řízení přístupu? Pokud chcete vědět odpovědi na tyto otázky (a v těch by mělo být opravdu jasno), je možné se podívat na tzv. zvláštní oprávnění (někdy také nazývaná speciální oprávnění). Z mého pohledu je nutné dodat, že označení „zvláštní" či „speciální" oprávnění je velmi zavádějící neboť se o žádná taková oprávnění nejedná. Jde pouze o to, že oprávnění Číst je jakýmsi souhrnem několika dílčích oprávnění. Kterých, to lze velmi jednoduše zjistit. 1. K počítači PC001 se přihlaste jako uživatel Obchod1 nebo jako správce. 2. Zobrazte vlastnosti souboru smlouval.txt a klepněte na kartu Zabezpečení. 3. Prohlédněte si oprávnění uživatele Obchod1 a poté klepněte na tlačítko Upřesnit. 4. Označte uživatele Obchod1 a poté klepněte na tlačítko Upravit. Zobrazí se dia-logové okno s dílčími oprávněními, která si pozorně prohlédněte. Nyní jste získali odpovědi na výše uvedené otázky - oprávnění Číst postačuje k tomu, aby se uživatel mohl podívat na atributy souboru (oprávnění Číst atributy) a také k tomu, aby se podíval na seznam řízení přístupu (Číst oprávnění). Někdy však tato oprávnění nebývá vhodné ponechávat. Může být například žádoucí, aby s i u ž i v a t e l mohl zobrazit obsah souboru, ale již není žádoucí, aby viděl jakékoli informa-ce na kartě zabezpečení. Pokud by takové oprávnění měl, mohlo by se stát, že namísto práce by obtěžoval své kolegy, kteří by byli uvedeni na kartě Zabezpečení s vyššími oprávněními a chtěl by po nich, aby provedli v souborech některé změny. Produktivita práce by v takovém případě byla tatam a změny v souborech by nepocházely od správné-ho uživatele. Pokud tedy chcete zakázat uživateli náhled na seznam řízení přístupu, je třeba na kartě Upřesnit nastavení zabezpečení označit uživatele Obchod1, poté klepnout na tlačítko Upravit a v dialogovém okně Položka oprávnění pro zrušit ve sloupci Povolit zaškrtnutí políčka Číst oprávnění. Karta Zabezpečení dialogového okna vlastností souboru bude poté vypadat podobně, jako na obrázku 10.2. Obrázek 10.2 Zaškrtnuté políčko Zvláštní oprávnění . znamená, že existují speciální oprávnění


105

Pokud jste dosud zkoumali, k čemu je na kartě Zabezpečení sloupec Odepřít, vyčkejte do kapitoly 11, „Není to vše příliš složité?", kde si uvedeme jediný příklad, kdy se tento sloupeček používá. Vlastnictví souboru Úvodem příklad. Přihlaste se k počítači jako uživatel Obchod1 a pokuste se přejmenovat soubor Nový textový dokument.txt, který jste vytvořili dříve ve složce Smlouvy. Jistě to nepůjde, neboť nemáte dostatečná oprávnění. 1. Nyní zobrazte dialogové okno vlastností tohoto souboru a klepněte na kartu Zabezpečení. 2. Klepněte na položku svého účtu a ve sloupci Povolit zaškrtněte políčko Změnit. Poté klepněte na tlačítko OK. 3. Nyní změňte název souboru na smlouva3.txt. Položme si nyní otázku: Jak je možné, že jste byli schopni změnit oprávnění týkající se vlastního účtu přesto, že jste neměli uděleno oprávnění Úplné řízení? Pokud se o stejný postup pokusíte například u souboru smlouval.txt, nebudete schopni svá oprávněni upravit. Odpovědí je informace o takzvaném vlastníkovi. Každý soubor uložený v oddílu zformá-tovaném systémem souborů NTFS má svého vlastníka. Vlastnit soubor je stejně dobrá vymoženost, jako vlastnit cokoli jiného. Také zde totiž mimo jiné platí, že vlastník si může se svým majetkem dělat, co chce. Převedeno do řeči operačního systému Windows XP Professional to znamená, že můžete měnit seznam řízení přístupu daného objektu, a to nejen u vlastního účtu. Možná vás napadne následující myšlenka. Pokud jste vlastníky souborů, jistě bude možné odebrat třeba všechna oprávnění přístupu skupině Administrators, a tak této skupině zamezit v přístupu k vašim souborům. Myšlenka to není špatná a tento úkon je jistě možný. Skupina Administrators, ale zůstane „mimo hru" jen do té doby, než si to zpět uspořádá takovým způsobem, že vy už takový postup nebudete moci zopakovat, neboť budete zbaveni vlastnictví souboru. Nejlepší bude takovou situaci nasimulovat. 1. Přihlaste se k počítači PC001 jako uživatel Obchod1. 2. Na kartě Zabezpečení v dialogovém okně vlastností souboru smlouva3.txt odeberte skupinu Administrators a svému účtu udělte oprávnění Úplné řízení. Poté klepněte na tlačítko OK. Poznámka Pokud nebudete schopni změnit seznam řízení přístupu vinou povolené dědičnosti, dědičnost nejprve zakažte a opakujte krok číslo 2.

4.

Odhlaste se a přihlaste se znovu k počítači PC001 jako správci,

5.

Poklepáním se pokuste otevřít soubor smlouva3.txt. Protože k souboru nemáte žádné oprávnění, nebudete při otevření úspěšní.

6.

Nyní máte jako správci jedinou možnost - stát se vlastníkem souboru a upravit si oprávnění. Jiná možnost (za předpokladu, že vám oprávnění neudělí uživatel Obchod1) neexistuje. V řeči systému Windows XP Professional se tomuto postupu říká převzetí vlastnictví. 7. Na kartě Zabezpečení v dialogovém okně vlastností souboru smlouva3.txt klepněte na tlačítko Upřesnit a poté klepněte na kartu Vlastník. Na řádku Aktuální vlastník této položky není vlastník uveden — ne snad proto, že by žádný neexistoval, ale proto, že nemáte oprávnění jej zobrazit. V části Změnit vlastníka nalez nete svůj účet (Ton!&check). Poznámka Pokud jste členem skupiny Administrators nebo Domain Admins, bude zde uvedena i tato skupina. Jedná se o jedinou výjimku, kdy může být vlastníkem objektu skupina.

8.

Nyní bude systémové označit skupinu Administrators (nikoli vlastní účet) a po té klepněte dvakrát za sebou na tlačítko OK. Poznámka Pokud byste přebírali vlastnictví složky, je vhodné v dialogovém okně Upřesnit nastavení zabezpečení zaškrtnout políčko Nahradit vlastníka v podřízených kontejnerech a objektech.

9. V dialogovém okně vlastností souboru smlouva3.txt znovu zobrazte kartu Zabezpečení a do seznamu řízení přístupu přidejte místní skupinu Administrators s oprávněními Úplné řízení. 10. Skupině Obchod1 případně upravte oprávnění (alespoň byste měli odebrat oprávnění Úplné řízení) a poté klepněte na tlačítko OK. Poznámka Další možností „ovládnutí" souboru je znovu povolit dědičnost. Kdo se může stát vlastníkem


106

Jak jsme si právě ukázali, vlastnictví souboru je velmi silným prostředkem k neomezenému nakládání. Z pohledu správce domény je proto velmi důležité vědět, kdo se může stát vlastníkem souboru a jaká k tomu potřebuje oprávnění či práva. Možnosti stát se vlastníkem souboru jsou následující: • Vlastníkem je ten, kdo daný soubor vytvořil. • Vlastníkem je ten, kdo převezme vlastnictví. • Převzít vlastnictví může uživatel, který má buď uděleno oprávnění Úplné řízení nebo oprávnění Převzít vlastnictví nebo uživatel s právem Převzít vlastnictví souborů nebo jiných objektů. • Skupina Administrators má ve výchozí konfiguraci systému právo Převzít vlastnictví souborů nebo jiných objektů. Poznámka Právo Převzít vlastnictví souborů nebo jiných objektů se definuje v zásadách zabezpečení místního počítače nebo domény.

Vlastnictví nelze v systémech Windows XP Professional a nižších z pozice oprávněného uživatele přidělit jinému uživateli. Je možné mu pouze definovat potřebná oprávnění a vyzvat jej, aby si převzal vlastnictví. Výjimku tvoří vůbec poprvé v historii operačních systémů Windows systém Windows Server 2003, kde to možné je. Pozor na správné pochopení oprávnění Správné pochopení konfigurace oprávnění a procesu dědičnosti vyžaduje nějaký čas studia a zejména praxi. Uveďme si příklad, který ukáže, že vše nemusí být tak jasné, jak se může na první pohled zdát. V počítači existuje složka s názvem Smlouvy. K této složce bude mít uživatel Obchodí Oprávnění Úplné řízení. Vzhledem k procesu dědičnosti bude mít toto oprávnění ke všem souborům v této složce. Situace se však náhle změní a bude třeba omezit přístup uživatele Obchoďl k souboru smlouval.txt tak, aby nyní k tomuto souboru žádný přístup neměl, zatímco ostatní oprávnění zůstanou platná. Rozhoďnete se pro následující řešení: Smlouvy - Úplné řízení pro Obchod1 smlouval.txt — žádná oprávnění pro Obchod1 smlouva2.txt - oprávnění Úplné řízení (zděděno)

Pro to, abyste mohli oprávnění na soubor smlouval.txt odebrat, bude nutné nejprve zru-šit dědičnost a teprve poté upravit oprávnění. Uživatel Obchod1 se po výše uvedeném nastavení přihlásí k počítači a přejde do složky Smlouvy. Při pokusu o zobrazení obsahu souboru smlouval.txt se zobrazí zpráva in-formující o odepření přístupu. Důvodem jsou pochopitelně nedostatečná (žádná) opráv-nění. Do takového souboru pochopitelně nebude možné nic zapsat, nelze změnit opráv-nění ani se podívat například na atributy. Co když se ale uživatel Obchod1 pokusí o odstranění souboru smlouval.txt? Podaří se mu soubor odstranit? Na úrovni Smlouvy toto oprávnění má (Úplné řízení je více než Změnit), na úrovni samotného souboru ale o všechna oprávnění přišel. Výsledek je ten, že uživatel Obchod1 soubor smlouval.txt odstraní, ačkoli k němu nemá žádná oprávnění! Možná je to pro vás překvapení, neboť jste dosud předpokládali, že oprávnění na úrovni souboru jsou silnější než oprávnění na úrovni nadřazeného objektu (složky). Pro tento stav však existuje velmi jednoduché vysvětlení: 1. Přihlaste se k počítači se složkou Smlouvy jako správce. 2. V dialogovém okně vlastností složky Smlouvy klepněte na kartu Zabezpečení a poté klepněte na tlačítko Upřesnit. 3. V dialogovém okně Upřesnit nastavení zabezpečení Smlouvy klepněte na položku Obchod1 a poté na tlačítko Upravit. 4. Zobrazí se dialogové okno Položka oprávnění pro Smlouvy, které poskytuje jednoznačnou odpověď na otázku, proč uživatel Obchod1 soubor smlouval.txt odstranil. Obrázek 10.3 Uživatel Obchod1 má -oprávnění odstraňovat podsložky a soubory


107

Zobrazené dialogové okno říká, že uživatel Obchod1 má ve složce Smlouvy a v jejích podsložkách oprávnění Odstraňovat podsložky a soubory. Pokud byste chtěli mít jistotu, že nic podobného se nemůže stát, je rada jednoduchá. Zrušte oprávnění Úplné řízení uživateli Obchodí nebo v zobrazeném dialogovém okně zrušte zaškrtnutí políčka u zmíněného oprávnění. I v této oblasti tedy platí známé přísloví „dvakrát měř, jednou řež". Je mnohem lepší zamýšlenou konfiguraci nejdříve pečlivě prověřit, než ji uvedete do provozního prostředí. Na závěr části týkající se oprávnění NTFS je nutné dodat, že veškerá oprávnění se týkají uživatelů přihlášených k počítači místně (pomocí kombinace kláves Ctrl+Alt+Del). Oprávnění nutná k přístupu po síti jsou probrána dále v této kapitole.

Obrázek 10.4 Pomocí tlačítka Další uživatelé a skupiny je v systému Windows Server 2003 možné předat vlastnictví jinému uživateli nebo skupině

Oprávnění přístupu ke sdílené složce Pokud chtějí uživatelé přistupovat k souborům či složkám v jiném počítači v síti ze svého počítače, musí být tyto složky sdílené. Obsah každé sdílené složky je samozřejmě chráněn oprávněními přístupu. Ta jdou tak ruku v ruce spolu se sdílením, pokud je navíc složka v oddílu zformátovaném systémem souborů NTFS, potom i s oprávněními NTFS. Oprávnění sdílet složku Prvním krokem ke zpřístupnění obsahu složky v síti je její sdílení. Jedná se o krok, který může provést pouze oprávněný uživatel. Tím je v systémech Windows 2000 a vyšších člen skupiny Administrators, v doméně je to navíc člen skupiny Server Operators. Před sdíle-n í m složky je nutné podrobně znát výchozí oprávnění pro sdílení, neboť v případě ne-opatrného postupu může dojít ke zpřístupnění citlivých dat nepovolaným osobám. Možnosti sdílení

K dispozici jsou dva nástroje, pomocí kterých lze složku sdílet. Prvním z nich je aplikace Průzkumník Windows, druhým je konzola MMC Správa počítače, přesněji její část Sdílené složky. Pro vytvoření sdílené složky lze obecně v místním počítači použít kterýkoli z nich, při sdílení vzdálených složek je však nevyhnutelné použít konzolu Správa počítače. Oprávnění ke sdíleni

Na kartě Sdílení v dialogovém okně vlastností složky, kterou chcete sdílet, je tlačítko Oprávnění. Zde je nutné nakonfigurovat příslušné uživatele nebo skupiny a jejich úroveň oprávnění pro sdílení. Velmi důležitá je ale znalost výchozích nastavení těchto opráv-nění. V systému Windows Server 2003 je to pro skupinu Everyone oprávnění Read na roz-díl od systémů řady Windows 2000 a Windows XP Professional, u kterých se jedná pro skupinu Everyone o oprávnění Úplné řízení. Lze tedy říci, že nastavení v nových serve-rových systémech je bezpečnější než dříve.


108

Obrázek 10.5 Výchozí oprávnění ke sdílení v systému Windows Server 2003

Co vlastně jednotlivá oprávnění ke sdílení znamenají? Oprávnění Číst umožňuje uživateli či skupině číst obsah složky a souborů. Oprávnění Změnit je na stejné úrovni s oprávněním Měnit v systému NTFS a oprávnění Úplné řízení je na stejné úrovni s oprávněním Úplné řízení v systému NTFS.

Která oprávnění vlastně platí? Pokud bude sdílená složka uložená v oddílu se systémem souborů NTFS, je nutné vědět, jaký je vztah oprávnění ke sdílení s oprávněními NTFS. Existují dvě pravidla: ♦ Pokud bude uživatel přistupovat k souborům ve složce místně (pomocí interaktivního přihlášení), platí pouze oprávnění NTFS. ♦ Pokud bude uživatel přistupovat k souborům ve sdílené složce po síti, oba typy oprávnění se kombinují. Skutečná oprávnění budou v takovém případě tvořena „průnikem" obou typů oprávnění. Příklady a skutečná oprávnění jsou uvedeny v následující tabulce. Skutečná oprávnění Oprávnění NTFS

Oprávnění ke sdílení

Obchod1 - Číst Obchod1 - Úplné řízení

Everyone - Číst Administrátore - Úplné řízení

Číst Žádný přístup

Obchod1 - Číst, Zapisovat

Everyone - Číst

Číst

Obchod1 - Číst

Obchod1 - Úplné řízení

Číst

Obchod1 - Úplné řízení

Obchod1 - Číst

Číst

pro uživatele Obchodí

Poznámka Uživatel Obchod1 není členem skupiny Administrators

Tabulka 10.2 Příklady oprávnění NTFS a ke sdílení a skutečná oprávnění Zastavme se u posledních dvou příkladů. Z pohledu přístupu po síti bude výsledek vždy stejný. Rozdíl ale bude u přístupu k souborům při interaktivním přihlášení. Pokud by tedy uživatel Obchod1 občas pracoval přímo na serveru, na kterém je sdílená složka uložena, měl by v souladu s posledním příkladem k souborům oprávnění Úplné řízení, s předposledním příkladem oprávnění Číst. Praktické využití a konfiguraci oprávnění NTFS a sdílených oprávnění si ukážeme v kapitole 12, „Vytváříme firemní knihovnu dokumentů".

Kam ukládat soukromé dokumenty? Z pohledu každého uživatele zasluhují právě soukromé dokumenty nejvyšší stupeň zabezpečení. Proto by cílem každého z nich bylo zabezpečit své dokumenty tak, aby se k nim nedostal žádný jiný uživatel, ale ani žádný správce. Tento požadavek je samozřejmě dobře splnitelný udělením správných oprávnění. Potíž je však v tom, že běžný uživatel většinou není schopen s konfigurací oprávnění manipulovat, vyjma případů, kdy je vlastníkem souborů či složek. I tak, jak jsme v předchozím odstavci viděli, může o vlastní konfiguraci oprávnění i vlastnictví kdykoli přijít. Uživatelé se tedy musí spolehnout na správce a správci by měli dobře znát všechny možnosti, které jsou schopni uživatelům


109

poskytnout. Pokud nyní trochu pomineme zabezpečení dat ve smyslu jejich zálohování, je nejjednodušším místem pro ukládání dokumentů uživatelů v systémech Windows 2000 Professio-nal i Windows XP Professional složka Dokumenty (My Documents). Jedná se o složku, která je součástí profilu uživatele, a systém v klientském počítači uživatele se tak sám poslaní o to, aby zabezpečil přístup k datům v ní pouze pro konkrétního uživatele. Běžný uživatel tak nemá vůbec možnost dostat se k profilu jiného uživatele, natož ke složce Do-kumenty, která je jednou z jeho složek. Oprávnění k celému profilu konfiguruje operační systém v klientském počítači sám. Kro-mě oprávnění Úplné řízení pro uživatele přidá ještě stejnou úroveň oprávnění místní sku-pině Administrators a skupině SYSTEM (vestavěná systémová skupina). Uživatel má možnost přístup správcům odebrat (odebráním oprávnění u složky %system drive%\Documents and Settings\%username%), v praxi se s tímto postupem však často nesetkáte. Na jednu stranu zde hraje významnou roli neznalost samotných uživatelů, na druhou stranu jistě možnost z pohledu správce si kdykoli přístup obnovit. Ukládání dokumentů uživatelů do složky Dokumenty je doporučeno, neboť ze systémo-vého hlediska je práce s touto složkou velmi jednoduchá, a s jejím obsahem se dá z po-hled u správce domény jednoduše manipulovat. Týká se to však pouze soukromých dokumentů, ke kterým by měl mít přístup pouze konkrétní uživatel. Pokud je třeba někte-né dokumenty sdílet mezi více uživateli, je nutné pro ně vytvořit samostatnou strukturu a oprávnění nakonfigurovat ručně.

Závěr Oprávnění přístupu slouží k zabezpečení souborů a složek pouze pro vymezené uživatele či skupinu uživatelů. Lze je konfigurovat pouze v oddílech zformátovaných systémem souborů NTFS. Na úrovni souboru se vyskytuje celkem 5 oprávnění, na úrovni složky celkem 6 oprávnění (zde je navíc oprávnění Zobrazit obsah složky). Uvedená oprávnění jsou však pou-ze skupinou dílčích oprávnění, kterých je v systému Windows XP Professional mnohem více. Znamená to, že uživatel s oprávněním Číst má například možnost číst obsah soubo-ru, ale dále také jeho atributy a dokonce i přístupová oprávnění. Vyjímečné postavení má v oblasti oprávnění NTFS takzvaný vlastník objektu. Je to ten uži-vatel, který daný objekt vytvořil. Takový uživatel má k souboru plný přístup, nikoli však nastanými oprávněními, ale možností kdykoli si oprávnění upravit. O vlastnictví objek-tu muže uživatele připravit pouze člen místní skupiny administrators, který má definicí v sytému mu právo kdykoli převzít vlastnictví. V systémech starších než systém Windows Server 2003 nebylo možné uživateli vlastnictví přidělit a vždy si uživatel musel toto vlast-nictví převzít. Systém Windows Server 2003 je prvním systémem, kde může oprávněný uživatel definovat, kdo bude vlastníkem objektu. Oprávnění NTFS se ve struktuře souborů standardně dědí. Pokud chcete upravovat opráv-nění souboru ve složce, je nejprve nutné zrušit dědičnost a poté můžete oprávnění upravit. Pokud chtějí uživatelé přistupovat k souborům po síti, je nutné nejprve sdílet složku se soubory a poté definovat oprávnění sdílení. Při přístupu k souborům po síti se oprávně-ní ke sdílení kombinují s oprávněními NTFS a platí jejich „průnik". Na to je nutné myslet a oprávnění ke sdílení navrhnout tak, aby uživatelé získali správnou úroveň přístupu. Při-tom se nevyplatí zapomínat na skupinu Administrators, která by měla mít vždy Úplné řízení Uživaltelé by si měli své soukromé dokumenty ukládat do složky Dokumenty. Protože se jedná o část profilu uživatele, potom, je-li profil uživatele na disku zformátovaném systémem NTFS, budou

jeho dokumenty chráněné před přístupem ostatních uživatelů. Další výhodou z pohledu správy je jednoduchá manipulace se složkou Dokumenty, kterou můžete velmi jednoduše pro všechny uživatele přesunout například na server.

Stav sítě Stav naší sítě se v této kapitole nijak nezměnil. Pro ověření oprávnění byly vytvořeny některé dočasné složky a dokumenty, jež můžete nyní odstranit.


110

Není to vše příliš složité? V předchozí kapitole jsme si vysvětlili oprávnění NTFS při přístupu k souborům a složkám v místním počítači a sdílená oprávnění k prostředkům při přístupu přes síť. Někte-rá oprávnění jsme nakonfigurovali a ověřili. Každé prostředí však není tak ideální, jako je (zatím) nade, Jsou prostředí, ve kterých se vyskytují stovky či tisíce Uživatelů a tisíce složek, k nimž je nutné oprávnění přístupu definovat. Konfigurovat v takovém prostředí oprávněni pro jednotlivé uživatele je práce, o které rozumný správce ani nemůže přemýšlet. Možná, že by se našli správci, již o podobném postupu uvažují ve svém, relativně malém prostředí, a jistě se najdou situace, ve kterých je udělování oprávnění přímo uživatelským účtům nevyhnutelné nebo v nichž je toto řešení v danou chvíli nejjedno-dušší Takový stav však vydrží pouze do určité velikosti prostře-dí, poté je nutné vše předělat. Rozhodně lze takový stav označit od počátku za nesystémový. Systémovým řešením je udělování oprávnění skupinám, ve kterých jsou uživatelé č leny.

Zjednodušení přístupu pomocí skupin V každé organizaci existují skupiny uživatelů s podobnými zájmy. To znamená, že naleznete různé uživatele, kteří ale potřebují přistupovat do stejných složek, tisknout na stejné tiskárny nebo mít stejně (ne)omezený přístup k internetu. Členové vedení společnosti budou například potřebovat přístup do složek obsahujících zápisy ze svých porad či zápisy valné hromady, obchodníci budou potřebovat přístup ke smlouvám, které jsou uložené v příslušných s l o ž k á c h , a zákazníci společnosti by měli mít přístup ke složkám obsahujícím veřejné dokumenty. Otiskem takové organizační struktury jsou z pohledu doménového prostředí doménové skupiny uživatelů. Oprávnění je v takovém případě možné udělovat skupinám, a přístup do dané složky tak získá každý z členů příslušné skupiny. Výhody takového řešení (nutno znovu připomenout, že se jedná o jediné systémové) se nejvíce projeví v již nakonfigurovaných prostředích v okamžiku, kdy je například nutné vytvořit účet pro nového obchodníka a udělit mu potřebná oprávnění do všech složek, které mají co společného s obchodním oddělením (a jež mohou být „rozházené" po celé organizaci). Pokud by se v takovém prostředí udělovala oprávnění přímo jednotlivým uživatelům, bylo by nutné projít celou strukturu složek s dokumenty, a udělit novému účtu potřebná oprávnění. Nutno dodat, že vzhledem k tomu, že většina správců nemá své prostředí zdokumentované, se může jednat o skutečný oříšek; v každém případě je to spousta zbytečné práce. Pokud se udělují oprávnění výhradně skupinám, stačí nový účet přidat do správné skupiny (skupin) a přístupy jsou vyřešeny. V doménovém prostředí lze pracovat s několika rozsahy skupin - globálními, místními doménovými či univerzálními. Tyto rozsahy vyjadřují oblast, ve které lze skupinám udělovat oprávnění - více domén nebo jediná doména. V místních počítačích se navíc vysky tují místní skupiny, které jistě své využití také najdou, v prostředí domény se však využívají spíše výjimečně, neboť jejich správu nelze centralizovat.

Typy skupin v doméně V doméně Active Directory se lze setkat s následujícími typy skupin: ♦

♦

Skupiny se zabezpečením Tomuto typu skupiny se udělují práva a oprávnění. Práva určují, co může člen takové skupiny (uživatel nebo počítač) provádět v do méně za činnosti, zatímco oprávnění určují, ke kterým prostředkům v místním po čítači či v síti mají uživatelé přístup. Skupiny zabezpečení lze obecně využívat také k distribuci e-mailových zpráv více uživatelům. Zprávu je možné odeslat jednou, přičemž ji obdrží každý ze členů skupiny. K využití skupin zabezpečení pro tento účel je však nutné mít v prostředí domény nainstalovaný produkt Exchange Server 2003- Skupiny zabezpečení se pak chovají jako distribuční skupiny. Distribuční skupiny Ve spolupráci s produktem Exchange Server 2003 jsou ty to skupiny určeny pouze k odesílání emailových zpráv uživatelům. Nemohou získávat oprávnění přístupu, ani na to nejsou přizpůsobeny. Pokud tedy potřebujete skupině udělit oprávnění, použijte typ skupiny se zabezpečením. Skupiny se zabezpečením mají schopnosti distribučních skupin, opačně to však již neplatí. Možná je tak namístě otázka, proč distribuční skupiny vůbec existují. Existují proto, neboť některé aplikace umí pracovat pouze s nimi, nikoli se skupinami se zabezpečením.


111

Úrovně funkčnosti domény Na úvod vysvětlení této oblasti si uvedeme krátký příklad. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory a v kontejneru Users se pokuste vytvořit novou skupinu. Zobrazí se dialogové okno jako na ob rázku 11.1 Obrázek 11.1 Vytvoření nové skupiny

3. Všimněte si, že ve sloupci Rozsah skupiny nelze zaškrtnout položku Univerzální. Tento stav souvisí s pojmem úroveň funkčnosti domény. Existují 3 úrovně funkčnosti do mény Active Directory se systémem Windows Server 2003. Úroveň určuje, jaké operační systémy je možné mít na řadičích domény, a podle toho mají případně i omezení funkcí. Typy operačních systémů na řadičích domény a povolené skupiny shrnuje následující tabulka Windows 2000 mixed Windows 2000 native Možnéne operační systémy na řadičem domény

Windows NT 4.0 Server, Windows 2000, Windows Server 2003

Povolené rozsahy Globální, místní doménové

Windows server 2003

Windows 2000, Windows Server 2003 Globální, místní doménové, univerzální

Windows Server 2003

Globální, místní doménové, univerzální

Tabulka 11.1 Úrovně funkčnosti domény Vysvětlení uvedených omezení je vcelku logické. Protože mohou například v režimu Win dows 2000 mixed pracovat i řadiče domény se systémy Windows NT 4.0 Server, které o univerzálních skupinách neměly ani tušení, nelze univerzální skupiny používat, proto že pro ně jednoduše není v systémech NT 4.0 místo (není je kam replikovat). Pochopitelné se nejedná o jediné omezení v tomto režimu domény, ta ostatní se však vyskytují v jiných oblastech. Doména Active Directory se systémem Windows Server 2003 je standardně po instalaci v režimu Windows 2000 mixed. Znamená to, že v případě potřeby je možné přidal řadiče domény systémem Windows NT 4.0. To sice nebude náš případ, ale informaci je to duležitá. Úroveň funkčnosti domény lze kdykoli povýšit, nikoli však vrátit zpět. Jedná se o jedno-cestný a

nevratný krok. Proto se nedoporučuje úroveň měnit, pokud pro to není konkrétní důvod. zobrazení úrovně funkčnosti domény v systému Windows Server 2003

1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na položku domény (studny.local) a v místní na bídce klepněte na příkaz Zvýšit úroveň funkčnosti domény. Zobrazí se dialogové okno (viz obrázek 11.2), ve kterém je vidět stávající úroveň a zároveň možnost přepnout doménu do vyšší úrovně.


112

Obrázek 11.2 Úrovně funkčnosti domény Active Directory se systémem Windows Server 2003

Zobrazení úrovně funkčnosti domény se systémy Windows Server 2000

1. Přihlaste se k řadiči domény jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na položku domény a zobrazte její vlastnosti. V dialogovém okně vlastností bude zobrazena úroveň. Pokud se bude jednat o Smí šený režim, bude možné pomocí tlačítka Změnit přepnout doménu do Nativního režimu. Pro správnou představu o účelu jednotlivých rozsahů skupin je vhodné mít prostředí s více doménami. V prostředí s jedinou doménou nelze některé vlastnosti uplatnit, a rozdíly se tak mohou zdát bezvýznamné. Protože ale nikdy není jisté, že se prostředí sítě s jednou doménou nemůže v budoucnu rozšířit na více domén, je nutné vlastnostem jednotlivých skupin dobře porozumět.

Globální skupiny Globální skupina může obsahovat uživatelské účty, účty počítačů či skupiny vytvořené ve Stejné doméně, ve které byla vytvořena i ona. Globální skupině je možné, ačkoli to není ve většině případů doporučeno, udělovat oprávnění a práva k prostředkům v jakékoli doméně lesa Active Directory (odtud v názvu slovo „globální"). Vlastnosti globálních skupin lze shrnout v následujících bodech: Členové

V doméně s úrovní funkčnosti Windows 2000 mixed může globální skupina obsahoval účty uživatelů, počítačů ze stejné domény, jako je ona sama. V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může globální skupina obsahoval Účty uživatelů, počítačů či globální skupiny, stále však ze stejné domény. Skupina může být členem

V doméně s úrovní funkčnosti Windows 2000 mixed může být členem pouze místních doménových skupin. V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může být členem místních doménových a univerzálních skupin z jakékoli domény lesa a členem globálních skupin ze stejné domény. Rozsah skupiny

Globální skupina je „viditelná" ve vlastní doméně i ve všech důvěryhodných doménách (odtud název „globální"). Mezi důvěryhodné domény samozřejmě patří všechny ostatní domény v lese Active Directory. Oprávnění

Globální skupina může získávat oprávnění v jakékoli doméně lesa Active Directory. Použití globálních skupin

Vzhledem k tomu, že globální skupiny jsou viditelné v jakékoli doméně lesa Active Di-directory nepoužívají se primárně pro udělování přístupu k prostředkům ve své doméně. Jejich hlavním účelem je seskupení uživatelů s podobnými zájmy v síti (tisk na stejné tiskárny, přístup do stejných složek apod.).


113

Místní doménové skupiny Místní doménová skupina může obsahovat globální skupiny, univerzální skupiny, uživa-telské účty či účty počítačů z jakékoli domény lesa Active Directory a jiné místní domé-nové skupiny z vlastní domény. Primárním účelem doménových skupin je udělování oprávnění není a práv k prostředkům pouze v rámci vlastní domény. Vlastnosti i místních doménových skupin lze shrnout v následujících bodech: Členové

V dpméňě s úrovní funkčnosti Windows 2000 mixed může místní doménová skupina obsahovat účty uživatelů a globální skupiny z jakékoli domény. Členské servery však v tom-to režimu nemohou místní doménové skupiny využívat. V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může místní doménová skupina obsahu vat účty uživatelů, globální skupiny či univerzální skupiny z jakékoli domény v lese a místní doménové skupiny ze stejné domény. Skupina může být členem

V doméně úrovní funkčnosti Windows 2000 mixed nemůže být místní doménová skupina členem žádné jiné skupiny. V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může být členem místních doménových skupin ze stejné domény. Rozsah skupiny

Místní doménová skupina je „viditelná" pouze v doméně, ve které byla vytvořena (odtud název „místní"). Oprávnění

Místní doménová skupina může získávat oprávnění pouze v doméně, ve které byla vytvořena. Použití místních doménových skupin

Místní doménové skupiny jsou určené k udělování oprávnění přístupu k prostředkům, které se nacházejí ve stejné doméně.

Univerzální skupiny Univerzální skupiny mohou obsahovat uživatelské účty, účty počítačů nebo skupiny z jakékoli domény lesa Active Directory. Univerzálním skupinám se zabezpečením je možné udělovat oprávnění přístupu k prostředkům v jakékoli doméně lesa. Vlastnosti univerzálních skupin lze shrnout v následujících bodech: Členové V doméně s úrovní funkčnosti Windows 2000 mixed nelze univerzální skupiny vytvářet. V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může univerzální skupina obsahovat účty uživatelů, globální skupiny či univerzální skupiny z jakékoli domény v lese. Skupina může být členem

V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může být členem místních doménových skupin a univerzálních skupin z jakékoli domény. Rozsah skupiny

Univerzální skupina je „viditelná" v jakékoli doméně v lese. Oprávnění

Univerzální skupina může získávat oprávnění v jakékoli doméně v lese Active Directory. Použití univerzálních skupin

Univerzální skupiny slouží ke sloučení globálních skupin pro zjednodušení přístupu k prostředkům ve větších prostředích s více doménami v rámci lesa Active Directory. Vzhledem k jednoduchosti našeho prostředí není nutné univerzální skupiny používat, proto zatím ani není důvod měnit úroveň funkčnosti domény.


114

Doporučené strategie pro používání skupin Možná máte nyní z toho celkového počtu a různých možností, která skupina může být kde členem a kde může získávat oprávnění, trochu zmatek v hlavě. Typů a rozsahů skupin je opravdu celá řada, což by mohlo svádět k bezhlavému nasazování různých typů skupin a k následnému většímu a většímu chaosu v doméně. Proto je dobré nechat si poradit a seznámit se s doporučenými strategiemi pro používáni skupin. Tyto strategie jsou navržené tak, aby co nejvíce usnadňovaly práci správcům, a aby přitom celá konfigurace zůstala přehledná a co možná nejjednodušší. Označení

Pro účely vysvětlení strategií je nutné označit si dotčené objekty konkrétními písmeny. Je vhodné zůstat u původních označení vycházejících z angličtiny z důvodu zachování kom-patíbility s ostatní odbornou literaturou. Jednotlivé objekty označíme následovně: A uživatelské účty (user Accounts) G globální skupiny (Global groups) DL místní doménové skupiny (Domain Local groups) U univerzální skupiny (Universal groups) P oprávnění přístupu k prostředku (Permissions)

Doporučená strategie (nejčastější) Tuto strategii lze jednoduše označit jako A G DL P. Znamená to, že účty uživatelů se sta-nou členy globální skupiny a místní doménové skupině se udělí oprávnění přístupu k da-nému prostředku (např. složka souborů). Aby tedy měli uživatelé k tomuto prostředku pflMup, zbývá jediný krok - globální skupinu vložit do místní doménové skupiny. Celý proces lze jednoduše zobrazit takto: A -> G -> DL <- P Pro příklad uveďme aplikaci této strategie v prostředí naší domény studny.local. Uživatelé obchodního oddělení potřebují přístup do složky Smlouvy (pro jednoduchost se budeme zabývat pouze oprávněními NTFS). Budeme-li se držet zásady, že oprávnění by se neměla udělovat jednotlivým uživatelským účtům, ale skupinám, vypadala by situ-ace následovně (účty obchodníků již existují): • • • • •

Vytvoření globální skupiny se zabezpečením. Vložení účtů obchodníků do této skupiny (seskupení uživatelů s podobnými zájmy). Vytvoření místní doménové skupiny se zabezpečením. U dělení oprávnění (například Změnit) místní doménové skupině. Vložení globální skupiny do místní doménové skupiny.

Nyní se již mohou začít ozývat názory, že by bylo jednodušší to nakonfigurovat jinak, pří-padně že místní doménová skupina je v celém tomto procesu zbytečná. Pojďme se poku sit 3 nejčastější názory vyvrátit. Názor: Skupiny jsou zbytečné, uživatelským účtům udělím oprávnění přímo. Jak bylo dříve uvedeno, tato strategie se dá uplatnit ve velmi malých prostředích, jejichž konfiguraci nosí správce v hlavě. Neúnosnou se stane v okamžiku, kdy velikost prostřed-dí přesáhne možnosti paměti správce a chybí dokumentace. A pokud dokumentace exis-tuje, začne být tento postup velmi pracný. Například ve vlastnostech složky může být na kartě zabezpečení místo jediné položky (místní doménová skupina) uvedeno 5 účtů (počet členů obchodního oddělení). Názor 2: Místní doménová skupina je zbytečná, udělím oprávnění přímo globální skupině. Jedná se o možnost vynechání skupiny DL. Tuto strategii lze používat ve velmi malých prostředích, kde je nanejvýše jasné, že v daném lese Active Directory nikdy nevznikne další doména. Opačnou situaci lze uvést na příkladu: společnost Studny s.r.o. založí zahraniční pobočku a z hlediska domény Active Directory pro ni vytvoří další doménu (například eu.stud-ny.local), která bude podřízenou doménou domény studny.local. Podobně jako v doméně studny.local budou také v doméně eu.studny.local existovat účty obchodníků, kteří by rádi získali přístup do existující složky Smlouvy. Pro ně by tedy bylo vhodné vytvořit v doméně eu.studny.local globální skupinu, které by se poté udělila oprávnění přístupu ke složce Smlouvy. Znovu skončíme tím, že na kartě Zabezpečení ve vlastnostech složky Smlouvy bude více položek, než v případě použití místní doménové skupiny.


115

Názor 3: Mám jediného uživatele, kterému potřebuji udělit oprávnění přístupu ke konkrétní složce. Vytvářet kvůli tomu dvě další skupiny mi přijde jako obrovské zdržení. Je pravda, že udělit oprávnění přístupu jedinému účtu trvá mnohem kratší dobu než vytvořit dvě skupiny, do globální vložit uživatelský účet, globální skupinu vložit do místní doménové a té udělit oprávnění. Pokud však dojde jednoho dne k požadavku udělit stejný přístup dalším osobám nebo dojde k instalaci další domény, budou mít správci plno práce s tím, aby celou strukturu zjednodušili a zároveň během zjednodušování nenarušili práci dotčených uživatelů. Jinými slovy - aplikace strategie A -> G -> DL <-P je v porovnání s názorem o něco pracnější, nicméně tato strategie je jednoduše škálovatelná a investice se vrátí během růstu prostředí.

Ostatní strategie Strategie AGP Tato strategie odpovídá výše uvedenému názoru 2. Strategii A -> G <- P je tedy vhodné použít pouze ve velmi malých prostředích a pouze za předpokladu, že nikdy nebude v lese Active Directory více než jedna doména. V opačném případě se správce, který tuto strategii nasadil, žene do záhuby.

Strategie AGUDLP V této strategii přichází vůbec poprvé do hry univerzální skupina. Univerzální skupiny vypadají na první pohled velmi použitelně, neboť mají výhody a nemají nevýhody místních doménových i globálních skupin. Obecně přispívají ke zjednodušení prostředí, tedy k větší přehlednosti. Prostředí s jedinou doménou Active Directory však nikdy není tak nepřehledné (při dodržení strategie A G DL P), aby bylo nutné univerzální skupiny nasadit. Univerzální skupiny se tedy nasazují v prostředích, která sestávají z více domén Active Directory. Oproti místním doménovým i globálním skupinám se však univerzální skupiny liší v jed-né důležité věci, kterou je místo, na němž je uložená informace o tom, kdo je v dané skupině členem. Zatímco u obou předchozích typů skupin je členství uloženo na všech řa-dičích domény, ve které jsou skupiny vytvořené, členství univerzální skupiny je uloženo na serverech globálního katalogu v celém lese Active Directory. Pokud se změní členství například v místní doménové skupině, dojde k replikaci této in-formace mezi všemi řadiči domény v rámci domény. Pokud dojde ke změně členství v univerzální skupině, dojde k replikaci této informace nikoli mezi řadiči domény, ale mezi servery globálního katalogu, které se mohou nacházet (a je to tak i doporučeno) v každé doméně. Svým zásahem tedy můžete ovlivnit zatížení linek v doméně, kterou vy-učívá třeba vaše mateřská společnost. Univerzální skupiny se právě z tohoto důvodu používají velmi málo, a to pouze v případech, kdy je skutečně nutné celé prostředí zjednodušit a zprůhlednit. V našem prostředí jedné domény tedy s univerzálními skupinami rozhodně pracovat nebudeme. Poznámka V doméně Active Directory se systémy Windows 2000 Server se mezi servery globálního katalogu replikovaly při změně členství univerzální skupiny všechny položky členství. I při Jediné změně se tak mohlo replikovat velké množství informací. V doméně Active Directory se systémy Windows Server 2003 se replikují pouze změněné informace. I tak je dobrým zvykem udržet členství v univerzálních skupinách co nejvíce neměnné.

Strategie A C L P (L = místní skupina) Tato strategie byla doporučena v doménách se systémem Windows NT 4.0 Server. V těch-to doménách totiž neexistovaly místní doménové skupiny. Nevýhody tohoto řešení v sou-časné doméně Active Directory jsou zřejmé. Místní skupiny nelze spravovat centrálně, což může způsobit značné potíže v případě, kdy jich budete používat velké množství. Další nevýhodou je nemožnost použít místní skupinu pro přístup k prostředkům v jiném počítači. Pokud byste například měli v jednom počítači vytvořenu místní skupinu pro přístup do složky Smlouvy a v druhém počítači měli další složku obchodního oddělení, musíte vytvořit další místní skupinu a udělit jí oprávnění. V porovnání se strategií A G DL P, kde další skupinu vytvářet nemusíte, se tak jedná o práci navíc.


116

Správa skupin Za předpokladu, že se nadále budeme v našem prostředí řídit doporučenou strategii A-> G -> DL <- P, se začíná rýsovat struktura skupin. Ještě není jasné, kolik místních do-ménových skupin bude nutné vytvořit, neboť to závisí na počtu sdílených složek, tiská-ren požadavků na různé úrovně přístupu atd. Téměř jistý by však měl být počet globálních skupin. Vzhledem k tomu, že jejich primární účel je seskupení uživatelů s podobnými zájmy, dá se předpokládat, že jako základ bude existovat jedna globální skupina pro každdělení: 1. Vedení 2. Obchodní oddělení 3. Marketing 4. Sklad 5. IT 6. Brigádnici Přesto, že předpokládáme, že ve společnosti bude působit najednou nejvýše jeden brigádník, vytvoříme globální skupinu pro brigádníky, abychom dostáli doporučené strategii. Předpoklad, že brigádník bude vždy pouze jediný, platí nyní s výhledem například na půl roku dopředu, ale poté se situace může změnit a my na ni budeme dopředu připraveni.

Názvy skupin Názvy skupin v doméně Active Directory by měly být dostatečně popisné, konzistentní a jednoduché. Ačkoli mohou jít některé z těchto požadavků proti sobě, lze dostát všem třem. Názvy skupin tvořte podle následujících pravidel: 1. Jako první písmeno názvu skupiny použijte označení pro její rozsah (G, D nebo U) Rozsah skupiny je sice v doméně Active Directory, přesněji v nástroji Uživatelé a počítače služby Active Directory vidět, pro jednodušší správu je však vhodné označit rozsah skupiny v názvu. 2. V názvu globální skupiny uveďte název oddělení (skupiny uživatelů), prokteré (kterou) skupinu vytváříte Například Obchod, Marketing, Sklad, Vedení apod. 3. V názvu místní doménové skupiny uvedte účel skupiny, případně maximální oprávnění Protože se místní doménové skupiny používají k udělování opráv nění přístupu k různým prostředkům, je třeba tuto skutečnost pro lepší orientaci zohlednit v názvu skupiny. Jako příklad názvu místní doménové skupiny, které se bude udělovat oprávnění k tisku na tiskárny, lze uvést D Tiskárny Tisk. Příkladem názvu globální skupiny pro brigádníky je G Brigádníci. Příkladem názvu místní doménové skupiny pro zajištění Úplného řízení jakékoli složky skupině správců je D Admins Úplné řízení. V doméně Active Directory nejsou žádné potíže s názvy obsahujícími interpunkční znaménka. Poznámka Konkrétní konfiguraci skupin včetně názvů naleznete v kapitole 12, „Vytváříme firemní knihovnu dokumentů".

Správa členství Členství v doménových skupinách může ve výchozím nastavení domény měnit pouze člen skupiny Domain Admins. Jedná se o vestavěnou skupinu s nejvyššími oprávněními ve své doméně. Pokud se doménové prostředí vyvíjí a dosáhne velikost několika set uživatelů, je dosti pravděpodobné, že správci domény již budou mít dostatek zkušeností, a správu členství ve skupinách budou považovat za běžnou úlohu, kterou by mohl zvládnout i někdo méně zkušený. Doména Active Directory umožňuje takovou myšlenku převést poměrně jednoduše do praxe. Z „politického" hlediska je však nutné dodat, že v již „rozjeté" a fungující síti se hledají argumenty na předání takové práce někomu jinému velmi těžko. Možná by tak bylo vhodnější dobře naplánovat správu skupin a tuto činnost předat těm správným osobám ihned při konfiguraci domény.


117

Členství ve skupinách a ověření uživatelů Při vytváření uživatelského účtu v doméně dojde automaticky k jeho zařazení do skupi n.y Domain Users. Jedná se o takzvanou primární skupinu, a začlenění každého uživatel ského účtu do ní provádí automaticky operační systém. V prostředích, ve kterých se nevyskytují jiné operační systémy než Windows, není důvod primární skupinu měnit. Tatéž nelze uživatele z primární skupiny odebrat. Poznámka Primární skupinou pro účty počítačů je skupina Domain Computers. Uživatelský účet (účet počítače) může být členem kterékoli skupiny. Protože se skupiny nerozdělují podle typu svých členů, může být členem stejné skupiny jak uživatelský účet, tak i účet počítače (viz například systémové skupiny Everyone a Authenticated Users). Správa doménových skupin, tedy manipulace se členy a konfigurace jejich vlastností, spa-dá do správy členů skupiny Domain Admins. Tato skupina má obecně odpovědnost za s p r á v u celého doménového prostředí vyjma konfigurací, které mohou například ovlivnit i počítače z jiné domény stejného lesa Active Directory (například vytváření sítí apod.). Správci domény by tedy měli mimo jiné odpovídat za vytváření a tvorbu přístupové strategie. skupin. Samotné členství jednotlivých uživatelů ve skupinách potom může být z po-hledu správce domény záležitostí, která spadá spíše do oblasti poloautomatické práce po-dle přesně zadaných nařízení jednotlivých oddělení (lidských zdrojů, obchodního). Proč tedy nesvěřit správu členství ve skupině některému z uživatelů konkrétního oddělení, jenž by tak za členství plně odpovídal? Proč hnát sebemenší požadavek (v případě změny členství skupiny i velmi jednoduchý) až na nejvyšší mety oddělení IT? V tomto ohledu nám doména Active Directory se systémem Windows Server 2003 velmi nahrává, neboť umožňuje systémový krok, kterým je předání správy členství konkrétnímu uživateli, velmi jednoduše provést. Konfigurace správy členství doménové skupiny 1.

Přihlaste se k počítači SRVR001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. Zobrazte vlastnosti libovolné doménové skupiny (nezáleží ani na typu, ani na rozsahu skupiny) a klepněte na kartu Správce objektu.

2.

Po klepnutí na tlačítko Změnit můžete zadat či vybrat uživatele (nikoli skupinu uživatelů), který bude za skupinu odpovídat. Pokud má uživatel vyplněné atributy Ulice, Město, PSČ apod., obrazí se poté tyto v konkrétních polích. Nyní je ve vlastnostech skupiny pouze informace o tom, kdo je správcem skupi ny, ale tento uživatel stále nemá potřebná oprávnění. Pokud chcete uživateli umožňovat konfigurovat členství skupiny, zaškrtněte polic ko Nadřízený může aktualizovat seznam členství. Klepnutím na tlačítko OK zavřete dialogové okno vlastností skupiny.

3. 4.

U doménových skupin v doméně Active Directory se systémem Windows 2000 políčko Nadřízený může aktualizovat seznam členství není. Již dříve jsme ale uvedli, že v doméňe mohou vedle sebe existovat řadiče domény se systémem Windows Server 2003 i Windows 2000. Je tedy jisté, že tato informace musí na řadiči domény se systémem Windows 2000 být uložena. Opravdu tam je.

Obrázek 11.3 Konfigurace správce skupiny s možností změny členství

Pokud udělíte uživateli možnost manipulovat se členstvím, udělujete prakticky oprávnění Zapisovat Členové v doméně Active Directory. Tato oprávnění lze definovat také přímo na kartě Zabezpečení v dialogovém okně vlastností skupiny a tato karta je k dispozici v obou doménách. Rozdíl mezi systémy je pouze v tom, že systém Windows Server 2003 obsahuje pro toto oprávnění


118

navíc položku v grafickém uživatelském rozhraní. Udělené oprávnění nyní ověřte (pokud jste výše uvedený postup vyzkoušeli): 1. Přihlaste se k počítači SRVR001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. Zobrazte vlastnosti příslušné doménové skupiny a klepněte na kartu Zabezpečení. Zobrazí se seznam řízení přístupu. 2. Klepněte na tlačítko Upřesnit, poté v části Oprávnění dialogového okna Upřesnit nastavení zabezpečení klepněte na uživatelský účet správce skupiny a dále klepněte na tlačítko Upravit. 3. Zobrazí se dialogové okno Položka oprávnění pro, ve kterém bude ve sloupci Povolit zaškrtnuté políčko Zapisovat Členové. Poznámka Pokud přímo v dialogovém okně Položka oprávnění pro oprávnění odeberete a poté klepnutím na tlačítko OK postupně zavřete všechna dialogová okna, automaticky se zruší zaškrtnutí políčka. Nadřízený může aktualizovat seznam členství.

Vliv změny členství ve skupině na práci uživatele Uživatel může získávat oprávnění přístupu k prostředkům buď přímo (udělením oprávnění jeho uživatelskému účtu) nebo prostřednictvím členství ve skupině (udělení oprávnění skupině). První případ není systémovým řešením a správci by jej měli používat pouze v ojedinělých případech. Udělování oprávnění skupinám vede ke zjednodušení správy a přehlednějšímu prostředí. Nyní předpokládejme, že pro obchodní oddělení vytvoříme globální doménovou skupi-nu s názvem G Obchod. Mezitím se již přihlásil ke svému počítači uživatel Obchod1, kterého po vytvoření do skupiny přidáme. Důležité je zdůraznit, že k jeho přidání do sku piny došlo až po jeho přihlášení. V dalším kroku udělíme skupině G Obchod oprávnění přístupu (například Číst a Zapisovat) do nově vytvořené složky s důležitými dokumenty obchodního oddělení. Poznámka Jedná se o strategii A -> G <- P, která není zcela optimální (viz informace dříve v této kapitole), pro další vysvětlení však plně postačuje.

Poté, co uživatelům oznámíte, že jste vytvořili novou složku a udělili do ní přístup sku-pině obchodníků, uživatel Obchod1 jistě ihned tento přístup vyzkouší. Podaří se mu do složky nahlédnout a pracovat s dokumenty? Ačkoli se může na první pohled zdát, že uživateli Obchod1 v přístupu do složky nic ne-brání ( j e členem skupiny, která má udělena potřebná oprávnění), do složky se tento uži-vatel nedostane. Při pokusu o přístup se mu zobrazí zpráva o odepření přístupu. Jak je to možné? Pro vysvětlení se musíme podívat na proces, ke kterému dochází při při-hlaśování uživatelů do domény. Proces přihlášení uživatele Při přihašování uživatele k počítači se vytváří takzvaný přístupový token. Jedná se o in-terní strukturu operačního systému, která se tvoří následujícím způsobem: 1. Řadič domény, který přihlašování ověřuje, dodá první část - přihlašovací jméno uživatele a jeho příslušný kód SID. 2. Poté se do přístupového tokenu zapíše seznam skupin, v nichž je přihlášený uživatelský účet členem. Seznam globálních a místních doménových skupin, ve kterých je účet členem, dodá řadič domény, seznam univerzálních skupin dodá server globálního katalogu. 3. Třetí část přístupového tokenu tvoří seznam práv uživatelského účtu v doméně (příkladem takového práva je změnit systémový čas). Seznam poskytne řadič domény. Poznámka Doména Active Directory pouze se systémy Windows 2000 může mít dva režimy -smíšený a nativní. V nativním režimu je pro dokončení vytvoření přístupového tokenu důležitý server globálního katalogu. Pokud není tento server k dispozici, nedojde k vytvoření přístupového tokenu a uživatel se nepřihlásí. Pokud však již byl na daném počítači dříve přihlášen, přihlašovací proces se dokončí, ale použijí se k němu informace z mezipaměti (pokud není přihlášení z mezipaměti v doméně zakázáno). Vraťme se nyní k uživateli Obchod1. Při jeho přístupu k zabezpečené složce si lze pří-stupový token představit jako vstupenku. Jeho obsah se porovná se seznamem řízení při stupu a pokud se budou údaje shodovat, bude přístup povolen. V opačném případě bude přístup odpřen. Uživatel Obchod1se přihlásil do domény dříve, než jsme vytvořili novou skupinu, které jsme udělili oprávnění přístupu. Na přístupovém tokenu byste tedy informace o člen ství v této nové skupině hledali zbytečně. Poté při jeho porovnání se seznamem

řízení přístupu ke složce systém přístup odepře. Jaké je řešení? Jednodušší, než se zdá. Uživatel se musí odhlásit a znovu přihlásit. Rozhodně není nutné jeho počítač restartovat. Při dalším přihlášení bude nová skupina uvedena v přístupovém tokenu a vše začne pracovat podle předpokladů. Existuje však ještě jedna možnost. Sice nesystémová, ale je. Totiž udělit přístup přímo uživatelskému účtu. Ten je na přístupovém tokenu uveden vždy (token jím přímo začíná), takže uživatel by v takovém případě získal přístup okamžitě. Pokud jste nyní správně pochopili proces vytváření přístupového tokenu, budete mít nadále jednodušší práci se sdílenými složkami a přístupy uživatelů. Někdo sice může namítnout, že případy, kdy je nutné okamžitě udělit přihlášeným uživatelům přístup k nově vytvořené složce, ke které jsou udělena oprávnění pouze skupinám, nepotřebuje podrobně znát, neboť takové případy se jednoduše v jeho síti nevyskytují. Ano, možná, že to tak je. Vezměte si ale opačný případ, kdy uživatelé běžně přistupují


119

k obsahu sdílené složky a je nutné jim tento přístup okamžitě odebrat a zajistit, aby se k prostředkům opravdu nedostali. Možná, že se jedná o častější případy než povolování přístupu. Pokud chcete uživateli, který získal přístup k obsahu sdílené složky jako člen některé skupiny se zabezpečením, tento přístup odebrat, máte dvě možnosti: 1. Odepření přístupu 2. Odebrání uživatele ze skupiny Obě možnosti mají své výhody a nevýhody, na které se nyní podíváme. Odepření přístupu Odepření přístupu je v systému záležitostí velmi silnou. Když se při přístupu uživatele k obsahu složky či k souboru vyhodnocuje, zda má či nemá přístup, procházejí se v seznamu přístupu nejprve položky s odepřeným přístupem. Pokud je taková položka nalezena, prohledávání končí a uživatel se k potřebným informacím nedostane. A to přesto, že může existovat další položka, která mu oprávnění přístupu uděluje. Jednoduše řečeno - jakékoli odepření má přednost před všemi možnými povoleními. Uživatel má tedy přístup k obsahu složky nebo k souboru pouze v případě, že jej má udělen a zároveň jej nemá odepřen. Na kartě Zabezpečení v dialogovém okně vlastností složky či souboru existuje v části Oprávnění pro také sloupeček Odepřít. Pokud bude tedy uživatel Obchod! členem některé skupiny, jež má buď přímo (A->G <- P) nebo zprostředkovaně (A-> G > DL -> P) udělen přístup, bude mít přístup také on. Pokud však na kartě Zabezpečení přidáte jeho účet do seznamu řízení přístupu a zaškrtnete políčko Úplné řízení ve sloupci Odepřít, uživatel Obchod1 okamžitě o přístup přijde. Výhodou tohoto postupu je okamžité vyřešení požadavku omezení přístupu bez nutnos-li provádět další kroky na straně uživatele. Nevýhoda je podobná jako u udělování přístupu přímo uživatelským účtům - správci postupně ztrácejí přehled v prostředí a jeho správa začíná být složitější. Poznámka Jediným případem pro konfiguraci odepření přístupu k obsahu složky či dokumentu Je nutnost odepřít přístup jedinému uživateli, který je zároveň členem skupiny, jenž má přístup povolen. Pokud se setkáte s jiným použitím sloupce Odepřít, vypovídá to zcela jisté o chybě či neznalosti správců týkající se oprávnění NTFS.

Jedna rada na konec. V drtivé většině případů se odepírá přístup zaškrtnutím políčka Odepřít u položky Úplné řízení. Odebrání uživatele ze skupiny Odebrání uživatele ze skupiny si můžete dovolit v případě, kdy jako člen této skupiny nemá přístup k dalším prostředkům systému, které potřebuje i nadále. Pro jednoduchost si uveďme příklad. Všichni obchodníci budou seskupeni do globální skupiny se zabezpečením s názvem Obchod. Tato skupina získá svým členstvím v místní doménové skupině XXX přístup ke složce se smlouvami a členstvím v místní doménové skupině YYY oprávnění k tisku na barevné tiskárně. Jednoho dne se vedoucí obchodního oddělení rozhodne okamžitě rozvázat pracovní po-měr s jedním ze svých podřízených. Bude vyžadovat, aby tento zaměstnanec okamžitě přišel o přístup ke smlouvám, ale zároveň bude chtít, aby mu vytiskl například přehledy o své práci za uplynulý týden. Požádá vás jako správce o zajištění. Pokud v takové situaci odeberete uživatele Obchod1 ze skupiny Obchod a tento uživa-tel se následně odhlásí a znovu přihlásí k počítači, nebude mít přístup ke smlouvám, ale ani nebude moci tisknout. Zřejmě se tedy nejedná o optimální řešení a o odebrání uživatele ze skupiny může být řeč pouze v případě, kdy je nutné odebrat veškeré přístupy týkající se dané skupiny. Pokud tento postup shledáte jako optimální, je nutné mít na paměti, že i po odebrání uži-vatel ze skupiny zůstávají informace o skupině v jeho přístupovém tokenu, který se změní až při dalším přihlášení uživatele. Pokud tedy chcete mít jistotu, že uživatel přijde okamžitě o oprávnění k danému prostřed ku, zatímco k ostatním mu oprávnění přístupu zůstane, a nemáte možnost přímo ovlivnit a ověřit jeho odhlášení, je nutné použít metodu Odepření přístupu (viz výše).

Závěr Oprávnéní NTFS je třeba udělovat skupinám namísto uživatelským účtům. Prostředí sítě se tak zprůhlední a jeho správa bude jednodušší. V prostředí domény existují dva typy skupin: se zabezpečením a distribuční. Skupinám se zabezpečením lze udělovat oprávnění přístupu, případně je lze využít pro distribuci e-mailových zpráv (pomocí dalších produktů). Distribuční skupiny jsou určené výhradně k distribuci e-mailových zpráv.


120

co členství v globálních a místních doménových skupinách se udržuje na řadičích domény, ve kterých skupiny existují, členství v univerzálních skupinách se udržuje výhradně na všech serverech globálního katalogu v celém lese Active Directory. Skupiny mohou být členy dalších skupin, přesné možnosti však záleží na takzvané úrovni funkčnosti domény. Při udělování oprávnění je třeba dodržovat doporučené strategie, neboť pouze tak lze udržet v tomto procesu přehled i ve velmi velkých sítích. Nejčastější strategií je A -> G -> DL <- P. Správu skupin může standardně provádět pouze správce domény a člen skupiny Account Operators. Explicitně lze však nakonfigurovat uživatele (Správce objektu), který bude mít právo měnit členství konkrétní skupiny. V systému Windows Server 2003 je pro toto nastavení k dispozici políčko v dialogovém okně vlastností skupiny, v systému Windows 2000 Server je nutné tuto možnost nakonfigurovat na kartě Zabezpečení. Přístup založený na členství uživatele v dané skupině se projeví až po prvním přihlášení po přidání uživatele do skupiny. Tento proces souvisí s vytvářením přístupového tokenu, který obsahuje název a kód SID uživatelského účtu, seznam skupin, v nichž je uživatel členem a seznam práv v doméně (případně v místním počítači). Pokud se přístupový to-ken během přihlašovacího procesu nevytvoří, přihlášení uživatele k počítači se nedokončí. Vzhledem k tomu, že přístupový token musí obsahovat všechny skupiny, ve kterých je uživatel členem, může se v případech, kdy je uživatel členem několika desítek skupin, stát, že přihlášení uživatele bude nějakou chvilku trvat. Proto je vhodné členství ve skupinách dobře plánovat a využívat členství skupin v jiných skupinách. Pokud chcete okamžitě odepřít přístup uživateli, který jej získal zprostředkovaně jako člen skupiny uvedené na seznamu řízení přístupu, je nejjednodušší a nejrychlejší cestou odepření přístupu konkrétnímu uživatelskému účtu. Pokud chcete uživatelům udělovat oprávnění či práva, která již v systému jsou definovaná pro konkrétní skupiny (například zálohování může provádět skupina Backup Operators), přidejte uživatele do takové konkrétní skupiny. Uživatelům nikdy neudělujte oprávnění, která nepotřebují a o veškerých oprávněních veďte dokumentaci.

Stav sítě V naší síti nedošlo v této kapitole k žádným změnám. Za účelem ověření konkrétních postupů jste možná vytvořili některé nové objekty (skupiny), jež můžete nyní odstranit.


121

Vytváříme firemní knihovnu dokumentů Každá organizace se vyvíjí a s vývojem dochází ke shromažďování informací. Obchodníci například shromažďují smlouvy s partnery, vystavené faktury či záznamy o zápůjčkách vzorků zákazníkům, členové veďení shromažďují smlouvy společnosti či zápisy ze zasedání, skladníci zase dodací listy a tak dále. Jedná se o přirozený proces, kte-rý by ale měl dříve či později dostat řáď. Jistě by bylo velmi vhodné uchovávat všechny důležité do-kumenty v elektronické podobě. I když to není vžďy sto-procentně možné, existují dokumenty, které je v této for-mě možné ukláďat; někďy je to i nutné. Místu, kam se ukládají dokumenty v elektronické podobě, říkejme elek-tronické úložiště. Elektronické úložiště může mít různé formy. Nejde pouze o to někam dokumenty ukládat. Velmi časté jsou požadavky na vyhleďávání, za kterými musí stát jednak přehledná struktura a jednak nástroje pro vyhleďávání. Velmi častým místem pro dokumenty jsou obecné databáze, veřejné složky na serverech Microsoft Exchange nebo lze využít i nástroj, který je schopen pro správu dokumentů poskytni ml i uživatelské rozhraní Microsoft SharePoint Portál Server. Misi o, kam se budou dokumenty ukládat, se podobně jako ostatní věci vyvíjí. Ne každá organizace si může dovol i t hned na začátku své činnosti investovat peníze do tech-nologií pro práci s dokumenty, když ještě téměř žádné dokumenty nemá, některá zase vystačí s tím nejjednodušším řešením, neboť nemá jiné informační systémy, které by s těmito technologiemi uměly spolupracovat. Protože většina organizací využije na začátku své činnosti pro ukládání dokumentů ten nejjednodušší způsob běžné složky v systému souborů, podíváme se na toto řešení v této kapitole podrobněji a celé jej kompletně připravíme. Při práci s dokumenty je dobré vždy pamatovat na to, že obsahují informace, jejichž hodnota může být velmi vysoká. Je třeba je tedy dobře „uskladnit", přístup k informacím povolit pouze těm, kteří je potřebují, a pokusit se zajistit informace proti odcizení a ztrátě při poruše softwaru či hardwaru.

Jak navrhnout strukturu Struktura elektronického úložiště je velmi důležitou záležitostí. Je nutné ji navrhnout tak, aby odrážela následující požadavky: • Jednoduchost Elektronické úložiště musí jít jednoduše vytvořit a z pohledu uživatelů musí být jednoduše použitelné. • Přehlednost Úložiště musí být přehledné jak pro správce, tak pro uživatele. Na první pohled by měl uživatel rozpoznat, jaký typ informací se v jaké části úložiště nalézá. • Bezpečnost Kdykoli se může objevit požadavek na zabezpečení obsahu konkrétní části úložiště. Na tento stav je třeba myslet při zvažování možností operačního systému či dalšího produktu. • Hierarchická struktura Úložiště by mělo být přizpůsobeno pro vytváření a rozšiřování hierarchické struktury, neboť se dá předpokládat její využití. • Škálovatelnost Správci musí být schopni přizpůsobovat úložiště chodu organizace včetně růstu objemu dokumentů, nových činností organizace či jejího země pisného rozšiřování. • Zálohování Ačkoli tento pojem souvisí se slovem „Bezpečnost", je velmi vhodné jej zdůraznit samostatně, aby nezůstalo přehlédnuto. Při návrhu je nutné zvážit, zda bude možné navrženou strukturu jednoduše zálohovat jak celou najednou, tak i její části. Při návrhu elektronického úložiště je dále velmi důležité nezapomenout na uživatele, pro které to vlastně vše připravujete. Je velmi špatné navrhnout strukturu během velmi krátké doby, vytvořit ji a nakonfigurovat a po týdnu práce zjistit, že uživatelům taková struktura nevyhovuje a žádají její přepracování. Nejen že v takovou chvíli budete velmi těžko hledat alternativní řešení, ale ještě budete nuceni provést vše tak, abyste uživatele neomezili.

Naše firma Na tomto místě by bylo vhodné připomenout strukturu naší firmy, která by měla výsledné úložiště používat. Společnost bude mít 3 členy vedení, 5 zaměstnanců v obchodním oddělení, 3 zaměstnance v oddělení marketingu, 3 zaměstnance ve skladu a jednoho správce domény. Čas od času se bude ve firmě vyskytovat brigádník, což může být pokaždé jiná osoba, vždy bude ale provádět přibližně stejnou práci. Pracovní doba společnosti bude Po-Pá 8.00-16.00 hodin, sklad bude v provozu nonstop.


122

Technologické řešení úložiště Vzhledem k absenci produktů primárně zaměřených na práci s dokumenty zvolíme nejjednodušší cestu - uložení dokumentů ve složkách systému souborů. Pojďme se podívat j a k bude toto řešení vyhovovat požadavkům uvedeným výše: • Jednoduchost Vytvoření složky je pro správce velmi jednoduchou záležitostí, uživatelé budou mít k těmto složkám přístupy v síti pomocí cest UNC (\\server\složka\podsložka), případně je budou mít připojené jako jednotky. • Přehlednost Názvy složek budou odpovídat názvům oddělení, případně typum uložených dokumentů. • Bezpečnost Složky bude nutné umístit na jednotku zformátovanou systémem souborů NTFS. Pouze tak lze zajistit jejich zabezpečení proti přístupu neoprávněných uživatelů. • Hierarchická struktura Pokud by jedna ze složek nejvyšší úrovně měla například název Obchod, potom by mohly existovat například podřízené složky Šablony dokumentů, Smlouvy nebo Faktury. Prostor pro hierarchickou strukturu tady tedy rozhodně je, navíc by bylo případně možné nakonfigurovat oprávnění přístupu tak, aby si tuto hierarchii mohli vytvářet sami uživatelé jednotlivých oddělení. • Škálovatelnost Počet složek na disku zformátovaném systémem NTFS je sice omezen, ale tak velkým číslem, které stejně v naší organizaci nebude možné do sáhnout. • Zálohování Zálohování systému souborů je možné řešit standardním systémovým nástrojem a lze využít všech jeho možností pro razné typy záloh nebo jenom pro zálohování určitých částí. Veškeré úlohy zálohování je možné spouštět pravidelně automaticky. Je vidět, že i tak jednoduché řešení, kterým umístění v běžných složkách je, pokryje dostatečně veškeré požadavky na ukládání dokumentů. Nejdůležitějším krokem nyní bude navrhnout škálovatelnou strukturu.

Struktura úložiště Při vytváření struktury hierarchického úložiště je nejdůležitějším krokem vytvoření nejvyš-ší úrovně. Jaké jsou možnosti? Podle typu souborů Složky v nejvyšší úrovni by obsahovaly různé typy souborů - například Smlouvy, Faktury, Zápisy ze zasedání, Dodací listy atd. Případné složky v drahé úrovni by byly pojme-novány podle oddělení. Výhodou tohoto řešení je jednoznačné rozdělení dokumentů a seskupení podobných do-kumentu. Nevýhodou je špatná možnost konfigurace zabezpečení přístupu, neboť v takovém případě by nebylo možné využívat například procesu dědičnosti. Podle zeměpisného rozložení V nejvyšší úrovni by podle tohoto návrhu existovaly složky s názvem místa pobočky či centrály organizace (například PLZEŇ, BRNO, OSTRAVA). Výhodou takového řešení je jednodušší orientace pracovníků na jednotlivých pobočkách. Nevýhodou je však složitější správa. Navíc, pokud je síť organizace správně nakonfigurovaná, uživatelé by téměř neměli poznat, na jaké pobočce právě pracují. Vše by z jakéhokoli místa mělo vypadat stejně. Potom se toto řešení zdá zbytečně složité.

Podle organizační struktury Názvy složek v nejvyšší úrovni by měly podle tohoto způsobu odpovídat názvům jednotlivých oddělení či dalších složek organizace. Výhodou takového řešení je obrovská škálovatelnost, jednoduchost pro uživatele a možnost využívat vlastností operačního systému při zabezpečení přístupu. Nevýhodou je velmi složitá restrukturalizace pro případ, že by toto řešení přestalo uživatelům organizace vyhovovat.

Kdo by se měl na návrhu podílet? Z pohledu správce infrastruktury IT je důležité, aby se podílel na návrhu struktury elektronického úložiště. Je to právě on, kdo bude výslednou strukturu konfigurovat, zabezpečovat, spravovat a rozšiřovat. Samozřejmě že by si své měli říci i vedoucí jednotlivých oddělení, pro které je práce s informacemi denním chlebem. Rozhodně se tedy jako správci účastněte podobných jednání o návrzích struktur. Je na vás, abyste rozhodli, který z návrhů bude jednodušší - zálohovat, zabezpečovat nebo jenom rozšiřovat.


123

Výsledná navržená struktura Nejjednodušším řešením bude pro naši společnost STUDNY úložiště kopírující organizační strukturu. Jeho výhody již byly vysvětleny výše. Struktura nejvyšší úrovně by tedy mohla být následující: • Vedení • Obchod • Marketing • Sklad • IT • Ostatní Aby příslušní uživatelé měli přístup k dokumentům z uvedených složek, musí se složky sdílet. Pokud bude v první úrovni celkem šest složek, bude nutné nakonfigurovat šest sdílení. S tím dále souvisí šestkrát definovaná oprávnění ke sdílení či případná šestinásobná změna oprávnění v budoucnu (pokud se bude jednat o změnu ovlivňující všechny složky). Obecně řešeno — co se sdílení týká, bude nutné vše konfigurovat a spravovat šestkrát. Navržený model je tedy z pohledu použitelný, nicméně konfigurovat tolik sdílení je zbytečné. A to jsme se ještě nedotkli pocitu uživatelů, kteří pokud zadají v okně aplikace Průzkumník Windows cestu WSRVR001, uvidí vedle sebe několik sdílených složek. Existuje jednodušší možnost? Ano, existuje. Uvedené složky nebudou v první úrovni, ale až ve druhé. V první úrovni bude jediná složka s dostatečně popisným názvem. Přestože lze definovat název pro sdílení odlišný od názvu složky, doporučuji v tomto případě zachovat v rámci přehlednosti pro správce (uživatelé název složky stejně neuvidí) jednotnost. Navržená struktura by tedy mohla vypadat například takto: • Dokumenty • Vedení • Obchod • Marketing • Sklad • IT • Ostatní Jednoduchost takového návrhu je v tom, že sdílet se bude pouze složka Dokumenty. Pod-složky už budou poté uživatelům k dispozici automaticky. Pokud tak uživatel zadá cestu \\SRVROOl\Dokumenty, zobrazí se v okně aplikace Průzkumník Windows jediná sdílená složka namísto předchozích šesti. Pozor! Na tomto místě je nutné připomenout, že každé prostředí se vyvíjí a týká se to i počtu sdílených složek. Je tedy velmi důležité rozhodnout o strategii sdílení ihned na začátku, neboť jak složky později přibývají, je problém situaci konsolidovat. Pokud k rozumnému a hlavně systémovému rozhodnutí nedojde včas (ať již z důvodů zaneprázdněnosti, neznalosti, nedostatku nápadů či jiného), můžete se později setkat například s tisíci sdílenými složkami (každý uživatel má svou složku pro vlastní dokumenty). Jistě si dovedete představit, kolik zbytečné práce musí poté správce provést, pokud vytváří nového uživatele a chce pro něj definovat a zabezpečit sdílenou složku, do které si bude uživatel ukládat své dokumenty. Navíc, takový správce se poté ještě obává spustit konzolu pro vytváření sdílených složek nebo jen jednoduše zadat cestu \\server, neboť se „bojí" počtu sdílených složek, které se zobrazí. A to ještě nebyla řeč o případném přesunu takových složek na jiný server (informace o tom, že je složka sdílená a oprávnění jsou uložena v registru).

Pokud se do takové situace správce dostane (převezme například práci po méně vzděla-ném kolegovi), nezbývá mu v rámci přehlednosti nic jiného, než některé sdílené složky ukrýt.

Skryté sdílení P o k u d b u d e t e m í t n a s e r v e r u v e l k é m n o ž s t v í s d í l e n ý c h s l o ž e k a z a č n e t e v n ě m z t r á c e l p ř e h l e d , může pro vás být řešením takzvané skryté sdílení. Jedná se o běžné sdílení kon-krétní slo ž k y , k t e r é v ša k p o z a d á n í c e sty \ \ s e r v e r n e b u d e v i d ě t. Duvodem pro skrytí sdílení ale nemusí být jen velký počet složek. Někteří správci soubo-r o v ý c h s e r v e r ů ( v p o sle d n í d o b ě b y se d a l o ř í c i i „ f i l m o v ý c h " č i „ h u d e b n í c h " se r v e r ů ) c h tě jí, aby byl obsah některých sdílených složek k dispozici jejich kolegům, zatímco uži-vatelé by neměli mít o takovém obsahu ani tušení. Potom se lze v praxi setkat se Stavem, kdy má například složka obsahující spousty hudby název sdílení „AdminTools" nebo „Sy-stemInfo". V takovém případě jde jenom o to odradit uživatele samotným názvem. Pokud se však ke sdílené složce pomocí cesty \\server vůbec dostane. Je až neuvěřitelné, j a k m á l o uživatelů (dokonce jak málo správců) zná možnost zobrazit si veškeré sdílené slož-ky ko nkrétn ího serv eru p omo cí z á pisu ce sty \\se rver.


124

Při takovém řešení se však jistě setkáte s problémy. V dobře fungující společnosti se vás kontrolor či auditor dříve či později zeptá, proč daná sdílená složka existuje, jaký je její účel, případně vás požádá o předání dokumentace ke kontrole. V ostatních případech se za čas můžete setkat se zvídavými otázkami uživatelů, kteří sice přístup do složky mít nemusí, zato však od kolegů, již přístup mají (a kterým jste důvěřovali, že si informace o obsahu nechají pro sebe), získali zajímavé informace. V každém případě se jedná o nepříjemnou situaci. Pokud sdílení skryjete, dostane se k obsahu složky pouze ten uživatel, který zná přesně její název pro sdílení. A jistě budete souhlasit, že uhádnout bez jakýchkoli informací název pro sdílení je téměř nemožné. Předpokládejme, že chcete sdílet složku se smlouvami. Její stávající název je Smlouvy, sdílený název byste si přáli zachovat a zároveň byste sdílení této složky chtěli před uživateli utajit. Postup takového nastavení je velmi jednoduchý. Vše se odehrává stejným způsobem jako u běžného sdílení, jediným rozdílem je přidání znaku „$" na konec názvu pro sdílení (tedy Smlouvy$). Pokud chce poté uživatel nahlédnout do složky, musí zadat celou cestu \\ser-ver\smlouvy$ (cesta není citlivá na velká či malá písmena). Pokud zadá pouze cestu \\ server, složka Smlouvy$ se nezobrazí. Konfigurace oprávnění, případně dalších atributů se poté nijak neliší od běžného sdílení. Vraťme se k druhému návrhu. Název složky Dokumenty nemusí být vždy optimální. Protože se obecně jedná o velmi používaný název, který je navíc součástí profilu každého uživatele, je vhodné zvážit jeho použití pro tuto roli. Navíc, dříve či později může přijít požadavek na vytvoření jiné, paralelní struktury dokumentů týkajících se například služebních cest. Takovou strukturu zřejmě nebude možné zahrnout do již vytvořených složek, ale bude nutné vytvořit novou (možná i na stejné úrovni). A problém s názvem složky nejvyšší úrovně může být na světě. Před nasazením sdílených složek tedy dobře zvažte, kde a jak začít. Místo názvu Dokumenty můžete uvažovat například o názvech Knihovna, Organizace, Struktura apod. Pro konečnou konfiguraci tedy vyjdeme z druhého návrhu s tím rozdílem, že složku nejvyšší úrovně pojmenujeme Knihovna.

Vytvoření struktury složek Uživatelé zadávají ve svém systému při přístupu ke sdílené složce cestu UNC ve tvaru \\server\složka. Z jejich pohledu je tak jedno, na jaké jednotce se sdílená složka vyskytuje (C:, D: atd.). Vzhledem k našemu případu, kdy máme na serveru SRVR001 k dispozici pouze jednotku C:, je to bezpředmětné, v jiných případech však může jít o cennou informaci. Další zajímavou informací může být ta, že je jedno, ve které úrovni se sdílená složka nachází. Po zadání cesty \\server\složka budou všechny sdílené složky na stejné úrovni. Nyní vytvoříme základní kostru knihovny dokumentů. 1. Přihlaste se k počítači SRVR001 jako správce. 2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte napoložku Správa počítače. 3. V konzole Správa počítače rozbalte v části Systémové nástroje položku Sdílené složky a klepněte na položku Sdílené položky (viz obrázek 12.1). V pravé části konzoly si prohlédněte vytvořené sdílené složky. Obrázek 12.1 Sdílené složky a konzola Správa počítače

4 . Pravým tlačítkem myši klepněte na položku Sdílené položky a poté v místní nabídce klepněte na příkaz Nová sdílená položka. Spustí se Průvodce sdílením složky. 5. Klepněte na tlačítko Další a do pole Cesta ke složce zadejte cestu C:\Knihovna. Po klepnutí na tlačítko Další se zobrazí informace o nenalezení zadané složky s dotazem na její vytvoření. Klepnutím na tlačítko Ano potvrďte její vytvoření, 6. V okně Název, popis a nastavení ponechte všechna pole ve výchozích hodno-tách (viz obrázek 12.2) a klepněte na tlačítko Další.


125

Obrázek 12.2 Část průvodce sdílením složky

7. V okně Oprávnění ponechte zaškrtnuté políčko Všichni uživatelé mají přístup jen pro čtení a klepněte na tlačítko Dokončit. Poznámka Toto oprávnění odpovídá výchozímu oprávnění pro sdílení (Everyone = Číst) systému Windows Server 2003 na rozdíl od systémů Windows 2000 a Windows XP, kde je výchozím oprávněním Everyone = Úplné řízení.

8. V souhrnném okně si prohlédněte veškerou konfiguraci sdílené složky a poté klepněte na tlačítko Zavřít. Ověření sdílené složky

1. Na serveru SRVR001 klepněte v Nabídce Start na příkaz Spustit a v dialogovém okně Spustit zadejte cestu UNC ve tvaru WSRVR001 a poté klepněte na tlačítko OK. 2. Pokud je vše v pořádku, zobrazí se okno aplikace Průzkumník Windows obsahující mimo jiné sdílenou složku Knihovna. Poznámka U systémů Windows 2000 a Windows XP Professional se postup vytvoření sdílené složky poněkud liší. Pro tento účel se nespouští Průvodce sdílením složky, ale sdílení se konfiguruje pouze pomocí dvou dialogových oken.

3. Nyní přejděte do složky Knihovna a pokuste se v ní vytvořit jakýkoli objekt (podsložku či soubor). Pokud je vše nakonfigurováno správně, vytvoření objektu se nezdaří (viz informace o kombinaci oprávnění NTFS a sdílených oprávnění v kapitole 10, „Zabezpečení přístupu"). Pro vytváření sdílených složek lze použít i jiné postupy a vše lze provést přímo v okně aplikace Průzkumník Windows. Ačkoli se může zdát postup s využitím konzoly Správa počítače poněkud zdlouhavý, doporučuji tento nástroj využívat, neboť se jedná o jediný možný způsob v případě vytvoření sdílené složky v jiném počítači. Nyní máme tedy vytvořenu nejvyšší úroveň knihovny dokumentů, o které lze zároveň říci, že je v danou chvíli zabezpečena, neboť žádné dokumenty pro čtení neobsahuje a nikdo není schopen v ní žádný dokument vytvořit. Další kroky provedeme přímo v okně aplikace Průzkumník Windows. 1. V počítači SRVR001 spusťte okno aplikace Průzkumník Windows a přejděte do složky Knihovna (u složky Knihovna byste měli vidět ikonku s rukou, která označuje sdílenou složku). 2. V nabídce Soubor klepněte na příkaz Nový a vyberte položku Složka. 3. Zadejte název složky Obchod a klepněte na tlačítko Enter. 4. Body 2 a 3 nyní opakujte pro další složky (Vedení, Marketing, Sklad, IT a Ostatní). Výsledná vytvořená struktura složek by měla být stejná jako na obrázku 12.3. Obrázek 12.3 Výsledná struktura složek pro knihovnu dokumentů


126

Zabezpečení přístupu do složek Každý uživatel, který nyní zadá ve svém počítači cestu UNC \ \ SRVR001, získá seznam sdílených složek. Ve složce Firma bude mít k dispozici podsložky jednotlivých oddělení, ve kterých však není schopen vytvořit žádné objekty. Do doby, než by v daných složkách byly dokumenty, by se jednalo o dobré zabezpečení. Z pohledu firmy je však toto zabezpečení nepoužitelné, neboť se s obsahem složek nedá aktivně pracovat. Bude třeba jej upravit. Plán zabezpečení Plán zabezpečení musí shrnovat požadavky a z nich vycházející zabezpečení jednotlivých složek. Obecně platí, že je třeba se vždy zamyslet nad následujícími body: • Správa struktury Je nutné zajistit, aby skupina uživatelů odpovídající za vytváření kostry knihovny dokumentů měla oprávnění Úplné řízení. Zároveň se nesmí zapomínat na úplný přístup správců. • Úroveň přístupu uživatelů Dá se předpokládat, že pro každou složku budou nutné dvě úrovně přístupu (vyjma přístupu pro skupinu správců celé struktury). Jedna úroveň bude pro čtení, druhá pro úpravy obsahu. • Zajištění přístupu do složek přes síť Oprávnění ke sdílení Číst pro skupinu Everyone je nedostatečné, neboť pře síť není možné spravovat strukturu ani obsah samotných složek. Toto oprávnění je tedy nutné změnit a zároveň je třeba ponechat jej co nejjednodušší. • Ověření oprávnění Vždy po konfiguraci oprávnění, a ještě před uvedením do ostrého provozu, je třeba nakonfigurovaná oprávnění ověřit. • Doporučené strategie pro udělení přístupu Oprávnění je třeba jednoznačně udělovat skupinám a podle velikosti prostředí je třeba dodržovat strategii přístupu. Co se týká správy struktury, ačkoli ve většině případů získává v menších organizacích tuto roli skupina Administrators (nebo Domain Admins), my si pro tyto účely vytvoříme vlastní místní doménovou skupinu. Vyhneme se tak tomu, že knihovnu bude muset spravovat nutně někdo ze skupiny správců, když to může být úloha pro jiného uživate-le. Vezmeme-li v úvahu dvě úrovně přístupu do každé složky a nezávislost našich oddělení, vytvoříme pro každou složku dvě místní doménové skupiny. Dále se dá předpokládat, že členové vedení organizace budou chtít pracovat s dokumenty ve své vlastní složce a budou chtít nahlížet do dokumentů ve všech ostatních složkách. Aby mohli uživatelé plnit své úkoly spojené s vytvářením, úpravou či odstraňováním souborů přes síť, bude nutné upravit výchozí oprávnění ke sdílení. Pro naše účely bude v souladu se zabezpečením přístupu vhodné nahradit skupinu Everyone skupinou Do-main Users (ve které jsou všichni uživatelé členem, neboť se jedná o výchozí skupinu) a udělit jim oprávnění Úplné řízení. To, že všichni uživatelé nebudou schopni toto oprávnění využít, zjistíme oprávněními NTFS na úrovni jednotlivých složek. Poznámka Pro uživatele by postačovalo nakonfigurovat oprávnění ke sdílení na Změnit, neboť vyšší oprávnění nikdo z nich nebude potřebovat. Potom by se ale mohly vyskytnout potíže se správou struktury, pro kterou jsou nutná oprávnění Úplné řízení.

Oprávnění ke sdílení nakonfigurujeme až jako poslední. To je důležité kvůli zabezpečení přístupu během konfigurace oprávnění NTFS na podsložkách. Pouze tak můžete mít jako správci jistotu, že nikdo nebyl schopen oprávnění NTFS zneužít.

Vytvoření skupin uživatelů Správu celé knihovny bude provádět skupina uživatelů jiná než Administrators nebo Do-main Admins. Konkrétní oprávnění se v souladu s doporučenou strategií A -> G -> DL <- P tedy bude udělovat místní doménové skupině. Správa obsahu každé podsložky bude udělena jedné skupině, další skupina uživatelů bude mít oprávnění Číst obsah složky. Pro každou podsložku tedy vytvoříme dvě místní doménové skupiny. 1. K serveru SRVR001 se přihlaste jako správci. 2. V Nabídce Start spusťte nástroj pro správu doménových účtů Uživatelé a počíta če služby Active Directory. 3. V kontejneru Users vytvořte místní doménové skupiny s následujícími názvy: D Správa knihovny dokumentů D Knihovna IT Číst D Knihovna IT Měnit D Knihovna Marketing Číst D Knihovna Marketing Měnit D Knihovna Obchod Číst D Knihovna Obchod Měnit D Knihovna Ostatní Číst D Knihovna Ostatní Měnit D Knihovna Sklad Číst D Knihovna Sklad Měnit D Knihovna Vedení Číst D Knihovna Vedení Měnit


127

Tip Přidáváte-li více podobných objektů, můžete s výhodou využít nástroj DSADD, který je novinkou v systému Windows Server 2003. Nástroj se spouští na příkazovém řádku a jeho syntaxe pro přidání skupiny D Knihovna IT Číst je následující: dsadd group CN="D Knihovna IT Číst".CNfUsers,DC=studny.DC-local -scope 1 Příkaz DSADD není k dispozici v systémech Windows 2000 ani Windows XP Professional. Další informace k příkazu DSADD získáte po zadání příkazu DSADD /? na příkazovém řádku.

Seskupení uživatelů Pro jednotlivé skupiny uživatelů je nyní třeba vytvořit globální doménové skupiny. Zde již není nutné rozlišovat úroveň přístupu, neboť pro tento účel jsme výše vytvořili místní doménové skupiny. V každém oddělení se budou vyskytovat běžní a zkušení uživatelé. Vytvoříme tedy dvě globální skupiny pro každé oddělení. Dále vytvoříme skupinu pro správce celé knihovny dokumentů. Při vytváření skupin postupujte podle následujících pokynů: 1. K serveru SRVR001 se přihlaste jako správci. 2. V Nabídce Start spusťte nástroj pro správu doménových účtů Uživatelé a počíta če služby Active Directory. 3. V kontejneru Users vytvořte místní doménové skupiny s následujícími názvy: G Správci knihovny dokumentů G IT běžní G IT zkušení G Marketing běžní G Marketing zkušení G Obchod běžní G Obchod zkušení G Ostatní běžní G Ostatní zkušení G Sklad běžní G Sklad zkušení G Vedení běžní G Vedení zkušení Tip S výhodou lze opět využít nástroj DSADD v následujícím příkladu: dsadd group CN="G IT b ě ž n í " , CN=Users,DC-studny,DC-local

-scope g

Nyní je tŕeba do globálních skupin vložit naše uživatele. Pro naši fiktivní firmu provedeme následující rozdělení. Uživatelé s nejvyšším číslem v názvu (například Obchod5) budou pa-třit mezi zkušené uživatele, zatímco ostatní se stanou členy běžné globální skupiny. Rozdělení uživatelů do skupin přehledně zobrazuje tabulka 12.1.

Globální doménová skupina

Členové

G IT běžní

— (bez členů)

G IT zkušení

IT1

G Marketing běžní

Marketingl, Marketing2

G Marketing zkušení

Marketing3

G Obchod běžní

Obchodí, Obchod2, Obchod3, Obchod4

G Obchod zkušení

Obchod5

G Ostatní běžní

Brigádník 1

G Ostatní zkušení

--- (bez členů)

G Sklad běžní

Skladl, Sklad2

G Sklad zkušení

Sklad3

G Vedení běžní

Vedenil, Vedeni2

G Vedení zkušení

Vedeni3

G Správci knihovny dokumentů

Obchod5, Marketing3

Tabulka 12.1 Rozdělení uživatelů do globálních skupin Udělení oprávnění


128

NTFS Oprávnění NTFS budeme udělovat na úrovni konkrétních složek právě vytvořeným skupinám. Dále je nutné myslet na následující: • Oprávnění Úplné řízení je třeba udělit také skupině Administrators (na tento krok pamatujte vždy). V případě potíží se tak vyhnete nutnosti přebírat vlastnictví objektů. • Členové vedení mívají často chuť nahlížet do jakýchkoli složek s dokumenty. Budeme na to myslet a udělíme jim potřebná oprávnění. Oprávnění přístupu ke kořenu knihovny

Při udělování oprávnění NTFS postupujte následujícím způsobem: 1. K serveru SRVR001 se přihlaste jako správci. 2. Zobrazte vlastnosti složky Knihovna a klepněte na kartu Zabezpečení. Poté klepněte na tlačítko Upřesnit, zrušte zaškrtnutí políčka dědičnosti z nadřazeného objektu a poté klepněte na tlačítko Odebrat. Zbavíte se tak výchozí konfigurace oprávnění. Klepněte na tlačítko OK. 3. Odeberte veškeré zbývající položky. 4. Do seznamu řízení přístupu přidejte následující skupiny a ve sloupci Povolit zaškrtněte políčko u příslušného oprávnění: Skupina

Oprávnění

Administrators

Úplné řízení

D Správa knihovny dokumentů

Úplné řízení

Domain Users

Ponechte výchozí oprávnění (Číst a spouštět, Zobrazovat obsah složky, Číst)

Tabulka 12.2 Konfigurace seznamu řízení přístupu pro složku Knihovna

5. Klepnutím na tlačítko OK zavřete dialogové okno vlastností složky Knihovna. Oprávnění pro skupinu Domain Users je uděleno proto, aby se všichni uživatelé dostali do složky Knihovna. Jedná se o jednodušší způsob než vyjmenovávat veškeré místní doménové skupiny, jež mají mít přístup do podřízených složek. Karta Zabezpečení vlastností složky Knihovna je zobrazena na obrázku 12.4. Obrázek 12.4 Karta Zabezpečeni složky Knihovna

Oprávnění přístupu ke složkám jednotlivých oddělení

Shrňme ještě jednou požadavky organizace. Do svých složek budou mít přístup uživatele z příslušného oddělení (někteří uživatelé budou moci pouze číst, jiní upravovat). Nanavzájem si jednotlivá oddělení do složek neuvidí. Členové vedení budou mít přístup do všech složek, pouze však s úrovní Číst. Oprávnění přístupu ke složkám se bude udělovat místním doménovým skupinám, které jsme vytvořili v předchozích krocích. Zároveň je třeba na všech složkách ponechat opráv-nění pro skupiny Domain Admins a D Správa knihovny dokumentů. Naopak, oprávněni z kořenové složky pro skupinu Domain Users je třeba odebrat.


129

Při udělování oprávnění postupujte následujícím způsobem: Přihlaste se k serveru SRVR001 jako správci. 1. Otevřete okno aplikace Průzkumník Windows a zobrazte dialogové okno vlast-ností složky IT. Měli byste vidět seznam řízení přístupu stejný, jako je na obrázku 12.4 (neboť dědičnost je zapnuta). 2. V Klepněte na tlačítko Upřesnit a poté v dialogovém okně Upřesnit nastavení zabezpečení IT zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnční... 3. V dialogovém okně Zabezpečení klepněte na tlačítko Kopírovat a poté na tlačítko OK. 4. V dialogovém okně vlastností složky IT klepněte na položku Domain Users a poté klepněte na tlačítko Odebrat. 5. Do seznamu řízení přístupu přidejte skupinu D Knihovna IT Číst, u níž ponechte výchozí oprávnění, a skupinu D Knihovna IT Měnit, které udělte oprávnění Měnit. 6. Klepnutím na tlačítko OK zavřete dialogové okno vlastností složky IT. Analogicky lze postupovat u dalších složek - Marketing, Obchod, Ostatní, Sklad i Vedení. Oprávnění by měla odpovídat následující tabulce. Název složky

Udělená oprávnění

Marketing

Výchozí (zděděná) bez Domain Users D Knihovna Marketing Číst - výchozí D Knihovna Marketing Měnit - Měnit

Obchod

Výchozí (zděděná) bez Domain Users D Knihovna Obchod Číst — výchozí D Knihovna Obchod Měnit — Měnit

Ostatní

Výchozí (zděděná) bez Domain Users D Knihovna Ostatní Číst - výchozí D Knihovna Ostatní Měnit - Měnit

Sklad

Výchozí (zděděná) bez Domain Users D Knihovna Sklad Číst - výchozí D Knihovna Sklad Měnit — Měnit

Vedení

Výchozí (zděděná) bez Domain Users D Knihovna Vedení Číst - výchozí D knihovna Vedení Měnit - Měnit

Tabulka 12.3 Oprávnění přístupu NTFS ke složkám knihovny dokumentů

Požadovaný přístup pro členy vedení vyřešíme později. Pro uvedení naší strategie do funkčního stavu zbývá poslední krok. Dokončení strategie A G DL P K dokončení konfigurace oprávnění nyní zbývá jediný krok — vložit globální skupiny do příslušných místních doménových. K tomu slouží nástroj Uživatelé a počítače služby Acti-ve Directory. Členství místních doménových skupin nakonfigurujte podle následující tabulky. Místní doménová skupina

Členové

D Správa knihovny dokumentů

G Správci knihovny dokumentů

D Knihovna IT Číst

G IT běžní G Vedení běžní G Vedení zkušení

D Knihovna IT Měnit

G IT zkušení

D Knihovna Marketing Číst

G Marketing běžní G Vedení běžní G Vedení zkušení

D Knihovna Marketing Měnit

G Marketing zkušení

D Knihovna Obchod Číst

G Obchod běžní G Vedení běžní G Vedení zkušení

D Knihovna Obchod Měnit

G Obchod zkušení

D Knihovna Ostatní Číst

G Ostatní běžní G Vedení běžní G Vedení zkušení

D Knihovna Ostatní Měnit

G Ostatní zkušení

D Knihovna Sklad Číst

G Sklad běžní G Vedení běžní G Vedení zkušení

Místní doménová skupina

Členové

D Knihovna Sklad Měnit

G Sklad zkušení

D Knihovna Vedení Číst

G Vedení běžní

D Knihovna Vedení Měnit

G Vedení zkušení

Tabulka 12.4 Členství v místních doménových skupinách Konfigurace oprávnění ke sdílení

Při sdílení složky Knihovna jsme ponechali výchozí oprávnění Číst ke sdílení pro skupinu Everyone. Pokud se tedy kterýkoli uživatel připojí ke knihovně dokumentů po síti, nebude mít i přes definovaná oprávnění NTFS vyšší oprávnění než Číst. Výchozí oprávnění ke sdílení je tedy nutné změnit. Pro udělení správné úrovně oprávnění máme nyní dvě možnosti, které však mají jedno společné - oprávnění pro sdílení musí být Úplné řízení. Otázka je, pro kterou skupinu uživatelů:


130

• Ponechání skupiny Everyone Protože členem skupiny Everyone je opravdu každý, tedy například i uživatel zosobněný účtem Guest, mohl by v případě ponechání skupiny Everyone teoreticky získat nějakou úroveň oprávnění přístupu. To, že se tak ale nestane, je v současné konfiguraci dáno zabezpečením NTFS na úrovni jednotlivých složek a také tím, že v systému Windows Server 2003 je účet Guest zakázán. • Nahrazení skupiny Everyone skupinou Authenticated Users Rozdíl mezi uvedenými dvěma skupinami je právě v účtu Guest, který není členem skupiny Authenticated Users. Proto by bylo z hlediska vyššího zabezpečení přístupu vhodné skupinu Everyone nahradit skupinou Authenticated Users, případně skupinou Domain Users. Změnu oprávnění proveďte podle následujících pokynů: 1. Na kartě Sdílení složky Knihovna klepněte na tlačítko Oprávnění. 2.. Odeberte skupinu Everyone a přidejte skupinu Authenticated Users, které udělte oprávnění Úplné řízení.

Správa knihovny a další náležitosti Ověření přístupu uživatelů do složek Protože budou uživatelé přistupovat do složek přes síť, bude vhodné ověřit přístupy při-mo z klientských počítačů. Ověříme, že uživatel Sklad3 má možnost vytvářet dokumenty pouze ve složce Sklad, zatím co do ostatních složek nemá žádná oprávnění. Dále ověříme, že uživatel Vedeni1 má oprávnéní číst soubory ve všech složkách, tedy i ve složce Sklad, ale nemá oprávnění vytvářet soubory ani ve vlastní složce. A nakonec ověříme, že uživatel Marketing3 má jako správce celé knihovny veškerá oprávnění, tedy například i odstranit soubory ve složce Sklad. Ověření proveďte pole následujících pokynů: 1. K počítači PC001 (nebo k jakémukoli jinému) se přihlaste jako uživatel Sklad3. 2. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte řetězec \\SRVROOl\knihovna. V okně, které se poté otevře, poklepejte na složku Sklad a vytvořte v ní prázdný textový dokument, kterému ponechejte výchozí název. 3. Vraťte se o úroveň výše a zkuste poklepat na jakoukoli jinou složku. Výsledkem bude ve všech případech odepření přístupu. 4. Odhlaste se a přihlaste se jako uživatel Vedenil. 5. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte řetězec \\SRVR001\knihovna. V okně, které se poté otevře, poklepejte na jakoukoli složku (včetně složky Sklad). Do každé složky byste se měli dostat. Ve složce Vedení zkuste vytvořit nový soubor (měli byste být neúspěšní) a ve složce Sklad zkuste odstranit stávající dokument (taktéž byste měli být neúspěšní). 6. Odhlaste se a přihlaste se jako uživatel Marketing3. 7. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte řetězec \\SRVR001\knihovna. V okně, které se poté otevře, poklepejte na jakoukoli složku (včetně složky Sklad). Do každé složky byste se měli dostat a v každé složce byste měli mít oprávnění vytvořit a či odstranit soubor (ověřte!). Poté ve složce Sklad zkuste odstranit stávající dokument (taktéž byste měli být úspěšní). Tip U podobné struktury sdílených složek je nutné dbát ještě na jednu věc. Aby se nenarušovala struktura a přehled, nesmí mít běžní uživatelé možnost vytvářet jakékoli objekty v nejvyšší úrovni (to znamená na úrovni složek jednotlivých oddělení). Toto oprávnění mohou mít pouze správci domény (serveru) a správci struktury knihovny.

Kumulativnosti definování výsledného (neboli skutečného) oprávnění. To ale ještě nemusí být tak jednoduché. Oprávnění mohou být sice udělena podle výchozích kategorií (Číst, Zapisovat, Měnit atd.), ale mohou být taky udělena oprávnění speciální. Tím se celý pro-ces dále a dále prodlužuje. A nakonec - pokud tímto způsobem konečně zjistíte skutečná oprávnění konkrétního uživatele - ozve se v souladu s Murphyho zákony obratem uživatel další a celá procedura začíná znovu. Není se co divit, že správci nejsou tímto postupem nijak nadšeni a delší dobu volali po jeho výrazném zjednodušení. Jejich volání bylo poprvé vyslyšeno v systému Windows XP Professional, kde lze celou tuto proceduru absolvovat za několik sekund. Systém Win-dows Server 2003 obsahuje tuto funkci pochopitelně také. Nutno podotknout, že následujícím postupem jste schopni ověřit pouze udělená oprávněni NTFS, nikoli kombinovaná oprávnění při přístupu přes síť. Ta už je nutné ověřit ručně. Členům vedení organizace jsme udělili oprávnění Číst k jakékoli složce v knihovně dokumentů. Toto oprávnění tedy ověříme například pro složku Sklad a účet uživatele Vedeni2 a dále ověříme, zda má uživatel Obchod5 skutečně oprávnění ke správě celé knihovny (to znamená například i složky Vedení). Skutečná oprávnění ověříte podle následujícího postupu: • Zobrazte vlastnosti složky Sklad a klepněte na kartu Zabezpečení. • Klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit nastavení zabezpečení Sklad klepněte na kartu Skutečná oprávnění.


131

•

Klepněte na tlačítko vybrat a vyberte uživatele Vedeni2. V části Skutečná oprávnění si prohlédněte skutečná oprávnění tohoto účtu. Evidentně odpovídají oprávnění Číst pro danou složku. Poté zavřete všechna dialogová okna.

Orientace správců v oprávněních NTFS Někdy se jako správci souborového serveru můžete setkat se situací, kdy si uživatel stěžuje na nesprávnou úroveň svého přístupu (vždy si bude stěžovat na nedostatečná oprávnění). V takovém případě je na vás, abyste v souladu se zásadami organizace o udělování oprávnění a strategií udělování oprávnění v doméně posoudili, zda je stížnost oprávněná či nikoli. Jak budete v takovém případě postupovat? Pravděpodobně se nejprve podíváte do vlastností příslušného prostředku na kartu zabezpečení, kde se budete snažit zjistit skutečná oprávnění uživatele. V některých případech však můžete být po jisté době poměrně značně překvapeni. V extrémním případě můžete totiž v seznamu řízení přístupu najít třeba samotný účet uživatele s konkrétními oprávněními a ještě navíc několik různých skupin, ve kterých může být uživatel případně členem, nebo v nichž mohou být členy jiné skupiny, ve kterých je onen uživatel členem. Situace je tedy velmi nepřehledná a nezbývá, než si veškeré skupiny poznamenat a pokračovat ověřováním jejich členství pomocí ná-slroje Uživatelé a počítače služby Active Directory. Jak dlouho vám bude takové ověření členství trvat? A bude poté vše vyřešeno? Čím více skupin, případně čím více skupin, které jsou členy další skupiny, máte ověřit, tím více se bude čas natahovat. Navíc, až rozluštíte, jímž skupiny mohou oprávnění konkrétního uživatele ovlivnit, dojde na další krok, jímž bude zjištění příslušných oprávnění. Obrázek 12.5 Skutečná oprávnění uživatele Vedeni2

• Zobrazte vlastnosti složky Vedení a klepněte na kartu Zabezpečení. • Klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit nastavení zabezpečení Vedení klepněte na kartu Skutečná oprávnění. • Klepněte na tlačítko Vybrat a vyberte uživatele Obchod5. V části Skutečná oprávnění si prohlédněte skutečná oprávnění tohoto účtu. Protože jsou zaškrtnuta všechna oprávnění, jedná se o oprávnění Úplné řízení. Poté zavřete všechna dialogová okna. Poznámka Podobný postup není možné provést v žádném ze systémů řady Windows 2000.

Naplnění knihovny dokumenty Nyní je možné veřejně oznámit uživatelům dostupnost připravené struktury knihovny pro ukládání dokumentů a vyzvat je k jejímu používání. Nejprve je však nutné ji naplnit příslušnými dokumenty. Dokumenty může do konkrétní složky uložit každý, kdo do ní má oprávnění alespoň Zapisovat. To se v našem případě týká všech uživatelů, kteří mají prostřednictvím členství v místní doménové skupině oprávnění Měnit. Zároveň však to samé může udělat člen skupiny Administrators či členové skupiny D Správa knihovny dokumentů. Který postup bude výhodnější? Za systémové řešení lze pokládat to, kdy si dokumenty do vlastních složek uloží sami uživatelé, kteří k tomu mají oprávnění. Jde totiž o roli vlastníka dokumentu, kterým bude ten, kdo dokument do složky zkopíroval. Pokud by to provedl člen skupiny Administrators, stala by se vlastníkem tato skupina, zatímco takto bude vlastníkem uživatel, který soubor zkopíroval. Kdykoli později může takový vlastník provést změny v oprávněních jak pro sebe, tak i pro ostatní uživatele. Výsledkem může být například znepřístupnění konkrétního dokumentu členům vedení. Pokud se bude uživatel, který dokument ve své složce vytvořil, chystat upravit oprávnění, musí mít nejprve oprávnění Úplné řízení. To si samozřejmě jako vlastník objektu může kdykoli nastavit, pokud ale bude takovou činnost potřebovat provádět pravidelně, může jej to zdržovat. Řešením je v takovém případě udělit oprávnění Úplné řízení zástupné skupině vlastníka. Pokud byste se tedy do takové situace dostali, postupujte následovně: 1. Zobrazte dialogové okno vlastností příslušné složky (například Obchod) a klepně 132 Mistrovství v Microsoft Windows Server 2003

te na kartu Zabezpečení. 2. Do seznamu řízení přístupu přidejte skupinu Creator Owner a udělte jí oprávně ní Úplné řízení. 3. Klepnutím na tlačítko OK zavřete dialogové okno. Pokud nyní vytvoříte v takto upravené složce jakýkoli soubor (nebo pokud jej do složky zkopírujete), nahradí se v seznamu řízení přístupu k souboru položka Creator Owner sku-tečným účtem vlastníka, který tak získá oprávnění Úplné řízení a nebude si jej v případě nutnosti muset později udělovat.

Šifrování dat Uživatelé systémů Windows 2000 Professional a Windows XP Professional mají ve výchozí konfiguraci domény právo šifrovat soubory, ke kterým mají oprávnění přístupu alespoň Zapisovat. V tomto odstavci není cílem probírat možnosti systému EFS a tuto technologii nasadit, ale spíše poukázat na její „nebezpečí" v případě sdílených souborů. Důležitá je totiž u šifrování jedna věc. Pokud je soubor zašifrován, má k němu přístup pouze uživatel, který jej zašifroval. Systém Windows XP Professional sice umožňuje definovat další uživatele, kteří budou mít k zašifrovanému souboru přístup, není to ale rozhodně systémové řešení, neboť správce není schopen tento stav nijak ovlivňovat. Dokud si uživatel šifruje soukromé dokumenty ve svém vlastním počítači, nic se neděje. Pokud ale najednou zasáhne do souborů, které využívá více uživatelů, může jít o katastrofální stav, zejména pokud se „trefil" do skutečně důležitých dokumentů, jež musí být k dispozicí stále. Existuje jedna možnost, jak tento stav systémově vyřešit. Jedná se o zakázání šifrování souborů v celé složce. Přestože je tato možnost velmi účinná, je mezi správci velmi málo známá, a to i přesto, že spolehlivě funguje již od systému Windows 2000.

Zabránění šifrování dat Pokud chcete zabránit šifrování jakýchkoli dat, tedy chcete navodit stav, že uživatelé nebudou moci zašifrovat ani jeden soubor například ani ve svém počítači, je na místě konfigurace objektu Zásad skupiny. Taková konfigurace ale vždy nemusí být výhodná, neboť zejména v přenosných počítačích je třeba data šifrovat. Druhou možností je zabránit šifrování dat pouze v konkrétní složce. To je metoda, kterou v naší knihovně dokumentů velmi dobře využijeme. Metoda spočívá ve vytvoření souboru D e s k t o p . i n i a jeho uložením do složky, ve které bude šifrování dat zakázáno. Soubor Desktop.i ni musí mít následující obsah: [E ncrypti o n ] Dis a b l e=1

Uživateli, který se ve složce, v níž je tento soubor přítomen, pokusí zašifrovat libovolný Soubor, se zobrazí zpráva „Při použití atributů u následujícího souboru došlo k chybě: ná-zev_souboru. Šifrování tohoto adresáře bylo zakázáno." Vytvořte tedy tento soubor a umístěte jej ve všech složkách knihovny dokumentů (s výjimkou složky Knihovna, ve které postrádá smysl). Ze systémového hlediska by bylo vhodné provést ještě následující dva úkony. Předpoklá-dám, že soubor je již nakopírován ve všech složkách: 1. Soubor d e s k t o p . i n i by měl být skrytým souborem, aby zbytečně nezpůsoboval nepořádek mezi ostatními soubory. Pokud chcete soubor skrýt, zobrazte jeho vlastnosti a na kartě Obecné zaškrtněte políčko Skrytý. Uživatelé, kteří nemají ve svém počítači povoleno zobrazení skrytých souborů, jej neuvidí. 2. K souboru desktop.ini by měla být upravena oprávnění přístupu NTFS. Pokud ponecháte oprávnění ve výchozím stavu, je tento soubor schopen ve své složce odstranit každý uživatel, který má na složku oprávnění Měnit. U souboru tedy zrušte dědičnost a poté ponechte oprávnění pouze správcům domény (počítače) a správcům knihovny.


133

Závěr Pokud chcete vytvořit úložiště pro dokumenty pro jednotlivé zájmové skupiny v organizaci, začněte jeho plánováním. V této fázi je třeba dát dohromady návrh struktury, který sestává z jednotek, jež se budou sdílet a ze složek nejvyšší úrovně. Dále je třeba definovat jejich zabezpečení a určit skupinu uživatelů, která bude výslednou strukturu spravovat. Velká část kapitoly byla věnovaná konfiguraci oprávnění za použití strategie A G DL P, která je výchozí strategií pro jednoduchou a přehlednou správu i v případě budoucího růstu prostředí. Při konfiguraci oprávnění je nutné myslet na zabezpečení dat ve složkách (pokud již existují), případně na zabezpečení složek proti ukládání nepříslušných dat (pokud ještě žádná data neexistují). Teprve posledním krokem by v souladu se zabezpečením mělo být sdílení složky nejvyšší úrovně a udělení příslušných oprávnění ke sdílení. Pokud budete mít jako správci pochybnosti o správné úrovni oprávnění konkrétního uživatele, můžete v systémech Windows XP Professional a Windows Server 2003 použít pro jejich určení funkci Skutečná oprávnění. Výrazně si ušetříte čas a vyhnete se omylům. Po provedení konfigurace oprávnění do celé struktury je třeba oprávnění vyzkoušet s náhodným vzorkem složek a uživatelských účtů. Teprve po úspěšném ověření je možné úložiště předat uživatelům. Tam, kde jsou uložené dokumenty, které využívá více uživatelů, je vhodné zabránit jejich šifrování. Vyhnete se tak zbytečnému zdržování v případě, že si některý z uživatelů zašifruje (třeba i na zkoušku) soubor, jejž nutně v danou chvíli potřebuje jiný uživatel.

Stav sítě V síti je nyní k dispozici knihovna dokumentů jednotlivých oddělení: IT, Marketing, Sklad, Obchod, Ostatní a Vedení s nakonfigurovanými oprávněními pro přístup přes síť.


134

Profily uživatelů Pokud se poprvé přihlásíte k novému počítači se systémem Windows XP Professional, zobrazí se vám pracovní plocha počítače s výchozím obrázkem na pozadí, nová Nabídka Start, nebudou se zobrazovat skryté soubory a budou také skryty přípony známých typů souborů. To je jenom pár věcí, které jsou součástí takzvaného uživatelského profilu. V daném počítači se týkají pouze vašeho účtu, takže nemají vliv na přihlášení jiných uživatelů. Stejně tak konfigurace ostatních uživatelů nebude mít vliv na vaše prostředí. Pokud se vám některé z nastavení nelíbí a rozhodnete se jej změnit, bude toto nastavení změněno i po odhlášení a novém přihlášení.

Výhody profilů uživatelů Primárním účelem profilu uživatele je oddělit nastavení a data všech uživatelů stejného počítače. Nejen že nastavení jednoho uživatele se nijak neprojeví na nastavení ostatních uživatelů, ale pokud je jednotka s profily zformátovaná systémem souborů NTFS, nebudou se uživatelé schopni dostat navzájem ke svým dokumentům. Oprávnění pří-stupu NTFS jsou v takovém případě definovaná počítačem a ve stávajících profilech je může změnit pouze správce počítače. Profily uživatelů přinášejí dvě významné výhody: ♦ Profil (tedy nastavení a data uživatelů) lze uložit mimo počítač, se kterým uživatel pracuje. V případě selhání počítače (například porucha pevného disku) a jeho nutné náhradě tak uživatel nepřijde o své prostředí ani data a po rychlé instalaci operačního systému do nového počítače může velmi rychle pokračovat v práci. ♦ Profil může cestovat spolu s uživatelem, pokud je l a k nakonfigurován. Znamená to, že pokud uživatel pracuje s více počítači, bude mít v každém počítači stejné nastavení a k dispozici stejná data. Výrazně se tím tak může zvýšit produktivita práce.

Abychom mohli obě tyto výhody používat, musíme provést další konfiguraci (nejedná se o výchozí stav). V dalším průběhu knihy se k oběma výhodám vrátíme.

Struktura profilu uživatele Profil uživatele obsahuje velké množství nastavení a dat uživatele. Znalost umístění jeho jednotlivých částí se může hodit při jakékoli manipulaci s profily, odstraňování potíží nebo například při zálohování důležitých dat. Nastavení jsou uložena ve dvou částech systému - ve větvi registru (podregistr) a ve speciálních složkách systému souborů. Podregistr má v systémech řady Windows NT tu výhodu, že jej lze ukládat ve formě souboru a načítat do registru. Podregistrem je v profilu uživatele soubor N T U s e r . d a t , který se při aktivaci profilu (při přihlášení uživatele) načte do registru, přesněji do jeho větve HKEY_CURRENT_USER. Nastavení uložená v podregistru Soubor N T U s e r . d a t obsahuje následující nastavení konfigurace: ♦ Konfiguraci aplikace Průzkumník Windows (například skrytí přípon známých typů souborů či připojené síťové jednotky). ♦ Nastavení hlavního panelu (například přítomnost panelu Snadné spuštění). ♦ Nastavení tiskáren (veškeré síťové tiskárny). ♦ Ovládací panely (veškeré změny v okně Ovládací panely). ♦ Příslušenství (nastavení aplikací a programů tvořících příslušenství systému Windows - kalkulačka a další)♦ Nastavení aplikací (některé aplikace si ve větvi HKEY_CURRENT_USER ukládají své nastavení - příkladem budiž hlavní panel aplikace Microsoft Word 2000). Nastavení uložená v systému souborů Každý profil uživatele sestává z následujících složek (viz obrázek 13.1):

Obrázek 13.1 Složky profilu uživatele v systému Windows XP


135

Professional (marketing3 je přihlašovací jméno uživatele)

♦ Cookies Soubory Cookie aplikace Internet Explorer. ♦ Data aplikací Data konkrétních aplikací, jako například vlastní slovník aplikace pro zpracování textu. O datech, která se zde budou ukládat, rozhodují výlohu aplikací. ♦ Dokumenty Výchozí umístění pro ukládání dokumentů uživatele. ■ Hudba Výchozí umístění pro hudební soubory uživatele. ■ Obrázky Výchozí umístění pro obrázky uživatele. ♦ Local Settings Nastavení a data aplikací, jež necestují s profilem uživatele. Jedná se o data specifická pro daný počítač nebo například o velké objemy, jejichž přenos v síti by nebyl efektivní. ■ Data aplikací Data aplikací závislá na daném počítači. ■ History Historie aplikace Internet Explorer. ■ Temp Dočasné soubory. ■ Temporary Internet Files Mezipaměť offline aplikace Internet Explorer. ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦

Nabídka Start Zástupci k programům a aplikacím (obsah, který se zobrazí po klepnutí na tlačítko Start). Oblíbené položky Oblíbené položky aplikace Internet Explorer. Okolní síť Zástupci na položky okna Místa v síti. Okolní tiskárny Zástupci na položky okna Tiskárny. Plocha Položky plochy včetně zástupců na ploše. Poslední dokumenty Zástupci k naposledy otevřeným dokumentům. SendTo Zástupci k úložišti dokumentů a k aplikacím. Šablony Zástupci na položky šablon.

Uložení profilu V systémech řady Windows 2000, Windows XP Professional a Windows Server 2003 je výchozí místo pro uložení profilů jednotné. Jedná se o složku %SYSTEMDRIVE%\Documents and Settings. Profil každého uživatele začíná složkou s názvem stejným, jako je přihlašovací jméno uživatele (viz obrázek 131) a dále pokračuje přednastavenou strukturou. Soubor N T U s e r . d a t je uložen přímo ve složce odpovídající přihlašovacímu jménu uživatele. Vyjímku může tvořit uložení profilu v počítačích se systémem Windows XP Professional nebo Windows 2000, které byly upgradovány ze systému Windows NT 4.0. V takovém připadě je výchozím umístěním profilů uživatelů složka %SYSTEMDRIVE%\WINNT\Profiles.

Když má každý uživatel svůj počítač Po krátkém, nicméně důležitém úvodu pojďme zpět do praxe. Uživatel Obchod1 se na příklad poprvé přihlásí k počítači PC001. Počítač v tu chvíli provádí následující postup: 1. Ve větvi registru HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft \ Windows NT\CurrentVersion\ProfileList se pokusí nalézt informace o profilu uživatele Obchod1 Pokud by tuto položku nalezl, načte profil uživatele. Vzhledem k tomu že uživatel Obchod1 se přihlásil k počítači PC001 poprvé, položka v registru ne existuje a pokračuje se dále. 2. Pokud je počítač členem domény, ověří počítač, zda existuje „doménový" profil vesložce Default User ve sdílené složce NETLOGON na řadiči domény, který provádí ověření. 3. Pokud by tento profil existoval, došlo by k jeho zkopírování do nově vytvořeného profilu uživatele do složky %SYSTEMDRIVE%\Documents and Settings\Obchod1. K tomu ale v naší síti nedojde, neboť taková složka ve sdílené složce NETLOGON neexistuje. 4. Když „doménový" profil neexistuje, dojde ke zkopírování profilu ze složky %SYSTEMDRIVE%\Documents and Settings\Default User do složky %SYSTEMDRIVE0/o\Documents and Settings\Obchod1 Podregistr profilu uživatele ( N T U s e r . d a t ) se namapuje do větve HKEY_CURRENT_USER registru. Nyní je na uživateli Obchod1, jak si své prostředí nakonfiguruje. Vzhledem k tomu, že jsme v naší síti zatím nedefinovali žádná omezení, bude si moci uživatel nakonfigurovat téměř vše. Předpokládejme, že dojde ke změně například následujících nastavení: ♦ Zobrazení přípon známých typů souborů ♦ Změna zobrazení Nabídky Start ♦ Připojení síťové jednotky Z: ♦ Zobrazení panelu Snadné spuštění na Hlavním panelu ♦ Změna motivu systému z Windows XP na Klasické nastavení ♦ Uložení několika souborů do složky Dokumenty


136

Poté, co se uživatel Obchod1 od počítače odhlásí, se místní profil uloží na místní disk daného počítače. Po dalším přihlášení stejného uživatele ke stejnému počítači se načte aktuální profil uživatele, tedy profil upravený při předchozím přihlášení. Uživatel má tak zajištěno, že při každém přihlášení bude mít k dispozici prostředí, od kterého se předtím odhlásil. Co se stane v případě, kdy se uživatel Obchod1 přihlásí poprvé k jinému počítači (PC002)? Můžeme se podívat výše a projít znovu všechny body, které počítač při prvním přihlášení nového uživatele provede. Výsledkem bude nový profil uživatele, tentokrát v počítači PC002, který nebude mít s profilem stejného uživatele v počítači PC001 nic společného. Uživatel Obchod1 si jej samozřejmě může upravit do podoby profilu v počítači PC001, ale již neexistují prostředky, které by uměly zajistit synchronizaci těchto dvou počítačů. Navíc je velmi málo pravděpodobné, že si uživatel bude sám synchronizovat například obsah složky Dokumenty. V případech, kdy by se přihlašoval k více počítačům, by mu to pravděpodobně zabralo většinu pracovní doby, což by byla velmi neefektivní záležitost. Správce počítače je schopen vždy zjistit všechny existující profily uživatelů: 1. Přihlaste se k počítači PC001 jako správci. 2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a v místní nabídce poté klepněte na položku Vlastnosti. 3. Klepněte na kartu Upřesnit a v části Profily uživatelů klepněte na tlačítko Nastavení. Zobrazí se karta s profily všech uživatelů, kteří se k počítači dosud přihlásili. Obrázek 13.2 Karta s profily uživatelů

Jako správci můžete ze seznamu odstranit profil kteréhokoli uživatele s jedinou výjimkou nelze odstranit svůj vlastní profil. Pokud nepatříte mezi správce počítače, zobrazí se v seznamu pouze váš profil. Ten pochopitelně také nelze odstranit. Vzhledem k tomuto chování se dá říci, že podle existence či neexistence profilu můžete potvrdit, zda konkrétní uživatel byl či nebyl k počítači přihlášen (podle data můžete dokonce určit kdy). Uživalel není schopen po sobě tuto informaci odstranit. Prostředí, ve kterých lze podobnou strategii využít, se vyznačují přiřazením počítačů uživatelům v poměru 1:1. To znamená, že každý uživatel má k dispozici svůj vlastní počítač, se kterým pracuje drtivou většinu pracovní doby. V takovém případě skutečně není třeba řešit stejnou konfiguraci prostředí pro stejného uživatele ve více počítačích. Co na to naše organizace?

Bude ale takové prostředí vhodné pro naši organizaci? Pokud bude mít každý uživatel svuj počítač, potom zcela jistě ano. Jedná se však o obchodní organizaci, jejíž model prodeje může být následující. Obchodníci mají k dispozici svou místnost, kde má každý z nich svůj vlastní počítač. Mimo tuto místnost má organizace ještě jednu prodejní místnost, kde jsou dvě pracoviště, na kterých se obchodníci setkávají se zákazníky a odkud jim prodávají své zboží. Obchodníci mají ve svých počítačích veškeré vlastní dokumenty, jež nutně ke každému prodeji potřebují. Tyto dokumenty ukládají do výchozí složky - Dokumenty. V počítačích určených pro prodej zákazníkům jsou navíc nainstalované veškeré aplikace, které obchodníci běžně používají ke své činnosti. Pro tyto účely by tedy bylo velmi vhodné, aby měli obchodníci k dispozici nejen své dokumenty, ale i veškerá nastavení, v jakémkoli počítači, ke kterému se přihlásí. Vždyť už jenom představa, že musí jít prodávat k jinému počítači s jiným nastavením, může obchodníka natolik odradit, že při přímé komunikaci se zákazníkem nepodá svůj obvyklý výkon. O shánění potřebných dokumentů pro tento účel v jiných počítačích ani nemluvě. Zkrátka - v takovémto typu organizace jsou pro obchodníky místní profily nedostatečným řešením.


137

Někteří uživatelé potřebují stejné nastavení všude, kde se přihlásí V našem případě se jedná o obchodníky. U nich bude třeba zajistit takové profily, které budou „cestovat" v síti spolu s uživatelem. Pokud se obchodník přihlásí ke svému počítači v kanceláři, načte se mu jeho profil. On provede změnu (například do složky Dokumenty přidá nový soubor) a odhlásí se. Tato změna se uloží do cestovního profilu a při příštím přihlášení (například k počítači v prodejní místnosti) se znovu načte. Aby se toto všechno mohlo provést, musí být splněno několik důležitých věcí: ♦ Cestovní profily musí být uloženy v počítači, který je neustále k dispozici (tedy zapnut a plně funkční). ♦ Počítač s cestovními profily nesmí nikdy odmítnout pokus o připojení (musí mít dostatek klientských přístupových licencí, rozhodně se nemůže jednat o klientský operační systém). ♦ Cestovní profil je nutné definovat ve vlastnostech doménového uživatelského účtu. Funkce cestovního profilu si ukážeme a ověříme na uživateli Obchod2. Základní konfiguraci provedete podle následujícího postupu. Poznámka Cestovní profily jsme již konfigurovali v kapitole 4. Tehdy jsme však pracovali v prostředí pracovní skupiny a s místními účty. Nyní je situace poněkud jiná (a více odpovídající reálnému prostředí), takže i postupy se budou lišit. Konfigurace cestovního profilu

1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte aplikaci Průzkumník Windows a na jednotce C: vytvořte složku CestProfily 3. Povolte sdílení této složky a oprávnění ke sdílení nakonfigurujte pro skupinu Authenticated Users na Úplné řízení. Oprávnění NTFS ponechejte ve výchozím nastavení. 4. Spusťte konzolu Uživatelé a počítače služby Active Directory a zobrazte vlastnosti účtu Obchod2. 5. Klepněte na kartu Profil a do pole Cesta k profilu zadejte cestu \\SRVR001\CestProfily\%username%. Klepněte na tlačítko OK. Poznámka Proměnná %username% reprezentuje přihlašovací jméno uživatele. Pokud zadáváte cestu k profilu ručně, je prakticky jedno, zda použijete cestu s proměnnou nebo zda přímo zadáte přihlašovací jméno uživatele. Použití proměnné je vhodné v případech, kdy provádíte dávkovou změnu uživatelských účtů, například pomocí skriptu ADSL Zabezpečení cestovních profilů

Při prvním přihlášení uživatele Obchod2 se vytvoří cestovní profil (přesněji řečeno složka Obchod2) na serveru SRVR001. Ta se naplní potřebnými informacemi až v okamžiku odhlášení uživatele. Celý profil uživatele bude pomocí oprávnění NTFS zabezpečen ta k , že clo něj bude mít přístup pouze uživatel. Správci (skupina Administrators) standardně přístup nezískají. Aby se člen skupiny Administrators k souborům profilu na serveru dostal, musel by v I a kovém případě převzít vlastnictví celého profilu (tedy všech složek a souborů). Tím se však změní vlastník, což může mít vliv na nefunkčnost cestovních profilů. Před nasazením cestovních profilů je tak nutné zvážit systémovou úpravu oprávnění přístupu NTFS k cestovním profilům uživatelů. Ta spočívá v konfiguraci Zásad skupiny, která zajistí, že v seznamu řízení přístupu bude oprávnění Úplné řízení také pro skupinu Administrators. Tuto konfiguraci doporučuji provést ihned podle následujících pokynů. Přidání skupiny Administrators do seznamu řízení přístupu (ACL)

1. 2. 3. 4.

Přihlaste se k počítači SRVR001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na název domény (studny.local) a v místní nabídce poté zvolte položku Vlastnosti. Na kartě Zásady skupiny poklepejte na položku Default Domain Policy. Spustí se konzola pro úpravu objektu s tímto názvem. 5. V části Konfigurace počítače rozbalte postupně položky Šablony pro správu a Systém. Poté klepněte na položku Profily uživatelů. 6. V pravém podokně konzoly poklepejte na zásadu Přidat skupinu Administrators do profilů cestujících uživatelů a poté zaškrtněte políčko Povoleno. Dialogové okno zavřete klepnutím na tlačítko OK.

Upravenou zásadu je třeba promítnout na server s profily - tedy SRVR001. Přihlaste se k serveru SRVR001 jako správci a na příkazovém řádku spusťte nástroj GPUPDATE. Důležité Skupina Administrators se přidá do seznamu řízení přístupu pouze u cestovních profilů vytvořených po aplikaci této zásady.


138

Ověření funkce cestovního profilu

1. Nyní se přihlaste k počítači PC001 jako uživatel Obchod2. 2. Po přihlášení klepněte v Nabídce Start pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce klepněte na položku Vlastnosti. .1 Na kartě Upřesnit klepněte v části Profily uživatelů na tlačítko Nastavení. V dialogovém okně Profily uživatelů ověřte, že se jedná o Cestovní prolil. 4. Nyní ověříme funkčnost cestovního profilu. Na pracovní ploše vytvořil: Nový textový dokument (můžete ponechat výchozí název). Poté klepněte v Nabídce Start na položku Dokumenty a vytvořte v ní nový Zvuk ve formátu Wave (ponechte výchozí název). 5. Odhlaste se od počítače PC001. V tuto chvíli došlo ke zkopírování změn v cestovním profilu na server. V počítači PC001 profil uživatele Obchod2 však i nadále zůstává. Ověření změn ve složce CestProfily

1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte okno aplikace Průzkumník Windows a přejděte do složky CestProfily. Měli byste vidět složku Obchod2, která se vytvořila automaticky při prvním přihlášení uživatele. 3. Přejděte do složky Obchod2. Poté poklepejte na složku obchod2 - dokumenty a ověřte přítomnost zvukového souboru Wave. Dále poklepejte na složku Plocha a ověřte přítomnost textového souboru. Oba soubory byste měli vidět. Možná jste zaregistrovali, že uživatelé využívající cestovní profily nemají v systému Windows XP Professional k dispozici nové uživatelské rozhraní (přesněji řečeno motiv Windows XP). Toto chování odpovídá návrhu cestovních profilů, neboť se předpokládá, že uživatel se může přihlásit i k počítači se systémem Windows 2000 Professional, kde by motiv Windows XP neměl žádnou cenu. Pokud chce mít uživatel využívající cestovní profil k dispozici rozhraní s motivem Windows XP, musí si jej nakonfigurovat ručně. Konfigurace motivu Windows XP

1. V systému Windows XP Professional klepněte pravým tlačítkem myši na pracovní plochu a v místní nabídce poté klepněte na položku Vlastnosti. 2. Na kartě Motivy poté v rozévíracím seznamu Motiv vyberte položku Windows XP. 3. Dialogové okno zavřete klepnutím na tlačítko OK.

Načtení existujícího cestovního profilu Při náhledu přímo do profilu uživatele na serveru vás možná napadlo, že kdybyste do složky Plocha uložili nějaký nový soubor (nebo zástupce na soubor), měl by ho uživatel ihned po přihlášení na očích. Co takhle využít tuto možnost pro sdělování informací uživatelům? Bude to funkční? Vyzkoušejme to. 1. Ověřte, že uživatel Obchod2 není přihlášen k žádnému počítači. 2. Přihlaste se k počítači SRVR001 jako správci a ve složce CestProflly přejděte v profilu uživatele Obchod2 do složky Plocha. Vytvořte zde na zkoušku nový dokument ve formátu RTF. 3. Nyní se na pracovní stanici, odkud jste se naposledy jako uživatel Obchod2 odhlásili, přihlaste jako uživatel Obchod2. Po přihlášení zjistíte, že na ploše se nový objekt zobrazil. Ale pozor! Pokud byste se přihlásili k počítači se systémem Windows 2000 Professional, nová položka by se na ploše nezobrazila. Rozdíl je v práci s existujícími cestovními profily v různých systémech. Obecně jsou všechny systémy standardně nakonfigurované tak, že i po odhlášení zůstává v místním počítači kopie cestovního profilu. Systém Windows XP Professional Pokud uživatel používá cestovní profil a v počítači již byl předtím přihlášen, postupuje se následovně: 1. Systém vyhledá v registru informaci o tom, že v místním počítači existuje místní kopie cestovního profilu uživatele. 2. Provede mapování podregistru N T U s e r . d a t do registru HKEY_CURRENT_USER. 3. Porovná místní kopii profilu se serverovou verzí a provede jejich sloučení. Výsledný profil načte. Systém Windows 2000 Professional Systém Windows 2000 Professional se ve stejné situaci zachová jinak: 1. Systém vyhledá v registru informaci o tom, že v místním počítači existuje místní kopie cestovního profilu uživatele. 2. Porovná časové razítko souboru N T U s e r . d a t v místním počítači se stejným souborem na serveru. 3. Pokud budou časová razítka shodná, načte se profil z místní mezipaměti. Pokud je na serveru časové razítko novější, načte se profil ze serveru. Zde je odpověď na to, proč by nedošlo k zobrazení nového dokumentu na ploše. Aby k lomu opravdu došlo, museli byste 139 Mistrovství v Microsoft Windows Server 2003

kromě dodání dokumentu do cestovního profilu na serveru ještě navíc změnit časové razítko souboru N T U s e r . d a t na serveru. Teprve potom byste měli jistotu, že nový soubor se zobrazí na ploše v každém případě.

Používání cestovních profilů S používáním cestovních profilů souvisí ještě řada dalších věcí, na které je třeba dát před nasazením cestovních profilů pozor.

Místo na disku Systémy Windows jsou standardně nakonfigurované tak, že i pokud uživatel používá cestovní profil, zůstává po jeho odhlášení v místním počítači jeho kopie. Znamená to, že je nutné dávat pozor na dostatek volného místa na disku, neboť aby se další uživatel úspěšně přihlásil, musí být na disku dostatek volného místa pro jeho profil. Tuto chování se dá změnit tak, že při odhlášení uživatele se cestovní profil z počítače od straní. Ne vždy však musí být toto nastavení žádoucí (například u přenosných počítačů), navíc úzce souvisí s provozem v síti.

Zatížení sítě Součástí profilu uživatele je také složka dokumenty. Pokud se budou uživatelé choval po dle Filozofie systému Windows 2000 či Windows XP o ukládání dat tak, že je budou opravdu ukládat do složky Dokumenty, můžete se při přechodu na cestovní prolily dostat do nezáviděníhodné situace. Velikost uživatelského profilu totiž může v takovém případě dosáhnout až několika gigabajtů a než se celý objem dat při prvním přihlášeni uživatele k počítači přenese, nezobrazí se uživateli pracovní plocha a on tak nemůže pracovat. Ve větších sítích Ethernet o rychlosti 100 Mbps je k přenosu 2 GB dat zapotřebí cca 30 minut času, což by uživatele nadměrně obtěžovalo. Pokud však uživatel toto zdržení vydrží a po dokončení práce se odhlásí, na server se přenesou pouze změny profilu (tedy nové a upravené dokumenty či nastavení) a při dalším přihlášení se již načte profil z místní mezipaměti. Pokud by se ale používalo nastavení zmíněné v předchozím odstavci, opakoval by se tento zdlouhavý proces při každém přihlášení. Řešení tedy není v automatickém odstraňování místní kopie cestovního profilu při odhlášení uživatele, ale v další možnosti systémů Windows XP Professional a Windows 2000 — přesměrování složek. O tom ale bude řeč až v dalších kapitolách.

Konfigurace klientských počítačů Pro úspěšné využívání cestovních profilů by měly mít všechny počítače, ke kterým se bude stejný uživatel přihlašovat, stejnou nebo alespoň velmi podobnou konfiguraci (stejné rozdělení diskového prostoru, přibližně stejné velikosti jednotek, stejné místo pro ukládání profilů, stejné nainstalované aplikace, jejich verze a aktualizace Service Pack).

Doporučené postupy Pro co nejoptimálnější používání cestovních profilů dodržujte následující doporučené postupy. Zakažte možnost přihlášení se před spuštěním sítě

Jedná se o novinku v systému Windows XP Professional. Pokud je tato funkce zapnuta (výchozí nastavení systému), přihlásí se uživatel s cestovním profilem vždy z místní mezipaměti. Pokud byste přecházeli na cestovní profily z místních, trvalo by uživateli dvě přihlášení, než by se tato změna projevila. Poznámka Toto nastavení jsme vypnuli v kapitole 7, „Instalujeme doménu" a nutno dodat, že veškeré postupy v této kapitole počítají s jeho vypnutím. Pokud jste toto nastavení nevypnuli, naleznete jej v objektu zásad skupiny Default Domain Policy v části Konfigurace počíta-če\Šablony pro správu\Systém\Přihlášení jako zásadu Při spouštění a přihlašování počítače vždy počkat na síť. Cestování mezi počítači s různými operačními systémy (Windows 2000 a Windows XP)

Pro úspěšné cestování mezi operačními systémy Windows 2000 a Windows XP Professional platí následující pravidla: ♦ Kdykoli se tomuto cestování můžete vyhnout, udělejte to. ♦ V obou systémech musí být nainstalované stejné verze aplikací. ♦ Aplikace musí být nainstalované ve stejných složkách a na stejných jednotkách. ♦ Operační systémy musí být nainstalované na stejných jednotkách a ve stejných složkách. Zajistěte si jako správci přístup do cestovních profilů uživatelů

Přístup do profilů uživatelů je z hlediska správy sítě nutný. Zajistěte si jej pokud možno ještě před spuštěním používání cestovních profilů (viz konfigurace dříve).


140

Přesměrujte umístění složky Dokumenty mimo cestovní profil uživatele

Přesměrováním složky Dokumenty zajistíte plynulejší a rychlejší první přihlašování uživatelů používajících cestovní profily k počítačům. Přesměrováním složek se budeme zabýval v dalších kapitolách. ; Nešifrujte soubory v cestovním profilu

Šifrování systému souborů (EFS) není s cestovními profily kompatibilní. Pokud zašifrujete složky či soubory v cestovním profilu, profil přestane „cestovat".

Konfigurace cestovních profilů v naší organizaci V předchozích příkladech jsme si ukázali podobné postupy pro konfiguraci cestovních profilů. Nyní je na čase uvést tyto postupy v praxi za dodržení přesného postupu. Ces-lovní profily nakonfigurujeme (zatím) pouze pro členy obchodního oddělení. Pokud jste j i / některé kroky provedli, neopakujte je, případně je zopakujte pouze pro zbývající uživatele. Postupujte tedy následovně: ♦ Na jednotce C: serveru SRVR001 vytvořte sdílenou složku CestProfily s příslušnými oprávněními (viz postup výše v této kapitole). ♦ Pomocí objektu Zásad skupiny Default Domain Policy nakonfigurujte přidání skupiny Administrátor do cestovních profilů uživatelů. Konfigurací dané zásady v tomto objektu zajistíte aplikaci zásady na jakémkoli počítači v doméně (viz po stup výše v této kapitole). ♦ Ve vlastnostech všech uživatelů obchodního oddělení (Obchod1 — Obchod5) na definujte cestu k cestovnímu profilu ve tvaru \\SRVR001\CestProfily\%username% (viz postup výše v této kapitole). ♦ Přihlaste se jako vybraný uživatel obchodního oddělení na kterémkoli počítači a ověřte, že typ profilu je cestovní (viz postup výše v této kapitole). ♦ Jako správci ověřte, že můžete přistupovat do složek s cestovními profily uživatelů na serveru SRVR001. ♦ V případě potřeby informujte uživatele, aby si v systémech Windows XP Professional změnili motiv na Windows XP. Výchozí profil uživatele K úplné spokojenosti správce s nasazením cestovních profilů zbývá ještě jedna věc. Pokud se přihlásí uživatel úplně poprvé, vytvoří se mu automaticky profil, který je předdefinovaný v operačním systému. To se ale správcům nemusí líbit, protože prolil nemusí odpovídat jejich představám. A chtít po uživatelích, aby si jej po prvním přihlášení sami p o d l e u l i c návrhu správce překonfigurovali, není možné. Pokud se uživatel přihlašuje úplně poprvé, znamená to, že v počítači žádný prolil pro tohoto uživatele neexistuje. V dalším kroku se tak systém podívá do složky NETLOGON řadiče domény, který provádí ověření uživatele, a ověřuje existenci složky s názvem Default User obsahující profil uživatele. Pokud tuto složku nalezne, použije tento prolil. Pokud složku nenalezne, vygeneruje systém uživateli profil automaticky. POZOR Tento postup se provede vždy při prvním přihlášení bez ohledu na typ profilu uživatele. Znamená to, že jako správci můžete velmi jednoduše rozhodnout, j a k budou vypadat výchozí profily uživatelů. Další možnosti úpravy profilu uživatelem je

pak možné omezit pomocí Zásad skupiny. Pro úplné pochopení způsobu generování výchozího profilu uživatele si jej projdeme. Vytvoření referenčního (výchozího) profilu

1. K počítači PC001 se přihlaste jako uživatel, který nemá definován cestovní profil (například Marketingl). Nezáleží na tom, zda již byl uživatel k tomuto počítači dříve přihlášen. Načte se jeho profil. Poznámka Optimálním případem by bylo využít účet uživatele, který k danému počítači ještě přihlášen nebyl. V opačném případě byste totiž nemuseli postřehnout všechny změny, které již uživatel ve svém profilu provedl (například uložené dokumenty ve složce Dokumenty, které by se tak staly součástí výchozího profilu pro všechny uživatele).

2. Jako uživatel Marketingl upravte svůj profil. Aby byly úpravy na první pohled zřejmé, provedeme následující: ■ Pravým tlačítkem myši klepněte na tlačítko Start a poté v místní nabídce klepněte na položku Vlastnosti. Zaškrtněte políčko Klasická nabídka Start a poté klepněte na tlačítko OK. ■ Pravým tlačítkem myši klepněte na pracovní plochu a poté klepněte na položku Vlastnosti. Na kartě Plocha vyberte v části Pozadí položku Mýdlové bubliny a poté klepněte na tlačítko OK. ■ Na pracovní ploše vytvořte nový textový dokument s názvem Nejdříve si přečtěte... Umístěte jej přibližně do středu pracovní plochy. ■ Poklepejte na složku Dokumenty a vytvořte v ní složku s názvem Směrnice společnosti. V provozním prostředí byste tuto složku naplnili všemi směrnicemi, které jsou pro nové pracovníky důležité. Poznámka Mezi další zajímavá nastavení patří spuštění aplikace Internet Explorer, konfigurace serveru Proxy pro připojení k Internetu, konfigurace výchozí stránky, případně úprava oblíbených položek. ■

3. Odhlaste se od počítače PC001.


141

Zkopírování profilu na server

1. Přihlaste se k počítači SRVR001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky WINDOWS\SYSVOL\sysvol\studny.local\scripts. Zde vytvořte novou složku s názvem Default User. 3. V Nabídce Start nyní klepněte na položku Spustit a do pole Otevřít zadejte cestu \\PC001\C$. Zobrazí se okno aplikace Průzkumník Windows s obsahem jednotky C: počítače PC001. Přejděte do složky Documents and Settings\Marketingl. 4. Ověřte, zda máte nastaveno zobrazení skrytých souborů. Pokud ne, nastavte jej ( j i nak se nepodaří zkopírovat celý profil). Měli byste vidět celý profil uživatele Marketing1.

Obrázek 13.3 Profil uživatele Marketing1 včetně skrytých složek

5. Obsah profilu uživatele Marketingl zkopírujte do složky Default User vytvořené v kroku číslo 2. Kopírování by nemělo trvat déle než několik sekund. Poznámka Složku Default User je nutné vytvořit vždy na jakémkoli řadiči domény přesto, že cestovní profily mohou být uložené na členském serveru. Pokud budete mít v síti více řadičů domény, je nutné nyní vyčkat, než proběhne replikace dat, neboť složka Default User s výchozím profilem musí být uložena na řadiči domény, jenž bude provádět ověření přihlášeni uživatele (dopředu nelze ovlivnit, který to bude). V našem prostředí máme jediný řadič domény, takže v dalších krocích můžeme pokračovat ihned. Ověření funkčnosti výchozího profilu

1. Přihlaste se k jakémukoli klientskému počítači jako uživatel s nadefinovanými cestovním profilem, který však ještě předtím nebyl nikdy přihlášen. Pokud lakový uživatel neexistuje, můžete si pro tento účel některého vytvořit nebo jednoduše od Straňte složku s cestovním profilem nějakému uživateli na serveru SRVR001 ve složce C:\CestProfily a poté odstraňte jeho místní profil v počítači, ke kterému se chcete přihlásit. 2. Ověřte, zda profil uživatele odpovídá výchozímu profilu vytvořenému v předchozích odstavcích. Mimo jiné byste měli přibližně ve středu plochy viděl soubor Nejdříve si přečtěte... a ve složce Dokumenty složku Směrnice společnosti. Samozřejmě budete mít k dispozici klasickou Nabídku Start a změněné pozadí pracovní plochy. 3. Ověřte, zda je profil v počítači opravdu cestovní (v dialogovém okně Systém klepněte na kartě Upřesnit v části profily uživatelů na tlačítko Nastavení). 4. Odhlaste se. 5. Nyní vyzkoušíme podobný postup s účtem, který nemá nakonfigurován v Aktive Directory cestovní profil a jenž nebyl nikdy k danému počítači přihlášen (nebo byl, ale poté jste jeho profil odstranili). 6. Přihlaste se ke klientskému počítači jako uživatel bez cestovního profilu. 7. Všimněte si, že výsledek je stejný jako v předchozím případě. I tomuto uživateli se stáhl profil ze složky Default User vytvořené na řadiči domény. 8. Ověřte, že se jedná o místní profil uživatele. 9. Odhlaste se. Z celého ověřeného postupu vyplývá jedna zásadní věc. Jedná se o velmi systémové řešení, pomocí něhož lze velmi jednoduše určit, jak budou vypadat profily nových uživatelů, kteří přicházejí do společnosti. Zároveň toto chování nezávisí na typu profilu, takže je velmi univerzální.


142

Poznámka V praxi jsem se setkal s případem společnosti čítající několik tisíc uživatelů a počítačů. Ta řešila výchozí profil nových uživatelů tak, že jej kopírovala do složky Default User do všech místních počítačů. Takový příklad jasně ukazuje, jak může neznalost prostředí zbytečně přidělat práci několika dalším správcům. Horší z pohledu oné společnosti bylo, že si pro tuto práci najímala externího dodavatele, kterému za provedené práce platila desetitisíce korun. Těžko věřit, že by to celé prováděla jen proto, aby nezatěžovala síťové linky při stahování profilu z řadiče domény do místního počítače.

Bude se nastavení uživatelů ukládat? Při prvním přihlášení nového uživatele se uživateli zobrazí pracovní plocha, Nabídka Start a další položky potřebné k jeho práci. Toto prostředí ale nezůstane vždy stejné. Některý z uživatelů bude chtít umístit na plochu zástupce na složku s důležitými dokumenty, jiný si upraví vzhled Nabídky Start, další z uživatelů si změní spořič obrazovky a čas, po němž . začne být aktivní. Všichni uživatelé ale pravděpodobně začnou postupně plnit složku Dokumenty vytvořenými či získanými dokumenty. Zkrátka - profil každého uživatele začne dříve či později doznávat změny. Otázka zní, zda je takový stav pro správce správný. Zda je z hlediska podpory uživatelů udržitelný u zda je například udržitelný, i co se velikosti profilu týká. Připomeňme jenom stav, kdy uživatel používá cestovní profil, jehož velikost je díky spoustě dokumentů ve složce Dokumenty i několik gigabajtů. Každý správce by byl zřejmě rád, kdyby uživatelé mohli upravovat pouze některé části profilu, zatímco u ostatních by měl vždy jistotu, že zůstávají stále ve výchozím nastavení. Je to možné zajistit?

Další typ profilu uživatele Existuje možnost nakonfigurovat profil, do kterého se nebudou změny provedené uživatelem ukládat. Jedná se o takzvaný povinný (mandatory) profil. Tento typ profilu je znám již z operačního systému Windows NT 4.0 a přetrvává dodnes. Konfigurace povinného profilu

1. Přihlaste se k počítači PC001 jako uživatel používající cestovní profil (například Obchod3). Prohlédněte si některá z nastavení a odhlaste se. 2. Přihlaste se jako správci k počítači SRVR001. 3. Přejděte do složky C:\CestProfily\Obchod3 a soubor NTUSER.DAT přejmenujte na NTUSER.MAN. Poznámka Soubor NTUSER.DAT je standardně skrytým souborem. Abyste jej viděli, je nutné mít zapnuté zobrazení skrytých souborů. Ověření funkce povinného profilu

1. Přihlaste se znovu jako předchozí uživatel (Obchod3) k počítači PC001 a proveďte změny v konfiguraci pracovní plochy, případně Nabídky Start. Můžete také odstranit soubor Nejdříve si přečtěte... z plochy. 2. Odhlaste se od počítače. Nastavení profilu se nyní neuloží na server. V následujícím kroku to ověříme. 3. Přihlaste se znovu jako uživatel Obchod3 k počítači PC001. Ověřte, že zůstala platná původní nastavení (včetně souboru Nejdříve si přečtěte... na pracovní ploše).

Nároky na správu Konfigurace cestovního profilu změnou přípony souboru NTUSER.DAT je možností přetrvávající ze systému Windows NT 4.0. Od chvíle, kdy takto profil uživatele nakonfigurujete do něj můžete zasahovat pouze vy jako správci. Pozor na to! Pokud jste právě našli v cestovních profilech zalíbení, mějte na paměti, že mohou způsobit nečekané s t a r o s t i se správou, zejména v prostředí s rostoucím počtem uživatelů. V takovém případe budete muset vyhodnocovat požadavky uživatelů týkající se úpravy profilů, případně požadované úpravy přímo provádět. Na druhou stranu však máte jistotu o tom, j a k p r o f i l uživatele vypadá. Jsou však samozřejmě situace, kdy se povinný profil vyplatí. Představte si například v r á t n i c i podniku, ve které se střídají tři vrátní. Ti sdílejí pro svou práci jeden účet. Pokud byste jim umožnili zasahovat do úpravy profilu, mohlo by se například stát, že jeden z nich by na pozadí pracovní plochy umístil fotografii sličné ženy, u které by se vrátná, jež na stupuje další směnu, mohla psychicky zhroutit. V tomto případě je tak jednoznačným řešením povinný profil.


143

Další možnosti konfigurace Přejmenovávat soubor NTUSER.DAT na NTUSER.MAN může být reálná práce u řádově jednotek uživatelů. Jak to ale zajistit v sítích s několika sty či tisíci uživateli? S vývojem provozních prostředí se vyvíjely i operační systémy. Spolu s operačním systémem Windows 2000 přišly na svět funkce IntelliMirror, z nichž jednou je funkce Zásady skupiny. Pomocí těchto zásad lze spravovat klientské počítače vzdáleně a omezit tak uživatele poněkud jinými způsoby než přejmenováním souboru. Podstatné však je, že zde stačí jediné nastavení, které může ovlivnit i několik tisíc uživatelů či počítačů. Pokud tedy máte v síti systémy Windows 2000 a vyšší, tedy Windows XP Professional, a pracujete v prostředí domény, používejte raději Zásady skupiny. Je to rychlejší, jednodušší a operativnější možnost správy většího množství klientských počítačů. Například v předchozím příkladu s vrátnými by stačilo použít zásadu Skrýt kartu Plocha. Poznámka Se Zásadami skupiny se seznámíme v kapitole 17, „Správa prostředí klientských počítačů".

Je vůbec změna přípon systémovým řešením? Odpověď je, že není. Povinné profily lze takto konfigurovat pouze v případě, že uživatel používá cestovní profil, který je pochopitelně uložen na serveru. Asi si lze těžko představit situaci, že v případě místního profilu by se správce vzdáleně „dobýval" do místního počítače uživatele a měnil příponu souboru NTUSER.DAT tam. Navíc změna přípony souboru NTUSER.DAT se dá provést pouze v existujícím profilu. Pokud změníte příponu ve složce Default User na řadiči domény, nebude se výchozí profil v klientských počítačích chovat korektně. To, že se jedná o povinný profil, se ve vlastnostech panelu Systém zobrazí až po druhém přihlášení a i tak bude možné provádět v profilu úpravy. Pryč od nesystémových řešení! Jak tedy povinné profily nasadit a spravovat? Při nasazení a správě povinných profilů se řiďte následujícími doporučeními: ♦ Povinný profil použijte až v případě, kdy neexistuje jiné, lepší řešení (tím je například využití Zásad skupiny). ♦ Povinné profily používejte pouze výjimečně (viz příklad s vrátnými). ♦ Místo přejmenování souboru NTUSER.DAT na NTUSER.MAN můžete použít zásadu skupiny Zabránit v šíření změn cestovních profilů na server, která je k dispozici v cestě Konfigurace počítače\Šablony pro správu\Systém\Profily uživatelů. Upozornění Zásada skupiny uvedená ve třetím bodu se nebude aplikovat na systémy Windows 2000. Je určena pouze pro systémy Windows XP Professional.

Povinné profily a dokumenty uživatelů Pokud změníte profil uživatele na povinný, jste jedinými uživateli, kteří jsou schopni provádět v něm změny, pouze vy jako správci (přesněji každý člen skupiny Administrators). Pokud ale uživatel pracuje se složkou Dokumenty, upravuje přece obsah svého profilu, neboť složka Dokumenty je jednou z jeho částí. Aby uživatelé nebyli překvapeni, že uložené soubory do složky Dokumenty nebudou nul při příštím přihlášení k dispozici, je nutné na tuto záležitost myslet a spolu se zavedením cestovních profilů ji nakonfigurovat a uživatelům dát na vědomí. Pokud uživatelé s povinnými profily nechtějí o dokumenty přijít, musejí je ukládat mimo svůj profil. Tím však ale může být narušeno jejich zabezpečení, neboť mimo profil uživatele nejsou tyto soubory automaticky chráněny před přístupem jiných uživatelů přihlášených ke stejnému počítači. Na druhou stranu - ukládání dokumentů v místních klientských počítačích není zcela optimální ani z důvodu jejich zabezpečení před selháním hardwaru či obecně chybnou funkcí počítače. Do hry tedy přicházejí domovské složky. Domovské složky Domovská složka je místem pro ukládání dokumentů uživatelů. Bývá umístěna na serve-n i , takže k dokumentům má uživatel přístup z jakéhokoli počítače a je samozřejmě mimo prolil uživatele. Jeho velikost tedy nijak neovlivňuje a navíc má uživatel data zaručena. Konfigurace domovské složky

1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte aplikaci Průzkumník Windows a na disku C: vytvořte složku DomSlozky. 3. Povolte sdílení složky a oprávnění ke sdílení nakonfigurujte pouze pro skupinu Authenticated Users na úroveň Úplné řízení. 4. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastnosti účtu, kterému chcete nakonfigurovat domovskou složku. Poznámka Mělo by se jednat o účet, u kterého budete používat povinný profil. Pro vyzkoušení si vyberte jakýkoli existující účet nebo si pro tento účel vytvořte nový.

5. Na kartě Profil zaškrtněte v části Domovská složka políčko Připojit, ponechte písmeno jednotky Z: a do pole k: zadejte cestu: \ \ SRVR001 \ DomSlozky\%username%. 6. Klepněte na tlačítko OK. Pokud se zobrazí zpráva Domovskou složku nelze vytvořit, klepnutím na tlačítko OK ji zavřete a na tlačítko OK v dialogovém okně vlasi ností uživatele klepněte znovu. Zobrazí se informace, že složka již existuje i dotaz, zda si přejete udělit uživateli oprávnění pro úplné řízení této složky. Klepněte na tlačítko Ano. 144 Mistrovství v Microsoft Windows Server 2003

7.

V počítači SRVR001 ověřte existenci složky s názvem přihlašovacího jména ÚčtU, pro který jste domovskou složku konfigurovali, ve složce C:\DomSlozky.

Ovéření funkčnosti domovské složky

1. Jako uživatel s nakonfigurovanou domovskou složkou se přihlaste k počítači PC001. 2. Otevřete okno aplikace Průzkumník Windows a ověřte přítomnost jednotky Z: 3. V jednotce Z: se pokuste vytvořit soubor, složku a poté vytvořené objekty odstraňte. Ověření zabezpečení domovské složky

1. Přihlaste se k počítači SRVR001 jako správci. 2. Zobrazte dialogové okno vlastností domovské složky vytvořené v předchozích krocích a klepněte na kartu Zabezpečení. Všimněte si, že oprávnění skupiny Users, mezi které patří mj. vytvoření podsložek a souborů v dané složce, může využívat kterýkoli uživatel. To z hlediska zabezpečení jistě není optimální. 3. Zrušte dědičnost oprávnění, dále klepněte na tlačítko Odebrat a poté klepněte dvakrát za sebou na tlačítko OK. V seznamu řízení přístupu nebude žádný objekt. 4. Přidejte doménovou skupinu Administrators (v případě členského serveru místní skupinu Administrators) s oprávněními Úplné řízení a dále přidejte účet uživatele, pro kterého jste tuto složku nakonfigurovali, taktéž s oprávněními Úplné řízení. Poté klepněte na tlačítko OK. Poznámka Pokud vytvoříte domovskou složku v systému Windows 2000 Server, nakonfiguruje se přístup pro daného uživatele automaticky a není nutné provádět jakoukoli další konfiguraci. Proč se stejný postup neprovede v systému Windows Server 2003, mi není známo (ověřeno na verzi Beta 2).

Pokročilá správa profilů uživatelů Pokud se uživatel, který disponuje cestovním profilem, odhlásí od počítače, má v mezi-paměti počítače zůstat kopie profilu nebo se má profil odstranit? Pokud profil v mezipaměti zůstane, nebude zbytečně zabírat místo? Kolik uživatelů se poté bude moci k počítači přihlásit (pro kolik uživatelských profilů bude na disku místo)? Pokud se profil po odhlášení od počítače odstraní, bude se uživatel moci přihlásit v režimu offline? Ještě nezodpovězených otázek je celkem dost a tento odstavec je tu proto, abychom na ně odpověděli a ukázali místo, kde se dá další chování konfigurovat.

Odstranění profilu po odhlášení uživatele Toto chování se konfiguruje pomocí zásady Odstraňovat kopie cestovních profilů z mezipaměti v části objektu Zásad skupiny Konfigurace počítače\ Šablony pro správu\ Systém\Profily uživatelů. Toto nastavení je určeno pro počítače, ve kterých je nebezpečné ponechávat informace z profilů uživatelů a pro počítače, jež mají velmi málo volného místa na disku. Nevýhodou tohoto nastavení je nemožnost přihlásit se do svého profilu v případě, kdy není počítač připojen k síti nebo kdy není dostupný řadič domény. K přihlášení uživatele tedy dojde, je však vygenerován nový, dočasný profil. Navíc při dalším přihlášení uživatele k takovému počítači se bude celý profil stahovat znovu, což může mít vliv na propustnost a rychlost sítě.

Zakázání používání cestovních profilů Konfiguruje se pomocí zásady Povolit pouze místní uživatelské profily v části objektu Zásad skupiny Konfigurace počítače\Šablony pro správu\Systém\Profíly uživatelů. Je-li toto nastavení povoleno, potom pokud se poprvé přihlašuje uživatel s cestovním profilem, nedojde ke stažení profilu ze síťového umístění, ale vytvoří se nový místní profil, který po odhlášení uživatele v počítači zůstane. Nastavení je tak vhodné pro počítače, u kterých je nutné zajistit co nejrychlejší přihlášení uživatelů, jež není v žádném případě závislé na přenosu dat v síti. Zároveň je vhodné pro počítač, u kterých chcete mít jako Správci vždy přehled, zda daný uživatel a kdy byl či nebyl přihlášen.

Omezení velikosti profilu Konfiguruje se pomocí zásady Omezit velikost profilu v části objektu Zásad skupiny Konfigurace uživatele\Šablony pro správu\Systém\Profily uživatelů. Pokud je v organizaci počítač, ke kterému se přihlašuje více uživatelů, může po čase dolil k zaplnění disku pouze profily uživatelů. V takovém případě je vhodné hlídat velikost profilů. Jiným případem je jednoduše stav, kdy chce mít uživatel informace o velikosti svého profilu, pokud je doporučeno dodržovat jeho maximální velikost (viz zatížení sítě při kopírování cestovních profilů). Tato zásada může uživatele upozornit na stav, že překročil velikost profilu.


145

Obrázek 13.4 Upozornění na překročení maximální velikosti profilu

Uživatel pak musí před odhlášením velikost profilu zmenšit, jinak nebude odhlášení možní, V oznamovací oblasti se navíc zobrazí výstražná ikona s informací, o kolik byla po-volená velikost profilu překročena. Pro tyto případy je vhodné nakonfigurovat uživatelům domovské složky, aby měli místo pro uvolnění profilu (pro přesun dokumentů).

Závěr Každý uživatel má v systémech Windows XP Professional a Windows 2000 (obecně v systémech řady NT) k dispozici svůj vlastní profil. Jedná se o soubor dat a nastavení, jež patří uživateli a do kterých si uživatelé navzájem nemohou ani nahlížet. Při přihlášení uživatele počítač v registru systému kontroluje, zda již existuje profil uživatele'. Pokud ano, načte jej, pokud ne, vytvoří nový profil. Pokud chcete sjednotit vytváření nových profilů, zejména pokud chcete výchozí profil upravit, je nutné výsledný profil umístit clo složky Default User do sdílené složky NETLOGON na řadiči domény a vyčkat replikace doménových informací. Po odhlášení uživatele zůstávají změny provedené během práce součástí profilu a načtou se při dalším přihlášení. Uživatelé kteří se během práce přemisťují mezi několika počítači, s nimiž potřebují plno hodnotně pracovat, ocení takzvaný cestovní profil, tedy profil, jenž cestuje v počítačích spolu s uživatelem. Uživatel má tak v každém počítači, ke kterému se přihlásí, stejné na stavení, dokumenty a další konfiguraci. Cestovní profily však s sebou přinášejí také zátěž v síti Pokud se uživatel poprvé přihlásí k počítači, stahuje se celý profil do tohoto počítače serveru. Dokud se profil nestáhne, uživatel nemá možnost v systému pracovat. Pokud potřebujete u některých uživatelů zajistit trvale stejný profil, do kterého se nebudou promítat žádné změny, musíte vytvořit takzvaný povinný profil. Ten lze vytvořit buď přejmenováním souboru NTUSER.DAT na NTUSER.MAN nebo nakonfigurovat příslušné nastavení v objektu Zásad skupiny. Od povinných profilů se již nyní ustupuje, neboť kladou další nároky na správce, a ke správě klientských počítačů se využívají objekty Zásad skupiny. Pokud přesto musíte povinný profil vytvořit, je nutné také nakonfigurovat místo pro ukládání dokumentů, neboť i složka Dokumenty je povinným profilem a nemožností provádět změny ovlivněna. Řešením může být vytvoření domovské složky na serveru, která se bude uživateli připojovat jako vybrané písmeno jednotky (výchozí je písmeno Z:). Uživatel má v takovém případě své soubory k dispozici na jakémkoli počítači, ke kterému se připojí.

Stav sítě Pokud jste ještě neprovedli veškerá nastavení, zde je jejich souhrn: ♦ Nakonfigurujte výchozí profil pro všechny nové uživatele a uložte jej na řadič domény do sdílené složky NETLOGON do podsložky s názvem Default User. Konfiguraci profilu ponechám na vás, zbytečně jej však neomezujte, neboť omezení uživatelů budeme konfigurovat v kapitole 17, „Správa prostředí klientských počítačů". ♦ Pro uživatele obchodního oddělení nakonfigurujte cestovní profily, které budou uloženy na serveru SRVR001 ve složce C:\CestProfily. Do profilů zajistěte přístup také skupině Administrators.


146

Potřebujeme tisknout Tisk dokumentů je jednou ze základních potřeb a činností v každé počítačové síti. Pro správný, bezproblémový a rychlý tisk je potřeba mít správné vybavení - tiskárny, rozhraní pro jejich připojení a také tiskové servery. To vše se samozřejmě neobejde bez správného připojení a konfigurace. I tiskové prostředí se vyvíjí a dříve či později může nastat situace, že rychlost tisku přestane některým uživatelům vyhovovat. Nebo třeba nebude vyhovovat pouze členům vedení, což je asi nejčastější případ. Řešení takového stavu samozřejmě existují a jsou někdy až překvapivě jednoduchá. V této kapitole se podíváme na základní konfiguraci tiskové infrastruktury i na řešení nespokojenosti části nebo všech uživatelů s její rychlostí.

Kde nainstalovat připojenou tiskárnu? V celém procesu instalace tiskárny hraje roli několik zařízeni. Protože budeme konkrétní výrazy v této kapitole používat, bude vhodné si je nyní jasně definovat. ♦ Tiskové zařízení Běžně nazývané tiskárnou, je hardwarové zařízení, které provádí přímý tisk dat na papír či podobné médium. Příkladem budiž tiskové zařízení HP LaserJet 6L. ♦ Tiskárna Je položka nainstalovaná v počítači, na kterou se provádí tisk. Příkladem budiž položka HP LaserJet 6L. ♦ Ovladač Je soubor či více souborů určených ke správné komunikaci s tiskovým zařízením. Ovladače jsou součástí operačního systému nebo je dodává výrobce. ♦ Síťové rozhraní Je rozhraní, pomocí kterého se připojuje tiskárna podporující protokol TCP/IP přímo do sítě. Příkladem budiž zařízení HP JetDirect. Tiskový server Je počítač, na kterém se vytváří lísková fronta dokumentů, následně se zpracovává a odesílá přímo tiskovému zařízení. ♦ Tískový server Je počítač, na kterém se vytváří tisková fronta dokumentů, následně se zpracovává a odesílá přímo tiskovému zařízení.

Naše společnost nyní koupila tiskárnu, na které by rádi tiskli všichni uživatelé. Abychom byli alespoň trochu aktuální, budeme dále pracovat s tiskárnou HP LaserJet 2100. Mimo to si k serveru pomocí paralelního kabelu připojíme a nainstalujeme tiskárnu HP DeskJet 610C, která nebude určená pro uživatele.

způsoby připojení tiskáren Většinu tiskáren lze připojit k počítači pomocí paralelního kabelu nebo kabelu USB, tiskárny určené pro větší provoz v sítích organizací lze připojit přímo do sítě pomocí kabelu TP. Pokud byste chtěli připojit tiskárnu, která má možnost připojení pouze přes paralelní kabel, přímo do sítě pomocí kabelu TP, budete muset zakoupit zařízení označované jako JetDirect. Pomocí paralelního kabelu se připojují tiskárny většinou v domácím prostředí. Uživatel má jediný počítač a jedinou tiskárnu, navíc vše fyzicky u sebe, takže není důvod investovat prostředky do nákupu dalších zařízení, jejichž funkce by stejně zůstaly nevyužity. V dalších krocích provedeme instalaci tiskáren.

Inkoustová tiskárna pro potřeby serveru Touto tiskárnou je HP DeskJet 610C, která bude připojena přes paralelní port. 1. Přihlaste se k počítači SRVR001 jako správci. 2. V Nabídce Start klepněte na položku Tiskárny a faxy. Otevře se okno se stejným názvem. 3. V horní části levého podokna klepněte na příkaz Přidat tiskárnu. Spustí se Průvodce přidáním tiskárny. Pokračujte klepnutím na tlačítko Další. 4. V dialogovém okně Místní nebo síťová tiskárna ponechte zaškrtnuté políčko Místní tiskárna připojená k tomuto počítači a zrušte zaškrtnutí políčka Automaticky rozpoznat a instalovat tiskárnu typu Plug-and-Play. Poté klepněte na tlačítko Další. 5. V dialogovém okně Vybrat port tiskárny ponechte výchozí nastavení (viz obrázek 14.1) a klepněte na tlačítko Další.


147

Obrázek 14.1 Tiskárna se bude instalovat na port LPT1

6. V dialogovém okně Instalace tiskového softwaru vyberte v podokně Výmluv položku HP a poté v podokně Tiskárny položku HP DeskJet 610C. Pokračujíc klepnutím na tlačítko Další. 7. V dialogovém okně Pojmenovat tiskárnu ponechte výchozí text (HP DeskJet 610C) a klepněte na tlačítko Další. 8. V dialogovém okně Sdílení tiskárny zaškrtněte políčko Nesdílet tuto tiskárnu a poté klepněte na tlačítko Další. Tiskárna je určena pouze pro server, není ledy důvod ji sdílet. 9. V dialogovém okně Tisk zkušební stránky zaškrtněte políčko podle svých možností a poté klepněte na tlačítko Další. 10. V dialogovém okně Dokončení Průvodce přidáním tiskárny si prohlédněte zadaná nastavení. Pokud je vše v pořádku, klepněte na tlačítko Dokončit. Pokud chcete některé z nastavení změnit, klepněte na tlačítko Zpět a proveďte opravu. Nově nainstalovaná tiskárna se nyní zobrazí v okně Tiskárny a faxy. Pokud nemá systém k dispozici ovladač, požádá o vložení instalačního disku CD-ROM nebo je možné dodat ovladač přímo od výrobce.

Laserová tiskárna pro potřeby uživatelů zakoupené tiskárně HP LaserJet 2100 jste navíc zakoupili zařízení HP JetDirect, pomocí kletého bude tiskárna připojena přímo do sítě. Taková tiskárna musí mít vlastní adresu IP, kterou lze nakonfigurovat pomocí programu dodávaného k tiskárně nebo ji tiskárni může získávat od serveru DHCP. Další informace naleznete v Příručce uživatele dodávané k tiskárně. Pokud zvolíte získání adresy IP od serveru DHCP, bude vhodné pro tyto účely vytvořit na serveru DHCP rezervaci. Pro tiskárnu však lze doporučit statickou adresu IP. Vyhnete se tak potížím v případě nedostupnosti serveru DHCP a dalším nutným konfiguracím, z nichž jednou je konfigurace rezervace na serveru DHCP. Rezervace adresy IP na serveru DHCP Pokud se rozhodnete adresovat tiskárnu automaticky, bude třeba vytvořit rezervaci na serveru DHCP. Tiskárnám a dalším zařízením jsme v kapitole 3, „Učíme počítače komunikovat v síťi přidělili rozsah adres IP 192.168.10.12 až 192.168.10.16. V rezervaci využijeme například první adresu IP. Budeme ale potřebovat ještě jeden parametr - fyzickou a d r e s u s í ťové karty zařízení HP JetDirect. V příručce uživatele k tomuto zařízení by měl být popsán postup, jak ji určit. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte konzolu DHCP.

3. V konzole DHCP rozbalte položku serveru srvr00l.studny.local [192.168.10.2] a dále položku Obor [192.168.10.0] Centrála společnosti. 4. Pravým tlačítkem myši klepněte na položku Rezervace a poté v místní nabídce klepněte na položku Nová rezervace. 5.. V dialogovém okně Nová rezervace zadejte do pole Název rezervace text Tiskárna HP 2100, do pole Adresa IP zadejte adresu 192.168.10.12 a clo pole Adresa MAC zadejte fyzickou adresu síťové karty zjištěnou výše. Ostatní parametry ponechte ve výchozím stavu a klepněte na tlačítko Přidat. Obrázek 14.2 Rezervace adresy IP na serveru DHCP


148

Poznámka Pokud je mezi rezervacemi ještě položka s adresou 192.168.10.16., odstraňte ji.

Tiskárnu HP LaserJet 2100 je nyní třeba připojit k síti a zapnout. Její adresa IP (ať přiřazená staticky či získaná od serveru DHCP) tak bude aktivní. Instalace tiskárny

1. Přihlaste se k počítači SRVR001 jako správci. 2. V Nabídce Start klepněte na položku Tiskárny a faxy. Otevře se okno se stejným názvem. 3. V horní části levého podokna klepněte na příkaz Přidat tiskárnu. Spustí se Průvodce přidáním tiskárny. Pokračujte klepnutím na tlačítko Další. 4. V dialogovém okně Místní nebo síťová tiskárna ponechte zaškrtnuté políčko Místní tiskárna připojená k tomuto počítači a zrušte zaškrtnutí políčka Automaticky rozpoznat a instalovat tiskárnu typu Plug-and-Play. Poté klepněte na tlačítko Další. Poznámka Ačkoli se může zdát, že by bylo třeba zaškrtnout políčko Síťová tiskárna nebo tiskárna připojená k jinému počítači, není tomu tak. Zaškrtnutím prvního políčka jasně říkáte, že počítač SRVR001 je takzvaným tiskovým serverem.

5. V dialogovém okně Vybrat port tiskárny zaškrtněte políčko Vytvořit nový port a v rozevíracím seznamu poté vyberte položku Standardní port TCP/IP. Poté klepněte na tlačítko Další. Spustí se Průvodce přidáním portu tiskárny TCP/IP. 6. Klepněte na tlačítko Další. Pokud jste nedefinovali název tiskárny formou záznamu typu A v DNS, zadejte do pole Název či adresa IP tiskárny adresu 192.168.10.12. Pokračujte klepnutím na tlačítko Další. 7. V dialogovém okně Jsou vyžadovány dodatečné informace o portu vyberte položku Hewlett Packard Jet Direct a poté klepněte na tlačítko Další. 8. V dialogovém okně Dokončení Průvodce přidáním standardního portu tiskárny TCP/IP si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. 9. V dialogovém okně Instalace tiskového softwaru vyberte v podokně Výrobce položku HP a poté v podokně Tiskárny položku HP LaserJet 2100. Pokračujíc klepnutím na tlačítko Další. 10. V dialogovém okně Pojmenovat tiskárnu ponechte výchozí text (HP LaserJet 2100) a ve spodní části okna ponechte zaškrtnuté políčko Ano. Poté klepněte na tlačítko Další. 11. V dialogovém okně Sdílení tiskárny zaškrtněte políčko Nesdílet tuto tiskárnu a poté klepněte na tlačítko Další. Tiskárnu budeme sdílet později. 12. V dialogovém okně Tisk zkušební stránky zaškrtněte políčko podle svých možností a poté klepněte na tlačítko Další. 13. V dialogovém okně Dokončení Průvodce přidáním tiskárny si prohlédněte zadaná nastavení. Pokud je vše v pořádku, klepněte na tlačítko Dokončit. Pokud chcete některé z nastavení změnit, klepněte na tlačítko Zpět a proveďte opravu.

Konfigurace parametrů tiskového serveru Tím, že jsme provedli místní instalaci tiskáren, udělili jsme počítači SRVR001 další roli -roli tiskového serveru. Jedná se tedy o počítač, který bude pro tyto dvě tiskárny zpracovávat tiskové fronty a jako jediný s nimi bude přímo komunikovat. Funkce tiskového serveru jsou dány jeho konfigurací. Ta je nezávislá na počtu či typu na-instalovaných tiskáren. Zobrazení vlastností tiskového serveru

1. Přihlaste se k počítači SRVR001 jako správci. 2. V Nabídce Start klepněte na položku Tiskárny a faxy. 3. V okně Tiskárny a faxy klepněte v nabídce Soubor na položku Vlastnosti serveru. Zobrazí se dialogové okno Tiskový server - vlastnosti.


149

Obrázek 14.3 Dialogové okno vlastností tiskového serveru

Z pohledu správy tiskáren je nejdůležitější částí zobrazeného dialogového okna karta Upřesnit. Na té lze konfigurovat následující užitečné parametry: Složku pro zařazování Jedná se o složku na pevném disku počítače, do které se ukládají tiskové úlohy pro všechny tiskárny a v níž probíhá jejich zpracování. Z pohledu výkonu je optimální tuto složku umístit na fyzický disk, na kterém není nainstalován operační systém. Taktéž se v praxi můžete setkat s tím, že na disku s touto složkou nebude dostatek volného místa, což by mohlo způsobovat chyby v tisku. Poté je nutné zasáhnout a v tomto poli definovat složku novou. Změna této složky se projeví ihned po klepnutí na tlačítko OK. Pokud však byly v tu dobu v původní složce nějaké tiskové úlohy, jejich tisk neproběhne. Změnu složky je tak vhodné provádět v čase, kdy nepředpokládáte žádný tisk na tiskárny. Protokolovat chybové, upozorňovací a informační události zařazovací služby Jedná se o tři nastavení, která zajistí protokolování událostí do protokolů aplikací. Ty je možné zobrazit pomocí nástroje Prohlížeč událostí. Tato nastavení jsou standardně zapnuta. Zvukový signál při chybě vzdálených dokumentů Pokud dojde k chybě při zpracování dokumentu odeslaného k tisku ze vzdáleného počítače, ozve se zvukový signál. Toto nastavení je užitečné pouze v případě, kdy je server v „doslechu" správců. V opačném případě zvukový signál nikdo neuslyší. Toto nastavení není standardně zapnuto. Zobrazovat informační upozornění pro místní tiskárny Zobrazí stav tiskových úloh formou kontextové nápovědy při tisku na tiskárně nainstalované v místním počítači. Zobrazí se v oznamovací oblasti uživatele, který úlohu odeslal. Toto nastavení není standardně zapnuto. Zobrazovat informační upozornění pro síťové tiskárny Zobrazí stav tiskových úloh formou kontextové nápovědy při tisku na tiskárny nainstalované v jiném počítači. Zobrazí se v oznamovací oblasti uživatele, který úlohu odeslal. Toto nastavení je standardně zapnuto. Oznámit tisk vzdálených dokumentů Pomocí síťové zprávy se uživateli zobrazí informace o tom, že dokument je vytištěn. Toto nastavení není standardně zapnuto. Oznámit tisk vzdálených dokumentů počítači, nikoliv uživateli Pokud je zapnuto předchozí nastavení, je možné zapnout i toto nastavení. V takovém případě nedojde k odeslání síťové zprávy uživateli, ale počítači, ze kterého byl tiskový dokument odeslán. Pro naši síť bych doporučoval zaškrtnout předposlední políčko. O tuto možnost totiž uživatelé v sítích nejčastěji usilují. O možnosti změnit umístění fronty pro zpracování dokumentů si můžeme nechat jenom zdát, neboť máme k dispozici pouze jediný fyzický disk s jediným oddílem.

Konfigurace tiskáren Předtím, než umožníte uživatelům tisknout na nainstalovanou tiskárnu, je třeba ji nakonfigurovat. zobrazení vlastností tiskárny

1. Pravým tlačítkem myši klepněte na tiskárnu HP LaserJet 2100 a v místní nabídce poté vyberte položku vlastnosti. Zobrazí se dialogové okno HP LaserJet 2100 -vlastnosti.

Karta upřesnit Pokud chcete omezit tisk na tuto tiskárnu pouze na určitou denní dobu, zaškrtněte políčko Přístupna od do a definujte časové rozmezí, po které bude tiskárna tisknout. Pokud byste měli v síti například barevnou laserovou tiskárnu a definovali časové rozmezí tisku například 19-00 až 24.00, možná byste se za čas divili, proč někteří uživatelé najednou zustávají v práci tak dlouho. Pokud uživatel odešle na tiskárnu dokument mimo časové rozmezí tisku, dokument se zařadí do fronty a vytiskne se, jakmile nastane zadaný čas.

Karta zabezpečení Na léto kartě se definují oprávnění tisku, správy dokumentů a správy tiskárny. Ve výchoz í m nastavení má oprávnění k tisku skupina Everyone, tedy každý uživatel. V běžném provozu to nijak nevadí, ale později se setkáme s případem, kdy bude nutné toto oprávnění měnit. Každý uživatel je dále schopen spravovat pouze vlastní dokumenty (viz oprávnění Správa dokumentů) pro skupinu CREATOR OWNER. Znamená to, že nemůže například odstraňovat z tiskové fronty dokumenty ostatních


150

uživatelů. Aby mohli uživatelé začít tiskárnu HP LaserJet 2100 využívat, je třeba ji zpřístupnit. To provedeme jejím sdílením. Zpřístupnění tiskárny

1. V dialogovém okně HP LaserJet 2100 —vlastnosti klepněte na kartu Sdílení. 2. Zaškrtněte položku Sdílet tuto tiskárnu a do pole Název sdílené položky zadejte název, pod kterým bude tiskárna v síti vystupovat (například HP2100). Zároveň si všimněte, že je standardně zaškrtnuté políčko Zobrazit v adresáři. Co toto políčko znamená? Pokud je zaškrtnuté, znamená to, že se v doménové databázi Active Directory vytvoří objekt nasdílené tiskárny, podle kterého mohou uživatelé takto označenou tiskárnu najít. Jinými slovy zaškrtnutím tohoto políčka zveřejníte informaci o zpřístupnění této tiskárny všem uživatelům, kteří na ni mohou tisknout. 3. Klepněte na tlačítko OK. Nyní se vžijte do role uživatele, který si tuto čerstvě sdílenou tiskárnu chce nainstalovat do svého počítače. Pokud má ve svém počítači systém Windows XP Professional nebo Windows 2000 Professional, vše půjde pravděpodobně velmi hladce. Co by se ale stalo v případě, pokud by měl ve svém počítači systém Windows NT 4.0? Systém Windows NT 4.0 bude při instalaci takové tiskárny potřebovat ovladače. V systému samotném s velkou pravděpodobností nebudou, takže se systém podívá do složky s ovladači tiskáren na server SRVR001. Jedná se o složku \\SRVR001\print$. Zde však ovladač také nenalezne, a tak zobrazí žádost o vložení instalačního disku se systémem Windows NT 4.0 nebo o disk s ovladači. A jsme u jádra problému. Běžný uživatel totiž nemá oprávnění instalovat do systému Windows NT 4.0 ovladače žádných hardwarových zařízení, tedy ani tiskáren. Instalační disk CD-ROM tak sice může do jednotky CD-ROM vložit, žádná instalace se však konat nebude. Uživatel bude zmaten, jeho systém bude ne kompletní a novou tiskárnu nebude moci využívat. Řešení je na vás jako na správcích. Musí být systémové. Pokud vás nějaké řešení napadne ale nevíte, zda je systémové, představte si, že jej potřebujete pro několik tisíc počítačů, a budete mít jasno. Dojít k danému počítači uživatele, přihlásit se jako správce, nainstalovat ovladač, odhlásit se a odejít tedy asi nebude to pravé. Pojďme nazpět ke kartě Sdílení dialogového okna vlastností tiskárny. 1. V dialogovém okně HP LaserJet 2100 - vlastnosti klepněte na kartu Sdílení. 2. Klepněte na tlačítko Další ovladače. Zobrazí se dialogové okno Další ovladače. Obrázek 14.4 Konfigurace ovladačů tiskárny pro další operační systémy

3. V nabídce konzoly Zobrazit klepněte na položku Uživatelé, skupiny a počítače jako kontejnery. 4. V levém podokně konzoly poklepejte na organizační jednotku Domain Controllers a poté klepněte na účet počítače SRVR001. V pravé části konzoly se zobrazí objekt tiskárny. Prohlédněte si vlastnosti objektu. Možná s překvapením zjistíte, že obsahují vcelku zajímavé informace. O jejich využití se zmíním později.

3. Zaškrtněte políčko x86 pro operační systém Windows NT 4.0 a klepněte na tlačítko OK. 4. Nyní je třeba dodat soubory ovladače pro daný operační systém. Celý proces ukončíte klepnutím na tlačítko OK. Poté dojde k tomu, že ovladače pro tiskárnu HP LaserJet 2100 pro systém Windows NT 4.0 budou k dispozici na tiskovém serveru, odkud si je systém z klientského počítače automaticky bez přičinění uživatele při prvním tisku stáhne a nainstaluje. Vychází se zde z toho, že na server jej umístil správce, takže uživatel již nemusí rozhodovat o jeho bezpečnosti, a instalaci tak může bez potíží provést.


151

Poznámka Pokud kdykoli později provedete aktualizaci ovladačů této tiskárny pro všechny operační systémy (včetně systému Windows NT 4.0), systémy v klientských počítačích si je před dalším tiskem automaticky stáhnou a aktualizují tak své původní ovladače. Ke kontrole na novou verzi ovladačů dochází u systémů řady Windows NT vždy při každém tisku.

V systémech Windows 2000 a vyšších může uživatelům v instalaci tiskáren bránit ještě zásada Zabránit uživatelům instalovat ovladače tiskáren, kterou naleznete v části Konfigurace počítače\Nastavení zabezpečen\Místní zásady\ Možnosti zabezpečení objektu zásad skupiny. Aby instalace tiskárny úspěšně proběhla, nesmí být tato zásada povolena. ověření přítomnosti objektu tiskárny v Active Directory Zaškrtnuté políčko Zobrazit v adresáři způsobí vytvoření objektu tiskárny v doménové databázi Active Directory (adresář). Nyní ověříme přítomnost tohoto objektu. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj Uživatelé a počítač služby Active Directory. Obrázek 14.5 Objekt sdílené tiskárny v adresáři Active Directory

Jak se o všem dozví uživatelé? Od uvedení systému Windows 2000 na trh se změnil přístup společnosti Microsoft k potřebám uživatelů v oblasti tisku. Nutno dodat, že se přiblížil praxi, na druhou stranu, bohužel, v době, kdy už si většina uživatelů zvykla na přístup upřednostňovaný v předchozích systémech. Například asistentka po vás mohla dříve vyžadovat instalaci „šestsetdesítkycéčka", protože věděla, že se jedná o tiskárnu s barevným tiskem a ona si chtěla vytisknout nějakou fotografii. Jednalo se o stav, kdy měli uživatelé až moc informací, neboť to, že tiskárna HP 610 C umožňuje tisknout barevně, nemusí patřit mezi základní znalosti všech uživatelu v organizaci. Většina se ovšem s takovým stavem bez potíží sžila, aniž jim to přišlo jako něco navíc. Rozhodně se však nejednalo o běžný stav. Systém Windows 2000 přišel s myšlenkou „zpátky na stromy", i když velmi skrytě. Uživatelé nemusí mít informace, která tiskárna má jaké parametry. Stačí jim při tisku definovat, že chtějí tisknout barevně na formát A3, a systém nalezne vhodnou tiskárnu automaticky. To je filozofie, která má k praxi mnohem blíže, než výše uvedený případ. Uveďme si příklad využití této myšlenky. 1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchod1). 2. Spusťte aplikaci Poznámkový blok a napište pár řádek textu. 3. V nabídce Soubor nyní klepněte na položku Tisk. Zobrazí se dialogové okno lišku S upozorněním, že nejprve je třeba nainstalovat tiskárnu. Klepněte na tlačítko Ne. 4. V dialogovém okně tisku klepněte na tlačítko Najít tiskárnu. Poznámka Tento krok odpovídá běžnému prostředí. Máme představu o tom, jak má vypadat výsledný tisk právě vytvořeného dokumentu a v souladu s touto představou si vyhledáme tiskárnu.

5. V dialogovém okně Najít Tiskárny klepněte na kartu Funkce. Soubor chceme vytisknout na formát A4, nemusí být barevně a měl by být vytištěn poměrně rychle. Další požadavky na tisk nemáme. 6. V poli Velikost papíru vyberte formát A4 a do pole Minimální rychlost zadejte hodnotu 8 (stran za minutu). Poté klepněte na tlačítko Najít. Ve velmi krátké době se ve spodní části dialogového okna zobrazí výsledky hledání nalezená tiskárna HP LaserJet 2100. Je to známkou toho, že tato tiskárna podporuje všechny zadané parametry a bude tak vhodná k našemu tisku. 7. Pravým tlačítkem myši klepněte na nalezenou tiskárnu a v místní nabídce poté klepněte na položku Připojit. 8. Klepnutím na tlačítko OK zavřete dialogové okno. Tiskárna HP LaserJet 2100 je nyní k dispozici stejně, jako kdybyste ji předtím nainstalovali. Pochopitelně, že v systému zůstane k dispozici i po vytisknutí tohoto dokumentu. Uživatel si tak našel tiskárnu pro své aktuální potřeby. Pokud ji nyní k tisku opravdu použije, měl by ještě vědět, kam si má pro vytisknutý dokument dojít. Pro tyto účely existuje ve vlastnostech tiskárny pole Umístění, které je vhodné vyplnit. V opačném případě budete na chodbě potkávat dezorientované uživatele.

Vyplnění pole umístění

Pole Umístění je možné vyplnit během instalace tiskárny nebo kdykoli později. Systémové je samozřejmě vyplnění již během instalace, aby bylo ihned po sdílení tiskárny vše funkční. Zároveň je nutné definovat strategii pro vyplňování, například v následující podobě: Sídlo/Město/Budova/Patro/Místnost (například Centrala/Praha/3B/4/4l2), kde Sídlo odpovídá takzvané Síti domény Active Directory (více informací o pojmu Síť naleznete v kapitole 27), což je v praxi každá pobočka organizace s řadičem domény.


152

Poznámka Název Sídla je jednou z mála věcí, ve které nedoporučuji používat diakritiku.

Protože nemáme atribut Umístění ještě vyplněn, je třeba to urychleně provést. 1. Přihlaste se k počítači SRVR001 jako správci. 2. V Nabídce Start klepněte na položku Tiskárny a faxy. Otevře se okno se stejným názvem. 3. Pravým tlačítkem myši klepněte na tiskárnu HP LaserJet 2100 a poté v místní nabídce klepněte na položku Vlastnosti. Otevře se dialogové okno HP Laserjot2100 - vlastnosti. 4. Do pole Umístění zadejte řetězec s umístěním tiskárny (například Centrala/Praha/3B/4/4l2). 5. Klepněte na tlačítko OK. Pokud by uživatel vyhledal tiskárnu pro tisk teprve nyní, viděl by již v dialogovém okně Najít Tiskárny její umístění. To je pochopitelně zajímavé v případě, pokud dojde k vyhledání více tiskáren. Uživatel si tak může vybrat tu, která je k jeho pracovnímu místu nejblíže. A pokud potřebuje tisknout nějakou specialitu, alespoň bude vědět, kam si pro výtisk dojít. Uživatel může vyhledávat tiskárny kdykoli - nejen z dialogového okna Tisk v otevřené aplikaci. Slouží k tomu v Nabídce Start položka Hledat.

Optimalizace hledání tiskáren Pokud má organizace jedinou pobočku (spíše tedy centrálu), je následující část bezpředmětná. Je totiž určena pro organizace s více pobočkami, ve kterých jsou k dispozici tiskárny. Je zřejmé, že pokud budou uživatelé sedět na pobočce, tiskárny v centrále je buou zajímat minimálně. Bylo by proto vhodné zajistit, aby se jim při vyhledávání zobraz i l y pouze tiskárny, ke kterým mají fyzický přístup, tedy tiskárny na pobočce. Takové chování lze zajistit pouze tím, že uživatel v dialogovém okně hledání tiskáren vyplní pole Umístění názvem pobočky (zadá například Pobockal) a dále specifikuje vlastnosti tiskárny, kterou hledá. Výsledkem bude vyhledání pouze těch tiskáren, jejichž atribut Umístění začíná řetězcem Pobockal. Přestože organizace s jedinou pobočkou nemusí toto řešení vůbec zajímat, doporučuji jej přesto nakonfigurovat, neboť v okamžiku, kdy přes všechna očekávání dojde k otevření další pobočky, bude vše z pohledu správce v oblasti tisku připraveno. Konfigurace takového chování není nijak složitá i přesto, že budeme pracovat s dosud nepoznanými nástroji. Výsledkem bude definice řetězce, který se bude automaticky předvyplňovat v poli Umístění vždy, když bude uživatel hledat tiskárny. Postup konfigurace pro zjednodušení hledání tiskáren

1. Přihlaste se k počítači SRVR001 jako správci. 2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na nástroj Sítě a služby Active Directory. 3. V konzole Sítě a služby Active Directory (standardně jsou vidět pouze sítě, služby jsou skryté) klepněte pravým tlačítkem myši na položky Vychozi—název—prvni—site a v místní nabídce zvolte příkaz Přejmenovat. Název této položky změňte na Centrála. Poznámka Tento krok je pouze zpřehledněním sítí pro správce. Nemá přímý vliv na zamýšlenou konfiguraci.

4. Pravým tlačítkem myši klepněte na položku Subnets a v místní nabídce poté klepněte na příkaz Nová podsíť. Zobrazí se dialogové okno, které vidíte na obrázku 14,6, 5, Dialogové okno vyplňte podle obrázku, klepněte na položku Centrála a poté klepněte na tlačítko OK. Vytvořili jste tak podsíť adres IP odpovídající síti s názvem Centrála. 6. Na nový objekt podsítě nyní klepněte pravým tlačítkem myši a v místní nabídce zvolte položku Vlastnosti. Obrázek 14.6 Dialogové okno pro definici podsítě


153

7. Na kartě Umístění zadejte do pole Umístění text Centrála (tento text se bude předvyplňovat uživatelům v dialogovém okně hledání tiskáren). Klepněte na tlačítko OK. 8. Zavřete konzolu Sítě a služby Active Directory. 9. Spusťte konzolu Uživatelé a počítače služby Active Directory. 10. Pravým tlačítkem myši klepněte na název domény (studny.local) a v místní nabídce poté zvolte položku Vlastnosti. Na kartě Zásady skupiny poklepejte na položku Default Domain Policy. 11. V konzole Editor objektů zásad skupiny přejděte do složky Konfigurace počítače\Šablony pro správu\Tiskárny. 12. V pravém podokně konzoly poklepejte na zásadu Nabízet umístění tiskárny při vyhledávání, poté zaškrtněte políčko Povoleno a klepnutím na tlačítko OK zavřete dialogové okno vlastností zásady. To je vše, co bylo třeba pro konfiguraci požadované funkčnosti udělat. Problém je ale ještě v tom, že tato konfigurace se musí aktualizovat v klientských počítačích. K tomu může dojít třemi způsoby: automaticky v intervalech 90 (+/- 30) minut, při restartování klientského počítače nebo ihned po spuštění příkazu GPUPDATE v klientském počítači. Ověření konfigurace

1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchod2). 2. V Nabídce Start klepněte na položku Hledat. V levém podokně dialogového okna Výsledky hledání klepněte na položku Tiskárny, počítače nebo osoby a poté na položku Tiskárnu v síti. 3. Zobrazí se dialogové okno Najít tiskárny s předvyplněným textem Centrála/ v poli Umístění. 4. Klepněte na tlačítko Najít. Měla by se zobrazit tiskárna HP DeskJet 2100 s uvedeným textem umístění.

Obrázek 14.7 Zásady skupiny týkající se publikování tiskáren

Pokud by naše organizace měla více poboček, měla by jistě i více podsítí. Každá podsíť by měla definováno své umístění a uživatelé v jednotlivých pobočkách by tak měli před-Vyplněný text v poli Umístění podle pobočky, ve které by zrovna seděli.

Hledání tiskáren bude funkční, pokud... Vše, co jsme si dosud v hledání tiskáren nakonfigurovali, je z pohledu správy a pohodlí Uživatelů obrovsky zajímavá věc. Musíme ale dát pozor na to, abychom vše udrželi funkční Proto je dobré vědět, co všechno může mít vliv na nefunkčnost předvyplnění pole Umístění. Uživatelům se při hledání zobrazí pouze následující tiskárny: ♦ Které jsou sdílené Tiskárna musí být sdílená. Například tiskárna HP DeskJet MOC v naší síti sdílena není, a není možné ji tak vyhledat. ♦ Ke kterým mají uživatelé oprávnění Tisk Standardně má oprávnění Tisk skupina Everyone, takže se tiskárna zobrazí všem. Pokud však tuto skupinu nahradite jinou, užší skupinou, ostatním uživatelům se tiskárnu nepodaří vyhledat. ♦ Které jsou publikované v doméně Active Directory Pokud má tiskový server systém Windows 2000, Windows XP Professional nebo Windows Server 2003, je publikování tiskáren automatické. Pokud je tiskovým serverem počítač se systémem Windows NT 4.0, je nutné tiskárny publikovat v doméně Active Direktory ručně. Kde mohou být skryté potenciální potíže? Pokud například vypnete počítač, který je pro danou tiskárnu tiskovým serverem, dojde po krátké době k vyřazení tiskárny z adresáře (když po nějakou dobu počítač neodpovídá na kontaktní žádosti řadiče domény, řadič objekt tiskárny vyřadí). Tomuto chování lze zabránit konfigurací zásady Povolit vyřazování publikovaných tiskáren na Zakázáno. Zásadu najdete ve stejné části stromu zásad skupiny jako zásady týkající se hledání tiskáren, které jsme konfigurovali dříve. Poznámka Toto řešení je vhodné pro prostředí s více než jedním řadičem domény. Pokud máme jediný řadič domény, který vypneme, je


154

úplně jedno, zda zůstává tiskárna publikována či nikoli, když stejně není koho se dotázat.

V části Konfigurace počítače\Šablony pro správu\Tiskárny objektu zásad skupiny jsou ještě další zajímavá nastavení. Uveďme si nejdůležitější z nich. Povolit publikování tiskáren Pokud bude tato zásada zakázaná, zmizí z karty Sdílení dialogového okna vlastností tiskárny políčko Zobrazit v adresáři a žádnou tiskárnu tak nebude možné publikovat. Toto nastavení jde proti všemu, o čem byla až dosud řeč. Neuvádím jej tedy proto, abyste jej konfigurovali, ale abyste věděli, kde hledat řešení případných potíží. Jestliže se odinstaluje z tiskového serveru tiskárna, která byla publikovaná v adresáři Active Directory, její objekt se z adresáře odstraní. Jestliže je však tiskové zařízení z nějakého důvodu nedostupné, neodstraní se ihned, ale postup je následující. Na každém řadiči domény se jednou za 8 hodin spustí čisticí služba, která ověřuje dostupnost publikovaných tiskáren. Jestliže tento proces zjistí 3x za sebou, že tiskárna neodpovídá, vyřadí ji z adresáře. Následující zásady mohou tento proces upravit. Interval vyřazování obsahu adresáře Výchozí hodnota je 8 hodin, zde je možné ji upravit (pokud zásadu povolíte). Opakování vyřazení obsahu adresáře Výchozí hodnotou jsou 2 opakování, zde můžete jejich počet upravit (v rozmezí Žádné až 6 opakování).

Další možnosti instalace tiskáren Jen málo uživatelů ví, že sdílené tiskárny v síti, na které mají právo tisknout, si mohou kdykoli nainstalovat do svého počítače a nemusí přitom být žádnými správci. Instalace tiskárny probíhá v takovém případě pomocí průvodce podobně, jako při instalaci tiskárny na tiskový server. Jaký je v takovém případě správný postup? 1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchodí). 2. V Nabídce Start klepněte na položku Tiskárny a faxy a v pravé části okna se stejným názvem klepněte na příkaz Přidat tiskárnu. Spustí se známý Průvodce přidáním tiskárny. Klepněte na tlačítko Další. 3. V dialogovém okně Místní nebo síťová tiskárna si všimněte, že první položka (Místní tiskárna) není k dispozici (protože uživatel Obchodí není správcem, nemůže instalovat místní tiskárny do počítače). Klepněte na tlačítko Další. 4. Pokud máte jistotu, že tiskárna, kterou chcete nainstalovat, je publikovaná v adresáři Active Directory, ponechte v dialogovém okně Určete tiskárnu ponechané zaškrtnuté první políčko. Pokud tuto jistotu nemáte, zaškrtněte políčko Připojitk této tiskárně. V obou případech poté klepněte na tlačítko Další. Pokud jste zvolili vyhledání tiskárny v adresáři, musíte projít jejím vyhledáním (znáte z předchozích odstavců). Pokud jste zvolili druhou variantu, musíte nyní vědět, jakou tiskárnu chcete připojit a který počítač je tiskovým serverem. V dialogovém okně Vyhledat tiskárnu budou totiž zobrazeny všechny počítače, které slouží jako tiskové servery pro tiskárny, na něž máte jako uživatel Obchod1oprávněni Tisk. Poté klepněte na tlačítko Další. 6. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. Tento postup instalace (s využitím druhé možnosti, nikoli vyhledání tiskárny v adresáři) je typickou ukázkou staré školy. Jako uživatelé musíte znát až moc informací z oblasti správy (i když pro správce triviálních), abyste tiskárnu nainstalovali. Tento postup zde uvádím zejména proto, abych varoval před následujícím jednáním. Existuje ještě dost správců, kteří si myslí, že označení Síťová tiskárna určuje tiskárnu, která je připojena přímo do sítě (pomocí klasického kabelu UTP či STP), tedy nikoli pomocí například paralelního kabelu k počítači. Bohužel musím dodat, že informace v systémech Windows je mohou v této myšlence ještě utvrzovat. OMYL!!! Z pohledu operačního systému je síťovou tiskárnou taková tiskárna, která je nainstalovaná místně k některému počítači (tiskovému serveru) a je sdílena. Je jedno, zda je k počítači připojena pomocí paralelního kabelu nebo je připojena přímo do sítě. Cíl je jediný - takovou tiskárnu je nutno do klientského počítače instalovat vždy jako síťovou tiskárnu. Pokud ji totiž správce nainstaluje jako místní (běžný uživatel to nemá povoleno - viz po-stup výše), vytváří (možná nevědomky) z daného počítače tiskový server. Co to v praxi znamená? Na vysvětlení předpokládejme, že by správce takto nainstaloval tiskárnu HP LaserJet 2100 do počítače PC001. Když bude uživatel přihlášený k počítači PC001 tisknout, předá se tisková úloha do tiskové fronty počítače PC001. Tiskový procesor ji v tomto počítači místně zpracuje, tj. pro-vede transformaci tištěného souboru do jazyka tiskárny, a poté výsledný soubor odešle na port, na kterém je tiskárna nainstalovaná (v našem případě port TCP/IP). Zpracování tiskové úlohy znamená pro počítač PC001 extrémní vytížení, při kterém se téměř nedá vyvíjet další činnost (CPU je vytížen na 100 %). Pro uživatele se taková situace stává čím dál více neúnosnou. Pokud nainstaluje správce tiskárnu HP LaserJet 2100 správně jako síťovou (podobně jako uživatel v předchozím postupu), stává se součástí jeho profilu. Uživatel, který se přihlásí k počítači po něm, tedy tiskárnu mít k dispozici pochopitelně nebude. Z toho vyplývá, že každý uživatel si musí sdílené tiskárny nainstalovat sám. Jak poté probíhá tisk? Když začne uživatel tisknout, předá se tisková úloha tiskovému serveru (to platí obecně). Tiskovým serverem je ale v tomto případě počítač, který tiskárnu sdílí (tedy SRVR001). Soubor k tisku se tak posílá po síti ke zpracování tiskovému procesoru počítače SRVR001, který tiskovou úlohu převede do jazyka tiskárny a poté ji odešle na příslušný port. Celé vytížení je tak na serveru SRVR001, počítač PC001 žádné výrazné zvýšení zátěže nepocítí (vy jma objemu dat odesílanému síťovou kartou).

Co dělat, když je tisk pomalý? Při častém využívání tiskové infrastruktury se za nějaký čas vždy objeví potíže s rychlosti linku. V organizaci přibývají noví zaměstnanci, více se tiskne, tiskovým serverům muže přibýt i další funkce atd. Důvodů může být více, zato důsledek je vždy jeden


155

jediný nespokojenost uživatelů.

Více či méně tiskáren? Je lepší pořídit každému uživateli vlastní tiskárnu (jejíž cena bude nízká) nebo pořídit tiskárnu pro celá oddělení (s nepoměrně vyšší cenou, ale také vyšším výkonem)? Pokud se na tuto otázku podíváme systémovým pohledem, je jednoznačně lepším řešením koupit tiskárnu každému oddělení (v menších organizacích může stačit i jediná tiskárna). Porovnejte si tyto dvě možnosti z pohledu správy - jako správci byste museli instalovat tiskárnu u každého uživatele (proti jediné instalaci tiskárny na tiskový server), dále byste museli spravovat X tiskáren (proti jediné) a pokud byste chtěli tiskárny zpřístupnit ostatním uživatelům, museli byste to provádět X krát (oproti jedinému zásahu). Ačkoli může být jedna pořádná tiskárna mnohem dražší než X menších tiskáren pro každého uživatele, je dost pravděpodobné, že na druhém — systémovém řešení společnost ve výsledku ušetří. V praxi se pravděpodobně setkáte například se stavem, kdy existuje jedna „pořádná" tiskárna pro každé oddělení, ale cca 5 % pracovníků v daném oddělení má navíc svou vlast-ní tiskárnu. Pokud to okolnosti vyžadují, nic jiného zřejmě nevymyslíte (je například zbytečné kupovat velkou barevnou laserovou tiskárnu, když barevně potřebuje tisknout jediný uživatel jednou za měsíc). Pokud však neshledáte žádné podstatné důvody pro více menších tiskáren u uživatelů, začněte vyvíjet cílenou aktivitu k jejich postupnému odstranění. Budete mít méně práce a organizace na tom ještě ušetří. Když ale uživatele připravíte o tiskárny (a oni se jen tak nenechají), je nutné jim slíbit, že řešení, které jim nabízíte, pro ně bude výhodnější. O to více pak všechny strany bolí, pokud se to nepodaří, a nejhorší je asi stav, kdy se týden po „akci" daří a poté začne rychlost tisku pokulhávat. Situace, kdy uživatelům nevyhovuje rychlost tisku, se dají rozdělit na dva případy: ♦ Všichni uživatelé jsou nespokojeni, neboť rychlost tisku je opravdu mizerná. ♦ Celkově vládne mezi uživateli s rychlostí tisku spokojenost, jenom vedení je nespokojeno, neboť musí vždy čekat, až na jejich dokument dojde řada.

Když jsou nespokojeni všichni Nejužším místem tisku na větší tiskárny ve větších organizacích bývají většinou samotné tiskárny. Síťová infrastruktura i kapacita a další prostředky tiskových serverů jsou dostačující, problém je v tom, že tiskárna nemůže vzhledem k technologickému omezení tisknout více stránek za minutu. Ovladač tiskárny vám nepomůže a vy cítíte, že jedinou cestou bude zakoupení nové, výkonnější tiskárny. Už se vidíte u šéfa, který není situací zrovna pozitivně naladěn, jak jej přesvědčujete, aby „pustil" několik desítek tisíc na rychlejší a samozřejmě po všech stránkách lepší tiskárnu. Šéf je během vašeho vysvětlování kupodivu klidný a na konci vás požádá, abyste vymysleli nějaké levnější a přitom jednoduché řešení. Mám pro vás dobrou zprávu - takové řešení existuje.

Fondy tiskáren Pokud je problém s rychlostí tisku v samotné tiskárně, zřejmě nevymyslíte nic jiného než výměnu, nahrazení či přidání další tiskárny. Řešení nazvané v systémech Windows jako Fondy tiskáren (Printer pooling) je založeno na přidání další tiskárny. Aby se však dalo použít, je nutné přidat stejnou tiskárnu jako je ta stávající, nebo alespoň tiskárnu, která je schopna pracovat s ovladačem stávající tiskárny (u tiskáren od společnosti HP to obecně nebývá problém). Pokud již při nákupu první tiskárny víte, že řešení, jako jsou fondy tiskáren, existuje, mužete s ohledem na něj tiskárnu vybírat. V našem případě vyjdeme z další tiskárny HP LaserJet 2100. Jak to celé dopadne na straně uživatelů? Novou tiskárnu bude zřejmě nutné nainstaloval na tiskový server. Budou si ji poté muset instalovat uživatelé do svých počítačů? Nebude celé toto řešení spíše na obtíž? NEBUDE! Již od počátku se v síti naší organizace orientujeme na systémová řešení, kterým fondy tiskáren rozhodně jsou. Jak to tedy bude vypadat? Koupili jsme další tiskárnu HP LaserJet 2100. Nyní ji připojíme do sítě (pomocí kabelu UTP či STP). Co dále? 1. Přihlaste se k počítači SRVR001 jako správci. 2. Zobrazte okno Tiskárny a faxy a poté zobrazte dialogové okno vlastností tiskárny HP LaserJet 2100. 3. Klepněte na tlačítko Přidat port, označte položku Standard TCP/IP port a klepněte na tlačítko Nový port. Spustí se průvodce přidáním standardního portu tiskárny TCP/IP. Pokračujte klepnutím na tlačítko Další. Poznámka Následující kroky předpokládají, že jste přidělili nové tiskárně adresu IP (192.168.10.13) nebo že je v oboru DHCP vytvořena další rezervace.

4. V dialogovém okně Přidat port zadejte do pole Název či adresa IP tiskárny adresu IP 192.168.10.13 a klepněte na tlačítko Další. 5. V dialogovém okně Jsou vyžadovány dodatečně informace o portu vyberte zařízení Hewlett Packard JetDirect a poté klepněte na tlačítko Dokončit. 6. V dialogovém okně Porty tiskáren klepněte na tlačítko Zavřít. 7. V dialogovém okně vlastností tiskárny HP LaserJet 2100 na kartě Sdílení přibyl nový port 192.168.10.13. 8. Ve spodní části karty Sdílení zaškrtněte políčko Umožnit fondy tiskáren a poté zaškrtněte všechny porty, ke kterým je tiskárna připojena (192.168.10.12 a 192.168.10.13). 9. Klepnutím na tlačítko Zavřít zavřete dialogové okno vlastností tiskárny. Poznámka


156

Pokud není zaškrtnuté políčko Umožnit fondy tiskáren, lze zaškrtnout vždy právě Jeden port.

Jak je nyní vidět, na serveru došlo k minimální změně. Protože se nezměnila nainstalovaná tiskárna ani její sdílení, NEBUDE nutné u uživatelů cokoli měnit. Dokumenty uživatelů není budou odesílány na dvě různá tisková zařízení podle jejich aktuálního vytížení. Může se tak stát, že pokud jste odeslali k tisku dva dokumenty za sebou jeden budete mít na jedné tiskárně a další na druhé. V žádném případě se ale ne stane, aby se dokument rozdělil na dvě či více částí, které by byly „rozházeny" na obou tiskárnách. Obrázek 14.8 Povolené fondy tiskáren a zaškrtnuté všechny porty, ke kterým jsou připojena tisková zařízení

V organizaci jsou teď dvě tisková zařízení, ale v systému je nainstalovaná pouze jedna tiskárna. Vzhledem k tomu, že uživatelé vidí u této tiskárny její umístění, je nutné druhé tiskové zařízení umístit pokud možno ve stejné místnosti.

Když jsou nespokojeni „jenom" šéfové Pokud není spokojena pouze část pracovníků organizace, můžete situaci vyřešit ještě jednodušeji (bez nutnosti nakupovat další hardware). V principu půjde o to udělit nespokojené skupině vyšší prioritu tisku, to znamená nakonfigurovat stav, kdy každý dokument od člena „problémové" skupiny předběhne v tiskové frontě dokumenty všech ostatních uživatelů. I zde ale platí „něco za něco". Protože se jedná o řešení, které si nevymítí další finanční náklady, bude o trochu složitější jej nakonfigurovat a zároveň bude nutné provést i menší změnu v nainstalovaných tiskárnách u skupiny stěžovatelů. Poznámka Pokud chcete konfigurovat následující řešení, bude nutné zrušit fondy tiskáren. Zároveň můžete (ale nemusíte) zrušit také naposledy vytvořený port TCP/IP. Konfigurace prioritního tisku na serveru

1. Přihlaste se k počítači SRVR001 jako správci. 2. Vytvořte místní doménovou skupinu se zabezpečením s názvem D Tisk na HP IJ 2100 Priorita. Do této skupiny vložte globální skupiny nespokojených uživatelů. V Nabídce Start otevřete okno Tiskárny a faxy a nainstalujte další místní tiskárnu HP LaserJet 2100 na stejném portu jako je stávající tiskárna (opravdu budou nainstalované dvě tiskárny na stejném portu). Při instalaci nové tiskárny ponechte stávající ovladač a název tiskárny doplňte na HP LaserJet 2100 Priorita. 4. Tiskárnu sdílejte jako HP2100P. 5. Otevřete dialogové okno vlastností nové tiskárny a klepněte na kartu Zabezpečení. V seznamu řízení přístupu odeberte skupinu Everyone. Přidejte skupinu D Tisk na HP LJ 2100 Priorita a udělte jí oprávnění Tisk. Poté klepněte na kar tu Upřesnit a do pole Priorita zadejte hodnotu 10. Dialogové okno zavřete klepnutím na tlačítko OK. 6. Otevřete dialogové okno vlastností původní tiskárny a klepněte na kartu Zabezpečení. V seznamu řízení přístupu přidejte skupinu D Tisk na HP LJ 2100 Priorita a odepřete jí všechna oprávnění. Poté klepněte na tlačítko OK.


157

Obrázek 14.9 Seznam oprávnění přístupu a odepřená oprávnění skupině D Tisk na HP LJ 2100 Priorita

Konfigurace na straně serveru je dokončena, zbývá dokončit konfiguraci klientských počítaču Konfigurace klientů Každý stěžující si uživatel se po odhlášení a přihlášení k počítači (vzpomeňte na přístupový token) stane zprostředkovaně členem skupiny D Tisk na HP LJ 2100 Priorita. Tím pádem j i ž nebude moci tisknout na nainstalovanou sdílenou tiskárnu HP LaserJet 2100. Je třeba, aby ji uživatelé odstranili a provedli novou instalaci. Pokud zvolí možnost vyhledá ní tiskárny v adresáři, zobrazí se jim pouze tiskárna HP LaserJet 2100 Priorita, neboť k jiné tiskárně nemají oprávnění.

Závěr Pokud potřebujete nasadit tiskové řešení, je nejrozumnější volbou pořídit výkonnou ti s k á r n u s připojením přímo do sítě pomocí kabelu UTP/STP. Dále je třeba vybral tiskový server, na který se tato tiskárna nainstaluje jako místní. Instalace do

ostatních počítačů je již věcí konkrétních uživatelů, neboť instalace síťových sdílených tiskáren je součástí profilu uživatele. Pokud v takovém prostředí uživatel tiskne, soubor se přenáší po síti v nezměněné podobě na tiskový server, který jej zpracuje a odešle na tiskárnu. Tiskový server tak odpovídá za zpracování všech tiskových úloh a počítače uživatelů nejsou zbytečně zatěžované. Tiskárny, které jsou v systému Windows 2000 a vyšším sdíleny, se automaticky publikují do adresáře Active Directory. Uživatelé tak mají možnost najít tiskárnu odpovídající aktuálním potřebám tisku podle atributů (barevnost, rozlišení, rychlost a další)- Při hledání se jim zároveň zobrazí pouze ty tiskárny, ke kterým mají uživatelé oprávnění Tisk a které jsou jim nejblíže (zajištěno pomocí konfigurace Zásad skupiny). Standardně má toto oprávnění skupina Everyone. Pokud máte potíže s rychlostí tisku, máte k dispozici dvě systémová řešení. Pokud si stěžují všichni uživatelé, bude pravděpodobně problém s rychlostí samotné tiskárny. Pro tento případ má systém Windows řešení s využitím funkce Fondy tiskáren. Jestliže si na tisk stěžuje pouze jedna skupina uživatelů, můžete pro ni nainstalovat a sdílet další tiskárnu (tedy další logickou reprezentaci stejného fyzického tiskového zařízení), které se udělí vyšší priorita tisku a upraví seznam řízení přístupu. Počítači, který provádí zpracování tiskových úloh, se říká tiskový server. Fronta tiskových úloh je uložena na jeho místním disku. Po vytištění se tisková úloha z disku automaticky odstraní. Máte-li možnost, změňte umístění tiskové fronty tak, aby byla uložena na jiném fyzickém disku, než je operační systém. Další nastavení tiskového serveru, která uživatelé ocení, jsou upozornění na dokončení tisku. Protože jsou ve výchozím nastavení vypnuta, žije spousta uživatelů i správců v iluzi, že systém Windows nic podobného neumí. Umí, a to velmi dobře!

Stav sítě V síti přibyly dvě tiskárny (černobílá laserová a barevná inkoustová). Obě jsou nainstalované na tiskovém serveru, laserová je sdílena pro potřeby uživatelů. Ti ji mají nainstalovánu v svých počítačích (přesněji ve svých profilech). Na serveru DHCP přibyla nejméně jedna rezervace adresy IP pro potřeby laserové tiskárny, která je pomocí zařízení JetDirect připojena přímo do sítě. Pro případ malé rychlosti tisku jsou uvedeny dva způsoby řešení, každý pro jinou situaci. Žádné z těchto řešení není aktuálně v síti nakonfigurované.


158

Musíme jako správci neustále sedět u serveru? Jako správci síťové infrastruktury, tedy bez diskuse jedni z nedůležitějších lidí v organizaci, máte jistě k dispozici velké a prostorné pracovní místo. Kam jinam byste jinak chtěli dočasně skládat ty tuny disků CD-ROM a DVD, které vám každý den přijdou od různých dodavatelů a partneru A tak zatímco si mimo jiné užíváte svého pracovního mís-ta. chudáci servery stojí v nějaké malé místnosti, kde se člověk jen těžko otočí, navíc jsou pravděpodobně zamčeny v racku a ještě k tomu je zamčená celá serverovna. A tímto nekončí. O každém vstupu do místnosti se servery je třeba udělat záznam v návštěvní knize serverovny, k otevření racku si musíte vždy vyzvednout z trezoru klíč a navíc - v serverovně je v souladu s dobrými pracovními podmínkami serverů neuvěřitelná a pečlivě udržovaná zima. Není lepší se vzdát zbytečných návštěv tohoto typu a správu serverů provádět vzdáleně? Existují samozřejmě případy, kdy do serverovny prostě budete muset jít. Ať je to upgrade hardwaru v serverech, výměna zálohovací pásky nebo prostě instalace nového produktu, která se musí provést místně. Ve všech ostatních případech je lepší se podobných návštěv vyvarovat.

Správa pomocí standardních nástrojů z pracovní stanice Prostředí počítačové sítě je možné spravovat z pracovní stanice Nástroje, pomocí kterých se provádí správa jednotlivých služeb či domény Active Directory přímo na serveru, mohou být také k dispozici v klientském počítači a operačním systémem Windows XP Professional (nebo Windows 2000 Professional). V této části si ukážeme postup instalace nástrojů a styl práce s nimi. Nejdříve

ale několik důležitých informací k uživatelským účtům pro správu prostředí.

Účty pro správu prostředí Běžný uživatelský účet V bezpečné síti by mělo platit, že správce bude mít pro svou potřebu dva účty, z nichž ale ani jeden nebude účtem Administrátor. Jeden z účtů by měl být běžným uživatelským účtem, tedy stejným typem účtu, jako mají uživatelé. Ten by měl být tím hlavním pro běžnou práci správce. I správce je jedním z uživatelů v síti a používá pro svou práci běžné aplikace, jako je klient elektronické pošty či prohlížeč Internetu. To je práce, ke které jistě nepotřebuje účet správce. Dokonce to ani není žádoucí. Proč? Představte si, že jste přihlášeni pod účtem správce domény a máte spuštěnu aplikaci Internet Explorer. Zvědavost (nebo pracovní povinnosti?) vás během procházení zavedou na stránku, která obsahuje pro vás velmi zajímavé informace, ale neznáte přesně její původ. Vzhledem k informacím jde druhá část dojmů trochu stranou. Pozorně si prohlížíte obsah stránky, když vtom se před vámi zobrazí dialogové okno nabízející stažení prvku ActiveX, pomocí které bude získávání informací z této stránky snadnější (prvek například může podle popisu přidat do nabídky aplikace Internet Explorer některé položky). Před vámi stojí rozhodnutí stáhnut či odmítnout? Obrázek 15.1 Ukázka stažení prvku ActiveX

Podle čeho se budete rozhodovat? Je třeba stále myslet na to, že jde o stažení spustitelného souboru, který se v místním počítači spustí ihned po stažení. Jedná se tedy o soubor EXE a ten může také počítač poškodit. Co je pro vás zárukou, že prvek ActiveX, jehož možnost stažení máte stále před očima, je bezpečný a bude provádět přesně to, co O sobě říká? Na tuto otázku nebyla ve světě Internetu dlouho známá jasná odpověď a přiznejme si, že není ani dodnes. Nakonec se to vyřešilo digitálním podpisem. Filozofie je jednoduchá - ať prvek ActiveX jeho tvůrce digitálně podepíše. Digitální podpis je jednoznačnou identifikací konkrétní osoby, která je u prvku uvedena, a jejíž certifikát si můžete prohlédnout. Aby bylo vše věrohodné, je třeba si certifikát nechat vystavit všeobecně důvěryhodným Certifikačním úřadem (například společností Verisign,


159

v ČR I. CA). Takže se na dialogu stažení (a spuštění) prvku ActiveX dozvíte, že jej digitálně podepsal Anthony X. Devil, jehož totožnost ověřila společnost Verisign. Nevím, zda toho člověka znáte. Já tedy ne a je mi celkem jedno, kdo a kdy jej ověřil. Je sice pravda, že společnosti Verisign můžete důvěřovat, že ověření osob skutečně provádí, ale i tak digitální podpis neříká nic o tom, zda je věrohodný také popis funkcí prvku ActiveX. Může se jednat o dlouhý „vnitřní" proces rozhodnutí každého uživatele. Čím zkušenější správce, tím se rozhodnutí kloní spíše do roviny NE, čím nezkušenější uživatel, tím je jasnější ANO (to nám už několikrát ukázala spousta uživatelů telefonáty ze svého počítače do exotických krajin, o nichž „údajně" nic nevěděli - koneckonců to bylo jediné klepnutí myší, které rozhodlo). A nyní si představte, že se jako přihlášení správci domény rozhodnete z nějakého důvodu pro ANO a prvek ActiveX se tedy stáhne, spustí a začíná - honička! Vše, co bylo kde napsáno o jeho funkcích, byla prostá lež. Tento prvek byl napsán s jasným úmyslem po-škodit, co se dá, a vy jste mu pomocí účtu doménového správce velmi jednoduše uvoln i l i jinak tak obtížnou cestu. Během pár minut zbudou z vaší domény trosky a vy se můž e t e začít těšit na krásnou několikadenní práci s obnovou do původního stavu (pokud máte samozřejmě zálohu). Co kdybyste byli v okamžiku stažení prvku ActiveX přihlášení jako běžní uživatelé? Pro vás by to v danou chvíli nebylo žádné omezení, pro prvek, který chce škodit, by to byla hotová tragédie. Maximálně by poškodil část systému - a to právě tu, kterou může po-škodit i běžný uživatel - tedy nic zásadního. Oproti předchozímu případu je to docela rozdíl, co říkáte? Tolik tedy odpověď na otázku, proč by měli mít správci běžný uživatelský účet.

Učet pro správu prostředí Druhým z účtů by měl být účet s oprávněními správce domény, který ale nebude vestavěný účtem Administrátor (nebo přejmenovaným účtem Administrátor). Tento účet jednoznačně určuje správce, který v síti provedl konkrétní kroky. Procesu sledování aktivity Správců nebo uživatelů se říká auditování a u každé zaznamenané události je vždy uveden účet, který událost provedl. Představte si stav, kdy existuje více správců doménového prostředí se stejnými oprávněními právy. Protože mají všichni stejná práva, dojde mezi nimi k dohodě, že budou pro úlohy správy sdílet účet Administrátor. Jednoho dne vám u ranní kávy zazvoní telefon. Na druhé straně je rozhořčený uživatel, který se nemůže přihlásit do systému. Více podrobností z něj nemůžete dostat; na to, zda náhodou při zadávání hesla nestiskl klávesu Caps lock se ho téměř bojíte zeptat (vždyť systém Windows XP Professional na to upozorní sám). Rozhodnete se tedy podíval do seznam doménových účtů, zda účet není například zamknut či zakázán. Ať hledáte, j a k h l e d á t e , účet nemůžete najít. Uživateli se omluvíte s tím, že problém není na jeho straně a že řešení bude chvíli trvat. Protože máte podezření na to, že účet onoho uživatele někdo odstranil, začnete pátrat po stopách tohoto jednání v protokolu zabezpečení na řadiči domény. Výchozí konfigurace systému Windows Server 2003 zde potvrzuje současnou strategii společnosti Microsoft Secure by Default - to znamená ve výchozím stavu již vše zabezpečeno. V systému Windows Server 2003 tak máte jistotu, že stopy po tomto jednání naleznete, zatímco v systému Windows 2000 Server byste museli nejprve auditování pozapínat (tehdy ještě strategie Secure by Default neexistovala). Co naleznete? Maximálně informaci o tom, že účet onoho uživatele byl odstraněn ten a ten den v danou hodinu a že jej odstranil Administrátor (v našem případě spíše Ton!&check). Počkáte tedy na kolegy a zeptáte se jich přímo. Protože jde o docela nepříjemnou záležitost, můžete očekávat, že se nikdo nepřizná. Pokud byste každý pracovali se svým vlastním účtem, jak by situace dopadla? V protokolu zabezpečení byste nalezli informaci o tom, který účet se o odstranění uživatele z domény postaral a jakákoli další diskuse by byla zbytečná. Tolik odpověď na otázku, proč by správci měli mít svůj vlastní účet. Co účet Administrátor? Účet Administrátor zůstane vždy tím nejdůležitějším účtem pro správu celého prostředí. Správu prostředí lze velmi obecně rozdělit na tvorbu prostředí (případně změny prostředí) a na údržbu prostředí. Účet Administrátor zůstane jediným účtem důležitým pro tvorbu a změny prostředí. Jeho heslo by mělo být zapečetěno do obálky a uložené v trezoru. Co je však nejdůležitější - tento účet by se vůbec neměl používat k běžné údržbě prostředí.

Vytvoření účtů Dosud jsme při běžných úlohách správy používali účet Ton!&check. Tomu je od této chvíle konec (až na výjimky), ale ještě předtím musíme pomocí něj vytvořit vlastní účet pro správu prostředí. Vytvoření účtu pro správu prostředí

1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory a v kontejneru Users vytvořte účet pro správu prostředí. Přihlašovací jméno zadejte ITSpraval, heslo například Cajícheck. Ostatní parametry nastavte podle potřeby 3. Vytvořený účet vložte do skupin Domain Admins a Group Policy Creator Owners.

Poznámka Pokud je v organizaci více správců, vytvořte nyní účty také pro ostatní správce. Vytvoření účtu pro běžnou práci správců


160

Účet pro běžnou práci správce jsme již vytvořili dříve - jedná se o účet IT1. Pokud potřebujete běžné účty pro další správce, vytvořte je právě nyní. Poté je nezapomeňte vložit do skupin zajišťujících přístup k dokumentům do firemní knihovny (G IT běžní, G IT zkušení). Účet Administrátor

Nyní změňte heslo účtu Ton!&check, vložte je do obálky, tu zapečeťte a uzamkněte do trezoru.

Nástroje pro správu Které nástroje pro správu jsme dosud ze všech nástrojů využili? Jmenujme například nástroje Uživatelé a počítače služby Active Directory, DNS, DHCP, Sítě a služby Active Di rectory, Správa počítače či prohlížeč událostí. Podíváme-li se na obsah položky Nástroje pro správu v nabídce Start systému Windows XP Professional, zjistíme, že z uvedených příkladů je zde k dispozici pouze nástroj Prohlížeč událostí. Pro možnosti správy bychom nyní potřebovali přemístit nástroje pro správu ze serveru na pracovní stanici. Naštěstí se jedná o docela jednoduchý proces. Instalace nástrojů pro správu

2. 3. 4. 5.

Přihlaste se ke klientskému počítači jako správce (můžete využít nový účet). Do klientského počítače vložte instalační disk CD-ROM se systémem Windows Server 2003. V Nabídce Start klepněte na příkaz Spustit a poté klepněte na tlačítko Procházet. Přejděte do složky D:\i386, kde D: je písmeno jednotky CD-ROM. V poli Soubory typu vyberte položku Všechny soubory (*.*) a mezi soubory ve složce i386 vyhledejte a poklepejte na soubor adminpak (pokud máte zobrazené přípony, potom adminpak.msi). 6. Klepnutím na tlačítko OK spusťte instalaci nástrojů pro správu systému. Po spuštění instalace se zobrazí správa o nutnosti aktualizace operačního systému (viz obrázek 15.2). Obrázek 15.2 Zpráva o nutnosti aktualizovat operační systém

Nejjednodušším a systémovým řešením by zřejmě bylo nainstalovat v tuto chvíli aktualizaci Service Pack 1. Protože však tuto aktualizaci budeme instalovat v kapitole 20, „Instalujeme aktualizace Service Pack", vyřešíme stávající potíže instalaci aktualizace QFE Q329357. Tu lze stáhnout z webové stránky společnosti Micro soft na adrese http://microsoft.com/downloads/details.aspx?FamilyId=6E5DA79C-SC38-4445-B039-E3F3AA5E5B25. Pozor na správnou jazykovou verzi! Soubor Adminpak.msi v jazykové verzi EN a aktualizace QFE 329357 v jazykových verzích CZ i EN naleznete na přiloženém disku CD-ROM. Vzhledem k tomu, že jste ke klientskému počítači přihlášeni stále jako správci, můžete stažený soubor EXE v počítači ihned spustit. Instalací opravy vás provede průvodce. Systém po instalaci opravy nevyžaduje restartování. Nyní spusťte instalaci nástrojů pro správu znovu. 7. Spustí se Průvodce instalací produktu Sada nástrojů pro správu systému Windows Server 2003- Pokračujte klepnutím na tlačítko Další. 8. Instalace by nyní měla proběhnout bez jakýchkoli zásahů. Na jejím konci klepněte na tlačítko Dokončit. Ověření instalace nástrojů pro správu

1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na nástroj DHCP. Spustí se prázdná konzola DHCP. 2. V levém podokně konzoly klepněte pravým tlačítkem myši na položku DHCP a v místní nabídce poté vyberte příkaz Přidat server. Zobrazí se dialogové okno Přidat server, ve kterém je uveden server srvrOOl.studny.local. 3. Zaškrtněte políčko Tento ověřený server a poté klepněte na tlačítko OK. 4. V konzole si poté projděte konfiguraci serveru DHCP, zda odpovídá konfiguraci provedené přímo na serveru SRVR001.

Nekompatibilita nástrojů pro správu Pro instalaci a používání nástrojů pro správu platí následující pravidla: ♦ Do systému Windows XP Professional lze instalovat pouze nástroje Adminpak.msi z instalačního disku CD-ROM se systémem Windows Server 2003 (jakékoli vydání).


161

♦ Pomocí nástrojů v systému Windows XP Professional lze spravovat server Windows Server 2003 i Windows 2000 Server (jakékoli vydání). ♦ Do systému Windows 2000 Professional lze instalovat pouze nástroje Adminpak.msi z instalačního disku CD-ROM se systémem Windows 2000 Server (jakékoli vydání). ♦ Pomocí nástrojů v systému Windows 2000 Professional lze spravovat systém Windows 2000 Server i Windows Server 2003 (jakékoli vydání). ♦ Do české jazykové verze systému Windows XP Professional i Windows 2000 je možné instalovat i anglické verze nástrojů pro správu. Obecně to však nelze doporučit, neboť nástroje, které v systému byly, zůstanou v původní řeči, zatímco nové nástroje jsou v angličtině. Prostředí je potom nepřehledné.

Práce s nástroji pro správu Na úvod jedna špatná zpráva. Ne všechny nástroje, které jsou nutné ke správě prostředí, jsou po instalaci balíčku adminpak.msi k dispozici v položce Nástroje pro správu v Nabídce Start. Nyní ta dobrá - po chvilce pátrání je v systému naleznete. A právě tomu pátrání se budeme nyní věnovat podrobněji. Poznámka Nerozčiluje vás po instalaci nástrojů z balíčku adminpak.msi v nabídce Start neustálé okno s informací, že byly nainstalovány nové programy? Pokud ano, klepněte pravým tlačítkem myši na tlačítko Start a v místní nabídce vyberte položku Vlastnosti. Na kartě Nabídka Start dialogového okna Vlastnosti Hlavního panelu a nabídky Start klepněte vedle zaškrtnuté položky Nabídka Start na tlačítko Vlastní a poté na kartě Upřesnit zrušte zaškrtnutí položky Zvýraznit nově nainstalované programy. Poté všechna okna zavřete klepnutím na tlačítko OK.

Do Nabídky Start umístili vývojáři společnosti Microsoft ty nejpoužívanější nástroje pro správu. U mnoha správců lze dokonce říci, že za celou svou éru správy domény se systémem Windows Server 2003 jiné nástroje opravdu potřebovat nebudou. Existují však Velmi zajímavé nástroje, které ale musíme nejdříve najít na jiném místě systému. Tyto na stroje se nepoužívají moc často, rozhodně ne k běžné správě prostředí. Proto jsou ukryty mimo Nabídku Start, aby zbytečně nezabíraly místo jiným, pro běžnou správu užitečnější Konzola MMC (Microsoft Management Console)

Konzola MMC tvoří základ každého nástroje pro správu systému Windows 2000 a vyšších. To poznáte velmi jednoduše - když si vedle sebe otevřete více nástrojů pro správu, zjistíte, že se v mnoha věcech podobají - mají podobný vzhled, nabídky a zejména styl práce. Pryč jsou časy, kdy nástroj pro správu uživatelských účtů vypadal úplně jinak než nástroj pro správu účtů počítačů nebo služeb. Cílem této strategie je samozřejmě snížení nákladu na výpočetní techniku - jakmile jednou pochopíte filozofii práce s konzolou MMC, pochopili jste práci s nástroji pro správu. Velmi zajímavým nástrojem, který se používá při zabezpečení či sledování zabezpečení počítače, je nástroj Šablony zabezpečení. Je jedním z těch, které nenajdete v Nabídce Start systému Windows XP Professional. Jak jej tedy spustit? 1. Přihlaste se k počítači PC001 jako správce (pro běžnou správu již zapomeňte na účet Ton!&check, ale používejte účet ITSprával). 2. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz mmc. Poté klepněte na tlačítko OK. Spustí se prázdná konzola MMC. Obě okna zvětšete na celou obrazovku. 3. V nabídce Soubor konzoly klepněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno se stejným názvem reprezentující obsah levého podokna konzoly MMC. 4. Klepněte na tlačítko Přidat. Otevře se dialogové okno Přidat samostatný modul snap-in, které obsahuje všechny nástroje pro správu počítače. Najdete zde jednak všechny nástroje z Nabídky Start a zároveň ty „skryté". 5. Klepněte na položku Šablony zabezpečení a klepnutím na tlačítko Přidat přidejte tento nástroj do konzoly MMC. Poté klepněte na tlačítko Zavřít. 6. Klepnutím na tlačítko OK zavřete dialogové okno Přidat nebo odebrat modul snap-in. Prázdná konzola MMC neslouží jen k možnosti otevření nástrojů, které nejsou k dispozici v Nabídce Start. Je velice praktickým pomocníkem pro vytváření vlastních konzol nutných po správu prostředí. Každý správce má svůj vlastní styl a postupy pro správu serverů. Jestliže před vámi sloji úkol sledovat stav služeb, událostí a místa na disku na více počítačích, máte několik možností (protože nemáme více serverů, na kterých se tyto úkoly provádějí, budeme v následujícím příkladu sledovat server SRVR001 a klientský počítač PC001). Pokud pomineme obcházení jednotlivých počítačů a vezmeme v úvahu, že v počítači PC001 máme nyní k dispozici veškeré nástroje pro správu, lze postupovat následujícími zpusoby:

♦ Ověření služeb v počítači PC001, ověření událostí v počítači PC001, kontrola dis ku v počítači PC001 a opakování celého postupu pro počítač SRVR001. Ověření všeho nejprve v počítači PC001 a poté opakování postupu pro počítač SRVR001. Těžko některý z postupů doporučit. Výsledky budou stejné, čas strávený kontrolou také. Opravdu jde spíše o styl každého správce. Představa, že u každého z těchto modulů budete muset postupně otevírat a zavírat konkrétní konzoly, jistě není nijak zajímavá, ba právě naopak. Pojďme se tedy podívat, jak si práci co nejvíce ulehčit. První případ


162

1. Přihlaste se k počítači PC001 jako správce (ITSprával). 2. Spusťte prázdnou konzolu MMC. 3. Přidejte do ní modul snap-in Služby. Během přidávání modulu budete muset určit, zda chcete sledovat služby v místním či jiném počítači. Ponechte zaškrtnuté políčko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a klepněte na tlačítko Dokončit. Obrázek 15.3 Výběr spravovaného počítače

Obrázek 15.4 Konzola vytvořená pro konkrétní účely správy

Nyní celý postup opakujte s tím rozdílem, že u každého přidávaného nástroje do konzoly zadáte, že chcete spravovat počítač SRVR001. Výslednou konzolu uložte pod názvem Správa SRVR001. Výsledné konzoly si samozřejmě můžete uložit do jakékoli složky (například na pracovní plochu) tak, jak to pro vás bude nejpohodlnější. Druhý případ

2. 3. 4. 5. 6. 7. 8. 9.

Přihlaste se k počítači PC001 jako správce (ITSprával). Spusťte prázdnou konzolu MMC. Přidejte do ní modul snap-in Služby. Během přidávání modulu ponechte zaškrtnuté políčko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a klepněte na tlačítko Dokončit. Do konzoly znovu přidejte modul snap-in Služby. Nyní určete, že se jedná o počítač SRVR001. Zavřete všechna dialogová okna a výslednou konzolu uložte například jako Služby PC001, SRVR001. V dialogovém okně Přidat samostatný modul snap-in poté klepněte na položku Prohlížeč událostí a dále postupujte obdobně jako u nástroje Služby. Nakonec přidejte nástroj Správa disků, taktéž pro místní počítač. Nově vytvořená konzola by měla vypadat podobně jako na obrázku 15.4. A nyní to nejlepší. V nabídce Soubor konzoly klepněte na příkaz Uložit jako. Do pole Název ouboru zadejte název konzoly (například Správa PC001) a klepněte na tlačítko Uložit.

Systém ukládá vlastní konzoly standardně do složky Nástroje pro správu, tedy do umístění, které obsahuje většinu nástrojů. Ale pozor! Novou konzolu naleznete v položce Nástroje pro správu umístěné v části Všechny programy Nabídky Start, nikoli v položce Nástroje pro správu, která je přímo k dispozici v pravé části nabídky Start. Rozdíl je v tom, že Nástroje pro správu v položce Všechny programy obsahují to samé, co položka Nástroje pro správu, která je přímo v Nabídce Start, plus uživatelsky vytvořené nástroje.


163

Obrázek 15.5 Konzola pro správu služeb dvou počítačů

C e l ý p o s t u p o p a k u j t e p ro n á s t ro j e P ro hl í žeč událo stí a S p r á v a d i s ků. V z n ik n o u l a k c e l k e m tř i n o v é k o n z o l y .

Poznámka Pozor na vytváření podobných konzol pro správu služeb ve více počítačích. Pokud například spustíte konzolu obsahující nástroj Služby pro 5 počítačů a klepnete na položku týkající se momentálně nefunkčního počítače, snaží se systém Windows XP Professional navázat s tímto počítačem spojení. Pokud počítač nepracuje (neodpovídá na požadavky), bude nějakou dobu trvat, než tuto informaci konzola „pochopí" a znovu umožní běžnou práci. Do té doby se konzola tváří jako zamrzlá.

Konzola MMC je vzhledem k možnostem různých úprav a kombinací velmi silným a kvalitním nástrojem pro správu počítačů se systémy Windows 2000 a vyšších. A to jsme ještě nevyčerpali všechny její možnosti! Pokud byste jako správci v budoucnu vyměnili svůj počítač za jiný, nemusíte vlastní konzoly vytvářet znovu. Vytvořené soubory stačí zkopírovat do nového počítače. Pokud obsahují nástroje, které jsou standardní výbavou systému Windows XP Professional, budou ihned funkční; pokud obsahují nástroje pro správu serverového operačního systému (například DNS), je nutné do nového počítače nainstalovat Nástroje pro správu (Admin-pak.msi). Vzdálená správa počítačů pomocí standardních nástrojů ve formě konzol MMC je vhodná zejména pro místní sítě nebo sítě WAN. Konzola využívá pro připojení ke vzdálenému počítači vzdáleného volání procedur (Remote Proceduře Calls, RPC) a váže se na rozhraní WMI (Windows Management Instrumentation) spravovaného počítače. Jen těžko si lze představit využití těchto nástrojů při připojení ze vzdáleného počítače mimo síť pomocí Internetu. Na branách firewall rozhodně nebývá otevřeno tolik portů, aby byla komunikace pomocí RPC možná (nejednalo by se o firewall, nýbrž o reklamu na ementál). Jediným řešením je tak využití připojení pomocí virtuální privátní sítě, kdy se externí počítač stává součástí sítě a veškerá komunikace je zapouzdřená do jediného protokolu, a na bráně firewall je možné otevřít jediný port. Spuštění nástroje pod jiným uživatelským účtem

Na začátku této kapitoly bylo uvedeno, že každý správce by měl provádět běžnou činnost (mimo správu) pod účtem běžného uživatele. Předpokládejme, že se tímto pravidlem budete řídit, až se jednou objeví následující situace. Ráno jste přišli do práce a hned vám telefonuje šéf, který potřebuje zpracovat nějaké výkazy týkající se dostupnosti serverů pokud možno v grafické podobě a k tomu dodat krátkou zprávu. Samozřejmě to spěchá. Na svém pracovišti zapnete počítač a přihlásíte se pomocí svého běžného uživatelského účtu. Ještě předtím spustíte Outlook, abyste se podívali na nové zprávy elektronické pošty a aplikaci Internet Explorer, neboť si přece nemůžete nechat po ránu ujít čerstvé novinky ze světa. Dále spustíte aplikace Word a Excel a začnete pracovat na zprávě pro šéfa. Protože máte některé zajímavé informace kdesi hluboko v poště, aplikaci Outlook ponecháte otevřenou a občas spustíte vyhledávání jste v plném vytížení, když v tom zavolá uživatelka, která zapomněla své heslo a nemůže se přihlásit. Každému jinému uživateli byste v tu chvíli jednoduše vysvětlili, že dříve než po obědě na něj nemáte čas, ale pro tuto uživatelku máte slabost. Zatímco ji uklidňujete s tím, že za chvíli situaci vyřešíte, roste vám v hlavě nechuť z ukládání rozdělané práce, odhlášení, nového přihlášení pomocí účtu správce a resetování hesla uživatelky. Kvůli triviálnímu zásahu správce ukládat rozdělanou práci, odhlásit se, poté změnu provést a pak znovu čekat několik minut na spuštění potřebných aplikací a pokračoval v práci? To snad ne?!? V systému Windows XP Professional existuje pro tyto případy velmi elegantní řešení. Svou práci nemusíte přerušovat ani ukládat a už vůbec není nutné se odhlašovat. Stačí provést následující kroky: 1. Na klávesnici stiskněte a držte klávesu Shift a v Nabídce Start poté klepněte pravým tlačítkem myši na konzolu Uživatelé a počítače služby Active Directory. 2. V místní nabídce klepněte na položku Spustit jako. Zobrazí se dialogové okno Spustit jako, kde máte možnost zadat pro spuštění této jediné konzoly jiný účet. 3. Zaškrtněte položku Následující uživatel, do pole Uživatelské jméno zadejte text STUDNY\ITSprava1 a do pole Heslo zadejte své heslo. Poté klepněte na tlačítko OK. 4, Konzola Uživatelé a počítače služby Active Directory se spustí pod účtem správce a vy můžete provést změnu hesla uživatelky. Po provedení změny konzolu zavřete a pokračujte ve své práci jako běžný uživatel.


164

Obrázek 15.6 Dialogové okno Spustit jako

¨ Do budoucna už nyní můžete být více klidní, neboť již víte, že „přepínání" mezi více různými účty nemusí být tak bolestné jako ve starších systémech. Jediná výjimka však existuje pod účtem jiného uživatele nelze spustit aplikaci Průzkumník Windows ani Internet Explorer.

Správa pomocí nástroje Připojení ke vzdálené ploše V části věnované správě systémů pomocí standardních nástrojů výše to sice přímo nezaznělo, ale z poskytnutých informací je to zřejmé - správu pomocí nástrojů lze prováděl pouze ze systémů Windows 2000 a vyšších. Ne vždy je ale situace tak jednoduchá. Stačí si představit situaci, kdy přijdete k uživateli, který si stěžuje na potíže při práci,řešit jeho problém. Nějakým omylem má tento uživatel ještě počítač s operačním systémem Windows NT 4.0 Workstation. V rámci řešení problému byste se nutně potřebovali z jeho počítače podívat na server (zda je například spuštěna služba, která má na starosti běh aplikace, s níž uživatel nemůže komunikovat). Nástroje pro správu systému Windows NT 4.0 však nejsou v doméně Active Directory funkční. Tak co s tím? Řešení existuje, ale je třeba je dopředu připravit. V systému Windows Server 2003 se mu říká Vzdálená plocha, v systému Windows 2000 je to Služba Terminál services.

Jak Vzdálená plocha funguje? Předpokládejme existující připojení klientského počítače k serveru pomocí funkce Vzdálená plocha. Na jedné straně klientský počítač, na druhé straně server. To, na čem je funkce Vzdálená plocha založena, je minimální přenos dat oběma směry. Jak to tedy je? Z klientského počítače směrem k serveru se přenášejí pouze informace ze vstupních zařízení (stisky kláves na klávesnici, pohyb a další práce s myší nebo například informace sejmuté čtečkou čárového kódu). Informací je tak velmi málo. Od serveru se do klientského počítače přenášejí pouze jednotlivé body obrazovky (přenášejí se tak vlastně obrázky). Pokud budete ukazatelem myši vytvářet hezké kruhy v pravém horním rohu pracovní plochy (pomiňme, že se v tomto případu nejedná o žádnou správu počítače), dá se předpokládat, že v rámci optimalizace přenosu dat je zbytečné přenášet i tu část obrazovky, která se nemění. Je to opravdu tak, takže od serveru ke klientskému počítači se přenáší pouze relevantní části obrazu serveru. Objem přenášených dat je za tohoto stavu tak malý, že stačí i pomalé spojení (přibližně 14,4 kilobitu/s), a uživatel (nebo správce) má stejný pocit, jako kdyby seděl a pracoval přímo na serveru. Konfigurace této funkce je velmi jednoduchá. Je totiž součástí výchozí instalace operačního systému Windows Server 2003 Aby se tato funkce dala využívat, musí být splněno několik předpokladů. Pojďme se na ně podívat. A. Funkce Vzdálená plocha sice je součástí standardní instalace systému Windows Server 2003, ale není ve výchozím stavu povolena.

Povolení funkce Vzdálená plocha 1. Přihlaste se k počítači SRVR001 jako správci. 2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce klepněte na položku Vlastnosti. 3. V dialogovém okně Vlastnosti systému klepněte na kartu Vzdálený přístup a poté v části Vzdálená plocha zaškrtněte políčko Povolit připojení vzdálených uživatelů k tomuto počítači. B. Oprávnění k připojení ke vzdálené ploše má ve výchozí konfiguraci pouze skupina Administrators. Ostatním uživatelům je třeba toto oprávnění udělit ručně.

Udělení oprávnění k připojení ke vzdálené ploše 1. V dialogovém okně Vlastnosti systému na kartě Vzdálený přístup klepněte na tlačítko Vybrat vzdálené uživatele a poté v dialogovém okně Uživatelé vzdálené plochy přidejte uživatele, kterým chcete umožnit přístup. Poznámka Jedná se pouze o jiné grafické uživatelské rozhraní pro přidání účtů uživatelů do skupiny Remote Desktop Users. Pokud zvolíte


165

přímo toto provedení (pomocí nástroje uživatelé a počítače služby Active Directory), bude výsledek totožný.

C. Počet relací funkce vzdálená plocha je omezen Ověření maximálního povoleného počtu relací 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte konzolu Konfigurace Terminálové služby. Obrázek 15.7 Konzola Konfigurace Terminálové služby

3, V pravé části konzoly klepněte na položku RDP-Tcp a v místní nabídce klepněte na položku Vlastnosti. (RDP je zkratka protokolu Remote Desktop Protocol). 4. Klepněte na kartu Síťový adaptér a v poli maximální počet připojení se pokuste změnit hodnotu 2 na vyšší. Nebude to možné. Ke vzdálené ploše mohou být připojené v danou chvíli nejvíce dvě relace (obě může používat stejný uživatel) - to platí pro funkci Vzdálená plocha v systému Windows Server 2003 i pro službu Terminál services v systému Windows 2000 Server v režimu administrace. Systém Windows Server 2003 však navíc přichází S jednou velmi zajímavou novinkou. Mimo tyto dvě relace umožňuje vzdálené připojení do aktuální relace na serveru (to se podaří v případě, že uživatel má právo vstoupit do relace). Tuto novinku lze využít v případě, kdy máte na serveru rozdělanou práci a chcete ji dodělat z jiného počítače. Do stávající relace na serveru se můžete vzdáleně přihlásit tak, že klienta připojení ke vzdálené ploše spustíte v klientském počítači I parametrem /console. 5. Klepněte na kartu Oprávnění a prohlédněte si nakonfigurovaná oprávnění pro přístup ke vzdálené ploše serveru. Nyní se může zdát, že systém Windows Server 2003 umožňuje oproti svému předchudci Windows 2000 Server navíc zajímavou věc - totiž umožnit přístup ke vzdálené ploše i uživatelům, kteří nejsou členové skupiny Administrators. Alespoň ta k to vždy prezentovala společnost Microsoft. Pokud jste se však dříve trochu zabývali vlastnostmi služby Terminál services v systému Windows 2000 Server, mohli jste zjistil, že i tam existuje stejná karta Oprávnění, na která se daly provést potřebné změny a umožnit tak přístup i běžným uživatelům. D. Ke vzdálené ploše je možné se připojit pouze pomocí speciálního klienta

Klient pro připojení ke vzdálené ploše měl dříve název Klient služby Terminál services. Nyní je jeho nová verze součástí systému Windows XP Professional (i Windows Server 2003) a jmenuje se Připojení ke vzdálené ploše. Připojení ke vzdálené ploše pomocí klienta 1. Přihlaste se k počítači PC001 jako správci. 2. V Nabídce Start klepněte na položku Všechny programy a poté přejděte postupně do položek Příslušenství a Komunikace. Klepněte na položku Připojení ke vzdálené ploše. Spustí se klient pro připojení (viz obrázek 15.8). Obrázek 15.8 Klient pro připojení ke vzdálené ploše


166

3. Do pole počítač zadejte název nebo adresu IP serveru, ke kterému se chcete připojit a poté klepněte na tlačítko Možnosti. 4. Na kartě Zobrazení můžete nastavit velikost okna, ve kterém budete mít pracovní plochu vzdáleného počítače. Výchozím nastavením je standardní rozlišení počítače, ze kterého se připojujete. Dále zde můžete definovat počet barev. Poznámka 1) S počtem barev to zbytečně nepřehánějte, zejména pokud se připojujete k serveru pomocí velmi pomalého spojení. Pokud nakonfigurujete barevnou hloubku na 24 bitů, bude k přenosu jediného bodu obrazu třeba 3 bajtů. U 8 bitové barevné hloubky bude na jeden bodu stačit jediný bajt (tedy 3krát méně dat!) 2) Maximální počet barev lze omezit na straně serveru s funkcí Vzdálená plocha.

5. Na kartě Místní prostředky se určuje, které prostředky místního počítače bude možné využívat ve vzdáleném počítači. Výchozí konfigurace jsou tiskárny, můžete přidat diskové jednotky a sériové porty. Diskové jednotky se hodí v případě, kdy například chcete uložit dokument rozpracovaný ve vzdáleném počítači na disk v místním počítači, odkud jste momentálně připojeni. Sériové porty využijete v situaci, kdy potřebujete do vzdáleného počítače přenášet informace například ze čtečky čárového kódu. 6. Na kartě Výkon je dobré vybrat odpovídající rychlost připojení. V závislosti na níse omezí či povolí další standardní funkce systému (například zobrazování obsahu okna při přetahování). Vlastní nastavení konkrétního připojení si můžete uložit. Výchozím místem je složka Dokumenty a soubor je typu RDP. Uložení můžete provést klepnutím na tlačítko Uložit jako na kartě Obecné. Ke vzdálené ploše se připojíte klepnutím na tlačítko Připojit. Zobrazí se standardní přihlašovací okno, ve kterém zadáte jméno a heslo uživatele, který má právo se připojit. Po-té můžete pracovat se serverem podobně, jako kdybyste seděli přímo u něj. Je nepochybné, že tato možnost vzdáleného připojení je jediným řešením pro správu serveru ze starších systémů, do kterých není možné instalovat balíček nástrojů pro správu Adminpak.msi. V takovém případě je ale nutné do daného počítače nainstalovat program Připojení ke vzdálené ploše. Instalace programu Připojení ke vzdálené ploše

S využitím standardních funkcí systémů Windows jsou k dispozici následující dvě možnosti instalace: ♦ Z instalačního disku systému Windows XP Professional (Windows Server 2003). ♦ Instalace přes síť ze sdílené složky obsahující instalační soubory klienta na serveru. Instalační soubor programu Připojení ke vzdálené ploše v jazykové verzi EN naleznete na přiloženém disku CD-ROM. V prvním případě postupujte následovně: 1. Ke klientskému počítači se přihlaste jako správci (netýká se systémů řady 9x a ME). 2. Vložte disk CD-ROM se systémem Windows XP Professional (Windows Server 2003) a počkejte na jeho automatické spuštění. 3. V části Co chcete udělat? klepněte na položku Další úkoly a v dalším okně klepněte na položku Nastavit Připojení ke vzdálené ploše. Dále postupujte podle pokynů průvodce. V druhém případě postupujte následovně: 1. Přihlaste se k počítači SRVR001 jako správci. 2. ( Mevřete okno aplikace Průzkumník Windows a přejděte do složky %SYSTEM\ROOT%\ system32\ clients. 3. V léto složce sdílejte složku tsclient. Veškerá oprávnění (sdílená i NTFS ponechte ve výchozím nastavení). Běžní uživatelé budou mít výsledná oprávnění pouze Číst a spouštět. 4. Při instalaci Připojení ke vzdálené ploše ze sdílené složky se přihlaste k počítači jako správci a ve složce win32 spusťte program setup.exe. Poznámka Můžete samozřejmě sdílet až složku WIN32 (se sdíleným názvem např. TSCLIENT).

Pokud máte v počítačích starší verzi klienta pro připojení ke vzdálené ploše, můžete ji použít také. Stejně tak můžete používat nového klienta ze systému Windows XP Professional pro přístup ke službě Terminál services systému Windows 2000 Server. V obou případech však budete ochuzeni o některé možnosti, které starší verze klientů nebo služby Terminál services nemají. Klient pro připojení ke vzdálené ploše je dokonce součástí systému Windows PocketPC 2002 v počítačích typu PDA. I z tohoto počítače je tedy možné vzdáleně spravovat servery! Sice to nebude nijak pohodlné, ale v případě nouze je to možnost k nezaplacení. Obrovskou výhodou funkce Vzdálená plocha je možnost jejího jednoduchého zpřístupnění na bráně firewall z Internetu. Stačí totiž otevřít jediný port - 3389 protokolu TCP a žádosti směřující na tento port přesměrovat na příslušný server do vnitřní sítě. Veškerá komunikace mezi klientem pro připojení ke vzdálené ploše a samotným serverem je automaticky šifrovaná (včetně samotného přihlášení), takže možnost odchycení a zneužití přenášených dat je zde minimální.

Vzdálená plocha v systému Windows XP Professional Systém Windows XP Professional je prvním operačním systémem určeným pro klientské počítače, který disponuje funkcí Vzdálená plocha. Je tedy možné se k němu připojit vzdáleně. 167 Mistrovství v Microsoft Windows Server 2003

Pravděpodobně již cítíte možnost využít tuto funkci pro případ, kdy potřebujete zjistit některé informace z počítače uživatele nebo když si uživatel stěžuje na špatnou funkčnost počítače a vám se k němu nechce chodit. Zde je nutné říci, že pravděpodobně budete zklamáni, neboť funkce Vzdálená plocha doznala v systému Windows XP Professional omezení, které ji téměř brání pro tyto účely využívat. Jejím primárním účelem je umožnit uživatelům pracovat na svých počítačích .1 vzdáleně (tedy z jiného počítače). V čem je to omezení? Funkce Vzdálená plocha umožňuje provozovat pouze jedinou relaci (včetně místně přihlášeného uživatele). Pokud se tedy „násilně" připojíte vzdáleně k počítači, se kterým právě pracuje uživatel, může mít váš krok pro uživatele nezáviděníhodné následky. Uživatel bude v okamžiku vašeho připojení nemilosrdně odhlášen a jeho práce se neuloží. Následující tabulka přesně uvádí stavy, ke kterým může při využívání funkce Vzdálená plocha v systému Windows XP Professional dojít.

Stav

Akce

Výsledek

S počítačem PC001 pracuje místně uživatel Obchod1

Poznámka

K počítači PC001 se připojí vzdáleně uživatel Obchod1

Místní relace uživatele se automaticky uzamkne. Po odhlášení vzdálené relace je možné místní relaci odemknout a pokračovat v práci.

S počítačem PC001 K počítači PC001 se p r a c u j e místně uži- připojí vzdáleně uživatel Obchod1 vatel, který je správcem tohoto počítače

Místní relace uživatele Obchodí se uzamkne. Po odhlášení správce ze vzdálené relace bude uživatel Obchod1 odhlášen.

Uživatel Obchodí, který se připojil vzdáleně, se připojí k relaci svého místního přihlášení a může tak pokračo vat v práci (to samé, jako v případě spuštění programu Připojení ke vzdálené ploše s parametrem / console). Uživatel Obchodí přijde o rozdělanou a neuloženou práci, navíc během uzamčení své místní relace není schopen ji odemknout (to může provést pouze správce počítače).

Tabulka 15.1 Situace při používání funkce Vzdálená plocha v počítači se systémem Windows XP Professional

Pro tato omezení není třeba funkci Vzdálená plocha v systému Windows XP Professional zatracovat. Je třeba si uvědomit, že je určena k trochu jiné věci, než je vzdálená správa počítačů. A vzpomeňte si sami, kolikrát by se vám v minulosti hodilo podívat se do svého počítače na konkrétní informaci vzdáleně, například z počítače asistentky. Poznámka Systém Windows 2000 Professional funkci Vzdálená plocha neobsahuje.

Kombinace kláves v relaci vzdálené plochy Když se pomocí programu Připojení ke vzdálené ploše připojíte ke vzdálené ploše serve-ru, zobrazí se v horní části obrazovky panel s názvem či adresou IP vzdáleného počítače (podle toho, co jste zadali v dialogu klientského programu). Panel obsahuje několik ovládacích prvků, které zjednodušují orientaci uživatele. Obrázek 15.9 Panel připojení ke vzdálené ploše

Význam ovládacích prvků v pravé části panelu je jasný jedná se o práci s oknem (mim a l i z a c e , maximalizace nebo odpojení relace). Co znamená ikonka špendlíku v levé části panelu? Pokud ponecháte špendlík ve výchozí - šikmé - poloze, znamená to, že panel zůstane "přišpendlen" na ploše a bude stále viditelný. Pokud na špendlík klepnete, změní se je ho poloha na vodorovnou a poté, co přemístíte ukazatel myši dostatečně daleko, dojde k automatickému skrytí panelu. Při návratu ukazatele myši do polohy panelu se panel znovu zobrazí. Poznámka Předchozí verze klientského programu pro připojení ke službě Terminál services tento panel neobsahovaly.

Někteří správci upřednostňují ovládání větší části různých aplikací z klávesnice. Pokud takový správce používá i připojení ke vzdálené ploše, potom by se jistě rád bez ohledu na zobrazení či nezobrazení panelu pomocí klávesnice také přepínal mezi plochou vzdáleného a místního počítače. Ostatní uživatelé by zase rádi využili klávesnici v případě, kdy jim panel zmizí a nevědí, jak jej znovu zobrazit. Pro tyto účely je vhodné znát kombinace kláves, které jsou ekvivalentem běžných a dobře známých kombinací kláves v systému Windows. Tyto kombinace jsou uvedeny v tabulce níže. Z praxe mohu potvrdit, že snad jediné používané jsou první dvě. známé kombinace kláves v systému Windows

Odpovídající kombinace kláves v relaci vzdálené plochy Ctrl+Alt+Break

Popis Minimalizace/maximalizace okna relace vzdálené plochy


168

Ctrl+Alt+Del

Ctrl+Alt+End

Zobrazení dialogového okna zabezpečení systému Windows

Alt+Tab

Alt + Pagr Up

Přepínání mezi programy zleva doprava

Alt+Shift+Tab

Alt + Page Down

Přepínání mezi programy zprava doleva

Alt+Esc

Alt+Insert

Přepínání mezi programy v pořadí, v jakém byly spuštěny

Print Screen

Ctrl+Alt+Minus (na numerické klávesnici)

Sejmutí obsahu aktivního okna a uložení do schránky

Alt+Print Sscreen

Ctrl+Alt+Plus (na numerické klávesnici)

Sejmutí obsahu celého okna relace vzdálené plochy a uložení do schránky

Tabulka 15.2 Ekvivalenty známých kombinací kláves v relaci vzdálené plochy

Odpojení versus ukončení relace Pokud potřebujete ukončit relaci vzdálené plochy a je zobrazen panel, vypadá řešení docela jednoduše — klepnout na křížek tedy relaci vzdálené plochy ukončit tak, jako ukončujete všechny ostatní programy. Takový typ ukončení relace však není typické ukončení, ale odpojení. Odpojení relace Pokud odpojíte relaci vzdálené plochy, provedou se následující kroky: ♦ Připojení ke vzdálené ploše z místního počítače se přeruší. ♦ Na vzdáleném serveru zůstává relace aktivní a tedy obsazená. Znamená to, že pokud se později přihlásíte ke vzdálené ploše znovu, budete spojení 8 otevřenou relací, a můžete tak pokračovat ve své práci. Tento způsob práce (tedy odpojení) má své výhody spíše v prostředí, kde je nasazena Terminálová služba pro běžné uživatele. Uživatelé si tak mohou například spustit výpočetně náročnou úlohu na serveru, poté se odpojí a večer se znovu připojí a prohlédnou si výsledky. V našem případě, kdy je maximální počet relací omezen číslem 2 (plus jedna „speciální"), je odpojování relací problém. Stačí dvě takto odpojené relace a nikdo se ke vzdálené ploše nepřipojí. Těmto stavům se tedy pokud možno v režimu vzdálené plochy vyhýbejte. Ukončení relace Při ukončení relace vzdálené plochy se provedou následující kroky: ♦ Připojení ke vzdálené ploše z místního počítače se přeruší. ♦ Na vzdáleném serveru se relace ukončí a uzavře. Systém tak získá volnou relaci a může se připojit jiný uživatel (který má pochopitelně oprávnění) Ukončení relace dosáhnete běžným odhlášením od počítače (v Nabídce Start klepněte na ikonu Odhlásit a poté svůj úmysl potvrďte). Poznámka Pokud se odhlašujete pomocí dialogového okna Zabezpečení systému Windows, pozor na překlep. Pokud místo na tlačítko Odhlásit se klepnete na tlačítko Vypnout, vzdálený počítač se opravdu vypne. Zde je nutné znovu připomenout, že cílem funkce Vzdálená plocha je navodit u uživatele dojem, že sedí přímo u daného serveru.

Závěr Pro svou běžnou práci nikdy nepoužívejte účet s oprávněními správce. V případě napadení vašeho účtu virem či programem s úmysly škodit bude poškozena jenom velmi malá část systému. Pro úlohy správy používejte vlastní účet, který zařazením do skupiny Domain Admins získá potřebná privilegia. Vlastní účet by měl používat každý správce prostředí, aby bylo možné jednotlivé kroky auditovat a jednoznačně označit původce různých událostí. Pokud nechcete neustále za účelem správy vysedávat u serverů, můžete si do svého počítače nainstalovat Nástroje pro správu. Budete tak mít k dispozici stejný rozsah nastrojil jako je na serveru. Instalace nástrojů se provádí spuštěním instalačního balíčku admin-pak.msi, který je pro danou verzi desktopového operačního systému k dispozici na instalačním disku CD-ROM se serverovým operačním systémem. Druhou možností správy serverů z pracovní stanice je povolení funkce Vzdálená plocha a instalace programu Připojení ke vzdálené ploše do klientského počítače. Tuto možnost lze využít ve všech případech, kdy nelze použít nástroje pro správu (například pokud je mezi počítačem a serverem brána firewall) a také ze starších operačních systémů nebo dokonce z počítačů typu PDA.

Stav sítě Do počítače PC001 byl nainstalován balíček nástrojů pro správu serveru SRVR001 a domény Active Directory. Ještě předtím byla do systému Windows XP Professional nainstalovaná aktualizace, bez které by instalace nástrojů nebyla možná.


169

Na serveru SRVR001 byla povolena funkce Vzdálená plocha, která odpovídá službě Terminál services v administrativním režimu systému Windows 2000 Server. Veškeré záležitosti správy prostředí je tak nyní možné provádět plně z počítače PC001.


170

Co když zítra odejde server? Jestliže má zítra odejít server, jsme na tom docela dobře. Máme ještě relativně hodně času dobře se na to připravit. Server však může s klidným svědomím odejít třeba za hodinu, 15 minut nebo dokonce za minutu. Jsme na to v naší síti připraveni? Nejsme! Těmito hrozbami mířím k tomu, že otázku zabezpečení dat, konfigurací serverů a další, shrnuto do slova zálohování, jsme měli řešit jako jednu z prvních. Protože se však v této knize pohybujeme ve fiktivní firmě, jíž by pád serveru nijak extrémně nepoškodil, zvolil jsem cestu nejprve seznámení se základními stavebními prvky sítě a domény, aby již nyní bylo při vyslovení slova „zálohování" více jasné, co všechno bude třeba zálohovat. V reálném prostředí je však oblast zálohování a přípravy na podobné potíže v síti jedním z hlavních odstavců strategie správy a vytváří se ještě před implementací jakékoli části sítě. Dokonce, pokud se v síti provádí změna (například upgrade domény), je třeba definovat nejen plán a strategii zálohování konečného prostředí, ale také je třeba určit strategii zálohování v průběhu změny. Obecně se jedná o oblast, která může v případě podcenění přivodit organizacím nepříjemné a nedozírné následky. Naopak, v případě správně vymyšlené strategie a dodržovaní určených postupů můžete mít klidné spaní. To, že k problémům nedojde, se vyloučit nikdy nedá. Ale to, že budete v každém okamžiku vědět, jaké je řešení, je nedocenitelnou devizou. Vzhůru do toho!

Typy problémů Na úvod jedno upozornění — nečekejte, že zde, tedy v oblasti zabývající se problémy, začnou padat informace, které jste nikdy dříve neslyšeli. Tato oblast je tak triviální, že ji lze obsáhnout bez podrobnějších odborných znalostí pouhým selským rozumem. Jde jenom o to na nic nezapomenout. Jaké potíže nás tedy mohou čekat?

Chyby softwaru Chyby softwaru existují vždy a všude a vycházejí již z dílny jeho tvůrců. Řešení některých je čistě na jejich producentech, řešení jiných spadá do možností správců. Pokud je například chyba v souboru, který tvoří jádro operačního systému, pravděpodobně s tím jako správci nic nezmůžete. Pokud je chyba v ovladači hardwarového zařízení, nebudete ji jistě hledat a opravovat, ale daný ovladač nahradíte jinou verzí.

Chyby hardwaru Hardware je technika jako každá jiná a ani záruka 5 let nemusí zajistit, že jednoho dne „nevydechne" naposledy. Problémy mohou potkat jakoukoli hardwarovou součást počítače. Na druhou stranu je zřejmé, že havárie pevného disku serveru bude znamenat o něco více práce pro správce než porucha myši.

Omyly uživatelů Běžný uživatel nemá v systému Windows XP Professional taková práva a oprávnění, aby byl schopen svým omylem nějak dramaticky zasáhnout do funkce daného počítače či dokonce do sítě. Dá se říci, že na omyly uživatelů se myslelo již při návrhu operačních systémů založených na technologii NT, takže uživatelé nemají o nic větší oprávnění, než skutečně ke své práci potřebují. Omylům uživatelů se nedá vyhnout, doporučuji spíše řešit jejich prevenci. Je zbytečné spoléhat na to, že uživatel se bude schopen něco naučit či pochopit. Lepším přístupem je zúžit mu možnost více řešení pouze na jedno pro něj nejjednodušší.

Omyly správců Jednou z příčin omylů správců jsou nedostatečné znalosti. Takový omyl je na počátku vlastně úmyslem, bohužel až později se zjistí, že špatným. Protože správci nejsou v systémech nijak omezeni (ani by to nebylo dost dobře proveditelné), mohou mít někdy jejich omyly dalekosáhlé následky. Pochopitelně, že čím více práv správce má, tím větší nepříjemnosti může svým neodborným jednáním způsobit.

Úmyslné poškození Zde je zbytečné rozeznávat, zda se jedná o čin uživatele či správce. Výsledek je vždy nepříjemný a vyžaduje nadměrné úsilí pro konsolidaci do původního či stabilního stavu.

Vyšší moc Proti vyšší moci se nedá nikdy najít stoprocentní řešení. Vždy, ačkoli se jedná o velmi malou pravděpodobnost, je třeba počítat s těmi nejčernějšími představami a připravit si alespoň částečná řešení.

Možnosti předcházení problémům Ze se problémy dříve či později objeví, je jasné všem. Potom je otázka, zda nastane vše obecný chaos nebo zda se bude při


171

jejich řešení postupovat podle předem vypracovaných postupů, systémově, bez zbytečných emocí a efektivně. Jistě se shodneme na tom, že lepší než nastalé problémy bezhlavě řešit je věnovat čas při pravě pro jejich předcházení.

Softwarové problémy Protože máme v síti operační systémy Windows od společnosti Microsoft, pojďme se podívat na možnosti řešení, které společnost Microsoft u svých produktů nabízí. Ovladače zařízení Možná, že jste se již v praxi setkali s následující situací. Ve svém počítači jste provedli aktualizaci ovladače grafické karty. Výrobce na své webové stránce sliboval větší rychlost, vyšší horizontální frekvence při daných rozlišeních a podporu nového rozhraní DirectX. Po instalaci nového ovladače jste však zjistili, že všechno není tak, jak by mělo být. Ne-jen že grafická karta nevykazuje žádné známky zlepšení výkonu, ale máte potíže s jiným hardwarovým zařízením a navíc se vám zdá, že operační systém neběží tak rychle a dobře jako před instalací ovladače. Kde je problém? Nejspíše v novém ovladači. Je jedno, zda výrobce dal na web ještě ne-dodělanou verzi, kterou omylem označil jako připravenou pro distribuci nebo dal k dispozici ovladač, jenž neprošel dostatečným testováním. Tato otázka je pro vás v danou chvíli bezpředmětná. Vás zajímá řešení, kterým je odebrání nejnovější verze a vrácení původní verze ovladače. jak je možné, že vinou novější verze ovladače se navíc zpomalil chod operačního systému? V principu je vysvětlení velmi jednoduché. Ovladač zařízení - to nemusí být jenom dodatečné soubory, ale mohou to být i například upravené systémové knihovny. No a jestliže jsou upravené špatně (a špatně napsaný program dnes umí vytvořit kdekdo), potom je jisté, že budou působit potíže nejen v souvislosti s novým zařízením, ale také s ostatními zařízeními, která je využívají. Vyhnout se těmto potížím není v systému Windows XP Professional naštěstí až tak složili Prvním krokem je instalovat pouze podepsané ovladače zařízení. Digitální podpis společnosti Microsoft u ovladače zařízení znamená, že dané zařízení bylo otestováno s do-dávaným ovladačem, a že nezpůsobuje v systému Windows XP Professional žádné potí že (se stabilitou a výkonem). Další možností je provedení zálohy celého systému před instalací nejistého původu konkrétního ovladače. To je však již extrémní případ, jak uvidíme v další části této kapitoly, kde budeme probírat nástroje pro odstraňování potíží. Chyby operačních systémů a aplikací Chyby operačních systémů a aplikací opravuje výhradně jejich výrobce - tedy společnost Microsoft. Jako uživatelé se s nimi můžeme setkat buď ve formě jednotlivých oprav označovaných jako hotfix, QFE apod. nebo ve formě aktualizací ServicePack, což jsou prakticky soubory předchozích vydaných oprav. Chybám operačních systémů se nedá na straně správy sítě předcházet. Je ale možné implementovat řešení pro automatickou instalaci oprav do všech počítačů v síti. Důležité tedy je mít svou síť neustále aktualizovánu všemi dostupnými opravami. To zároveň souvisí také s jejím zabezpečením, neboť většina chyb produktů se zabezpečením přímo souvisí,

Hardwarové problémy Na oblast hardwarových problémů se dá podívat velmi jednoduše - počítač si můžete v hlavě představit jako jednotlivé součásti a postupně se ptát na to, co se může stát, když odejde ta a ta součást a jak daný stav zabezpečit. Pokud pomineme stav, kdy budeme mít ve skříni připraven další server z hlediska hardwaru identický s aktuálním a vynecháme i oblast clusterů (které z pochopitelných důvodů nejsou také vždy l00 procentním řešením), můžeme havárii hardwaru rozdělit na dvě skupiny.

Výpadek pevného disku aneb ztráta dat Jedná se o klasickou závadu, kdy pevný disk odejde fyzicky (odejde mechanická či elektronická část). Řešením jsou pole typu RAID (Redundant Array of Independent Disks), což jsou svazky odolné proti chybám, na kterých jsou data uložena. Pro tyto účely se používají dva druhy svazků RAID: RAID 0 (zrcadlený svazek) a RAID 5 (rozložený svazek s paritou). Ostatní svazky RAID jsou případnou kombinací některého z uvedených s jiným typem. O tom principu činnosti svazků RAID již bylo v různé literatuře napsáno mnoho. Nemá proto význam zde princip činnosti rozebírat, my se můžeme pouze spokojit s poznámkou, že systém Windows Server 2003 je schopen tyto dva svazky sám nakonfigurovat a pracovat s nimi (bez dalších hardwarových prostředků!). V praxi se pravděpodobně častěji setkáte se svazky RAID 5. Odpověď je nutné hledat v ekonomické oblasti. Pokud chcete provozovat pole RAID 0, budete muset zakoupit dva disky, ale prakticky využijete pouze polovinu zakoupené kapacity. To je logické. Pokud chcete pole RAID 5, musíte zakoupit nejméně tři disky, přičemž prakticky využijete 66 % zakoupené kapacity. V naší síti si však o podobných možnostech můžeme nechat jenom zdát, neboť fyzický disk máme v serveru pouze jeden jediný. A co pracovní stanice? Systémy Windows XP Professional neumějí žádný z výše popsaných svazků vytvořit ani s ním pracovat. Zde je tedy nutné najít jiné řešení pro předcházení problémům. Nejjednodušší bude zajistit, aby na pracovních stanicích nebyla uložena žádná důležitá data uživatelů či společnosti. Jak na to si ukážeme v kapitole 17, „Správa prostředí klientských počítačů".

Výpadek ostatního důležitého hardwaru Sem patří například výpadek napájecího zdroje, síťové karty, případně základní desky počítače. Řešení pro tuto situaci je silně závislé na finančních možnostech každé organizace. Jedním extrémem je již zmíněné udržování kopie serveru mimo síť, rozumnější však bude mít s dodavatelem hardwaru smluvně zajištěný servis s rozumnými dodacími lhůtami. Čím důležitější 172 Mistrovství v Microsoft Windows Server 2003

hardware, tím musí být intervaly pro případné uvedení do provozu kratší. U pracovních stanic se výpadky hardwaru většinou řeší tak, že společnost má k dispozici mimo síť neustále jeden či více kompletních počítačů, které je schopna uživateli, jen/ o svůj počítač právě přišel, poskytnout.

Výpadek napájení nebo jeho kolísání Výpadky nebo kolísání napájení bych nejraději zařadil sem do oblasti hardwaru. Tyto p< > tíže mohou mít v případě neřešení na svědomí poměrně dalekosáhlé následky. Řešením jsou nepřerušitelné zdroje napájení (UPS). S počtem zdrojů UPS je to podobné jako s tiskárnami. Je systémovější zakoupit jeden po-řádný zdroj UPS, který bude sloužit jako záloha napájení celé sítě, než zdroj UPS ke kaž dému počítači. Bohužel na to většina organizací nemá potřebné prostředky, takže se výpadky napájení řeší zakoupením zdrojů UPS hlavně pro servery, případně pro některé duležité pracovní stanice a další zařízení (tiskárny, faxy apod.).

Omyly Omyl se jednou za čas povede každému. Předcházení omylům u uživatelů lze systémově řešit pouze tím, že uživatele maximálně omezíte v činnostech, které pro svou práci ne-potřebuje a poskytnete, případně zajistíte, mu možnosti vzdělání v oblastech, jež pro svou práci potřebuje. Předcházení omylům správců je jednou z nejsložitějších činností. Protože nelze správce ve svých činnostech příliš omezovat, mají v systému či síti prakticky veškerá oprávnění, o kterých někdy ani pořádně nevědí, k čemu jsou dobrá. Aby se správci nedopouštěli omy l ů , je třeba je řádně a neustále vzdělávat. Pouze tak zajistíte, že počet omylů z neznalosti bude čím dál nižší. Pochopitelně že předcházet omylům (tedy výskytům náhodných jevů) se dá velmi obtížně Jedinou rozumnou věcí, co můžete v této oblasti udělat, je provádět pravidelné zálohování celé infrastruktury. To jistě bude vhodné i z jiných důvodů.

Úmyslná poškození Na úmyslná poškození se dají aplikovat již výše uvedené informace. Navíc je třeba dbát i takových věcí, jako je zamykání serverů do racků, uzamykání místností se servery, uzamykání pracovní plochy při opuštění pracoviště atd. Nyní jsme spíše nakoukli do oblasti zabezpečení, o které bude řeč zejména v kapitole 22, „Zabezpečení serveru a sítě", ale opakování je matka moudrosti a nikdy nemůže uškodit. Jako prevence proti úmyslným poškozením může mimo jiné sloužit také vhodně vydaná Vnitroorganizační směrnice, případně obdobná nařízení.

Poškození z vyšší moci Zálohování zálohování, zálohování. Protože si jako důsledek působení vyšší moci můžete představit jakékoli poškození uvedené výše, bylo již vše řečeno. Nyní j i ž konec filozofování a rychle zpět do praxe.

Nástroje pro odstraňování potíží Pravděpodobně se shodneme na tom, že nejdůležitějším počítačem v celé síti je server (pokud bychom měli větší síť, tak by to samozřejmě bylo v množném čísle). To je velmi duležité neboť je třeba si položit otázku, zda má vůbec význam zálohovat klientské počítače. Pokud totiž jako správci zajistíte, že uživatelé budou ukládat dokumenty na server (to musíte zajistit jako správci, nelze to vyžadovat po uživatelích), může být otázka nové instalace počítače rychlejší záležitostí než oprava vzniklé chyby. Nehledě na to, že novou instalaci pak můžete mít v záloze jako řešení spousty potíží a není nutné tak připravovat strategie a postupy pro různé situace. Správci si ušetří čas, v organizaci bude méně byrokracie a celkově na tom všichni vydělají. V této části se podíváme postupně na všechny možnosti, které jsou pro řešení potíží v systému k dispozici. Vlastně nikoli všechny, jenom ty použitelné.

Ovladače zařízení Podepisování ovladačů Prvním krokem v zajištění stability systému je instalace pouze podepsaných ovladačů (tedy ověřených a kompatibilních se systémem). Zásada podepisování ovladačů se definuje na kartě Hardware v dialogovém okně Vlastnosti systému. Výchozí konfigurace této zásady je Upozornit - pokaždé zobrazit výzvu ke zvolení akce.


173

Obrázek 16.1 Dialogové okno Možnosti podpisů ovladačů

Ve výchozí konfiguraci se při pokusu o instalaci nepodepsaného ovladače zobrazí upozornění s dotazem, zda chcete dané zařízení opravdu nainstalovat. Pokud je zaškrtnula možnost první, nebude žádná kontrola na podepsání ovladače probíhat a ovladač se nainstaluje. Je-li zaškrtnuta třetí možnost, nepodepsané ovladače se nenainstalují. Protože instalovat zařízení mohou pouze správci daného počítače, běžní uživatelé mají ta to pole zasedlá a nemohou nastavení měnit. Poznámka Během instalace systému platí vždy třetí možnost - nelze nainstalovat nepodepsaný ovladač. Do stávající konfigurace se systém přepne po dokončení instalace.

Vrácení ovladače Systém Windows XP Professional má vůbec jako první z operačních systémů společnosti Microsoft možnost vrátit zpět předchozí ovladač zařízení, pokud nejste spokojeni s nově nainstalovaným. Každý, kdo se o něco podobného pokoušel ručně u předchozích verzi systému Windows, tuto funkci velmi ocení. Jestliže provedete aktualizaci ovladače, vytvoří se ve složce %SYSTEMROOT%\system32 podsložka s názvem ReinstallBackups. Ta bude obsahovat předchozí ovladač daného za-řízení, který byl právě aktualizován. Pokud se chcete kdykoli později vrátit k původnímu ovladači, postupujte následovně: 1. Přihlaste se k počítači jako správci. 2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a po té v místní nabídce zvolte položku Mastnosti. Zobrazí se dialogové okno Vlastnosti systému. 3. Klepněte na kartu Hardware a poté na tlačítko Správce zařízení. Zobrazí se seznam kategorií HW zařízení. 4. V seznamu vyhledejte hardwarovou součást, jejíž ovladač chcete vrátit zpět, klepněte na ni pravým tlačítkem myši a v místní nabídce zvolte položku Vlastnosti. 5. V dialogovém okně vlastností zařízení klepněte na kartě Ovladač na tlačítko Vrátit změny ovladače. Vše ostatní ponechte na systému. Poznámka Funkce vrácení ovladače se neumí vrátit o více než jednu úroveň zpět.

Tylo dvě funkce by vám měly postačovat k odstraňování potíží s hardwarovými zařízeními. Nic jiného se s dnešním hardwarem (typu Plug-and-Play) prakticky neprovádí.

Spouštění systému Pokud se vyskytne problém při spouštění systému, jedná se vždy o obrovské překvapen i . Tylo problémy se totiž vždy objeví v momentě, kdy je nikdo nečeká. Poslední známá platná konfigurace Nejčastější příčinou chyby při spuštění bývá změna v konfiguraci provedená před posledn í m vypnutím. Může se jednat o aktualizaci ovladače, instalaci aplikace nebo například změnu stavu služby (z typu spouštění Zakázáno na Automaticky). V takovém případě mužete vyzkoušet možnost spuštění nazvanou Poslední známá platná konfigurace. Poslední známá platná konfigurace vezme tu část registru, která obsahuje konfiguraci systému při posledním úspěšném spuštění, a podle ní spustí počítač. Nahradí tak informace v části registru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet. Nová konfigurace (obsahující například i změnu stavu spuštění služby) se v takovém případě neprojeví, Navíc poslední platná


174

konfigurace vrátí původní ovladače zařízení, pokud byly během posledního spuštění změněny. Poznámka Předchozí konfigurace systému se v registru neuchovávají donekonečna. Pokud se počítač spustí z běžné konfigurace, ihned po přihlášení uživatele se tato konfigurace zkopíruje do poslední platné položky. Jestliže tedy počítač během spouštění „padá" až po přihlášení uživatele, poslední platná konfigurace nepomůže!

Pokud chcete spustit systém v poslední platné konfiguraci, je nutné během spouštění stisknout klávesu F8 a poté vybrat odpovídající položku. Nouzový režim Pokud nelze spustit počítač v režimu Poslední platná známá konfigurace, můžete vyzkoušet Nouzový režim. V tomto režimu dojde ke spuštění jenom nejdůležitějších služeb a nejdůležitějších zařízení. Nespustí se tak například zvuková karta nebo zařízení USB, u grafické karty dojde zase k načtení základního systémového ovladače. K dispozici tak máte funkční prostředí vhodné pro provedení diagnostiky systému, případně k nápravě stavu. Spuštění v nouzovém režimu je jediným případem úplného spuštění počítače, které neprovádí aktualizaci poslední známé platné konfigurace. Oba zmíněné režimy - poslední známá platná konfigurace i nouzový režim - pomohou v případech, kdy došlo ke změně konfigurace systému, jejíž vinou nelze systém spustit. Jsou však stavy, kdy spuštění systému brání poškozený či chybějící důležitý soubor (například zavaděč operačního systému Ntldr). V takovém případě ani jedna z těchto možností nepomůže a je třeba použít další nástroj. Konzola pro zotavení Nástroj Konzola pro zotavení je podobný příkazovému řádku. Nemá grafické uživatelské rozhraní a práce s ním probíhá pomocí ručně zadávaných příkazů. K dispozici jsou běžné příkazy pro kopírování souborů, ale také pokročilé příkazy pro odstraňování potíží s důležitými oblastmi na pevném disku (fixmbr, fixboot), pro změnu typu spuštění služby (enable, disable) nebo například i pro práci s disky (diskpart, formát). Obrovskou výhodou konzoly pro zotavení je možnost přistupovat (a dokonce zapisovat) do oddílů zformátovaných systémem souborů NTFS. Možnosti nástroje Konzola pro zotavení jsou vskutku obrovské. V další části navodíme stav poškození systému Windows XP Professional a poté jej pomocí konzoly pro zotavení opravíme. Než začnete s následujícím postupem, připravte si instalační disk CD-ROM se systémem Windows XP Professional. Poznámka Přesto, že se jedná o celkem jednoduchou operaci, doporučuji v případě, že jsou v počítači PC001 uložena důležitá data, přenést je před následujícím postupem do jiného počítače. Poškození instalace počítače PC001

1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a v oddílu C: odstraňte soubor Ntldr Poznámka Pokud není soubor Ntldr zobrazen, nastavte zobrazování skrytých a systémových souborů.

3.

Restartujte počítač. Operační systém se nespustí, namísto toho se zobrazí zpráva NTLDR nenalezen. Restartujte stisknutím kláves Ctrl+Alt+Del.

Poznámka Tato záležitost byla v systémech Windows NT 4.0 řešitelná pouze pomocí opravné diskety systému nebo obnovením počítače ze zálohy. Z praxe vím, že opravnou disketu používal málokdo a zálohování pracovní stanice se systémem Windows NT 4.0 bylo téměř vyloučeno (stanice se běžně nezálohují, navíc zálohovat se v tomto systému dalo pouze na pásková zařízení, která byla výsadou serverů). Oprava poškození pomocí Konzoly pro zotavení

1. Do jednotky CD-ROM počítače PC001 vložte instalační disk CD-ROM se systémem Windows XP Professional a spusťte počítač. Poznámka Možná budete muset změnit pořadí spouštěcích zařízení (na první místo zařadit jednotku CD-ROM).

2. Pro spuštění počítače z disku CD-ROM stiskněte v okamžik zobrazení zprávy libo volnou klávesu. Proběhne první fáze spuštění počítače, která je shodná s počát kem instalace operačního systému Windows XP Professional. 3. Na obrazovce Upozornění instalačního programu stiskněte klávesu Enter pokračování v instalaci. 4. Na obrazovce Vítá vás instalační program stiskněte klávesu R - spuštění Konzoly pro zotavení.


175

Obrázek 16.2 Úvodní obrazovka Konzoly pro zotavení 5. Zadejte číslo 1, neboť je třeba se přihlásit k této instalaci. Pokud by v počítači bylo více operačních systémů, bylo by uvedeno i více položek. Poté stiskněte k l á v e su Enter.

6, Nyní je třeba zadat heslo místního účtu Administrátor, tedy heslo zadávané během instalace systému. Pokud máte potíže vzpomenout si na něj, zde vidíte, jak důležité je si podstatná hesla ukládat do trezoru. V našem případě s jednalo o heslo K@flcko. Poznámka I když jste podle doporučení přejmenovali místní účet Administrátor, Konzole pro zotavení je to jedno a vždy po vás bude vyžadovat heslo účtu Administrátor. Zadejte tedy vždy heslo tohoto přejmenovaného účtu.

7. Zadejte příkaz copy D : \ i 3 8 6 \ n t l d r C: \ a stiskněte klávesu Enter (D je písmeno vaší jednotky CD-ROM). Dojde ke zkopírování souboru Ntldr do kořenové složky jednotky C:. 8. Zadejte příkaz Exit. Dojde k restartování a následnému běžnému spuštění počítače. Pomocí Konzoly pro zotavení jsme nyní během několika minut vyřešili vcelku zásadní problém. I tak má v tomto režimu konzola ještě některá omezení. Například: ♦ Není možné získat přístup například ke složkám Program Files, Documents and Settings. ♦ Nelze kopírovat soubory z pevného disku na disketu. Abychom umožnili provádět pomocí Konzoly pro zotavení co nejvíce úloh, je vhodné provést následující nastavení: 1. K počítači PC001 se přihlaste jako správci (pokud jste přihlášeni jako běžný uživatel, spusťte následující nástroj pod účtem správce). 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na název domény (studny.local) a v místní nabídce zvolte položku Vlastnosti. 4. Na kartě Zásady skupiny poklepejte na objekt Default Domain Policy. 5. V nástroji Zásady skupiny přejděte do složky Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\ Místní zásady\Možnosti zabezpečení. 6. V pravém podokně konzoly poklepejte na možnost Konzola pro zotavení:Umožnit kopírování disket a přístup ke všem jednotkám a složkám, zaškrtněte políčka Definovat toto nastavení zásad a Povolit a klepnutím na tlačítko OK zavřete dialogové okno. 7. Zavřete všechny nástroje. Po aplikaci zásad do všech počítačů v doméně bude při případném použití Konzoly pro zotavení možné kopírovat soubory obousměrně a přistupovat do všech složek. V předchozím případě, kdy v systému chyběl zavaděč operačního systému, bylo nutné spustit Konzolu pro zotavení z instalačního disku CD-ROM se systémem Windows XI3 Professional. Pokud bychom chtěli pomocí Konzoly pro zotavení pouze změnit typ spuštění konkrétní služby z Automaticky na Zakázáno, je čekání na spuštění Konzoly pro zotavení z instalačního disku CD-ROM nekonečné. Na takové případy se lze připravil do předu a Konzolu pro zotavení do systému nainstalovat. instalace Konzoly pro zotavení na server

1. Přihlaste se k serveru SRVR001 jako správci. 2. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows Server 2003. 3. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz D : \ i 3 8 6 \ w i n n t 3 2 . e x e /cmdcons,

kde D je písmeno jednotky CD-ROM. Poznámka Pokud máte instalační soubory operačního systému v síti, můžete tuto instalaci spustit přímo ze sítě.

4. V dialogovém okně s informacemi o instalaci Konzoly pro zotavení klepněte na tlačítko Ano. Instalace poté proběhne automaticky. Poznámka Pokud server není připojen k Internetu, klepněte v dialogovém okně Dynamická aktualizace na klávesu Esc a poté klepněte na tlačítko Ano. Stažení souborů tak přeskočíte a instalace může pokračovat.

Všimli jste si doby, kterou instalace Konzoly pro zotavení zabrala? Je řádově kratší než spuštění Konzoly pro zotavení z


176

instalačního disku CD-ROM. Konzolu pro zotavení tedy vždy instalujte po dokončení instalace operačního systému. Alespoň na servery. V případě potíží si tak ušetříte čas.

Zálohování systému V operačním systému Microsoft Windows 2000 doznala oblast zálohování podstatné změny k lepšímu. Zálohování se stalo průhlednějším a přibyla možnost provádět zálohování také na místní disk nebo do vzdáleného umístění. Zálohování systému - to není jenom zálohování důležitých dokumentů. Velmi podstatnou součástí zálohování je uložení nastavení systému - tedy konfigurace registru, uživatelských účtů a podobně. V systému Windows NT 4.0 vládla v této oblasti dost velká ne-vole správců, kteří přesně nevěděli, co všechno by pro uchování nastavení daného systému měli zálohovat. Celý registr nebo jenom část? Soubor, ve kterém jsou uložené účty uživatelu nebo ještě něco k němu? Nejasností bylo mnoho a vše vyřešil zálohovací programu v systému Windows 2000. Tento přístup k zálohování pokračuje také v systému Windows XP Professional (spolu s dalšími novinkami i ve veškerých serverových systémech od verze Windows 2000 Server). Co zálohovat? Každý správce dobře ví, že cílem zálohování je úspěšná obnova dat. Pod pojmem úspěšná obnova si ale každý může představit něco trochu jiného. Zatímco pro některé uživatele je úspěšnou obnovou získání svých souborů uložených na serveru, pro správce je úspěšnou obnovou správná funkce celého serveru (spuštění potřebných služeb, funkci-aplikaci či databází, funkční ověřování uživatelů na řadiči domény apod.). Pokud pomineme oblast klientských počítačů, které se ve větších sítích opravdu nezálohují a budeme se věnovat pouze serverům, budou nás zajímat následující oblasti: ♦ Zálohování souborů Jedná se o ten nejjednodušší přístup k zálohování, kdy výsledkem je pouze uložení daných souborů (či celých složek se soubory) do souboru zálohy. ♦ Zálohování nastavení Jedná se o zálohování nastavení systému, které má vliv na správnou konfiguraci a funkčnost všech částí systému po obnovení. Pojem, který se v této souvislosti v systémech Windows 2000/XP/2003 používá, je Stav systému (System state). Při celkovém zálohování serveru je pochopitelně nutné myslet na obě části tak, aby obnova byla úplná a úspěšná. Zálohování stavu systému

Jako správci musíte vědět, co se při zálohování systému vlastně zálohuje. Podíváme-li se do naší sítě, obsahuje stav systému následující položky: ♦ Klientské počítače Součástí zálohy stavu systému jsou spouštěcí soubory systému, databáze prvků COM+ a registr systému. Obrázek 16.3 Obsah položky Stav systému v systému Windows XP Professional

♦ Server Součástí zálohy stavu systému je databáze Active Directory (tedy celá doménová databáze), spouštěcí soubory systému (Boot.ini, Ntldr, Ntdetect.com a další), databáze prvků COM+ (aplikace zajišťující funkce součástí operačního systému a aplikací), registr systému a obsah složky SYSVOL (složka obsahující objekty Zásad skupiny a spouštěcí skripty, jejíž obsah se automaticky replikuje mezi řadiči domény). Poznámka Stav systému se musí vždy zálohovat jako celek. Nelze z něj vyjmout pouze jednotlivé součásti (například registr).

Tabulka níže obsahuje informace, které položky je třeba zálohovat pro úspěšné obnově ní systému.


177

Obrázek 16.4 Obsah položky Stav systému v systému Windows Server 2003

Chcete-li obnovit\ Je třeba zálohovat Doménovou databázi jako celek nebo její část (například odstraněný účet) Místní uživatelské účty Operační systém O p e r a č ní systém A APLIKACE

Konkrétní soubory

Klientský počítač

členský server

—

Řadič domény Stav systému (System statě)

Stav systému

Stav systému

Stav systému + obsah složky %WINDIR% Stav systému + složku %WINDIR% + všechny složky, ve kterých má aplikace soubory a data (například Program Files)

Stav systému + obsah Stav systému + složky %WINDIR% obsah složky %WINDIR% Stav systému + složku Stav systému + složku %WINDIR% + všechny %WINDIR% + všechny složky, ve kterých má složky, ve kterých má aplikace soubory aplikace soubory a data a data (například (například Program Files) Program Files)

Přímo soubory nebo složku s požadovanými soubory

Přímo soubory nebo složku s požadovanými soubory

Přímo soubory nebo složku s požadovanými souboiy

Tabulka 16.1 Co je třeba zálohovat pro úspěšné obnovení Nástroje pro zálohování

Systémy Windows v sobě obsahují nástroj pro zálohování (viz obrázky 16.3 a 16.4). Jedná se o nástroj s příznačným názvem Zálohování. Nejjednodušší a nejrychlejší spuštěni tohoto nástroje dosáhnete zadáním příkazu NTBackup.exe do pole Otevřít v dialogovém okně Spustitt. Poznámka Jiným způsobem spuštění je klepnutí na položku Zálohování v cestě Nabídka Start -> Všechny programy -> Příslušenství -» Systémové nástroje.

První spuštění tohoto nástroje je v systémech Windows XP/2003 vždy ve formě průvodce. Pro správce to není zcela optimální způsob, takže je vhodné zrušit při prvním spuštění zaškrtnutí políčka, které to má na svědomí, poté klepnout na tlačítko Storno a nástroj spustit znovu. Existuje spousta dalších nástrojů od jiných výrobců pro zálohování systému. V případě, že byste o takovém nástroji uvažovali, dobře si před jeho koupí zjistěte, co umí navíc proti standardnímu nástroji v systému Windows. Viděl jsem již dost případů, kciy bylo pořízení nástroje pro zálohování velmi drahé, pro správce zklamáním a z hlediska systému nepřineslo kromě jiného rozhraní nic nového. Z praxe mohu doporučit, že v 80 % případů postačuje pro účely zálohování systémový nástroj Zálohování! Typy zálohování Při zálohování lze rozlišit 5 typů záloh. Pokud budeme k zálohování přistupovat systémově, budou nás zajímat pouze 3 z nich. Pojďme do praxe. Zálohování umožní obnovit data, o která uživatelé přišli. Hlavní otázkou je, jak aktuální data bude ještě možné v případě jejich ztráty obnovit. Zřejmě se nedá moc očekávat, že soubor, který si uživatel vytvořil před 5 minutami a před minutou jej omylem odstranil, bude správce schopen obnovit. Na druhou stranu není vždy možné zálohovat soubory pouze jednou denně uživatelé by tak neměli většinu aktuálních, dnešních dat. Zálohovat jednou denně tedy nemusí v síti postačovat (i když u některých dat to vyhovuje) a je třeba zajistit, aby se zálohování provádělo častěji. Provádět ale tu samou zálohu v noci i ve dne nemusí být únosné z hlediska vytížení prostředků serveru. Přes den musí být servery k dispozici uživatelům pro jiné 178 Mistrovství v Microsoft Windows Server 2003

činnosti a uživatelé by provádění zálohy neměli při své práci vůbec pocítit. Jak to vymyslet? Existují dva přístupy. První z nich je z hlediska zálohování relativně rychlý, takže uživatelé jej opravdu nemusí nijak pocítit. Má však jednu nevýhodu - případná obnova bude složitější a bude trvat déle. Druhý přístup je přesně opačný. Síť, a tedy i uživatele zatíží více, případná obnova však bude jednodušší a rychlejší. V prvním případě se takové zálohování označuje jako přírůstkové (inkrementální), ve druhém jako rozdílové (diferenciální). Oba uvedené typy záloh však pouze doplňují zálohování nejdůležitější - normální neboli úplné. Jak zálohovat? Protože existuje více možností zálohování, je třeba vždy stanovit strategii zálohování pro konkrétní počítač, a tu následně dodržovat. Volba strategie záleží na rychlosti všech z a ř í zení, která se zálohování účastní, na dostupnosti dat, na omezeních v síti po dobu zálohování a také na vytížení zálohovaných serverů během zálohování a požadavcích uživatelů. Pro vlastní klid a jistotu, že strategie zálohování bude funkční, je třeba zapracovat do strategie zálohování ještě jednu záležitost - pravidelné obnovení zálohy do počítače miniu provozní prostředí. Jedná se o velmi důležitou - a v praxi velmi opomíjenou - činnost Nejen že vám v tom nejhorším případě může celou strategii zálohování vyvrátit, ale mimo jiné si cvičným obnovením zálohy ověříte, jak dlouho obnovení vůbec trvá (vždyť to je to jediné, co zajímá šéfy i uživatele) a také se je naučíte provádět. V naší síti bychom mohli použít velmi jednoduchou strategii, neboť zde nejsou žádné překážky pro to, aby se za noc zálohování důležitých dat nestihlo. Abychom však obsáhli i další strategie zálohování, budeme předpokládat velké množství dat na serveru a ne-možnost stihnout všechna zálohovat přes noc. Strategie 1 (normální + přírůstkové zálohování)

Tato strategie zajistí, že všechna data se budou najednou zálohovat během víkendu a každý den v noci se budou zálohovat pouze nové a změněné soubory. Jiným příkladem by mohlo být zálohování všech dat noci a nových položek přes den (prakticky je to stejný přístup, přičemž konkrétní strategie je vždy založena na tom, za jak dlouho se daný objem dat stihne zálohovat). Cílem je, aby zálohování nových souborů v noci bylo co nejrychlejší (proto budeme zálohovat pouze nové a změněné soubory). Víkendové zálohování budeme provádět vždy do stejného souboru, pro noční přírůstkové zálohování budeme mít k dispozici 5 souborů. Celkem 6 souborů tedy budeme neustále střídat s tím, že starší zálohy v nich zůstávat nebudou. Cílem správců dále je, aby zálohování bylo pokud možno automatické. Vyjdeme tomuto požadavku vstříc a nakonfigurujeme potřebné úlohy pro automatické spouštění. Konfigurace víkendového normálního zálohování

Předpoklady: Normální zálohování každou sobotu ve 23.00 do souboru NormalVse.bkf do složky C:\Zalohy, přírůstkové zálohování každý pracovní den ve 23.00 do souborů Po.bkf, Ut.bkf, St.bkf, Ct.bkf a Pa.bkf do složky C:\Zalohy. 1. K počítači SRVR001 se přihlaste jako správci. 2. Spusťte program pro zálohování dat (NTBackup.exe). 3. V programu Zálohování klepněte na kartu Naplánované úlohy a v kalendáři poklepejte na tlačítko přidat úlohu. 4. Spustí se Průvodce zálohováním. Pokračujte klepnutím na tlačítko Další. 5. V dialogovém okně Zálohovat zaškrtněte políčko Zálohovat vše v tomto počítači a klepněte na tlačítko Další. 6. V dialogovém okně Typ, umístění a název zálohy zadejte umístění C:\Zaloha\ a název zálohy NormalVse. Pro tyto účely budete možná muset vytvořit složku Zálohy na jednotce C:. Poté klepněte na tlačítko Další. 7. V dialogovém okně Typ zálohování vyberte v rozevíracím seznamu typ záloho vání Normální a poté klepněte na tlačítko Další. 8. Na kartě Způsob zálohování nezaškrtávejte žádnou z možností a klepněte na tla č í t k o Další. 9.. V dialogovém okně Možnosti zálohování zaškrtněte políčko Nahradit existující zálohy a poté políčko Umožnit přístup k zálohovaným datům a k libovolným zálohám přidaným na toto médium pouze vlastníkovi a správci. Klepněte na tlačítko Další. 10. V dialogovém okně Čas zálohování ponechte zaškrtnuté políčko Později, do pole Název úlohy zadejte text Normální záloha všeho a klepněte na tlačítko Naplánovat. 11. V dialogovém okně Naplánovat úlohu vyberte v poli Naplánovat úlohu položku Týdně, do pole Čas spuštění zadejte čas 23:00 a v části Týdenní naplánování zaškrtněte pouze položku So. Poté klepněte na tlačítko OK. V průvodci zálohováním pokračuje klepnutím na tlačítko Další. 12. V dialogovém okně Nastavit informace o účtu zadejte účet a heslo správce, který má oprávnění zálohovat data. Použijte účet ITSpraval a poté klepněte na tlačítko OK. Poznámka Pro tento účel by bylo z hlediska zabezpečení sítě vhodnější vytvořit nový účet s dostatečně silným heslem, zaškrtnout v jeho vlastnostech políčko Heslo je stále platné a vložit jej do skupiny Backup Operators.

13. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. V kalendáři programu Zálohování se zobrazí v každou sobotu ikonka s písmenem N označujícímtyp zálohy. Nyní se v systému stala jediná věc. Vznikla nová naplánovaná úloha, která je pro další konfiguraci k dispozici po klepnutí na panel naplánované úlohy v okně Ovládací panely. Konfigurace přírůstkového zálohování v pracovní dny

Při konfiguraci přírůstkového zálohování postupujte podle stejných pokynů s následujícími rozdíly: ♦ Název zálohy (bod 6) změňte na IncrPo.


179

♦ ♦ ♦ ♦

Typ zálohování (bod 7) zvolte Přírůstkové. Název úlohy zadejte Přírůstková záloha Po všeho (bod 10). V poli Týdenní naplánování zaškrtněte pouze položku Po (bod 11). V programu Zálohování se zobrazí každé pondělí ikonka s písmenem P.

Celý postup opakujte ještě čtyřikrát pro ostatní dny v týdnu (s příslušnými úpravami v názvech a položkách). Vznikne tak dalších 5 naplánovaných úloh. Obnovení zálohy podle strategie 1

Předpokládejme, že zálohování v souladu s naplánovanými úlohami již nějakou dobu probíhá. Dnes je například čtvrtek, poslední normální záloha je z minulé soboty a poslední přírůstková záloha je ze středečního večera. Jak postupovat, pokud je nyní třeba obnovit data? Zde je třeba si uvědomit, jak přírůstkové zálohování pracuje. Každý soubor má jeden atribut (nazvaný Archivace), který jej označuje pro zálohování. Po provedení normální zálohy se tento atribut u všech zálohovaných souborů zruší (jeho hodnota je FALSE). Poté přichází na řadu přírůstková záloha. U té jsme sice definovali, že má zálohovat vše v tomto počítači, což znamená, že projde všechny položky k zálohování, ale provede zálohu pouze těch položek, které budou mít hodnotu atributu Archivace TRUE. Tuto hodnotu atribut získá, pokud se objekt změní nebo pokud vznikne nový. Po zálohování daného objektu nastaví atribut Zálohování na FALŠE. Přírůstková záloha tedy zálohuje pouze nové si změněné položky od poslední normální nebo přírůstkové zálohy. Dál se říci, že pokud je denní objem nových a změněných dat stejný, bude mít soubor přírůstkové zálohy každý den přibližně stejnou velikost. Z uvedených informací vyplývá také nutnost použít následující postup obnovy: 1. Obnovení normální zálohy z poslední soboty. 2. Obnovení přírůstkové zálohy z tohoto pondělí. 3. Obnovení přírůstkové zálohy z tohoto úterý. 4. Obnovení přírůstkové zálohy z této středy. Pokud by například přírůstková úterní záloha nebyla v pořádku (nešla by obnovit), budou mít uživatelé k dispozici jako nejčerstvější data pondělní. Výhody této strategie jsou jasné - přírůstkové zálohování bude ze všech možných typů trvat nejkratší dobu, takže zabere nejméně prostředků systému. S tím jde ruku v ruce nevýhoda při obnovení - to bude delší, neboť je nutné obnovit poslední normální a všechny předešlé přírůstkové zálohy. Strategie 2 (normální + rozdílové zálohování)

Tato strategie zajistí, že všechna data se budou najednou zálohovat během víkendu a každý den v noci se budou zálohovat pouze nové a změněné soubory od víkendové zálohy (v tom je hlavní rozdíl oproti předchozí strategii). Víkendové zálohování budeme provádět vždy do stejného souboru, pro noční rozdílové zálohování budeme mít k dispozici 5 souborů. Celkem 6 souborů tedy budeme neustále střídat s tím, že starší zálohy v nich zůstávat nebudou. Konfigurace víkendového normálního zálohování

Předpoklady: Normální zálohování každou sobotu ve 23-00 do souboru NormalVse.bkf do složky C:\Zalohy, přírůstkové zálohování každý pracovní den ve 23.00 do souborů Po.bkf, Ut.bkf, St.bkf, Ct.bkf a Pa,bkf do složky C:\Zalohy. 1. K počítači SRVR001 se přihlaste jako správci. 2. Spusťte program pro zálohování dat (NTBackup.exe). 3. V programu Zálohování klepněte na kartu Naplánované úlohy a v kalendáři poklepejte na tlačítko přidat úlohu. 4. Spustí se Průvodce zálohováním. Pokračujte klepnutím na tlačítko Další. 5. V dialogovém okně Zálohovat zaškrtněte políčko Zálohovat vše v tomto počítači a klepněte na tlačítko Další. 6. V dialogovém okně Typ, umístění a název zálohy zadejte umístění C:\Zaloha\:i název zálohy NormalVse. Pro tyto účely budete možná muset vytvořit složku Zálohy na jednotce C:. Poté klepněte na tlačítko Další. 7. V dialogovém okně Typ zálohování vyberte v rozevíracím seznamu typ zálohování Normální a poté klepněte na tlačítko Další. 8. Na kartě Způsob zálohování nezaškrtávejte žádnou z možností a klepněte natlačítko Další. 9. V dialogovém okně Možnosti zálohování zaškrtněte políčko Nahradit existující zálohy a poté políčko Umožnit přístup k zálohovaným datům a k libovolným zálohám přidaným na toto médium pouze vlastníkovi a správci. Klepněte na tlačítko Další. 10. V dialogovém okně Čas zálohování ponechte zaškrtnuté políčko Později, do pole Název úlohy zadejte text Normální záloha všeho a klepněte na tlačítko Naplánovat. 11. V dialogovém okně Naplánovat úlohu vyberte v poli Naplánovat úlohu položku Týdně, do pole Čas spuštění zadejte čas 23:00 a v části Týdenní naplánování zaškrtněte pouze položku So. Poté klepněte na tlačítko OK. V průvodci zálohováním pokračuje klepnutím na tlačítko Další. 12. V dialogovém okně Nastavit informace o účtu zadejte účet a heslo správce, který má oprávnění zálohovat data. Použijte účet ITSprava1a poté klepněte na tlačítko OK. Poznámka Pro tento účel by bylo z hlediska zabezpečení sítě vytvořit nový účet s dostatečně silným heslem, zaškrtnout v jeho


180

vlastnostech políčko Heslo je stále platné a vložit jej do skupiny Backup Operators.

13. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. V kalendáři programu Zálohování se zobrazí v každou sobotu ikonka s písmenem N označujícím typ zálohy. Nyní se v systému stala jediná věc. Vznikla nová naplánovaná úloha, která je pro další konfiguraci k dispozici po klepnutí na panel naplánované úlohy v okně Ovládací panely. Konfigurace přírůstkového zálohování v pracovní dny

Při konfiguraci přírůstkového zálohování postupujte podle stejných pokynů s následujícími rozdíly: ♦ Název zálohy (bod 6) změňte na Rozdílové. ♦ Typ zálohování (bod 7) zvolte Rozdílové. ♦ Název úlohy zadejte Rozdílová záloha Po všeho (bod 10). ♦ V poli Týdenní naplánování zaškrtněte pouze položku Po (bod 11). ♦ V programu Zálohování se zobrazí každé pondělí ikonka s písmenem R. Celý postup opakujte ještě čtyřikrát pro ostatní dny v týdnu (s příslušnými úpravami v názvech a položkách). Vznikne tak dalších 5 naplánovaných úloh. Obnovení zálohy podle strategie 2

Předpokládejme, že zálohování v souladu s naplánovanými úlohami již nějakou dobu probíhá. Dnes je například čtvrtek, poslední normální záloha je z minulé soboty a poslední rozdílová záloha je ze středečního večera. Jak postupovat, pokud je nyní třeba obnovil data? Jak pracuje rozdílové zálohování?. Rozdílová záloha zálohuje všechny soubory v zadaném rozsahu (například všechny soubory jednotky C:), jejichž atribut Archivace má hodnotu TRUE (je zaškrtnut) V tom se tedy chová stejně jako přírůstkové zálohování. Po provedení zálohy souboru však jeho atributu Archivace ponechá hodnotu TRUE (zde je jediný rozdíl mezi rozdílovou a přírůstkovou zálohou). Další rozdílové zálohování tedy bude t a kovy soubor zálohovat znovu, ačkoli se vůbec nemusel změnit. Rozdílová záloha tedy zálohuje nové či změněné položky od poslední normální nebo přírůstkové zálohy. Předchozí rozdílová záloha tuto zálohu nijak neovlivňuje. Z uvedených informací vyplývá nutnost použít následující postup obnovy: 1. Obnovení normální zálohy z poslední soboty. 2. Obnovení poslední rozdílové zálohy (středa). Nevýhodou této strategie je v porovnání s předchozí delší doba zálohování. I ve čtvrtek se budou zálohovat data, která byla zálohována v pondělí, úterý i ve středu. Toto chováni ale správci ocení při případné obnově, která bude velmi rychlá - stačí obnovit pouze dva soubory. Uvedené dvě strategie zálohování tvoří 98 % používaných strategií v praxi. Ano, můžete se setkat se strategií, kde na jednu normální zálohu připadají dvě až tři přírůstkové, ale není to v principu to samé? Jistěže je. Konkrétní strategie se vždy liší buď časem či frekvencí zálohování, z pohledu systémového jsou však stejné. Úprava naplánovaných úloh zálohování Pokud se podíváte do vlastností automaticky vytvořených naplánovaných úloh programem Zálohování, zjistíte, že daná úloha se skládá ze spuštění nástroje ntbackup.exe s parametrem. Tím parametrem je soubor. To není nic tak zvláštního, ale všimněte si umístění tohoto souboru (viz obrázek 16.5). Obrázek 16.5 Vlastnosti naplánované úlohy pro zálohování¨

Soubor obsahující parametry úlohy je součástí profilu uživatele! To zřejmě není optimální umístění. Profil uživatele může správce počítače kdykoli odstranit a s ním i potřebné soubory. Možná tedy bude vhodné tyto soubory přemístit mimo profil uživatele (napři klad do složky PlanZaloh jednotky C:). Zároveň nezapomeňte nadefinovat správná oprávnení přístupu (účet, pod kterým se naplánovaná úloha spouští, musí mít k souboru alespoň oprávnění Číst).


181

Obnovení Active Directory Pro úplnost a praktické používání uvedených strategií je ještě nutné doplnit informace o obnovení adresářové služby Active Directory. Její záloha je součástí položky Stav systému (Systemstate), která se musí vždy zálohovat kompletně celá. To však není na překážku. V této části si ukážeme postup obnovení služby Active Directory pro případ, že by kompletně odešel server SRVR001 a poté se podíváme na obnovu Active Directory v prostředí více řadičů domény (více řadičů domény se doporučuje i v té nejmenší síti, takže je jenom otázka času, kdy se s ní setkáte).

Obnovení Active Directory v prostředí s jedním řadičem domény (neautoritativní obnovení) Předpokládejme, že máme k dispozici soubor se zálohou stavu systému řadiče domény, do kterého chceme počítač vrátit. 1. Restartujte počítač SRVR001 a spusťte jej v režimu Obnovení adresářové služby (při spouštění systému stiskněte klávesu F8 a vyberte tento režim). Jedná se o jediný případ řadiče domény, kdy v něm nedojde ke spuštění adresáře Active Directory. Jenže jakým účtem se poté přihlásit? Místní účty v řadiči domény neexistují a doména nepracuje? K přihlášení je nutné použít účet, jehož heslo jste definovali při instalaci řadiče domény (viz postup v kapitole 7, „Instalace domény"). 2. V přihlašovacím dialogovém okně zadejte účet Administrátor a heslo. Pokud si na heslo nevzpomenete, jakékoli pokusy o obnovení Active Directory končí. 3. Po úspěšném přihlášení spusťte nástroj Zálohování a klepněte na kartu Obnovení a správa média. 4. V pravé části okna poklepejte na jmenovku zálohy, pomocí které jste zálohu stavu systému označili a poté zaškrtněte položku System statě. 5. Klepněte na tlačítko Spustit obnovení. Nyní dojde k přepsání aktuálního stavusystému zálohou. 6. Po úspěšném provedení obnovy se zobrazí informace o nutnosti restartovat počítač. Klepněte na tlačítko Ano. Po restartování počítače bude obnovena doménová databáze Active Directory. Uvedený postup se dá použít ve dvou situacích: ♦ Obnovení domény v prostředí s jedním řadičem domény ♦ Úplné obnovení řadiče domény v prostředí domény s více řadiči Postup tedy nelze uplatnit v prostředí s více řadiči domény, pokud chcete například obnovit omylem odstraněný účet uživatele. V takovém případě je třeba použít autoritatn ni obnovení Active Directory.

Obnovení Active Directory v prostředí s více řadiči domény (autoritativní obnovení) Pro úplné pochopení následující části předpokládejme, že máme v síti dva řadiče domé ny - SRVR001 a SRVR002. V doménách Active Directory již neexistuje role PDC/BDC, ale doménové informace lze měnit na kterémkoli řadiči. Po změně následuje replikace, u které platí, že novější informace vždy vítězí. Předpokládejme, že některý ze správců omylem odstranil doménový účet uživatele Obchod2. V protokolu zabezpečení zjistíte, že se tak stalo v pondělí v 11.25. K obnovení účtu nevede jiná cesta než obnovení Active Directory. Zjistíte, že poslední záloha stavu systému na řadiči domény SRVR001 proběhla v neděli ve 23.47. Poznámka V tomto případě je jedno, na kterém z řadičů domény provedete obnovení stavu systému. V takovém případě si vyberte počítač, jehož nedostupnost po dobu obnovení bude nejméně bolet.

Pokud nyní provedete obnovení databáze Active Directory podle výše uvedeného postupu, dojde k nepříjemné situaci. Rozdíly mezi dvěma doménovými databázemi na serverech SRVR001 a SRVR002 budou v tu chvíli pouze v obnoveném účtu. Porovnají se tedy jeho časová razítka. Informace o existenci účtu uživatele Obchod2 na serveru SRVR001 bude mít časové razítko Neděle, 23:47. Informace o neexistenci účtu uživatele Obchod2 na serveru SRVR002 bude mít aktuální časové razítko (například Pondělí, 16:20). Informace na serveru SRVR002 je tak novější než informace na serveru SRVR001 a bude se pro-to při nejbližší příležitosti replikovat na server SRVR001. Výsledkem bude, že za krátkou chvil k u účet uživatele Obchod2 z domény opět zmizí. Tuková situace je samozřejmě nepříjemná a čas strávený obnovením Active Directory na serveru SRVR001 byl zbytečný. Jak na to? Je třeba provést tzv. autoritativní obnovení účtu Obchod2 (je zbytečné obnovovat autoritativně celou doménu) neboli dát ihned po obnovení učtu Obchod2 aktuální časové razítko, Postup obnovení bude stejný jako výše uvedený až do bodu 6, tedy do zobrazení informace o nutnosti restartovat počítač. Zde je nutné klepnout na tlačítko Ne! 7. Poté spusťte příkazový řádek a zadejte příkaz n t d s u t i l . 8. Dále zadejte následující příkazy (předpokládejme, že účet Obchod2 byl přítomen v kontejneru Users): authoritative restore restore subtree CN=Obchod2,CN=Users,DC=studny,DC=1ocal quit quit

exit 8. Restartujte řadič domény.

V případě autoritativní obnovy celé databáze Active Directory je posloupnost příkazů nástroje ntdsutil následující: authoratitave restore restore database V dialogovém okně klepněte na tlačítko OK a poté na tlačítko Ano.


182

Stínová kopie svazku Stínová kopie svazku je novou vlastností systémů Windows XP a Windows Server 2003. Umožňuje zálohovat také otevřené soubory, což byla v předchozích verzích systému Windows (včetně Windows 2000) věc nemyslitelná. Vhodným příkladem pro využití této funkce je následující případ. Účetní vaší organizace používá jednoduchý účetní program odpovídající systému MS-DOS. Protože účetní data je třeba zálohovat, potřebujete vymyslet strategii pro zálohování. Data této aplikace přitom nemohou být uložena na serveru, ale pouze v místním počítači. Zálohování se provádí prostým zkopírováním (nebo zálohováním) souborů ve složce APPS (program nemá vlastní zálohovací mechanismus). Abyste mohli zálohovat tyto soubory automaticky, je třeba splnit následující podmínky: ♦ Počítač účetní musí být po dobu zálohování zapnut. ♦ Účetní program musí být ukončen (aby nezůstaly otevřené žádné soubory, se kterými může spuštěný program pracovat). Zejména s druhým požadavkem má účetní stále potíže. Program nikdy neukončuje, takže to za ni musíte dělat každý den vy. V duchu pak proklínáte jak účetní, tak tvůrce tohoto úžasného programu. Vysvobozením z této situace bude pro všechny nasazení systému Windows XP Professional do počítače paní účetní. Otázku kompatibility programu s tímto systémem ponechme nyní stranou a předpokládejme, že v systému Windows XP Professional běží. Bez ohledu na stav aplikace (ukončení/neukončení) budete nyní schopni zálohovat všechny soubory ve složce APPS i v případě, kdy budou otevřené. Poznámka Funkce stínové kopie svazku není k dispozici v systémech Windows 2000.

stínová kopie svazku a sdílené složky Stínová kopie svazku se dá využít ještě v jednom případě. Je jí možnost vrátit se k předchozí verzi souboru ve sdílené složce na serveru. Předchozí verze — to vás možná ani tak neláká, i když se dá říci, že touto možností nakukuje systém Windows Server 2003 sice malinkou dírkou, ale přesto, do oblasti nástrojů pro správu a verzování dokumentů. Podstatnější je, že v případě odstranění souboru ve vzdálené složce jste jej v předchozích systémech (včetně systémů Windows 2000) nenávratně ztratili (nezůstal bohužel ani v koši), zatímco nyní máte alespoň možnost vrátit se k jeho předchozí verzi (která může byl samozřejmě totožná s aktuální). Sami si můžete porovnat nároky a postupy potřebné pro obnovení dokumentu ze zálohy v systémech Windows 2000 s možností vrátit se k předchozí verzi dokumentu v systému Windows Server 2003. V praxi je právě tato funkce pro přechod souborových serverů ze systému Windows 2000 na systém Windows Server 2003 tím nejpádnějším důvodem. Poznámka Systém Windows 2000 Server funkci stínové kopie svazku nemá.

Stínové kopie sdílených složek jsou standardně vypnuté. Zapínají se na serveru ve vlastnostech dané jednotky, na které jsou sdílené složky uloženy. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a zobrazte dialogové okno vlastností jednotky C: 3. Na kartě Stínové kopie si všimněte, že tato funkce je standardně zakázána. 4. Klepněte na tlačítko Nastavení a upravte případně nastavení vlastností pro tuto jednotku. Pokud bude funkce povolena, budou se stínové kopie svazku vytvářet dvakrát denně. Toto nastavení, stejně jako místo na disku, pro tuto funkci ponechte. Dialogové okno zavřete klepnutím na tlačítko OK. 5. Klepněte na tlačítko Povolit a v dalším dialogovém okně své rozhodnutí potvrďte klepnutím na tlačítko Ano. Proběhne vytvoření první stínové kopie svazku. Informace o této akci se ve formě data okna.

a času promítnou ve spodní části

TIP Sdílené kopie svazku nemusí být nutně uložené na stejném svazku. Pokud máte v počítači více fyzických disků, dosáhnete vyššího výkonu diskového podsystému právě směrováním stínových kopií na jiný fyzický disk. Jedinou podmínkou je, aby byl disk zformátován systémem NTFS. Co na to klienti?

Klientské počítače se systémem Windows XP Professional nemohou funkci stínové kopie svazku ihned využívat. Potřebují k ní instalaci klientského softwaru. Ten je pro klienty se systémem Windows XP Professional k dispozici v operačním systému Windows Server 2003 ve složce %SYSTEMROOT%\system32\clients\twclient\x86 jako soubor twcli32.msi. Instalace klientské aplikace

1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a do pole Adresa zadejte cestu \\SRVR001\c$\windows\system32\clients\twclient\x86\twcli32.msi. Na instaluje se klient Previous Versions Client. Klient pro operační systémy Windows 2000 Server s aktualizací SP3 a vyšší, Windows 2000 Professional a Windows 98 je k dispozici ke stažení na webových stránkách společnost Microsoft na adrese 183 Mistrovství v Microsoft Windows Server 2003

http://www.microsoft.com/windowsserver2003/downloads/shadowncopyclient.mspx. Pro operační systémy Windows NT 4.0 podobný klient neexistuje. Pro systémy nižší než Windows XP je nutné klientský program nainstalovat jak do klientského počítače, tak na server se systémem Windows Server 2003-Klien t y funkce Stínová kopie svazku pro systémy Windows 2000 jazykových verzí CZ i EN naleznete na přiloženém disku CD-ROM. Ověření funkce stínové kopie svazku

1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchod3) 2. Přihlaste s k počítači SRVR001 jako správci a sdílejte nějakou stávající složku obsahující soubory (nejlépe textové). 3. Z počítače PC001 se připojte k počítači SRV001 a otevřete obsah složky Knihovna\Obchod. 4. Pravým tlačítkem myši klepněte na libovolný soubor a zobrazte jeho vlastnosti. Klepněte na kartu Předchozí verze. Pravděpodobně neuvidíte zobrazenu žádnou položku. Poznámka Žádná položka není zobrazena, neboť prakticky žádná předchozí verze tohoto souboru neexistuje.

5. Otevřete daný soubor a upravte jeho obsah. Poté soubor uložte. 6. Opakujte bod 4. Na kartě Předchozí verze byste nyní měli vidět předchozí verzi souboru. Obrázek 16.6 Předchozí verze souboru na kartě Předchozí verze

Předchozí verzi souboru můžete zobrazit po klepnutí na tlačítko Zobrazit. Stínová kopie dokumentu je určena pouze ke čtení. Není tak možné ji upravit a uložit. Pokud chcete předchozí verzi souboru upravit, je nutné ji nejprve pomocí tlačítka Kopírovat zkopírovat do jiného umístění. Pokud jste aktuální soubor omylem odstranili a chcete jej obnovit, postupujte následovně Z klientského počítače zobrazte vlastnosti nadřazené sdílené složky, ve které je dokument uložen. 1. Klepněte na tlačítko Zobrazit. Otevře se předchozí obsah sdílené složky. Přejděte do příslušné složky a konkrétní dokument pomocí schránky systému uložte do původní složky. Pokud jste omylem změnili obsah stávajícího dokumentu, vyberte si na kartě Předchozí verze jeho správnou verzi a poté klepněte na tlačítko Obnovit. Shrnutí funkce stínová kopie svazku

Funkce stínová kopie svazku pomáhá uživatelům rychle obnovit původní soubory v nás ledujících případech: ♦ Při neúmyslném odstranění souboru ♦ Při neúmyslném přepsání obsahu souboru (použití příkazu Uložit namísto Uložit jako) ♦ Při poškození souboru Jedná se skutečně o stínovou kopii svazku, nikoli souborů ve sdílených složkách. To znam e n á , že pokud po vytvoření stínové kopie svazku budete sdílet existující složku, která předtím sdílena nebyla, můžete od té chvíle používat předchozí verze „jejích" souborů.

Závěr Na stav, že náhle odejde server, byste měli být dobře připraveni. Potíže vás mohou čekat jak z hardwarové, tak ze softwarové strany. Strategie a postupy proti výpadkům hardwaru softwarovým chybám či proti omylům uživatelů nebo správců byste měli vytvořit již při návrhu svého prostředí. Systémy Windows XP Professional i Windows Server 2003 obsahují jako první funkci vrácení původního ovladače. Jedná se o velmi užitečnou pomůcku, která může vyřešit potíže během několika sekund. Aby k potížím s ovladači hardwaru pokud možno vůbec nedocházelo, neměli byste do systému instalovat nepodepsané ovladače. Pokud se vyskytnou potíže po spuštění


184

počítače, můžete vyzkoušet spuštění v nouzovém režimu nebo poslední známou platnou konfiguraci. Pokud žádný z těchto způsobů ne-pomáhá, může být problém v některém poškozeném či chybějícím souboru. Své podezření si můžete potvrdit spuštěním v dalším režimu - protokolování. Ten vytváří ve složce %SYSTEMROOT% soubor s názvem NTBTLOG.TXT, který si poté můžete prohlédnout pomocí nástroje Konzola pro zotavení. Jedná se o řádkový nástroj bez grafického rozhraní, pomocí kterého je možné nahlížet i zapisovat do oddílů zformátovaných systémem NTFS. Konzolu pro zotavení lze spustit z instalačního disku CD-ROM nebo ji můžete nainstalovat do počítače. V takovém případě se stane jednou z možností spuštění, Při práci se soubory ve sdílených síťových jednotkách může dojít k jejich poškození, neúmyslnému přepsání obsahu nebo k odstranění. Pro tyto případy je k dispozici funkce Stínová kopie svazku, která vám umožní pracovat s předchozími verzemi souborů. Ty se vytvářejí automaticky ve výchozí konfiguraci dvakrát denně a nejstarší verze se odstraňují v případě, kdy na disku již není v místě vyčleněném této funkci dostatek místa. V klientském počítači musí být pro tento případ systém Windows XP Professional, Windows 2000 nebo dokonce Windows 98 s nainstalovaným klientským programem. Z hardwaru se můžete připravit na výpadky pevných disků. Systém Windows Server 2003 podporuje pro tyto účely svazky RAID 0 (nutné dva fyzické disky) a RAID 5 (nutné nejméně, nejvíce 32 fyzických disků). Klientské operační systémy se svazky odolnými proti chybám pracovat neumějí. Ačkoli oblast týkající se prevence před výpadku systému a zálohování vydala na samostatnou knihu, obsahuje tato kapitola všechny důležité informace, které můžete ve svém prostředí využívat.

Stav sítě Na server SRVR001 je nainstalovaná Konzola pro zotavení. Při spuštění systému se zobrazuje jako jedna z možností spuštění operačního systému. Pro naši síť jsme do budoucna definovali strategii zálohování a vytvořili naplánované úlohy, které se o zálohování budou samy starat. Na straně serveru byla povolena technologie Stínová kopie svazku a na klienty byl nainstalován klientský program pro její využívání. Z hlediska zabezpečení doporučuji do budoucna zálohovat pokud možno na pásky. V případě, že budete používat zálohování na pevný disk, je nejvhodnější zálohovat na jiný fyzický dik, než je systém. Stínovou kopii svazku doporučuji povolit na všech oddílech, ve kterých jsou k dispozici sdílené složky, s tím, že na místo pro ukládání předchozích verzí souborů bude vyčleněn samostatný disk. Vidíte, jak narůstají požadavky na více disků v serveru?


185

Správa prostředí klientských počítaču Uživatelé mají po přihlášení a vygenerování nového profilu k dispozici téměř všechny možnosti operačního systému Windows XP Professional (odpovídající právům skupiny Users). Kromě toho, že by v pracovní době měli po-užívat pouze aplikace, které ke své práci potřebují, tak mohou mimo jiné hrát hry, jež jsou vestavěnou součástí systému, zkoumat konkrétní položky Nabídky Start nebo se denně bavit tím, jaký obrázek bude pro tento den tvořit pozadí jejich pracovní plochy. O t r l e j š í uživatelé jsou ti schopni si přinést diskety či disky CD-ROM s aplikacemi, které nevyžadují instalaci, a bavit se během pracovní doby u nich. A ti nejotrlejší si ze své-ho počítače udělají „palírnu" nejnovějších hitů hudebního i filmového nebe. Nyní se na tuto situaci podívejte pohledem šéfů a majitelu Ti by vše nejraději viděli naprosto opačně. Nebo alespoň tak, aby uživatelé byli maximálně omezeni v možnostech jakéhokoli rozptylování. Pro ty, co se stále nemohou rozhodnout pro obrázek na pozadí pracovní plochy, je jako šité nastavení, které jim jakoukoli změnu zakáže, pro ty již mají chutě spouštět aplikace z disku CD-ROM, je určeno nastavení, které umožní spouštět pouze schválené programy a další. Možností je v systémech Windows XP Professional a Windows Server 2003 až dost. Přibližně o 200 více, než tomu bylo u systémů Windows 2000. V této kapitole se tedy podíváme na několik hlavních oblastí a nakonfigurujeme takové prostředí klientských počítačů, které se bude líbit správcum, šéfům a majitelům a jež zároveň nebude překážkou v běžných pracovních činnostech uživatelů.

Nástroje pro správu klientských počítačů Cílem každého správce je spravovat svěřené prostředí co nejefektivněji. To znamená trávit jeho správou co nejméně času s co nejmenším úsilím a používat k tomu co nejméně nástrojů. Úspěšný správce není ten, který celý den neví, kam dříve skočit. Takový správce bývá spíše brzdou prostředí, neboť jeho celodenní činnost nemůže mít v konečném výsledku větší účinek, než udržení stávajícího prostředí v chodu. Úspěšný správce je ten, který přesně ví, jak vypadají počítače uživatelů, ví, že uživatelé nejsou rozptylování funkcemi, jež pro svou práci nepotřebují, ví, že dokumenty celé společnosti jsou v bezpečí, a ještě má čas zamýšlet se nad rozvojem prostředí, má čas na studium nových technologií a na j experimenty ve své testovací laboratoři. Tato kapitola existuje pro to, aby ukázala správcům, pomocí kterých nástrojů jsou schopni velmi efektivně spravovat prostředí klientských počítačů, tedy prostředí, odkud přichází vždy nejvíce stížností a problémů. Stačí k tomu jediný nástroj, pomocí kterého jste schopni zajistit většinu nastavení, jež zamýšlíte v síti nakonfigurovat. Aby ale byly jeho možnosti využité naplno, je třeba jeho „obsluhu" velmi dobře pochopit. Tak vzhůru do toho!

Zásady skupiny Nástroj Zásady skupiny (Group policy) je jedním z nástrojů technologie IntelliMirror, tedy technologie představené s příchodem systému Windows 2000. Je pokračovatelem nástroje Systémové zásady v systému Windows NT 4.0 a v porovnání s ním přichází s jinou filozofií přístupu, lepší funkčností, s jednodušší a přehlednější konfigurací. Zásady skupiny jsou právě tím nástrojem, který slouží k obrovskému zjednodušení správy klientských počítačů a někdy také k tomu, aby v odděleních správy domény mohlo ubýt několik zaměstnanců. Aby to však neznělo jenom pozitivně, nástroj Zásady skupiny si také něco žádá. Nakonfigurovaná nastavení (tedy zásady) se aplikují pouze na počítače se systémy Windows X I ' Professional, Windows Server 2003 a všechny systémy Windows 2000, které jsou členy domény. Jakmile by se tedy v síti vyskytl počítač s jiným operačním systémem, je nutno mu věnovat zvláštní péči, neboť nástroj Zásady skupiny na něj nebude účinkovat. Možná více péče, než tisícům počítačům se systémem Windows XP Professional dohromady! Úvod do práce s nástrojem zásady skupiny Knih a odborných článků obsahujících tuto tematiku již bylo napsáno mnoho. Nechci te dy na tomto místě spoustu věcí opakovat; raději bych se zaměřil na hlavní vlastnosti nástroje, a poté pokud možno co nejvíce věcí ukázal přímo v praxi na naší síti. Vzhledem k tomu, že jsme již nástroj Zásady skupiny použili několikrát v předchozích kapitolách, budou možná některé z informací opakováním. Ale to je v pořádku, vždyť opa kování je přece matka moudrosti. Nástroj Zásady skupiny je k dispozici v každém počítači se systémem Windows 2000 a vyšším a lze jej v místním počítači spustit dvěma způsoby: ♦ Spuštěním prázdné konzoly MMC a přidáním modulu snap-in s názvem Zásady skupiny. ♦ Spuštěním příkazu gpedit.msc na příkazovém řádku nebo v nabídce Spustit.


186

Obrázek 17.1 Nástroj Zásady skupiny spuštěný místně v počítači se systémem Windows Server 2003

Nástroj obsahuje dvě hlavní části (větve): Konfigurace počítače a Konfigurace uživatele. Jedná se o dvě nejdůležitější části. Rozdělení do dalších skupin pod nimi je pouze z důvodu přehledu správců. Toto rozdělení ale určuje způsob funkce nástroje. Veškerá nastavení nakonfigurovaná v části Konfigurace počítače platí pro počítač bez ohledu na to, jaký se k němu přihlásí uživatel. Nastavení nakonfigurovaná v části konfigurace uživatele platí pro uživatele bez ohledu na to, ke kterému počítači se přihlásí. Pokud si projdete všechna nastavení v obou částech (máte co dělat, je jich hodně přes 700), zjistíte, že některá z nich se vyskytují v obou částech nástroje, některá pouze v jedné z nich. Pokud je nastavení vyskytující se v obou částech v rozporu, platí to z části Konfigurace počítače.

Obrázek 17.2 Tři možnosti konfigurace zásady

Téměř každá zásada má tři možnosti konfigurace: ♦ Není nakonfigurováno Jedná se o výchozí konfiguraci zásady. Pokud není zásada nakonfigurovaná, platí nastavení nadřazené zásady. ♦ Povoleno Je-li zásada povolena, potom platí tak, jak je uvedeno v názvu, případně v jejím popisu. ♦ Zakázáno V tomto stavu je uplatnění zásady zakázané. Soubor nakonfigurovaných zásad tvoří Objekt zásad skupiny (Group Policy object). Ten je poté možné aplikovat v doméně Active Directory na určitou úroveň, například na úroveň domény nebo na úroveň konkrétního kontejneru. Nakonfigurovanými zásadami potom budou všechny počítače (uživatelé), vyskytující se v jeho dosahu.


187

Příklady aplikace objektu zásad skupiny

Obrázek 17.3 Výchozí hierarchická struktura domény Active Directory

Pokud vytvoříte objekt zásad skupiny a aplikujete jej na úroveň domény (studny.locaI) , ovlivní nastavené zásady v části Konfigurace počítače všechny počítače v doméně a nastavení v části Konfigurace uživatele ovlivní všechny doménové uživatele. Takový objekt ve výchozí konfiguraci domény existuje - má název Default Domain Policy a v této knize jsme se s ním již několikrát setkali (a dokonce jej doplňovali). Jeho primárním cílem je konfigurace zabezpečení účtů doménových uživatelů. Pokud vytvoříte objekt zásad skupiny, který aplikujete na úroveň organizační jednotky Domain Controllers (jež obsahuje pouze účty řadičů domény), budou se nastavení v části Konfigurace počítače aplikovat pouze na účty počítačů v dané organizační jednotce (tedy pouze na řadiče domény) a nastavení v části Konfigurace uživatele se nebudou aplikovat vůbec, neboť v kontejneru Domain Controllers žádné uživatelské účty nejsou. Ve výchozí konfiguraci takový objekt existuje a jeho název je Default Domain Controllers Policy. Jeho účelem je výchozí zabezpečení konfigurace řadičů domény. V hierarchické struktuře domény Active Directory platí obdobně jako v systému souborů zásada dědičnosti. Znamená to, že nastavení v objektu aplikovaném na nadřazený kontejner se aplikují automaticky na své členy a dále do podřízených kontejnerů. Existuje však nastavení, které může tomuto procesu na dané úrovni zabránit. Zvláštní postavení mají místní objekty zásad skupiny (viz obrázek 17.1). Jejich nastaveni se týkají pouze místního počítače a uživatelů k němu přihlášených a mají v hierarchií objektů nejnižší prioritu. Pokud objekt s nastaveními odeberete, vrátí se všechny změněné parametry v počítači do původního stavu, jako když žádný objekt zásad neexistoval. Podobně to dopadne v případě, že například účet uživatele přesunete v hierarchii Active Directory na jiné místo, kde již nebude konkrétním objektem ovlivněn. To je ze základních informací vše. V dalších částech této kapitoly se budeme věnovat jednotlivým částem objektu a jejich konfiguraci. Hlavní oblasti zásad skupiny Každý objekt zásad skupiny obsahuje zásady rozdělené do několika oblastí. Pro tyto účely se stačí podívat na oblasti v části Konfigurace počítače, neboť část Konfigurace počíta-če žádné další nové zásady neobsahuje: ♦ Instalace softwaru Tato oblast zajišťuje instalaci, upgrade a odinstalování softwaru. Více informací a její praktické použití je součástí kapitol 18, „Instalujeme aplikace" a 20, „Instalujeme aktualizace Service Pack". ♦ Nastavení zabezpečení Tato velmi důležitá oblast zajišťuje zabezpečení počítačů. Sestává z mnoha nastavení (přibližně 150), týkajících se zásad hesel, auditu přístupů, konfigurace členství ve skupinách, zabezpečení klíčů registru a souborů, zabezpečení protokolu IP a dalších. Další informace o konfiguraci zabezpečení naleznete v kapitole 22, „Zabezpečení serveru a sítě". ♦ Nastavení založená na změně hodnot klíčů v registru Tato oblast obsahuje nejvíce nastavení a týká se možností spouštění programů, jejich nastavení (například aplikace Internet Explorer), zákazu či povolení možností konfigurovat položky v systému atd. Některá z těchto nastavení jsme již využili v předchozích kapitolách.

Hierarchická struktura Active Directory Doména Active Directory má hierarchickou strukturu. Je první takovou doménou z dílny společnosti Microsoft a správci této vlastnosti náležitě využívají. Podle výše uvedených informací není těžké si představit, že nastavení, která se mají týkatvšech uživatelů v doméně, je třeba nakonfigurovat v objektu na úrovni domény, nastavení týkající se jednotlivých oddělení mohou být shromážděna v objektu aplikovaném na úrovni konkrétní organizační jednotky odpovídající danému oddělení. Díky existenci organizačních jednotek (tedy kontejnerů tvořících hierarchii domény Active Directory) tak můžeme velmi efektivně spravovat různé konfigurace uživatelských počítaču povídajících například jednotlivým oddělením. A tak zatímco uživatelé ve skladu nemusí mít vůbec přístup do okna Ovládací panely a uživatelé obchodního odděleni mohou mít přístup pouze k ovládacím panelům Klávesnice a Místní a jazykové nastavení, šéfové mohou mít přístup ke všem ovládacím panelům. Vše záleží na návrhu struktury organizačních jednotek Active Directory a existuje pro to mnoho různých doporučeni a pomůcek. Vzhledem k tomu, že daný objekt (uživatelský účet nebo účet počítače) se v doméně může vyskytovat pouze jednou, musí být struktura Active Directory navržena pečlivě tak, aby se nemusela každý týden předělávat. Jde přece o to mít co nejméně práce a předvádět co nejjednodušší správu prostředí.


188

Pravděpodobně cítíte, že nejdůležitější bude návrh nejvyšší úrovně organizačních jednotek. Pro organizace s rozlehlou působností může první úroveň organizačních jednotek odpovídat geografickému rozložení, pro menší organizace může odpovídat organizačnímu členění. To bude případ také naší společnosti STUDNY s.r.o. Konfigurace Active Directory pro naši organizaci 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte konzolu Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na položku studny.local a v místní nabídce zvolte příkaz Nový -> Organizační jednotka. Do pole Název této jednotky zadejte text Obchod. 4. Postup vytvoření organizačních jednotek opakujte pro oddělení IT, Marketing,Sklad a Vedení. V názvech organizačních jednotek se nebojte používat češtinu. Poznámka Název organizační jednotky můžete kdykoli později změnit a nemusíte se obávat, že by se tato změna jakkoli dotkla práce uživatelů.

Výsledná struktura organizačních jednotek bude vypadat podobně jako na obrázku 17.4.

Obrázek 17.4 Výsledná struktura organizačních jednotek v doméně Active Directory

Aby měla nově vytvořená struktura organizačních jednotek s objekty zásad, které vytvoříme a aplikujeme později, očekávaný efekt, bude nyní třeba do nově vytvořených jednotek přesunout uživatelské účty. Efekt sice zatím nebude žádný, ale infrastrukturu je třeba připravit. To, že efekt na uživatele zatím nebude žádný, nám v danou chvíli dokonce vyhovuji. Znamená to, že účty uživatelů můžeme v doméně Active Directory přesouvat kdykoli. Nezáleží na tom, zda je uživatelé právě využívají či nikoli. Přesun účtů v Active Directory 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte konzolu Uživatelé a počítače služby Active Directory. 3. V levém podokně klepněte na kontejner Users. V pravém okně poté pomocí klávesy Ctrl označte účty Obchod1 až Obchod5, klepněte na ně pravým tlačítkem myši a poté v místní nabídce klepněte na příkaz Přesunout. Zobrazí se dialogové okno se strukturou domény Active Directory. 4. Klepněte na organizační jednotku Obchod a poté na tlačítko OK. 5. Obdobně pokračujte s účty uživatelů ostatních oddělení a nezapomeňte přesunout ani šablony účtů. Poznámka V konzole Uživatelé a počítače služby Active Directory můžete v systému Windows XP Professional a Windows Server 2003 využít technologii Drag-and-Drop. Ve stejné konzole to v systému Windows 2000 nebylo možné. Jedná se o jedno z vylepšení v systému Windows Server 2003.

Účtu počítačů ponechte zatím v kontejneru Computers. Jedná se o výchozí kontejner, ve kterém se účty vytvořily během přidávání počítačů do domény. Do organizační jednotky Domain Controllers a jejího členství nezasahujte! Mohli byste se setkat s obrovskými potížemi při funkcích domény. Vytvořené místní doménové a globální skupiny můžete ponechat ve stávajícím kontejneru nebo je přesunout do příslušných organizačních jednotek. Ale! Za prvé, místní doménové skupiny nemusí mít se stávající strukturou organizačních jednotek nic moc společného a za druhé obecně platí, že přesun skupin ve struktuře Active Directory na funkcích nic nezmění. Proto bych spíše doporučoval ponechat stávající stav. Ten ale na druhou stranu nemusí být pro správce přehledný, neboť v kontejneru Users je nyní mix standartních doménových skupin s uživatelsky vytvořenými. Bude možná lepší vytvořit zvlaštní organizační jednotku nazvanou Skupiny a skupiny, které jsme dosud vytvořili, přesunout do ní. Zvažte sami řešení, které bude optimální pro vás.


189

Poznámka Nepřesouvejte standardní doménové skupiny. Ačkoli přesun stávajících systémových doménových skupin by neměl mít na nic vliv, mohou se při instalaci dalších aplikací vytvářet nové skupiny, jejichž umístění musí zůstat zachováno (taková situace se například vyskytuje po instalaci serveru Exchange 2000).

Doména je nyní připravena tak, abychom mohli začít konfigurovat a uplatňovat zásady. Není na co čekat.

Skryjte vše, co uživatelé nepotřebují Jakékoli položky, které jsou pro práci uživatelů zbytečné, je vhodné jim znepřístupnit (nejlépe úplně skrýt). Uživatelé tak nebudou rozptylování okolnostmi, které k ničemu nepotřebují a budou se tak věnovat pouze své práci.

Co všechno uživatelé nepotřebují? Tak například položky v Nabídce Start. Potřebují v ní uživatelé položku Spustit? Pokud ano, bude se jednat o výjimky. Potřebují přístup do Ovládacích panelů? Možná, že je tato položka v Nabídce Start úplně zbytečně. Ale možná, že by tam být měla, neboť uživatelé některé ovládací panely využívat potřebují. Všimněte si slova NĚKTERÉ - i to lze zařídit. Podobně jako o položce Spustit se můžeme vyjádřit o položkách Místa v síti, Hudba, Obrázky či Poslední dokumenty.

Způsob nasazení zásad skupiny skrývajících položky Požadavky uživatelů v jednotlivých odděleních na konkrétní zásady se mohou lišit. Pokud chcete podobné nastavení v doméně zavést, je nutné postupovat poměrně radikálně: Zásady skupiny nasaďte ihned po instalaci domény Uživatelé tak budou hned od prvního přihlášení oproštěni od položek, které nepotřebují. S takovým stavem se smíří rychleji a bez výraznějších připomínek, než kdybyste je mě- sic nechali bez omezení a poté nepotřebné položky skryli. Ne vždy je ale možné nasadit tyto zásady ihned. To může například vyplývat z poměrů v síti, kdy uživatelé mají ještě k dispozici systémy Windows NT 4.0 (které se zásady skupiny netýkají). Jiným případem může být prostá neznalost správce, který sice doménu Active Directory již nějaký čas provozuje, všechny klientské počítače mají systémy ' Windows XP Professional (nebo Windows 2000 Professional), ale o existenci Zásad skupiny neměl delší dobu vůbec tušení. A v neposlední řadě to může být i neschopnost správců a všech dotčených osob usnést se na tom, jak by klientský počítač uživatele měl vypadat (tedy definovat nastavení konkrétních zásad). Dohodněte si podporu na vyšších místech Pokud budete nasazovat zásady omezující zobrazení některých položek později, dohodněte si podporu u nadřízených. U uživatelů bude mít jistě větší autoritu rozhodnutí ředitele o tom, že z počítačů klientů zmizí veškeré nepotřebné položky, než jejich kolegy správce. To má dokonce i k praxi blíže, neboť podobné zásady by měli definoval například vedoucí jednotlivých oddělení. V jejich zájmu je, aby jejich ovečky pracovaly na 100 %. U konfigurace zásad neváhejte Pokud si nejste přesně jisti, zda máte danou zásadu povolit či nikoli, povolte ji (myšlenu zapnout). Je mnohem lepší vyjít z maximálně omezeného prostředí, v němž později výjimečně některá nastavení zakážete (vypnete), než prostředí téměř neomezit a prováděl to postu pně později.

Konfigurace konkrétních zásad Jen velmi těžko se dá obecně určit, které konkrétní položky by neměli využívat uživatele obchodního oddělení, skladu či vedení. To záleží na konkrétním prostředí, zvycích, požadavcích a možnostech každé organizace. Abychom zde ukázali pokud možno všechny možnosti zásad skupiny, nakonfigurujeme určité zásady pro všechny uživatele a pro jednotlivá oddělení poté „přihodíme" některá další. Zásady pro celou organizaci 1. K počítači PC001 se přihlaste jako správci. 2. Spusťte konzolu Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na položku domény (studny.local) a poté v místní nabídce klepněte na kartu Zásady skupiny. 4. Klepněte na tlačítko Nový. Vznikne nový objekt, kterému zadejte název Skrytí nepotřebných položek. 5. Poklepejte na nový objekt. Spustí se konzola Zásady skupiny. 6. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Nabídka Start a Hlavní panel. 7. Nakonfigurujte následující zásady podle tabulky 17.1.


190

Zásada

Nastavení

Poznámka

ODEBRAT ( ikonu Obrázky z nabídky Start

Povoleno

Zásada se aplikuje pouze na systémy Windows XP Professional (v nabídce Start systému Windows 2000 tato ikona vůbec není)

Odebrat ikonu Hudba z nabídky Start

Povoleno

Zásada se aplikuje pouze na systémy Windows XP Professional (v nabídce Start systému Windows 2000 tato ikona vůbec není)

Odebrat ikonu Síť z nabídky Start

Povoleno

Odebrat možnost Přetahování místních nabídek nabídky Start myší

Povoleno

Zásada neumožní měnit položky v nabídce Start pomocí myši a odebere u nich místní nabídky

Zabránit změnám nastavení hlavního panelu a nabídky Start

Povoleno

Když už takto upravujeme Nabídku Start, přece neumožníme uživatelům manipulovat s tím, co v nabídce zbude

Vypnout individuální nabídky

Povoleno

Není nad telefonáty uživatelů, že postrádají některé položky v Nabídce Start... Toto nastavení odebere automatické skrývání nepoužívaných nabídek

Povoleno

Nastavení se bude týkat pouze systémů Windows XP Professional. Nebudou se zobrazovat žádné zbytečné tipy, které většinou překážejí

Povoleno

Uživatelé své jméno vidět nepotřebují. Pokud chtějí, mohou zobrazit své přihlašovací jméno v dialogovém okně Zabezpečení systému Windows, které se zobrazí po stisku kombinace kláves Ctrl+Alt+Del. Nastavení se týká pouze systémů Windows XP Professional

Odebrat tipy pro položky nabídky Start Odebrat uživatelské jméno nabídky Start

Tabulka 17.1 Nakonfigurované zásady ve složce Nabídka Start a Hlavní panel

8. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Plocha. 9. Nakonfigurujte zásady podle tabulky 17.2. Zásada

Nastavení

Poznámka

Skrýt na pracovní ploše ikonu Místa v síti

Povoleno

Uživatelé nemají žádný důvod procházet takto síť. Výchozí nastavení profilu v systému Windows XP Professional tuto ikonku na ploše nemá

Zabránit uživatelům změnit cestu ke složce Dokumenty Při ukončení neukládat nastavení

Povoleno

Do doby, než přesměrujeme uživatelům složky Dokumenty na server, jim neumožníme změnit výchozí umístění Pokud například uživatel přesune hlavní panel jinam, . toto nastavení se při odhlášení neuloží. Na ploše ale zůstanou například zástupci programů

Odebrat průvodce vyčištěním plochy

Povoleno

Povoleno

...aby se uživatelé po 60 dnech nedivili, že jim z plochy mizí nepoužívaní zástupci

Tabulka 17.2 Nakonfigurované zásady ve složce Plocha 10. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Systém. 11. Nakonfigurujte zásady podle tabulky 17.3. Zásada ______________ Nastavení________________ Poznámka__________________ Zakázat přístup k nástrojům pro úpravu registru

Povoleno

Týká se nástrojů regedit a regedt32 (v systému Windows XP Professional spustí oba příkazy stejný nástroj)

Nespouštět určené aplikace systému Windows

Povoleno, nastaveny aplikace bckgzm.exe, freecell.exe, shvlzm.exe, rvsezm.exe, spider.exe, hrtzzm.exe, chkrzm.exe, winmine.exe, pinball.exe, sol.exe, mshearts.exe

Uživatelé mají zakázáno spouštět hry

Tabulka 17.3 Nakonfigurované zásady ve složce Systém Je zbytečné pokračovat dále, neboť cílem celého postupu je ukázat systém funkce Zásm skupiny. I tak je však nutné říci, že zásad jsme pro běžné omezení uživatelů nakonfigurovali dost. Podstatné nyní bude vše vyzkoušet. Ověření zásad 1. Přihlaste se k počítači PC001 jako běžný uživatel. 2. Ověřte nový vzhled nabídky Start. 3. Pokuste se nabídku Start upravit.


191

4. Pokuste se spustit některou hru (Nabídka Start -> Všechny programy ->Hr y ) 5. Pokuste se spustit nástroj pro úpravu registru (například regedit). Obrázek 17.5 Zpráva při pokusu o spuštění nástroje regedit

JE zde ale jeden malý háček. Protože jsou tato nastavení nakonfigurovaná na úrovni domény, platí pro všechny doménové uživatele - tedy i pro uživatele Administrátor (v našem případě Ton!&check) nebo pro nově používaný účet správce - IPSprával. Znamená to, že správce nebude moci plně pracovat? Zatím to tak opravdu bude, ale později tuto záležitost vyřešíme. Aplikování nakonfigurovaných zásad Po přihlášení k počítači PC001 jste ověřili, že všechna nastavení se aplikovala. V praxi to vždy ale nebývá tak jednoduché, neboť zásady se konfigurují a uvádějí v činnost, zatímco někteří uživatelé mohou být přihlášeni a pracovat. Zmizí jim skryté položky pod rukama? Ano! Pokud během práce dojde k aktualizaci zásad skupiny, uživatelům se skutečně zrněni prostředí pod rukama. Nyní je vhodná doba uvést si, za jakých okolností a kdy se na-konfigurované zásady budou aplikovat. Předtím je ale nutno připomenout, že aby byly ní žeuvedené informace platné, musí být zajištěno spuštění sítě před přihlášením uživatele Jedná se také o jednu ze zásad skupiny, kterou jsme konfigurovali již dříve (zásada Při spouštění a přihlašování počítače vždy počkat na síť ve složce Konfigurace po-čítače\Šablony pro správu\Systém\Přihlášení v objektu Default Domain Policy). Zásada se aplikuje pouze na systémy Windows XP Professional, neboť v systémech Windows 2000 je takovéto chování standardní. Kdy se tedy aplikují nastavení nakonfigurovaná v části Konfigurace uživatele: ♦ Při odhlášení a přihlášení uživatele (při každém přihlášení se počítač dotáže řadiče domény na objekty zásad skupiny, které se na uživatele aplikují, a aplikuje je).Teprve poté zobrazí uživateli pracovní plochu. ♦ V intervalech 90 minut (+/- náhodný interval z 0 až 30 minut). Lze tedy říci, že pokud nakonfigurujete novou zásadu, bude se uživateli, který je již přihlášen, aplikovat nejdéle za 120 minut (pokud se ale „trefíte", potom může k aplikaci dojít tře ba i za 4 minuty). Náhodný interval existuje proto, aby například stovky počítačů nevyžadovaly informace od řadiče domény najednou a nezpůsobily tak jeho přetížení. Tomuto způsobu aktualizace se také říká Aktualizace na pozadí. ♦ Po spuštění příkazu gpupdate.exe v klientském počítači (se systémem Windows XP Professional nebo Windows Server 2003). Poznámka Příkaz gpupdate.exe je novým příkazem v systémech Windows XP Professional a Windows Server 2003. V systémech Windows 2000 je nutné pro aplikaci zásad v části Konfigurace uživatele zadat následující příkaz: secedit /refreshpolicy user_policy /enforce. Nejste s časovými intervaly spokojeni?

Pokud se vám výchozí časové intervaly a styl aktualizace zásad nelíbí, je možné toto chování změnit. Slouží k tomu následující nastavení v části Konfigurace uživatele\Šablony pro správu\Systém\Zásady skupiny: Interval aktualizace zásad skupiny pro uživatele Zde se definuje pravidelný a náhodný interval v minutách. Maximální hodnota je po přepočtu 45 dní +/- 24 hodin. Důležité je uvědomit si, že pokud byste nyní nakonfigurovali například interval na hodnotu 60 +/- 20 minut, je nutné nejprve počkat na jeho aplikaci (maximálně 120 minut), a teprve poté se začne tento interval uplatňovat. Jeden či více objektů zásad skupiny?

Možná vás trápí ještě jedna nejasnost. Bylo nutné vytvářet nový objekt (Skrytí nepotřebných položek) nebo bylo možné zásady nakonfigurovat v objektu Default Domain Policy? Odpovědí jsou obě možnosti. Ke které se přikloníte, záleží na stavu prostředí. Jaké důvody mohou vést ke kumulací zásad do jediného objektu

Každý objekt zásad skupiny představuje nové složky a soubory v systému o celkové velikosti 1,66 MB. To může být jeden z důvodů; ne snad proto, že by na serveru nebylo toto volné místo k dispozici, ale v rozsáhlých prostředích musí docházet k replikacím tohoto souboru mezi řadiči domény. Při přihlášení uživatele je v případě X objektů nutné projít všechna nastavení Xkrát. Znamená to, že čím více objektů zásad skupiny pro uživatele existuje, tím déle bude trval proces jeho přihlášení. Jaké důvody mohou vést k rozdělení zásad do jediného objektu

Výchozí objekt, který v doméně existuje ihned po její instalaci, má název Default Domain Policy. Pokud v něm provedete změny, nebude již jeho název pochopitelně platit, a pokud si o všech změnách nevedete podrobnou dokumentaci, nebude jednoduché vrátit se skutečně k výchozímu nastavení (pokud by to bylo nutné). Prvním důvodem je tedy snadná správa. Nastavení jednotlivých oblastí můžete seskupovat vždy do jednoho objektu pro danou oblast a následně jej ták pojmenovat (například Úprava nabídky Start nebo Instalace Offi ce XP). Prostředí se tak stává velmi přehledné. 192 Mistrovství v Microsoft Windows Server 2003

Dalším důvodem může být rozdělení kompetencí ve větších společnostech. Konfiguraci prostředí klientských počítačů tak může mít na starosti jedno z oddělení (které pro tyto účely vytvoří jeden objekt). Instalaci aplikací má na starosti další oddělení, které vytvoří další objekt. A nakonec - zabezpečení, které je také součástí zásad skupiny, má na starosti oddělení zabezpečení, jež vytvoří svůj vlastní, tedy již třetí, objekt. Zřejmě posledním důvodem je stav, kdy některá nastavení budete chtít na nižší úrovni v doméně (na úrovni organizační jednotky) zrušit, zatímco ostatní budete chtít ponechal pro všechny uživatele. Protože tyto možnosti se dají provádět pouze s celými objekty, je nutné nastavení zásad rozdělit. Poznámka Aplikace zásad skupiny v této knize je pojata tak, aby objasnila a na reálných příkladech ukázala pokud možno veškeré možnosti této technologie. Rozhodně však nelze z ukázek vycházet jako z doporučení pro nasazení objektů zásad skupiny do provozního prostředí. Každé prostředí vyžaduje něco jiného, a před nasazením je třeba nejprve provést analýzu.

Úpravy zásadách skupiny, které jsme prováděli v předchozích kapitolách, byly provedeny v objektu Default Domain Policy. Protože jsem nechtěl prolínat více věcí, nevytvořili jsme si pro tato nastavení objekt jiný. Pokud nyní chcete, můžete veškerá provedená nastavení z výchozího objektu odebrat (aby opravdu zůstal výchozím) a nakonfigurovat je v jiném jediné, co by mělo zůstat, je úroveň přiřazení objektu - tedy doména studny.local.

Zajistěte si členství v důležitých skupinách Pokud přidáte klientský počítač se systémem Windows XP Professional do domény, budete jej moci spravovat jako správci domény (tedy po přihlášení pomocí doménového ú č t u ) a nemusíte ani znát heslo místního účtu Administrátor. Často se správců na svých kursech ptám, jak je to možné. Je to někde zakódováno v systému (prostě „to tak je") nebo se to dá někde v systému „vykoukat" (a je to tedy běžné nastavení)? Možná byste se divili, kolik procent správců je přesvědčeno o tom, že to je někde v systému nastaveno „napevno" a že to tedy prostě tak je. Není! Tento stav je velmi jednoduše nakonfigurovaný a v systému jej velmi snadno naleznete. Podíváte-li se v místním počítači na členství místní skupiny Administrátore, zjistíte, že členy jsou ve výchozím stavu uživatel Administrátor (nic překvapujícího) a skupina Domain Admins Poznámka Pokud počítač odeberete z domény, dojde k odstranění skupiny Domain Admins z místní skupiny Administrators.

Proto je možné z pozice správce domény spravovat jakýkoli počítač v doméně. Na dru-hou stranu s sebou tato konfigurace nese jednu nevýhodu. Možná, že jste se s ní již se tkali, možná, že se s ní teprve setkáte. Pokud je uživatel počítače zároveň jeho správcem (buď zná heslo místního účtu Administrátor nebo je jeho doménový účet členem místní skupiny Administrators), může členství skupiny Administrators upravit v tom smyslu, že z něj odstraní skupinu Domain Admins. Tím jako správci přicházíte například o možnosti podíval se vzdáleně na obsah jednotlivých disků (viz například cesta \\PC001\c$), a obecně o možnost působit v klientském počítači jako správce. Takový stav je pro správ ce domény dosti nepříjemný, pomocí zásad skupiny je ale velmi jednoduše řešitelný. Druhý příklad pro popularizaci zásad skupiny je následující. Ve své doméně máte celkem 100 klientských počítačů se systémem Windows XP Professional. V klíči registru HKEY_LOCAL_MACHINE všech těchto stanic potřebujete nutně vytvořit nový podklíč. To muže udělat pouze místní správce daného počítače (kterým pochopitelně jako Domain Admin jste). Jenže vy na to nemáte čas a heslo místního účtu Administrátor nechcete pro tyto účely nikomu prozrazovat. Řešením byste tedy rádi pověřili brigádníka s tím, že z jeho účtu uděláte na nějaký čas (například 2 dny) správce místního počítače. Budete jej tedy muset vložit do místní skupiny Administrátore v každém počítači. Už vás z toho omývají? Při takové představě to správci domén se systémy Windows NT 4.0 vzdali a raději heslo místního správce danému uživateli prozradili (věděli totiž, že by je stejný postup čekal při odebírání účtu). Ruční změna členství skupiny Administrators v každém počítači by totiž trvala přibližně stejně, jako vytvoření požadovaného klíče v registru. Naštěstí je zde funkce Zásady skupiny, konkrétně její část nazvaná Skupiny s omezeným členstvím. Ačkoli se jedná o jednu část týkající se zabezpečení počítače, intuitivně mi to j více zapadá do této kapitoly.

Přidání účtu brigádníka do místní skupiny Administrators Část objektu zásad skupiny nazvaná Skupiny s omezeným členstvím zajistí, že členy definované skupiny budou pouze definované účty uživatel (případně definované skupiny), Jednoduše tedy nakonfigurujete, že členem skupiny Administrators bude účet Administrator, skupina Domain Admins a účet Brigadnik1. Poznámka Na výchozí účty (Administrátor a Domain Admins) se zde nevyplatí zapomenout. Jinak se vlastní vinou vyřadíte ze správy místních počítačů (alespoň na čas, než vše napravíte).

Protože má být toto členství ve všech klientských počítačích, možná vás napadne, že byste to měli nakonfigurovat v objektu zásad skupiny, který je definován na úrovni domény, aj A zde je právě problém. Možná jej již tušíte, možná ne (vidíte, jak je důležitá praxe). Mezi všechny doménové počítače totiž patří také řadič domény. Jeho účet je sice zařazen v organizační jednotce Domain Controllers, ale vzhledem k dědičnosti se na něj standardně aplikují všechny zásady v objektech na nadřazené úrovni. Tato situace by tedy do padla tak, že členství skupiny Administrators by se upravilo i na řadiči domény. A to by byl obrovský problém, neboť byste vyřadili ze hry skupinu Enterprise Admins. U některých skupin by takový zásah mohl mít za výsledek i chybnou funkčnost (či spíše nefunkčnost) řadiče domény. 193 Mistrovství v Microsoft Windows Server 2003

Tedy dobrá, řeknete si, objekt zásad skupiny vytvoříme nad kontejnerem Computers. Ten obsahuje účty všech počítačů kromě řadičů domény, tak proč ne. Jenže opět omyl! Computers je kontejner, nikoli organizační jednotka. A s kontejnerem nelze objekt zásad skupiny svázat. Chce to jiné řešení. Další návrh - vytvoříme organizační jednotku s názvem Počítače, do které přesuneme všechny účty počítačů. Bingo! Toto řešení je správné. Vytvoření nové organizační jednotky pro počítače

1. Přihlaste se k počítači PC001. 2. Pokud jste přihlášení jako správci, spusťte nástroj Uživatelé a počítače služby Active Directory. Pokud jste přihlášeni jako běžní uživatelé, spusťte tento nástroj pod účtem správce. 3, Těsně pod úrovní domény (tedy na úrovni dříve vytvořených jednotek) vytvořte novou organizační jednotku s názvem Počítače. 4 . Všechny účty počítačů z kontejneru Computers přesuňte do nově vytvořené organizační jednotky Počítače. Vytvoření a konfigurace objektu zásad skupiny

1. Zobrazte vlastnosti organizační jednotky Počítače. 2. Na kartě Zásady skupiny klepněte na tlačítko Nový. Nově vytvořenému objektu zásad skupiny dejte název Členství skupiny Administrators. 3. Poklepejte na objekt a přejděte do složky Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Skupiny s omezeným členstvím. 4. Pravým tlačítkem myši klepněte na položku Skupiny s omezeným členstvím a poté v místní nabídce klepněte na položku Přidat skupinu. 5. V dialogovém okně Přidat skupinu zadejte Administrators (pozor na překlepy, název skupiny musí odpovídat) a klepněte na tlačítko OK. 6. V dialogovém okně Administrators Vlastnosti klepněte v části Členové této skupiny na tlačítko Přidat. V dialogovém okně poté zadejte účet Administrátor, potvrďte klepnutím na tlačítko OK a dále klepněte na tlačítko Procházet a přidejte uživatele STUDNY\Brigadnik1 a skupinu STUDNY\Domain Admins. Obrázek 17.6 Omezené členství místní skupiny Administrators

7. Dialogové okno zavřete klepnutím na tlačítko OK a zavřete konzolu pro úpravu zásad. Aplikováni nakonfigurované zásady

V jakémkoli členském počítači v doméně (se systémem Windows XP Professional nebo Windows 2000) bude mít po aplikaci zásady skupina Administrators navíc za člena brigádnika Doménová skupina Administrators zůstane beze změny členství. Nastavení, které jsme provedli, je v části Konfigurace počítače. Její aplikace je mírně rozdílná od aplikace zásad v části Konfigurace uživatele. Nastavení v části Konfigurace počítače se aplikují: ♦ Při restartování počítače (při každém spuštění se počítač dotáže řadiče domény na objekty zásad skupiny, které se na něj aplikují, a aplikuje je). Teprve poté zobrazí uživateli přihlašovací dialog. ♦ V intervalech 90 minut (+/- náhodný interval z 0 až 30 minut). Lze tedy říci, že pokud nakonfigurujete novou zásadu, bude se na počítač aplikovat nejdéle za 120minut (pokud se ale „trefíte", potom může k aplikaci dojít třeba i za 4 minuty). To muto způsobu aktualizace se také říká Aktualizace na pozadí. ♦ Po spuštění příkazu gpupdate.exe v klientském počítači (se systémem Windows XP Professional nebo Windows Server 2003). Poznámka


194

Příkaz gpupdate.exe je novým příkazem v systémech Windows XP Professional a Windows Server 2003. V systémech Windows 2000 je nutné pro aplikaci zásad v části Konfigurace počítače zadat následující příkaz: secedit /refreshpolicy machine_polícy /enforce.

Výjimku tvoří řadiče domény. U těch jsou výchozí hodnoty aktualizace zásad 5 minut (bez náhodného posunu). Nejste s časovými intervaly spokojeni?

Pokud se vám výchozí časové intervaly a styl aktualizace zásad nelíbí, je možné toto chování změnit. Slouží k tomu následující nastavení v části Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny: Vypnout aktualizace zásad skupiny na pozadí Pokud nechcete, aby se systém nastavoval „pod rukama" uživatelů během jejich práce, je možné povolit tuto zásadu. Prostřední bod popisující aktualizace v (ne)pravidelných časových intervalech poté nebude funkční. Interval aktualizace zásad skupiny pro počítače Zde se definuje pravidelný a náhodný interval v minutách pro běžné počítače (klientské počítače a členské servery). Maximální hodnota je po přepočtu 45 dní +/- 24 hodin. Interval aktualizace zásad skupiny pro řadiče domény Zde se definuje pravidelný a náhodný interval v minutách pro řadiče domény. Maximální hodnota je po přepočtu 4S dní +/- 24 hodin. Ověření funkce skupiny s omezeným členstvím

1. Přihlaste se k počítači PC001 jako běžný uživatel. 2. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz gpupdate a klepněte na tlačítko OK (abychom nemuseli čekat na aktualizaci na pozadí) 3. Spusťte nástroj Správa počítače a ověřte členství ve skupině Administrátors Členství by mělo odpovídat tomu na obrázku 17.7. 4. Obrázek 17.7 Členství skupiny Administrators v počítači PC001

Skupiny s omezeným členstvím jsou velmi mocným nástrojem. Na ukázkách je patrné, že nástroj lze využít také jako „hlídacího psa" členství v důležitých doménových skupinách ( v takovém případě je třeba vytvořit objekt nad organizační jednotkou Domain Con-trollers) . Můžete tak hlídat členství ve skupině Domain Admins, takže pokud některý z kolegů přidá do skupiny svého kamaráda, bude tento nový přírůstek do 5 minut auto-maticky ze skupiny odebrán. Na začátku bylo uvedeno, že byste chtěli z brigádníka udělat správce klientských počítaču na omezenou dobu dvou dnů. Tuto dobu už si však musíte pohlídat sami a po ní objekt zásad skupiny odstranit. Samy zásady podobné nastavení nemají.

Omezte uživatele v činnostech, které ke své práci nepotřebují Tato část velmi silně navazuje a souvisí s první částí kapitoly, ve které jsme skrývali uživatelum vše, co by je mohlo v práci rozptylovat. Její cíl je ale trochu jiný - pomocí dalších omezení ukázat různé možnosti konfigurace zásad skupiny pro jednotlivá oddělení. Po nasazení úvodních omezení je třeba nyní situaci doplnit a doladit. Nejvíc omezení by asi měli být pracovníci ve skladu. Ti mají většinou k dispozici pouze jedinou aplikaci, nanejvýše ještě klienta elektronické pošty. Zakážeme jim tak přístup do Ovládacích panelů a omezíme aplikaci Průzkumník Windows. Sice to nebude odpovídat nastavení, které by si skutečně v provozním prostředí zasloužili (je ještě moc málo omezující) , ale jak jsem uvedl výše - nyní jde o to ukázat hlavně možnosti nástroje Zásady skupiny než přesně určovat nastavení. V oddělení marketingu existují uživatelé, kteří ke své práci potřebují konfigurovat různé jazykové sady a rozložení klávesnice. Původně jste předpokládali, že jim okno Ovládací panely znepřístupníte také, ale co teď? Řešení musí být jiné. Samozřejmě existuje. Členové vedení jsou zcela nespokojeni s jakýmikoli omezeními. Po delší diskusi je závěr takový, že jejich veškerá omezení


195

budou zrušena, za to se však dobrovolně vzdáváte řešení potíží s jejich stanicemi. Pokud se některé potíže objeví, dojde k přeinstalování celého systému. Shrnuto: ♦ Sklad - přidat omezení (Ovládací panely, Průzkumník Windows) ♦ Marketing - přidat omezení (Ovládací panely) ♦ Vedení - odebrat stávající omezení Konfigurace zásad pro Sklad

1. 2. 3. 4.

V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby Aktive Directory. Pravým tlačítkem myši klepněte na organizační jednotku Sklad a zobrazte její vlastnosti. Na kartě Zásady skupiny klepněte na tlačítko Nový a objektu dejte název Další omezení Sklad. Poklepejte na objekt a v konzole Zásady skupiny přejděte do složky Konfigurace uživatele\Šablony pro správu\Ovládací panely. 5. V pravé části okna poklepejte na zásadu Zakázat přístup k Ovládacím panelům a zaškrtněte políčko Povoleno. 6. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Průzkumník Windows. 7. V pravé části okna proveďte nastavení zásad podle tabulky 17.4. Zásada

Nastavení

Poznámka

Odebrat příkazy Připojit síťovou jednotku a Odpojit síťovou jednotku

Povoleno

Uživatelé ve skladu si nebudou moci připojovat (mapovat) síťové jednotky

Skrýt tyto jednotky v okně Tento počítač

Povoleno, Omezit všechny jednotky

Proč by měli mít uživatelé ve skladu přístup přímo k jednotkám?

Odebrat kartu Zabezpečení

Povoleno

Zakázat položku Okolní počítače ve složce Místa v síti

Povoleno

Karta zabezpečení je zbytečná. Nastavení bude funkční pouze v systémech Windows XP Professional a Windows Server 2003 Uživatelé nemusí mít žádné informace o počítačích v síti

Tabulka 17.4 Nakonfigurované zásady ve složce Ovládací panely Konfigurace zásad pro Marketing

Protože uživatelé z marketingu potřebují pracovat s jinými jazyky a rozložením klávesnice, potřebují vlastně přístup pouze do jediného ovládacího panelu - Místní a jazykové na-stavení 1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby ActiveDirectory. 2. Pravým tlačítkem myši klepněte na organizační jednotku Marketing a zobrazte její vlastnosti. 3. Na kartě Zásady skupiny klepněte na tlačítko Nový a objektu dejte název Další omezení Marketing. 4. Poklepejte na objekt a v konzole Zásady skupiny přejděte do složky Konfigurace uživatele\Šablony pro správu\Ovládací panely. 5. V pravé části okna poklepejte na zásadu Zobrazit pouze určené panely v Ovládacích panelech a zaškrtněte políčko Povoleno. Poté klepněte na tlačítko Zobrazit a přidejte položku Místní a jazykové nastavení (pozor na překlepy). Konfigurace zásad pro Vedení

Této skupině uživatelů nebudeme nic přidávat, ale musíme veškerá nastavení odebrat, Postupujte podle následujících pokynů. 1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby Active Directory. 2. Pravým tlačítkem myši klepněte na organizační jednotku Vedení a zobrazte její vlastnosti. 3. Klepněte na kartu Zásady skupiny a ve spodní části zaškrtněte políčko Zablokovat dědičnost zásad. Poté klepněte na tlačítko OK. Nyní jsme přerušili proces dědičnosti nastavení zásad skupiny z nadřazených kontejnerů (z domény). Znamená to, že nastavení zásad seskupená v objektech Default Domain Policy a Skrytí nepotřebných položek se nebudou aplikovat na uživatelské účty v organizační jednotce Vedení. Jedná se o nastavení, které umožňuje udělovat výjimky v procesu aplikace hierarchických objektů zásad skupiny. Všimněte si, že nastavení Zablokovat dědičnost zásad je vlastností organizační jednotky. To znamená, že na úrovni organizační jednotky je možné přerušit aplikaci pouze VŠECH nadřazených objektů. To se nám ale nehodí. My bychom potřebovali, aby se na členy vedení neaplikovaly pou-za zásady z objektu Skrytí nepotřebných položek, zatímco zásady v objektu Default Domain Policy by měly zůstat funkční. To zajistíte následovně: 1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby Active Directory. 2. Pravým tlačítkem myši klepněte na doménu (studny.local) a zobrazte její vlastnosti. 3. Na kartě Zásady skupiny klepněte na položku Default Domain Policy a pole klepněte na tlačítko Možnosti. 4. Zaškrtněte políčko Nepřepisovat: Zabrání dalším objektům zásad skupiny přepsat množinu zásad tohoto objektu a poté klepnutím na tlačítko OK zavřete postupně všechna dialogová okna.


196

Ačkoli popis položky nezní nijak přesvědčivě, stane se to, co jsme požadovali. Zaškrtnutím políčka Zablokovat dědičnost zásad jsme objektům v organizační jednotce řekli, že se jich nebudou týkat žádné nadřazené objekty zásad skupiny s výjimkou těch, které máji příznak Nepřepisovat (to bylo to druhé nastavení). Nezapomeňte veškerá nastavení prověřit!

Zajistěte bezpečné uložení dokumentů uživatelů V kapitole 13. „Profily uživatelů", jsme řešili místní a cestovní profily. Z předchozích kapitol už víte, že upřednostňovaným místem pro ukládání dokumentů je složka Dokumenty. Jedná se o jednu ze složek, která je součástí profilu uživatele. A v tom je ten problém! Jestliže opravdu naučíte uživatele využívat tuto složku, budou jejich dokumenty uložené následovně: ♦ Ti, co mají místní profil, budou mít dokumenty ve svém počítači, se kterým pracují. ♦ Ti, co mají cestovní profil, budou mít své dokumenty na serveru. Oba případy však ještě nejsou zdaleka ideální. V prvním případě je třeba říci, že data uložená v místním počítači nejsou uložena moc bezpečně. Klientské počítače se nezálohují, takže jakýkoli výpadek počítače může mít za následek jejich ztrátu. Nejbezpečnější uložení dat je na serveru. V druhém případě se může objem uživatelských dat negativně podepsat na době přihlašování uživatelů. Pokud se bude uživatel přihlašovat k počítači, ke kterému ještě dříve přihlášen nebyl, bude se celý jeho profil stahovat ze serveru, a teprve poté se uživateli zobrazí pracovní plocha. U profilu velkého několik gigabajtů to také může trvat několik desítek minut. Řešením obou problémů je přesměrování složky Dokumenty na server. Servery se pravidelně zálohují, a uživatelé tak mají svá data zabezpečena. V případě používání cestovních profilů přestává být po přesměrování obsah složky Dokumenty součástí profilu a místo ní se součástí profilu stává cesta k přesměrované složce. Jinými slovy — několik megabajtu dat bude nahrazeno jedinou cestou — \\server\složka. A ta zabere pár bajtů. Protože bude vhodné přesměrovat složku Dokumenty všem uživatelům, bude třeba vytvořit objekt zásad skupiny na úrovni domény. Můžete také využít stávající objekty (jsou tam 2), pokud však váháte, vraťte se v této kapitole o pár stránek dopředu, kde jsou rozebrány výhody a nevýhody oddělování či seskupování nastavení. Pro přehlednost si pro přesměrování dokumentů vytvoříme zvláštní objekt zásad skupiny. Předtím ale bude nutné vytvořit sdílenou síťovou složku na serveru. Konfigurace sdílené složky na serveru SRVR001

1. V počítači PC001 spusťte pod účtem správce nástroj Správa počítače. 2. Pravým tlačítkem myši klepněte na název konzoly a v místní nabídce poté klepněte na příkaz připojit k jinému počítači. Poté do pole Jiný počítač zadejte názevSRVR001 a klepněte na tlačítko OK. 3. Rozbalte položky Systémové nástroje\Sdílené složky. 4 . . Pravým tlačítkem myši klepněte na položku Sdílené položky a v místní nabídce poté klepněte na položku Nová položka sdílení souborů. 5. Do pole Sdílená složka zadejte cestu C:\PresmDoc, do pole Název sdílené položky zadejte text PresmDoc a poté klepněte na tlačítko Další. Obrázek 17.8 Dialogové okno Vytvořit sdílenou složku

6. Protože složka pro dokumenty neexistuje, nabídne vám průvodce její vytvoření. Klepněte na tlačítko Ano. V další části dialogového okna Vytvořit sdílenou složku zaškrtněte políčko Všichni uživatelé mají úplné řízení. 7. Klepněte na tlačítko Dokončit. Další sdílené složky nevytvářejte. Konfigurace přesměrování složky Dokumenty

1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby ActiveDirectory. 2. Pravým tlačítkem myši klepněte na doménu (studny.local) a zobrazte její vlastnosti. 3. Na kartě Zásady skupiny klepněte na tlačítko Nový a objektu dejte název Přesměrování složky Dokumenty. 4.. Poklepejte na objekt a v konzole Zásady skupiny přejděte do složky Konfigurace uživatele\Nastavení systému Windows\Přesměrování složky. 5. Pravým tlačítkem myši klepněte na složku Dokumenty a zobrazte její vlastnosti. 6. Na kartě Cíl vyberte v rozevíracím seznamu položku Základní — Přesměroval složky všech uživatelů do


197

jednoho umístění.

Obrázek 17.9 Část pro přesměrování složek v objektu zásad skupiny

7. V rozevíracím seznamu Umístění cílové složky ponechte nastavení V kořenové cestě vytvořit složku pro každého uživatele a do pole Kořenová cesta zadejte cestu \\SRVR001\PresmDoc.

Obrázek 17.10 Karta Cíl zásady pro přesměrování složky Dokumenty

8, Klepněte na kartu Nastavení a proveďte konfiguraci podle obrázku 17.11.


198

Obrázek 17.11 Karta Nastaveni zásady skupiny pro přesměrování složky Dokumenty

9. Klepněte na tlačítko OK. Ověrení funkce zásady přesměrování

1. 2. 3. 4.

5. 6.

7.

Přihlaste se k počítači PC001 jako uživatel Obchod2. V Nabídce Start klepněte na položku Dokumenty a vytvořte v ní nový soubor. Vzhledem k aplikovaným zásadám byste jej vlastně měli vytvářet přímo na serveru. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte cestu \\SRVR001\PresmDoc. Poklepejte na položku Obchod2, poté na složku Dokumenty a ověřte, že je přítomen právě vytvořený soubor. Pokud byste chtěli ověřit cestu uložení složky Dokumenty, je nutné zobrazit její vlastnosti To jsme ale dříve pomocí zásad skupiny zakázali (místní nabídky u položek v nabídce Start). Existuje ale cesta, jak toto obejít: V počítači PC001 klepněte pravým tlačítkem myši do volného místa na ploše a zvolte položku Vlastnosti. Klepněte na kartu Plocha a poté na tlačítko Vlastní nastavení plochy. V dialogovém okně Položky na ploše zaškrtněte políčko Dokumenty a klepnutím na tlačítko OK zavřete všechna dialogová okna. Na ploše se zobrazí ikona Dokumenty. Zobrazte vlastnosti složky Dokumenty a prohlédněte si její umístění.

Do samotné složky Dokumenty má přístup pouze uživatel, jemuž složka náleží (to jsme-nakonfigurovali v zásadě). Zároveň jste si možná všimli poněkud pozměněné ikonky přesměrované složky (dvě modré šipky). Jedná se o vlastnost pouze systému Windows XP Professional (a Windows Server 2003), která zajišťuje, že obsah přesměrované složky bude uživateli k dispozici také v případě, kdy je uživatel se svým přenosným počítačem na cestách a není připojen k síti. To si uživatel připomene také

vždy při odhlašování od počítače, kdy proběhne synchronizace obsahu složky. Obrázek 17.12 Cesta uložení složky Dokumenty uživatele Obchod2


199

Poznámka Nastavení přesměrovaných složek pro režim off line je standardní vlastností systému Windows XP Professional. Systém Windows 2000 se tak nechová. Chcete-li sloučit chování systémů, zvažte konfiguraci zásady Nepovolit automaticky zpřístupnění přesměrovaných složek offline v části Konfigurace uživatele\šablony pro správu\Síť\Soubo-ry offline.

V případě, že dojde k odstranění objektu zásad, dopadne to se všemi nakonfigurovanými zásadami, které obsahoval, stejně. Vše se vrátí do původního stavu (u přesměrovaní.5 složky Dokumenty to vyžadovalo navíc zvláštní nastavení - viz obrázek 17.11). Možní! to vypadá jako automatická věc, ale věřte, že v systémech Windows NT 4.0 tomu tak ne bylo. Tam po odstranění objektu provedená nastavení zůstala. Důležité Uživateli, který používá povinný profil, se změny v profilu při odhlášení neukládají. Pokud ale provedete přesměrování složky Dokumenty, potom se místo obsahu složky stává součástí profilu pouze cesta k ní. Samotný obsah již součástí profilu není, takže veškeré dokumenty, které uživatel s povinným profilem vytvoří, resp. odstraní, se po odhlášení zachovají, resp. odstraní. Jedná se o velmi dobrou vlastnost zásady přesměrování složek. U různých typů profilů už tak nemusíte vymýšlet různé možnosti pro ukládání dokumentů (vzpomeňte na vytváření domovských složek pro uživatele s povinnými profily), ale vše vyřešíte SYSTÉMOVĚ všichni ukládají své dokumenty do složky Dokumenty.

Diskové kvóty V souvislosti s přesměrovanými dokumenty je v provozním prostředí nutné myslet také na místo na disku. Žádný disk nemá nekonečně velké místo, a pokud to uživatelé začnou přehánět, budete se muset brzy zamýšlet nad investicí do nového hardwaru. Běžní uživatelé jistě ke své práci nepotřebují pro soubory více než 200 MB místa na disku. Proč tedy nevyužít další vlastnost systému (přesněji systému souborů NTFS) - disko-vé kvóty? Diskové kvóty lze konfigurovat přímo ve vlastnostech konkrétní jednotky (pokud je zfor-mátovaná systémem NTFS) nebo pomocí Zásad skupiny. Tipněte si, které řešení je systémovým? Konfigurace diskových kvót

Ke konfiguraci kvót rozhodně použijeme zásady skupiny. Ty se nacházejí v části Konfi-gurace počítače a platí tedy pro počítač bez ohledu na přihlášeného uživatele. My potře-bujemne hlavně zajistit, aby obsah složek Dokumenty jednotlivých uživatelů, který je ulo-žen na serveru SRVR001, nebyl moc velký. Pokud budeme předpokládat, že jenom v dokumentech budou mít uživatelé uloženo maximálně 200 MB dat, potom je vhodné jim "přihodit" ještě nějaké místo na disku na ostatní nastavení (řekněme 10 MB). Protože ome-zueme místo na serveru SRVR001, který je současně řadičem domény, musíme definovat objekt zásad skupiny na úrovni organizační jednotky Domain Controllers. 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na organizační jednotku Domain Controllers a zobrazte její vlastnosti. 4. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad dejte název Diskové kvóty. 5. Klepněte na tlačítko Upravit a přejděte do složky Konfigurace počítače\Šablony pro správu\Systém\ Diskové kvóty. 6. Nakonfigurujte nastavení podle tabulky 17.5. Zásada

Nastavení

Povolit lískové kvóty

Povoleno

Výchozí maximální kvóta a úroveň pro upozornění

Poznámka

Povoleno, Maximální kvóta 210 MB, Úroveň pro upozornění 190 MB Povoleno Událost se zapíše do protokolu události počítače SRVR001

Zaprotokolovat událost při překročení maximální kvóty Zaprotokolovat událost Povoleno při překročení úrovně pro Vynutit maximální diskovou kvótu

Událost se zapíše do protokolu události počítače SRVR001 upozornéní Povoleno

Tabulka 17.5 Konfigurace kvót pomocí zásad skupiny


200

Jako správci máte u diskových kvót obrovskou výhodu. Skupiny Administrators se totiž nastavení kvóty nikdy netýká. Jak jinak byste pak mohli například instalovat další aplikace na server? Poznámka Pokud se po spuštění příkazu gpupdate.exe podíváte na serveru SRVR001 na kartu Přidělená kvóta v dialogovém okně vlastností jednotky C:, nebude žádné nastavení k dispozici (všechny položky budou šedé). Jedná se o známku toho, že zásady skupiny týkající se kvót byly aplikovány.

Odstraňování potíží se zásadami skupiny a omezení správců Řekněme, že jste provedli všechna výše uvedená nastavení a odjeli jste na I4denní dovo- j lenou (na správce si takto dlouhou dovolenou můžete dopřát a vzhledem k precizní konfiguraci a omezení uživatelů nemusíte mít strach, že by to bez vás nefungovalo). Jak to tak bývá, na dovolené zapomenete úplně všechno, takže vás při návratu do práce čeká při prvním přihlášení k počítači překvapení. Nefungují místní nabídky u položek v nabídce Start, polovina položek v této nabídce vůbec chybí atd. atd. Nic mimořádného, prostě jste jenom na něco zapomněli. Že by nakonfigurované Zásady skupiny? Uvidíme.

výsledná sada zásad Systém Windows XP Professional obsahuje nástroj s názvem Výsledná sada zásad, který je vynikajícím nástrojem při odstraňování potíží se zásadami skupiny. Pokud se vám zá- I sady neaplikují nebo pokud přesně nevíte, který objekt může za konkrétní nastavení, ] můžete si to velmi jednoduše (a v grafické podobě) zobrazit. 1. Přihlaste se k počítači PC001 jako uživatel Sklad1. 2. Všimněte si konfigurace systému dané aplikací zásad skupiny z několika objektů (například v okně Tento počítač nenajdete žádné jednotky). 3. V Nabídce Start klepněte na příkaz Spustit a příkazem mmc spusťte prázdnou konzolu MMC. 4. Do konzoly přidejte modul snap-in s názvem Výsledná sada zásad. Ihned se spustí Průvodce výslednou sadou zásad. 5. Pětkrát za sebou klepněte na tlačítko Další (v průvodci nic neupravujte). Probdi ne analýza počítače. Okno průvodce zavřete klepnutím na tlačítko Dokončit. 6. Dokončete proces přidání modulu snap-in do konzoly MMC. 7. V konzole přejděte do složky Konfigurace uživatele\Šablony pro správu\Nabídka Start a Hlavní panel. V pravé části se zobrazí zásady z různých objektů, které obsahují konfiguraci pro přihlášeného uživatele. Zatímco u všech nastaví ni je v posledním sloupci uveden název objektu zásad skupiny (GPO, Group Policy Object) Skrytí nepotřebných položek, ve složce Konfigurace uživatele\Šablony pro správu\Ovládací panely naleznete název objektu Další omezení sklad 8. Prohlédněte si různá nastavení (také v části Konfigurace počítače) a konzolu za vřete. Uvedený příklad je v praxi použitelný v situaci, kdy si uživatel Sklad1 stěžuje na některá omezení a vy stojíte u něj. Pokud máte podobnou záležitost řešit na dálku ze svého počítače je třeba v průvodci zadat název počítače uživatele a vybrat správný účet uživatele. Poznámka Pokud chcete zjistit výslednou sadu zásad platnou pro místní počítač a právě přihlášeného uživatele, nemusíte se zdržovat vytvářením konzoly a průvodcem, ale přímo spusťte příkaz rsop.msc.

Předchozí práce s nástrojem Výsledná sada zásad má svůj název — Režim protokolování. Ten odpovídá skutečnému stavu - chcete pouze zjistit (tedy protokolovat) aktuální stav. Pokud chcete jako správci získat ze svého počítače informace o tom, jaké nastavení bude mít uživatel ITSprával, pokud se přihlásí k počítači SRVR001, můžete využít následující postup. 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na uživatelský účet ITSpráva1 (naleznete jej v organizační jednotce IT), a poté v místní nabídce klepněte v části Všechny úkoly na položku Výsledná sada zásad (Protokolování).


201

Obrázek 17.13 Spuštění protokolování výsledné sady zásad

4. Ve spuštěném průvodci zadejte do pole Jiný počítač název SRVR001 a klepněte

na tlačítko Další.

5. V dialogovém okně Výběr uživatele vyberte uživatele STUDNY\itspraval a poté dvakrát klepněte na tlačítko Další. 6. Nástroj provede protokolování stavu, který poté zobrazí v samostatné konzole. Pokud se ve výsledné konzole zobrazí u některé části výstražný vykřičník (viz obrázek 17.14), klepněte pravým tlačítkem myši na tuto položku a zobrazte její vlastnosti. Na kartě Informace o chybě si poté přečtěte potřebné informace. Obrázek 17.14 Chyba při aplikování objektů zásad skupiny

Abychom se vrátili k počátečnímu problému po návratu z dovolené. Nevíte-li, proč je v systému něco tak, jak je, vygenerujte si výslednou sadu zásad a budete moudřejší. Provedená nastavení však nic nemění na tom, že nechcete, aby se na váš účet aplikovala. Tato myšlenka je správná, neboť jak by to u uživatele vypadalo, kdybyste po přihlášení nemohli spustit například nástroj pro úpravu registru? A nejde jen o váš účet, jde o celou skupinu správců. Tento případ se tedy řeší následovně: 1. Zjistěte, které zásady ovlivňují omezení vašeho účtu (bud to vykoukáte přímo z konzoly Uživatelé a počítače služby Active Directory nebo použijte nástroj Výsledná sada zásad). Tip Pokud máte svůj účet pro správu v kontejneru Users, mohou se na něj aplikovat pouze objekty na úrovni sítě (vysvětlení později) a domény. V našem případě se jedná o zásady Default Domain Policy, Skrytí nepotřebných položek a Přesměrování složky Dokumenty. První objekt slouží k zabezpečení domény, takže žádná omezení na náš účet nemá, a třetí objekt je i pro náš účet možná žádoucí. Zajímat nás tedy bude objekt Skrytí nepotřebných položek 2. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastnosti domény (studny.local).

3. Na kartě Zásady skupiny klepněte na objekt Skrytí nepotřebných položek a poté klepněte na tlačítko Vlastnosti. 4. Na kartě Zabezpečení si prohlédněte oprávnění skupiny Authenticated Users, Jsou to oprávnění Číst a Používat zásady skupiny. A je to venku! Objekt se standardně aplikuje na všechny podřízené objekty (uživatele/počítače), ale zároveň a pouze tehdy, pokud mají podřízené objekty oprávnění Číst a Používat zásady skupiny. Pokud tedy tato oprávnění objekt mít nebude, nebudou se jej zásady týkat. 2. V seznamu řízení přístupu klepněte na položku Domain Admins a poté ve sloupci Odepřít zaškrtněte políčko Používat zásady skupiny. 3. Zavřete všechna dialogová okna a poté se odhlaste a znovu přihlaste jako správci Omezení daná objektem Skrytí nepotřebných položek by měla zmizet. Uvedený proces má svůj název — filtrování objektů zásad skupiny.


202

Ladění zásad skupiny Závěrem práce se zásadami skupiny praktická rada. Pokud budete chtít konfigurovat nové objekty zásad skupiny, nikdy to neprovádějte v provozním prostředí. Vše si vyzkoušejte někde „mimo" nanečisto a velmi dobře nový stav prověřte. Většina správců může mít však obrovské potíže se spojením „někde mimo". Představa, že budete muset konfigurovat nejméně dva počítače, bývá v některých případech velmi děsivá. Proto na to jdou tak trochu oklikou. Jedním z takových případů je vytvoření nové organizační jednotky (například pro nové oddělení) s příslušnou definicí objektu zásad skupiny, který bude přiřazen přímo této jed-notce. Jako správce vás bude samozřejmě zajímat, jaké zásady se budou aplikovat na uživatele v této organizační jednotce (jak tedy bude vypadat výsledná sada zásad). Uživatelský účet ale nechcete v organizační jednotce vytvářet a nemáte k dispozici žádný další „pokusný" hardware, Nevadí. Stačí vám trochu představivosti, znalost aplikace objektů zásad skupiny a jeden duležitý nástroj - Výsledná sada zásad v režimu plánování. 1. 2. 3.

Přihlaste se k počítači SRVR001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory a na úrovni organizačních jednotek oddělení vytvořte organizační jednotku s názvem Úklid. Ve vlastnostech této organizační jednotky vytvořte nový objekt zásad skupiny s názvem Omezení oddělení úklid a v části Konfigurace uživatele\Šablony pro správu \Ovládací panely\Zobrazení povolte zásady Skrýt kartu Plocha a Skrýt kartu Nastavení.

Tato část může simulovat přípravu prostředí na nasazení do provozu. Předtím je ale tře-ba celou záležitost vyzkoušet a zjistit, zda se vše bude aplikovat podle předpokladů, 4. V nástroji Uživatelé a počítače služby Active Directory klepněte pravým tlačítkem myši na organizační jednotku Úklid a v části Všechny úkoly klepněte na položku Výsledná sada zásad (Plánování). Výhodou dalšího postupu je, že nemusí existovat uživatelský účet, pro který chceme zjistit výsledné zásady. 4. V dialogovém okně Výběr počítače a uživatele ověřte, zda je v poli Kontejner v části Informace o uživateli uvedena cesta OU=Úklid,DC=studny,DC=local a v poli Kontejner v části Informace o počítači cesta OU=Počítače, DC=studny,DC=local. Pokud ne, můžete tato pole upravit ručně nebo klepnout na tlačítko Procházet a klepnout na správný kontejner. Poté klepněte na tlačítko Další. 5. V dialogovém okně Rozšířené možnosti simulace ponechte všechna výchozí nastavení a klepněte na tlačítko Další. 6. V dialogovém okně Skupiny zabezpečení uživatele jsou uvedeny dvě standardní výchozí skupiny, ve kterých je uživatelský účet členem. 7. Pokud byste v implementaci objektů používali filtrování, je třeba přidat všechny skupiny, ve kterých je uživatel členem (filtrování - viz výše). Pokud filtrování nepoužíváte, klepněte na t l a č í t k o Další. 8. V části Skupiny zabezpečení počítače se zachovejte obdobně, jako v předchozím dialogu. Poté klepněte na tlačítko Další.

9. V dialogovém okně Filtry WMI pro uživatele (POZOR - tento pojem nemá nic společného s technologií filtrování) ponechte zaškrtnuté políčko Všechny připojené filtry a klepněte na tlačítko Další. 10. V dialogovém okně Filtry WMI pro počítače ponechte výchozí nastavení a pokračujte klepnutím na tlačítko Další. 11. V dialogovém okně Přehled výběrů si prohlédněte zadané informace a poté klepněte na tlačítko Další. Proběhne sestavení výsledných zásad týkajících se uživatelů v organizační jednotce Úklid pracujícím s počítačem v organizační jednotce Počítače. 12. Projděte si nastavení ve výsledné sadě zásad. Nástroj Výsledná sada zásad je v obou režimech (protokolování i plánování) jednoznačně největším vylepšením v oblasti zásad skupiny. Umožňuje velmi produktivní správu celé infrastruktury objektů zásad a hraje hlavní roli při odstraňování potíží. Zároveň je možné s jeho využitím ušetřit další prostředky na testovací hardware. Nástroj Výsledná sada zásad není k dispozici v žádném ze systémů Windows 2000.

„Bonbónek" (aneb zpětná smyčka) zásad skupiny Pokud si myslíte, že jste předchozí informace uvedené v této kapitole dobře pochopili, je tato část určena pro vás a rozhodně doporučuji ji projít. Pokud si nejste jisti, zda zásadám skupiny rozumíte, tuto část raději přeskočte a vraťte se k ní později. Pro úplné pochopení zásad skupiny jsou třeba jen dvě věci - dobrý teoretický základ a poté jen praxe, praxe a praxe. Cílem této části je ukázat řešení situace, se kterou se můžete v praxi také běžně setkat. Uveďme si její příklad. Pokud uživatel odchází krátkodobě od svého počítače, je zbytečné, aby se odhlašoval, neboť předtím by musel uložit veškerou svou práci. Proto uživatelé používají možnost Uzamknout počítač. Například situace obchodníků v naší společnosti. Mají k dispozici jednak svůj počítač, ale jednak mají navíc ještě počítače v prodejní místnosti, na kterých se při prodeji střídají. Pokud by předchozí uživatel počítač uzamkl, nebude se moci další uživatel přihlásit, neboť odemknout počítač může pouze ten, kdo jej uzamkl, nebo správce. Řešením takové situace je odebrat pomocí zásad skupiny možnost počítač uzamknout. Řekněme, že toto nastavení budeme muset nakonfigurovat pro počítač PC001. Myšlenka je jednoduchá - protože toto nastavení musí platit pro počítač bez ohledu na přihlášeného uživatele, naleznete příslušné nastavení v objektu zásad skupiny v části Konfigurace počítače a zajistíte, aby se tento objekt aplikoval pouze na počítač PC001. To tedy byla myšlenka a nyní praxe. Není problémem vytvořit pro účet počítače PC001 novou organizační jednotku, která bude podřízenou stávající jednotky Počítače. Problém bude v zásadách skupiny, protože zásada zakazující uzamknutí počítače není v části Konfigurace počítače k dispozici. Vyskytuje se pouze v části Konfigurace uživatele, ale protože 203 Mistrovství v Microsoft Windows Server 2003

se k počítači může přihlásit každý uživatel, je těžké rozhodnout, na které uživatele je vlastně aplikovat. Navíc, takoví uživatelé by poté nemohli zamykat ani své vlastní počítače. Aby šlo zásadu z části Konfigurace uživatele použít pouze pro konkrétní počítač (či spíše pro konkrétní organizační jednotku počítačů), budeme muset použít zvláštní režim zásad skupiny - zpětnou smyčku. Konfigurace organizační jednotky

1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na organizační jednotku počítače a v místní nabídce klepněte v části Nový na položku Organizační jednotka. 4. Do pole Název zadejte text Obchodní prostory. 5. Do nové organizační jednotky přesuňte účet počítače PC001. Protože je nová organizační jednotka podřízenou jednotkou organizační jednotky Počítače budou se na ni vztahovat i nadále zásady objektu Členství skupiny Administrators. Na její úrovni nyní definujeme nový objekt s požadovaným nastavením. Konfigurace nemožnosti uzamykat počítač

1. 2. 3. 4. 5.

Přihlaste se k počítači PC001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na organizační jednotku Obchodní prostory a zobrazte její vlastnosti. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad dejte název Neuzamykat. Poklepejte na objekt a v části Konfigurace uživatele\Šablony pro správu\Systém\Možnosti klávesové zkratky Ctrl+Alt+Del povolte zásadu Odebrat možnost Uzamknout počítač. 6. Včásti Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny poklepejte na zásadu Režim zpracování duplicitních zásad skupiny uživatele, zaškrtněte políčko Povoleno a v části Režim vyberte položku Sloučit. Klepněte na tlačítko OK. Celý proces pracuje v režimu Sloučit následovně

1. 2. 3. 4.

5.

Při spuštění počítače se aplikují nejprve zásady v části Konfigurace počítače všech objektů zásad skupiny týkající se počítače PC001 (v našem případě Default Domain Policy, Členství skupiny Administrators a Neuzamykat). Uživateli se zobrazí přihlašovací obrazovka. Po přihlášení uživatele se aplikují zásady v části Konfigurace uživatele všech objektů zásad skupiny týkající se uživatelů (při přihlášení uživatele Marketing2 to budou Default Domain Policy, Skrytí nepotřebných položek, Přesměrování složky Dokumenty a Další omezení Marketing). Protože byla součástí objektu Neuzamykat povolená zásada Režim zpracování duplicitních zásad skupiny uživatele (mezi znalými správci známé pod pojmem zpětná smyčka" neboli loopback), dojde ještě navíc k aplikaci části Konfigurace uživatele objektu Neuzamykat. Uživateli se zobrazí pracovní plocha.

Poznámka Pokud by nastavení zpětné smyčky v objektu nebylo, bod 4 můžete z procesu aplikace zásad skupiny vyškrtnout. Pokud byste v definici zpětné smyčky použili Režim nahradit, můžete z procesu aplikace zásad vyškrtnout bod 3.

Nastavení zpětné smyčky se používá v situacích, kdy je důležité nakonfigurovat přesně chování a vzhled klientského počítače bez ohledu na přihlášeného uživatele. Nastavení se používá na počítače na veřejných místech (jako jsou veřejné počítače pro přístup k Internetu či počítače poskytující informace). Ověření procesu

Proces ověříte velmi jednoduše. Ať se k počítači PC001 přihlásíte jako jakýkoli doménový uživatel, možnost Uzamknout počítač nebude k dispozici. To platí i pro správce. Pokud by to správcům nevyhovovalo, postup, jak vyloučit z aplikace zásad objekt Neuzamykat, znáte.

Doplňující informace k zásadám skupiny K zásadám skupiny je nutné ještě dodat následující informace: ♦ Zásady lze definovat na několika úrovních V místním počítači, na úrovni domény, organizační jednotky a sítě. S místními zásadami jsme se seznámili v pro středí pracovní skupiny, se zásadami na úrovni sítí se v praxi často nesetkáte, neboť se používají pouze ve velkých prostředích (definují se pomocí nástroje Služby sítě Active Directory). ♦ Pořadí zpracování zásad je pevně dané Nejprve se zpracují místní zásady, poté zásady v objektech na úrovni sítě, poté zásady na úrovni domény, poté zásady na úrovni příslušné organizační jednotky, podřízené organizační jednotky atd. Tento postup je třeba znát pro určení, které nastavení zásady bude platit, pokud se zásada vyskytuje ve více objektech a její nastavení je v rozporu s jinými (například na úrovni domény má uživatel povoleno měnit pracovní plochu a na úrovni organizační jednotky to povoleno nemá). Zásady, které jsou objektu nejblíže, mají nejvyšší prioritu. ♦ Pokud je na jedné úrovni více objektů Potom se provádějí zdola nahoru Objekty uvedené nejvýše mají nejvyšší prioritu, neboť se v dané úrovni aplikují jako poslední. Pořadí objektů lze ve stejné úrovni měnit.


204

Aplikování objektů zásad skupiny lze ovlivnit pomocí filtrů WMI Jedná se i o filtry, pomocí kterých lze odlišit různé typy počítačů a objekt zásad aplikoval pouze na ně, přestože se v okruhu objektu vyskytují i další počítače. Zásady tak můžete aplikovat pouze na ty počítače, jež mají procesor rychlejší než 733MHz nebo například pouze na počítače, které mají nainstalovánu aktualizaci Service Pack 1 a vyšší. ♦ Pro správu objektů zásad skupiny lze využívat i speciální nástroj GPMC (Group Policy Management Console) Kromě mnohem vyššího komfortu práce navíc umožňuje objekty zásad skupiny zálohovat, „vyměňovat" je mezi doméami a používat pro aplikaci zásad i řádkové příkazy (skripty). Tento nástroj sice není standardní součástí systému Windows Server 2003, ale k jeho používání je nutné vlastnit licenci na systém Windows Server 2003. Instalovat jej můžete do po čítače se systémy Windows Server 2003 nebo do počítačů se systémy Windows XP s aktualizací Service Pack 1 a součástí .NET Framework a využít jej můžete ke správě domén Active Directory založených na systémech Windows 2000 (s aktualizací alespoň Service Pack 2) a Windows Server 2003. ♦ Ve vlastnostech objektu zásad skupiny jsou na kartě Obecné dvě políčka Zakázat nastavení konfigurace počítače a Zakázat nastavení konfigurace uživatele. Pokud jste definovali objekt, který je určen pro uživatele a jako takový obsahuje nastavení pouze v části Konfigurace uživatele, potom v jeho vlastnostech zaškrtněte políčko Zakázat nastavení konfigurace počítače a naopak. Spouštění počítačů a přihlášení uživatelů pak bude rychlejší, neboť se zbytečně nebudou procházet nenakonfigurované zásady v objektech. ♦

Příklady filtrů WMI Počítače, které obsahují a mají nainstalovaný modem R o o t \CimV2;

S e l e c t * from Wi n32_P0TSModem

Počítače s konkrétními operačními systémy

Root\CimV2; Select * from Win32_0peratingSystem where Caption = "Microsoft Windows XP Professional" Počítače, které mají alespoň na jedné jednotce zformátované NTFS nejméně 10 MB volného místa

Root\Cim2; SELECT * FROM Win32_LogicalDisk WHERE (Name = "C:" 0R Name = "D:" OR Name="E:") AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = "NTFS" Počítače, do kterých byl pomocí Instalační služby systému Windows nainstalován Softwarový balíček S kódem ID {5E076CF2-EFED-43A2-A623-13E0D62EC7E0}

Root \cim2; SELECT * FROM Win32_Product WHERE 13E0D62EC7E0}"

IdentifyingNumber = {5E076CF2-EFED-43A2-A623-

Filtrování WMI není k dispozici v doménách Active Directory založených na systému Windows 2000 Server. Mnohem podstatnější je ale fakt, že filtry WMI se v doménách Active Directory se systémy Windows Server 2003 aplikují pouze na systémy Windows XP Prof e s s i o n a l a vyšší. Znamená to, že ať je filtr jakýkoli, na systémy Windows 2000 se bude objekt zásad skupiny aplikovat vždy (pokud to nebude upraveno oprávněními).

Zbavte se „jednoduchých" úloh správy Ačkoliv tato část přímo nesouvisí s funkcí Zásady skupiny, jedná se o konfiguraci, která zjednoduší správu celého prostředí a zejména vytížení správců.Základní myšlenka spočívá v distribuování správy (tedy rozdělení správy prostředí mezi více uživatelů). Nelekejte se - žádný uživatel vás nemůže jako správce domény nahradit. Ale znám spoustu správců domény, kteří místo toho, aby doménu skutečně spravovali, jsou denně zatěžováni desítkami telefonátů od uživatelů, již si nepamatují svá hesla. Proč tedy nesvěřit takto triviální úkol - resetování hesel - konkrétním uživatelům v každém oddělení? Pro každé oddělení by mohl existovat jeden z uživatelů, který by jako jediný toto oprávnění měl. Vy jako správci celého prostředí byste poté pouze kontrolovali jeho činnost. Zároveň byste měli jistotu, že jinou úlohu správy, než je resetování hesla, provést daný uživatel nemůže, dokonce nemůže resetovat hesla ani uživatelů z jiného oddělení. Jako správci domény však o toto právo nepřijdete - kdykoli tak budete moci heslo komukoli resetovat. I když teoreticky budou mít právo resetovat heslo pouze jednotliví uživatelé, ze systémového hlediska nelze uvažovat o jiném postupu, než udělení tohoto práva skupinám. Vzpomínáte na doporučenou strategii A -> G -> DL <- P? Pokud vezmeme v úvahu, že globální skupiny pro jednotlivá oddělení již máme (G XXXXX zkušení), stačí vytvořit místní doménové skupiny a jim toto oprávnění udělit. Poznámka Strategie A -> G -> DL <- P je určena zejména k udělování oprávnění k prostředkům, jakým jsou například sdílené složky či tiskárny. Pro přístup k objektům v doméně Active Directory by se měla využívat strategie bez místních doménových (DL) skupin, neboť v prostředí s více doménami nejsou vždy čitelné. Pokud tedy budete používat jedinou doménu, strategie A -> C -> DL <- P je v pořádku, pokud by se však les Active Directory rozrostl, použijte strategi A -> C -> U <- P. Převod místních doménových (DL) skupin na univerzální (U) můžete provést velmi jednoduše kdykoli, počítejte však s replikací do globálních katalogů.

V praxi můžete následující konfiguraci připravit pro každé oddělení. My si ukážeme konfiguraci pro resetování hesel pouze uživatelům obchodního oddělení. Přehled skupin

Uživatelé obchodního oddělení jsou seskupeni do dvou globálních skupin. Zkušení uživatelé jsou členy skupiny G Obchod


205

zkušení, a těm bychom mohli zprostředkovaně udělit oprávnění k resetování hesla všech účtů v organizační jednotce Obchod. Pro naplnění strategie A G DL P tedy chybí místní doménová skupina. 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. V organizační jednotce Skupiny vytvořte skupinu s názvem D Obchod Resetování hesel. Do této skupiny poté vložte existující skupinu G Obchod zkušení. Delegování oprávnění

Doména Active Directory má mimo jiné tu úžasnou vlastnost, že umožňuje definovat, kdo má k jakému objektu jaká oprávnění. Vše se dá nakonfigurovat ručně na kartě Zabezpečení ve vlastnostech každého objektu,. Existuje ale i další možnost - pro konkrétní konfiguraci oprávnění je připraven Průvodce delegováním řízení. 1. Přihlaste se k počítači PC001 jako správci. 2 Spusťte nástroj Uživatelé a počítače služby Active Directory 3. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a poté v místní nabídce klepněte na příkaz Delegovat řízení. Spustí se Průvodce delegováním řízení. Klepněte na tlačítko Další. 4. V dialogovém okně Skupiny nebo uživatelé se určuje, kdo získá daná oprávnění. Klepněte na tlačítko Přidat a přidejte nově vytvořenou skupinu D Obchod Resetování hesel. Poté klepněte na tlačítko Další. 5. V dialogovém okně Úkoly k delegování zaškrtněte políčko Resetuje hesla uživatelských účtů a vynutí... Poté klepněte na tlačítko Další. 6. Projděte si zadaná nastavení a klepněte na tlačítko Dokončit. Obrázek 17.15 Delegování oprávnění resetovat hesla

Pomocí průvodce delegováním řízení jsme nakonfigurovali oprávnění k organizační jednotce Obchod v doméně Active Directory. To lze velmi jednoduše ověřit. 1. V konzole Uživatelé a počítače služby Active Directory klepněte v nabídce Zobrazit na položku Upřesňující funkce. 2. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a zobrazte její vlastnosti. 3. Klepněte na kartu Zabezpečení a přesvědčte se, že v seznamu řízení přístupu jeskupina D Obchod Resetování hesel.

Nástroj pro resetování hesel Aby mohli uživatelé ze skupiny G Obchod zkušení resetovat hesla svým kolegům, potřebují k tomu nástroj. Nástroj Uživatelé a počítače služby Active Directory je pro ně však zbytečně složitý a mohl by na ně mít spíše odpudivý účinek. Proto jim vytvoříme nástroj jednodušší a úhlednější. 1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete prázdnou konzolu MMC a přidejte do ní modul snap-in Uživatelé a počítače služby Active Directory.


206

Poznámka Pro tyto účely nelze použít standardní nástroj Uživatelé a počítače služby Active Directory.

3. Klepněte na organizační jednotku Obchod tak, aby se v pravém okně zobrazil její obsah. 4. Nyní na organizační jednotku Obchod klepněte pravým tlačítkem myši a v místní nabídce zvolte příkaz Nové zobrazení panelu úloh. Spustí se Průvodce vytvořením zobrazení panelu úloh. Pokračujte klepnutím na tlačítko Další. 5. V dialogovém okně Zobrazení panelu úloh ponechte výchozí nastavení a klepněte na tlačítko Další. 6. V dialogovém okně Cíl panelu úloh ponechte výchozí nastavení a klepněte natčítko Další. 7. V dialogovém okně Název a popis zadejte do pole Název text Resetování hesel živatelů obchodního oddělení a do pole Popis text Nástroj slouží k resetování hesel účtů podřízených uživatelů. Poté klepněte na tlačítko Další. 8. V dialogovém okně Dokončení průvodce ověřte, že je zaškrtnuté políčko Spustit průvodce vytvořením úlohy a klepněte na tlačítko Dokončit. Spustí se Průvodce vytvořením úlohy. 9. Klepněte na tlačítko Další a v dialogovém okně Typ příkazu ponechte výchozí hodnoty a klepněte na tlačítko Další. 10. V dialogovém okně Příkaz místní nabídky klepněte v pravé části na položku Vytvořit nové heslo. Poté klepněte na tlačítko Další. Obrázek 17.16 Dialogové okno Příkaz místní nabídky

11. V dialogovém okně Název a popis ponechte výchozí název a v popisu nahraďte slovo „objektů" slovem „uživatele". Klepněte na tlačítko Další. 12. V dialogovém okně Ikona úlohy vyberte vhodnou ikonu a poté klepněte na tlačítko Další. 13. Klepnutím na tlačítko Dokončit ukončete průvodce. 14. V nabídce Zobrazit klepněte na příkaz Vlastní nastavení a zrušte zaškrtnutí všech políček. Poté klepněte na tlačítko OK. 15. V nabídce Soubor klepněte na položku Možnosti. Dialogové okno nakonfigurujte podle obrázku 17.17 a poté klepněte na tlačítko OK. 16. V nabídce Soubor klepněte na příkaz Uložit jako a konzolu uložte pod názvem Resetování hesla.msc. Poznámka Při vytváření tohoto typu konzoly v systému Windows 2000 jste měli ještě možnost zakázat uživateli používat místní nabídku. Proč v systému Windows Server 2003 tato možnost není, je mi záhadou.


207

Obrázek 17.17 Režim a další omezení konzoly

Tento soubor můžete nyní dopravit například pomocí elektronické pošty k uživateli, k te rý bude pro obchodní oddělení resetovat hesla. K dispozici tak bude mít velmi elegantní a přehledný nástroj pro svou činnost. To ale ještě není všechno. Aby uživatel mohl tento nástroj spustit, potřebuje mít v počítači nainstalované Nástroje pro správu prostředí (adminpak.mst). Zde je ale malý rozpor. My jsme vytvářeli nástroj „na míru" proto, aby uživatel nemusel používat standardní nástroj Uživatelé a počítače služby Active Directory. Někteří správci si dokonce nepřejí, aby uživatel mohl standardní nástroj vůbec spustit. Pokud ne chcete, aby uživatel mohl nástroj Uživatelé a počítače služby Active Directory spustil, za kažte v části Konfigurace uživatele\Šablony pro správu\Součásti systému Win dows\Konzola Microsoft Management Console\Zakázané nebo povolené moduly snap-in zásadu Uživatelé a počítače služby Active Directory. Jiná možnost není, Myslí, že je zbytečné, abyste uživatele učili nástroj, který jste pro ně vytvořili, používat, Uživatel, který nevidí způsob použití na první pohled, nemá co resetovat uživatelům hesla a je lepší jej z podobných úloh vyřadit.

Závěr Nástroj Zásady skupiny jsou jedním z nejsilnějších nástrojů systému Windows Server 2003 vůbec. Správa klientských počítačů je pomocí ní velmi snadná a rychlá. Systém Windows XP Professional obsahuje přes 700 nastavení, která zahrnují konfiguraci vzhledu a chování klientských počítačů, jejich zabezpečení, spouštění skriptů, přesměrování složek, ale také například instalaci softwaru. Zásady konfigurované v části objektu Konfigurace počítače se aplikují pouze na účty počítačů, zásady konfigurované v části Konfigurace uživatele se aplikují pouze na účty uživatelů. Na to je třeba myslet pří konfiguraci objektů zásad a jejich umisťování v hierarchii doménové databáze Active Directory. Pokud chcete konfigurovat pro jednotlivé uživatele různé zásady, je třeba uživatele rozmístit do oddělených organizačních jednotek, které musíte pro tento účel vytvořit. Vzhledem k tomu, že účet uživatele nebo počítače se může vyskytovat pouze v jediné organizační jednotce, je třeba volit hierarchii organizačních jednotek s rozmyslem, zejména její nejvyšší úroveň. Aplikace objektů zásad skupiny se řídí principem dědičnosti. Pro odstraňování potíží je v systémech Windows XP Professional a Windows Server 2003 k dispozici nástroj Výsledná sada zásad. V jakémkoli počítači je tak možné získat informace, které konkrétní zásady se budou aplikovat na konkrétního uživatele a počítač v dané organizační jednotce. Na serveru Windows Server 2003 je zároveň možné tento nástroj používat v režimu plánování (co se stane, když...). Doména Active Directory obsahuje další možnost - udělit oprávnění k jednotlivým úlohám správy skupinám či uživatelům, kteří nejsou členy žádné ze skupin správců. Pro jednodušší udělení oprávnění je k dispozici Průvodce delegováním řízení, oprávnění však lze definovat i na kartě Zabezpečení daného objektu v Active Directory.

Stav sítě Síť doznala v této kapitole podstatných vylepšení. V doméně Active Directory došlo k vytvoření organizačních jednotek odpovídajících organizační struktuře společnosti Studny s.r.o. a k aplikaci několika objektů zásad skupiny. V místních skupinách Administrátora klientských počítačů se změnilo členství (přidán účet brigádníka) a složka Dokumenty všech uživatelů byla přesměrována na server SRVR001 do sdílené složky PresmDoc. Proto došlo na serveru SRVR001 ke konfiguraci kvót, takže každý uživatel má nyní k dispozici „pouze" 210 MB místa. Počítač PC001 není možné uzamknout (nakonfigurováno pomocí zásad skupiny) a skupina uživatelů D Obchod Resetování hesel má oprávnění resetovat heslo uživatelských účtů v organizační jednotce Obchod. Pro tyto účely je vytvořen speciální nástroj.


208

Profily uživatelů Pokud se poprvé přihlásíte k novému počítači se systémem Windows XP Professional, zobrazí se vám pracovní ' plocha počítače s výchozím obrázkem na pozadí, nová Nabídka Start, nebudou se zobrazovat skryté soubory a budou také skryty přípony známých typů souborů. To je jenom pár věcí, které jsou součástí takzvaného uživatelského profilu. V daném počítači se týkají pouze vašeho účtu, takže nemají vliv na přihlášení jiných uživatelů. Stejně tak konfigurace ostatních uživatelů nebude mít vliv na vaše prostředí. Pokud se vám některé z nastavení nelíbí a rozhodnete se je změnit, bude toto nastavení změněno i po odhlášení a novém přihlášení.

Výhody profilů uživatelů Primárním účelem profilu uživatele je oddělit nastavení a data všech uživatelů stejného počítače. Nejen že nastaveni jednoho uživatele se nijak neprojeví na nastavení ostatních uživatelů, ale pokud je jednotka s profily zformátovaná systémem souborů NTFS, nebudou se uživatelé schopni dostat navzájem ke svým dokumentům. Oprávnění pří-stupu NTFS jsou v takovém případě definovaná počítačem a ve stávajících profilech je může změnit pouze správce počítače. Profily uživatelů přinášejí dvě významné výhody: • Profil (tedy nastavení a data uživatelů) lze uložit mimo počítač, se kterým uživatel pracuje. V případě selhání počítače (například porucha pevného disku) a jeho nutné náhradě tak uživatel nepřijde o své prostředí ani data a po rychlé instalaci operačního systému do nového počítače může velmi rychle pokračovat v práci. • Profil může cestovat spolu s uživatelem, pokud je t a k nakonfigurován. Znamená to, že pokud uživatel pracuje s více počítači, bude mít v každém počítači stejné nastavení a k dispozici stejná data. Výrazně se tím ták může zvýšit produktivita práce. V menších společnostech jsou obavy správců celkem opodstatněné, protože se od nich automaticky očekává, že budou uživatelům k dispozici jako helpdesk. Vedení společnosti totiž jednoduše předpokládá, že správce sítě je od toho, aby řešil jakékoli záležitosti týkající se hardwaru/systémů/aplikací a dalších věcí. Automaticky se totiž má za to, že je expertem na jakoukoli aplikaci, která se v síti používá. To je však hluboký omyl. Takový správce se časem stává otrokem, který v práci tráví své mládí jenom proto, aby alespoň udržel stávající stav. Protože toho pak dělá moc, nedělá nic pořádně, nemá čas se něco pořádně naučit a znáte to - kolečko se roztáčí. Ze strany správce by mělo být podporováno maximálně nasazení aplikací do prostředí sítě (sestávající z přípravy a praktického provedení). Zbytek - tedy podpora aplikací, případně jejich správa - by měl být záležitostí oddělení správy aplikací, případně externího dodavatele. Nutno doplnit, že správcům v malých společnostech vůbec nezávidím a před některými z nich smekám - především proto, že jsou ochotni za daných platových podmínek na podporu jakéhokoli softwaru přistoupit. V síti nyní stojíme před instalací několika aplikací. Pojďme se podívat, jaké máme možnosti instalace.

Instalace z instalačního média Původně jsem chtěl do nadpisu uvést „Instalace z disku CD-ROM", ale to už ani dnes nemusí být pravda. Proto obecná instalace z diskety/CDROM/DVD, případně jiného, široce používaného média. Jedná se o nejjednodušší metodu instalace aplikace. Správci vezmou médium, postupně obchází veškeré počítače, vyhání od nich uživatele, přihlásí se jako správci a provedou instalaci. Poté se odhlásí, médium si vezmou s sebou a jdou o počítač dále. Toto vše může pracovat, ale jen do té doby, než se objeví problémy. Jaké?

K počítači se přihlásí jiný uživatel než ten, který provedl instalaci Typický problém vyskytující se u aplikací sady Microsoft Office 2000. Při přihlášení nového uživatele a spuštění některé aplikace z této sady se prováděla konfigurace aplikace pro daného uživatele, takže se na obrazovce chvíli něco dělo a skončilo to žádostí o instalační disk CD-ROM. Nepříjemná, dokonce myslím, že v tomto typu instalace neřešitelná situace.

V konfiguraci aplikace se vyskytnou potíže Při spuštění aplikace nebo při jejím běhu se vyskytují chyby mající za výsledek přerušení práce uživatele. Správce je u takového počítače denně a vždy odchází s neblahým pocitem, že vlastně nic nevyřešil, takže je otázka času, kdy se s uživatelem uvidí znovu. V očích uživatele je samozřejmě chyba na straně správce a kolečko se opět roztáčí.

Uživatel omylem odstraní některý ze souborů aplikace Ačkoli je tato možnost pomocí oprávnění přístupu NTFS v systému Windows XP Professional maximálně omezena, může k ní dojít. Některé aplikace mohou vyžadovat změnu konfigurace oprávnění uživatele do složky, ve které je aplikace nainstalovaná, takže uživatel může náhodně odstranit například důležité soubory EXE nebo DLL. Potom nezbývá, než vzít disk CD-ROM, přijít k počítači a instalaci opakovat. A to pomíjím zcela za měrné poškozování aplikace uživatelem!


209

Uživatel chce do instalace přidat další součásti Ačkoli bývá prostředí nainstalovaných aplikací sjednocené, mohou se vyskytnout uživatele (případně celá oddělení), kteří budou vyžadovat doinstalování dalších součástí do aplikace. Další postup je stejný jako při úvodní instalaci aplikace. To nejpodstatnější je, že jako správci musíte k počítači jít.

v počítači není jednotka CD-ROM Velmi častá záležitost (v dnešních sítích). Aplikaci jste zakoupili, médium máte, jste připraveni, ale instalaci nelze provést. V takovém případě nezbývá, než použít jinou metodu instalace.

Instalace ze sítě Je tento typ instalace je v principu stejný jako předchozí případ. Pouze instalačním médiem je síť. Princip je jednoduchý. Na instalačním serveru (kterým je pro tento případ běžný souborový server), je vytvořena sdílená složka s instalačními soubory aplikace. Z konkrétního uživatelského počítače se poté jako správci připojíte ke sdílené složce a provedete instalaci aplikace. Tento typ instalace má svoje výhody. Nemusíte s sebou nosit instalační médium a aplikaci nainstalujete i do počítače, který nedisponuje jednotkou CD-ROM. Musí mít ale funkční připojení k síti. Mezi nevýhody lze započítat všechny, které byly uvedeny výše (snad s výjimkou té první - viz následující odstavec). Zároveň může tento typ instalace vyřešit potíže s aplikacemi sady Office 2000 (nebo podobnými) při přihlášení jiného uživatele. Počítač již nebude žádat instalační disk CD-ROM, ale protože bude mít přístup k instalačním souborům, doinstaluje si potřebné soubory automaticky. Možnost automatické do instalace má ale i své nevýhody. Aby to pracovalo, musí mít daný uživatel přístup k instalačním souborům uloženým v síťové sdílené složce. Pokud takový přístup uživatelům umožníte, může se také stát, že si uživatelé instalační soubory jednotlivých aplikací zkopírují a odnesou si je domů. Buďte tedy opatrní a pokud to ne ní nutné, udělte oprávnění pouze skupině správců (pochopitelně za dodržení strategie A -> G -> DL <- P).

Instalace pomocí dalších nástrojů Mezi správci sítí Microsoft je z této oblasti známým nástrojem Systems Management Sel Ver 2.0. Jedná se o velmi dobrý nástroj, který umí spoustu věcí. Instalace aplikací je jednou z nich. Jeho výhody (v oblasti instalace aplikací) zahrnují možnost nainstalovat do klientských počítačů prakticky jakoukoli aplikaci. Nevýhodou je nutnost tento produkt zakoupit na ladit, do všech počítačů nainstalovat jeho klienta a samozřejmě nutnost umět cele toto prostředí spravovat. Jinými slovy - mít k dispozici dalšího správce, který bude mít na starosti správu této části prostředí. O nákladech, které si takové prostředí vynutí, ani nehovořím. Dalším nástrojem pro instalaci aplikací je součást zásad skupiny v doméně Active Directory nazvaná Instalace softwaru. Té se budeme věnovat v dalších částech kapitoly.

Jak to udělat co nejjednodušeji? Časy obcházení jednotlivých počítačů s instalačním diskem CD-ROM v kapse by již dnes měly být minulostí. Tlak na opuštění této cesty cítí všichni rozumní správci tak, jak roste síť a zvyšuje se počet klientských počítačů. Ono to s sebou nese i další výhody. Ruku na srdce! Společně s „výletem" k jednotlivým počítačům jste se jistě někde zdrželi déle, než bylo nutné, případně jste využili přítomnosti na jiné pobočce k návštěvě zajímavých míst za soukromým účelem. Nikdo se nic nedozvěděl, neboť to tak bylo již dopředu naplánováno. Produktivita správce je však piyč, a to se někde nutně projevit musí. Tím se správců nechci vůbec dotknout, spíše chci něco navrhnout. Jak pomocí standardních prostředků domény Active Directory připravit automatickou instalaci, která vám umožní mít více volného času, ačkoli se před šéfy můžete tváři tak, že máte práce nad hlavu. V doméně Active Directory jsou prostředky, které můžete využít k automatické instalaci aplikací do klientských počítačů. Jsou součástí zásad skupiny, takže vhodným rozmístěním objektů zásad skupiny můžete určit, který uživatel bude mít k dispozici jaký software. Takže zatímco uživatelé ve skladu by měli mít pouze kvalitního poštovního klienta, ostatním uživatelům můžete přihodit ještě aplikace typu Word a Excel a oddělení Marketing třeba i databázový nástroj typu Access.

Instalace aplikací pomocí zásad skupiny V předchozí kapitole jsme se věnovali zásadám skupiny a objektům zásad. Byly uvedeny veškeré důležité informace o jejich principu, předvedena jejich aplikace a probrali jsme i některé konkrétní zásady. Nechybělo ani vysvětlení principu zpětné smyčky, tedy velmi zajímavé vlastnosti, kvůli které dodnes spoustě správců vinou neznalosti běhá mráz po zádech. Ačkoli toho tedy bylo dost, vůbec jsme se nedotkli jedné z podstatných částí Zásad skupiny - Instalace softwaru.

Konfigurace počítače nebo Konfigurace uživatele? Část zásad skupiny týkají se instalace softwaru naleznete v obou větvích objektu zásad skupiny - Konfigurace počítače i Konfigurace uživatele. Je tedy dobré vědět, jaké jsou mezi nimi rozdíly a co to znamená pro praxi.

Konfigurace počítače Všechny zásady nakonfigurované v této větvi objektu zásad skupiny se vždy aplikují pouze na účty počítačů. To už je stará známá věc. Jestliže


210

tedy nadefinujete instalaci softwaru v této části, bude se týkat pouze počítačů a v počítačích bude software nainstalován bez ohledu na to, který uživatel se k počítači přihlásí. Aplikace instalované pomocí zásad skupiny v části Konfigurace počítače jsou z pohledu uživ a t e l ů statické, tj. vždy zůstávají v daném počítači a jsou k dispozici každému uživateli.

Konfigurace uživatele Nastavení v této části objektu zásad se týká pouze uživatelských účtů. Předpokládejme, že uživatelům v oddělení Sklad nainstalujete tímto způsobem pouze aplikaci Outlook (Irdy poštovního klienta) a uživatelům oddělení Obchod nainstalujete celou sadu Microsoft Office. V každém počítači, ke kterému se přihlásí uživatel obchodního oddělení, bude mít po tom k dispozici všechny aplikace sady Office. Pokud se však odhlásí a ihned za ním se při h l á s í uživatel ze skladu, bude mít k dispozici pouze aplikaci Microsoft Outlook. Aplikace instalované pomocí zásad skupiny v části Konfigurace uživatele tedy „cestuji" spolu s uživatelem.

Příklady využití různých typů instalací Rozdíl mezi konfigurací instalace aplikace v části Konfigurace počítače a Konfigurace uživatele si ukážeme na příkladu instalace aktualizace Service Pack. Z pohledu správy je aktualizace Service Pack operačního systému také aplikací, oproti ostatním však velmi duležitou. Pokud definujete instalaci aktualizace Service Pack v části Konfigurace počítače, zajistíte její instalaci do všech počítačů, jež budou v záběru příslušného objektu zásad skupiny, který jste pro tento účel vytvořili. Service Pack se tak nainstaluje do počítačů a bude v nich k dispozici při přihlášení jakéhokoli uživatele. Pokud byste tuto instalaci definovali v části Konfigurace uživatele objektu, který poté aplikujete například na organizační jednotku Marketing, instalovala by se aktualizace Service Pack pouze do těch počítačů, k nimž by se uživatelé marketingu přihlásili. Po jejich odhlášení by ale v počítačích nezůstala. Z pohledu správy prostředí je samozřejmě rozumnější první možnost, tedy instalace definovaná v části Konfigurace počítače. Jiným příkladem může být speciální antivirová aplikace, kterou máte pouze v jediném vydání. Jako správci občas řešíte potíže přímo u uživatelů a v některých situacích potřebujete provést zevrubnou kontrolu takového počítače na přítomnost virů. Protože na to antivirové nástroje v počítačích uživatelů nestačí, musíte nutně použít svůj antivir. Dopředu však nevíte, ve kterých počítačích jej budete potřebovat používat, a instaloval je do všech počítačů je proto nesmysl. Instalaci tohoto antivirového programu tedy na Definujete v objektu zásad skupiny, která se bude aplikovat pouze na skupinu správců Pokud se poté jako správci přihlásíte ke kterémukoli počítači, budete mít tuto aplikaci vždy v počítači nainstalovanou. Po vašem odhlášení však v počítači nezůstane.

Přiřazení nebo publikování aplikací? Stojíme před zcela novými pojmy, které je pro používání zásad skupiny k instalaci softwaru nutné pochopit. Jedná se o způsob instalace aplikací a o to, jak se o nich ve svých počítačích dozví uživatelé.

Přiřazení aplikace Přiřazení aplikace je jedna z možností instalace, kterou je třeba definovat při přípravě instalačního balíčku. Pokud aplikaci přiřadíte, dojde k následující věci: ♦ Po přihlášení uživatele se v Nabídce Start objeví položka (zástupce) této aplikace. ♦ Uživatel může aplikaci spustit klepnutím na tuto položku nebo poklepáním na soubor s příslušnou příponou. Přiřazení aplikace se používá v případě, kdy uživatelé opravdu aplikace využívají, a je vhodné jim je zobrazit v Nabídce Start. Publikování aplikace Publikování aplikace se chová poněkud jinak. Po publikování aplikace dojde k následující věci: ♦ ♦

Uživatel po přihlášení nevidí zástupce aplikace v Nabídce Start. Uživatel může spustit aplikaci buď poklepáním na přidružený soubor nebo v okně Přidat nebo odebrat programy.

Publikování aplikace se používá v případě, kdy máte pro uživatele připraveny aplikace, ale nechcete je zobrazovat v Nabídce Start, aby se nestala nepřehlednou. V souladu s výše uvedenými informacemi o možnostech instalace aplikací pro počítače a uživatele je třeba doplnit ještě jednu věc. Vzhledem k tomu, že počítač neumí jako uživatel rozhodnout, kdy bude danou aplikaci potřebovat a spustit ji z okna Přidat nebo odebrat programy, není možnost Publikování aplikace pro počítače k dispozici. Možné kombinace shrnuje následující tabulka. Konfigurace počítače

Konfigurace uživatele

Přiřazení aplikace

ok

ok

Publikování aplikace

x

ok

Tabulka 18.1 Možné kombinace přiřazení a publikování aplikace Okamžitá

nebo zpožděná

Instalace? Zásady skupiny v části konfigurace uživatele se aplikují ihned po přihlášení uživatele a poté v téměř pravidelných intervalech. Nyní si představte


211

stav, kdy pomocí zásad skupiny nadefinujeme instalaci sady kancelářských aplikací do 100 klientských počítačů. Až potud je to v pořádku. Pokud se však ráno přihlásí všech 100 uživatelů najednou, co se stane? Sesype se instalační server z přetížení? To záleží na vás, jak instalaci objektů nastavíte. Na výběr jsou v takovém případě dvě možnosti: ♦

Zpožděná instalace V tomto případě dochází k instalaci dané aplikace až v okamžiku, kdy ji uživatel spustí. Při aplikování zásady během jeho přihlášení tak do-jde pouze k inzerování aplikace vytvořením zástupce v Nabídce Start. Pravděpodobnost, že všech 100 uživatelů by ve stejný čas potřebovalo stejnou aplikaci, je tak malá, že zatížení počítače, odkud se instalace provádí, nebude nijak extrémní, ♦ Okamžitá instalace V tomto případě dochází k instalaci dané aplikace ihned během přihlášení uživatele. Například uživatel přenosného počítače by se na cestách mohl divit, proč má v Nabídce Start položku aplikace, kterou stejně nemůže spustit. Proto se tento typ instalace používá většinou u přenosných počítačů nebo u uživatelů, kteří je používají. Uživatelé ale musí v takovém případě počítal s tím, že proces jejich přihlášení bude zpožděn o dobu instalace všech aplikací, které jste v objektu zásad skupiny definovali. Poznámka Okamžitá instalace není k dispozici v doméně Active Directory pouze se systémy Windows 2000. V doméně Active Directory se systémy Windows Server 2003 je možné ji použit pouze při přiřazení instalačního balíčku.

Všechny aplikace nebo jen některé? Pomocí zásad skupiny lze v doménách Active Directory instalovat pouze balíčky MSI, tedy aplikace, které jsou určené pro instalační služby systému Windows. Jedná se o novou službu, která je k dispozici od vzniku systému Windows 2000, a jež nahrazuje klasické programy předchozích verzí. Toto je pravděpodobně zásadní zlom v používání zásad pro instalaci softwaru. Ne všechny aplikace se totiž ve formě tohoto balíčku dodávají. Pokud chcete tedy aplikaci instalovat vzdáleně, musíte se rozhodnout. Bud budete mít k dispozici instalační balíček MSI a budete moci použít řešení pomocí zásad skupiny (které vyžaduje pouze znalosti správce důležité pro konfiguraci) nebo budete mít pouze standardní instalační program setup.exe a budete muset použít další nástroj (Systems Management Server). Možnost instalace softwaru pomocí zásad skupiny přišla na trh spolu se systémem Windows 2000 na konci roku 1999. Tehdy byl svátek potkat někde instalační balíček MSI. Dnes, více než 3 roky poté, se s těmito balíčky setkáte mnohem častěji. Pokud přesto nejste schopni získat od výrobce softwaru balíček MSI, můžete si jej (při troše znalostí a štěstí) vytvořit sami. Slouží k tomu nástroje jiných výrobců, například nástroj WinInstall LE, který je dokonce k dispozici na instalačním disku CD-ROM se systémem Windows 2000 nebo jeho dospělý kolega Winlnstall, jenž už je však za peníze. Jestliže vám zůstane v ruce soubor setup.exe, nebudete moci zásady skupiny pro instalaci aplikace použít. Balíček MSI Co to vlastně takový balíček MSI je? Jak vypadá jeho struktura? Vzpomeňte, setkali jsme se s ním již při instalaci Nástrojů pro správu domény do počítače PC001 a při instalaci kli pinta funkce Stínová kopie svazku. Všechny aplikace se dnes dodávají ve formě instalačního balíku. Vy pouze poklepete na příklad na příkaz setup.exe a vše ostatní zařídí instalační program. Co se stane v systému? Během instalace se vytvoří nové složky, do nichž se dekomprimují soubory, některé soubory se mohou dekomprimovat také do stávajících složek, vytvoří se nové položky v registru a také se doplní zástupci do Nabídky Start uživatelům. Takovou instalaci byste ale také mohli provést ručně. Pokud byste dostali veškeré soubory, postup pro jejich dekomprimaci, a informace o tom, které složky a položky registru a kde male vytvořit a co kam zkopírovat, mohli byste postupovat samostatně. Výsledek by byl po chopitelně stejný, akorát v porovnání s instalačním programem za mnohem delší dobu. Soubor MSI je právě těmi informacemi, co kde vytvořit za složky a položky v registru, které soubory kam zkopírovat apod. Vedle souboru MSI tedy většinou existují ještě další soubory, které jsou součástí instalace. Pokud samotná instalace není velká, jsou instalační soubory součástí souboru MSI. Ten pak tedy obsahuje dvě části - databázi informací a soubory (vzpomeňte na soubory adminpak.msi či twclient32.msi, oba ve stylu „all in one").

Příklad instalace sady Microsoft Office XP Přestože jsem se již setkal s různými správci, kteří možnosti instalace aplikací pomocí zásad skupiny znali, vesměs u nich převládal názor, že taková instalace „pořádně nefunguje", a že pro ně bylo lepší a jednodušší nainstalovat všechno ručně po síti. Často se v takových případech jednalo o instalaci aplikací sady Office, což zamrzí hned dvakrát. Jednak obecně - vždyť Office se dodává s balíčky MSI od verze 2000, a jednak proto, že se jedná o produkt společnosti Microsoft. A co jiného by potom mělo spolu fungovat když ne produkty Microsoft? Možná vím, co chce nyní někdo říci. Občas se i v dílně společnosti Microsoft narodí řešení, které není zcela kompatibilní tak, jak je to proklamováno. Takové výstřelky jsou ale rychle opraveny a jsou tedy plně použitelné. Jestliže chcete pomocí zásad skupiny instalovat aplikace sady Office XP, nestačí vám pouze znalosti systému. Ještě potřebujete nahlédnout trochu pod pokličku možností sady Office XP. Že to ale není nic tak těžkého se přesvědčíme v dalších částech, kdy instalaci této sady fyzicky provedeme.

Strategie nasazení aplikací sady Office XP Všichni uživatelé společnosti Studny, s.r.o. by měli mít k dispozici aplikaci Outlook 2002. Jedná se o aplikaci pro správu kontaktů, úkolů, schůzek a elektronické pošty. Protože tuto aplikaci potřebují všichni uživatelé (včetně správců, ale vyjma pracovníků ve skladu), budeme na ni


212

pamatovat při vytváření všech objektů

Obchod & Marketing Uživatelé v oddělení Obchod a Marketing budou k práci potřebovat také aplikace Word 2002 a Excel 2002. Pracují s nimi denně, takže jim tyto aplikace nainstalujeme tak, aby je viděli v Nabídce Start. Sklad Uživatelé ve skladu sice nejsou typickými představiteli klasických kancelářských pracovníků, přesto ale občas potřebují aplikaci Word 2002. I v tomto případě vyjdeme uživatelům vstříc a aplikaci nakonfigurujeme tak, aby sice byla připravená k instalaci, ale nebyla uvedená v Nabídce Start.

vedení Pravděpodobně to znáte. Členové vedení vždy potřebují úplně všechny aplikace, aniž přesně vědí, k čemu slouží. Ve svých počítačích (a v každém počítači, ke kterému se přihlásí) je musí mít hlava nehlava. Vyjdeme jim tedy vstříc a aplikaci Outlook 2002 obohatíme o Word, Excel a Access 2002. Budou jediní, kdo budou disponovat nástrojem MicroSoft Access 2002! Konfiguraci všech aplikací provedeme tak, že aplikace se budou instalovat na vyžádáni (zpožděná instalace). Uživatelé je sice budou mít v Nabídce Start, ale k první instalaci do jde až při nutnosti prvního použití. Teď je to ještě předčasné, ale na závěr vyzkoušíme také instalaci aplikace poklepáním na přidružený soubor. Shrnuto a podtrženo - budeme potřebovat 4 typy instalačních balíčků (balíček pro Obchod & Marketing, pro Sklad, pro Vedení a pro ostatní). Znamená to, že budeme muset mít na serveru více instalací? Nebude to třeba. Instalační balíčky MSI v sobě mají jednoznačně definované chování. To lze upravit, ale musíte k tomu použít takzvaný transformační soubor MST. A sada MSI + MST = instalační sada (vzpomeňte na soubor odpovědí a jedinečný databázový soubor UDF - to bylo něco podobného). Vyjdeme tak z jediného instalačního balíčku MSI, ale v každém objektu použijeme jeho jinou modifikaci MST.

Příprava na instalaci sady Office XP Pro úspěšnou instalaci budeme potřebovat následující: ♦ Instalační médium sady Office XP Pozor! Médium musí být z multilicenčníhoprogramu. Jiné verze pro tento typ instalace nelze použít. Poznámka Pokud byste podobným způsobem instalovali sadu Office 2000 (postup instalace je podobný jako vejce vejci), můžete si vybrat jakoukoli verzi média (i z krabice). ♦

Nástroje sady Office XP Resource Kit Tato záležitost je nevyhnutelná a osobně si myslím, že všichni, kteří tvrdí, že instalace sady Office pomocí zásad skupiny je pro uživatele neproveditelná, tento nástroj vůbec nepoužili. Právě pomocí těchto nástrojů budeme schopni vytvořit transformační soubory MST. To je vše. Neuvedl jsem nutné znalosti správce domény a znalost instalací Office, ale to jsou záležitosti, které načerpáte v dalších odstavcích.

Instalace nástrojů Office XP Resource Kit Abychom nezatěžovali server (nebylo by to ani systémové), provedeme instalaci potřebných nástrojů a poté veškerou přípravu v klientském počítači PC001. Nástroje sady Office XP Resource Kit jsou k dispozici ke stažení jako soubor Orktool s .exe na webové stránce společnosti Microsoft na adrese http://umnv.microsoft.com/office/ork/xp/appndx/appc00.htm. Soubor Orktools.exe naleznete také na přiloženém disku CD-ROM. Instalace sady Office Resource Kit 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte soubor o r k t o o l s . e x e . Nástroje ORK jsou pouze v anglickém jazyce, s instalací do české verze systému Windows XP rofessional však nebudete mít žádné potíže.


213

Obrázek 18.1 První dialogové okno nástrojů ORK (Souhlas s licencí)

3. Zaškrtněte políčko I accept the terms in the Licence Agreement a poté klepněte na tlačítko Next. 4. V dialogovém okně výběru typu instalace ponechte výchozí nastavení a poté klepněte na tlačítko Next. Poznámka K instalaci sady Office nebudeme rozhodně potřebovat všechny nástroje. Je ale mnohem rychlejší a jednodušší nainstalovat všechny, neboť poté je lze velmi snadno a rychle odinstalovat. A kdoví, možná, že mezi nainstalovanými nástroji naleznete další zajímavosti. 5. V dialogovém okně Begin installation klepněte na tlačítko Install. Proběhne instalace nástrojů. Obrázek 18.2 Instalace nástrojů Office XP Resource Kit

6. Instalaci dokončíte klepnutím na tlačítko OK (viz obrázek 18.3). Obrázek 18.3 Dokončeni instalace nástrojů ORK

Administrátorská instalace sady Office XP Instalace aplikací sady Office XP musí být v počítačích uživatelů rychlá a bezobslužná. Jako správci nesmíte dopustit, aby uživatelé byli nuceni zadávat záležitosti týkající se instalace jako takové. Jediná z přípustných zásad uživatele je na konci instalace (navíc pouze první instalace) zadání jména, příjmení a iniciál. Z těchto důvodů nelze instalaci sady Office XP provádět tak, že zkopírujete obsah instalačního disku CD-ROM do sdílené složky na server, odkud bude instalace probíhat. To I >y dopadlo přesně tak, jak nechceme. Je třeba provést takzvanou administrátorskou instalaci, při které


214

zadáte všechny potřebné parametry platící pro všechny uživatele. Instalace však musí být umístěna ve sdílené složce, ke které mají uživatelé oprávnění přístupu alespoň Číst. Složku ale budeme sdílet až na závěr. Administrátorská instalace Protože se jedná o místní instalaci, bude nutné ji provést přímo na serveru SRVR001. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Na jednotce C: vytvořte složku Instalace aplikací a v ní podsložku Office XP. 3. Do jednotky CD-ROM serveru vložte instalační disk sady Office XP Professional (nebo vyšší). Pokud je na serveru povolena funkce automatického spuštění, instalace sady Office XP se automaticky spustí. V nejbližším možném místě ji přerušte. 4. V Nabídce Start klepněte na položku Spustit a poté zadejte cestu k souboru setup. exe a doplňte parametr /A. Pokračujte klepnutím na tlačítko OK. Obrázek 18.4 Spuštění administrátorská instalace

5. Spustí se instalace aplikací sady Office. V dalším dialogovém okně zadejte název společnosti, cestu instalace (C:\Instalace aplikací\Office XP) a kód Product Key. Poznámka Pokud nemáte správnou verzi sady Office XP, instalace se v tomto kroku přeruší a na daný stav budete upozorněni.

Informace, které v tomto dialogovém okně zadáte, zadáváte místo uživatelů. Oni tak pří vlastní instalaci nebudou tyto informace muset zadat, a instalace tak bude automatická. 6. V dalším dialogovém okně si přečtěte licenční ujednání a poté zaškrtněte políčko S podmínkami licenční smlouvy souhlasím. Poté klepněte na tlačítko Nainstalovat. Nyní proběhne instalace produktu. Protože se jedná o administrátorskou instalaci, nebudou aplikace na serveru nainstalované jako běžné aplikace, tudíž ani nepůjdou spustit. Dojde pouze k přípravě instalačních souborů pro instalaci do klientských počítačů. Obrázek 18.5 Ačkoli průběh vypadá jako běžná instalace, produkty nebudou na serveru k dispozici

Sdílení složky Instalace aplikací

1. Na složku Instalace aplikací klepněte pravým tlačítkem myši a v dialogovém okně vlastností na kartě Sdílení definujte její sdílení s názvem Aplikace. Sdílená oprávnění nakonfigurujte pro skupiny Administrators na Úplné řízení a pro skupinu Authenticated Users na Číst. 2. Dialogové okno vlastností zavřete klepnutím na tlačítko OK. Připravená instalace aplikací sady Office je nyní zpřístupněna uživatelům. Předtím, než začneme vytvářet objekty se zásadami instalace, je ale nejprve třeba připravit transformační soubory pro jednotlivé typy instalace. K tomu využijeme nástroj Custom Installation Wizard, který jsme nainstalovali již dříve jako součást sady nástrojů Office XP Resource Kit.

Transformační soubory MST


215

Vytvoření transformačního souboru pro Instalaci aplikace Outlook 2002

1. K počítači PC001 se přihlaste jako správci. 2. Spusťte nástroj Custom Installation Wizard (Průvodce vlastní instalací). Na úvod ní obrazovce pokračujte klepnutím na tlačítko Next. Obrázek 18.6 Úvodní okno aplikace Custom Installation Wizard (CIW)

3. V dialogovém okně Open the MSI file (Otevřít soubor MSI) klepněte na tlačítko Browse a v síti na serveru SRVR001 ve sdílené složce Aplikace vyhledejte příslušný soubor MSI. Poté pokračujte klepnutím na tlačítko Next. Obrázek 18.7 Cesta v síti k instalačnímu souboru MSI

4. V dialogovém okně Open the MST file (Otevřít soubor MST) ponechte zaškrtni! té políčko Create a new MST File a poté klepněte na tlačítko Next. Druhá možnost - Open an existing MST filee - je určena pro úpravu existujícího souboru MST. To je nyní bezvýznamné, nicméně můžete ji využít v budoucnu při nutných změnách v souborech MST. 5. V dialogovém okně Select the File to Save zadejte název a cestu k umístění souboru MST. Výchozím umístěním je stejná složka, ve které je soubor MSI, nicméně je na vás, jaké umístění v provozním prostředí zvolíte. Souboru MST dejte název Outlook.MST a poté klepněte na tlačítko Next.


216

Obrázek 18.8 Místo pro uložení souboru MST, který v následujících krocích vytvoříme

6. V dialogovém okně Specify Default Path and Organization (Zadejte výchozí cestu a organizaci) ponechte výchozí hodnoty. Hodnota v poli organizace znamená, že se použije název zadaný při administrátorské instalaci (tedy Studny s.r.o.). Klepněte na tlačítko Next. 7. V dialogovém okně Remove Previous Versions (Odebrat předchozí verze) ponechte zaškrtnuté políčko Default Setup behavior (Výchozí chování instalačního programu) a klepněte na tlačítko Next. Poznámka V tomto okně můžete určit, jak instalační program naloží s předchozími verzemi aplikací, pokud budou v počítači nainstalované. 8. Na kartě Set Feature Installation States (Volba stavu instalace) nakonfigurujte pouze instalaci aplikace Outlook (Spouštět vše z tohoto počítače) a doplňku Pomocník Office, který naleznete v části Sdílené součásti sady Office (viz obrázek 18.9). V části Approximate size uvidíte, kolik místa na pevném disku tato instalace zabere. Poté klepněte na tlačítko Next. Poznámka Nejrychlejším postupem je zakázat instalaci na nejvyšší úrovni (tedy všech součásti) a poté povolit instalaci potřebných součástí (Spouštět z tohoto počítače). Obrázek 18.9 Konfigurace instalace aplikace Outlook

9. V dialogovém okně Customize Default Application Settings (Upravit výchozí nastavení aplikací) ponechte zaškrtnutá políčka Do not customize a Migrate use settings a klepněte na tlačítko Next. 10. V dialogovém okně Change Office User Settings rozbalte v levém podokně položku Microsoft Outlook 2002 a prohlédněte si možná nastavení. Žádná nastavení nekonfigurujte (provedeme později systémovějším způsobem). Poté klepněte na tlačítko Next. 11. V dialogovém okně Add/Remove Files (Přidat nebo odebrat programy) klepněte na tlačítko Next. Zde je možné přidat do instalace aplikace jakýkoli soubor, my tuto možnost nepot třebujeme. 12. V dialogovém okně Add/Remove Registry Entries (Přidat nebo odebrat položky registru) klepněte na tlačítko Next. Není nutné přidávat ani odebírat jakékoli položky z registru. 13. V dialogovém okně Add, Modify, or Remove Shortcuts upravte na kartě Installecl seznam položek podle obrázku 18.10. Poté klepněte na tlačítko Next. 14. V dialogovém okně Identify Additional Servers (Určit další servery) nepřidávejte žádné položky a klepněte na tlačítko Next. 15. V dialogovém okně Specify Office Security Settings (Zadat nastavení zabezpečení sady Office) ponechte výchozí nastavení a klepněte na tlačítko Next.


217

Obrázek 18.10 Úprava položek Nabídky Start a panelu Office

16. V dialogovém okně Add Installations and Run Programs (Přidat instalace dalších programů) nepřidávejte žádné programy a klepněte na tlačítko Next. 17. V dialogovém okně Outlook: Customize Default Profile (Aplikace Outlook: Upravit výchozí profil) zaškrtněte políčko Modify Profile a poté klepněte na tlačítko Next. Obrázek 18.11 Dialogové okno úpravy profilu aplikace Outlook

18. V dialogovém okně Outlook: Specify Exchange Settings (Aplikace Outlook: Zadat výchozí nastavení Exchange) ponechte zaškrtnuté políčko Do not configurean Exchange Server connection a poté klepněte na tlačítko Next. 19. V dialogovém okně Outlook: Add Accounts (Aplikace Outlook: Přidat účty) ponechte zaškrtnuté políčko Do not customize Outlook profile and account Information a poté klepněte na tlačítko Next. 20. Dialogové okno Outlook: Remove Accounts and Export Settings (Aplikace Outlook: Odebrat účty a exportovat nastavení) ponechte beze změn a klepněte na tla čítko Next. 21. V dialogovém okně Outlook: Customize Default Settings (Aplikace Outlook Upravit výchozí nastavení) ponechte výchozí nastavení a poté klepněte na tlačítko Next.


218

Obrázek 18.12 Dialogové okno výchozího nastavení aplikace Outlook

22. V dialogovém okně Modify Setup Properties (Upravit vlastnosti instalačního programu) ponechte výchozí nastavení a klepněte na tlačítko Next. 23. V dialogovém okně Save Changes (Uložit změny) klepněte na tlačítko Finish. Dojde k uložení výsledného souboru MST. 24. Informace, které se zobrazí v dialogovém okně Custom Installation Wizard, nebudeme k ničemu potřebovat (jsou určené pro ruční instalaci). Klepněte na tlačítko Exit. Vytvoření transformačního souboru pro instalaci aplikací Outlook, Word a Excel Opakujte předchozí postup s následujícími výjimkami: ♦ V bodu 5 zadejte název souboru OutlookWordExceLMST. ♦ V bodu 8 označte instalaci položek Microsoft Outlook pro Windows, Microsoft Excel pro Windows, Microsoft Word pro Windows (Spouštět vše z tohoto po čítače) a v části Sdílené součásti sady Office označte instalaci položek Galerie médií, Pomocník Office a Nástroje kontroly pravopisu. Pro jistotu ověřte, že dojde k instalaci všech součástí aplikací Outlook, Word a Excel. ♦ V bodu 13 proveďte konfiguraci podle obrázku 18.13.


vytvoření transformačního souboru pro instalaci aplikace Access

Opakujte předchozí postup s následujícími výjimkami: ♦ V bodu 5 zadejte název souboru AccessOuťlookWordExcel.MST. ♦ V bodu 8 označte instalaci položek Microsoft Outlook pro Windows, Microsoft Excel pro Windows, Microsoft Word pro Windows, Microsoft Access pro Windows a v části Sdílené součásti sady Office označte instalaci položek Galerie médií, Pomocník Office, Nástroje kontroly pravopisu a Visual Basic for Applications. K instalaci položek použijte volbu Spouštět z tohoto počítače. Poznámka Položka Microsoft Access pro Windows jde pro instalaci označit až po označení součásti Visual Basic for Applications.

♦ V bodu 13 proveďte konfiguraci podle obrázku 18.14.


219


Vytvoření transformačního souboru pro instalaci aplikace Word

Opakujte předchozí postup s následujícími výjimkami: ♦ V bodu 5 zadejte název souboru Word.MST. ♦ V bodu 8 označte instalaci položek Microsoft Word pro Windows a v části i Sdílené součásti sady Office označte instalaci položek Galerie médií, Pomocník Office a Nástroje kontroly pravopisu. K instalaci položek použijte volbu Spouštět z tohoto počítače. ♦ V bodu 13 proveďte konfiguraci podle obrázku 18.15. Obrázek 18.15 Úprava položek Nabídky Start a panelu Office

♦ Položky týkající se aplikace Microsoft Outlook ponechte ve výchozím nastavení. V tuto chvíli se dá říci, že máme za sebou nejvíce pracnou část. Během ní vznikly tři transformační soubory MST, které spolu se soubory MSI použijeme pro definici toho, co se má instalovat.

Objekty zásad skupiny Objekty zásad skupiny rozhodnou o tom, jak bude vypadat samotná instalace. V následujících krocích vytvoříme celkem tři objekty zásad skupiny, které budeme aplikoval na příslušných úrovních domény Active Directory. Vytvoření objektu zásad skupiny pro instalaci aplikace Outlook

1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Directory jako správci. 2. Pravým tlačítkem myši klepněte na položku domény (studny.local) a zobrazte dialogové okno vlastností. 3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace Outlook 2002. 4. Klepněte na tlačítko Možnosti a poté zaškrtněte políčko Zakázáno: Pro tento kontejner není objekt zásad skupiny použit. Poté klepněte na tlačítko OK. Tímto krokem dojde k vyloučení jakékoli možnosti aplikace objektu na doménu. 5. Poklepejte na nový objekt a přejděte do složky Konfigurace uživatele\Nastavení softwaru. 6. Pravým tlačítkem myši klepněte na položku Instalace softwaru a v místní nabídce poté v části Nový klepněte na položku Balíček.


220

Obrázek 18.16 Položka v objektu zásad skupiny týkající se instalace softwaru

7. V dialogovém okně Otevřít přejděte k balíčku MSI pro instalaci aplikací sady Office (soubor OWC10.MSI to není). Pozor! Musíte přistupovat pomocí síťové cesty (začněte klepnutím na tlačítko Místa v síti v levé části okna). Poté klepněte na tlačítko Otevřít. 8. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klepněte na tlačítko OK. Zobrazí se dialogové okno s názvem aplikace s možnostmi konfigurace jejího zavedení. Obrázek 18.17 Dialogové okno Zavedení aplikace

Poznámka Pokud byste v tomto kroku zaškrtli jedno ze zbývajících políček, nebylo by již možné Instalační balíček MSI transformovat pomocí souboru MST. 9. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Outlook 2002. 10. Klepněte na kartu Zavedení a zaškrtněte políčka (pokud ještě nejsou): v části Typ zavedení Přiřazené, v části Možnosti zavedení políčko Odinstalovat tuto aplikaci, je-li mimo obor správy a v části Možnosti uživatelského rozhraní instalace políčko Základní. 11. Poté klepněte na tlačítko Upřesnit a zaškrtněte políčka Při zavádění balíčku nebrat ohled na jazyk a Odebrat uživatelům současné instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny. Políčko Zpřístupnit tuto 32bitovou X86 verzi ... se naší sítě sice netýká, ale ponechte jej zaškrtnuté. Dialogové okno Upřesnit možnosti zavedení zavřete klepnutím na tlačítko OK. 12. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor Outlook.MST. Cesta k souboru se zobrazí v okně Změny a musí být síťová! Poté klepněte na kartu OK. 13. Zavřete konzolu Zásady skupiny. V dialogu vlastností domény (studny.local) by měl být stále označen nově vytvořený a zakázaný objekt. Klepněte na tlačítko Odstranit a v dialogovém okně Odstranit zaškrtněte políčko Odebrat propojení ze seznamu. Poté klepněte postupně na tlačítka OK a Zavřít. Význam jednotlivých zaškrtnutých políček shrnuje následující tabulka: Nastavení

Popis

Odinstalovat tuto aplikaci, je-li mimo obor správy

V případě, že na uživatele by se (například jeho přesunem) přestal aplikovat objekt zásad skupiny, aplikace se při dalším přihlášení automaticky odinstaluje. Jedná se o velmi důležité nastavení, které vám umožňuje mít přehled o tom, kde všude je přiřazený software nainstalován. Protože se výše definovaný objekt týká všech uživatelů v doméně, nedá se před ním utéci. Jediným ověřením funkce tohoto nastavení je přihlásit se jako místní správci počítače. Pokud by nastavení nebylo zaškrtnuto, software po první instalaci v počítači zůstane Nebere ohled na jazyk instalačního balíčku a nainstaluje jej do jakékoli jazykové verze systému V případě, že daná aplikace byla již dříve nainstalovánu do počítače uživatele jiným způsobem, ji odinstaluje a poté nainstaluje podle zásady. Jedná se o elegantní způsob „převzetí" předchozích instalací Poznámka: Z praxe musím dodat, že toto nastaveni se neobešlo vždy bez potíží. Proto jej doporučuji před použitím otestovat na zkušebním vzorku uživatelů.

Při zavádění balíčku nebrat ohled na jazyk Odebrat uživatelům současné instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny


221

Tabulka 18.2 Význam některých nastavení při instalaci softwaru

Vytvoření objektu zásad skupiny pro instalaci aplikací Outlook, Word a Excel pro obchodní oddělení Na tomto místě pouze připomenutí - obchodní oddělení tyto aplikace využívá denně a cílem tedy je zobrazení jejich zástupců v Nabídce Start. Budeme tak konfigurovat přiřazení. 1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Direktory jako správci. 2. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a zobrazte dialogové okno vlastností. 3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace Outlook, Word a Excel 2002 - přiřazení. 4. Poklepejte na nový objekt a přejděte do složky Konfigurace uživatele\Nastavení softwaru. 5. Pravým tlačítkem myši klepněte na položku Instalace softwaru a v místní nabídce poté v části Nový klepněte na položku Balíček. 6. V dialogovém okně Otevřít přejděte k balíčku MSI pro instalaci aplikací sady Office. Pozor! Musíte přistupovat pomocí síťové cesty (začněte klepnutím na tlačítko Místa v síti v levé části okna). Poté klepněte na tlačítko Otevřít. 7. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klepněte na tlačítko OK. Zobrazí se dialogové okno s názvem aplikace s možnostmi konfigurace jejího zavedení. Poznámka Pokud byste v tomto kroku zaškrtli jedno ze zbývajících políček, nebylo by již možné instalační balíček MSI transformovat pomocí souboru MST. 8. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Outlook, Word a Excel 2002. 9. Klepněte na kartu Zavedení a zaškrtněte políčka (pokud ještě nejsou): v části Typ zavedení Přiřazené, v části Možnosti zavedení políčko Odinstalovat tuto aplikaci, je-li mimo obor správy a v části Možnosti uživatelského rozhraní instalace políčko Základní. 10. Poté klepněte na tlačítko Upřesnit a zaškrtněte políčka Při zavádění balíčku nebrat ohled na jazyk a Odebrat uživatelům současné instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny. Políčko Zpřístupnit tuto 32bitovou X86 verzi ... se naší sítě sice netýká, ale ponechte jej zaškrtnuté. Dialogové okno Upřesnit možnosti zavedení zavřete klepnutím na tlačítko OK. 11. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor OutlookWordExceLMST. Cesta k souboru se zobrazí v ok- I ně Změny a musí být síťová! Poté klepněte na tlačítko OK. 12. Zavřete všechna dialogová okna a konzoly. Vytvoření objektu zásad skupiny pro instalaci aplikace Word pro sklad Znovu pouze připomenutí - pracovníci ve skladu tuto aplikaci potřebují použít „čas od času". Proto jim nebudeme zatěžovat Nabídku Start a provedeme její publikování. Pro tento účel lak musíme vytvořil další objekt zásad skupiny. 1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Direktory jako správci. 2. Pravým tlačítkem myši klepněte na organizační jednotku Sklad a zobrazte dialogové okno vlastností. 3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad sku piny dejte název Instalace Word 2002 - publikování. 4. Poklepejte na nový objekt a přejděte do složky Konfigurace uživatele\Nastavení softwaru. 5. Pravým tlačítkem myši klepněte na položku Instalace softwaru a v místní nabídce poté v části Nový klepněte na položku Balíček. 6. V dialogovém okně Otevřít přejděte k balíčku MSI pro instalaci aplikací sady Office. Pozor! Musíte přistupovat pomocí síťové cesty (začněte klepnutím na tlačítko Místa v síti v levé části okna). Poté klepněte na tlačítko Otevřít. 7. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klepněte na tlačítko OK. Zobrazí se dialogové okno s názvem aplikace s možnostmi konfigurace jejího zavedení. Poznámka Pokud byste v tomto kroku zaškrtli jedno ze zbývajících políček, nebylo by již možné instalační balíček MSI transformovat pomocí souboru MST. 8. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Word 2002. 9. Klepněte na kartu Zavedení a zaškrtněte políčka (pokud ještě nejsou): v části Typ zavedení Publikované, v části Možnosti zavedení políčko Odinstalovat tuto aplikaci, je-li mimo obor správy a v části Možnosti uživatelského rozhraní instalace políčko Základní. 10. Poté klepněte na tlačítko Upřesnit a zaškrtněte políčka Při zavádění balíčku nebrat ohled na jazyk a Odebrat uživatelům současné instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny. Políčko Zpřístupnit tuto 32bitovou X86 verzi ... se naší sítě sice netýká, ale ponechte jej zaškrtnuté. Dialogové okno Upřesnit možnosti zavedení zavřete klepnutím na tlačítko OK. 11. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor Word.MST. Cesta k souboru se zobrazí v okně Změny a musí být síťová! Poté klepněte na tlačítko OK. 12. Zavřete všechna dialogová okna a konzoly. Vytvoření objektu zásad skupiny pro oddělení vedení Oddělení Vedení bude disponovat následujícími aplikacemi sady Office Outlook, Word, Excel a Access.


222

1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Direktory jako správci. 2. Pravým tlačítkem myši klepněte na organizační jednotku Vedení a zobrazte dialogové okno vlastností. 3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace Outlook, Word, Excel a Access 2002. 4. Poklepejte na nový objekt a přejděte do složky Konfigurace uživatele\Nastavení softwaru. 5. Pravým tlačítkem myši klepněte na položku Instalace softwaru a v místní nabídce poté v části Nový klepněte na položku Balíček. 6. V dialogovém okně Otevřít přejděte k balíčku MSI pro instalaci aplikací sady Office. Pozor! Musíte přistupovat pomocí síťové cesty (začněte klepnutím na tlačítko Místa v síti v levé části okna). Poté klepněte na tlačítko Otevřít. 7. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klep- něte na tlačítko OK. Zobrazí se dialogové okno s názvem aplikace s možnostmi konfigurace jejího zavedení. Poznámka Pokud byste v tomto kroku zaškrtli jedno ze zbývajících políček, nebylo by již možné instalační balíček MSI transformovat pomocí souboru MST. 8. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Outlook, Word, Excel a Access 2002. 9. Klepněte na kartu Zavedení a zaškrtněte políčka (pokud ještě nejsou): v části Typ zavedení Přiřazené, v části Možnosti zavedení políčko Odinstalovat tuto aplikaci, jeli mimo obor správy a v části Možnosti uživatelského rozhraní instalace políčko Základní. 10. Poté klepněte na tlačítko Upřesnit a zaškrtněte políčka Při zavádění balíčku nebrat ohled na jazyk a Odebrat uživatelům současné instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny. Políčko Zpřístupnit tuto 32bitovou X86 verzi ... se naší sítě sice netýká, ale ponechte jej zaškrtnuté. Dialogové okno Upřesnit možnosti zavedení zavřete klepnutím na tlačítko OK. 11. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor AccessOutlookWordExcel.MST. Cesta k souboru se zobrazí v okně Změny a musí být síťová! Poté klepněte na tlačítko OK. 12. Zavřete všechna dialogová okna a konzoly. Aplikace existujícího objektu oddělení Marketing Marketing na tom bude z hlediska instalace softwaru stejně jako oddělení Obchod. Není tak nutné vytvářet další objekty, bude pouze nutné vytvořit propojení organizační jednotky Vedení s existujícím objektem zásad skupiny. Postupujte podle následujících pokynů: 1 V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Direktory jako správci. 2. Pravým tlačítkem myši klepněte na organizační jednotku Marketing a zobrazte dialogové okno vlastností. 3. Na kartě Zásady skupiny klepněte na tlačítko Přidat. Zobrazí se dialogové okno Přidat propojení objektu zásad skupiny. Klepněte na kartu Vše, označte objekt Instalace Outlook, Word a Excel 2002 - přiřazení a poté klepněte na tlačítko OK. Obrázek 18.18 Propojení existující zásady skupiny s organizační jednotkou

4. V dialogovém okně Vedení — vlastnosti klepněte na tlačítko Zavřít. Aplikace objektu pro instalaci aplikace Outlook Aplikaci Outlook je třeba nainstalovat všem ostatním uživatelům, kteří ji ke své práci potřebují. Protože se netýká oddělení Sklad, zůstává jediným oddělením, které nemá instalované žádné aplikace, oddělení IT. Proveďte tedy propojení objektu instalace aplikace Outlook s organizační jednotkou IT. 1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Directory jako správci. 2. Pravým tlačítkem myši klepněte na organizační jednotku IT a zobrazte dialogové okno vlastností. 3. Na kartě Zásady skupiny klepněte na tlačítko Přidat. Zobrazí se dialogové okno Přidat propojení objektu zásad skupiny. Klepněte na kartu Vše, označte objekt Instalace Outlook 2002 a poté klepněte na tlačítko OK. 4. Dialogové okno vlastností organizační jednotky zavřete klepnutím na tlačítko Zavřít. Instalace veškerých naplánovaných aplikací pro jednotlivá oddělení je připravena. Nyní je na řadě ověření.


223

Ověření instalací Z pohledu přípravy prostředí a nutné konfigurace jsme v předchozích hodech provedli všechny nutné kroky. Vše ostatní je nyní v rukou technologií, nejvíce samozřejmě v rukou technologie IntelliMirror, konkrétně její části Zásady skupiny. Instalaci aplikací ověříme postupně - od „nejnižší konfigurace po nejvyšší". Ověření instalace aplikace Outlook 2002 ( (věření instalace této aplikace ověříme sami na sobě - na uživateli ITSprával. 1. Přihlaste se k počítači PC001 jako uživatel ITSprával. 2.

Při přihlašovacím procesu si můžete na obrazovce všimnout dialogu instalace softwaru. Tento dialog bude zobrazen velmi krátkou dobu, neboť nedochází k opravdové instalaci softwaru, ale pouze k přípravě počítače a úpravě Nabídky Start. Obrázek 18.19 Instalace softwaru během přihlašování uživatele.

3. V Nabídce Start klepněte na položku Všechny programy a všimněte si zástupce aplikace Microsoft Outlook. 4. Instalaci aplikace zatím neprovádějte. 5. Odhlaste se od počítače PC001. Ověření instalace pro oddělení Obchod 1. Přihlaste se k počítači PC001 jako uživatel obchodního oddělení (například Obchod4). 2. V Nabídce Start klepněte na položku Všechny programy a všimněte si zástupců aplikací Microsoft Word, Excel a Outlook. 3. Klepněte na položku Microsoft Excel. Provede se instalace aplikace, která by neměla trvat déle než pár minut, na jejímž konci budete požádáni o zadání svého jména a o iniciály. Poté se aplikace Microsoft Excel spustí. 4. V nabídce Nápověda klepněte na položku Nápověda pro Microsoft Excel. Zobrazí se informace, že nápověda ještě není nainstalovaná s dotazem, zda ji chcete nainstalovat. Klepněte na tlačítko Ano. Po instalaci se nápověda zobrazí. 5. Ověřte funkčnost aplikace a poté ji zavřete. 6. Odhlaste se od počítače PC001. Ověření instalace pro oddělení Sklad Předtím, než budeme moci ověřit funkčnost instalace aplikace Microsoft Word pro oddělení Sklad, bude nutné upravit omezení definovaná v předchozích zásadách. Oddělení Sklad má totiž odepřen přístup k oknu Ovládací panely. Toto omezení je nutné zrušit; protože však není dobré ponechat těmto uživatelům nástroje, které nepotřebují, doporučuji definovat pouze přístup k panelu Přidat nebo odebrat programy (viz analogie s konfigurací omezení pro oddělení Marketing). Po úpravě omezujících nastavení můžete pokračovat podle následujících pokynů: 1. Přihlaste se k počítači PC001 jako uživatel oddělení Sklad (například Sklad1). 2. V Nabídce Start klepněte na položku Všechny programy a všimněte si, že neobsahuje žádné zástupce aplikací sady Office přesto, že předtím byla do počítače nainstalovaná aplikace Excel. 3. Otevřete okno Ovládací panely a poté poklepejte na panel Přidat nebo odebrat programy 4. V levé části okna Přidat nebo odebrat programy klepněte na položku Přidat nové programy 5. Zobrazí se možnost nainstalovat aplikaci Microsoft Word 2002 (viz obrázek 18.20)


224

Obrázek 18.20 Možnost instalace publikovaných aplikaci

6. Klepněte na tlačítko Přidat. Spustí se instalace a zobrazí se informace o jejím dokončení. Poté bude k dispozici zástupce v Nabídce Start, kterého můžete využít kespuštění aplikace. 7: Prověřte funkčnost aplikace a poté ji zavřete. 8. Odhlaste se od počítače PC001. Ověření instalace pro oddělení vedení 1. Přihlaste se k počítači PC001 jako uživatel obchodního oddělení (například Vedeni1). 2. V Nabídce Start klepněte na položku Všechny programy a všimněte si zástupců aplikací Microsoft Access, Word, Excel a Outlook. 3. Spusťte libovolnou aplikaci, prověřte její funkci a poté ji zavřete. Nyní ověříme, jak vypadá odinstalování aplikací l. V okně Ovládací panely nyní poklepejte na položku Přidat nebo odebrat programy. 2. Klepněte na položku Microsoft Outlook, Word, Excel a Access 2002 a poté klepněte na tlačítko Odebrat. Možná byste to nečekali, ale proběhne úplné odinstalování aplikací. V nabídce Start však zůstávají zástupci, stejně tak po novém otevření okna Přidat nebo odebrat programy znovu uvidíte možnost jejich odinstalování. 3. Protože je instalace těchto aplikací v rukou správců domény, nemohou se jich uživatelé nijak zbavit. 4. Odhlaste se od počítače.

Správa aplikací sady Office XP v prostředí domény Při vytváření transformačních souborů pro jednotlivé instalační sady byla v jednom dialogovém okně průvodce CIW možnost nakonfigurovat nastavení daných aplikací. Pokud si vzpomenete, ponechali jsme toto okno ve výchozím stavu - nic jsme nekonfigurovali. Ono by to totiž nemělo ani moc smysl. Protože se jedná o výchozí nastavení po instalaci, platilo by do té doby, než si to uživatel změní. A to udělá každý z uživatelů dříve nebo později. Jedinou šancí je tato nastavení nakonfigurovat, sjednotit je v celé firmě (proč by měl od každého člověka z firmy odcházet e-mail s jiným vzhledem?) a zajistit, aby nikdo nemohl žádné nastavení změnit. Takovou situaci ale už přece znáte - stejným způsobem přece pracují Zásady skupiny. Tudy cesta rozhodně vede. Každá zásada v objektu skupiny je jen konkrétní nastavení „někde" v systému. Z toho většina z nich je nastavení konkrétního klíče v registru. Na tomto principu je založena také rozšiřitelnost objektů. Pokud tedy budete znát strukturu souborů ADM, které objekty zásad skupiny tvoří a funkce jednotlivých klíčů v registru odpovídající dané aplikaci, můžete si definovat své vlastní zásady skupiny. Pro rozšířené zásady skupiny nemusíme naštěstí chodit nijak daleko - máme je v tuto chvíli v počítači PC001 (případně v jiném), do kterého jsme nainstalovali nástroje sady Office XP Resource Kit. Přesněji řečeno ve složce WINDOWS/Inf. Stačí je tedy vzít, zkopírovat do stejného umístění na všechny řadiče domény a podle následujících pokynů upravit objekt zásad skupiny: 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory a na některé úrovni vytvořte nový objekt zásad skupiny (můžete jej například nazvat Konfigurace Office XP). 3. V části Konfigurace uživatele klepněte pravým tlačítkem myši na položku Šablony pro správu a v místní nabídce poté klepněte na příkaz Přidat nebo odebrat šablony. 4. V dialogovém okně Přidat nebo odebrat šablony vidíte všechny soubory tvořící aktuálně objekt zásad skupiny. Klepněte na tlačítko Přidat, vyberte příslušnou šablonu a poté klepněte na tlačítko Otevřít. K dispozici jsou následující šablony: Název souboru šablony ACCESSIOADM

Konfigurace nastavení pro Microsoft Access 2002


225

EXCEL10.ADM

Microsoft Excel 2002

FP10. ADM

Microsoft FrontPage 2002

GAL10.ADM

Microsoft Office XP Clip Organizer

OFFICE10.ADM

Společná nastavení aplikací sady Microsoft Office XP

OUTLK10.ADM

Microsoft Outlook 2002

PPT10.ADM

Microsoft PowerPoint 2002

PUB10. ADM

Microsoft Publisher 2002

WORD10.ADM

Microsoft Word 2002

Tabulka 18.3 Šablony pro správu aplikací sady Office XP Objekt zásad skupiny může potom v části Konfigurace uživatele\Šablony pro správu vypadat například následovně. Obrázek 18.21 Část objektu zásad skupiny týkající se správy prostředí Office XP

Nutno dodat, že zásady pro aplikace sady Office XP jsou v anglickém jazyce, takže orientace v prostředí chvilku trvá. Pro správce to však není nic nepřekonatelného.

Další informace k instalaci aplikací pomocí zásad skupiny Instalace softwaru je jednou z velmi zajímavých funkcí v systémech Windows 2000/XP/ ] 2003. Ačkoli je součástí zásad skupiny, nelze ji používat k instalaci softwaru v místních počítačích, ale je funkční pouze v prostředí domény Active Directory. Pomocí této funkce lze řešit hned několik potíží, se kterými se správci setkávali dříve: ♦ ♦ ♦ ♦ ♦

Definice instalace je velmi rychlá Instalace je automatická Nainstalovat balíček může běžný uživatel podle potřeby. Instalační služba systému Windows, která instalaci softwaru provádí, je v místním počítači spuštěna pod účtem LocalSystem, pod kterým také instalaci provádí. Správci mají přehled o tom, kdo daný software může instalovat a používat. Správci mohou možnost instalace aplikací kdykoli odebrat.

Pro úspěšné nasazení a využívání této funkce je vhodné mít k dispozici ještě další informace.

Odebrání balíčku aplikací Jestliže chcete odebrat možnost instalace aplikací (například některé organizační jednotce), provedete to v objektu zásad skupiny takto: 1. Na balíček klepněte pravým tlačítkem myši a v části Všechny úkoly klepněte na příkaz Odebrat. Zobrazí se dialogové okno Odebrat software, ve kterém máte dvě možnosti (viz obrázek 18.22).


226

Obrázek 18.22 Možnosti odebrání softwaru

První z nich (Okamžitě odinstalovat aplikaci z počítačů a profilů uživatelů) zabrání další instalaci softwaru (uživatelům, kteří aplikace dosud nenainstalovali, se ne zobrazí v Nabídce Start) a stávajícím uživatelům aplikace se odebere při přištím přihlášení. Pokud tedy chcete zajistit co nejrychlejší odebrání nainstalovaných aplikací, je třeba využít tuto možnost a přimět uživatele k okamžitému restartování počítačů (pokud by byl software přiřazen počítačům) nebo k odhlášení a přihlášení. Druhá možnost zabrání pouze novým instalacím. Uživatelé, kteří si aplikaci (aplikace) již nainstalovali, je budou moci používat i nadále. Touto možností však ztrácíte správu aplikací v počítačích uživatelů.

Aktualizace aplikace (například nová knihovna DLL) Pokud máte v nainstalované aplikaci chybu a její oprava spočívá v opravě jediného souboru (například knihovny DLL), je třeba od dodavatele softwaru získat tento opravený soubor a novou verzi souboru MSI. Poté je postup následující: 1. Soubory DLL a MSI zkopírujte do instalační složky (přepište původní verze). 2. Otevřete objekt se zásadami skupiny a přejděte na instalovaný balíček. Klepněte na něj pravým tlačítkem myši a v části Všechny úkoly klepněte na příkaz Znovu zavést aplikaci. Další možnosti aktualizace s využitím souborů MSP včetně praktických příkladů naleznete v kapitole 20, „Instalujeme aktualizace Service Pack".

Balíčky MSI se umí samy opravit Pokud uživatel poškodí instalaci aplikace, ta se při příštím spuštění sama opraví a poškozené soubory automaticky přeinstaluje. Nutno dodat, že uživatelé moc možností k poškození instalace v systémech Windows XP Professional nemají. Přesto se jedná o velmi užitečnou vlastnost, kterou můžete ověřit jako správci, když odstraníte některý z důležitých souborů instalace (například soubor OUTLOOK.EXE).

Publikování aplikací Publikování aplikací se využívá ve větších organizacích možná ještě častěji než přiřazení. Pokud má organizace spoustu aplikací, které chce dát uživatelům k dispozici, provede jejich publikaci. Uživatelům nezaberou místo v Nabídce Start, ale mohou si je kdykoli nainstalovat. Taková situace ale může být pro uživatele nepřehledná. Položte si jednoduchou otázku. Kdo z uživatelů přesně ví, na co která aplikace (podle názvu) slouží? Vědí uživatelé, k čemu je aplikace Adobe Acrobat Reader? Nebo ACDSee? Znají rozdíl mezi aplikacemi Adobe Photoshop a Adobe Illustrator? Budou vědět, jakou aplikaci si mají nainstalovat, když li chtějí upravit některé z fotografii? Na tyto stavy je v zásadách skupiny pamatováno, takže můžete uživatelům vytvořit kategorie a jednotlivé aplikace do nich rozdělit. Uživatelé se poté mohou přepínat mezi jednotlivými kategoriemi v okně Přidat nebo odebrat programy, přičemž seznam publikovaných aplikací se mění podle aktuálního výběru. Pokud chcete definovat kategorie, postupujte podle následujících pokynů: 1. Přihlaste se k počítači jako správci. 2. Otevřete objekt zásad skupiny, který se aplikuje na příslušné uživatele. 3. Přejděte do složky Nastavení uživatele\Nastavení softwaru a pravým tlačítkem myši klepněte na položku Instalace softwaru. Zobrazí se dialogové okno lnstalace softwaru - vlastnosti. 4. Na kartě Kategorie klepněte na tlačítko Přidat a zadejte název kategorie. Postup opakujte pro všechny kategorie, které chcete vytvořit. 5. Klepnutím na tlačítko OK zavřete dialogové okno.


227

Obrázek 18.23 Definování kategorií

Pokud chcete instalační balíček přiřadit do kategorií, zobrazte dialogové okno jeho vlastností a na kartě Kategorie vyberte všechny kategorie, do kterých má aplikace spadat.

Obrázek 18.24 Přiřazení aplikace do kategorií


228

Obrázek 18.25 Možnosti uživatelů při používání kategorií

Možnosti uživatelů vybírat aplikace podle kategorií ukazuje obrázek 18.25.

Upgrade pomocí zásad skupiny Zásady skupiny také umožňují provedení upgradu (inovace) předchozí verze. Požadavkem v takové situaci je, aby i nová verze softwaru byla ve formátu instalačního balíčku MSI.

Existují dvě možnosti upgradu ♦ Povinný V okamžiku, kdy uživatel spustí existující aplikace, provede se automaticky její upgrade. ♦ Nepovinný Uživatel může zvolit, kterou verzi aplikace bude používat. Jakmile však spustí novou verzi, provede se automaticky upgrade a poté již původní verze nebude k dispozici.

Nasazení instalace softwaru v praxi Instalace softwaru je část objektu zásad skupiny, která po sobě může v klientských počítačích zanechat nejvíce stop, v některých případech velmi zásadních. Proto je třeba při tomto způsobu instalace postupovat velmi obezřetně. Nasazení by se dalo shrnout do několika bodů.

Plán nasazení V této fázi je třeba definovat objekty zásad skupiny, jejich aplikaci do stávající struktury, složky pro administrátorské instalace, konfiguraci jejich oprávnění přístupu a prostudoval dokumentaci k aplikacím.

Testování instalace Svuj záměr s instalací softwaru je třeba vyzkoušet mimo provozní prostředí. Vytvořte si testovací laboratoř odpovídající konfiguraci doménového prostředí. Dejte pozor na to, aby i klientský počítač měl pokud možno stejnou konfiguraci jako počítače v provozním prostředí Při testování instalace používejte běžné uživatelské účty. V praxi jsem se již několikrát se tkal s případem, kdy testování proběhlo bez potíží, ale nasazení do ostrého prostředí se bez nich neobešlo. Jediným rozdílem bylo, že při testování správci nepoužívali běžné doménové účty, ale pouze účty s oprávněními správce. V případě neočekávaného chování použijte v klientských počítačích nástroj Výsledná sada zásad, který umožňuje podrobně zobrazit postup aplikace zásad včetně chyb.

Pilotní fáze Po úspěšném laboratorním testování nasaďte aplikace pilotnímu vzorku uživatelů. Abyste kvůli této fázi nemuseli měnit strukturu organizačních jednotek, definujte objekty s instalacemi na úrovni domény a pro jejich aplikaci použijte princip filtrování. Pilotní vzorek uživatelů se pokuste sestavit tak, aby pokud možno zahrnoval celé spektrum uživatelů (různá oddělení, znalosti i konfigurace počítačů). Vzpomeňte jen v našem případě na publikování aplikace uživatelům ve skladu, kteří neměli jak je nainstalovat, neboť postrádali přístup do ovládacího panelu Přidat nebo odebrat programy.

Korekce plánu Na základě připomínek uživatelů a vlastních dojmů z nasazení aplikací v pilotním prostředí proveďte případné korekce v plánu a poté opakujte fázi pilotu (bude-li to nutné).

Postupné nasazení Instalaci aplikací nasazujte vždy postupně. I v případě nasazení objektu zásad skupin na úrovni domény použijte nejprve princip filtrování, abyste tak omezili aplikaci na část uživatelů. Nepokračujte dále, než budete mít jistotu o bezchybné funkci.

Dokumentace Celý plán a výslednou infrastrukturu podrobně zdokumentujte. Tyto informace se budou hodit při jakýchkoli potížích, zálohování, případně


229

obnovení infrastruktury instalačních složek v jiném počítači.

Používejte rozum Jestliže nasadíte instalaci do provozního prostředí sestávajícího z 1 000 počítačů a například ve 3 počítačích se instalace nezdaří, nehledejte problémy v zásadách skupiny. Problémy jsou v takovém případě v oněch třech počítačích. Občas je až neuvěřitelné, jakou energii, čas a prostředky jsou správci a organizace schopni investovat do podobných situací za účelem vyřešení zcela nepodstatných problémů.

Závěr Jsou různé možnosti, pomocí kterých lze instalovat aplikace. Nástroj Zásady skupiny v doménách se systémy Windows 2000/2003 umožňuje automaticky instalovat software pro jednotlivé počítače či uživatele. Tento nástroj disponuje různými možnostmi konfigurace a pro jeho uvedení v praxi nepotřebujete žádný další software. Jediné, co musí být splněno, je formát instalované aplikace - instalační balíček MSI. Aplikace lze přiřazovat počítačům nebo uživatelům. V prvním případě můžete říci, že v daném počítači bude daná aplikace za všech okolností, ať se k němu přihlásí jakýkoli uživatel. Ve druhém případě cestuje aplikace spolu s uživatelem a bude k dispozici v každém počítači, ke kterému se uživatel přihlásí (týká se počítačů se systémy Windows XI' Professional/Windows 2000). Po přiřazení aplikace se v Nabídce Start zobrazí zástupce dané aplikace, k instalaci aplikace však dojde až po jejím spuštění uživatelem (klepnuli na zástupce, případně poklepání na přidružený soubor). Okamžitou instalaci (tedy instalaci ihned po přihlášení uživatele) je možné také povolit (pouze v doménách se systémem Windows Server 2003), nejedná se ale o výchozí nastavení. Aplikace lze také publikovat uživatelům. V takovém případě se v Nabídce Start nevytvoří zástupci, ale uživatelé mohou publikované aplikace instalovat pomocí ovládacího panelu Přidat nebo odebrat programy. Po instalaci se v Nabídce Start zobrazí zástupce aplikace. Pokud existuje větší množství publikovaných aplikací a uživatelé je nerozeznají podle názvů, je možné definovat kategorie a aplikace do nich rozřadit. Uživatelé si potom podle kategorií mohou vybírat. Zásady skupiny umožňují mít úplný přehled o tom, kde všude je aplikace nainstalovaná. Jestliže se uživatel dostane mimo rozsah aplikace (například jeho účet se přesune do jiné organizační jednotky), aplikace se mu automaticky odinstaluje a může se nainstalovat jiná aplikace příslušející novému umístění uživatele. Správce má možnost aplikaci kdykoli odebrat a zajistit její automatické odinstalování při dalším přihlášení uživatele. Větší část možností byla v této kapitole prezentována na konkrétní ukázce instalace aplikací sady Office XP. Použili jsme jak přiřazení, tak publikování softwaru. Navíc byl v tom-to procesu použit nástroj Custom Installation Wizard, který je součástí sady nástroj Office XP Resource Kit a bez něhož se tento typ instalace nedá definovat. Všechny aplikace sady Office XP je pak možné po importování šablon spravovat pomocí zásad skupiny. Při nasazování objektů se zásadami instalace do provozního prostředí postupujte vždy Velmi obezřetně. V případě neúspěchu může mít neúplná instalace v klientských počítačích velký vliv na jejich funkčnost.

Stav sítě Do sítě byly v této kapitole nainstalované první aplikace - všichni mají k dispozici aplikaci Microsoft Outlook 2002, uživatelé z oddělení Sklad navíc aplikaci Microsoft Word 2002, oddělení Obchod a Marketing navíc aplikace Microsoft Excel 2002 a členové vedeni navíc aplikaci Microsoft Access 2002. Na serveru SRVR001 vznikla za tímto účelem sdílená instalační složka Instalace aplikaci, do počítače PC001 byly nainstalované nástroje sady Office XP Resource Kit a v doméně Active Directory vznikly 4 nové objekty zásad skupiny týkající se instalace. Objekt zásad skupiny pro organizační jednotku Sklad (Další omezení Sklad) byl změněn tuk, aby v Ovládacích panelech zpřístupnil pouze panel Přidat nebo odebrat programy. Tip Projděte všechny objekty zásad skupiny a v případě, že vůbec nevyužívají část Konfigurace počítače či Konfigurace uživatele, zakažte aplikaci této části. Spouštění počítačů a přihlašování uživatelů bude rychlejší.


230

Přibývají další uživatelé... Jednou k tomu dojít musí. Začnou přibývat noví uživatelé a vám další povinnosti. Dobře, že pouze jednorázové. Jednou z vašich povinností je vybavit uživatele počítačem, ve kterém budou mít připravenou instalaci operačního systému včetně aplikací, jež potřebují pro svou práci. V předchozí kapitole jsme si ukázali, jakým způsobem se dají - poměrně jednoduše - instalovat aplikace sady Microsoft Office XP. Nyní má každý uživatel k dispozici vše, co k práci potřebuje. Co ale operační systém? Budeme muset neustále používat instalační disk CD-ROM spolu s dopředu připraveným souborem winntsif nebo se po ohlédneme po ještě jednodušším řešení, které by nám práci dále usnadnilo? A co další aplikace, které uživatelé potřebují, ale nelze je instalovat pomocí zásad skupiny, neboť se nedodávají ve formě instalačního balíčku MSI? Pro tyto případy (jednoduchou instalaci operačního systému, případně instalaci dalších non-MSI aplikací) existuje v systému Windows Server 2003 speciální typ instalace.

... a je třeba jim nainstalovat operační systém a aplikace V předchozí kapitole jsme do naší sítě nainstalovali poměrně komplikovanou sadu aplikací Microsoft Office XP ještě k tomu tak, jak budou kteří uživatelé potřebovat. S nadhledem se jednalo o elegantní řešení. Uživatelé mají k dispozici aplikace, pokud si instalaci poškodí, sama se opraví, a vy máte jako správci nevídaný klid. Z rovnováhy vás ale může vyvést jedna jediná aplikace, kterou je nutné instalovat spuštěním nástroje setup.exe. Kolem toho budete mít práce až dost. Znovu obcházet Všechny počítače, instalovat pod účtem správce a řešit potíže uživatelů, kteří si instalaci poškodí. Alespoň ta instalace by mohla být jednodušší. Podobné je to s operačním systémem. Pokud přijde do firmy nový počítač, putuje napřed k vám, vy do něj nainstalujete operační systém a předáte jej uživateli. Proč to nevymyslet nějak jednodušeji - že by například tento počítač šel rovnou k uživateli a nainstaloval se kompletně u něj? A co spojit instalaci operačního systému s instalací aplikací, které ne-lze nainstalovat pomocí zásad skupiny? To by bylo vůbec nejjednodušší! Možná se budete divit, ale všechno je možné zařídit s využitím systémových prostředků, To znamená žádné další náklady, žádné další znalosti o externích produktech, žádné další instalace nástrojů od jiných výrobců. Pouze systém Windows Server 2003! Typ uvedené instalace má v systému Windows Server 2003 svůj název - Vzdálená instalace.

Služba vzdálená instalace Služba Vzdálená instalace má za cíl maximálně zjednodušit správcům výchozí instalace počítačů. Zároveň respektuje aktuální stav ve větších sítích, kdy se pro uživatele nakupují počítače bez disketových jednotek a jednotek CD-ROM. Je velmi silným nástrojem, za to ale také něco vyžaduje.

Požadavky služby Vzdálená instalace Abyste mohli službu Vzdálená instalace používat, je nutné splnit následující požadavky: ♦ ♦ ♦

Active Directory Službu Vzdálená instalace můžete používat pouze v prostředí domény Active Directory. V sítích peer-to-peer tak na ni můžete v klidu zapomenoul DNS V síti musí být aktivní služba DNS. Ačkoli se toto uvádí všude jako zvláštní požadavek, je jasné, že bez služby DNS nemůže doména Active Directory pracovati DHCP V síti musí existovat server DHCP a musí být nakonfigurován na pronájem adres IP klientských počítačů.

Ani klientské počítače zde nezůstávají mimo. Pro to, abyste byli schopni tento typ instalace použít, musí klientský počítač splňovat požadavky technologie PXE (Preboot eXecu tion Environment). Jinými slovy musí být vybaveny spouštěcí pamětí boot ROM, pomocí které se spustí ze sítě. Z pohledu klientského počítače je postup následující: Po svém zapnutí požádá server DHCP o pronájem adresy IP. Poté se připojí k serveru se službou Vzdálená instalace a uži vatele požádá o zadání jména a hesla pro ověření. Po úspěšném ověření načte ze serveru se službou Vzdálená instalace bitovou kopii i n st a l a c e (nebo nabídne uživateli výběr z více kopií) a tu nainstaluje. Poznámka Uvedený postup je velmi zjednodušen tak, aby byl snadno pochopitelný. Pokud klientské počítače nesplňují technologii PXE, ještě to neznamená, že je nelze po užít. Služba Vzdálená instalace obsahuje nástroj rbfg.exe, pomocí kterého lze vytvořit spouštěcí disketu pro klientský počítač.


231

Příprava prostředí pro službu Vzdálená instalace Podíváte-li se na požadavky výše, zjistíte, že všechny jsou již v naší síti k dispozici. Přesto je třeba provést ještě celou řadu kroků, než bude možné začít službu Vzdálená instalace využívat. Jedná se o následující: ♦ ♦ ♦

Instalace služby Vzdálená instalace do systému Služba Vzdálená instalace je jednou ze součástí operačního systému Windows Server 2003. Konfigurace služby Vzdálená instalace Jedná se o nejdůležitější část celé přípravy služby Vzdálená instalace. Mimo jiné zahrnuje také přípravu základní bitové kopie operačního systému. Konfigurace služby Active Directory Ve vlastnostech serveru se službou Vzdálená instalace je třeba nakonfigurovat její chování. Mimo jiné zde můžete konfigurovat i zabezpečení této služby.

Služba Vzdálená instalace má ještě jeden velmi důležitý požadavek. Bitové kopie pro instalaci klientských počítačů musí být umístěné v jiném oddílu, než operační systém. Navíc musí být tento oddíl zformátován systémem NTFS. Právě toto byl ten důvod, proč jsme při instalaci serveru nevyužili celou kapacitu disku. Poznámka Pokud na fyzickém disku v serveru již nemáte místo pro vytvoření dalšího oddílu, budete do serveru muset přidat další fyzický disk.

instalace služby vzdálená instalace Během této instalace se ze serveru stane Server vzdálené instalace. On bude tím, ze kterého budou klienti instalovat operační systém, případně aplikace. Instalace serveru služby Vzdálená instalace v sobě zahrnuje také instalaci bitové kopie operačního systému. Proto budete v jejím průběhu požádáni o zadání cesty k instalačním sou borům příslušného operačního systému. Poté můžete zadat cestu k jednotce CD-ROM nebo ke sdílené složce v síti, ve které máte instalační soubory operačního systému k dis pozici. Instalace bitové kopie samotného systému se musí provést, jinak nebude konfigurace ser veru úspěšná. Zároveň je nutné nainstalovat ten operační systém, který chcete později instalovat do klientských počítačů. Služba Vzdálená instalace v systému Windows Serve) 2003 umožňuje instalaci následujících operačních systémů: ♦ ♦ ♦ ♦ ♦

Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windows XP Professional Řada systémů Windows Server 2003

Jedná se o obrovské vylepšení oproti stejné službě v systému Windows 2000 Server, kdy bylo tímto způsobem možné instalovat pouze systémy Windows 2000 Professional.

Protože je však naše síť relativně malá a předpokládáme využití služby Vzdálená instalace pouze pro klientské počítače, připravíme prostředí pouze na instalaci systému Windows XP Professional. instalace a konfigurace služby Vzdálená Instalace 1. 2. 3. 4. 5. 6.

Přihlaste se k počítači SRVR001 jako správci. Ověřte, že na disku máte kromě oddílu C: ještě další oddíl zformátovaný NTFS. Pokud ne, vytvořte jej. V okně Ovládací panely poklepejte na položku Přidat nebo odebrat programy. V okně Přidat nebo odebrat programy klepněte na položku Přidat nebo odebrat součásti systému. V dialogovém okně Průvodce součástmi Windows zaškrtněte políčko Služba vzdálené instalace a poté klepněte na tlačítko Další. Systém Windows Server 2003 provede instalaci požadované služby. Během instalace budete požádáni o vložení instalačního disku CDROM. 7. V dialogovém okně Dokončení Průvodce součástmi systému Windows klepněte na tlačítko Dokončit. 8. Restartujte počítač. 9. Po spuštění počítače se přihlaste jako správci. 10. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz r i . s e t u p . Poté klepněte na tlačítko OK. Spustí se Průvodce instalací služby Vzdálené instalace. Průvodce spustíte klepnutím na tlačítko Další.


232

Obrázek 19.1 Průvodce službou Vzdálená instalace

11. V dialogovém okně Umístění složky vzdálené instalace ponechte výchozí cestu D:\RemoteInstall a klepněte na tlačítko Další. 12. V dialogovém okně Počáteční nastavení ponechte výchozí nastavení (nezaškrtnutá políčka) a klepněte na tlačítko Další. 13. Do jednotky CD-ROM serveru nyní vložte instalační disk CD-ROM se systémem Windows XP Professional. 14. V dialogovém okně Umístění zdrojových souborů instalace zadejte cestu k instalačním souborům systému Windows na disku CDROM (případně klepněte na tlačítko Procházet a přejděte na složku). Poté klepněte na tlačítko Další. Obrázek 19.2 Cesta k instalačním souborům systému Windows XP Professional

15. V dialogovém okně Název složky bitové kopie instalace systému Windows zadejte název složky, do které se uloží bitová kopie instalace samotného systému Windows XP Professional (například WXPPRO). Poté klepněte na tlačítko Další. Obrázek 19.3 Název složky pro uloženi bitové kopie systému Windows XP Professional


233

16. V dialogovém okně Krátký popis a text nápovědy ponechte výchozí nastavení a klepněte na tlačítko Další. Jedná se o nastavení, která se zobrazí na úvodní obrazovce při vzdálené instalaci systému do klientského počítače. 17. V dialogovém okně Souhrn nastavení si prohlédněte zadané parametry a poté klepněte na tlačítko Dokončit. Pokud chcete jakékoli parametry změnit, vraťte se pomocí tlačítka Zpět. Obrázek 19.4 Souhrn nastavení pro službu Vzdálená instalace

18. Nyní se provede konfigurace služby Vzdálená instalace a instalace bitové kopie systému Windows XP Professional. Protože se kopíruje obsah všech instalačních souborů systému Windows XP Professional, bude celý tento krok trvat několik minut. Obrázek 19.5 Konfigurace služby Vzdálená instalace a instalace bitové kopie systému Windows XP Professional

19. V dialogovém okně s informacemi o dokončení instalace klepněte na tlačítko Hotovo. Obrázek 19.6 Informace o úspěšném dokončeni instalace

Nyní je server vzdálené instalace nakonfigurován tak, že obsahuje bitovou kopii operačního systému. Jak by to vypadalo v klientském počítači po instalaci této kopie? Po spuštění počítače by došlo k instalaci aktualizace Service Pack l(a). Během přihlášeni uživatele by se podle jeho členství v příslušné organizační jednotce přiřadily nakonfigurované aplikace sady Office a poté by se uživateli vygeneroval profil (buďto podle výchozího, který může být umístěn ve složce NETLOGON na řadiči domény nebo podle výchozího místního). Výsledná konfigurace počítače v síti by tak odpovídala těm současným.


234

Proto, aby mohla instalace operačního systému začít, je třeba provést ještě další konfiguraci. Prvním krokem bude povolení služby Vzdálená instalace. Povolení služby Vzdálená instalace 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Klepněte na organizační jednotku Domain Controllers a poté zobrazte dialogu vé okno vlastností účtu počítače SRVR001. Všimněte si, že po instalaci služby Vzdálená instalace zde přibyla karta Vzdálená instalace. 4. Klepněte na kartu Vzdálená instalace a zaškrtněte políčka Odpovědět klientským počítačům požadujícím službu a Neodpovídat neznámým klientským počítačům. Zaškrtnutím prvního políčka jsme v síti zpřístupnili možnost využívat službu Vzdálená instalace. Zaškrtnutí druhého zmíněného políčka je velmi důležité (jedna se o nepovinné políčko) z hlediska zabezpečení. Zajišťuje, že není možné si napil klad z domova přinést počítač, nainstalovat si do něj operační systém a zase jej od nést. Služba Vzdálená instalace bude totiž odpovídat pouze počítačům, které jsou před spuštěním instalace v doméně známé. Jakým způsobem se to provede, si ukážeme dále.

Obrázek 19.7 Karta Vzdálená instalace dialogového okna vlastností serveru vzdálené instalace

Poznámka Možnost zaškrtnout tato políčka je k dispozici již během úvodní instalace služby Vzdálená instalace. V takovém okamžiku ale není zpřístupněni služby vhodné, neboť ještě není dokončena její instalace.

Vytvoření uživatelského účtu pro instalace počítačů Před spuštěním instalace počítače je třeba zadat jméno a heslo účtu, který instalaci umožni. V principu se jedná o účet, který má oprávnění vytvářet v doméně účty počítačů (pro případ, že služba Vzdálená instalace bude k dispozici pro všechny počítače) nebo jenž má oprávnění spojit instalovaný počítač s již vytvořeným účtem (v případě, že účty počítaču budou dopředu připravené). Pro tento případ vytvořte například účet se jménem RIS (jedná se o anglickou zkratku služby Vzdálená instalace - Remote Installation Service) a s příslušným heslem. Můžete jej vytvořit přímo v kontejneru Users. Zároveň při jeho vytváření zrušte zaškrtnutí políčka Při dalším přihlášení musí uživatel změnit heslo. Protože tento účet nebudeme potřebovat pro vytváření účtů počítačů v doméně, není tře ba další konfigurace. Zabezpečení účtu RIS Je třeba si uvědomit, že heslo k tomuto účtu bude veřejně známé, neboť je budou musel znát všichni uživatelé, kteří budou provádět úvodní instalaci operačního systému porno a služby Vzdálená instalace. Aby pomocí něj nemohli pracovat, je třeba účet zabezpečil K dispozici je několik možností: ♦ Učet zakázat a povolovat jej vždy pouze po dobu vzdálených instalací. ♦ Zakázat možnost místního přihlášení pomocí tohoto účtu ke klientským počítačům, ♦ Pravidelně měnit heslo účtu a seznámit s ním uživatele vždy při provádění vzdálené instalace. Další informace k zabezpečení sítě a počítačů naleznete v kapitole 22, „Zabezpečení serveru a sítě".

Přednastavení klientských počítačů v doméně Active Directory V souladu s naší konfigurací bude služba Vzdálená instalace odpovídat pouze známým klientským počítačům. Je tedy třeba dát jejich přítomnost doméně ve známost. Jak bylo uvedeno na začátku této kapitoly, mohou službu Vzdálená instalace používat pouze počítače s technologií PXE nebo počítače s podporovaným typem síťové karty. Počítač, který je vybaven technologií PXE, má jedinečný kód GUID/UUID (používají se obě zkratky). Jedná


235

se o 16bajtové číslo, které lze zjistit na obalu počítače, na síťové kartě, v jeho dokumentaci nebo v systému BIOS. Poznáte je podle nezaměnitelného tvaru ve formátu (921FB974-ED42-11BE-BACD-00AA0057B2231, kde každý znak je šestnáctkovým číslem. Dát doméně Active Directory ve známost konkrétní počítač znamená spojit účel počítače s kódem GUID. Jak ale postupovat v případě, kdy klientský počítač není vybaven spouštěcí pamětí ROM (tedy není vybaven technologií PXE)? Kód GUID se v takovém případě vytváří z adresy MAC síťové karty a do počtu 32 znaků se zepředu doplní nulami. Například počítač s adresou MAC 02-50-5642-BF-8B bude mít kód GUID (00000000-0000-0000-0000-02505642BF8B). Otázkou tak pouze zůstává, jak potřebné kódy zjistit a jak provést jejich přidělení účtům počítačů v doméně Active Directory. Zjištění veškerých důležitých kódů (tedy kódu GUID u počítačů s technologií PXE a adresy MAC u ostatních počítačů) je vhodné ponechat na dodavateli počítačů. Nutno dodat, že u „lepších" dodavatelů se dnes jedná o běžnou věc a ostatní je to třeba co nejrychleji naučit. Cílem samozřejmě je, abyste mohli počítače rovnou předat uživatelům a vyhnuli se tak nutnosti jejich spouštění (která s sebou nese rozbalení počítačů, jejich připojení, zabalení a doručení k uživatelům), tedy činnosti, jež pro správce domény jistě nepatří mezi ty vyhledávané. Přednastavení počítačů v doméně Active Directory Poté, co od dodavatele obdržíte seznam nových počítačů s potřebnými kódy, můžete v doméně Active Directory vytvořit jejich účty. Postupujte podle následujících pokynu 1. 2. 3. 4.

Přihlaste se k počítači PC001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na organizační jednotku Počítače a v místní na bídce v části Nový klepněte na položku Počítač. Do pole Název počítače zadejte název počítače (v souladu se standardy organi zace), v poli Uživatel nebo skupina změňte výchozí skupinu na uživatelský ucel RIS (vytvořen výše) a poté klepněte na tlačítko Další. 5. Zaškrtněte políčko Toto je spravovaný počítač a do pole Jedinečné ID počíta če zadejte odpovídající kód GUID (včetně složených závorek). Klepněte na tlačíko Další. Obrázek 19.8 Přiřazení jedinečného kódu novému počítači

6. Ponechte zaškrtnuté políčko Libovolný dostupný server pro vzdálenou instalaci a klepněte na tlačítko Další. Druhá možnost je určena pro větší prostředí, ve kterém je více serverů pro vzdálenou instalaci a mezi nimiž je třeba rozložit zátěž od klientských počítačů. 7. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. Účet počítače je tak vytvořen a počítač s tímto jedinečným ID bude možné instalovat pomocí služby Vzdálená instalace. Podobným postupem je nutné vytvořit účty všech počítačů, které chcete pomocí služby Vzdálená instalace instalovat.

Automatizace instalace Nyní si představte, že uživateli předáte jeden z počítačů, jejichž účty jste připravili v doméně Active Directory. Co se stane po jeho zapnutí? Pokud počítač disponuje spouštěcí pamětí ROM, získá automaticky po svém zapnutí adresu IP od serveru DHCP a poté i adresu IP serveru pro vzdálenou instalaci (pokud se tyto dva servery liší, což však není náš případ). Server pro vzdálenou instalaci ověří, zda je pro něj daný počítač známým a pokud ano, zobrazí se y klientském počítači výzva ke stisknutí klávesy F12 pro spuštění ze sítě. Po stisknutí klávesy F12 se ze serveru pro vzdálenou instalaci stáhne úvodní obrazovka, na které je třeba zadat jméno, heslo a název domény. Poté se zobrazí další obrazovka s nabídkou bitových kopií, které lze do počítače instalovat. Volba, co se bude instalovat, je tak na uživateli. Pokud je k dispozici jediná bitová kopie (otisk jediného typu instalace), nemůže se uživatel zmýlit a možná by nebylo nutné dělat žádné úpravy tohoto chování. Proč by měl ale vůbec uživatel absolvovat tuto část, když je stejně dopředu jasné, že musí zvolit vždy Stejnou a jedinou instalaci? To je předmětem konfigurace v další části. Konfigurace automatického spuštění instalace Klient si po své první komunikaci se serverem pro vzdálenou instalaci stáhne vždy soubor Startrom.com, který poté celou instalaci spustí a provede uživatele výše uvedeným postupem. Vedle souboru Startrom.com ale existuje ještě jeden soubor s velmi podobným názvem Startrom.nl2. Ten ale pracuje trochu jinak - ihned po svém načtení do klientského počítače automaticky spustí instalaci určené bitové kopie. Celou konfiguraci provedete podle následujících pokynů. 1. Přihlaste se k počítači PC001 jako správci.


236

2. Přejděte do složky \\SRVR001\REMINST\OSChooser\i386. 3. Soubor Startrom.com přejmenujte na Startrom.bak a soubor Startrom.nl2 přejmenujte na Startrom.com. Protože je na serveru pro vzdálenou instalaci pouze jediná bitová kopie, není nutné konfigurovat, která z nich se začne automaticky instalovat. Pro to, aby uživatel nebyl zatížen ještě dalšími dotazy při konfiguraci účtu počítače, je nutné provést následující konfiguraci objektu zásad skupiny. 1. 2. 3. 4.

Přihlaste se k počítači PC001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na položku domény (studny.local) a v dialogu vém okně vlastností klepněte na kartu Zásady skupiny. Přidejte nový objekt nazvaný Služba Vzdálená instalace a v něm přejděte clo složky Konfigurace uživatele\Nastavení systému Windows\Služba vzdálené instalace a poklepejte na položku Možnosti volby v pravém okně konzoly. 5. V části Automatická instalace zaškrtněte políčko Povoleno a poté klepněte na tlačítko OK. Obrázek 19.9 Konfigurace automatické instalace v zásadách skupiny

Poznámka Uvedené dva postupy nejsou zaměnitelné. Každý konfiguruje něco trochu jiného a vzájemně se doplňují.

Z pohledu automatické instalace to ale ještě není vše. Zatím jsme vyřešili pouze několik možností, které se uživateli zobrazí před vlastním spuštěním instalace bitové kopie. Dále je ale ještě nutné vyřešit otázku automatické instalace samotného systému. Tento typ automatické instalace je velmi podobný bezobslužné instalaci systému pomocí souboru odpovědí, se kterou jsme se seznámili v kapitole 2, „Instalujeme klientské počítače". Rozdíl zde bude pouze v názvu souboru odpovědí a jeho umístění. Způsob vytvoření zůstává velmi podobný. Konfigurace automatického spuštění instalace systému

1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Správce instalace (jedná se o jeden nástroj ze souboru DEPLOY.CAB uloženého na instalačním disku CDROM se systémem Windows XP Professional nebo Windows Server 2003 ve složce Support\Tools). 3. V nástroji Správce instalace vyberte vytvoření nového souboru odpovědí pro službu vzdálené instalace (RIS) produktu Windows XP Professional. 4. V dialogovém okně Interakce s uživatelem zaškrtněte položku Plně automatická instalace. 5. V dalších dialogových oknech nástroje zadejte příslušné hodnoty. Důraz je třeba dát na následující nastavení: ♦ V dialogovém okně Název počítače zaškrtněte políčko Generovat název počítače automaticky. ♦ V dialogovém okně Text souboru instalačních informací ponechte výchozí hodnoty. 6. Nástroj správce instalace vytvoří soubor odpovědí s výchozím názvem remboot.sif a uloží jej na disk. Přidružení souboru odpovědí k bitové kopii vzdálené instalace

1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastni >s ti účtu počítače SRVR001. 3. Na kartě Vzdálená instalace klepněte na tlačítko Upřesnit nastavení a pole klepněte na tlačítko Bitové kopie. Zobrazí se seznam bitových kopií daného serveru pro vzdálenou instalaci (SRVR001). 4. Klepněte na tlačítko Přidat a v dialogovém okně Nový soubor odpovědí nebo bitová kopie instalace zaškrtněte políčko Přidružit ke stávající bitové kopli nový soubor odpovědí. Poté klepněte na tlačítko Další.


237

Obrázek 19.10 Vlastnosti služby Vzdálená instalace na serveru SRVR001

5. V dialogovém okně Zdrojový soubor odpovědí bezobslužné instalace zaškrtněte políčko Alternativní umístění a poté klepněte na tlačítko Další. Obrázek 19.11 Průvodce přidáním souboru odpovědí

6. V dialogovém okně Vyberte bitovou kopii instalace označte položku WXPPKO a klepněte na tlačítko Další. 7. V dialogovém okně Umístění souboru odpovědí zadejte do pole Cesta cestu k souboai odpovědí vytvořenému v předchozím odstavci a uloženému pravděpo dobně na serveru SRVR001 (například \\SRVR001\c$\windist\remboot.sif) Poté klepněte na tlačítko Další. 8. V dialogovém okně Krátký popis a text nápovědy ponechte výchozí texty (pokud neobsahují české znaky) a klepněte na tlačítko Další. Pokud popis nebo text nápovědy obsahují české znaky, je nutné je změnit. 9. Prohlédněte si informace v dialogovém okně Souhrn nastavení a poté klepněte na tlačítko Dokončit. Obrázek 19.12 Souhrn nastavení přiřazení souboru odpovědí existující bitové kopii instalace


238

l0. Klepnutím na tlačítko OK zavřete všechna dialogová okna. Na serveru SRVR001 můžete odstranit složku se souborem odpovědí. Bohužel, tímto krokem (samozřejmě nutným) se narušila automatizace úvodní části instalace. Vše je sice nastaveno na automatické zavedení, ale nyní jsou k dispozici dvě možnosti instalace. Služba Vzdálená instalace si samozřejmě neumí automaticky vybrat, takže je nutné to nakonfigurovat ručně. Úprava konfigurace automatického spuštění instalace systému Pokud existuje jediná bitová kopie instalace a dva či více souborů odpovědí, které ji příslušně modifikují, a vy chcete zajistit, že se automaticky spustí instalace konkrétní kombinace bitové kopie a souboru odpovědí, je nutné zabránit uživatelům v přístupu ke všem ostatním souborům odpovědí. Ačkoli by se mohlo zdát, že se jedná o běžné nastavení oprávnění na soubor (na serveru pro vzdálenou instalaci), není tomu tak a konfiguraci oprávnění je nutné provést ve vlastnostech účtu serveru v doméně Active Directory. Postupujte podle následujících po kynu: 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Na kartě Vzdálená instalace klepněte na tlačítko Upřesnit nastavení a poté klepněte na tlačítko Bitové kopie. Zobrazí se seznam bitových kopií daného serveru pro vzdálenou instalaci (SRVR001). 4. Označte původní bitovou kopii (bez souboru odpovědí zajišťujícího bezobslužnou instalaci) označenou jako Microsoft Windows XP Professional a poté klepněte na tlačítko Vlastnosti. Obrázek 19.13 Dialogové okno vlastností bitové kopie

5. Ve spodní části dialogového okna Vlastnosti bitové kopie klepněte na tlačítko Oprávnění. Zobrazí se vlastnosti souboru odpovědí. 6. Klepněte na kartu Zabezpečení. Po klepnutí na kartu Upřesnit odeberte dědičnost oprávnění a poté ze seznamu řízení přístupu odeberte skupinu Authentica-ted Users. 7. Postupně klepněte na tlačítko OK, Storno, OK a OK. Poznámka Dalším řešením by bylo odebrání původní kombinace bitové kopie a výchozího souboru odpovědí. V tomto případě by se jednalo o jednodušší řešení. Výše uvedený postup však ukazuje na možnosti služby Vzdálená instalace, kdy byste mohli každé skupině uživatelů definovat jako výchozí jinou kombinaci bitové kopie a souboru odpovědí. Zde uvedený postup je ukázkou toho, jak služba Vzdálená instalace rozhoduje, které možnosti instalace bitových kopí má uživateli zobrazit. Řídí se pouze podle oprávnění při hlášeného uživatele. Pokud byste ve svém prostředí chtěli konfigurovat více bitových kopií a různá oprávnění, mějte na paměti, že pro přihlášení všech uživatelů jsme výše definovali uživatelský účet RIS a oprávnění upravte s ohledem na něj.

Další možnosti služby Vzdálená instalace Ne ve všech prostředích je situace zdaleka tak ideální, jako v našem. Vycházím Z toho, že v našem prostředí jsme veškeré potřebné aplikace nainstalovali pomocí zásad skupiny, a proto stačí, když si uživatelé pomocí služby Vzdálená instalace nainstaluji pouze operační systém. Proto výše uvedená konfigurace, která opravdu zajistí automatickou instalaci operačního systému, nemusí postačovat, a je třeba ji upravit. Jistě totiž budete souhlasit s tím, že nainstalovat uživatelům automaticky operační systém včetně aplikací je rychlejší, než nainstalovat jim automaticky pouze operační systém a aplikace poté instalovat postupně do jednotlivých počítačů místně. V dalším postupu tedy budeme předpokládat, že uživatelé budou pomocí služby Vzdálená instalace instalovat bitovou kopii sestávající z operačního systému a aplikace Telefonní seznam, která se instaluje pouze pomocí programu s e t u p . e x e , a není ji tak možné instalovat pomocí zásad skupiny.


239

Příprava referenčního počítače Referenční počítač je tím počítačem, jehož instalace bude později převedena do formy bitové kopie a umístěna na server pro vzdálenou instalaci. Příprava běžně sestává z následujících kroků: ♦ ♦

♦ ♦

Instalace operačního systému Pro tento případ již můžete využít bitovou kopii služby Vzdálená instalace. Konfigurace operačního systému Prakticky se jedná o úpravu prostředí, které se následně zkopíruje do profilu výchozího uživatele. Protože my však používáme profil uložený ve složce NETLOGON, je třeba se v praxi rozhodnout, kterou cestou se vydat. Buď odstranit profil ve složce NETLOGON a nakonfigurovat jej v referenčním počítači nebo jej ve složce NETLOGON ponechat (samozřejmě i tento můžete kdykoli přepsat nakonfigurovaným). Rozdíl bude v tom, že zatímco v prvním případě (profil ve složce NETLOGON) se bude týkat prvního přihlášení všech uživatelů, ve druhém případě (místní upravený profil) se bude týkat pouze uživatelů, kteří se přihlásí k danému počítači. Instalace aplikací Provedení instalace všech aplikací, které budou součástí bitové kopie na serveru pro vzdálenou instalaci. Konfigurace aplikací Jedná se o výchozí nastavení aplikace, které budou mít k dispozici všichni uživatelé v případě, že budou využívat nakonfigurovaný místní profil.

Pro další postup budeme předpokládat, že do referenčního počítače (kterým bude počítač PC001) jsme nainstalovali aplikaci Telefonní seznam.

Vytvoření bitové kopie a její uložení na server pro vzdálenou instalaci Vytvoření bitové kopie a její uložení na server pro vzdálenou instalaci je velmi jednoduchým krokem. Zajímavé bude, jak to dopadne na serveru. Vždyť si například představte, žě byste chtěli mít na serveru pro vzdálenou instalaci několik velmi podobných bitových kopií lišících se například v jediné aplikaci. Není škoda tím obsadit poměrně velké místo na disku? Nešlo by to vyřešit nějak rozumněji? Vždyť při vytváření bitových kopií místo na disku serveru tak rychle ubývá... Systém Windows Server 2003 má pro tyto případy své unikátní řešení. Jeho použití však Záleží na přítomnosti systému souborů NTFS a funkční službě Optimalizace svazků ukládání jediné instance. Pivní podmínka je vůbec základním požadavkem pro instalaci slul by Vzdálená instalace. Druhá záležitost - služba - je součástí instalace služby Vzdáleni Instalace. Poznámka Mimo tuto službu se po instalaci služby Vzdálená instalace můžete v serveru SRVR001 setkat ještě se službami Vzdálená instalace a Proces daemon protokolu TFTP. Služba Optimalizace svazků ukládání jediné instance při kopírování nové bitové kopie kontroluje, zda již daný soubor na serveru pro vzdálenou instalaci není. Pokud jej nalezne, nový soubor nevytváří, ale vytvoří místo něj pouze jakýsi odkaz na původní soubor. Výsledkem je obrovské ušetření místa na disku, neboť soubory stejného operačního systému jsou zde pouze jednou. Jedná se o využití speciální vlastnosti systému souborů NTFS, na kterou je nutné myslet při zálohování serveru pro vzdálenou instalaci. Zálohovací program musí tuto funkci podporovat, jinak byste se při případném obnovení po havárii mohli setkat s nefunkční službou. Program Zálohování, který je součástí systému Windows Server 2003 je příkladem programu, který tuto vlastnost podporuje a je možné jej používat. Podobně je to s přesunem bitových kopií mezi více servery pro vzdálenou instalaci. Bohužel, přesun souborů není podporován, a každou bitovou kopii je tak nutné instalovat na každý server pro vzdálenou instalaci. Uložení bitové kopie na server Předpokládejme, že do počítače PC001 byly nainstalovány všechny nutné aplikace (včetně aplikace Telefonní seznam) a počítač je připraven na vytvoření bitové kopie. Dále postupujte podle následujících pokynů. 1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky \\SRVR001\ REMINST\Admin\i386. V této složce poklepejte na příkaz riprep.exe (Remote Installation Preparation). 3. Spustí se Průvodce přípravou vzdálené instalace. Klepněte na tlačítko Další. Obrázek 19.14 Průvodce přípravou vzdálené instalace

4. V dialogovém okně Název serveru zadejte název SRVR001 a klepněte na tlačítko Další.


240

5. V dialogovém okně Název složky zadejte název složky, ve které bude bitová kopie instalace uložena (například WXPTEL). 6. V dialogovém okně Krátký popis a text nápovědy zadejte do pole Popis popis instalace (například Windows XP Pro + Tel. Seznam) a do pole Text nápovědy text (například Nainstaluje systém Windows XP Professional s aplikaci Telefonní seznam). Pozor! Žádný z názvů nesmí obsahovat české znaky. Poté klepněte na tlačítko Další. 7. V dialogovém okně Zpráva o kompatibilitě systému se můžete setkat s různými typy zpráv. Přečtěte si případné podrobnosti, stav napravte a klepnutím na tlačítko Další pokračujte dále (případně může být nutné nástroj riprep.exe spustit znovu). Obrázek 19.15 Dialogové okno Zpráva o kompatibilitě systému upozorňuje na možnost ztráty dat

8. V dialogovém okně Zastavit služby se zobrazí seznam služeb, které se před pokračováním zastaví. Pokračujte klepnutím na tlačítko Další. Dojde k postupnému zastavení uvedených služeb.

Obrázek 19.16 Seznam služeb, které se před pokračováním zastaví

9. Pokud se zobrazí dialogové okno Programy a služby jsou stále spuštěny, ukončete uvedené programy a zastavte uvedené služby. V opačném případě může dojít k výskytu chyb. Poté pokračujte klepnutím na tlačítko Další. 10. V dialogovém okně si prohlédněte zadaná nastavení. Klepnutím na tlačítko Zpět se můžete vrátit ke konkrétním nastavením. Pokud s konfigurací souhlasíte, klepněte na tlačítko Další.


241

Obrázek 19.17 Souhrn nastavení

11. V dialogovém okně Dokončení Průvodce přípravou vzdálené instalace klepněte na tlačítko Další. Dojde ke zkopírování jeho instalace na server pro vzdálenou instalaci a počítač se vypne. Po jeho spuštění se provede zkrácená instalace. Obrázek 19.18 Průběh kopírování instalace na server

Po dalším spuštění počítače se spustí režim minimální instalace podobně jako po spuštění nástroje Sysprep (on je také skrytě spuštěn). Jedná se o pochopitelný stav, neboť na server pro vzdálenou instalaci je třeba zkopírovat systém včetně aplikací, jenž nebude ob sáhovat identifikátory, které musí být v doméně jedinečné. To se týká kódu SID nebo na příklad názvu počítače. Ty je třeba nyní znovu počítači přidělit. Ověření nainstalované bitové kopie 1. 2. 3. 4.

Po dokončení instalace se přihlaste k počítači PC001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Ve vlastnostech účtu počítače SRVR001 klepněte na kartě Vzdálená instalace na tlačítko Upřesnit nastavení. V dialogovém okně vlastností vzdálené instalace serveru SRVR001 klepněte na kartu Bitové kopie. Všimněte si další nainstalované bitové kopie.


242

Obrázek 19.19 Další nainstalovaná bitová kopie na serveru SRVR001

Pokud byste chtěli automaticky instalovat tuto kopii do klientských počítačů, je třeba opakovat postup vytvoření souboru odpovědí a definovat příslušná oprávnění přístupu pro tento soubor odpovědí (samozřejmě nezapomenout na odebrání oprávnění u ostatních).

Instalace bitových kopií do klientských počítačů Počítače podporující technologii PXE U těchto typů počítačů je třeba nakonfigurovat na první místo spouštěcích zařízení síťový adaptér. Pokud je nakonfigurovaná automatická instalace, nebudou se uživateli vyjma obrazovky, na které zadá jméno, heslo a název domény, zobrazovat žádné další informace a instalace se tak spustí.

Počítače bez technologie PXE Na pivním místě spouštěcích zařízení musí být u tohoto počítače disketová jednotka. Dále je nutné pomocí nástroje RBFG.EXE vytvořit disketu pro tento typ spuštění. Po spuštěni z diskety poté vypadá vše obdobně, jako v předchozím případě. Disketu je tedy vhodné po spuštění instalace vyjmout, aby po restartování mohla instalace pokračovat. Vytvoření spouštěcí diskety 1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky \\SRVR001\ REMINSTX Admin\ i386 3. Do disketové jednotky vložte disketu a v uvedené složce spusťte nástroj RBFG.EXE.

Obrázek 19.20 Nástroj RBFG.EXE

4. Klepněte na tlačítko Seznam adaptérů. Otevře se dialogové okno Podporované adaptéry obsahující seznam podporovaných adaptérů. Jedná se o řady síťových adaptérů, nikoli o konkrétní typy. Ověřte, že zde jsou uvedeny síťové adaptéry klientských počítačů. 5. Klepnutím na tlačítko Vytvořit disketu vytvoříte spouštěcí disketu. Disketa musí být naformátovaná a nástroj RBFG.EXE smaže její původní obsah. Poznámka


243

Na disketě se vytvoří jediný soubor s názvem RISDISK sloužící ke spuštění počítače a k provedení vzdálené instalace.

Další hardware Půjde bitová kopie původního počítače nainstalovat do počítače s jinou základní deskou!' Nebo s jiným grafickým adaptérem? Nebo do počítače se dvěma procesory? Podmínkou pro možnou instalaci bitové kopie vytvořené pomocí nástroje Riprep.exe do nového počítače je pouze stejná vrstva HAL (Hardware Abstraction Layer). Pokud měl te dy původní počítač například vrstvu HAL podporující technologii ACPI, musí ji mít i no vý počítač. Instalace bitové kopie vytvořené nástrojem Riprep.exe tedy bude funkční, pokud je splněn kterýkoli z následujících bodů: ♦ ♦ ♦

Původní a nový počítač mají stejné vrstvy HAL. Původní a cílový počítač mají bud jednoprocesorovou nebo víceprocesorovou vrstvu ACPI HAL (Advanced Configuration and Power Interface). Původní a cílový počítač mají buď jednoprocesorovou nebo víceprocesorovou vrstvu APIC HAL (Advanced Programmable Interrupt Controller).

Poznámka Typ vrstvy HAL ve svém počítači zjistíte ve vlastnostech souboru Hal.dll. Převedeno do českého jazyka jde o to, co se dá alespoň vzdáleně tušit. Pokud vytvoříte bitovou kopii instalace víceprocesorového počítače, nebude možné tuto kopii instalovat do jednoprocesorového počítače a naopak. Poznámka Pokud budete chtít zjistit typ vrstvy HAL v konkrétním počítači, vyhledejte ve složce %systemroot%\system32 soubor HAL.DLL a na kartě Verze klepněte v části Další údaje o verzi na položku Původní název souboru. V příkladu na obrázku 19.21 se jedná o vrstvu HAL (bez ACPI). Obrázek 19.21 Určení vrstvy HAL

Tím je vyřešena použitelnost nebo nepoužitelnost konkrétní bitové kopie pro nový počí tač. Co se ale stane v případě, kdy bude mít nový počítač například jiný grafický adaptér? Během instalace bitové kopie nedochází standardně k rozpoznání hardwaru, takže ovladač pro jiný grafický adaptér se nenainstaluje přesto, že může být v systému k dispozici Pokud chcete provést rozpoznám hardwaru typy Plug-and-Play během instalace, spusťte nástroj Riprep.exe s parametrem /pnp. Poté však bude docházet k rozpoznání hardwa ru vždy v každém novém počítači. Chcete-li toto chování zrušit, musíte vytvořit novou bi tovou kopii pomocí příkazu Riprep.exe. Počítačům S příslušnou vrstvou HAL odpovídající počtu procesorů nabídne služba Vzdá lená instalace v systému Windows Server 2003 pouze bitové kopie odpovídajících počí tačů (ostatní automaticky skryje).


244

Služba Vzdálená instalace ve větších sítích O službě Vzdálená instalace toho bylo sice řečeno dost, informací a možností konfigurace je však ještě mnohem více. Protože je prostředí naší sítě relativně malé a jednoduché (právě o jednoduchost se nemalou měrou zasluhuje exkluzivní použití technologií Micro soft), použili jsme pouze základní konfiguraci služby Vzdálená instalace, která tvoří její páteř. Žádné další specialitky nás nečekaly, nedá se však vyloučit, že se s nimi v jiném prostředí setkáte. Tato část obsahuje doplňující informace a tipy pro další, související úlohy při používání služby Vzdálená instalace.

Přednastavení klientských počítačů V odstavci, který se této problematice výše věnoval, bylo uvedeno, že informace o adrese MAC počítače (v případě, že počítač nepodporuje technologii PXE) máte získat od dodavatele. V opačném případě vás čeká vybalení počítače z krabice, zapojení, zjištění adresy MAC, zabalení počítače a odeslání uživateli. Jakým způsobem ale adresu MAC v počítači, který není vybaven žádným systémem, zjistit? 1. Do disketové jednotky počítače vložte disketu vytvořenou pomocí nástroje RBFG.EXE 2. Zapněte počítač a v systému BIOS nakonfigurujte sekvenci spouštěcích zařízeni tak, aby disketová jednotka byla první v pořadí. 3. Restartujte počítač a počkejte na spuštění nástroje pro vzdálenou instalaci systému. Přesto, že počítač nebude připojen k síti, a nebude mít konektivitu se serverem pro vzdálenou instalaci, zobrazí se na obrazovce jeho adresa MAC.

Upgrade systému pomocí služby vzdálená instalace Služba Vzdálená instalace je určena pouze k čistým instalacím operačního systému, případně systému spolu s aplikacemi. Nelze ji využít k upgradu nižších operačních systému. Protože cílem upgradu je ponechat uživateli pokud možno všechna nastavení, je možné zkombinovat službu Vzdálená instalace s funkcemi pro přenesení souborů a nastaveni uživatele. Postup může být následující: 1. Spuštění nástroje Nástroj přenesení stavu uživatele (USMT, User State Migration Tool) a přenesení profilu uživatelů do sdílené složky na server. 2. Čistá instalace operačního systému a aplikací pomocí služby Vzdálená instalace. 3. Pomocí funkce Nástroj přenesení stavu uživatele přenesení profilů uživatelů zpět do nového systému. Nástroj USMT naleznete na instalačním disku CD-ROM se systémem Windows Server 2003 ve složce \VALUEADD\MSFT\USMT.

Umístění serveru pro vzdálenou instalaci v síti V menší síti nebývá příliš možností rozhodnout, ve kterém počítači by měla být nainstalovaná služba Vzdálená instalace. Příkladem je naše síť, která má jediný server. Ten poté musí plnit všechny role a při rostoucím počtu klientských počítačů tak dříve či později dojde k jeho zahlcení. Ve větších sítích, které mají k dispozici více serverů, je možné zvážit rozdělení rolí mezi jednotlivé servery. V optimálním případě by měly být role rozdělené následovně (co řádek, to jeden počítač): ♦ ♦ ♦

Řadič domény a služba DHCP Server DNS Server pro vzdálenou instalaci

Pro umístění serveru pro vzdálenou instalaci platí dále obecně tato pravidla: ♦ ♦ ♦

Neinstalujte službu Vzdálená instalace na servery Exchange nebo SQL. Server pro vzdálenou instalaci velmi zatěžuje síťové součásti a může způsobit výrazné zpomalení výkonu uvedených produktů. Server pro vzdálenou instalaci nebude pracovat v bezdrátových sítích. V těchto sítích nelze pomocí služby Vzdálená instalace instalovat klientské počítače, neboť bezdrátové sítě nepodporují technologii PXE. Server pro vzdálenou instalaci neinstalujte do sítí, ve kterých pracují podobné instalační služby od jiných výrobců.

Více serverů pro vzdálenou instalaci v síti Cílem více serverů pro vzdálenou instalaci v síti je rozložení jejich zátěže při souběžné instalaci více klientských počítačů. V praxi bylo ověřeno, že maximální počet klientských počítačů, kterým je server pro vzdálenou instalaci schopen současně poskytovat služby, je 75. Nepřednastavené počítače Nepřednastavený počítač nemá před komunikací se serverem pro vzdálenou instalaci V doméně vytvořen vlastní účet. Znamená to, že se spojí s prvním serverem pro vzdálenou instalaci, který klientskému počítači odpovídá na jeho požadavek. Jestliže však bude server pro vzdálenou instalaci současně serverem DHCP, bude vždy vyřizovat požadavky klientských počítačů přednostně on. Přednastavené počítače Každý přednastavený počítač má atribut, který může obsahovat název serveru pro vzdálenou instalaci, ze kterého se do tohoto počítače bude instalovat určená bitová kopie. Pokud tento atribut není vyplněn, pracuje instalace stejně jako u nepřednastavených počítačů. Pokud atribut vyplněn je, obrátí se klientský počítač vždy na uvedený server. Toto řešení je vhodné například pro organizace, které mají na každé pobočce


245

server pro vzdálenou instalaci. Ověření serverů V případě, že v síti používáte více serverů pro vzdálenou instalaci, nezapomeňte je všechny ověřit. V opačném případě nebudou odpovídat na požadavky klientů a nebudou tak funkční. K ověření dochází v systému Windows Server 2003 již během instalace služby. Vzdálená instalace: pokud by se však nezdařila, je nutné servery ověřit ručně.

Obrázek 19.22 Možnost přiřazení přednastaveného počítače serveru pro vzdálenou instalaci

Ruční ověření serveru pro vzdálenou instalaci 1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu DHCP. 2. Pravým tlačítkem myši klepněte na položku DHCP a poté v místní nabídce klepněte na položku Spravovat ověřené servery. 3. V dialogovém okně Spravovat ověřené servery klepněte na tlačítko Ověřit, zadejte adresu IP nebo název serveru a klepněte na tlačítko OK. Poznámka K ověření serveru pro vzdálenou instalaci, stejně jako serveru DHCP, potřebujete oprávnění člena skupiny Enterprise Admins.

Kopie Risetup a Riprep ♦ ♦ ♦

Na každém serveru pro vzdálenou instalaci musí být alespoň jedna bitová kopie Risetup odpovídající stejnému operačnímu systému, který byl základem vytvořeni bitové kopie Riprep. Bitová kopie Risetup a bitová kopie Riprep musí být stejné jazykové verze a nul stejné dvě první části v číselném označení verze (to znamená, že se například ne rozlišuje operační systém bez a s aktualizací Service Pack). Průvodce Riprep podporuje pouze systémový oddíl zdrojového počítače (C:). Zdrojový počítač navíc nesmí mít tento oddíl větší než cílový počítač.

Práva uživatelů Ve větších sítích dochází často ke stavu, že na serveru pro vzdálenou instalaci existuje ví ce bitových kopií pro různá oddělení uživatelů. Pokud bude služba Vzdálená Instalace odpovídat všem počítačům (i těm, které nebyly přednastaveny), je nutné během i nst a l ace vytvořit v doméně Active Directory účet nového (právě instalovaného) počítače. Na to však musí mít právo uživatel, který se přihlásil na začátku instalace. V takovém prostředí je nutné provést dvě úpravy. 1. Ve vlastnostech služby Vzdálená instalace serveru pro vzdálenou instalaci lze zadat formát názvů počítačů, jež se budou automaticky vytvářet a organizační jednotku, ve které k jejich vytvoření dojde (karta Noví klienti). 2. V dané organizační jednotce je třeba uživatelům udělit oprávnění k vytváření objektu počítačů. S výhodou zde využijete Průvodce delegováním řízení, se kterým jsme pracovali na konci kapitoly 17, „Správa prostředí klientských počítačů". Při udělování oprávnění nezapomeňte na strategii A - > G - > D L < - P s postupným přechodem ke strategii A - > G - > U < P ( v případě rozšíření prostředí o další doménu).


246

Důležité novinky ve službě Vzdálená instalace v systému Windows server 2003 v porovnání se systémem Windows 2000 Server ♦

♦ ♦ ♦ ♦ ♦

Podporuje instalaci více operačních systémů - Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced server, Windows XP Professional a řadu systémů Windows Server 2003 (služba Vzdálená instalace v systému Windows 2000 Server podporuje pouze instalaci systému Windows 2000 Professional, po dalších úpravách také instalaci systému Windows XP Professional). Vyšší zabezpečení pomocí maskování hesla. Automaticky ověřuje server pro vzdálenou instalaci během jeho konfigurace (Ri-setup). Automaticky detekuje vrstvu HAL cílového počítače a tomu upraví nabídku bitových kopií k instalaci. Podporuje nainstalovaný nástroj Konzola pro zotavení v klientském počítači. Podporuje 64bitové verze systémů Windows Server 2003 a Windows XP Professional.

Úprava Průvodce klientskou částí služby Vzdálená instalace Pokud nebudete v síti používat automatickou instalaci vybrané bitové kopie, ale pone-cháte výběr na uživatelích, zobrazí se uživatelům několik různých obrazovek s informacemi. Jedná se o textové soubory ve formátu OSCML s příponou OSC (Operating Systém choser). Tyto soubory je možné upravit, zejména pak informace, které poskytují. Uživatelům se při běžné vzdálené instalaci zobrazí následující soubory: ♦ ♦ ♦

♦ ♦ ♦ ♦

LOGIN.OSC Jedná se o přihlašovací obrazovku. CHOICE.OSC Zobrazuje možnost instalace. DUPAUTO.OSC Zobrazí se v případě, kdy byl v doméně Active Directory nalezen duplicitní identifikátor GUID. OSCHOICE.OSC Pokud je pro instalaci k dispozici více bitových kopií, zobraz! jejich seznam. WARNING.OSC Obsahuje upozornění, že bude zformátován pevný disk počítače. INSTALL.OSC Obsahuje podrobnější informace o počítači a o bitové kopii, která se bude instalovat. CUSTOM.OSC Vyzve uživatele k zadání názvu počítače a organizační jednotky, ve které se vytvoří účet počítače.

V instalačních složkách naleznete ještě další soubory OSC týkající se zejména chybových zpráv.

Závěr Vzdálená instalace je velmi zajímavým instalačním nástrojem v systému Windows Server 2003. Shrnuje v sobě výhody dalších dvou typů instalací - bezobslužné instalace (její automatické proveden) a instalace Sysprep (možnost instalovat nakonfigurovaný systém i s aplikacemi) a nemá nevýhodu instalace Sysprep, kterou je absence nástrojů pro vytvoření a přenesení bitové kopie disku počítače. Pro úspěšnou funkci služby Vzdálená instalace je v síti nutná služba DNS, DHCP a domé na Active Directory. Instalovat lze všechny operační systémy od verze Windows 2000 výše (vyjma verzí Datacenter Server). Mohou ji využívat klientské počítače, které mají spouštěcí paměť ROM nebo podporovaný síťový adaptér na sběrnici PCI. Aby server pro vzdálenou instalaci pracoval, musí být v doméně Active Directory ověřen podobně jako servety DHCP. Důležitou částí služby Vzdálená instalace je její konfigurace. Ta sestává z instalace samot) ně služby a z instalace bitové kopie vybraného operačního systému. Tato kopie musí být na serveru pro vzdálenou instalaci vždy, neboť ostatní bitové kopie, které se na server instalují, využívají její soubory. Služby Vzdálená instalace lze zabezpečit tak, že nebude reagovat na žádosti neznámých počítačů. Známé jsou pro ni pouze ty počítače, které již mají v doméně Active Directory vlastní účet s přiřazeným jedinečným kódem UUID/GUID. Pro instalaci systému Windows XP Professional je vhodné používat média z multilicenč ních programů, které nevyžadují aktivaci.

Stav sítě Na server SRVR001 byla nainstalovaná služba Vzdálená instalace. Obsahuje nyní tři bitové kopie - samotný systém Windows XP Professional s běžnou instalací, systém Windows XP Professional s automatickou instalací a systém Windows XP Professional s aplikaci Telefonní seznam. Poslední bitová kopie byla přidána pouze z ukázkových důvodu. Pokud by v seznamu nebyla, uživatelům nových počítačů by se automaticky instalovala druhá uvedená bitová kopie. Pro účely vzdálené instalace existuje účet RIS a v doméně je nutné nejprve přednastavit všechny instalované počítače. Nyní se dá říci, že jsme v síti podchytili všechny oblasti, které se uživatele týkají v případě havárie a nutné výměny jeho počítače. Pokud uživatel získá čistý počítač, nainstaluje do něj operační systém pomocí služby Vzdálená instalace. Dokumenty ze svého profilu má uloženy na serveru (někteří uživatelé mají na serveru také celý profil) a aplikace se mu zpřístupní automaticky při prvním přihlášení. To vše je zajištěno pouze pomocí technologií systému Windows Server 2003/XP.


247

Instalujeme aktualizace Service pack Každý produkt společnosti Microsoft prochází během výroby přesně danými fázemi. Zřejmě málokdo zná další podrobnosti o tom, jak to přesně vypadá v „kuchyni" po celou dobu vývoje produktu. Většina uživatelů (nebo spíše správců) vnímá jednotlivé fáze vývoje tak, jak jsou prezentovány navenek. Prvním takovým stadiem je testovací verze Beta. Ta je ještě poměrně „syrovým" produktem, může obsahovat ještě části kódu předchozí verze produktu (pokud samozřejmě existovala), případně některá původní dialogová okna i nápovědu. Taková verze se většinou neuvolňuje pro veřejné testování, ale pouze pro takzvané beta testery (členové testovacích programů společnosti Microsoft). Po nějaké době se objeví další verze, z dílny společnosti Microsoft označovaná jako Beta 2 (i bety mají své verze). Nyní se již jedná o produkt, který je možné stáhnout z we-bových stránek, případně jejž je možné získat na některé z konferencí. V některých případech je taková verze produktu uvolněna pro veřejnost, tedy širokému spektru uživatelů, kteří jej při používání prakticky testují a mají možnost pomocí rozhraní aplikace odesílat výrobci informace o chybách, s nimiž se během používaní setkají. Je tedy relativně dost času na to případné chyby či nestandardní chování odhalit a následně také opravit. Jako další se může objevit verze s označením RC (Release Candidate). Jedná se již o téměř finální produkt, který je možné stáhnout z webových stránek, a jeho účelem je umožnit bližší seznámení správců s téměř finálním produktem. Ve většině případů jsou na těchto verzích produktů postaveny i oficiální kursy, a správci tak mají možnost být při uvedení produktu připraveni na jeho zavádění a správu. Poté nastane den D, tedy uvedení nové verze na trh. Z pohledu správců bývá největší rozdíl mezi konečnou verzí a verzí RC v tom, že konečná verze je ze strany výrobce plně podporována. Znamená to, že pokud se v předchozích verzích vyskytla chyba, vývojáři ji opraví a opravu zařadí automaticky do dalšího sestavení produktu. Pokud se vyskytne chyba v ostré verzi, oprava se publikuje jako samostatný balíček nebo je vydána oficiální informace o možnostech jejího řešení. Přesto, že verze Beta i RC bývají k dispozici dostatečně dlouho na to, aby se zjistily a opravily všechny chyby, nemusí se podařit je vůbec zjistit. Operační systémy a další aplikace společnosti Microsoft disponují takovým množstvím funkcí, že bývá často mimo možnosti jednotlivých testerů vše nasimulovat a ověřit. Tím spíše, že tyto verze se nedoporučuje nasazovat do provozního prostředí, které by je opravdu prověřilo. Není se tak co divit, že i konečné verze mohou obsahovat chyby (přes všechno úsilí výrobce). Po nějakém čase, kdy oprav k produktu existuje více, se výrobce může rozhodnout vyrobit z jednotlivých dílčích oprav větší balíček - aktualizaci systému. Takový balíček je navíc oproti jednotlivým opravám vylepšen v tom, že není nutné jej vždy při přidání další součásti systému znovu přeinstalovat a navíc má více možností instalace. V poslední době se součástí těchto aktualizací navíc stávají také další vylepšení a nové vlastnosti produktů. Jedná se o aktualizace Service Pack.

Aktualizace SP pro operační systém Operační systém je základem každého počítače a jeho chování může ovlivnit celou řadu aplikací, které jsou na něm závislé. Ve větších prostředích může dokonce operační systém (nebo jeho část) ovlivnit chování a činnost aplikace, která je nainstalovaná v jiném počítači. V praxi se jedná o případ, kdy například některá z aplikací nainstalovaná v členském serveru v doméně potřebuje využívat vlastnosti domény. A pokud je v části operačního systému týkající se domény chybička, může aplikace vykazovat nestandardní chování. Instalace aktualizace Service Pack tak může zabít více much jednou ranou a je proto z pohledu správců velmi vítaným softwarem. Na jednu stranu se tak mohou správci na připravovanou aktualizaci těšit, na druhou stranu jim však při pomyšlení, že ji budou muset instalovat do všech klientských počítačů a serverů, může běhat mráz po zádech. Čím větší prostředí, tím se z pohledu správce samozřejmě jedná o větší objem práce. Navíc každá aplikace aktualizace Service Pack vyžaduje restartování počítače, takže se už správci vidí na noční směně. Až do systému Windows NT 4.0 měli správci tyto pocity celkem oprávněně. Aktualizaci Service Pack totiž opravdu museli instalovat místně do každého počítače (pochopitelně pod účtem správce), navíc při změně konfigurace systému bylo nutné tuto aktualizaci pře Instalovat. Spolu se systémem Windows 2000 přišla na trh nová možnost automatické instalace pomocí zásad skupiny. Po nějaké době se správci seznámení a využívající tuto vlastnost začali samozřejmě ptát, proč se ve formátu MSI nedodávají také aktualizace Ser vice Pack. Nemuseli však dlouho čekat - tato možnost se záhy objevila a jednalo se o ak lualizaci Service Pack 2. U dalších aktualizací systému Windows 2000, stejně jako a k t u a li/ace Service Pack l(a) systému Windows XP Professional již existuje standardně jako jedna z možností.

Kde vzít aktualizaci Aktualizace Service Pack je pro uživatele příslušného operačního systému zdarma. Proto není žádný problém ji získat. Na výběr máte několik možností: ♦ Disk CD-ROM s aktualizací Windows XP SPI od společnosti Microsoft Jed ná se o disk CD-ROM, který obsahuje nejen samotnou aktualizaci, ale také koni pletní informace k jejímu zavedení, včetně dalších důležitých nástrojů operačního systému. V České republice lze tento disk CD-ROM získat od společnosti Softmail. Další informace v českém jazyce naleznete na webové stránce společnosti Microsoft na adrese


248

♦ ♦ ♦

♦

http://www.microsoft.com/cze/windows/xp/pro/downloads/spl/. V tomto případě se připravte na to, že budete možná muset uhradit manipulační náklady. Součást dodávek softwaru Společnosti využívající některé typy multilicenčních programů získávají instalační média s aktualizacemi Service Pack (nejen pro operační systémy) jako součást své licence. Speciální programy společnosti Microsoft Předplatitelé speciálních programů společnosti Microsoft, jako je například MSDN nebo TechNet, získávají veškeré aktualizace na médiích CD-ROM nebo DVD v rámci pravidelných měsíčních dodávek. Stažení aktualizace z webových stránek Jedná se o nejpoužívanější a nejrychlejší způsob, jak se k aktualizaci dostat. V takovém případě máte jistotu, že stahujete nejnovější aktualizaci. Pokud však potřebujete další informace, je třeba je stáhnout odděleně, neboť nebývají přímo součástí aktualizace. Na druhou stranu máte jistotu, že veškeré informace z webu jsou aktuální. Disky CD-ROM (DVD) z akcí nebo z časopisů Jedná se o velmi častý zdroj aktualizací, dalších oprav a technických materiálů. Pokud však nemáte jistotu původu disku, doporučuji před použitím provést antivirový test důležitých souborů.

Jazykové verze Aktualizace Service Pack pro systém Windows XP se liší podle jazykové verze systému. Je nutné tyto jazykové verze sesouhlasit, a například při stahování z Internetu stáhnout správnou verzi. Vzhledem k nutnosti lokalizovat každou aktualizaci (dokonce téměř jakoukoli opravu) se vždy nejprve setkáte s aktualizacemi pro jazykové verze EN. Na ostatní jazyky ale poté není nutno dlouho čekat a k dispozici bývají do několika dnů. Pokud se budete snažit instalovat například jazykovou verzi EN aktualizace Service Pack do českého systému Windows XP Professional, instalace se zastaví a zobrazí se příslušná chybová zpráva. Na přiloženém disku CD-ROM naleznete aktualizace Service Pack la pro jazykové verze CZ i EN systémů Windows XP.

Typy instalace Na aktualizaci Service Pack je možné podívat se jako na běžnou aplikaci, kterou lze instalovat různými způsoby. Každý způsob může vyhovovat v jiném prostředí více či méně, v každém případě je dostatek možností na to, aby si správci zvolili tu nejvhodnější. Obecně lze všechny typy instalace rozdělit do dvou skupin ♦ Instalace formou aktualizace systému ♦ Integrovaná instalace spolu se systémem

instalace formou aktualizace systému Jedná se o typ instalace, kterou znají všichni správci, již kdy instalovali aktualizace Service Pack do systému Windows NT 4.0 nebo Windows 2000. Společným vodítkem různých možností provedení je přítomnost operačního systému v počítači. Instalací tak dojde k jeho aktualizaci.

integrovaná instalace V kapitole 2, „Instalujeme klientské počítače", jsme se seznámili s automatickou instalací systému Windows XP Professional. Instalační soubory mohou být v takovém případě uložené na disku CD-ROM nebo ve sdílené složce v síti. Integrovaná instalace pracuje tak, že provede aktualizaci instalačních souborů. Na originálním disku CD-ROM to pochopitelně provést nelze; řešením jsou v takovém případě média CD-R nebo CD-RW. Mnohem lépe si takovou instalaci můžete představit se soubory ve sdílené složce. V předchozí kapitole jsme se seznámili s další možností instalace - Vzdálenou instalací. I zde je možné provést aktualizaci souborů, které jsou k dispozici na severu RIS. Integrovaná instalace tedy znamená, že do čistého počítače se již instaluje aktualizovaný operační systém.

Možnosti instalace Pokud se máme bavit o instalaci aktualizace Service Pack v prostředí podnikové sítě, je nutné hned na začátku vynechat možnost expresní instalace. Při té se klientský počítač se systémem Windows XP Professional připojí k Internetu a stáhne si pouze aktualizované soubory. Výhodou takového typu instalace (samozřejmě spíše v domácích podmínkách) je rychlejší stažení, neboť není nutné stahovat úplnou aktualizaci. Pokud máte k dispozici soubory aktualizace Service Pack, je vhodné využít některou Z. dalších možností instalace: ♦ ♦ ♦ ♦

Instalace z místního disku Instalace ze sítě Instalace pomocí produktu SMS Instalace pomocí zásad skupiny

Všechny uvedené možnosti spadají mezi instalace formou aktualizace systému. V počítači tak již musí být nainstalován operační systém.

instalace z místního disku


249

Při této instalaci dochází nejprve k dekomprimaci instalačních souborů na místní disk počítače. Z těch se poté spustí instalace aktualizace Service Pack. Postup takové instalace vypadá následovně: 1. Vložení disku CD-ROM s aktualizací Service Pack do jednotky CD-ROM počítače nebo zkopírování původního souboru aktualizace (XPSPl.exe) na místní disk. 2. Zastavení běhu antivirových programů a zálohování důležitých dat. 3. Spuštění souboru XPSPl.exe. Protože se jedná o komprimovaný soubor obsahu jící instalační soubory aktualizace, dojde k jeho dekomprimaci do dočasné složky na jednotce C:. 4. Následuje automatické spuštění aktualizace, které provede její instalaci. 5. Restartování počítače. Restartování není povinné (můžete je odložit), rozhodně se však doporučuje počítač restartovat co nejdříve. Do té doby se instalace aktualiza ce neprojeví. Při spouštění souboru XPSPl.exe můžete zadat další parametry a upravit tak chování instalace. Nejpoužívanější parametry shrnuje tabulka 20.1 Parametr

Funkce

/U

Bezobslužná instalace aktualizace. Na obrazovce instalovaného počítače bude zobrazen průběh instalace, celá však proběhne automaticky bez nutnosti účasti správce.

/Q

Tichý režim instalace. Jedná se o bezobslužnou instalaci se skrytým uživatelským rozhraním.

/N

Neprovádí zálohování souborů pro případné budoucí odinstalování aktualizace Service Pack. Pokud nemáte na disku dostatek místa nebo z jiného důvodu nechcete využít možnosti odinstalování, použijte tento parametr. Výchozím chováním instalace je zálohovat soubory.

/O

Přepíše ovladače OEM bez předchozího dotazu. Vhodný doplněk automatické instalace v případě, kdy instalace systému Windows XP Professional obsahuje speciální ovladače OEM zařízení.

/Z

Po instalaci aktualizace Service Pack neprovede restartování počítače.

Tabulka 20.1 Nejčastější parametry pro spuštění programů XPSP1.exe a Update.exe Zvláštní místo má mezi parametry parametr /S:. Ten není určen pro instalaci z místního disku, ale slouží k aktualizaci instalačních souborů systému Windows XP Professional. Instalace z místního disku je standardním způsobem instalace aktualizace Service Pack v domácím prostředí a ve velmi malých sítích. Taktéž se hodí v případě, kdy je potřeba instalovat aktualizaci například pouze do jediného počítače.

instalace ze sítě Tato možnost instalace je velmi podobná té předchozí. Největší rozdíl je v tom, že k de komprimaci instalačních souborů aktualizace dojde ve sdílené složce v síti a do místního počítače už se poté instalují soubory přímo z této složky. Postup instalace může vypadat následovně: 1. Příprava instalace - spočívá v dekomprimaci souborů do složky instalačního ser veru pomocí příkazu X P S P l . e x e / X : < c e s t a k e s l o ž c e > / U.

Poznámka Parametr X provede pouze dekomprimaci instalačních souborů aktualizace bez následného automatického spuštění nástroje update.exe. je cesta ke složce, do které se dekomprimují instalační soubory. Zastavení běhu antivirového programu v počítači, který se bude aktualizovat, a provedení zálohy důležitých dat. 2. Spuštění instalace pomocí příkazu. 3. Restartování počítače. Pro restartování počítače platí stejná doporučení uvedená výše. Instalační program upda-te.exe lze spustit s parametry uvedenými v tabulce 20.1. Výhodou tohoto typu instalace oproti předchozí je jediná dekomprimace instalačních souborů. Ostatní počítače poté provádějí instalaci spuštěním instalačního programu z této složky. Uživatelé provádějící instalaci musí mít ke sdílené složce výsledná oprávnění alespoň Číst.

Instalace pomocí produktu SMS Podrobnosti k tomuto typu jsou mimo rozsah této knihy. Jedinou důležitou informací pro ty správce, kteří produktem SMS ve své síti disponují, je verze produktu - je nutné použít SMS 2.0 s aktualizací Service Pack 4.

Instalace pomocí zásad skupiny Po dekomprimaci souboru XPSPl.exe bude složka se soubory obsahovat v podsložce update také soubor update.msi. Jedná se o typický instalační balíček Instalační služby systému Windows, jejichž instalaci byla věnována kapitola 18, „Instalujeme aplikace". Postup této instalace si ukážeme dále.


250

Podíváme-li se na porovnání jednotlivých možností instalace, zjistíme, že pro naši síť je optimální využít instalaci pomocí zásad skupiny. Síť totiž splňuje veškeré předpoklady -máme k dispozici doménu Active Directory a funkčnost části Instalace softwaru v objektu zásad skupiny jsme navíc bez potíží ověřili. Bude se tak jednat o další systémový krok, se kterým budete mít jako správci nejméně práce a zajistíte instalaci do všech stávajících počítačů se systémem Windows XP Professional.

Instalace aktualizace SP pomocí zásad skupiny Pojďme si připomenout možnosti instalace softwaru pomocí zásad skupiny. Instalační balíčky MSI lze přiřazovat uživatelům i počítačům nebo publikovat uživatelům. Ačkoli by se zde na první pohled dalo zvažovat, zda budeme balíček přiřazovat uživatelům nebo po čítačům, při dalším zamyšlení vše logicky přijde samo. Balíček MSI aktualizace Service Pack musí být přiřazen počítačům. Pokud by se však i přesto našel někdo, kdo by chtěl vyzkoušet přiřazení balíčku uživatelům, bude mít smůlu, neboť balíček update.msi přiřazení uživatelům nepodporuje. Balíček update.msi je pouze databází informací co, kam a jak nainstalovat. Neobsahuje v sobě žádné další programy. Do sdílené složky v síti tak bude nutné zkopírovat celou dekomprimovanou složku, případně soubor XPSPl.exe dekomprimovat přímo do sdílené síťové složky.

Plánování Instalace Při i plánování instalace je třeba dbát na to, že se jedná o citelný zásah do konfigurace každého počítače. Je tedy třeba zajistit zálohování všech souborů a celý postup a následnou funkci počítačů nejprve ověřit v laboratorním prostředí. Nezapomeňte, že pokud se ne zdaří instalace důležité části operačního systému, mohou mít uživatelé potíže se všemi aplikacemi. Další velmi důležitá věc je zamyslet se nad tím, na který objekt v doméně Active Directory budeme objekt se zásadami instalace aktualizace aplikovat. Doména jistě vhodným řešením nebude, neboť v našem případě by se instalace týkala také serveru SRVR001 se systémem Windows Server 2003, což by jistě nebylo dobré. Již dříve jsme však vytvořili organizační jednotku obsahující všechny klientské počítače. Tu nyní můžeme využít. V jiné síti by se však mohlo stát, že organizační jednotka s účty počítačů bude obsahovat jak počítače se systémy Windows 2000, tak počítače se systémy Windows XP Professional. Jiné operační systémy nejsou podstatné, neboť se na ně zásady skupiny neaplikují. V takovém případě je vhodné provést filtrování objektů zásad skupiny nebo vytvořit organizační jednotku obsahující pouze systémy Windows XP Professional. Vzhledem ke způsobu zavedení je při plánování instalace třeba myslet na to, že instalace aktualizace Service Pack proběhne při dalším spuštění počítače. Protože to bude chvilku trvat, je třeba na tento stav dopředu upozornit uživatele, a pokud máte v síti více počítačů, bude možná třeba zajistit časové rozvržení aplikace tak, aby nedošlo k přetížení instalačního serveru.

Příprava instalační složky Na serveru SRVR001 máme vytvořenu sdílenou složku Instalace aplikací zatím s jedinou podsložkou obsahující instalační soubory aplikací sady Office. Proč tuto složku nevyužít pro instalační soubory aktualizace Service Pack systému Windows XP Professional? Je však třeba zajistit, aby k instalačním souborům měly po síti přístup i počítače. V dalším postupu předpokládám, že disponujete souborem WXSPl.exe pro českou jazykovou verzi systémů Windows XP Professional.

Dekomprimace instalačních souborů 1. K počítači SRVR001 se přihlaste jako správci. 2. Do jednotky CD-ROM vložte disk CD-ROM se souborem aktualizace SPI pro systém Windows XP Professional. Druhou možností je její spuštění ze síťového umístění. 3. V dialogovém okně Spustit zadejte do pole Otevřít příkaz D:\XPSP1.EXE /X:"C:\Instalace aplikací\XPSPlCZ" /U a poté klepněte na tlačítko OK (D: představuje písmeno jednotky CD-ROM).

Poznámka Pokud je v cestě k instalační složce mezera, je nutné uzavřít celou cestu do uvozovek 4. Automaticky se vytvoří složka XPSP1CZ. Zobrazte její vlastnosti a klepněte na kartu Zabezpečení. Do seznamu řízení přístupu přidejte skupinu Domahi Coniputers s oprávněním Číst a Číst a spouštět.

Vytvoření objektu zásad skupiny 1. 2. 3.

Přihlaste se k počítači PC001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na organizační jednotku Počítače a zobrazte její vlastnosti.

4. 5. 6. 7. 8.

Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace XPSP1CZ. Poklepejte na nový objekt a v okně Zásady skupiny přejděte do složky Konfigurace počítače\Nastavení softwaru. Pravým tlačítkem myši klepněte na položku Instalace softwaru a v části Nový klepněte na položku Balíček. V okně Otevřít přejděte do složky \\SRVR001\Aplikace\XPSPlCZ\update a poklepejte na soubor update.m s i . V dialogovém okně Zavedení aplikace ponechte zaškrtnutou možnost Přiřazené a klepněte na tlačítko OK.


251

Obrázek 20.1 Dialogové okno Zavedeni aplikace

9. Zavřete okno Zásady skupiny a v dialogovém okně vlastností organizační jednotky Počítače klepněte na tlačítko vlastnosti. Otevře se dialogové okno vlastností objektu. Obrázek 20.2 Karta Filtr rozhraní WMI v dialogovém okně vlastností objektu zásad skupiny


252

10. Klepněte na kartu Filtr rozhraní WMI, v části Vyberte filtr rozhraní zašktněte políčko Tento filtr a poté na tlačítko Procházet či spravovat. Otevře se dialogové okno Spravovat filtry služby WMI. Klepněte na tlačítko Upřesnit.

Obrázek 20.3 Dialogové okno Spravovat filtry služby WMI 11. Klepněte na tlačítko Nový. V části Upravit filtr (spodní polovina dialogového okna) zadejte název Pouze Windows XP Pro a do pole Popis zadejte popis filtru (například Výběr systémů Windows XP Professional). Do pole Dotazy poté za dejte následující filtr: R o o t \ C i m V 2 ; S e l e c t * from Win32_0peratingSystem w h e r e BuildNumber = "2600"

12. Klepnutím na tlačítko Uložit uložte filtr a poté klepnutím na tlačítko OK filtr vyberte a zároveň zavřete dialogové okno. 13. Klepnutím na tlačítko OK zavřete dialogové okno vlastností objektu zásad skupiny Instalace XPSP1CZ. Poznámka Filtr WMI zde pro praxi nemá příliš velký význam. Klientské počítače se systémem Windows 2000 jej budou ignorovat (neumí jej využívat), jediným systémem, na který by se neuplatnil, je Windows Server 2003. Je zde uveden čistě pro otestování funkčnosti. Vytvořený filtr WMI můžete použít i u jiných objektů zásad skupiny. 14. Zavřete všechna dialogová okna a nástroje. Objekt pro instalaci aktualizace Service Pack pro systémy Windows XP Professional je ny ni připraven a měl by být funkční. Ověření instalace 1. Restartujte počítač PC001. 2. Při spouštění počítače by mělo dojít k instalaci přiřazeného softwaru. Na obrazovce bude zobrazeno následující dialogové okno. Obrázek 20.4 Dialogové okno oznamující instalaci aktualizace Service Pack během spouštění počítače

Po dokončení instalace bude možné se přihlásit. V okně Přidat nebo odebrat programy můžete ověřit přítomnost položky Aktualizace Windows XP Service Pack l(a) a v jeho levé části novou položku Přístup a výchozí nastavení programů (nabízí možnosti zakázání přístupu k aplikacím, jako je Internet Explorer, Outlook Express apod.). Informace o aktualizaci systému se bude také zobrazovat v dialogovém okně Systém (viz obrázek 20.5).


253

Obrázek 20.5 Dialogové okno Systém zobrazuje informace o aktualizaci systému Windows XP Professional

Aktualizace instalačních souborů Tato metoda spadá clo oblasti integrovaných instalací. Pokud instalujete operační systém) do čistých počítačů po síti, můžete poměrně jednoduchým způsobem aktualizovat nikoli Konečné instalace, ale přímo zdrojové instalační soubory operačního systému. Výslední Integrovaná instalace pak bude trvat stejně dlouho jako instalace samotného operačního systému dříve. Pokud máte v síti sdílenou složku s instalačními soubory systému Windows, provedete její aktualizaci podle následujících pokynů: 1. Do dočasné složky serveru, na kterém jsou uložené instalační soubory systému Windows XP Professional, rozbalte soubory aktualizace Service Pack. To můžete provést spuštěním následujícího příkazu: D : \ X P S P l . e x e /X C:\TEMPSP1 /U

kde složka TEMPSP1 je dočasná složka pro uložení extrahovaných souborů. 2. Po extrahování souborů spusťte následující příkaz: C:\TEMPSPl\update\update.exe /S:C:\WXPPR0 kde složka WXPPRO obsahuje instalační soubory systému Windows XP Professional. 3. Odstraňte složku TEMPSP1. Každá další instalace operačního systému již bude kompletní včetně aktualizace Service Pack.

Aktualizace bitových kopií služby vzdálená instalace Služba Vzdálená instalace, které jsme se podrobně věnovali v kapitole 19, „Přibývají další uživatelé...", moc možností pro aplikaci aktualizace Service Pack nenabízí. Pokud ji používáte pouze pro základní instalaci systému, obsahuje pouze bitovou kopii typy Risetup (ledy kopii, která se instaluje jako součást této služby). Pokud používáte službu Vzdálená instalace pro instalace operačního systému spolu s aplikacemi, obsahuje navíc nejméně jednu bitovou kopii typu Riprep (tedy kopii vytvořenou a uloženou z nakonfigurovaného počítače). Bitová kopie Risetup Tento typ kopie není možné přímo aktualizovat aktualizací Service Pack. Mohlo by se zdát, že bude funkční aktualizace instalačních souborů systému pomocí parametru /S, ale není tomu tak. Bitová kopie Riprep Stávající bitové kopie Riprep odpovídají přesně konfiguraci referenčního počítače a ani tu není možné přímo aktualizovat. Jedná se o docela nepříjemnou záležitost, ale u bitových kopií obecně platí, že se velmi těžko jakkoli aktualizují. Pokud tedy chcete tuto záležitost vyřešit (a v provozním prostře dí je to žádoucí), je možné postupovat následovně. Pokud se počítače instalují z kopie Riprep Řešením je v takovém případě přidat novou bitovou kopii typu Riprep V optimál mni případě by takový postup sestával z instalace původní kopie Riprep clo klientského počítače, v klientském počítači byste provedli instalaci aktualizace Service Pack a pomo cí příkazu riprep.exe by se na serveru pro vzdálenou instalaci vytvořila nová, aktualizo váná kopie Riprep. Původní kopii Riprep byste poté ze serveru odstranili.


254

Obrázek 20.6 Pomocí tlačítka Odebrat lze odebrat jakoukoli bitovou kopii

Pokud se počítače instalují z kopie Rísetup Řešením je přidání další kopie Risetup a poté odebrání té původní. Tento proces je však nutné provést přímo na serveru (v našem případě) SRVR001. Postupujte následovně: Instalační soubory systému Windows XP Professional zkopírujte do složky na pevný disk počítače a proveďte jejich aktualizaci aplikací aktualizace Service Pack (viz odstavec Aktualizace instalačních souborů výše). 1. Přihlaste se k počítači SRVR001 jako správci a zobrazte dialogové okno z obrazku 20.6. 2. Klepněte na tlačítko Přidat. V dialogovém okně Nový soubor odpovědí nebo bitová kopie instalace zaškrtněte políčko Přidat novou bitovou kopii instalace a poté klepněte na tlačítko Další. 3. Spustí se Průvodce přidáním bitové kopie instalace, pomocí kterého přidejte novou bitovou kopii Risetup. Po dokončení přidání kopie odeberte původní kopii Risetup. Základní pravidlo a požadavek služby Vzdálená instalace, že na serveru pro vzdálenou instalaci musí existovat alespoň jedna bitová kopie Risetup, tak zůstane splněno (v opačném případě by služba Vzdálená instalace přestala pracovat).

Aktualizace SP pro sadu Office Na úvod důležité upozornění. Nečekejte, že instalace aktualizace Service Pack pro sadu Office bude podobná té v předchozí části. Je to celkem logické. Sada Office není operačním systémem (i když toto by z pohledu instalace softwaru byla ta nejmenší překážku) a pro samotnou instalaci operačního systému neexistuje v porovnání s instalací sady Office objekt zásad skupiny. Další rozdíly pak vyplynou z dále uvedených postupů.

Kumulativní aktualizace Aktualizace Service Pack operačního systému tvoří společnost Microsoft jako kumulativní balíčky. Pokud tedy například nainstalujete čistý operační systém, ke kterému byly již vydány 3 aktualizace (tedy tak, jak je to nyní u systému Windows 2000, i když čtvrtá aktualizace už klepe na dveře), bude postačovat pouze instalace nejnovější, třetí aktualizace. Takový stav si zaslouží pochvalu, neboť správcům maximálně zjednodušuje práci a hlavně čas pro nutnou instalaci. Podobným způsobem jsou tvořeny aktualizace operačních systémů a serverových produktů. Bohužel se to však netýká aktualizací sady Office.

Nekumulativní aktualizace Nekumulativní aktualizace je pravým opakem výše uvedené. Jestliže tedy budete mít produkt, ke kterému existuje 5 nekumulativních aktualizací, připravte si kromě všech instalačních médií také pořádný hrnek kávy a odbornou knihu. Budete mít totiž dost času se těmto „postranním" věcem během instalace věnovat. Nejprve budete muset nainstalovat samotný produkt a poté jednu aktualizaci za druhou. O nutných restartech, možném chaosu na pevném disku a ne zrovna optimální náladě správců ani nemluvě. Typickým představitelem produktu, ke kterému se nevydávají kumulativní aktualizace, je právě sada Office. Nejedná se pouze o verzi XP, ale tento „styl" začal již s verzí Office 97 (dále má paměť nesahá).

Nekumulativní aktualizace Office XP a instalace pomocí zásad skupiny Pokud se ještě stále najde někdo, kdo pochybuje o lepším způsobu nasazení softwaru pomocí speciálních nástrojů (které jsou navíc součástí systémů Windows Server 2003 i Windows 2000 Server) a tvrdí, že než se učit s těmito technologiemi pracovat, bude lepší vše nainstalovat ručně, potom buď ještě nečetl kapitolu 18, „Instalujeme aplikace" nebo zrněni názor po instalaci aktualizace Service Pack 2 pro sadu Office. Jak bylo uvedeno výše, aktualizace pro sadu Office obecně nejsou kumulativní, ale existuje jedna výjimka týkající se speciálního případu instalace aplikací sady Office XP, která zní: Před instalací administrátorské aktualizace Office XP SP-2 není nutné instaloval aktualizaci Office XP SPI! Nebude to náhodou náš případ? Samozřejmě bude, nikoli však náhodou. Tím se zároveň dostáváme k typům aktualizace, které jsou uvedeny níže v odstavci Typ aktualizace.

Aktualizace pro sadu Office XP K dnešnímu dni existují pro sadu Office XP dvě vydané aktualizace Service Pack (možná by se slušelo poznamenat, že u předchozích verzí Office se tyto aktualizace nazývaly Ser vice Release).


255

Čeká nás tedy veškerá práce dvakrát? Ano, čeká. Nutno však připomenout, že jenom pro to, Že jsme naši síť nainstalovali v této době. Pokud bychom ji instalovali dříve, kdy ještě neexistovala aktualizace Office XP Service Pack 2, měli bychom v tuto dobu již nainstalovanou aktualizaci SP1 a práce by nyní mělo být méně. O tom, jak udržet prostředí aktuální, však bude řeč až dále.

Kde vzít aktualizace Zde je postup velmi podobný tomu uvedenému výše. Nejjednodušší variantou je stáhnout aktualizace Service Pack z webu. K tomu poslouží webové stránky na adrese http://offi-ce.microsoft.com/download, kde naleznete vše, co potřebujete. Pozor však na stažení správné aktualizace!

Jazykové verze Podobně jako u operačního systému, mají i aktualizace sady Office vlastní jazykové verze. Pokud provozujete českou jazykovou verzi sady Office, musíte stáhnout české verze aktualizací a podobně. V takovém případě musíte po uvedení originální EN verze aktualizace ještě pár dní na svou kořist počkat. Poznámka Proč se vůbec musí čekat na jiné jazykové verze aktualizací? Společnost Microsoft již před několika lety deklarovala, že v dalších produktech (kterými jsou i současné operační systémy i sada Office XP), budou od sebe oddělené jazyková a výkonná část. To je sice chvályhodný krok, který ale mohl u některých uživatelů vyvolat dojem, že veškeré aktualizace se nebudou týkat jazykové části a nebude nezbytné na ně čekat. Je ale nutné si uvědomit, že aktualizace obsahují také upravené jazykové moduly (přibývají například nové chybové zprávy, zapisují se nové události apod.), a ty je třeba nejprve lokalizovat. A netýká se to jenom hotových aktualizací Service Pack, ale i valné části oprav hotfix. Proto je zdržení pochopitelné.

Typ aktualizace Mezi aktualizacemi pro sadu Office XP se můžete setkat se dvěma verzemi. První z nich je klientskou aktualizací, druhá administrátorskou aktualizací. Klientská aktualizace Tento typ aktualizace je určen pro přímé spuštění v konkrétním cílovém počítači. Pro její instalaci musíte být přihlášení jako správci a během instalace můžete být požádáni o dodání instalačního disku CD-ROM se sadou Office XP. Z uvedených podmínek je jasné, že tato záležitost nemá ve větších sítích co dělat, neboť se jedná o možnost pro domácí uživatele, nikoli o systémové řešení ve větších sítích. Princip činnosti je takový, že po spuštění dojde v klientském počítači k aktualizaci všech důležitých souborů. Proto je balíček obsahující tento typ aktualizace relativně malý a při pokusu o stažení aktualizace SP z webu na něj narazíte jako na první možnost. Administrátorská aktualizace Tento typ aktualizace je určen pro větší sítě, kde proběhla (či probíhá) instalace a p l i k a c e sady Office z připravené administrátorské instalace. Tato aktualizace obsahuje kromě klientské aktualizace ještě další možnosti, které umožňují aktualizovat připravenou adminis trátorskou instalaci na serveru a poté „přesvědčit" klientské počítače, aby si aktualizovaly své instalace. Vzhledem k tomu, že okruh zákazníků pro tuto aktualizaci je mnohem menší v porovnání s typickými domácími uživateli či uživateli v menších sítích, kteří zvolí klientskou aktualizaci, je nutné po této aktualizaci na webu více „pátrat". Rozhodně se nejedná o žádný složitý proces, je ale důležité pozorně číst veškeré informace. Vhodným výchozím bodem pro české verze aktualizací pro vás jistě bude adresa http://office.microsoJi.com/ cze/Downloads/, konkrétní stažení však doporučuji provést ze stránky httpf/www.microsoft.com/office/ork/xp/appndx/appbOO.htm#Czech. Běžná (klientská) aktualizace je soubo rem s názvem OXPSP2.EXE (přibližná velikost je 16 MB), administrátorská aktualizace pak souborem s názvem OXPSP2A.EXE (přibližná velikost je 51 MB). Poznámka Pokud získáte aktualizaci Service Pack sady Office XP na disku CD-ROM přiloženého k počítači či z konference, je velmi pravděpodobné, že bude obsahovat administrátorskou aktualizaci.

Co budeme potřebovat k instalaci aktualizace Kromě znalostí, jak vše provést (které pochopitelně naleznete níže), budete potřebovat samotnou administrátorskou verzi aktualizace Service Pack 2 ve správné jazykové verzi, ;i fyzický přístup k počítači SRVR001. Nebudete potřebovat aktualizaci Service Pack 1! Administrátorské aktualizace Service Pack 2 pro jazykové verze CZ i EN sady Office XP naleznete na přiloženém disku CD-ROM.

Instalace aktualizace SP2 pomocí zásad skupiny Přiznám se, že když jsem poprvé viděl na webových stránkách společnosti Microsoft informace k instalaci aktualizace SPI sady Office XP, moc moudrosti jsem z nich nepobral. Připadalo mi to, že ze strany společnosti Microsoft šlo o vměstnání co největšího počtu informací do co nejkratšího souboru. Soubor tak dodnes obsahuje informace o provedeni instalace klasickým způsobem, pomocí administrátorské instalace i pomocí objektu zásad skupiny. Pro člověka, který však tyto informace vidí poprvé, nemá žádné zkušenosti a například ani praxi se samotným instalačním nástrojem Windows Installer (Instalační služba systému Windows), mohou být uvedené informace zavádějící, neboť z nich nemusí být zcela jasné, co všechno vlastně na konkrétní případ instalace aplikovat. Následující postup je tak ukázkou instalace aktualizace pomocí zásad skupiny s podrobným popisem, ve kterém se jistě nikdo neztratí.

Otestování instalace Práce s aplikacemi sady Office bývá denním chlebem spousty pracovníků mnoha organizací. Je proto velmi důležité, abyste postupy pro instalaci měli dobře zvládnuté a ověřené v laboratorním prostředí a zároveň, abyste otestovali účinek aktualizace na běžnou práci různých skupin uživatelů. Předtím se rozhodně nepouštějte do instalace v pro-vozním prostředí.


256

Příprava instalace aktualizace 1. Přihlaste se k počítači SRVR001 jako správci. 2. Vytvořte dočasnou složku (například TEMPSP2), do které poté uložte (nebo stáhněte) soubor OXPSP2A.EXE. 3. Poklepáním na tento soubor jej spusťte. Přečtěte si licenční smlouvu a pokud souhlasíte kleněte na tlačítko Ano. Obrázek 20.7 Licenční smlouva na aktualizaci Service Pack 2

4. Poté zadejte umístění pro extrahované soubory - doporučuji stejnou dočasnou složku (C:\TEMPSP2). 5. Výsledek je možná překvapením, ale je správný - došlo k extrakci 2 souborů s příponou MSP (Microsoft Windows Installer Patch). Všimněte si, že souborům byly automaticky přiřazeny stejné ikony, jako mají soubory MSI. Ano, jedná se o soubory, které spolupracují s instalační službou systému Windows, jejichž úkolem je zajistit aktualizaci a úpravy instalací provedených pomocí souboru MSI. V principu se jedná o podobný úkol, jako mají soubory MST. Jedná se o poslední typ souborů, se kterými se můžete setkat v oblasti instalace softwaru pomocí objektů zásad skupiny (pominu-li soubory ZAP, jež jsou jen hodně slabou náhražkou souborů MSI). 6. Znemožněte přístup k instalačním souborům ze sítě. Soubory, které se budou aktualizovat, nelze současně používat. Možným řešením může být zrušení sdílení složky, ve které je administrátorská instalace sady Office XP k dispozici. Protože by to ale mělo vliv také na instalaci aktualizací Service Pack 1 na operační systémy Windows XP Professional, nemusí se jednat o optimální řešení. Dalším řešením může být dočasné odebrání oprávnění NTFS běžným uživatelů (oprávnění prosprávce si ponechte, budete je potřebovat při aktualizaci souborů). Aplikace aktualizace na administrátorskou instalaci Pokud máte k dispozici soubor MSP a potřebujete jej aplikovat na instalační zdroj, je po stup vždy stejný. Proto si jej pamatujte, neboť se může hodit i při úpravě instalací úplně jiných produktů. Přihlaste se k počítači SRVR001 jako správci (nejjistější výsledek dosáhnete, budete-li aplikovat soubor MSP místně, nikoli pře síť). 1. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte následující příkaz: m s i e x e c /a " \ \ S R V R 0 0 1 \ A p l i k a c e \ 0 f fice X P X O W C 1 0 .MSI" /p " C : \ T E M P S P 2 \ O W C 1 0 S P 2 F F . M S P " SHORTFILENAMES=TRUE

2. Zobrazí se dialogové okno Microsoft Office XP Web Components (viz obrázek 20.8). Ponechte, případně upravte, nastavení a poté klepněte na tlačítko Další. Obrázek 20.8 Nyní dojde k úpravě webových součástí sady Office XP

3. V dalším dialogovém okně si přečtěte licenční smlouvu, zaškrtněte políčko S podmínkami licenční smlouvy souhlasím a pokračujte klepnutím na tlačítko Nainstalovat. 4. V instalační složce D:\Instalace aplikací\Office XP dojde k přepsání některých souborů novými, aktualizovanými verzemi. Po dokončení instalace se zobrazí dialogové okno, které zavřete klepnutím na tlačítko OK.


257

5. V Nabídce Start znovu klepněte na příkaz Spustit a do pole Otevřít zadejte následující příkaz: m s i e x e c /a " \ \ S R V R 0 0 1 \ A p l ik a c e \ 0 f f ice X P \ PROPLUS.MS I" /p " C : \ T E M P S P 2 \ M A I N S P 2 F F . M S P " SHORTFI LENAMES=TRUE

Poznámka Název instalačního balíčku MSI se může měnit podle verze. Vzhledem k velikosti tohoto souboru se dá očekávat, že nyní bude aktualizace probíhat delší dobu než v předchozím případě. 6. V dialogovém okně Instalace pro správu ponechte, případně změňte, výchozí parametry (Organizace, Umístění instalace, ProductKey) a pokračujte klepnu tím na tlačítko Další. 7. V dialogovém okně Licenční smlouva s koncovým uživatelem si přečtěte smlouvu, zaškrtněte políčko S podmínkami licenční smlouvy souhlasím a pokračujte klepnutím na tlačítko Nainstalovat. Obrázek 20.9 Licenční smlouva s koncovým uživatelem

Instalace nyní proběhne automaticky. Po dokončení se zobrazí dialogové okno, které zavřete klepnutím na tlačítko OK. Nové zavedení softwaru Ačkoli to možná tak nevypadá, máme hotovo. Provedli jsme aktualizaci administrátorské instalace, ze které se instalují všechny počítače. Je jedno, jestli je klientských počítačů 10, 100 nebo 1 000. Instalační zdroj mají přece stejný. Ještě je ale nutné provést jeden krok - uživatelům, kteří si své aplikace již nainstalovali (spustili je), je třeba říci, že si je mají nainstalovat znovu. Samozřejmě že jim to nemusíte telefonovat ani na ně křičet z okna (i kdyby, uživatelé by stejně novou instalaci zřejmě nespustili, neboť nemají jak), Tento krok je nutné provést v doméně Active Directory. Postupujte podle následujících pokynů. 1. 2. 3. 4.

Přihlaste se k počítači PC001 jako správci. Spusťte nástroj Uživatelé a počítače služby Active Directory. Klepněte na organizační jednotku Obchod a zobrazte její vlastnosti. Na kartě Zásady skupiny označte objekt zásad skupiny, pomocí kterého se insta lují aplikace sady Office XP příslušným uživatelům, a poté klepněte na tlačitko Upravit. Spustí se konzola Zásady skupiny. 5. Přejděte do složky Konfigurace uživatele\Nastavení softwaru a klepněte nu položku Instalace softwaru. 6. Pravým tlačítkem myši poté klepněte na konkrétní položku instalující software a v části Všechny úkoly klepněte na příkaz Znovu zavést aplikaci. Na další do taz odpovězte klepnutím na tlačítko Ano. 7. Postup opakujte pro všechny ostatní zásady skupiny využívající stejný inslační zdroj (v jiných organizačních jednotkách či na úrovni celé domény). Ověření aplikace aktualizace Nainstalovaná aktualizace se chová následovně. Pokud měl uživatel v počítači aplikaci již nainstalovanou (tedy ji používal), nainstaluje se její aktualizace během příštího přihlášení. O tuto instalaci se tak prodlouží přihlašovací proces, což však u aktualizace SP2 ne-trvá dlouho. Po dokončení přihlášení může poté uživatel aplikaci ihned spustit a pracovat. Pokud aktualizace nepřinese nové vlastnosti, neměl by ani poznat žádné změny ve své práci. 1. Přihlaste se k počítači PC001 jako uživatel, který již zde používal některou aplikaci sady Office XP. 2. Spusťte tuto aplikaci a v nabídce Nápověda klepněte na položku O aplikaci... 3. V dialogovém okně O produktu... poté ověřte, že skutečně pracujete s aktualizací Service Pack 2.


258

Obrázek 20.10 Potvrzení nainstalované aktualizace Microsoft Outlook 2002 (10.4219.4219) SP-2

Pokud uživatel nyní spustí aplikaci poprvé, spustí se její instalace úplně stejně jako kdykoli předtím. Rozdíl bude v tom, že nyní se bude instalovat již aktualizovaná aplikace. 1. Přihlaste se k počítači PC001 jako uživatel, který ještě nepoužíval některou ze svých přiřazených aplikací. 2. V Nabídce Start přejděte do složky Všechny programy a poté klepněte na ikonu ještě nenainstalované aplikace sady Office. 3. Vyčkejte na instalace produktu a poté ověřte, že se jedná o aktualizovanou verzi SP 2.

Udržujte své aplikace sady Office aktuální Společnost Microsoft nevydává k aplikacím sady Office pouze jednou za čas aktualizaci Service Pack, ale v případě nutnosti vydává průběžně také dílčí opravy funkčnosti či zabezpečení. Pokud chcete mít své aplikace bezpečné a plně funkční, je dobré nové aktualizace hlídat a aplikovat je. Dílčí aktualizace prakticky neseženete jinde než v Internetu na stránkách společnosti Microsoft. Podobně jako aktualizace Service Pack, i tyto aktualizace existují ve dvou formách. Ta první - klientská - je určena pro přímou instalaci do konkrétního počítače, druhá - administrátorská - je určena k aktualizaci administrátorské instalace. Všechny administrátorské opravy od aktualizace SP2 naleznete v jazykových verzích CZ i i EN na přiloženém disku CD-ROM. Předtím, než se rozhodnete aktualizaci na administrátorskou instalaci aplikovat, je vhodné ověřit funkčnost aplikace v laboratorním prostředí nebo ve vybraném počítači v provozním prostředí, samozřejmě však za předpokladu, že případný pád aplikace nezpůsobí uživateli žádné potíže. Pro tyto účely postačí stáhnout verzi aktualizace pro klientskou j instalaci (která je navíc jazykově závislá). Pokud je vše v pořádku, přichází na řadu stažení aktualizace pro administrátorskou instalaci. Nyní již můžete hádat, v jakém formátu po dekomprimaci aktualizace administrátorské instalace asi bude? MSP? Jak jste na to přišli? Že by se ve vás uhnízdily důležité informace? J Ano, máte samozřejmě pravdu. Poznámka Podobně jako u aktualizací Service Pack je možné od sebe oddělit i dílčí aktualizace a opravy podle názvu samorozbalovacího souboru. Příkladem jsou soubory olk1005.exe a olk1005a.exe v lokalizovaných verzích soubory olk1005n.exe a olk1005a.exe.

Obrázek 20.11 Aplikace Outlook 2002 po aktualizaci opravou z prosince roku 2002 (verze 10.4608.4219)


259

I u administrátorských aktualizací je nutné dbát na jazykovou shodu. Webová stránka se seznamem aktualizací pro jednotlivé jazyky je k dispozici na adrese http://www.micro soft.com/office/ork/xp/appndx/appb00.htm. Pokud byste se však omylem snažili instalovat aktualizaci v jiném jazyce, nemusíte mít strach - instalační program se automaticky přeruší. Instalace dílčí opravy či aktualizace probíhá stejným způsobem jako instalace aktualizace Service Pack uvedená výše. Například po rozbalení aktualizace olkl005a.exe vznikne soubor OUTLOOKff.MSP, který je třeba spustit proti administrátorské instalaci pomocí následujícího příkazu (předpokládáme jeho přítomnost ve složce TEMPSP2 na jednotce C): m s i . i e x e c /a "\\SRVR001\Apl i k a c e \ 0 f f i ce X P \ PROP LUS. MS I" /p "C:\TEMPSP2\0UTL00KFF.MSP" SHORTFILENAMES=TRUE

Po úspěšném dokončení instalace je možné všechny soubory MSP odstranit z disku.

Odinstalování aktualizací Aktualizace aplikací Office není možné odinstalovat. Proto je velmi důležité před instalaci vše dopředu pečlivě otestovat. Jedinou možností, jak vrátit zpět původní verzi, je odstranit administrátorskou instalaci a poté ji nainstalovat znovu. V případě, kdy jste ji aktualizovali pouze jednou (jako jsme my použili pouze SP-2), se může jednat o pár minut práce. V případě, že jste ji aktualizovali vícekrát, se čas potřebný pro uvedení do původního stavu prodlužuje. Samozřejmě celý proces vyžaduje pečlivou dokumentaci, ze které bude jasné, jaké opravy a aktualizace bude třeba do adminis-trátorské instalace znovu zanést. Pokud dokumentace neexistuje, můžete se dostat do velkých potíží. Účinky vrácení administrátorské instalace zpět na klienty si promítněte sami. Jistě se nejedná o nic příjemného a pečlivé testování se tedy rozhodně vyplatí.

Závěr Inslalace aktualizací Service Pack je nutnou záležitostí pro správce, kteří mají zájem udr-žovat své prostředí bezpečné, funkční a aktuální. Tyto aktualizace vydává společnost Microsoft jak pro samotný operační systém, tak pro další serverové produkty či aplikace. Aktualizace Service Pack mají mnoho způsobů instalace. V případě, kdy používáte instalaci softwaru pomocí zásad skupiny, budete využívat jednu z nejjednodušších metod, kterou oceníte v jakkoli velkém prostředí. Jedná se o úpravu objektu zásad skupiny (platí pro aktualizace operačního systému) nebo o stejnou činnost spolu s aktualizací administrátorské instalace (pro sadu Office). Zatímco výchozím nastavením aktualizace Service Pack pro systém Windows XP Profes sional je možnost odinstalovat ji, aktualizace sady Office se odstranit nedá. Proto vyžadu je pečlivé ověření v laboratorním prostředí. Společnost Microsoft vydává kromě aktualizací Service Pack také dílčí opravy či aktuali zace. Zatímco u tohoto typu oprav určených pro operační systém neexistuje možnost je jich inslalace pomocí zásad skupiny, u aktualizací a oprav sady Office to možné je, Slouží k tomu soubor MSP, který je však pouze součástí verze opravy pro administrátorskou instalaci. Při definici instalačního zdroje nesmíte zapomenout definovat správnou úroveň oprávnění přístupu - zejména se nevyplácí zapomínat na oprávnění pro účty počítačů, které musí mít přístup (alespoň Číst a Číst a spouštět) k instalačním zdrojům aplikace Service Pack. Systémy Windows 2000 mají standardní oprávnění NTFS pro skupinu Everyone (tam tedy není problém), ale systémy Windows XP Professional na počítače nepamatují.

Stav sítě V síti existuje aktualizovaná administrátorská instalace aplikací sady Office na serveru SRVR001 a všechny objekty týkající se instalace aplikací sady Office byly znovu aplikovány (jejich konfigurace se však nezměnila). Všichni uživatelé systémů Windows XP Professional tak mají nyní nainstalované aktualizace Service Pack l(a) a používají aplikace sady Office s aktualizací SP2.


260

Firma se rozhodla nakoupit přenosné počítače Doufejme, že pro správce. Samozřejmě že taková situace se nevyskytuje často (aby byli přenosnými počítači vybaveni pouze správci), neboť minimálně šéf by se cítil dojat. A přesto, že vůbec nemusí vědět, co to před ním na stole leží za krabičku, musí na tom stole z principu být. Samozřejmě však existuje také spousta šéfů, kteří přenosný počítač využívat umějí a skutečně jej ke své práci po-třebují, stejně tak existuje spousta dalších zaměstnanců v různých organizacích, kterým přenosný počítač ulehčí jejich práci. Není cílem této kapitoly rozebírat výhody a nevýhody používání přenosného počítače proti klasické krabici pod slolem s monitorem přes tři čtvrtě stolu. Mnohem důležitější je vědět, s čím vším se mohou uživatelé přenosných počítačů setkat a jak s nimi optimálně pracovat. Operačním systémem v přenosných počítačích by měl být klasický desktopový systém, tedy Microsoft Windows XP Professional (případně Windows 2000). S přenosnými po-čítači s jiným systémem řady Windows NT se pravděpodobně nesetkáte, neboť systém Windows NT 4.0 nedisponoval potřebnými funkcemi, a systémy řady Windows 9x/ME nejsou určeny pro firemní prostředí. Serverové operační systémy Windows 2000/2003 v přenosných počítačích jsou spíše výjimkou.

Řízení spotřeby Pokud budou uživatelé se svým přenosným počítačem na cestách, není to proto, aby se s ním někde chlubili, ale protože jej při práci na cestách potřebují. Ne vždy a všude je však možné připojit počítač k napájení z elektrické lítě, při některých jednáních by to navíc ani nevzbuzovalo důvěru druhé strany. Proto je často nutné pracovat s po-čítačem napájeným z baterie. Abyste takto mohli pracovat co nejdéle, je třeba energii, kterou vám baterie poskytuje, využívat hospodárně, tj. využít různá nastavení k prodloužení doby práce. Proč by měl například neustále svítit panel LCD, který odebírá spoustu energie, když se s počítačem nepracuje? Proč by se po nějaké době nemohl vypnout disk počítače, když není třeba? Proč by se po nějaké době nemohl „vypnout" celý počítač, ale tak, aby šel zapnout rychleji, než při běžném spouštění? Možností pro tyto konfigurace je více než dost a tato oblast se nazývá řízením spotřeby. Nejvíce možností řízení spotřeby (a tedy nejdelší práci na baterie) umožňuje technologie ACPI (Advanced Configuration and Power Interface). Ta je navržena tak, aby se o veškeré řízení spotřeby staral operační systém, tedy aby se o jednotlivé možnosti nepřetahoval systém BIOS počítače s operačním systémem. Počítače, které nemají implementovánu technologii ACPI, mohou mít poněkud starší technologii - APM (Advanced Power Management). I její možnosti jsou v systému Windows XP Professional k dispozici, i když nedosahují možností technologie ACPI. Nutno dodat, že i počítač, který neumí žádnou z uvedených technologií, může využívat některých možností operačního systému. Pravda je ale taková, že s podobnými přenosnými počítači se asi těžko setkáte (vždyť systémy Windows XP Professional se zpravidla instalují do nových počítačů, tím spíše přenosných). Určení technologie ACPI Protože toho v oblasti řízení spotřeby umí nejvíce technologie ACPI, je vhodné vědět, jakým způsobem ověřit, že jí daný počítač disponuje. Postupujte podle následujících pokynů. 1. V okně Ovládací panely poklepejte na položku Systém. 2. V dialogovém okně Vlastnosti systému klepněte na kartu Hardware a poté n;i tlačítko Správce zařízení. 3. V okně s přehledem nainstalovaného hardwaru rozbalte položku Počítač. Pokud uvidíte položku s názvem Osobní počítač s rozhraním ACPI, může počítač využívat všech možností technologie ACPI. Pokud uvidíte položku s názvem Standardní PC, rozhraní ACPI se nekoná. Technologie ACPI je hlavně záležitostí systému BIOS počítače. Pokud počítač neumí pra covat s technologií ACPI, může v některých případech pomoci aktualizace (nový firmawa re) systému BIOS. I když poté bude systém BIOS umět s technologií ACPI pracoval, ještě tě se netěšte - systém Windows XP Professional totiž budete muset přeinstalovat. J i n a k bude nadále pracovat tak jako dříve. Pokud nebude možné přesvědčit počítač na technologii ACPI, chtělo by to alespoň tech nologii APM. To, zda ji počítač podporuje, zjistíte podle následujících pokynů: Určení technologie APM 1. V okně Ovládací panely poklepejte na položku Systém. 2. V dialogovém okně Vlastnosti systému klepněte na kartu Hardware a poté na tlačítko Správce zařízení. 3. V okně s přehledem nainstalovaného hardwaru klepněte v nabídce Zobrazil na položku Zobrazit skrytá zařízení. Objeví-li se poté mezi zařízeními položka Podpora služby NT Apm/Legacy, počítač podporu vylepšeného řízení spotře by obsahuje. Přenosné počítače mají jiné způsoby využití. Mohou existovat vývojáři, již je potřebují při psaní kódu během cestování ve vlaku (ale nesmějí při tom usnout), obchodníci, kteří je používají při zadávání objednávek zákazníků a jejich odesílání do centrály nebo například marketingoví pracovníci, již využívají přenosné počítače pro prezentace. Každá z těchto skupin bude mít jistě na způsob řízení spotřeby jiné požadavky. A tak za-tímco obchodníci mohou mít mimo jiné nastaveno, že počítač se po 15 minutách nečinnosti přepne automaticky do úsporného režimu (beztak již v tu dobu leží někde v tašce v autě), vývojáři mohou požadovat, aby se nikdy nezastavil disk počítače, neboť s ním stále potřebují pracovat a neustálé rozbíhání by je zdržovalo, tak marketingoví pracovníci chtějí, aby se nikdy nevypnul monitor (jak by to také působilo na účastníky prezentace). Protože je nastavení pro řízení spotřeby více a některá spolu silně souvisí, jsou vždy všechna nastavení shrnuta do jednoho celku, kterému se říká Schéma


261

napájení.

Schémata napájení Systém Windows XP Professional (podobně jako systém Windows 2000) obsahuje několik předdefinovaných schémat napájení. Ve výchozí konfiguraci je jich celkem 6 a odpovídají různým rolím počítače. Schémata se zobrazí po poklepání na položku Možnosti na-pájení v okně Ovládací panely. jedná se pouze o předdefinované položky, které si mohou uživatelé upravit. Stejně tak si mohou vytvořit svá vlastní schémata (po klepnutí na tlačítko Uložit). Poslední možností je volba Odstranit, která aktuální schéma napájení odstraní. Konfigurace a počet schémat je záležitost profilu uživatele, takže si uživatelé mezi sebou nastavení neovlivní.

Schémata napájení a zásady skupiny Ve schématech napájení jsou nastavení založená na době nečinnosti. Nečinnost lze obecné charakterizovat jako nicnedělání s počítačem. Jak to ale může v praxi vypadat? Máte například nastaveno, že počítač přejde do režimu spánku po 20 minutách (slovo „nečinnost" v systému uvedeno není, ale automaticky se předpokládá). Probíhá 18. minu-ta. když vtom si váš počítač vzpomene, že provede aplikaci objektů zásad skupiny. On si samozřejmě nevzpomene „jen tak mimochodem", ale proto, že je interval definován zá-sadami skupiny. Přechod do režimu spánku se v takovém případě konat nebude, neboť časovač tohoto režimu (spolu s úsporným režimem) se aplikací zásad skupiny nuluje. Pokud tedy myslíte práci se zásadami skupiny vážně, musíte vzít vážně i interval aplika ce objektů zásad skupiny. Další informace o těchto intervalech naleznete v kapitole 17, „Správa prostředí klientských počítačů". Jenom pro připomenutí - jedná se o následující tři nastavení, která mohou mít na řízení spotřeby vliv: ♦ ♦ ♦

Konfigurace uživatele\Šablony pro správu\Síť - Interval aktualizace zásad skupiny pro uživatele. Konfigurace počítače\Šablony pro správu\Systém - Interval aktualizace zásad sku piny pro počítače. Konfigurace počítače\Šablony pro správu\Systém - Vypnout aktualizace zásad skupiny na pozadí.

Úsporný režim Při úsporném režimu dojde k vypnutí napájení všech zařízení v počítači s výjimkou jediného - operační paměti. Tím je zajištěno, že se neztratí rozdělaná práce a že po obnovení systému bude moci uživatel v práci pokračovat. Jedná se o stav, jenž je optimální například pro obchodníky cestující mezi více zákazníky, kteří nechtějí počítač vypínat, neboť obnovení jim v takovém případě zabere spoustu času, navíc musí mít uložené všechny rozpracované úlohy. Ačkoli to vypadá velmi slibně, jednu nevýhodu ale úsporný režim má - pokud dojde energie baterii, přestane se napájet i paměť a neuložená práce tak bude ztracena. Režim spánku musí podporovat všechna zařízení počítače - poté je zobrazen jako jedna z možností v dialogovém okně Ukončit systém Windows při vypínání počítače.

Režim spánku Režim spánku je v porovnání s úsporným režimem ještě úspornější - dá se zde trochu polemizovat s odpovídajícím názvem těchto funkcí, ale to je tak vše, co můžeme udělat. Při přechodu do režimu spánku se nejprve uloží obsah paměti na disk a poté se vypne napájení všech zařízení (tedy i paměti). Na rozdíl od úsporného režimu vydrží počítač v režimu spánku neomezeně dlouhou dobu. Výhodou tohoto režimu oproti běžnému spuštění je velmi rychlý start a připravenost k práci, samozřejmě s rozdělanou prací na ploše tak, jak to vypadalo při uspání. Režim spánku je nutné ručně zapnout a pro svou činnost potřebuje počítač na disku volné místo o velikosti paměti RAM. Pokud takové místo na disku chybí, není možné režim spánku povolit. Povolení režimu spánku 1. V okně Ovládací panely poklepejte na položku Možnosti napájení. 2. Na kartě Režim spánku zaškrtněte políčko Zapnout podporu režimu spánku. 3. Klepnutím na tlačítko OK zavřete dialogové okno. Režim spánku bude nyní další možností vypnutí počítače v dialogovém okně Ukončit systém Windows. Pokud myslíte alespoň trochu na zabezpečení počítačů (i sítě), mohou ve vás předchozí dvě možnosti řízení spotřeby vyvolat nejistotu. Co se stane při obnovení z těchto režimů? Nebude mít náhodou „kolemjdoucí" uživatel možnost dostat se k pracovní ploše jiného uživatele (toho, který počítač do režimu přepnul)? Zatímco u úsporného režimu nemusí být odpověď vždy jednoznačná a stát se to může, u režimu spánku je to vždy stejné - po čítač se probudí do uzamčené obrazovky. Z pohledu zabezpečení je to tedy v pořádku, zároveň se však jedná o stav, který znemožňuje používání režimu spánku v případě, kdy jeden přenosný počítač sdílí více uživale lů. Odemknout počítač totiž může pouze uživatel, který jej zamkl, nebo správce. Zesílení zabezpečení Chcete-li mít jistotu, že nastavení zabezpečení nebude v rukou konkrétních uživatelů (u úsporného režimu může uživatel nastavit automatické obnovení až na pracovní plo chu), použijte zásady skupiny. V konzole Zásady skupiny (Editor zásad skupiny v systému Windows Server 2003) přejděte do složky Konfigurace uživatele\Šablony pro správu\Systém\Napájení a povolte zásadu Při obnovení činnosti z režimu pozastavení nebo spánku vyžadovat heslo. Poznámka Uvedená zásada se v síti se systémy Windows XP Professional a Windows 2000 bude týkat pouze systémů Windows XP Professional (případně serverových systémů Windows Server 2003). Většina nastavení řízení spotřeby je v rukou uživatelů (zásady skupiny pro konkrétní nastavení neexistují, neboť by logicky postrádaly smysl). Je tedy velmi důležité s nimi uživatele naučit zacházet, abyste nemuseli zbytečně řešit jejich (z hlediska správců nesmyslné) potíže.


262

Jako správci přece jen máte jednu možnost - veškeré možnosti konfigurace řízení spotřeby uživatelům zakázat. Jak? Vzpomeňte na možnost zakázat uživatelům obecně přístup do Ovládacích panelů, případně pouze do konkrétních panelů.

Jak zajistit přístup k souborům na serveru i nepřipojeným uživatelům? Požadavek na možnost pracovat se soubory, které se v organizaci vyskytují ve sdílených složkách na souborových serverech, se vyskytuje prakticky od té doby, co se začaly ve větší míře používat sítě. Protože dříve neexistovaly nástroje, které by tuto práci nějakým způsobem ulehčovaly, byli uživatelé nuceni najít si své vlastní postupy. Takový postup byl poměrně jednoduchý, neboť spočíval ve zkopírování potřebných souborů ze serveru do místního počítače. Poté s nimi mohl uživatel pracovat, i když k síti připojen nebyl. Tak se také dělo a v případě, kdy bylo takových uživatelů více, mohly na-stat později problémy. Druhou částí této činnosti bylo totiž vrátit upravené soubory zpět na server. Jak to asi mohlo dopadnout, pokud takový soubor mezitím upravil ještě jiný uživatel buď přímo na ser-veru nebo ve svém počítači a poté jej na server zkopíroval? Tato záležitost zůstala dlouhou dobu nevyřešena a bylo na uživatelích, jak se v takových případech dohodnou. V or-nizacích tak vznikaly postupy, které byly více a více složitější, navíc někteří uživatelé se podle nich vůbec neřídili. Práce se soubory uloženými na serveru mimo síť tak nesestávala pouze ze samotné možnosti pracovat se soubory, ale také z nutnosti soubory kopírovat do počítače a po jejich Úpravě je vrátit na své místo tak, aby zůstala zachovaná oprávnění, názvy a pokud možno zůstal zohledněn také stav, kdy soubory upravilo několik uživatelů současně.

Aktovka Později se v systémech Windows objevil nástroj zvaný Aktovka. Ten měl za úkol zjednoduši Zejména proces získávání souborů ze serveru a jejich zpětné dodání na server po úpravě. Tento nástroj odpovídal své době a možnostem tehdejších technologií. Na uživatele však kladl další nároky, které za ně nemohli provést správci. Výsledkem byl stav, kdy všichni věděli, že nástroj Aktovka v systému je, věděli přibližně k čemu slouží, ale téměř nikdo (včetně správců) jej nepoužíval. Z důvodů kompatibility (a pro několik desetin zapřísáhlých uživatelů, kteří se s ním naučili pracovat) přetrval nástroj Aktovka až do systému Windows XP Professional. Není však určen pro nové uživatele, neboť jeho možnosti již byly překonány. Od řady systému Windows 2000 je k dispozici nový nástroj (či spíše funkce) - Soubory offline. Na Aktovku tedy pokud možno zapomeňte.

Soubory offline Funkce Soubory offline je určena pro uživatele, kteří se svými počítači cestují, a na cestách, kdy nejsou připojeni k sítí, potřebují mít přístup k dokumentům, jež jsou uložené pouze na souborových serverech. Zároveň řeší - velmi elegantně - synchronizaci souborů upravených „na cestách" (tedy mimo síť) s jejich protějšky na serveru. Funkce Soubory offline je v klientských operačních systémech standardně povolena. Pro jednoznačné a jasné chování je však třeba ji nakonfigurovat, přičemž se tohoto procesu musí účastnit jak správci, tak uživatelé. Správci v tomto procesu odpovídají za to, že uži-vatel může mít k dispozici všechny dokumenty, které na cestách potřebuje, uživatelé naopak odpovídají za to, že si své dokumenty na cesty odnesou a po připojení zpět do sítě provedou správnou synchronizaci v případě, kdy by mezi soubory v jejich počítači a na serveru došlo ke konfliktu. Funkce Soubory offline je k dispozici od řady systémů Windows 2000, v systémech Windows XP Professional a Windows Server 2003 je však rozšířena o některé zajímavé mož- nosti. Pojďme se podívat do naší sítě. Je totiž velmi pravděpodobné, že funkci Soubory offline již někteří uživatelé používají. 1. Přihlaste se k počítači PC001 jako uživatel obchodního oddělení (například Obchod3) 2. Klepněte na složku Dokumenty a vytvořte v této složce nový soubor (na jménu ani obsahu nezáleží). 3. Odhlaste se od počítače. Během odhlašování si pravděpodobně všimnete procesu j synchronizace obsahu složky Dokumenty. Obrázek 21.1 Synchronizace složky Dokumenty během odhlášení uživatele

Proces, ke kterému došlo, je celkem pochopitelný. Všichni uživatelé organizace Studny s.r.o. mají pomocí zásad skupiny nakonfigurováno přesměrování složky Dokumenty na server. To znamená, že součástí profilu již není obsah složky, ale pouze cesta k ní. V tuto chvíli by vše bylo pochopitelné, kdyby se soubor uložený do složky Dokumenty ukládal přímo na server tam, kde je složka umístěna. Operační systém Windows XP Professional má však v této situaci oproti systému Windows 2000 navíc jednu vlastnost - všechny přesměrované složky se automaticky nakonfigurují do režimu offline. Znamená to, že pokud ve složce Dokumenty vytvoříte nový soubor, vytváříte jej (navzdory přesměrování) v místním počítači. A nejdéle při odhlášení či vypnutí počítače dojde k synchronizaci obsahu této složky na server. Poznámka V systému Windows 2000 byste daný soubor bez další předchozí konfigurace opravdu vytvářeli přímo na serveru. Můžeme tedy říci, že všichni uživatelé, kterým jsme přesměrovali složku Dokumenty, již využívají funkci Soubory offline, aniž by museli cokoli konfigurovat. Složka Dokumenty však jistě není jediná, s jejímž obsahem by uživatelé chtěli pracovat i v případě nedostupnosti sítě. Dalšími potenciálními adepty pro tuto funkci jsou složky firemní knihovny dokumentů. Dále se tedy postupně podíváme na obecné možnosti další konfigurace funkce Soubory


263

offline a nakonfigurujeme přístup do knihovny firemních dokumentů.

Povolení funkce Soubory offline Ačkoli jsme se přesvědčili, že bez jakékoli konfigurace na straně uživatelů již funkci Soubory offline uživatelé používají, je vhodné vědět, kde se tato funkce povoluje. Ne vždy vše musí být tak automatické jako v našem případě. 1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a v nabídce Nástroje klepněte na položku Možnosti složky. Obrázek 21.2 Karta Soubory offline dialogového okna Možnosti složky

3. Otevře se dialogové okno Možnosti složky. Na kartě Soubory offline si všimněte zaškrtnutého políčka Povolit soubory offline. 4. Klepnutím na tlačítko OK zavřete dialogové okno. Pokud je položka Povolit soubory offline šedá, znamená to, že je přihlášen uživatel, který nemá oprávnění správce. Nikdo jiný než správce totiž není schopen tuto funkci zapnout. Poté ji mají k dispozici všichni uživatelé daného počítače. V klientských operačních systémech Windows XP Professional a Windows 2000 jsou soubory offline povolené ihned po instalaci. Naopak, u serverových systémů (Windows 2000 Server a Windows Server 2003) jsou standardně zakázané. Koneckonců, kdo by předpokládal, že bude se serverem cestovat?

Možnosti zpřístupnění souborů Požadavky uživatelů na možnost pracovat se soubory offline se liší. Někteří potřebují mít k dispozici všechny soubory ze složky, kdykoli si vzpomenou, jiným stačí mít k dispozici pouze vybrané soubory ze složky (ale také vždy), a některým stačí, pokud budou mít k dispozici soubory, s nimiž naposledy pracovali (pokud je však mít nebudou, nic tak zvláštního se nestane). Jedná se o tří různé přístupy k funkci Soubory offline, kterým odpovídají tři různá nasta vení. Nutno dodat, že tato nastavení spadají do povinností a možností správce serveru.

Automatické ukládání dokumentů do mezipaměti Je-li sdílená složka nakonfigurována tímto způsobem, potom uživateli stačí povolená funkce souborů offline (a ta je standardně povolena) a do mezipaměti se automaticky uloží každý otevřený soubor z takové složky. Tato možnost má následující vlastnosti: ♦ Soubor se uloží do mezipaměti automaticky ihned po jeho otevření. ♦ Soubor se může z mezipaměti odstranit automaticky kdykoli, pokud pro něj není na disku místo. ♦ Soubor není na disku označen žádnou zvláštní ikonou. Každý klientský počítač má na svém pevném disku vyhrazeno místo pro mezipaměť souborů offline. Velikost této mezipaměti se liší podle velikosti disku. Výchozí nastaveni je 10 % velikosti jednotky, na které je nainstalován operační systém (takzvaná spouštěcí jed notka). Na kartě Soubory offline (víz obrázek 21.2) je možné tuto velikost upravit, opět je vše ale pouze v rukou správce počítače. Pokud se mezipaměť zaplní a je nutné do ní uložit ručně ukládané soubory offline, začnou se soubory uložené výše uvedeným způ sobem automaticky odstraňovat. Je tedy jasné, že možnost Automatické ukládání dokumentů do mezipaměti nebude vhod ná pro soubory, které je nutné mít v počítači vždy a za každou cenu.

Ověření automatického ukládání dokumentů 1. Přihlaste se k serveru SRVR001 jako správci. 2. Na jednotce C: vytvořte složku s názvem Automaticky a v ní vytvořte textový sou bor. Složku sdílejte s výchozím názvem a výchozími oprávněními. 3. V dialogovém okně vlastností složky na kartě Sdílení klepněte na tlačítko Nasta vení pro režim offline a poté zaškrtněte políčko V režimu offline budou automaticky k dispozici pouze soubory a programy otevřené uživateli ze sdílené položky. Poté zrušte zaškrtnutí políčka Optimalizováno pro výkonnost. Klepnutím na tlačítko OK zavřete dialogové okno. 4. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchod2).


264

5. Ověřte, zda jsou povolené soubory offline (viz nastavení výše). 6. Připojte se ke sdílené složce Automaticky na serveru SRVR001 (\\SRVR001\Au-tomaticky). Otevře se okno aplikace Průzkumník Windows, ve kterém otevřete textový soubor. 7. V okně aplikace Průzkumník Windows klepněte v nabídce Nástroje na položku Možnosti složky. Na kartě Soubory offline klepněte na tlačítko Zobrazit soubory. Všimněte si uloženého textového souboru. 8. Zavřete textový soubor a v okně Složka souborů offline ověřte, že soubor zůstává uložen v místní mezipaměti. V této konfiguraci nemusí pro uložení souboru do mezipaměti uživatel udělat nic více, než ověřit, zda je funkce Soubory offline povolena. Vše ostatní se již zařídí samo.

Ruční ukládání dokumentů do mezipaměti Je-li sdílená složka nakonfigurovaná tímto způsobem, budou se do mezipaměti ukládat pouze soubory, které uživatel osobně označí, tedy ty, o něž má v mezipaměti skutečně zájem. Vlastnosti této možnosti jsou následující: ♦ Uživatel musí označit všechny soubory, které chce ukládat do mezipaměti. ♦ Soubor se do mezipaměti uloží při synchronizaci. ♦ Soubor se musí z mezipaměti odstranit ručně. ♦ Není-li pro uložení souborů do mezipaměti během synchronizace dostatek místa, odstraní se soubory ukládané automaticky (viz předchozí odstavec). Aby měl uživatel k dispozici soubory i v případě, kdy není připojen k síti, musí si je pro tento režim označit a musí proběhnout synchronizace. Ta standardně probíhá při odhlá-šení uživatele, je však možné nakonfigurovat také pravidelné synchronizace (například jednou za hodinu). Protože se uživatel na cestách vždy setká s dokumenty, které si označil, je tato možnost využívaná mnohem více, než první uvedená. Pokud by chtěl uživatel dosáhnout stejného efektu pomocí prvního nastavení, musel by před odhlášením od sítě otevřít všechny soubory ve složce.

Ověření ručního ukládání souborů 1. Přihlaste se k serveru SRVR001 jako správci. 2. Zobrazte vlastnosti složky Automaticky a na kartě Sdílení klepněte na tlačítko Nastaveni pro režim offline. Poté zaškrtněte políčko V režimu offline budou k dispozici pouze soubory a programy zadané uživateli. Klepnutím na tlačil ka OK zavřete obě dialogová okna. 3. Ve složce Automaticky vytvořte další textový soubor. 4. Přihlaste se k počítači PC001 jako běžný uživatel. 5. Ověřte, zda jsou povoleny soubory offline a přejděte do složky \\SRVR001\Au tomaticky. Poznámka Název složky již sice není tak popisný, nicméně nepředpokládám, že byste se v tuto chvíli ve výkladu ztratili. 6. Otevřete nově vytvořený textový soubor. Poté v okně aplikace Průzkumník Windows klepněte v nabídce Nástroje na položku Možnosti složky a na kartě Sdílení klepněte na tlačítko Zobrazit soubory. Všimněte si, že zde není uveden otevřený textový soubor (ještě nedošlo k synchronizaci). Tato možnost klade na uživatele vyšší nároky - uživatel si musí označit soubory, které chce synchronizovat do mezipaměti. Na druhou stranu má jistotu, že označené soubory bude mít vždy k dispozici. Synchronizace souboru 1. Nyní znovu otevřete složku \\SRVR001\Automaticky. 2. Pravým tlačítkem myši klepněte na textový soubor, který chcete synchronizovat, a v místní nabídce zvolte příkaz Zpřístupnit offline. Spustí se Průvodce soubory offline (viz obrázek 21.3). Obrázek 21.3 Průvodce soubory offline

3. Klepněte na tlačítko Další. V dalším okně si přečtěte uvedené informace, ponech te zaškrtnuté políčko Při zapnutí a vypnutí počítače soubory automaticky synchronizovat a pokračujte klepnutím na tlačítko Další. 4. V dalším dialogu ponechte výchozí nastavení a průvodce ukončete klepnutím nai tlačítko Dokončit. Proběhne první synchronizace souboru. 5. Všimněte si změněné ikony souboru (ručně synchronizované soubory offline se od ostatních odlišují ikonou). V nabídce Nástroje okna aplikace Průzkumník Win dows klepněte na položku Možnosti složky a poté na kartě Soubory offlini klepněte na tlačítko Zobrazit soubory. Protože již proběhla synchronizace, bude zde soubor uveden (včetně jiné ikony).


265

Automatické ukládání programů a dokumentů do mezipaměti Tato možnost je doplňkem první uvedené a používá se pro situace, kdy se ze síťové slož ky spouštějí programy (například soubory EXE). V takovém případě dojde při spuštění daného programu k jeho stažení do mezipaměti a veškerá další spuštění již probíhají Z této mezipaměti. Protože se tím omezuje přenos dat v síti a program se spustí ihned (s výjimkou prvního spuštění se nečeká na jeho stažení), je toto nastavení vhodné tam, kde programy v síti spouští více uživatelů. Pozor - zde se nejedná o klasické síťové aplikace, ale o spouštění souborů uložených v síti. Jak se vám líbí popisy možností, kterými funkce Soubory offline disponuje? Automatické ukládání je opravdu automatické, ale ruční ukládání je nakonec přece také automatické. je pravda, že tyto názvy vyvolávaly u správců v systémech Windows 2000 a Windows XP Professional nejasnosti a ne zcela přesně popisovaly stav. Možná i na základě toho došlo v systémech Windows Server 2003 k úpravě těchto názvů tak, jak jsme je konfigurovali výše. Všechny názvy tedy ještě jednou uvádím níže v tabulce 21.1. Popis nastavení v systémech Windows 2000/XP

Odpovídající popis v systému Windows Server 2003

Ruční ukládání dokumentů do mezipaměti

V režimu offline budou k dispozici pouze soubory a programy zadané uživateli V režimu offline budou automaticky k dispozici pouze soubory a programy otevřené uživateli ze sdílené položky dtto výše + zaškrtnuté políčko Optimalizováno pro výkonnost

Automatické ukládání dokumentů do mezipaměti Automatické ukládání programů a dokumentů do mezipaměti Tabulka 21.1

Možnost nastavení sdílené složky pro soubory offline v různých systémech

Praktické využití souborů

offline Soubory offline jsou velmi dobrou funkcí systémů Windows 2000/XP/2003. Osobně mohu doporučit jejich masové využívání všude, kde je to potřeba. Nevýhodou však je, že v základním nastavení vyžadují konfiguraci na straně uživatelů. Na druhou stranu to není nic nepochopitelného každý uživatel má jiné požadavky, takže si každý uživatel musí říci (označit), které soubory chce synchronizovat. V každé organizaci však jistě existují složky, jejichž obsah by bylo vhodné mít stále s se-bou na cestách ve svém přenosném počítači. Příkladem v naší síti může být odpovídající část knihovny dokumentů. Protože je zde poměrně jasné, jakou část knihovny by měl mít každý uživatel k dispozi-ci, můžete využít svého oprávnění doménového správce a nakonfigurovat soubory offline pomocí Zásad skupiny tak, aby měli uživatelé vše k dispozici bez ohledu na své schopnosti konfigurace operačního systému. Konfigurace souborů offline pomocí zásad skupiny Organizace Studny s.r.o. sestává z několika oddělení. Každé oddělení má mj. svou složku v knihovně dokumentů, skupina vedení navíc ještě do všech složek nahlíží. Uživatelé nemusejí být v konfiguraci operačního systému moc zdatní, ale používat soubory z knihov ny dokumentů mimo síť ve svých přenosných počítačích by uvítali. Objekt zásad skupiny obsahuje zásady pro konfiguraci souborů offline v obou svých částech - Konfigurace počítače i Konfigurace uživatele. Protože bude konfigurace souborů offline zhruba kopírovat organizační dělení organizace, využijeme část Konfigurace uživatele. Je však nutné vědět, že pokud jsou stejné zásady v obou částech nakonfigurované v rozporu, platí zásady v části Konfigurace počítače. Konfigurace pro obchodní oddělení 1. 2. 3. 4. 5.

Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a zobrazte její vlastnosti. Na kartě Zásady skupiny vytvořte nový objekt s názvem Soubory offline (Obchod) a poté klepněte na tlačítko Upravit. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Síť\Soubory offline. Zásady zobrazené v pravém podokně konzoly nakonfigurujte podle následující tabulky:

Zásada

Nastavení

Při přihlášení synchronizovat všechny soubory offline Provést synchronizaci všech souborů offline před odhlášením Před přechodem do režimu spánku synchronizovat soubory offline Administrativně přiřazené soubory offline

Povoleno Povoleno Povoleno, Úplná synchronizace* Povoleno, \ \ SRVR001 \ Knihovna \ Obchod

Tabulka 21.2 Konfigurace zásad pro soubory offline organizační jednotky Obchod 6. Nyní se přihlaste k počítači PC001 jako člen obchodního oddělení (například Obchodí). Během přihlášení dojde k synchronizaci souborů ze složky Obchod firemní knihovny. 7. Otevřete okno aplikace Průzkumník Windows a do pole Adresa zadejte cestu. Všimněte si jiné ikony u složky Obchod. 8. V nabídce Nástroje aplikace Průzkumník Windows klepněte na položku Možnosti složky a poté si prohlédněte nastavení na kartě Soubory offline. Důležitá nastavení nelze změnit, neboť jsou definována pomocí zásad skupiny objektu Soubory offline (Obchod). Obdobně postupujte pro další oddělení s výjimkou oddělení Vedení. Mějte však na pa měti, že danou funkci využijí pouze uživatelé přenosných počítačů. Běžní uživatelé by ji . využili pouze v případě nedostupnosti souborového serveru.


266

Konfigurace pro organizační jednotku Vedení 1. Přihlašte se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. 2. Pravým tlačítkem myši klepněte na organizační jednotku Vedení a zobrazte její vlastnosti. 3. Na kartě Zásady skupiny vytvořte nový objekt s názvem Soubory offline (Vedení) a poté klepněte na tlačítko Upravit. 4. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Síť\Soubory offline. 5. Zásady zobrazené v pravém podokně konzoly nakonfigurujte podle následující tabulky: zásada

Nastavení

Při přihlášení synchronizovat všechny soubory offline Provést synchronizaci všech souborů offline před odhlášením Před přechodem do režimu spánku synchronizovat soubory offline Administrativně přiřazené soubory offline

Povoleno Povoleno Povoleno, Úplná synchronizace* Povoleno, \\SRVR001\Knihovna

* Pokud se do režimu spánku přejde po zavření displeje přenosného počítače, k synchronizaci nedojde. Tabulka 21.3 Konfigurace zásad pro soubory offline organizační jednotky Vedení 6. Nyní se přihlaste k počítači PC001 jako člen vedení (například Vedenil). Během přihlášení dojde k synchronizaci všech souborů firemní knihovny. 7. Otevřete okno aplikace Průzkumník Windows a do pole Adresa zadejte cestu. Všimněte si jiné ikony u všech podsložek. Přestože jsme u všech organizačních jednotek definovali pouze jedinou složku, která se bude synchronizovat, neznamená to, že se budou synchronizovat pouze uvedené složky. Každý uživatel má stále možnost definovat si své vlastní další složky nebo soubory, kte-ré chce synchronizovat. Uvedené nastavení pouze říká, že obsah dané složky se bude synchronizovat ve všech případech a uživatel nemá možnost tuto synchronizaci zrušit. Úplná nebo částečná synchronizace? Během práce se synchronizací složek se můžete setkat s pojmy rychlá a úplná synchronizace (v jedné zásadě jsme dokonce definovali úplnou synchronizaci). Co tyto pojmy znamenají? Při úplné konfigurace dojde vždy k synchronizaci celého obsahu složky. Znamená to, že Ve svém počítači budete mít vždy k dispozici aktuální verze všech dokumentů. Částečná synchronizace naproti tomu zajišťuje co nejrychlejší synchronizační proces, při-čemž se synchronizují pouze soubory, které jsou k dispozici na obou stranách a jejichž obsah se od poslední synchronizace změnil. Ostatní (například nové soubory) Zůstávají netknuté a automaticky se nesynchronizují. Nastavení částečné synchronizace odpovídá níže uvedené dialogové okno Možnosti složky.

Obrázek 21.4 Přestože jsou políčka Synchronizovat... nezaškrtnutá, proběhne vždy částečná synchronizace

Protože může používání pouze částečné synchronizace vést po delší době k nekonzistenci souborů v mezipaměti s obsahem sdílené složky, je nutné mít možnost provést úplnou synchronizaci. To zajistíte následovně: 1. Otevřete okno aplikace Průzkumník Windows. 2. V nabídce Nástroje klepněte na příkaz Synchronizovat. Zobrazí se dialogové okno obsahující veškeré položky určené k synchronizaci.


267

Obrázek 21.5 Seznam položek, které se budou synchronizovat

3. Klepněte na tlačítko Synchronizovat a vyčkejte úplné synchronizace. Pokud jsou zaškrtnuté položky Synchronizovat... v dialogovém okně Možnost složky (viz obrázek 21.4), bude vždy probíhat úplná synchronizace. Stejně tak probíhá úplná synchronizace, pokud jsou povolené zásady Při přihlášení synchronizovat všechny soubory offline a Provést synchronizaci všech souborů offline před odhlášením. Úložiště souborů offline Úložiště souborů offline nelze v žádném dialogovém okně definovat. Standardně jsou tylo soubory uložené ve složce %Systemroot%\CSC. CSC zde představuje zkratku Client Side Caching a jedná se o skrytou složku. Pokud chcete uvolnit místo na disku, nikdy ne-odstraňujte žádné informace přímo z této složky. Soubory zde nejsou uloženy v čitelné podobě, neboť jsou zde s nimi i další důležité informace. Pokud byste provedli přímý zásah v této složce, můžete se setkat s velkými potížemi na serverech, ze kterých soubory pochází, neboť lze očekávat ztrátu dat. Odstranění souborů offline Pokud chcete soubory offline odstranit a uvolnit tak místo na disku, postupujte následovně: 1. Zobrazte dialogové okno Možnosti složky a přejděte na kartu Soubory offline. 2. Klepněte na tlačítko Odstranit soubory. Zobrazí se dialogové okno Potvrdit odstranění souboru. 3. V horní části dialogového okna ponechte zaškrtnuté pouze ty složky, jejichž příslušné soubory offline chcete odstranit. Pokud ponecháte ve spodní části zaškrtnutou položku Odstranit pouze dočasné verze, odstraní se pouze automaticky ukládané soubory a programy. Druhá možnost - Odstranit dočasné verze offline i verze, které jsou vždy přístupné offline - odstraní veškeré soubory. Obrázek 21.6 Dialogové okno Potvrdit odstranění souboru


268

Inicializace mezipaměti souborů offline

Někdy se můžete setkat se situací, kdy se odstranění souborů popsané výše nezdaří. V takovém případě může pomoci nová inicializace mezipaměti souborů offline. 1. Zobrazte dialogové okno Možnosti složky a přejděte na kartu Soubory offline. 2. Stiskněte klávesovou kombinaci Ctrl+Shift a klepněte na tlačítko Odstranit soubory. Poté restartujte počítač. Přesunutí úložiště V průběhu používání funkce soubory offline se může přece jen vyskytnout požadavek na přesunutí úložiště souborů offline na jinou jednotku stejného počítače. K tomuto závěru mohou vést i jiné příčiny, než je volné místo na disku. V každém případě je dobré vědět, 9 že pouhé přesunutí složky CSC tuto záležitost nevyřeší. Řešením je nástroj Offline Files Cache Mover (cachemov.exe) sady Resource Kit pro systém Windows 2000 Professional.

Další možnosti souborů offline Pro pokročilou konfiguraci souborů offline je k dispozici ještě několik různých nastavení. V systému Windows XP Professional je na prvním místě třeba připomenout šifrování. Šifrování souborů offline Uživatelé s přenosnými počítači používají soubory offline ve velké míře. Zároveň jsou tyto počítače zbožím, které se velmi často krade. Pokud se zloděj přenosného počítače dostane k datům, může se stát, že bude mít k dispozici nejen ta z přenosného počítače, ale také informace běžně uložené pouze ve sdílených složkách v síti. Obrázek 21.7 Povolení šifrování mezipaměti souborů offline

Šifrování mezipaměti pro soubory offline je možné povolit podle následujících pokynů: 1. Přihlaste se k danému počítač jako správci a otevřete okno aplikace Průzkumník Windows. 2. V nabídce Nástroje klepněte na kartu Možnosti složky a zaškrtněte políčko Zabezpečit data v souborech offline šifrováním. 3. Klepnutím na tlačítko OK zavřete dialogové okno.


269

Další informace o šifrování souborů naleznete v kapitole 22, „Zabezpečení serveru a sítě". Poznámka Šifrování mezipaměti souborů offline není k dispozici v systémech Windows 2000. zabezpečení přístupu k souborům Možná vás během práce a konfigurace souborů offline napadlo, jak to bude vypadat s jejich zabezpečením. Myšlenka je následující: Uživatel bude mít počítač se systémem Windows XP Professional nainstalovaný na jednotce zformátované systémem FAT32. Poté provede synchronizaci souborů ze serveru, ke kterým má pouze oprávnění číst. Tyto soubory poté upraví a počítač připojí zpět do sítě. Automaticky proběhne synchronizace a obsah souborů bude pozměněn. Ačkoli to vypadá velmi nadějně, nepůjde to. Přesto, že mezipaměť souborů offline bude uložena na jednotce zformátované systémem FAT32, úprava souborů nebude možná. Funkce Soubory offline totiž umí pracovat s výchozími oprávněními přidělenými souborům ve sdílené složce. Řešení konfliktů funkce Soubory offline umí řešit veškeré konflikty, ke kterým může při práci se soubory offline dojít. Konflikty jsou shrnuty v následující tabulce: Konflikt __________________ _________________________ _________________________ _________________________ Popis řešení Uživatel upraví soubor offline; stejný soubor mezitím upraví jiný uživatel na serveru

Synchronizace se zastaví. Uživatel má poté možnost přijmout verzi souboru na serveru (jeho verze se poté odstran), svou verzi (přepíše se verze na serveru) nebo může zachovat oba soubory (v takovém případě musí pro svůj soubor zadat jiný název).

Uživatel upraví soubor offline; stejný soubor mezitím jiný Uživatel odstraní ze serveru 1 Iflivatel upraví soubor offline, nnnívce mezitím změní i iprávnění přístupu na serveru

Synchronizace se zastaví. Uživatel má možnost přijmout verzi ze serveru (jeho soubor se odstranO nebo svou verzi (soubor se zkopíruje na server). Pokud je oprávnění na serveru více omezující než předtím, synchronizace se zastaví a uživateli se zobrazí přihlašovací okno, ve kterém musí zadat pověření uživatele, jenž má potřebná oprávnění. Pokud je nezadá, synchronizace daného souboru či souborů se neprovede.

Tabulka 21.4 Konflikty při synchronizaci souborů offline a jejich řešení

Operační systémy Funkce Soubory offline je vlastností operačních systémů Windows 2000 a vyšších. Nezáleží na tom, ve kterém operačním systému Windows je umístěna sdílená složka. Na „druhé straně" může být jak systém Windows 2000/XP/2003, tak i starší systémy Windows 9x/ME nebo Windows NT 4.0. Zásady skupiny pro funkci Soubory offline Zásady skupiny pro funkci soubory offline jsou poměrně bohaté, protože odpovídají veškerým možnostem konfigurace této funkce. Jsou umístěné v obou částech objektu s tím, 1 že pokud jsou ve stejných částech v konfliktu, má přednost nastavení v části Konfigurace počítače. Protože je funkce Soubory offline opravdu dobrá a velmi použitelná (tak hovoří praxe), pojďme si uvést ještě některé důležité zásady a jejich význam: Zásada

Umístění (P - počítač, U - uživatel)

Popis

Povolit nebo zakázat použití funkce Soubory offline

Reprezentuje políčko Povolit soubory offline.

P

Zakázat uživatelskou konfiguraci souborů offline Výchozí velikost mezipaměti

Odebere kartu Soubory offline (veškerá nastavení v zásadách zůstávají v platnosti). Hodnota se zadává v % místa na disku násobených číslem 10 000 (například 1 000 = 10 %.

P, U

Akce při odpojení serveru

P

Určuje, zda klient přejde do režimu P, U offline (pokud se dříve synchronizovaly soubory, budou k dispozici) nebo nikoli (soubory nejsou v místním počítači k dispozici za žádných okolností)-


270

Jiné než výchozí akce při odpojení od serveru

Výše uvedené nastavení lze dále dědit podle názvů jednotlivých serverů.

P, U

Uživatelům odebere položku Zpřístupnit offline. Zamezí tak zpřístupnění vlastních souborů nebo složek.

P, U

Zabránit použití složky souborů offline

Zamezí uživatelům v klepnutí na tlačítko Zobrazit soubory v dialogovém okně Možnosti složky.

P, U

Soubory neukládané v mezipaměti

Ve výchozím stavu se neukládají do P mezipaměti soubory SLM, MDB, LDB, MDW, MDE, PST a DB. V případě povolení této zásady lze zadat vlastní seznam typů souborů (pokud nejsou tyto soubory ve vlastním seznamu uvedeny, budou se synchronizovat). Při odhlášení dojde k odstranění všech P souborů offline. Před jejich odstraněním nedojde k synchronizaci. Volitelně lze odstranit pouze dočasné soubory (automaticky ukládané).

Odebrat možnost zpřístupnit offline

Při odhlášení odstranit místní kopie souborů offline uživatele

umístění (P - počítač, U - uživatel)

Zásada

Popis

Podsložky vždy přístupné offline

Jestliže uživatel označí pro režim offline složku, označí se automaticky i její podsložky.

P

Šifrovat mezipaměť souborů offline Zakázat nastavení „Zpřístupnit offline" pro tyto soubory a složky

Šifruje obsah mezipaměti.

P

Konfigurovat rychlost pomalého připojení

Pokud je síťové připojení pomalejší než 64 kbps, nebude se po nastavení rychlosti připojovat k serveru.

P

Nepovolit automaticky zpřístupnění přesměrovaných složek offline

Přesměrované složky Dokumenty, Plocha a další nebudou automaticky k dispozici v režimu offline

U

U definovaných souborů a složek odebere položku Zpřístupnit offline. Vhodné pro případ, kdy je obsah složky tak citlivý, že není možné jej odnést v podobě souborů offline ven ze společnosti.

P, U

Tabulka 21.5 Další zásady týkající se funkce Soubory offline

Je zde možné použít stejná nastavení omezující práci uživatelů? V kapitole 17, „Správa prostředí klientských počítačů", jsme provedli základní konfigura-ci objektů zásad skupiny týkajících se vzhledu a chování klientských počítačů. Uživatelé přenosných počítačů se však většinou připojují do sítě pomocí pomalých linek nebo vů-bec. Jak bude při pomalém připojení pracovat aplikace zásad skupiny? Nebude pomalá linka až příliš zatížena? V kapitole 18, „Instalujeme aplikace", jsme definovali instalaci aplikací sady Office a v kapitole 20, „Instalujeme aktualizace Service Pack" jsme provedli instalaci aktualizací pro operační systém i aplikace. Budou se aplikace či aktualizace instalovat také při pomalém připojení? Vždyť do počítače se při takové instalaci přenáší několik megabajtů dat, což muže na pomalé lince trvat několik hodin, ne-li dní! Otázek je dost a je tedy dobré znát správné odpovědi, abyste při nasazení technologií IntelliMirror nebyli překvapeni.

Pomalé spojení Uživatelé mobilních zařízení se od ostatních doménových uživatelů liší především tím, že se k síti připojují většinou nepravidelně a po pomalých linkách. Pojem „pomalá linka" muže mít pro každou konkrétní činnost, kterou uživatel potřebuje provést, jinou hodno-tu Zatímco tedy může být poměrně dobře možné přistupovat k pracovní ploše svého počítače v práci i s velmi pomalou linkou, instalace softwaru bude pro stejnou linku nepřekonatelný problém.

Objekt zásad skupiny Tvůrci systému Windows 2000 mysleli na mobilní uživatele již od samého počátku, a ačkoli to není na první pohled moc patrné, uzpůsobili pro ně


271

objekty zásad skupiny. Ty lze z pohledu cestujících uživatelů rozdělit na několik částí a v tomto smyslu s nimi lze pracovat. Protože je nesmyslné, aby se na mobilní počítače připojené pomalou linkou aplikovaly všechny zásady, je možné definovat práh pomalého připojení, při kterém se aplikace zásad upraví. Pro tyto účely je tedy vhodné určit, jaká rychlost linky bude považována za pomalou, a provést potřebnou konfiguraci. Poznámka Pokud není definován žádný práh, určuje pomalé spojeni pro účely zásad skupiny hodnota 500 kb/s. Pokud je linka pomalá, aplikují se následující části objektů zásad skupiny: ♦ Nastavení registru (Šablony pro správu) ♦ Zásady zabezpečení ♦ Zásady obnovení EFS ♦ Zásady zabezpečení protokolu IP Naopak, neaplikují se následující části: ♦ ♦ ♦ ♦ ♦

Instalace softwaru Skripty Přesměrování složek Diskové kvóty Údržba aplikace Internet Explorer

K nastavení prahu pomalé linky slouží zásada Rozpoznání pomalého připojení zás;ul skupiny, kterou naleznete v cestě Konfigurace počítače\Šablony pro správuASy-stém\Zásady skupiny a Konfigurace uživatele\ Šablony pro správu\Systém\Zása dy skupiny. Prahová hodnota nakonfigurovaná v části Konfigurace počítače ovlivňuje nastavení této části objektu, hodnota v části Konfigurace uživatele pak nastavení v jeho druhé částí, Pokud vám uvedené výchozí nastavení nevyhovuje, máte možnost je změnit pomoci dul ších zásad ve stejné části Konfigurace počítače. Nastavení a jejich funkce při zaškrtnuti políčka Povolit zpracování aktualizace odeslané pomalým telefonickým připojením jsou uvedeny v následující tabulce. zásada

Popis

Zpracování zásad údržby aplikace Internet Explorer

Aplikuje zásady definované v části Konfigurace uživatele\ Nastavení systému Windows\Údržba aplikace Internet Explorer Zpracování zásad instalace softwaru Aplikuje zásady definované v částech Konfigurace počítače\ Nastavení softwaru a Konfigurace uživatele\Nastavení softwaru

Zásada ______________________ ___________________________ ___________________________ ___________________________ ___________________________ ___________________________ ___________________________ ___________________________

________________________________________ ________________________________________ ________________________________________ ________________________________________ ________________________________________ ________________________________________ ________________________________________ ________________________________________

Popis Z pracování zásad přesměrování složek Zpracování zásad skriptů Zpracování zásad diskových kvót

Aplikuje zásady definované v části Konfigurace uživatele\ Nastavení systému Windows\Přesměrování složky Spustí skripty definované v části Konfigurace uživatele \Nastavení systému Windows\Skripty. Skripty v části Konfigurace počítače se neprovedou Aplikuje zásady definované v části Konfigurace počítače\ Šablony pro správu\Systém\Diskové kvóty

Tabulka 21.6 Možnost definování výjimek zásad skupiny na pomalé lince Vzhledem k tomu, že v naší síti nepoužíváme velké množství zásad skupiny, pravděpodobně bude vyhovovat výchozí stav. Ze všech vytvořených objektů se tak nebude instalovat software, přesměrování složek a diskové kvóty. Jak to tedy bude v praxi vypadat?

Připojení rychlou linkou Toto připojení jsme vlastně zkoušeli až dosud. Jednalo se o připojení nového počítače do místní sítě, kde se na něj aplikovaly veškeré objekty zásad. Není tedy žádný důvod, aby n;ihle došlo ke změně.

Připojení pomalou linkou Mistrovství v Microsoft Windows Server 2003

272

Pokud byste měli například pobočku, která bude k centrále připojena linkou o rychlosti 128 kb/s a jež nemá vlastní řadič, a instalovali byste v této pobočce nový počítač, dopadlo by to například při přihlášení uživatele z obchodního oddělení z pohledu zásad takto: ♦ Uživateli by se nenabídla instalace aplikací sady Office (v Nabídce Start by nebyly zobrazeny jejich ikony). ♦ Nedošlo by k přesměrování složek na server (složka dokumenty by se odkazovala do místního profilu). Je vůbec nutné měnit práh pro určení pomalého připojení (aktuálně nastaven na rychlost 500 kb/s)? Není! Pokud byste podobnou záležitost konfigurovali, nikdy nenastavujte práh odpovídající rychlosti pronajaté linky, ale ponechte nějakou rezervu. Pokud byste napří-klad nastavili práh na 64 kb/s a byli připojeni linkou 64 kb/s, může se stát, že v okamžiku připojení počítače do sítě bude rychlost linky o něco vyšší a dojde k aplikaci všech zásad. Pro naše prostředí je tedy práh 500 kb/s naprosto dostačující.

Co profily uživatelů? Práh určení pomalé linky se používá také pro určení, zda jej aplikovat uživatelům, kteří používají cestovní profil. Pokud se totiž uživatel přihlásí poprvé k počítači připojenému pomalou linkou, bude se do něj stahovat celý profil ze serveru. V závislosti na velikosti profilu to může trvat i několik hodin, a proto nemusí být na pomalých linkách vhodné tyto profily aplikovat. Prahovou hodnotu pro určení pomalého spojení můžete nakonfigurovat pomocí zásady Časový limit pro stažení profilu uživatele s pomalým síťovým připojením v části Konfigurace počítače\Šablony pro správu\Systém\Profily uživatelů. Obrázek 21.8 Zásada pro časový limit pro stažení profilu

Položka rychlost připojení je analogií položky u zjišťování pomalého připojení pro apli kaci zásad skupiny (výchozí hodnota je také 500 kb/s), časový limit je hodnota pro ser very, které nemají protokol TCP/IP. Pokud ponecháme výchozí hodnotu prahu (500 kb/s), je jasné, že v případě, kdy by do šlo k prvnímu přihlášení uživatele s cestovním profilem, se nebude cestovní profil načítat. Uživateli obchodního oddělení se tak vytvoří místní profil, veškeré dokumenty bude ukládat místně a v tomto počítači také budou uloženy. Dokumenty, které má na serveru, může získat pouze přímým přístupem do své složky Dokumenty pomocí cesty UNC (po mocí cesty, kterou vidí v dialogovém okně vlastností složky Dokumenty, pokud je připo jen rychlou linkou). Protože je žádoucí, aby měli cestující uživatelé stejné klientské prostředí jako v běžných počítačích připojených rychlou linkou, doporučuje se, aby se poprvé k počítači přihlási li v dobu, kdy je připojen k rychlé síti a zároveň provedli instalaci aplikací. Pouze tak si zajistí jejich dostupnost kdykoli mimo síť. Po prvním přihlášení uživatele se jeho pověření (jméno a heslo) uloží do mezipamměti To umožní uživateli přihlásit se i v případě, kdy jej nebude moci ověřit řadič domény. Jed ná se o žádoucí chování, neboť uživatel tak bude mít k dispozici neustále stejný profil a zároveň bude aplikované i poslední nastavení pomocí zásad skupiny. Poznámka Toto chování (ukládání pověření do mezipaměti) lze zrušit vynulováním hodnoty zásady interaktivní přihlašování: počet předchozích přihlášení uložených v mezipaméti pro případ, že řadič domény není k dispozici v části Konfigurace počítače\Nasta vení systému Windows\Nastavení zabezpečení\Možnosti zabezpečení. Zároveň je u přenosných počítačů důležité, aby se na ně neaplikovala zásada, která ode bere cestovní profil po přihlášení uživatele. Jedná se o zásadu Odstraňovat kopie cestov ních profilů z mezipaměti v části Konfigurace počítače\Šablony pro správu\Systém\Pro-fily uživatelů. Toto nastavení je velmi podstatné, neboť v opačném případě by uživatelé s cestovními profily zůstali na cestách bez profilů.


273

Konfigurace přenosného počítače v naší síti Předpokládejme, že počítač PC002 je přenosným počítačem. Protože je jeho účet uložen v organizační jednotce Počítače a potřebovali bychom na něj (díky jeho roli pouze na něj) aplikovat kromě stávajících zásad ještě další, vytvořte pod organizační jednotkou Počítače ještě jednu s názvem Přenosné a poté do ní přesuňte účet počítače PC002. Většina konfigurace přenosného počítače musí z principu proběhnout v části Konfigurace počítače, neboť je úplně jedno, který z uživatelů se k němu přihlásí a bude jej na ces-lách využívat. Na úrovni organizační jednotky Přenosné vytvořte nový objekt zásad skupiny s názvem „Přenosné počítače" a proveďte nastavení podle tabulky níže: Část

Zásada

Konfigurace

Konfigurace počítače\Šablony pro správu\Síť\ Soubory offline

Povolit nebo zakázat použití funkce Soubory offline Šifrovat mezipaměť souborů offline Odstraňovat kopie cestovních profilů z mezipaměti Zpracování zásad přesměrování složek

Povoleno

Konfigurace počítače\Šablony pro správu\Systém\Profily uživatelů Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Možnosti zabezpečení

Povoleno Zakázáno Povoleno, Povolit zpracování aktualizace odeslané pomalým síťovým připojením Povoleno, 10

Interaktivní přihlašování: počet předchozích přihlášení uložených v mezipaměti pro případ, že řadič domény není k dispozici

Tabulka 21.7 Konfigurace zásad pro přenosný počítač

Závěr Cestující uživatelé jsou skupinou, na kterou je třeba nahlížet jinak nejen z pozice síťové infrastruktury při konfiguracích vzdálených připojení, ale také z pohledu správy domény jako na uživatele (a jejich počítače) vyžadující zvláštní nastavení. Každý uživatel má možnost si svůj přenosný počítač nakonfigurovat tak, aby energie z ba terií vydržela co nejdéle. K tomu slouží předdefinovaná schémata, která je ale dále možné upravit, odstranit nebo přidávat další. Nejlépe umí s energií zacházet počítače pod po rující technologii ACPI. Pokud je uživatel mimo firmu, může požadovat přístup do sítě, aby získal informace z dokumentů uložených ve sdílených složkách. Protože nemusí být vhodné připojení vždy po ruce, mohou uživatelé využívat funkci Soubory offline, pomocí které si mohou dané soubory automaticky synchronizovat do paměti a naopak. Tato funkce zároveň ponechává oprávnění přístupu NTFS (i na svazcích FAT!) a soubory offline je možné navíc zabezpečit šifrováním mezipaměti. Aby se na počítače, které mají velmi pomalé připojení do sítě, neaplikovaly všechny zásady skupiny, je definován práh (standardně 500 kb/s) pro pomalé spojení, při němž například nedochází k instalaci softwaru, přesměrování dokumentů apod. Pomalé spojení se tak ušetří od zbytečných zatížení a uživatelé se dostanou rychleji k práci. Uvedený práh je možné kdykoli změnit podle potřeby. Aby byla zajištěna jednotnost a dostupnost aplikací pro uživatele přenosných počítačů, je vhodné, aby se uživatel přenosného počítače přihlásil poprvé v okamžiku, kdy je připojen do rychlé sítě a pokud možno klepnul na ikony inzerovaných aplikací. Obdobně si stojí cestovní profily uživatelů, které se také nebudou stahovat, nebude-li dosaženo prahu rychlosti připojení. To by mohlo vyvolávat potíže, neboť tito uživatelé jsou zvyklí na ukládání dokumentů na server, a nyní by se jim vše ukládalo místně. Bez ohle- j du na ostatní nastavení je třeba pomocí zásad skupiny zajistit alespoň možnost přihlásit se z místní mezipaměti (aby uživatelé mohli pracovat se svými doménovými účty a nebylo nutné jim definovat místní účty) a je nutné zajistit, že kopie cestovních profilů se nebudou po odhlášení uživatele odstraňovat.

Stav sítě V síti došlo ke konfiguraci souborů offline a k administrativnímu přiřazení složek firemní knihovny odpovídající příslušnému oddělení (organizační jednotce). Dále došlo k vytvoření organizační jednotky pro přenosné počítače a k základní konfiguraci objektu zásad skupiny postihujících přenosné počítače.


274

Zabezpečení serveru, dokumentů a sítě Slova „zabezpečení" nebo „bezpečnost" se dnes v oblasti IT opakují kolem dokola. Není se co divit. S tím, jak postupně různé oblasti využívají možnosti informačních technologií více a více, mají data vyšší a vyšší cenu. Každý, kdo vlastní citlivá data, by si pak měl dvakrát rozmyslet, jak bude nakládat s jejich uložením v počítačích nebo při přenášení v síti. Na druhou stranu je nutné říci, že cenu dat si mnozí uživatelé (a nezřídka i správci) uvědomí až v okamžiku, kdy 0 ně přijdou. Postupům vedoucím k jejich zabezpečení jsme se věnovali v kapitole 16, „Co když zítra „odejde" server?". Mnohem horším zjištěním bývá stav, kdy uživatelé o svá data přijdou a později zjistí, že je používá někdo jiný. Takovým stavům je třeba se dennodenně bránit, neboť nebezpečí číhá doslova na každém rohu. Velmi málo uživatelů připojených k síti pomocí vytáčeného připojení (tedy pomocí klasických modemů) si například uvědomuje, že když prochází různé stránky na webu, nejsou data při přenosu pomocí protokolu HTTP nijak šifrována. Podobně to platí také pro elektronickou poštu, kde |e situace ještě více alarmující. V e-mailových zprávách se lak můžete setkat s velmi důvěrnými informacemi, jako jsou čísla kreditních karet apod. Vůbec nejhorší však je, že počítač připojený modemem k Internetu je pro uživatele Internetu naprosto otevřenou záležitostí a člověk nemusí byl ani hacker, aby byl schopen se podívat na některá da-ta. Proč ne, když je tímto způsobem uživatel přímo nabízí. Ačkoli se v mnoha organizacích zapomíná na oficiální svě-ření oblasti zabezpečení dat a sítě konkrétní osobě, tak nějak se automaticky očekává (zejména v těch menších organizacích), že to budou správci sítě, kdo tuto oblast budou zajišťovat. Abyste měli práci co nejjednodušší, probereme v této kapitole možnosti, které přinesou vyšší zabezpečení celé sítě.

Jsou produkty společnosti Microsoft bezpečné? Abychom na tuto otázku mohli jednoznačně odpovědět, musí v ní zaznít, které produkty. Pokud se tedy zeptáme, zda jsou operační systémy Windows 2000/XP/2003 společnos-ti Microsoft bezpečné, odpověď zní - ano, tyto produkty jsou bezpečné. Na druhou stranu je však třeba dodat, že nikoli ve svém výchozím nastavení, i když systémy Windows Server 2003 se snaží i tento dodatek velmi úspěšně rozptýlit.

Míra rizika Představte si situaci, kdy máte sdělit elektronickou poštou svému zákazníkovi přístupové informace (tedy jméno i heslo) do svého obchodního systému. Elektronická pošta není Standardně nijak zabezpečena a data odeslaná pomocí ní si může přečíst správce každého směrovače, přes který pakety se zprávou procházejí. To jistě není optimální záležitost. Proto svůj úmysl před odesláním ještě přehodnotíte a pokusíte se najít jiné způsoby. V takovém případě je nutné si představit, co se může Stát v případě, kdy se zasílaných údajů zmocní neoprávněná osoba. Ta se například múze vydávat za zákazníka, objednat u vás zboží, které následně neodebere, nebo jednoduší • získat z vašeho obchodního systému informace o předchozích objednávkách zákazníka. jeho cenách, a vše navíc předat konkurenci. Takové jednání může poškodit jak vás, tak vašeho zákazníka. Jedná se tedy o potenciální riziko a je nutné si dobře rozmyslel, zda je pro vás přijatelné. Jistě by se našli obchodníci, kteří by jej jako přijatelné ozna-čili, druhá strana by jej však vyloučila jako příliš velké. Úrovni, kdy je pro vás daný stav přijatelný, se říká míra rizika. Jaké jsou další možnosti odeslání přihlašovacích informací? O něco bezpečnější je odeslání přihlašovacího jména a hesla ve dvou samostatných zprávách nebo například odeslání hesla pomocí jiného komunikačního kanálu (zpráva SMS, fax). Ještě vyšší zabezpečení je možné dosáhnout šifrováním e-mailové zprávy a vše můžete podtrhnout šifrováním přenosového protokolu IP mezi počítači. Jak vidíte, možností je více. Pokud ale budete chtít e-mailovou zprávu šifrovat, budete potřebovat sehnat šifrovací klíč od příjemce zprávy, což vás může stát další čas a náklady, a příjemce - tedy vašeho zákazníka - další úsilí. A navíc se nemusí jednat o lOOprocent-ní zabezpečení přenášených dat. Jak vidíte, možností je vždy více. Některé nevyžadují téměř žádnou práci navíc, ale nejsou příliš bezpečné, jiné vyžadují spoustu další práce, ale poskytnou zabezpečený přenos. Každý nechť si zde najde svou pozici. Pokud budete chtít zabezpečit svá data, nikdy nepředpokládejte, že se vám to povede na 100 %. Vždy se může najít cestička, jak se k datům dostat, a kolikrát to nemusí být ani cizí osoba, kdo o data bude mít zájem. To znamená, že se můžete snažit sebevíce, načež dala poté předá váš kolega správce, který k nim má stejný přístup jako vy. O nejvyšším možném zabezpečení dat lze tedy mluvit tehdy, pokud jsou veškerá rizika jejich napadnutelnosti minimalizována. Záměrně se vyhýbám termínu „vyloučena", neboť to skutečně nelze zajistit.Zpět k bezpečnosti operačních systémů společnosti Microsoft. Systémy Windows 2000 přišly na trh jako úplně nová technologie se spoustou možností. Aby byly jejich možnosti zřejmé pokud možno na první pohled, nainstalovaly se při výchozí instalaci také součásti, které uživatelé nutně nepotřebovali. Výsledkem byl stav, kdy se na každém serve ru se systémem Windows 2000 Server vyskytoval například webový server. A když se v ta kové součásti našla po nějaké době chyba, našlo se dost šikovných uživatelů, kteří byli schopni ji využít ke svému prospěchu nebo k dosažení svého cíle. Systém Windows Server 2003 vyrazil do boje se zcela jinou strategií. Ještě před jeho uvedením na trh nastoupila společnost Microsoft s vizí „Trustworthy Computing", což lze do jazyka uživatelů převést „důvěřujte svým počítačům", kterou se snaží i systémem Windows Server 2003


275

naplňovat. Výsledkem je stav, kdy po instalaci systému nepracuje takřka nic. Vše, co správce potřebuje, si musí nejprve doinstalovat, případně povolit, při sdílení složek se již nenastavuji' oprávnění pro skupinu Everyone na Úplné řízení, ale pouze Čtení, účet LocalSystem již nemá taková oprávnění, jaká míval dříve atd. atd. Výsledkem je vyšší zabezpečení činnosti takového počítače a jeho dat, neboť je málo pravděpodobné, že by se správci bavili instalací a povolováním dalších součástí, pokud k tomu nemají důvod. Zároveň tvůrci systému Windows Server 2003 mysleli na velké množství správců a výchozí zabezpečení systému navrhli tak, aby jako základ vyhovovalo co nejširšímu jejich okru-hu. To ovšem znamená, že výchozí zabezpečení nemusí být pro někoho dostatečné. Vždyť někteří správci mohou systém Windows Server 2003 používat jako souborový server, jiní jako řadič domény a další například pouze jako směrovač. A je jasné, že v každé roli bude vyhovovat jiný stupeň zabezpečení, a výchozí zabezpečení tak bude nutné poněkud „utáhnout". V cizojazyčné literatuře se v této souvislosti setkáte s pojmem „hár tlening". Takž shrnuto - operační systémy, se kterými v této knize pracujeme, jsou bezpečné, ale je pro to potřeba vždy něco udělat.

Proti komu se vlastně máme bránit? |e síť připojena k Internetu? Není? No tak to není co řešit! Nebo: Je síť připojena k Intel netu? Je? A existuje tady dobře nakonfigurovaný firewall? No tak to je vše v pořádku, ne poť síť je zabezpečena! Tak i s takovými názory se můžete v praxi velmi často setkat. Občas je úžasné sledovat správce brány firewall sítí připojených k Internetu, jak podrobně konfigurují svěřeni ob last sítě tak, aby zabránila jakémukoli kolemjdoucímu přistoupit k prostředkům v síti. A když se jim to po několika hodinách povede, zajásají a obrovsky si uleví, neboť mají jistotu, že zvenku se jen tak žádný průnik do sítě konat nebude (i když tato jistota němu ze být nikdy l00procentní). Osobám odpovědným za zabezpečení ale vůbec nedochází, že jako kolemjdoucí se také muže chovat jakýkoli uživatel v jejich síti. Ten má ale navíc oproti externímu kolemjdoucí címu spoustu výhod - zná prostředí sítě, má k dispozici počítač, který je členem domé ny, má v doméně účet a hlavně všechny servery jsou vůči jeho počítači naprosto ote vřené. Nemusí překonávat žádnou bránu firewall, protože mezi jeho počítačem a servery žádná není, a může si tak provádět téměř vše, co chce. Spousta osob odpovědných za bezpečnost nyní může namítnout, že to není třeba, neboť: ♦ Jejich uživatelé podepsali pamflet o tom, jak se budou v síti chovat, a pokud se pokusí o útok na servery, druhý den budou na hodinu propuštěni. Každý si tedy své konání dobře rozmyslí. ♦ Servery jsou zabezpečeny, neboť obsahují veškeré doposud vydané aktualizaceService Pack. Je vhodné, aby tito odpovědní pracovníci věděli, že nemají až takovou pravdu, protože: ♦ Kdykoli se může v operačním systému serveru objevit chyba, která není pochopitelně poslední aktualizací Service Pack odstraněna, a jež může zpřístupnit prostředky serveru kterémukoli uživateli, který si o to „vhodně" řekne. Aktualiza ce Service Pack navíc obsahují opravy známých chyb, rozhodně však neřeší potřebné zabezpečení systému (které stále zůstává na výchozí úrovni). ♦ Pokud uživatel o útocích na servery trochu něco ví, nemusí za sebou zanechat žádné stopy a nebude tak zpětně zjištěn. ♦ Ne vždy platí, že uživatelé ze společnosti odcházejí proto, že se pokusili o útok na server. Může také nastat situace, že uživatel dostane výpověď, která mu „nesedne", a tak se těsně před odchodem řádně pomstí. Tímto rozhodně nechci zlehčovat význam pravidel o chování v síti a zabezpečení podepsaných mezi organizací a uživateli. Chci pouze upozornit na stav, že vše není takové, jak na první pohled vypadá. Je tedy nasnadě, že největší hrozbou pro servery jsou interní uživatelé. Proto nelze spoléhat na brány firewall, ale je nutné začít skutečně od píky u operačního systému všech poćítaču. Brána firewall není prostředkem k zabezpečení, je pouze prostředkem k jeho zesílení směrem do a z vnější sítě.

Zabezpečení dat Dala, která se vyskytují v počítačích, lze rozdělit na ta méně a více hodnotná. Jak jsem se již zmínil dříve, cenu jakýchkoli dat si uživatel uvědomí až v okamžiku, kdy o ně komplet ně přijde. Ještě vyšší cenu pak ale data mohou mít v případě, že uživatel o ně přišel, ale Získal je někdo jiný, kdo k nim nikdy přístup získat neměl - jednoduše ten, kdo je zcizil. Systémy Windows 2000/XP/2003 se pasují do oblasti bezpečných operačních systémů. Zna mená to, že tyto systémy jsou schopny data v počítači zabezpečit tak, aby k nim měl přístup pouze oprávněný uživatel. Není to však automatické, ale je třeba pro to něco udělal

Systémy souborů a možnosti zabezpečení Při instalaci severu (kapitola 1) a klientských počítačů (kapitola 2) jsme bez dlouhého zva žování zvolili pro zformátování oddílu systém souborů NTFS. Pouze tento systém je scho pen z a j i s t i t uloženým datům bezpečnost, samozřejmě však po další konfiguraci. Je tak zá kladem pro zabezpečení dat. Pokud se rozhodnete zformátovat jednotku pevného disku jiným systémem souborů (FAT či FAT32), můžete později své rozhodnutí změnit a jednotku beze ztráty dat převésl na systém souborů NTFS. Zpět se však již vrátit beze ztráty dat nelze.


276

Obecně lze říci, že důvodem pro zformátování jednotek pevných disků jiným systémem než NTFS je pouze přítomnost dalšího operačního systému v počítači (takzvané dual-boot či multi-boot konfigurace), který neumí se systémem NTFS pracovat. Základní vlastností systému NTFS je možnost konfigurace oprávnění. To ale nemusí být vždy dostatečné. Představte si následující situaci: Ve svém přenosném počítači zabezpečíte konkrétní složku s daty tak, že k ní budete nul oprávnění přístupu Úplné řízení pouze vy. Nikdo jiný se tak k obsahu složky nedoslaní'. Jednoho krásného dne však o svůj přenosný počítač přijdete - jednoduše vám jej někdo ukradne. Zloděj to pochopitelně udělal jen pro to, že měl na vaše data zálusk. Pravděpo dobnost, že uhádne vaše heslo a přihlásí se tak k počítači, je nulová. Co mu zbývá? Po čítač rozebere, vyjme pevný disk a jako další disk jej připojí do svého vlastního počítače, ve kterém disponuje stejným operačním systémem, jako jste měli v přenosném počítači. Jak celá tato akce dopadne? Velmi jednoduše - zloděj získá úplný přístup ke všem datům na disku z vašeho počítače! Jedná se o docela nepříjemnou záležitost, které by se jistě spousta uživatelů raději vyhnula. Protože se však krádeži stoprocentně vyhnout nemůžete, je třeba najít způsoby, jak případným zlodějům zabránit v přístupu k citlivým datům. Pro řešení naštěstí nemusíte chodit daleko - je součástí operačního systému, přesněji systému souborů NTFS a nazývá se šifrování.

Šifrovací systém souborů Šifrovací systém souborů (Encrypting File System, EFS) je jednou z vlastností systému NTFS v systémech Windows 2000 a vyšších. Velmi důmyslným (a pro uživatele přitom jednoduchým) způsobem provádí šifrování označených souborů. Z pohledu uživatele lze šifrovat jednotlivé soubory nebo celé složky. Jestliže se zašifruje celá složka, šifrují se vlastně jednotlivě všechny její soubory. Z pohledu uživatelů je práce se šifrováním velmi jednoduchá a rychlá. Uživatelé nemusí vědět, co všechno se odehrává na pozadí (tedy jak a kdy probíhá šifrování a dešifrovaní souborů), navíc celý proces šifrování je pro ně naprosto transparentním. Nerozeznají lak rozdíl mezi otevřením nezašifrovaného souboru v aplikaci od zašifrovaného. Bohužel má tento efekt také své nechtěné postranní účinky. Jednoduše řečeno - jak rychle a bez problé mu je možné zašifrovat soubor, tak rychle a jednoduše je možné o přístup k jeho obsahu přijít. Bylo by optimální, aby uživatelé znali principy šifrování používané systémem EFS. To na ně však klade poměrně značné nároky, navíc by museli znát principy šifrování. Je tedy jednodušší předpokládat, že uživatelé tyto znalosti mít nebudou (a není třeba jim to mít za zlé) a na vše se dobře připravit jako správci. Na úvod tedy nejprve trochu teorie.

Principy šifrování V praxi se můžete setkat se dvěma způsoby šifrování - symetrickým a asymetrickým. Ať tato označení znějí jakkoli zvláštně, nehledejte za nimi žádné složité procesy.

Symetrické šifrování Cílem šifrování je vždy přenést důležitý dokument k příjemci v takové formě, kterou bude schopen rozluštit, tedy dešifrovat pouze on. Původní soubor je tak nutné zašifroval způsobem, který dešifruje pouze příjemce. Chcete-li pro tento účel využít symetrické šifrování, použijete pro zašifrování i dešifrování souboru stejný (tedy symetrický) klíč. Jak to vypadá v praxi? Jediné, co je třeba vyřešit, je předání šifrovacího klíče mezi oběma stranami. To musí proběhnout bezpečně, neboť kdokoli, kdo by při přenosu klíč získal, je schopen získat přístup k šifrovaným souborům, ačkoli nejsou určeny pro něj. Navrhněte nějaký způsob pro bezpečnou výměnu šifrovacího klíče. Telefonický rozho-vor? E-mail? Jeho zašifrování jiným klíčem? Nikoli. Všechny uvedené způsoby jsou nápad mitelné a rozhodně se nejedná o bezpečnou výměnu, u které byste měli jistotu, že klíč nezachytila jiná osoba. U posledního způsobu se navíc jedná o další šifrování dalším klíčem a vše se opakuje. Na druhou stranu - pokud k výměně klíče dojde, nemá symetrické šifrování ve své jednoduchosti, rychlosti a zatížení počítačů obdoby. Shrnuto a podtrženo - symetrické šifrování je jednoduché, rychlé, a tedy žádoucí, jediným problémem zůstává výměna šifrovacího klíče.

Asymetrické šifrování Jestliže při symetrickém šifrování hraje roli jediný klíč, potom při asymetrickém šifrováni hraje roli dvojice klíčů. Klíče v této dvojici jsou jednoznačně spjaty matematickým algo ritmem, takže nelze různé klíče různě kombinovat. Aby spl ni l o asymetrické šifrování svou roli, musí platit, že pokud se obsah souboru zašifruje jedním z dvojice klíčů, je možné jej dešifrovat pouze druhým klíčem. Každý z vojice klíčů má své označení, které také předurčuje styl práce s ním. Jeden z klíčů je takzvaným soukromým klíčem, druhý je veřejným klíčem. Pokud je něco soukromého, znamená to, že si to máte chránit jako oko v hlavě, veřejný klíč naopak můžete prezen tovat bez jakýchkoli obav. Asymetrické šifrování je v porovnání se symetrickým o něco složitějším procesem, neboť se zde vyskytuje více klíčů, které se zde účastní. Navíc vyžaduje více prostředků systému a celý proces je také pomalejší.

Kombinace šifrovánítovat Porovnáním dvou možností šifrování asi dojdete k závěru, že by bylo lepší používal sy metrické šifrování, které je jednodušší a rychlejší, ale je nutné vymyslet mechanismus pro výměnu symetrického klíče. A právě pro tento účel přichází do hry asymetrické šifrová ni. Postup je následující: 1. Jako odesilatelé důvěrného dokumentu vymyslíte symetrický klíč, kterým budete později dokument šifrovat (například ABC123). 2. Poté požádáte příjemce, aby vám zaslal svůj veřejný klíč. Na ten máte nárok ;i |e ho majitel se nemusí ničeho obávat.


277

3. Veřejný klíč příjemce vezmete a pomocí něj zašifrujete klíč, který jste předtím vymysleli (symetrický). Výsledek odešlete příjemci například elektronickou poštou (řekněme, že po zašifrování bude výsledek XYZ567). 4. Tento výsledek je schopen správně dešifrovat pouze ten, kdo vlastní druhý z dvojice klíčů. To je pochopitelně pouze příjemce, který vám pro účely šifrování předal svůj veřejný klíč. Ten tedy vezme svůj soukromý klíč a dešifruje zaslanou zprávu. Získá původní řetězec ABC123. Uvedený postup představuje bezpečnou výměnu klíče pro symetrické šifrování. Poté, kdy mají obě strany symetrický klíč, mohou přejít na symetrické šifrování a vyměnit si tak zašifrovaný dokument. Tolik teorie na úvod a nyní zpět do praxe. Kombinace symetrického a asymetrického ši frování se používá také v systému EFS. To je velmi podstatná informace, neboť evokuje to, co zde ještě nebylo řečeno - totiž, že možnost dešifrovat zašifrovaný soubor nesouvisí přímo s existencí či neexistencí účtu uživatele, ale pouze s vlastnictvím správného klíče. Vzhledem k tomu, že tato technologie, poprvé představená v systému Windows 2000, je na trhu již několik let, můžete se setkat s nešťastníky, kteří využili možnost šifrovat soubory, pro něž například ve svém počítači vyhradili jednotku D:. Na jednotce C: měli nainstalován operační systém, který jednoho dne přeinstalovali. Světe div se - přístup k obsahu zašifrovaných souborů byl v tu chvíli ztracen. Abyste se do takové nepříjemné situace nedostali, ale hlavně, aby se do takové situace nedostali ani vaši uživatelé, je třeba vědět, jak je to se šifrovacími klíči v systémech Windows 2000 a Windows XP Professional a jaké jsou možnosti obnovení přístupu k zašifrovaným souborům.

Šifrování v praxi aneb První seznámení se systémem EFS Podle informace uvedené výše využívá systém EFS kombinace obou typů šifrování - symetrického i asymetrického. Je tedy jasné, že ke správné činnosti bude třeba několika klí čú. Z pohledu uživatele nebo správce je nutné se dobře postarat o klíče určené k asymetrickému šifrování; klíč pro symetrické šifrování generuje systém náhodně sám a uživatel (správce) jej nepotřebuje vůbec znát. Právě způsob vytvoření klíčů pro asymetrické šifrování určuje možnosti nasazení systému EFS. Protože se možnosti šifrování systému souborů dočkaly v systému Windows XP Pro fessional rozšíření, jsou některé níže uvedené postupy možné pro systémy Windows 2000/XP, zatímco ostatní jsou určené pouze pro systémy Windows XP Professional.

Klíče a certifikáty V souvislosti s používáním dvojice klíčů pro asymetrické šifrování se můžete setkat s po jmem Certifikát. Co to takový certifikát je? V příkladu výše v části Kombinace šifrováni byl popsán postup pro výměnu klíče pomocí asymetrického šifrování. Vše začíná tím, že příjemce předá odesílateli svůj veřejný klíč. Zde je nutné se nad situací trochu zamyslet. Vzhledem k tomu, že se chystáte vyměnil s příjemcem dosti citlivou informaci (klíč, kterým bude možné dešifrovat později odešla ný soubor či soubory), měli byste mít jistotu, že tento klíč budete šifrovat veřejným klíčem, který patří té správné osobě (důsledky poskytnutí šifrovacího klíče osobě jiné si jistě dovedete představit). Proto nelze brát veřejný klíč jenom jako soubor, ale je nutné ověřit, zda pochází od příjemce, se kterým si opravdu chcete data vyměnit. Abyste v tomto případě (tedy během ověřování) nemuseli komunikovat s osobou, která vám veřejný klíč poskytla, funguje vše trochu jinak. Každý, kdo chce ve světě IT vypadat důvěryhodně, vám nebude odesílat vlastní veřejný klíč jen tak bez ničeho, ale nejprve si jej nechá podepsat od osoby, které se říká Certifikační úřad (Certification authority, CA). Tento úřad odpovídá za to, že podepisuje veřejný klíč opravdu toho, kdo je v klíči uveden. A onu důvěryhodnost si osoba s podepsaným klíčem získá tím, že si klíč nechá podepsat od úřadu, kterému se ve světě IT důvěřuje obecně. Mezi takové úřady patří například organizace Verisign či Thawte, v České republice pak organizace I. CA. A jsme u toho - necháte-li si podepsat veřejný klíč certifikačním úřadem, získáte Cerlifi-kát. Certifikát tedy není nic jiného než podepsaný veřejný klíč! Celé léto oblasti, ve které se pracuje s asymetrickým šifrováním a certifikáty, se také říká Infrastruktura veřejných klíčů (Public Key Infrastructure, PKI). Na doplnění základních informací a pro zjednodušení představy o šifrování EFS je nutno dodat, že příjemce je zde zároveň odesilatelem. První zašifrovaný soubor Abychom si nenarušili své prostředí zbytečnými klíči a certifikáty, využijeme pro první za šifrování účtu zkušební uživatelský účet, který pro tyto účely vytvoříme. Postupujte podle následujících pokynů: 1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítán služby Active Directory. 2. V kontejneru Users vytvořte zkušební uživatelský účet s přihlašovacím jménem eťsuser a bezpečným heslem. 3. Odhlaste se od počítače PC001 a přihlaste se jako uživatel EFSUSER. Poznámka Pokud jste při vytváření účtu ponechali zaškrtnuté políčko Při dalším přihlášeni musí uživatel změnit heslo, musíte nyní změnit své heslo. 4. Otevřete okno aplikace Průzkumník Windows a v jednotce C: vytvořte složku s názvem EFSUSER. V té vytvořte nový textový soubor s obsahem několika zna ků. Soubor uložte. 5. Nyní na soubor klepněte pravým tlačítkem myši a zobrazte jeho vlastnosti. 6. V dialogovém okně vlastností na kartě Obecné klepněte na tlačítko Upřesnil a poté v dialogovém okně Upřesnit atributy zaškrtněte políčko Šifrovat obsah a zabezpečit tak data.


278

7. Dialogová okna zavřete klepnutím na tlačítko OK. 8. V dialogovém okně Upozornění před provedením šifrování zaškrtněte políčko Zašifrovat pouze soubor a poté klepněte na tlačítko OK. Nově vytvořený textový soubor je nyní zašifrován. O tom se můžeme velmi jednoduše přesvědčit jako správci počítače. Obrázek 22.1 Šifrování souboru

1. Přihlaste se k počítači PC001 jako správci. 2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky C:\EFSUSER 3. Poklepejte na zašifrovaný soubor. Přesto že k souboru máte dostatečná oprávnění přístupu, zobrazí se dialogové okno se zprávou „Přístup byl odepřen". Obrázek 22.2 K zašifrovanému souboru má přístup pouze uživatel, který jej zašifroval

Poznámka Zelená barva souboru informuje uživatele o tom, že je soubor zašifrován. Barevné označení zašifrovaných souborů není k dispozici v systémech Windows 2000. Souhrn Uživatel EFSUSER zašifroval vlastní textový soubor. Ačkoli nebyly při šifrování zobrazeny žádné další informace (uživatele opravdu není třeba zatěžovat), došlo k vygenerováni pá ru klíčů, které se šifrování a dešifrování účastní. Veřejný klíč byl zároveň podepsán a klí če se staly součástí profilu uživatele. Uživatel je nyní absolutně klidný, protože má jistotu, že se mu nikdo jiný do souboru nedostane. Správce by zatím tak úplně klidný být neměl, neboť celý proces šifrování není v tuto chvíli ještě dostatečně zabezpečen. Viděli jsme, že ani jako správci si soubor ne-přečteme - takže co řeknete uživateli efsuser, až přijde a bude si stěžovat na to, že zašifrovaný soubor nemůže otevřít? Bude vůbec možné mu nějak pomoci? V dalších částech si ledy ukážeme, k jakým změnám v systému vlastně došlo a co všechno je třeba udělat pro zabezpečení pozdějšího přístupu k zašifrovaným souborům. Ověření existence klíčů uživatele EFSUSER Vygenerování potřebných klíčů pro uživatele EFSUSER proběhlo na pozadí procesu šif rování. Dochází k němu pouze v případě, kdy ještě žádný šifrovací klíč neexistuje. Znamená to, že když se tento uživatel rozhodne zašifrovat další soubor(y), použije se stává jící klíč. Kde je tento klíč uložen a jak je možné se k němu dostat? 1. Přihlaste se k počítači PC001 jako uživatel EFSUSER. 2. Pomocí příkazu MMC spusťte prázdnou konzolu Microsoft Management Console


279

3. V nabídce Soubor klepněte na příkaz Přidat nebo odebrat modul snap-in a přidejte modul Certifikáty. 4. V levém podokně konzoly přejděte do části Certifikáty — aktuální uživa-tel\Osobní\Certifikáty. V pravém podokně poklepejte na certifikát efsuser. Obrázek 22.3 Certifikát uživatele efsuser

Z certifikátu se dá vyčíst mnoho podstatných věcí. Na kartě Podrobnosti ověřte, kdy přesně byl certifikát vystaven (pole Platnost od). Datum a čas vystavení certifikátu musí odpovídat času zašifrování souboru. Dále si všimněte, že certifikát platí 100 let a také sí mužete prohlédnout veřejný klíč. Kdo certifikát vystavil? Jinými slovy kdo podepsal veřejný klíč? To zjistíte na karté Cesta k certifikátu. Obrázek 22.4 Informace o tom, kdo certifikát vystavil

Zde je uvedena jediná položka - efsuser - navíc ještě přeškrtnutá červeným křížkem. Jedná se o dost nestandardní záležitost, neboť certifikát je podepsán sám sebou. Červený křížek tak znamená, že se jedná o nedůvěryhodný certifikát, neboť z pohledu uživatele jej nepodepsal žádný důvěryhodný certifikační úřad. Takto se chovají certifikáty kořenových certifikačních úřadů a certifikáty vystavované pro speciální účely (kterým je například šifrování EFS). Ostatní certifikáty bývají podepsané certifikačními úřady - také se k tomu dostaneme. Na kartě Obecné certifikátu naleznete ještě jednu velmi důležitou informaci. Ve spodní části je uvedeno „Máte soukromý klíč, jenž odpovídá tomuto certifikátu". To znamená, že někde v počítači je uložen ještě soukromý klíč uživatele EFSUSER, který tvoři dvojici s jeho veřejným klíčem. „Někde v počítači" znamená v tomto případě v profilu uživatele. To je velmi důležité, neboť při pokusu uživatele EFSUSER otevřít zašifrovaný soubor se soubor okamžitě otevře. Předtím je však na pozadí dešifrován právě pomoci tohoto klíče. Sdílení šifrovaných souborů (pouze pro systémy Windows XP/2003) Standardně má přístup do souboru pouze uživatel, který jej zašifroval. To není nic neob vyklého, neboť se to od šifrování očekává. Systém Windows XP Professional však nabízí ještě další možnost - sdílet zašifrovaný soubor s dalšími uživateli. V takovém případě bu dou mít k souboru přístup


280

všichni uživatelé, kteří budou uvedeni v jeho vlastnostech. Poznámka Sdílení šifrovaných souborů není možné konfigurovat v systému Windows 2000. Přihlaste se k počítači PC001 jako uživatel EFSUSER. 2. Zobrazte vlastnosti zašifrovaného souboru. Poté na kartě Obecné klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit atributy vedle atributu šifrování klepněte na tlačítko Podrobnosti. Zobrazí se dialogové okno Detaily šifrování C:\EFSUSER\TextovyDokument.txt Poznámka V systémech Windows 2000 toto tlačítko v souladu s předchozí poznámkou chybí. Obrázek 22.5 Dialogové okno Detaily šifrování

V části Uživatelé, kteří mohou transparentně přistupovat k souboru je standardně uveden pouze uživatel, který soubor zašifroval. Pouze on může přidal další uživatele. 3. Pokud chcete přidat dalšího uživatele, klepněte na tlačítko Přidat. Zobrazí se dialogové okno Vybrat uživatele. Pokud v počítači PC001 ještě žádný uživatel ne šifroval soubory či neprováděl jiné činnosti vyžadující certifikát, bude v tomto dialogovém okně zobrazen pouze certifikát uživatele EFSUSER (tento certifikát již známe). 4. Klepněte na tlačítko Najít uživatele a v dialogovém okně Vybrat uživatele poté zadejte například. Obchodí. Po klepnutí na tlačítko Kontrola názvů dojde k vyhledání uživatele Obchodí. 5. Klepněte na tlačítko OK. Zobrazí se informace o tom, že nebyl nalezen p o t ř e b n ý certifikát.

Obrázek 22.6 K přidání dalšího uživatele potřebujete jeho certifikát (podepsaný veřejný klíč)

Dostali jste se do celkem nepříjemné situace. Vy chcete zpřístupnit šifrovaný soubor jinému uživateli, ale k tomu potřebujete jeho certifikát. Ten ovšem jiný uživatel (v našem případě Obchodí) nemá. Aby jej získal, musel by v tomto případě v počítači PC001 nejprve zašifrovat některý ze souborů. Vázat možnost přidat dalšího uživatele na nutnost nejprve zašifrovat některý ze souborů je ale docela nepříjemná záležitost. Optimálním řešením by bylo mít veřejný klíč (certifikát) jiného uživatele k dispozici bez ohledu na to, zda již šifroval či nikoli. Tím nejste vázáni na činnost dalších uživatelů a můžete připravit přístup k souborům samostatně a předem. Možné to je, vyžaduje to však v síti další služby a jejich konfiguraci. V naší síti se však budete muset rozloučit s možností zpřístupnit zašifrovaný soubor uživateli, který ještě v doméně žádný soubor nezašifroval. Obecně to možné je, vyžaduje to však instalaci certifikačního úřadu do systému Windows Server 2003, Enterprise Edition, který v síti nemáme. Ve spojení se zásadami skupiny se ale jedná o velmi zajímavou novinku, takže se na ni později podíváme. Něco však přece jen nyní dokážeme. Pokud bude v síti k dispozici certifikační úřad (konkrétně jeho verze pro rozlehlé sítě) v systému Windows


281

Server 2003, budou veškeré certifikáty uživatelů pro šifrování publikovány automaticky v doméně Active Directory, ovšem až poté, co uživatel poprvé zašifruje (to je právě ten rozdíl oproti výše zmíněné možnosti). Pak ale nebude problém s takovým uživatelem sdílet vlastní zašifrovaný soubor. Sdílení zašifrovaného souboru s uživatelem, který již v doméně šifroval (pouze systémy Windows XP/2003) Aby bylo možné tento požadavek uskutečnit, budeme potřebovat v síti provést výraznější změny. Potřebujeme, aby někdo vystavil certifikáty uživatelům automaticky bez jakéhokoli jejich zásahu. Taková součást existuje, a nazývá se Certifikační úřad pro rozlehlé sítě. O nasazení certifikačního úřadu do sítě pro účely šifrování dat, zejména možností sdíle ní šifrovaných dokumentů, lze hovořit jako o systémovém řešení. Předchozí řešení šifro vání mezi systémová řešení rozhodně nepatří. Účet uživatele EFSUSER však ještě ne odstraňujte, neboť s ním budeme později pracovat. Typy certifikačních úřadů v systému Windows 2000/2003 Certifikační úřady v serverových operačních systémech Windows 2000/2003 lze rozdělil do dvou skupin: ♦ Certifikační úřad pro rozlehlé sítě Tento certifikační úřad (v původní verzi Enterprise CA) je určen pouze pro doménové uživatele. Každý certifikační úřad si žadatele předtím, než jeho veřejný klíč podepíše, dobře ověří. Protože certifikát nímu úřadu pro rozlehlé sítě jako ověření žadatele stačí jeho účet v doméně, vystavuje certifikáty na požádání automaticky. Pro náš účel - automatické vystavení certifikátů pro šifrování - je tedy tento typ certifikačního úřadu optimální, navíc jediný možný. ♦

Samostatný certifikační úřad Tento certifikační úřad je schopen vystavit certifikát (podepsat veřejný klíč) jak uživatelům v doméně, tak uživatelům mimo doménu. Je mu tedy naprosto jedno, odkud uživatel pochází. Proto nemá možnost automaticky vystavovat certifikáty, a vše se tak musí potvrdit ručně. To mohou provést pouze oprávnění uživatelé, na jejichž bedra tak zároveň padá odpovědnost za ověření údajů uvedených na žádostech o certifikát. Tento typ úřadu není pro náš problém vhodný, nicméně v praxi je velmi často používaný. Jak jinak byste například mohli jako běžní smrtelníci získat certifikát podepsaný externím důvěryhodným certifikačním úřadem? Těžko věřit, že by vám kvůli požadavku na certifikát vytvářeli správci doménový účet.

Certifikační úřady lze spojovat do hierarchického uspořádání a v praxi se to také tak provádí. Jedná se však o oblast, která v naší síti nenajde pro účely šifrování EFS uplatnění (dalo by se o ní uvažovat v případě, kdybychom potřebovali vystavovat také certifikáty pro jiné účely), a proto se jí vyhneme. Hierarchickému uspořádání odpovídají v systémech Windows 2000/2003 ještě další přívlastky certifikačních úřadů - kořenový a podřízeny. Chcete-li nainstalovat podřízený certifikační úřad, musí získat certifikát podepsaný kořenovým úřadem. Kořenový úřad si naopak podepíše veřejný klíč sám sebou - jinak by to nebyl kořenový úřad. Shrnulo a podtrženo - našim požadavkům vyhoví Kořenový certifikát pro rozlehlé sítě. Instalace certifikačního úřadu Instalace certifikačního úřadu může velmi zásadně ovlivnit činnost sítě, tím spíše, jedná-li se o kořenový úřad. Jeho konfigurace, která se provádí během instalace, totiž ovlivní vśechny vystavené certifikáty, a pokud se tyto dostávají ven z organizace, jsou také její reprezentací. Pokud tedy nebudete mít během instalace u konkrétních položek zcela jas-no, raději instalaci přerušte a zjistěte si podrobné informace. Instalace kořenového certifikačního úřadu pro rozlehlé sítě 1. Přihlaste se k počítači SRVR001 jako správci. 2. Otevřete ovládací panel Přidat nebo odebrat programy a v jeho levé části klepněte na položku Přidat nebo odebrat součásti systému. 3. V dialogovém okně Součásti systému Windows zaškrtněte políčko Certifikační služba. Zobrazí se informace o tom, že po instalaci této součásti nelze změnit název počítače ani jeho členství v doméně. Pokračujte klepnutím na tlačítko Ano a poté klepněte na tlačítko Další. 4. V dialogovém okně Typ certifikačního úřadu zaškrtněte políčko Kořenový CÚ rozlehlé sítě a poté klepněte na tlačítko Další. 5. V dialogovém okně Identifikační informace certifikačního úřadu zadejte do pole Běžný název tohoto CÚ jeho název (například Studny CA). V názvu nepoužívejte speciální české znaky, neboť byste mohli způsobit nekompatibilitu certifikátů s některými (staršími) aplikacemi. V části Doba platnosti zadejte hodnotu 5 let. Pokračujte klepnutím na tlačítko Další. Proběhne vygenerování páru klíčů pro tento úřad.


282

Obrázek 22.7 Výběr typu. certifikačního úřadu

Obrázek 22.8 Zadání základních parametrů certifikačního úřadu

6. V dialogovém okně Nastavení certifikační databáze ponechte výchozí cesty k databázi certifikátů a jejímu protokolu a poté klepněte na tlačítko Další. Proběh ne instalace certifikačního úřadu. V jejím průběhu můžete být požádáni o vložení instalačního disku CD-ROM se systémem Windows Server 2003.

Obrázek 22.9 Konfigurace místa uložení databáze a jejího protokolu


283

Poznámka O certifikáty od certifikačního úřadu je možné žádat také prostřednictvím webového prohlížeče. V takovém případě však musí být v počítači nainstalovaná služba IIS. Pokud nebude, zobrazí se během instalace certifikačního úřadu zpráva viz obrázek 22.10. Obrázek 22.10 Webové vyžádání certifikátů není v případě absence služby IIS možné

7. Průvodce instalací certifikačním úřadem dokončíte klepnutím na tlačítko Dokon čit. Počítač nevyžaduje restartování. Vyžádání certifikátu pro šifrování 1. Přihlaste se k serveru SRVR001 jako správci (ITSprával) a v jednotce C: vytvořte nový textový dokument. Tento dokument zašifrujte. 2. Spusťte nástroj Uživatelé a počítače služby Active Directory a v jeho rozšířené podobě zobrazte vlastnosti účtu, pod kterým jste zašifrovali soubor. 3. Na kartě Publikované certifikáty se přesvědčte, že zde existuje certifikát vystavený dříve nainstalovaným certifikačním úřadem (Studny CA). Obrázek 22.11 Při prvním zašifrování došlo k vystavení certifikátu a jeho publikování do Active Directory

4. Poklepejte na certifikát, na kartě Podrobnosti si prohlédněte podrobné informace a poté klepněte na kartu Cesta k certifikátu. Zde se dozvíte, že veřejný klíč uživatele ITSprával podepsal certifikační úřad Studny CA. V porovnání s předchozím certifikátem uživatele EFSUSER také zjistíte, že tento již na žádné kartě ne obsahuje červený křížek značící jeho nedůvěryhodnost. Certifikační úřad pro rozlehlé sítě je v síti pro všechny doménové objekty důvěryhodný. Sdílení zašifrovaného souboru 1. Přihlaste se k počítači PC001 jako uživatel EFSUSER. 2. Zobrazte vlastnosti zašifrovaného souboru. Poté na kartě Obecné klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit atributy vedle atributu šifrování klepněte na tlačítko Podrobnosti. Zobrazí se dialogové okno Detaily šifrování C:\EFSUSER\TextovyDokument.txt. V části Uživatelé, kteří mohou transparentně přistupovat k souboru je standardně uveden pouze uživatel, který soubor zašifroval. Pouze on může přidal dal ší uživatele.


284

3. Pokud chcete přidat dalšího uživatele, klepněte na tlačítko Přidat. Zobrazí se dialogové okno Vybrat uživatele. Pokud v počítači PC001 ještě žádný uživatel nešifroval soubory či neprováděl jiné činnosti vyžadující certifikát, bude v tomto dialogovém okně zobrazen pouze certifikát uživatele EFSUSER. 4. Klepněte na tlačítko Najít uživatele a v dialogovém okně Vybrat uživatele poté zadejte ITspraval. Po klepnutí na tlačítko Kontrola názvů dojde k vyhledání uživatele ITSprával. 5. Označte certifikát uživatele ITsprával a klepněte na tlačítko OK. Certifikát se zařadí do seznamu a uživatel ITSprával tak získá přístup k obsahu souboru. Budete-li možnosti sdílení zašifrovaných souborů využívat v praxi, mějte na paměti, že kterýkoli uživatel, jenž má přístup k vašemu zašifrovanému souboru, vás může ze seznamu oprávněných uživatelů odstranit. U přístupu k zašifrovanému obsahu rozhoduje pouze přítomnost certifikátu. Není-li v hlavičce souboru, nemá uživatel přístup.

Systémové řešení sdílení zašifrovaných souborů s jakýmkoli uživatelem Předchozí postup měl jedinou nevýhodu - abyste mohli přidat do hlavičky zašifrovaného souboru dalšího uživatele, musíte mít k dispozici jeho certifikát. Ten můžete vzít z místního počítače nebo z domény Active Directory, aby se ale na jednom z těchto míst vyskytl, musí uživatel nejprve zašifrovat některý soubor. Níže uvedený postup tento jediný nedostatek odstraňuje tím, že certifikáty se do Active Directory publikují automaticky bez ohledu na vyžádání či nevyžádání uživatele. Pro Správnou funkci však potřebujete následující prostředí: ♦ ♦ ♦ ♦ ♦

Doménu Active Directory s rozšířeními systému Windows Server 2003. Šablonu certifikátu EFS s povoleným automatickým zápisem. Certifikační úřad pro rozlehlé sítě v systému Windows Server 2003, Enterprise Edition. Nakonfigurovaný objekt zásad skupiny pro automatický zápis certifikátu uživatelům. Klientské počítače se systémem Windows XP Professional.

lidi podmínka je pro naši síť omezující, neboť verzi Enterprise Edition nemáme. Protože se však jedná o velmi zajímavou možnost, následuje postup uvedení této strategie do praxe Navíc jej lze v našem prostředí zcela nakonfigurovat, i když nebude funkční. Postup sestává z následujících hlavních oblastí: ♦ ♦ ♦

Instalace certifikačního úřadu rozlehlé sítě - tuto záležitost jsme již provedli výše. Konfigurace certifikačního úřadu - zaměřuje se na vytvoření a konfiguraci šablony certifikátu. Konfigurace objektu zásad skupiny pro automatický zápis certifikátu.

Konfigurace certifikačního úřadu Nainstalovaný certifikační úřad je nyní připraven vydat prakticky jakýkoli certifikát kterémukoli členovi domény, tedy nejen uživateli, ale také například počítačům nebo službám. Jeho možnosti jsou tedy velmi rozsáhlé, my je však využijeme pouze z malé části. Certifikační úřad nakonfigurujeme tak, že bude vydávat pouze certifikáty pro systém EFS a bude to provádět automaticky. Konfigurace šablony certifikátu 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte prázdnou konzolu MMC a přidejte do ní modul snap-in Šablony certifikátů.

Obrázek 22.12 Nástroj Šablony certifikátů 3. V levém podokně klepněte na položku Šablony certifikátů a v pravém okně se přesvědčte, že u šablony Základní systém souborů EFS je


285

ve sloupci Automatický zápis text Nepovoleno. To nám samozřejmě nevyhovuje, a proto si vytvoříme vlastní šablonu, která bude pro automatický zápis povolena. 4. Na šablony Základní systém EFS klepněte pravým tlačítkem myši a v místní nabídce poté klepněte na příkaz Vytvořit duplikát šablony. Otevře se dialogové okno Vlastnosti nové šablony. 5. Na kartě Obecné zadejte do pole Zobrazovaný název šablony text Automatický zápis certifikátů pro EFS, do pole Název šablony zadejte text Au-toEnrollBasicEFS. Ostatní hodnoty ponechte ve výchozím stavu a klepněte na kartu Vyřízení žádosti. Obrázek 22.13 Karta Obecné šablony pro automatický zápis certifikátů


286

6. Na kartě Vyřízení žádosti ponechte všechna pole ve výchozím nastavení a poté klepněte na kartu Název předmětu. Obrázek 22.14 Karta Vyřízení žádosti šablony certifikátu

7. Na kartě Název předmětu ponechte všechna pole ve výchozím nastavení. Poté si prohledněte informace na ostatních kartách šablony a klepněte na kartu Zabezpečení. 8. Aby došlo k automatickému zápisu certifikátů, potřebují uživatelé oprávnění Číst (Read), Zapsat (Enroll) a Automatický zápis (Autoenroll). Oprávnění Cist mají doménoví uživatelé uděleno prostřednictvím skupiny Authenticated Users, oprávnění Zapsat (Enroll) prostřednictvím skupiny Domain Users. Této skupině navíc ještě udělte oprávnění Automatický zápis a poté klepněte na tlačítko OK. Obrázek 22.15 Karta Zabezpečeni šablony certifikátu

Poznámka Dialogové okno na obrázku 22.15 ještě nepochází z konečné verze systému Windows Server 2003 CZ. Proto věřme, že dvě různá oprávnění se stejným názvem budou do té doby opravena. Zde platí, že první oprávnění Zapsat znamená Write, druhé oprávnění Zapsat je Enroll. Konfigurace zásad skupiny 1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. 2. Na úrovni domény vytvořte nový objekt zásad skupiny s názvem Automatický zápis certifikátů EFS. 3. Otevřete objekt a přejděte do složky Konfigurace uživatele\Nastavení systému Windows\Nastavení zabezpečení\Zásady veřejných klíčů.


287

Obrázek 22.16 Část objektu zásad skupiny týkající se automatického zápisu certifikátů uživatelům 4. Poklepejte na zásadu Nastavení automatického zápisu a v dialogovém okně Zásady zaškrtněte políčka Zapisovat certifikáty automaticky, Obnovovat čertili katy, jejichž platnost vypršela... a Aktualizovat certifikáty, které používají šablony certifikátů. Klepnutím na tlačítko OK zavřete zásadu. 5. Zavřete všechna dialogová okna a nástroje.

Obrázek 22.17 Konfigurace zásady pro automatický zápis certifikátů

Přidání šablony do vystavovaných certifikátů V předchozím postupu jsme vytvořili šablonu certifikátu pro automatický zápis. Nyní je nutné tuto šablonu přidat mezi šablony certifikačního úřadu. Postup lze provést pouze pomocí nástroje Certifikační úřad, který je připojen k certifikačnímu úřadu systému Windows Server 2003, Enterprise Edition. Následující postup nelze provést v naší síti. 1. 2. 3. 4.

Přihlaste se k počítači se systémem Windows Server 2003, Enterprise Edition jako správci. Spusťte nástroj Certifikační úřad. Ten se automaticky připojí k místnímu úřadu. Pravým tlačítkem myši klepněte na položku Šablony certifikátů a v nabídce Nový klepněte na položku Vystavovaná šablona certifikátu. V dialogovém okně Povolit šablony certifikátů vyberte vytvořenou šablonu a klepněte na tlačítko OK.

Vše ostatní je nyní v rukách použitých technologií. Při aplikaci zásad skupiny dojde k au lomatickému vystavení žádosti o certifikát, jeho schválení a zapsání do domény Active Directory.

zabezpečení zašifrovaných souborů Všechny tři možnosti, které jsme probrali výše, se lišily ve způsobu vytváření a zápisu certifikátu. Certifikát je podepsaným veřejným klíčem a veřejný klíč je důležitou položkou v šifrování souboru.


288

Jestliže se k šifrování používá veřejný klíč uživatele, potom se k dešifrování (které probíha neviditelně na pozadí při jakékoli manipulaci se souborem) používá soukromý klíč uživatele. Kde je soukromý klíč uživatele uložen? To je otázka, za kterou vězí celé pochopeni procesu šifrování a dešifrování. Soukromý klíč uživatele je součástí jeho profilu! To známi ná několik důležitých poznatků: ♦ Když uživatel přijde o profil, přijde také o svůj soukromý klíč. ♦ Pokud uživatel používá místní profil, vytvoří se v každém počítači, kde uživatel šif roval data, jiný soukromý klíč (v Active Directory potom přibude další veřejný klíč). ♦ Jestliže uživatel kopíruje zašifrovaný soubor do jiného počítače na jednotku NTFS, vytvoří se v cílovém počítači další jeho profil s dalším soukromým klíčem. Pojďme se podívat, jak může ztráta soukromého klíče dopadnout v praxi (než soukromý klíč odstraníme, provedeme jeho zálohování). Zálohování soukromého klíče 1. Přihlaste se k počítači PC001 jako uživatel EFSUSER. 2. Otevřete prázdnou konzolu MMC a přidejte do ní modul snap-in Certifikáty týkající se svého uživatelského účtu. 3. V levém podokně konzoly přejděte do složky Certifikáty - aktuální uživa-tel\Osobní\Certifikáty. V pravém podokně konzoly klepněte pravým tlačítkem myši na certifikát efsuser, který má ve sloupci Vystavitel také text efsuser a v místní nabídce Všechny úkoly klepněte na příkaz Exportovat. Spustí se Průvodce exportem certifikátu. Klepněte na tlačítko Další. 4. V dialogovém okně Exportovat soukromý klíč zaškrtněte políčko Ano, exportovat soukromý klíč a poté klepněte na tlačítko Další.

Obrázek 22.18 Dialogové okno Exportovat soukromý klíč

Poznámka Pole Ano, exportovat soukromý klíč je k dispozici pouze v případě, že vlastníte soukromý klíč. V opačném případě bude políčko šedé. 5. V dialogovém okně Formát souboru pro export ponechte výchozí hodnoty a klepněte na tlačítko Další.

Obrázek 22.19 Dialogové okno Formát souboru pro export


289

6. V dialogovém okně zadejte dvakrát stejné heslo pro ochranu soukromého klíče a pokračujte klepnutím na tlačítko Další. 7. V dialogovém okně Souboru pro export zadejte cestu, do které chcete soukromý klíč exportovat (například C:\efsuser\klic). Poté klepněte na tlačítko Další. 8. V dialogovém okně Dokončení průvodce exportem certifikátu si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. Zobrazí se dialogové okno se zprávou o průběhu exportu. Obrázek 22.20 Informace o průběhu exportu

Nyní je třeba říci, že vyexportovaný soukromý klíč je na tom nejnebezpečnějším místi neboť k souboru s ním se dá dostat mnohem jednodušeji, než když je součástí profilu uživatele. Vzhledem k tomu, že se jedná o dočasný zkušební účet, může klíč na pevném disku po krátkou dobu zůstat. U opravdových klíčů ale buďte mnohem opatrnější, klíč uložte na disketu nebo zapište na disk CD-R, médium uložte do trezoru a soubor z pevného disku odstraňte. Jak přijít o přistup k zašifrovaným souborům 1. Pokud jste k počítači PC001 stále přihlášeni jako uživatel EFSUSER, ověřte, že ne máte potíže s otevřením zašifrovaného souboru. 2. Odhlaste se a k počítači PC001 se přihlaste jako správci. 3. Pravým tlačítkem myši klepněte na ikonu Tento počítač a zobrazte jeho vlastnos ti. Poté na kartě Upřesnit klepněte části Profily uživatelů na tlačítko Nastaveni 4. V dialogovém okně Profily uživatelů klepněte na profil uživatele STUDNY\efs user a poté klepněte na tlačítko Odstranit. Odstranění potvrďte klepnutím na tlačítko Ano. Poté klepněte dvakrát za sebou na tlačítko OK. 5. Odhlaste se od počítače PC001. 6. K počítači PC001 se přihlaste jako uživatel EFSUSER. Přihlášení bude chvilku tr vat, neboť se vytvoří nový profil uživatele. 7. Pokuste se otevřít vlastní zašifrovaný soubor ve složce C:\efsuser. Jistě nebudete úspěšní, neboť se zobrazí chybová zpráva „Přístup byl odepřen". Zde je tedy důkaz, že: ♦ ♦

K dešifrování souboru potřebujete vlastní soukromý klíč. Soukromý klíč je součástí profilu uživatele.

Jaké jsou nyní možnosti obnovení přístupu k zašifrovanému souboru? Pokud máte jako uživatel EFSUSER zálohovaný soukromý klíč, postačí provést jeho import nazpět do profilu. Pokud jako uživatel soukromý klíč nemáte, bude postup složitější, neboť bude vyžadovat součinnost další osoby takzvaného Agenta obnovení dat. Obnovení přístupu k zašifrovanému souboru 1. Přihlaste se k počítači PC001 jako uživatel EFSUSER. 2. Spusťte konzolu MMC a přidejte do ní modul snap-in Certifikáty. 3. V levém podokně konzoly přejděte do složky Certifikáty — aktuální uživatel\ Osobní. Všimněte si, že zde není žádný certifikát (jedná se o nový, čistý profil). 4. V pravém podokně konzoly klepněte pravým tlačítkem myši a v místní nabídce vyberte v části Všechny úkoly příkaz Importovat. Spustí se Průvodce importem certifikátu. Klepněte na tlačítko Další. 5. V dialogovém okně Importovat soubor klepněte na tlačítko Procházet a přejděte k souboru klic.pfx (exportovaný klíč z předchozího postupu). Pravděpodobně budete muset v dialogovém okně Otevřít zadat tento typ souboru v poli Soubory typu. Poté klepněte na tlačítko Další. 6. V dialogovém okně Heslo zadejte heslo, které jste určili při exportu klíče a zaškrtněte políčko Označit tento Míč jako exportovatelný. Klepněte na tlačítko Další. 7. V dialogovém okně Úložiště certifikátů ponechte výchozí hodnoty a klepněte na tlačítko Další. 8. V dialogovém okně Dokončení Průvodce importem certifikátu klepněte na tla čítko Dokončit. Zobrazí se informace o průběhu importu. 9. V konzole nyní znovu uvidíte vlastní certifikát pro šifrování. 10. Pokuste se otevřít zašifrovaný soubor. Nyní se vám to jistě podaří. Co se vlastně exportuje, pokud postupujete podle výše uvedeného postupu (zálohování soukromého klíče)? V průvodci jste zaškrtli políčko exportu soukromého klíče, výsledkem je však export soukromého klíče a certifikátu uživatele (vše je v jednom souboru). Pokud později provedete import soukromého klíče, importujete zároveň svůj certifikát a nebu déle tak pro další šifrování potřebovat vystavit nový certifikát. Pokud je tedy zaškrtnuté


290

políčko pro export soukromého klíče, dochází k exportu obou klíčů (přesněji soukromé ho klíče a certifikátu). Pokud je zaškrtnuté políčko neexportovat soukromý klíč, dojdi pouze k exportování certifikátu. Viděli jsme, že přijít o přístup k zašifrovaným souborům není žádná složitá věc. Přitom přijít o vlastní profil není žádná výjimečná událost. Příčinou může být chyba hardwaru nebo například zákrok správce. Aby se uživatelé vyhnuli potížím s přístupem k zašifrovaným souborům, mají jedinou možnost - provést export soukromého klíče. Naučte ale své uživatele exportovat soukromé klíče. Na to, že někteří se umějí sotva přihlásit, byste toho po nich chtěli možná až moc. Existuje tedy nějaký jiný způsob, jak jim zajistit přístup k zašifrovaným souborům, aniž si oni sami vyexportovali soukromé klíče? Existuje (právě proto, že není možné to nechat na uživatelích)! Princip není v tom, že byste museli postupně exportovat soukromé klíče za uživatele. To by ani nebylo reálné, neboť byste museli tuto akci provést pod přihlášeným dotčeným uživatelským účtem, což je nesmysl. Řešení je ve využití možností uživatele, kterému se říká Agent obnovení dat. Struktura zašifrovaného souboru Pro správné pochopení postupů pro obnovení zašifrovaného souboru je nutné vědět, jak to chodí uvnitř systému při šifrování a dešifrování souboru. Postup je následující: 1. Uživatel (například EFSUSER) zašifruje soubor. 2. Systém Windows XP Professional vygeneruje náhodný šifrovací klíč (FEK, File Encryption Key), kterým zašifruje obsah souboru. 3. Systém vezme veřejný klíč uživatele, zašifruje jím klíč FEK a výsledek uloží do hlavičky souboru do pole dešifrování dat (DDF, Data Decryption Field). 4. Dále systém vezme veřejný klíč agenta obnovení dat, zašifruje jím klíč FEK a výsledek uloží do hlavičky souboru clo pole obnovení dat (DRF, Data Recovery Field). 5. Tento bod systém opakuje pro všechny agenty obnovení dat. 6. Systém uzavře soubor a uloží jej na disk. Obrázek 22.21 Struktura zašifrovaného souboru

Možná vás překvapila informace, že se pomocí veřejného klíče vlastně šifruje klíč FEK na místo obsahu souboru. Je to logické, neboť v opačném případě by k souboru nemohl získal přístup nikdo jiný než uživatel, který jej zašifroval. Vše by tak sice fungovalo, ale pouze do ztráty soukromého klíče uživatele. Tento postup umožňuje vložit do hlavičky více agentů obnovení dat, stejně jako uživatelů, kteří budou šifrovaný soubor sdílet. O tom jsme se již koneckonců přesvědčili při konfiguraci sdílení šifrovaného souboru dříve. Pokud uživatel potřebuje soubor otevřít, vezme systém jeho soukromý klíč, dešifruje po mocí něj klíč FEK, kterým následně dešifruje soubor. Vzhledem ke struktuře souboru se dá tento postup použít s jakýmkoli soukromým klíčem, jehož protějšek - veřejný klíč - je součástí hlavičky souboru. A na tom je postavena funkce agenta obnovení dat. Agent obnovení dat Agent obnovení dat je ve výchozím nastavení jediný a platí pro celou doménu. Je jím do měnový účet Administrátor. Aniž jsme museli agenta obnovení dat definovat, je již něja kou dobu funkční. Přesvědčme se o tom. 1. Přihlaste se k počítači PC001 jako uživatel EFSUSER. 2. Zobrazte vlastnosti zašifrovaného souboru, klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit atributy klepněte na tlačítko Podrobnosti. Zobrazí se informace o tom, které klíče jsou součástí pole dešifrování dat (horní část) a pole obnovení dat (spodní část).


291

Obrázek 22.22 Informace o hlavičce zašifrovaného souboru

Poznámka Pokud jste úspěšně dokončili sdílení šifrovaného souboru, budete mít v horní části dia logového okna ještě uživatele itsprava1. 3. Ve spodní části dialogového okna je uveden certifikát agenta obnoveni dat Zapište si počátek jeho miniatury. Agent obnovení dat se automaticky zapíše clo každého šifrovaného souboru, neboť je tak definován ve výchozím objektu zásad skupiny. Pokud byste chtěli přidat další agenty ob novení dat, je nutné zasáhnout do tohoto objektu. Je však nutné vědět, kdy se žačnou noví agenti aplikovat na soubory. Ze všeho nejdříve musí proběhnout aplikace zásad skupiny. U nově šifrovaných souborů se poté zapíší noví agenti clo hlavičky ihned, u stávajících zašifrovaných souborů v okamžiku, kdy uživatel soubor otevře (nemusí v něm provádět ani žádné změny). Nalezení agenta obnovení dat 1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. 2. Otevřete objekt zásad skupiny s názvem Default Domain Policy. 3. Přejděte do části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady veřejných klíčů\Šifrování systému souborů a v pravém podokně poté poklepejte na zobrazený certifikát. Obrázek 22.23 Certifikát agenta obnovení dat a jeho miniatura

4. Na kartě Podrobnosti porovnejte miniaturu s tou z předchozího případu. Měly bybýt stejné, takže se jedná o stejný certifikát. Certifikát agenta obnovení dat není důvěryhodný, neboť je podepsán sám sebou. Je to po chopitelné, protože k jeho vygenerování dochází během instalace domény, přičemž v tu chvíli v síti nemusí být certifikační úřad. Vzhledem k tomu, že certifikát slouží pouze k účelům obnovení souborů v rámci domény, není nedůvěryhodnost certifikátu podstatná. Soukromý klíč agenta obnovení dat


292

Agent obnovení dat je poslední instancí, na kterou se mohou uživatelé v případě potíž! obrátit. Aby mohl dešifrovat soubor uživatele, potřebuje svůj soukromý klíč. Proto je vel mi důležité provést co nejdříve export soukromého klíče, neboť v opačném případě mu že být později agent obnovení spíše agentem pohřebním. Soukromý klíč agenta obnovení dat je uložen v jeho profilu v prvním nainstalovaném řadiči domény! Nikde jinde. Práce se soukromým klíčem agent obnovení dat V bezpečné síti se s veřejným klíčem agenta obnovení dat provádějí následující činnosti; ♦ Export na přenosné médium ♦ Odstranění z počítače Exportování klíče je na základě uvedených údajů logickou záležitostí. Proč ale klíč z počítače zároveň odstraňovat? To má dva důvody. Tím prvním je zabezpečení dat uživatelů. Pokud ponecháte klíč agenta obnovení dal v počítači, může jej získat kterýkoli správce domény, jenž zná heslo účtu Administrátor, a podívat se pomocí něj na jakýkoli zašifrovaný soubor v doméně. Taková činnost není s principy zabezpečení dat slučitelná. Druhým důvodem je zabezpečení samotného klíče. Nebude-li klíč uložen v počítači, nemůže se jej zmocnit žádný útočník, uživatel ani správce. Exportování a odstranění soukromého klíče agenta obnovení dat 1. Přihlaste se k počítači SRVR001 jako uživatel Administrátor (Ton!&check) a spusťte prázdnou konzolu MMC. 2. Do konzoly MMC přidejte modul snap-in Certifikáty svého vlastního účtu a v levém podokně přejděte na část Certifikáty — aktuální uživatel\Osobní\Certifikáty. V pravém podokně se objeví certifikát agenta obnovení dat. Je-li v pravém podokně certifikátů více, budete nadále pracovat s tím, který má ve sloupci Zamýšlené účely uvedeno Obnovení souboru. 3. Pravým tlačítkem myši klepněte na certifikát a v části Všechny úkoly klepněte na příkaz Exportovat. Spustí se Průvodce exportem certifikátu. Klepněte na tlačítko Další. 4. V dialogovém okně Exportovat soukromý klíč zaškrtněte políčko Ano, exportovat soukromý klíč a poté klepněte na tlačítko Další. 5. V dialogovém okně Formát souboru pro export zaškrtněte kromě výchozích políček navíc políčko Odstranit privátní klíč v případě úspěšného exportu. Pokračujte klepnutím na tlačítko Další.

Obrázek 22.24 Dialogové okno Formát souboru pro export

6. V dialogovém okně Heslo zadejte dvakrát stejné a silné heslo. Poté klepněte na tlačítko Další. 7. V dialogovém okně Souboru pro export zadejte cestu do složky, kam chcete klíč exportovat, a název souboru (např. RA.pfx). Poté klepněte na tlačítko Další. 8. V dialogovém okně Dokončení Průvodce exportem certifikátu si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. Zobrazí se informace O úspěšném exportu. Klepněte na tlačítko OK. 9. Soubor RA.pfx nyní zkopírujte na disketu (nebo ještě lépe zapište na disk CD-R) a odstraňte jej z počítače (případně i koše). K přenosnému médiu přiložte heslo, které soukromý klíč chrání, vše vložte do obálky, tu zapečeťte a uložte do trezoru.

Postupy obnovení šifrovaných dat Jestliže uživatel přijde o soukromý klíč a ztratí tak přístup k zašifrovaným souborům, požádá vás jako agenta obnovení dat o pomoc. Existují následující možnosti obnovení.

Obnovení v počítači uživatele JSOU-li zašifrované soubory umístěny v počítači uživatele, můžete mu pomoci místně.


293

V lakovém případě postupujte podle následujících pokynů: 1. Vyzvedněte z trezoru soukromý klíč agenta obnovení dat a proveďte o tom zápis. 2. K počítači uživatele se přihlaste jako správce (nemusí se nutně jednat o správce, kterému přísluší soukromý klíč). 3. Spusťte prázdnou konzolu MMC a přidejte do ní modul snap-in Certifikáty vlastního účtu. Do certifikátů naimportujte soukromý klíč agenta obnovení dat. 4. Nyní přejděte do vlastností zašifrovaného souboru a zrušte atribut šifrování. 5. Pomocí konzole certifikáty proveďte exportování soukromého klíče a následné odstranění z počítače. 6. Médium se soukromým klíčem agenta vraťte do trezoru a uživatele informujte o dešifrování souboru.

Obnovení ve svém počítači Pokud máte k dispozici svůj vlastní počítač, nebude se vám pravděpodobně chtít díky jedinému souboru opouštět vaše pracovní místo. Dešifrovat soubor můžete i ve svém počítači, pouze však za předpokladu, že soubor do svého počítače zkopírujete. Nakládání se zašifrovaným souborem je však velmi omezené. Jestliže uživatelé nemají k souboru přístup, nemohou jej ani kopírovat, ani přesouvat. Jedinou možností je tak provést zálohu takového souboru a agentovi obnovení předat soubor zálohy (soubor BKF). V dobách elektronické pošty není pak problém soubor zálohy odeslat touto metodou Agent obnovení tak může být i na druhém konci světa, a přitom je schopen uživatelům vyhovět - ovšem za předpokladu, že u sebe má soukromý klíč agenta. V takovém případě postupujte podle následujících pokynů: 1. 2. 3. 4. 5. 6.

Vyzvedněte z trezoru soukromý klíč agenta obnovení dat a proveďte o tom zápis, Klíč naimportujte do svého počítače a od uživatele získejte zálohovaný zašifrováný soubor. Pomocí nástroje NTBackup.exe proveďte obnovení souboru získaného od uživatele na pevný disk. Zrušte atribut šifrování souboru a odešlete jej zpět uživateli. Proveďte export soukromého klíče s následným odstraněním z počítače. Soukromý klíč agenta vraťte do trezoru.

Poznámka Ačkoli se jako správci můžete vzdáleně připojovat k libovolné jednotce jakéhokoli počítače, nemůžete soubory vzdáleně dešifrovat. Dešifrovat lze soubor pouze v tom počítači, ve kterém je k dispozici soukromý klíč agenta uložený v jeho uživatelském profilu. Další možnosti a doporučení pro práci se šifrováním EFS Klíč agenta obnovení dat exportujte a odstraňte ihned po instalaci prvního řadiče domény Nejednou jsem se v praxi setkal s případem, kdy správci prováděli upgrade domény Windows NT 4.0 na doménu Active Directory. Protože se jednalo o přímý upgrade, zůstaly v novém řadiči domény „pozůstatky" předešlého systému Windows NT 4.0. Dále tedy správci postupovali tak, že nainstalovali další dočasný řadič domény Windows 2000 do jiného počítače a poté původní řadič přeinstalovali. Tím dosáhli svého - po nové instalaci se již jednalo o „čistokrevný" řadič domény se systémem Windows 2000. Bohužel, na pozadí, zcela neviditelně, došlo k odstranění soukromého klíče agenta obnovení dat. Jeho certifikát zůstal v doméně i nadále k dispozici - vždyť ten je součástí domény Active Directory, která se replikovala na dočasný řadič domény. Správci tedy zůstávají v pohodě do doby, kdy je uživatel požádá o řešení potíží s přístupem k zašifrovanému souboru. Odstraněním soukromého klíče dále zvyšujete zabezpečení informací v šifrovaných sou borech. Vytvořte v organizaci směrnici týkající se nakládání a postupů práce s veřejným klíčem agenta obnovení dat a tuto směrnici publikujte. Běžní uživatelé by měli mít jistotu, že zašifrovaný soubor je pouze jejich a že ani správce (agent obnovení) do nich ne může nahlížet.

Šifrujte mezipaměť souborů of f line Soubory offline používají zejména uživatelé přenosných počítačů. Právě o ty mají zloději největší zájem a je tedy třeba data v nich uložená pečlivě chránit. Šifrování m e z i p a m ě t i souborů offline konfiguruje správce v dialogovém okně Možnosti složky na kartě Soubory offline a šifrování se poté týká všech uživatelů. Existuje také možnost šifroval tuto mezipaměť pomocí zásady v objektu zásad skupiny. Další informace o funkci Soubory offline naleznete v kapitole 21, „Firma se rozhodla na koupit přenosné počítače". Šifrování mezipaměti souborů offline není možné v systémech Windows 2000.

Zakažte šifrování sdílených složek v síti s dokumenty určenými více uživatelům Typickým příkladem takové sdílené složky je knihovna dokumentů naší organizace. Po kud by si některý z uživatelů zašifroval dokumenty, ke kterým má přístup (pro šifrování je nutné mít oprávnění Měnit), ostatní uživatelé s nimi nebudou moci pracovat. Řešením by sice bylo sdílení šifrovaných dokumentů, ale konfigurace by byla příliš složitá, navíc by záleželo na dohodě mezi uživateli. Lepším řešením je šifrování souborů v těchto složkách zakázat. Možná si vzpomenete na kapitolu 12, „Vytváříme firemní knihovnu dokumentů", kde proběhlo vytvoření celé knihovny, a kde jsme také případné šifrování zakázali. Do každé složky jsme doplnili soubor Desktop.ini, jehož obsah byl následující: [Encrypti on] Disable=l

Chcete-li tedy zamezit šifrování obsahu složky, vytvořte v ní výše uvedený soubor.


294

Existence/neexistence agentů obnovení Šifrujete-li soubor v počítači se systémem Windows XP Professional nebo Windows Server 2003, který je součástí domény bez agenta obnovení (někdo jej dříve odstranil), šifrování se podaří, nicméně nebudete mít zajištěno obnovení souboru v případě, kdy přijdete o soukromý klíč. Budete-li šifrovat stejným způsobem soubor v systému Windows 2000, šifrování se nezdaří. Systém Windows 2000 bez existence agenta obnovení nepovolí zašifrování souboru.

výchozí agenti obnovení Pokud budete šifrovat soubor v počítači, který je členem domény jako doménový uživatel, je výchozím agentem obnovení správce domény (Administrátor). Pro místní uživatele je výchozím agentem obnovení v systémech Windows 2000 místní Správce (Administrátor), v systémech Windows XP Professional a Windows Server 2003 místní agent obnovení neexistuje. V doménách se systémem Windows NT 4.0 je výchozím agentem obnovení vždy místní správce počítače (vyjma systémů Windows XP Professional a Windows Server 2003, které tohoto agenta nemají).

Zjednodušení šifrování Než uživatel zašifruje soubor či celou složku, musí absolvovat relativně dlouhou cestu klepání myší na správná tlačítka a zaškrtnutí správných políček. Následující postup přidá nabídku Šifrovat/Dešifrovat do místní nabídky v konkrétním počítači. 1. Přihlaste se jako správci k počítači, ve kterém chcete místní nabídku upravit. 2. Spusťte příkaz regedit.exe a přejděte na klíč HKEY_LOCAL_MACHINE\SOFT-WARE\Microsoft\Windows\Current Version\Explorer\Advanced. 3. V nabídce Upravit klepněte na položku Nový a poté klepněte na položku Hodnota DWORD. Do názvu zadejte text EncryptionContextMenu a do pole Data hodnotu 1. 4. Zavřete všechna okna aplikace Průzkumník Windows. Poté se nové nastavení projeví.

Zákaz šifrování v konkrétním počítači Šifrování je možné v konkrétním počítači zakázat. Takové nastavení se nijak nedotkne ostatních počítačů. Postupujte podle následujících pokynů: 1. 2. 3. 4. 5.

Přihlaste se k danému počítači jako správci. Spusťte příkaz regedit.exe a přejděte na klíč HKEY_LOCAL_MACHINE\SOFT. WARE\Microsoft\Windows NT\Current Version\EFS. V nabídce Upravit klepněte na položku Nový a poté na položku Hodnota DWORD Do názvu zadejte text EfsConfiguration a do pole data hodnotu 1. Restartujte počítač.

Pokud se jakýkoli uživatel pokusí v tomto počítači zašifrovat soubor, zobrazí se stejná chybová zpráva jako v případě pokusu šifrovat soubor ve složce obsahující výše uvedený soubor Desktop.ini.

Zabezpečení počítačů a sítě V kapitole 10, „Zabezpečení přístupu" a v předchozí části této kapitoly jsme se věnovali zabezpečení dat v počítačích. Nyní víte, jak mohou správci zabezpečit data tak, aby se k nim dostali pouze oprávnění uživatelé a jak mohou uživatelé zabezpečení svých dat posílit šifrováním. Svou část k zabezpečení dat si řekla také kapitola 16, „Co když zítra „odejde" server?", která ukázala možnosti zabezpečení dat v případě výpadku hardwaru či poškození dat například virem. Ačkoli je i dnes mnoho správců přesvědčeno, že zabezpečení dat pomocí oprávnění NTFS zesílené případným šifrováním je vše, co mohou pro zabezpečení své sítě udělat, je před nimi stále ještě jedna velká oblast týkající se zabezpečení jednotlivých počítačů, serverů, případně přenosu dat v síti. Co sem patří? Jestliže se v oblasti dat hovořilo a často používalo slovo oprávnění, potom zde se používá slovo právo. Je pouze otázkou konfigurace, kdo bude mít například právo vůbec se k počítači přihlásit, kdo má právo k němu přistupovat přes síť, kdo má právo zálohovat data, kdo má právo měnit systémový čas a další. Dále nesmíme vynechal zabezpečení systémového registru, který obsahuje informace o konfiguraci počítači-, za jistit nespouštění služeb, které počítač ke své činnosti nutně nepotřebuje, a další. Dalších nastavení zabezpečení je poměrně dost, přičemž jistě podvědomě cítíte, že různí role počítačů mohou vyžadovat jiné přístupy k zabezpečení. To, co platí pro roli souborového serveru, již může být málo pro řadič domény a ještě méně pro počítač plnící roli certifikačního úřadu. Pravděpodobně však budou mít všechny počítače některá nastavení ve výchozím stavu společná - základní - nastavení zabezpečení. Celou oblast zabezpečení lze rozdělit do dvou celků nazývaných v anglickém jazyce Getsecure a Staysecure. Getsecure (tedy Zabezpečení) je proces sestávající z konfigurace všech nutných možností zabezpečení. Staysecure (Sledování zabezpečení) je oblast lýka jící se pravidelného sledování změn v zabezpečení sítě, implementace nových oprav a aktualizací a změn v zabezpečení odpovídajících vnějším podnětům.

V této části se nejprve podíváme na oblast konfigurace zabezpečení a poté na možnosti sledování zabezpečení.

Konfigurace zabezpečení počítačů a sítě 1. Přihlaste s jako správci k počítači PC001 a spusťte nástroj Uživatelé a počítače služby Active Directory.


295

2. Otevřete objekt zásad skupiny Default Domain Polky. V levém podokně přejděte do složky Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení. Zobrazí se jednotlivé součásti zabezpečení. Obrázek 22.25 Část objektu zásad skupiny týkající se zabezpečení

Vyznám jednotlivých částí shrnuje následující tabulka.

Název položky

Význam

Zásady účtů

Zde se například určuje, jak budou muset vypadat hesla doménových uživatelů, zda se při několika neúspěšných pokusech v jistém časovém rozmezí účet automaticky zamkne a dále parametry a časové platnosti lístků protokolu Kerberos.

Místní zásady

Zde se konfiguruje audit činností v síti, přiřazení práv uživatelům a skupinám (například kdo se může k počítači vůbec přihlásit) a základní možnosti zabezpečení (například v přihlašovacím okně nebude uvedeno jméno naposledy přihlášeného uživatele).

Protokol událostí

Obsahuje zásady pro konfiguraci protokolů událostí (aplikační, systémový a zabezpečení).

Skupiny s omezeným členstvím

Zde se definuje a „hlídá" členství v konkrétních skupinách. Uživatelé, kteří jsou do zde uvedené skupiny vloženi v konkrétním počítači, budou po aplikaci zásad automaticky odebráni.

Systémové služby

Které služby se budou při spuštění počítačů spouštět automaticky, které budou nastavené na ruční spouštění a které budou zakázány a spouštět se nebudou? To vše se definuje zde.

Název položky

Význam

Registr

Chcete zabezpečit přístup ke konkrétním větvím registru? Nebo naopak - chcete tento přístup povolit běžným uživatelům? Zdemáte možnost zasáhnout do větve registru HKEY_LOCAL_MACHINE.

Systém souborů

Pomocí této části lze definovat oprávnění NTFS na konkrétní soubory či složky v počítačích, kterých se tyto zásady týkají.

Zásady veřejných klíčů

Zde se definují agenti obnovení dat, automatické zapisování certifikátů pro účty počítačů, důvěryhodné certifikační úřady (obecné) a důvěryhodné certifikační úřady v rámci vlastní sítě,

Zásady omezení softwaru

Chcete uživatelům omezit spouštění nepovolených programů? Zde je pro to vhodné místo.

Zásady zabezpečení protokolu IP - Active Directory

Zde se definuje podepisování a šifrování paketů protokolu IP v síti.

Tabulka 22.1 Hlavní části pro konfiguraci zabezpečení počítačů a sítě Poznámka Pokud otevřete stejný objekt zásad skupiny přímo v počítači s operačním systémem Windows Server 2003, zobrazí se navíc ještě jedna část - Zásady bezdrátové sítě (IEEE 802.11). Pomocí té lze konfigurovat zabezpečení provozu v místní bezdrátové síti.

Nyní se podíváme trochu podrobněji na jednotlivé položky. Rozhodně zde není prostor pro to, abychom prošli všechny zásady, nicméně v každé části se u některých zastavíme. Při procházení jednotlivých částí zabezpečení neprovádějte jejich konfiguraci - i když by to fungovalo, nebylo by to systémové. Na systémovou práci se zásadami zabezpečení se podíváme později. Zásady účtů Na úvod jedna velmi podstatná informace. Zásady definované v této části platí pro celou doménu. Pokud budou součástí jiného objektu zásad na úrovni organizační jednotky, bu dou se týkat pouze místních uživatelských účtů v počítačích, jejichž účty jsou v dané or ganizační jednotce. Znamená to, že


296

všichni doménoví uživatelé mají jednotné zásady tý kající se délky a složitosti hesel, jejich zamykání a práce s lístky protokolu Kerberos. Zásady hesla

V první položce - Zásady hesla - jsou již předdefinované zásady, které vedou k nutnos ti používat poměrně bezpečná hesla. Význam jednotlivých nastavení je uveden v tabulce 22.2. Zásada

výchozí nastavení

význam

Heslo musí splňovat požadavky na složitost

Ano

Heslo může obsahovat: malá písmena, velká písmena, číslice a speciální znaky. Tato zásada říká, že skutečná hesla musí obsahoval alespoň tři ze čtyř uvedených možností (například malé písmeno, velké písmeno a speciální znak).

Zásada

Výchozí nastavení

Význam

Maximální stáři hesla

42 dnů

Minimální délka hesla

7 znaků

Minimální stáří hesla

1 den

Ukládal hesla všech uźivatelu v doméně pomocí reverzibilního šifrování Vynutil použití historie hesel

Zakázáno

Heslo může uživatel používat nejdéle 42 dnů. Poté mu nebude bez jeho změny povoleno přihlášení k počítači. Výjimku tvoří účty, které mají ve svých vlastnostech zaškrtnuté políčko Heslo je stále platné. Každé heslo musí mít nejméně uvedený počet znaků. Jestliže si uživatel změní heslo, musí je používat nejméně jeden den. Teprve poté si je může znovu změnit. Toto nastavení zabrání uživatelům v tom, aby během krátkého časového úseku „protočili" předem vypsaná hesla a vrátili se tak zpět ke svému původnímu. Tato zásada je nutnou podmínkou pro správnou funkci ověřovacího protokolu CHAP, na druhou stranu jsou při jejím povolení hesla uživatelů mnohem méně zabezpečena. Tato zásada zajistí, že uživatelé nebudou neustále střídat například dvě hesla, ale vždy si budou muset vymyslet heslo nové.

24 hesel zapamatováno

Tabulka 22.2 Zásady hesel Takto nadefinované zásady byste v doméně se systémy Windows 2000 hledali marně. Zde je velmi markantně vidět rozdíl v přístupu společnosti Microsoft k výchozímu zabezpečeni operačních systémů.

jediné heslo, které lze v doméně používat, aniž splňuje výše uvedené zásady, je heslo účtu uživatele s oprávněními správce, který provedl instalaci role řadiče domény. Přesto, že jeho heslo předtím nemuselo splňovat uvedené zásady, může jej používat. V případě vypršení platnosti hesla však již bude nucen své heslo změnit podle těchto zásad. Žádné další zásady neovlivní uživatele tak výrazně,"jako jsou zásady hesel. Ty pozná to-tiž každý na vlastní kůži. Vymýšlet každých 42 dní heslo, které je dlouhé alespoň 7 zna-ku a obsahuje například velké písmeno, číslici a speciální znak, nebude jistě úplně jednoduché. To je však v pořádku, neboť hlavním cílem těchto zásad je, aby hesla nebyla snadno uhádnutelná případným útočníkem. Protože ne vše se dá zachytit formou zásad, potom kromě výše uvedených, které pouze \ vnucují jistou formu hesel, je pro organizaci vhodné vydat směrnici, která bude pro uži-vatele vodítkem pro vytváření bezpečných hesel. Z níže uvedených doporučení si vyberte ta, která vám budou vyhovovat (optimálně všechna): ♦ Jako hesla nepoužívejte běžná slova, která je možné vyhledat ve slovnících či se s nimi setkat v běžném hovoru. ♦ Nepoužívejte hesla, která by měla na konci inkrementující se číslo (například MujPes0, MujPesl, MujPes2 atd.). Nepoužívejte hesla, která mohou ostatní osoby uhádnout při pohledu na váš pracovní stůl (například jména členů rodiny, oblíbené sportovní týmy apod.). ♦ Používejte hesla, která pro své zadání vyžadují obě ruce na klávesnici. ♦ V heslech používejte speciální znaky tvořené stiskem klávesy Alt spolu s jinou kombinací (například Alt+10). ♦

Největší potíže mívají uživatelé s délkou hesla. I čtyři znaky jsou pro některé moc a vy po nich najednou budete chtít sedm a více znaků. Taková změna se velmi těžko prosa zuje, zejména z pozice správce sítě. Proto se v podobných případech obraťte na vedeni společnosti, vysvětlete mu případná rizika a požádejte o podporu vašeho rozhodnutí. Proč je délka hesla a jeho složitost tak důležitá? Předpokládejme, že útočník se bude snažit uhádnout heslo metodou hrubé síly (brute force). Jestliže se bude 7znakové heslo skládat pouze z malých písmen, existuje celkem 26' kombinací. Jestliže zapojíme také velká písmena, zvýší se počet kombinací na 52'. A přidáme-li ještě navíc číslice, je výsledkem číslo 62'. Pokud útočník použije nástroj, který vyzkouší 1 milion kombinací za sekundu, může celý proces trvat přibližně 978 hodin (tj. necelých 41 dnů) - a to nesmí zkoušet speciální znaky. 8znakové heslo může mít naproti tomu za stejných podmínek 628 kombinací a čas jejich vyzkoušení se tím prodlouží na 60 650 hodin, tj. 2 527 dní. Jedná se tedy o exponenciální nárůst doby zjištění hesla. Celý


297

proces by byl ve skutečnosti ještě složitější, ale pro představu o důležitosti řádně dlouhých hesel to postačuje. zásady uzamčení účtů Pomocí těchto zásad je možné vyloučit ze hry amatérské útočníky, kteří se snaží uhádnout heslo uživatele při přihlašování. Výchozí nastavení účty neuzamyká, což nemusí být pro každé prostředí optimální. Můžete se zde setkat s následujícími nastaveními: Zásada

význam

Prahová hodnota pro uzamknutí účtu

Určuje počet neúspěšných pokusů o přihlášení, po kterých se účet uzamkne. Pokud je zde uvedena hodnota 0, nedojde nikdy k uzamčení účtu. Udává počet minut, po kterých se počet neúspěšných přihlášení nuluje. Určuje dobu, po které se účet automaticky odemkne. Je-li hodnota 0, je nutné účet odemknout ručně.

Vynulovat čítač pro zamknutí účtu po Doba uzamčení účtu

Tabulka 22.3 Zásady uzamčení účtů Konfigurace zamykání účtů může být dalším zabezpečením prostředí, může však také vest k přetížení správců, kteří budou nuceni účty odemykat. Jestliže jsou zásady nakonfiguro vány na zamykání účtu, může například dojít k situaci, kdy si uživatel uzamkne vlastni účet tak, že je přihlášen k jednomu počítači a v jiném počítači mezitím změní své hesle >. První počítač má tak neplatné heslo a pokud se bude pokoušet o ověření uživatele, mi i že dojít k uzamčení jeho účtu. Proto je v případě nasazení těchto zásad nutné správně zvolit prahovou hodnotu pro ne úspěšná přihlášení, která bude čelit pokusům na uhádnutí hesla, ale zároveň zamezí za mykání účtu podle uvedeného příkladu se dvěma počítači (takovou hodnotou může hýl například 50). Druhou možností je tyto zásady nekonfigurovat. To si v zabezpečené síti můžete dovolit, ale pouze za předpokladu, že: ♦ Existují zásady vynucující maximální délku hesla 8 znaků a jeho složitost. ♦ V síti existuje mechanismus, který je schopen upozornit na výskyt událostí uzamčení účtu a neúspěšná přihlášení značící útok na heslo (například Microsoft Opera-tions Manager 2000). Zásady modulu Kerberos Protokol Kerberos je výchozím ověřovacím protokolem v doménách Active Directory. Pro většinu prostředí je výchozí nastavení zásad postačující, naši organizaci nevyjímaje. Tím jsme dokončili část zásad týkající se všech doménových účtů.

Místní zásady Název této části nevyjadřuje přesně to, co se zde dá všechno nakonfigurovat. Nenechte se tedy zmást a pojďme se podívat na konkrétní oblasti. Zásady auditu Audit činnosti sítě je z pohledu zabezpečení velmi důležitým procesem. Jinak je totiž téměř nemožné zjistit, že se například již podvacáté za poslední dvě minuty nezdařilo přihlášení uživatele, že došlo k uzamčení uživatelského účtu nebo například že se neopravněný uživatel snažil přistoupit k souborům ve sdílené složce, ke kterým nemá uděleno potřebné oprávnění. Vždy je možné auditovat úspěšné pokusy a neúspěšné pokusy. Zatímco u sledování pří-stupu k objektům nemusí být úspěšné pokusy pro správce zajímavé (nepřinášejí žádnou Informaci, neboť došlo k události, která se očekávala), mohou být užitečné u auditu pri-hlášení. Při konfiguraci auditu je tak třeba zvážit, co auditovat. Události, které lze auditovat, shrnuje tabulka 22.4. Zásada auditu

význam

Auditovat používání oprávnění

K auditu události dojde v tomto případě vždy, kdykoli uživatel využije své právo v doméně či v počítači. Povolení auditu způsobí vytváření velkého množství událostí, které jsou zvláště nepřehledné. Možná proto se (i když je toto auditování povoleno) neauditují práva Obejít křížovou kontrolu, Ladit programy, Vytvořit objekt tokenu, Nahradit token úrovně procesu, Generovat audity bezpečnosti, Zálohovat soubory a adresáře a Obnovit soubory a adresáře.

Auditovat přístup k adresářové službě

Zde se audituje přístup uživatele k objektu v doméně Active Directory, který má vlastní seznam řízení přístupu (kartu Zabezpečen). Oba typy auditování (úspěšný pokus, neúspěšný pokus) mohou generovat velký objem událostí. Proto se doporučuje tyto události auditovat pouze v případě, kdy je nutně potřebujete. Navíc je nutné tento typ auditu konfigurovat v objektu zásad skupiny, do jehož působnosti spadají řadiče domény. Pouze na těch dojde k zápisu událostí,

Auditovat přístup k objektům

Audituje se přístup k objektu, kterým může být soubor, složka, klíč registru či tiskárna - jednoduše každý objekt, který má vlastní seznam řízení přístupu (kartu ZabezpečenO. Protože se ze všech možností auditu jedná o nejvíce událostí, které se zapisují do protokolů, doporučuje se provádět tento audit pouze v případě nutnosti.

Zásada auditu

Význam


298

Aby vše pracovalo, je nutné po konfiguraci této zásady provést ještě konfiguraci ve vlastnostech prostředku, ke kterému chcete přístup auditovat. Auditovat sledování procesů

Zde se audituje spuštění procesu, jeho ukončení, případně nepřímý přístup k procesům. Protože při auditu dochází k velkému výskytu událostí, provádějte jej pouze v případě nutnosti. Takovým případem je například řešení potíží s počítači, které se nechovají stabilně.

Auditovat správu účtů

Někdo ze správců například odstraní účet uživatele a nikdo se k tomu nechce přiznat. Jiný uživatel se může snažit odstranil účet svého kolegy (sice k tomu nemá oprávnění, ale zkusit t< > může). Pro zachycení těchto případů je nutné auditovat správu účtů (úspěšnou i neúspěšnou). Poté se audituje: ♦ Vytvoření, změna a odstranění uživatelského účtu nebo skupiny ♦ Přejmenování, zakázání a povolení uživatelského účtu ♦ Nastavení či změna hesla

Auditovat systémové události

Systémovou událostí je například vypnutí či restartování počítače nebo stav, kdy dojde ke změně v zabezpečení sítě či k práci s protokolem zabezpečení. Protože je úspěšných a neúspěšných událostí tohoto typu auditu velmi málo a všechny jsou z hlediska informací významné, doporučuje se konfigurovat audit obou typů.

Auditovat události přihlášení

Zde se audituje interaktivní přihlášení a odhlášení od počítače či síťový přístup k prostředku v jiném počítači. Události se zapisují do protokolu v počítači, ve kterém k přihlášení došlo.

Auditovat události přihlášení k účtu

Auditovat změny zásad

Zde se audituje ověření přihlášení a odhlášení účtu řadičem domény. Události se zapisují do protokolu řadiče domény, kterj provedl ověření, a obsahují informace, ke kterému počítači k přihlášení došlo. Aby se tato zásada uplatnila, musí se objekt s touto zásadou aplikovat na řadiče domény. Zde se auditují změny zásad v částech Zásady auditu, Přiřazeni uživatelských práv a Možnosti zabezpečení. Informace v protokolu mohou posloužit při odstraňování potíží, neboť zjistíte, který uživatel předtím změnil jakou zásadu.

Tabulka 22.4 Zásady auditu Při konfiguraci auditu dejte pozor, aby počítače hned na úvod nezačaly protokolovat vel ké množství událostí. Správci jsou pak množstvím událostí zděšeni, navíc vzhledem k je jich relativní složitosti nenaleznou čas se zabývat příčinami, proč se vlastně události ge nerují. Celý proces auditu pak může být namísto dobré pomůcky chápán jako nutné zlo a zabezpečení sítě (zejména oblast Stay secure) dostává řádnou trhlinu. Přiřazení uživatelských práv Tato část obsahuje definici práv uživatelů. Možná překvapivě zde nenajdete žádnou na konfigurovanou zásadu. To znamená, že platí zásady uvedené v objektech přiřazených organizačním jednotkám obsahujícím účty počítačů (to je případ řadičů domény) nebu místní zásady zabezpečení definované v jednotlivých počítačích (to je případ ostatních počítačů v naší organizaci).

Aby se konfigurace této části zásad ve všech počítačích sjednotila, bylo by vhodné některé zásady nakonfigurovat na této úrovni nebo na úrovni organizační jednotky obsahující klientské počítače a členské servery. Konkrétní konfiguraci si však necháme na později. Zásady a jejich význam jsou uvedeny v tabulce 22.5. Zásada (právo)

význam

Generovat audity bezpečnosti

Právo umožňuje procesům generovat události auditu do protokolu zabezpečení. Účty, které mají oprávnění zapisovat tyto události, by mohl případný útočník využít k zápisu nesmyslných událostí clo protokolu. Pokud je navíc protokol nakonfigurován tak, že se budou události přepisovat podle potřeby, může zaplněním protokolu odstranit infonnace o své činnosti v síti. Proto by toto právo měly mít pouze účty Local Service a Network Service.

Jednat jako část operačního systému

Umožňuje procesům převzít uživatelský účet a získat přístup k prostředkům, ke kterým má účet přístup. Každý, kdo získá toto právo, má možnost převzít řízení celého počítače a odstranit tak veškeré informace o své činnosti. Toto právo by měla mít pouze co nejmenší skupina uživatelů. Není žádný důvod dávat jej automaticky skupině Administrátore. Pokud jej vyžaduje služba, spouštějte ji pod účtem Local System.

Ladil programy

Toto právo umožňuje uživatelům připojit ladicí nástroje k jakémukoli procesu. Uživatelé tak mohou získat přístup k citlivým a kritickým součástem operačního systému. Útočník může pomocí tohoto práva získat citlivé informace z paměti počítače. Protože v provozním prostředí nevzniká potřeba ladit programy, je vhodné odebrat toto oprávnění všem uživatelům a skupinám a přidělit je opravdu jen v případě ladění. Nahradil token úrovně procesu Toto právo umožňuje nadřazenému procesu nahradit token podřízeného procesu. Uživatel, který má toto právo a zároveň právo Upravit kvóty paměti pro proces (viz níže), může spouštět procesy jako jiný uživatel. Může se tak skrýt a provádět v počítači nepovolené operace. Toto právo by měly mít pouze skupiny Local Service a Network Service.

Obejít křížovou kontrolu

Toto právo umožňuje uživatelům procházet adresáře bez ověření oprávnění Procházet složkou. Uživatel nevidí obsah složky, pouze může procházet hierarchii složek. Ve výchozím nastavení mají toto právo všichni uživatelé. Pokud jste s tím jako správci dosud nepočítali, mohli uživatelé procházet podsložky složky, ke které neměli přístup. Ve zvláště bezpečné síti je možné odebrat skupinu Everyone, případně Users.

Obnovit soubory a adresáře

Jedná se o právo, které umožňuje obnovit soubory a složky včetně zabezpečení bez ohledu na to, zda k nim má uživatel potřebná oprávnění. Případný útočník by tak mohl například obnovit stará data do provozního systému, což by vedlo ke ztrátě aktuálních dat. Toto právo však nezabrání útočníkovi obnovit data v počítači mimo síť. Právo by tak měla mít pouze skupina Administrátore.


299

Zásada (právo)

Význam

Odepřít místní přihlášení

Tato zásada zabrání uživateli přihlásit se k počítači pomocí klávesnice (takzvané interaktivní přihlášení). Zde by měl být uveden alespoň účet Support_388945a0, který je učen pro funkci Vzdálená pomoc.

Odepřít přístup k tomuto počítači ze sítě

Tato zásada zabrání uživateli v přístupu k počítači ze sítě. Uživatel, který má právo přistupovat přes síť k počítači, si může zobrazit seznam účtů, názvů skupin a sdílené prostředky. V této zásadě by měly být uvedeny všechny účty, které nemají žádnou potřebu přístupu přes síť - Anonymous Logon, místní účty Administrátor a Guest, účet Support_388945a0 a veškeré servisní účty (výjimku tvoří servisní účty, jež po síti vyžadují přístup k počítači, například pro přístup k virtuálnímu adresáři služby IIS mapovanému do daného počítače).

Povolit přihlášení terminálovou službou

Toto právo umožňuje uživateli přihlásit se k počítači pomocí funkce Vzdálená plocha. Pro tuto funkci existuje v systémech Windows XP Professional/Windows Server 2003 skupina Remote Desktop Usere, úpravou jejíhož členství můžete toto právo udělit. Na řadičích domény by měla mít toto právo pouze skupina Administrátore, v ostatních počítačích navíc skupina Remote Desktop Users.

Provádět úlohy údržby svazku

Toto právo umožňuje uživatelům spravovat disky a svazky. Protože by uživatel s tímto právem mohl odstranit svazek, udělte je pouze skupině Administrátore.

Převzít vlastnictví souborů nebo jiných objektů

Toto právo umožňuje převzít vlastnictví zabezpečených objektů včetně objektů domény Active Directory, souborů, klíčů registru, tiskáren, služeb, procesů a dalších. Uživatel s tímto právem může převzít jakýkoli objekt a následně s ním nakládal jak uzná za vhodné. Proto je třeba zajistit, aby toto právo neměl nikdo jiný než skupina Administrátore.

Spravovat protokol auditu a bezpečnosti

Toto právo umožňuje uživateli konfigurovat audit objektů v doméně Active Directory, souborů a klíčů registru. Dále může zobrazit a vymazat protokol zabezpečení. Jedná se o velmi silné právo z hlediska zabezpečení, neboť uživatel může vymazat protokol zabezpečení a odstranit tak informace o předchozích činnostech. Toto právo by měla mít pouze skupina Administrátore.

Upravit kvóty paměti pro proces

Toto právo umožňuje uživateli definovat velikost paměti, kterou bude mít proces k dispozici. Primárně slouží k účelům ladění systému, případný útočník však může záměrně chybnou konfigurací výrazně zpomalit či přerušit funkce důležitých aplikací.

Vytvořit objekt tokenu

Toto právo umožňuje procesu vytvořit token, který poté m u ž e použít k získání přístupu k místním prostředkům. Přístupový token se uživateli vytváří při přihlášení k síti. Při zrušení některého práva, které je součástí tokenu, se zrněni projeví ihned v registru, ale u uživatele až při dalším přihlášeni Pomocí tohoto práva je však možné změnit token u aktuálně přihlášeného uživatele. Toto právo by neměl mít žádný uživatel. Procesy, které je využívají, by se měly spouštět pod účtem Local System.

Zásada (právo)

Význam

Vytvořit stránkovací soubor

Toto právo umožňuje uživateli vytvořit a měnit velikost stránkovacího souboru. Pokud uživatel výrazně zmenší jeho velikost nebo jej přesune na fragmentovanou jednotku, může se výrazně snížit výkon systému. Toto právo udělte pouze skupině Administrators.

Zálohovat soubory a adresáře

Uživatel s tímto právem může zálohovat soubory bez ohledu na svá oprávnění a obnovit je v systému, ke kterému má oprávnění správce. Tam tak může získat k datům úplný přístup. Toto právo udělte pouze skupině správců, kteří provádějí zálohování.

Zamknout stránky paměti

Toto právo umožňuje procesu udržovat svá data v paměti. Systém je tak nemůže uložit v případě potřeby do stránkovacího souboru. Výsledkem může být výrazné snížení výkonu systému. Toto právo nepřidělujte žádným uživatelům.

Zavést a vyřadit ovladače zařízení

Změnit systémový čas

Toto právo určuje uživatele, kteří mohou dynamicky zavést a vyřadit ovladač zařízení. Netýká se podepsaných ovladačů, které jsou součástí souboru Driver.cab v počítači. Ovladače zařízení se spouštějí s vysokými právy. Toho by mohl využít případný útočník, který by jako ovladač mohl spustit nebezpečný kód. Toto právo umožňuje uživateli změnit systémový čas. Netýká se však změny letního času. Pokud uživatel změní nepřiměřeně čas, může způsobit potíže s přihlašováním k doméně. Právo udělte pouze uživatelům, kteří mají důvody měnit čas.

Tabulka 22.5 Některá z uživatelských práv Možnosti zabezpečení

V této části objektu zásad skupiny je možné a zároveň nutné definovat další možnosti zabezpečení. Některé z nich jsou včetně vysvětlení uvedené v tabulce 22.6. zásada

význam

Audit: auditovat oprávnění

Pokud je tato zásada povolena, budou se v případě, že je


300

k zálohování a obnovení dat

zároveň povoleno auditování používání oprávnění, auditovat všechny události zálohování či obnovení každého souboru. Ačkoli může toto nastavení pomoci zjistit správce, který například obnovil starší soubory přes novější, doporučuje se tuto zásadu zakázat. V opačném případě se generuje příliš mnoho událostí, které mohou zpomalit systém.

Audit: Není-li možno protokolovat auditování zabezpečení, vypnout okamžitě systém

Dojde-li k zaplnění protokolu zabezpečení, operační systém se zastaví a zobrazí chybu STOP (modrá obrazovka). Obecně lze říci, že tato chyba se zobrazí v případě, kdy není možné protokolovat žádné události zabezpečení. Poté se může k počítači přihlásit pouze místní správce, který musí události uložit a poté vyprázdnit protokol. V bezpečném prostředí nelze připustit stav, kdy se nebudou protokolovat důležité události auditu. Proto se doporučuje tutu zásadu povolit. Samozřejmě s tím stojí ruku v ruce pravidelné zálohování událostí a vyprazdńování protokolu

Zásada

Význam

Člen domény: vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu

Tato zásada určuje, že komunikace mezi členy a řadiči domény bude vždy zašifrována a digitálně podepsána. Jedná se o výchozí nastavení domény Active Directory se systémem Windows Server 2003. Z pohledu klientských počítačů zvládnou tuto komunikaci systémy Windows 2000 a vyšší, systém Windows NT 4.0 s aktualizací SP3 a vyšší a systém Windows 98 s nainstalovaným klientem adresářové služby. S tímto nastavením souvisí i dvě další - Člen domény: je-li možno, digitálně podepsat data zabezpečeného kanálu a Člen domény: je-li možno, digitálně zašifrovat data zabezpečeného kanálu. Tato nastavení mohou podepisování či šifrování využít, pokud to klientský počítač a řadič domény umí, v žádném případě je však nemusí vynutit.

Interaktivní přihlašování: chování při odebrání karty Smart Card

Pokud používáte kartu Smart Card pro přihlašování k počítači, je možné touto zásadou určit, co se stane v okamžiku, kdy kartu odeberete ze čtečky. Možnosti jsou Žádná akce, Uzamknout pracovní stanici a Vynutit odhlášení. Zejména možnost Uzamknout pracovní stanici může být užitečná, pokud uživatelé kartu zároveň používají k pohybu po firmě. Potom se nemůže stát, aby uživatel nebyl u počítače a ten zůstal odemčený.

Interaktivní přihlašování: název zprávy pro uživatele pokoušející se přihlásit

Tato možnost jde ruku v ruce s možností Interaktivní přihlašování: Text zprávy pro uživatele pokoušející se přihlásit. Jsou-li tyto možnosti využity, zobrazí se uživateli po stisku kombinace kláves Ctrl+Alt+Del uvedená zpráva (s uvedeným titulkem). Běžně se zde zadávají informace typu „Přihlásit se může pouze uživatel, který má v doméně účet", „Tento počítač je majetkem společnosti" nebo „Vaše činnost může být monitorována".

Interaktivní přihlašování: nevyžadovat stisknutí kláves Ctrl+Alt+Del

Tuto možnost zapracovala společnost do systémů pro zjednodušení přihlášení tělesně postižených uživatelů. Na druhou stranu - není-li tento krok vynucen, mohou se projevit nástroje typu trojských koňů, které se budou tvářit jako přihlašovací dialogové okno a zachytí heslo uživatele. Platí, že tato zásada by měla být pro všechny počítače zakázána.

Interaktivní přihlašování: nezobrazovat naposledy použité uživatelské jméno

Budete-li se přihlašovat k počítači, měli byste vždy zadávat přihlašovací jméno a heslo. To však není výchozím nastavením domény a v poli uživatelské jméno je tak vždy vidět jméno naposledy přihlášeného uživatele. Potenciálnímu útočníkovi pak stačí hádat už jenom heslo. Tuto zásadu vždy povolte. Uživateli si však poté budou muset zvyknout také na fakt, že k přihlášení potřebují kromě hesla i přihlašovací jméno.

Interaktivní přihlášení: počet předchozích přihlášení uložených v mezipaměti pro případ, že řadič domény není k dispozici

Každé přihlášení uživatele by měl ověřovat řadič domény. Pokud řadič domény nebude k dispozici, uživatel se nebude moci přihlásit. Vyhnete se tak nepříjemnostem, kdy zatímco je uživatel přihlášen, jako správci zakážete jeho účet. Uživatel poté odpojí počítač od sítě a znovu se k němu přihlásí. Tato zásada by tak měla být nastavena na hodnotu 0. Bohužel to však nelze použít pro uživatele přenosných počítačů, kteří se potřebuji přihlašovat do svého profilu i když budou mimo síť. Proto je vhodné na úrovni domény nastavit hodnotu 0, zatímco na úrovni organizační jednotky sdružující účty přenosných počítaču

hodnotu 2. Zásada

význam

Interaktivní přihlašování: Požadovat ověření řadičem domény k odemknutí pracovní stanice

Není-li zásada povolena, potom se při odemykání počítače použijí pověření z mezipaměti. Pokud mezitím došlo v doméně ke změnám daného účtu, po odemknutí se neprojeví. Tato zásada by měla být vždy povolena, v opačném případě bude například možné odemknout počítač pomocí účtu, který mezitím správce domény zakázal.

Klient sítě Microsoft: serverům SMB třetích stran odesílat nezašifrované heslo

SMB je protokolem pro sdílení prostředků podporovaný operačními systémy společnosti Microsoft. Pokud budete komunikovat se servery SMB, které nemají operační systém Microsoft a jež neumějí během ověření pracovat se zašifrovaným heslem, heslo by bylo přenášeno nezašifrované. To je absolutně nepřípustná situace a tato zásada musí být vždy zakázána.

Konzola pro zotavení: Umožnit kopírování disket a přístup ke všem jednotkám a složkám

Ačkoli je po povolení této zásady možné přistupovat v prostředí nástroje konzola pro zotavení ke všem souborům na disku a lze je kopírovat i na disketu, nedoporučuje se tuto zásadu povolovat.


301

PHlttup do sítě: Povolit anonymní překlad SID/názvu

Je-li tato zásada povolena, může anonymní uživatel na základě kódu SID určit přihlašovací jméno uživatele Administrátor přesto, že byl účet Administrátor přejmenován. Proto tuto zásadu vždy zakažte.

Přístup k síti: Nepovolit anonymní tvorbu výčtu účtů SAM Přístup k síti: Nepovolit anonymní tvorbu výčtu účtů SAM a sdílených položek

Anonymní uživatel nesmí mít možnost provádět výčet účtů z databáze SAM, neboť by tak mohl zjistit uživatelská jména a pomocí útoku zvaného „sociál engineering" by poté mohl získat hesla těchto uživatelů. Obě zásady je třeba povolit (jejich povolení zakáže anonymní výčet).

Pŕístup k síti: Povolit oprávnění účtu Everyone pro anonymní uživatele

Přístupový token vytvořený pro anonymní připojení neobsahuje kód SID skupiny Everyone. Pokud byste zásadu povolili, využívala by tato připojení oprávnění skupiny Everyone spolu se všemi oprávněními, která byla skupině Everyone udělena. Tuto zásadu je třeba zakázat.

Server sítě Microsoft: automaticky Pokud vyprší povolená doba pro přihlášení uživatele odpojil uživatele po uplynutí doby (definovaná ve vlastnostech jeho účtu), bude uživatel odpojen přihlášení (místní) týká se činností využívajících protokol SMB. Tuto zásadu povolte, neboť v opačném případě nemá omezení doby pro přihlášení význam. Zároveň povolte zásadu Zabezpečení sítě: Vynutit odhlášení pokud vyprší časový limit pro přihlášení. Účty: Přejmenovat účet hosta a Zkušenější uživatelé vědí, že v každém systému existuje účet Účty: Přejmenovat účet správce Administrátor a Guest (to samé ví i případný útočník). Pokud je chce využít, postačí uhádnout pouze heslo. Pokud bude zásada povolena a účty přejmenované na těžko uhádnutelné přihlašovací jméno, budou to mít útočníci těžší. Účty: stav účtu správce

Pro mnoho organizací může být požadavek na pravidelné změny hesel místních správců téměř nemožný. Zakázání tohoto účtu je tak rozumnou volbou. To navíc zajistí obranu proti útokům na uhádnutí hesla. Tuto zásadu tedy povolte a stav účtu nastavte na Zakázat. Stejné nastavení proveďte u zásady Účty: stav účtu hosta.

Zásada

Význam

Vypnutí: povolit vypnutí systému bez nutnosti přihlášení

Pokud není zásada povolena, potom může každý uživatel, který má přístup ke konzole počítače (nemusí mít ani svůj účet), vypnout počítač. To jistě není optimální, takže je vhodné vynutit před vypnutím počítače přihlášení. Zásadu tedy nastavte na Zakázat. Samozřejmě tím nezabráníte vypnutí počítačů přímo síťovým vypínačem, ale to je trochu jiná kategorie spadající do oblasti fyzického zabezpečení počítačů.

Vypnutí: vyčistit stránkovací soubor virtuální paměti

Do stránkovacího souboru na disk se ukládají informace z paměti počítače. Soubor tak může obsahovat dokonce čitelné informace z jinak šifrovaných souborů. Aby se útočník nedoslal k datům stránkovacího souboru po spuštění jiného systému ve stejném počítači, bude vhodné tuto zásadu povolit. V takovém případě však dejte pozor na prodloužení doby vypnutí počítače a jeho spuštění. V prvním případě dochází k odstraňování poměrně velkého souboru, ve druhém případě naopak k jeho vytváření. Konečné rozhodnutí o aplikaci této zásady na servery s velkou operační pamětí je tedy na konkrétních podmínkách.

Zařízení: omezit přístup k disketové jednotce pouze na uživatele přihlášené místně a Zařízení: omezit přístup k jednotce CD-ROM pouze na uživatele přihlášené místně

Pokud je jeden uživatel přihlášen místně, zatímco druhý přistupuje k počítači po síti, mají ve výchozím nastavení oba přístup k disketové jednotce. Pokud tuto zásadu povolíte, bude mít k disketové jednotce povolen přístup pouze místně přihlášený uživatel. Po jeho odhlášení k ní může přistupovat uživatel přes síť. Jinými slovy - tato zásada zabrání v přístupu vzdáleného uživatele k disketové jednotce, pokud je místně přihlášen jiný uživatel.

Tabulka 22.6 Některé z možnosti zabezpečení Protokol událostí V této části objektu lze definovat všechny parametry základních třech protokolů - apli kačního, systémového a zabezpečení. Není zde navíc žádné nastavení, než přímo ve vlast nostech protokolů. Výhoda využití zásad skupiny je v možnosti konfigurovat protokoly ve více počítačích stejně a najednou a zabránit v jejich přepsání místními správci. Zásada

Význam

Maximální velikost protokolu

Toto nastavení určuje velikost konkrétního protokolu. Pozor! Rozhodně není cílem definovat co největší velikost protokolů. Protokoly využívají paměť počítače a jako takové se celé načítají do paměti. Všechny jsou spuštěné jako jediný proces. Omezeni systémů Windows určuje pro každý proces maximálně jeden gigabajt operační paměti. Pokud celková velikost všech protokolů v počítači tuto hranici přesahuje, mohou se vyskytnout potíže. Události se nemusí do protokolů zapsal (nebo přepíší předchozí události), a o tomto problému se nemusí zapsat žádná informace. Potíže může způsobil také fragmentace protokolů v paměti.

Zásada

Význam Zkušenosti říkají, že rozumný limit je pro všechny protokoly na většině serverů 300 MB. Pro určení velikosti


302

Doba uchování protokolu Metoda uchování protokolu Zabraňuje místní skupině Guests Získal přístup k protokolu

neexistuje jednoznačný návod, ale můžete si pomoci výpočtem -průměrná velikost jedné události je 500 bajtů a protokol musí mít velikost odpovídající násobku 64 kB. Záleží tedy pouze na tom, jak často chcete protokoly zálohovat a vyprazdňovat. Určuje počet dnů, po které zůstanou události v protokolu, než se začnou přepisovat (platí v případě, že Metoda uchování protokolu je nastavena na Přepisovat události podle data). Uvedenému intervalu musí odpovídat velikost protokolu. Určuje způsob, kterým se budou přepisovat starší události v protokolech. Možnosti jsou: Přepisovat události podle data, Přepisovat události podle potřeby a Nepřepisovat události (protokol vymazávat ručně). Určuje, zda má uživatel přihlášený jako Guest přístup k obsahu protokolů. Aby nezískal tento přístup potenciální útočník (údaje v protokolech by mohl využít k plánování svých dalších akcí), je nutné tyto zásady povolit.

Tabulka 22.7 Zásady v části Protokol událostí Pomocí zásad skupiny v části zabezpečení nelze konfigurovat protokoly Adresářová služ-ba, Služba replikace souborů ani DNS. Skupiny s omezeným členstvím Tuto část zásad skupiny můžete využít ke dvěma účelům: ♦

♦

Zabezpečení členství ve skupinách Tuto možnost jsme již využili v kapitole 17, „Správa prostředí klientských počítačů". V zásadě přidáte skupinu, jejíž členství chcete zabezpečit, a určíte její členy. Pokud dojde při dalším intervalu aplikace objektů zásad skupiny ke zjištění, že členství v dané skupině v konkrétním počítači neodpovídá členství zadanému v zásadě, automaticky se upraví podle informací ze zásady. Přidání uživatelů do místních skupin Pokud chcete přidat do každé místní skupiny Administrátore konkrétního uživatele, je tato možnost použití skupin s omezeným členstvím - vysvobozením. V opačném případě by totiž bylo nutné všechny počítače obejít a provést vložení uživatele ručně. Maximálně byste mohli obcházení počítačů nahradit konzolou MMC, ve které byste se postupně připojovali ke každému takovému počítači.

Ve výchozí konfiguraci domény neexistují žádné skupiny, jejichž členství by bylo třeba zabezpečit. To jistě není ideální, neboť alespoň tak zásadní doménové skupiny, jako jsou Schéma Admins, Enterprise Admins či Domain Admins, by bylo vhodné zabezpečit více, než nyní jsou. Systémové služby Rozhodné ne všechny služby, které jsou ve výchozí instalaci systémů Windows XP Pro-fessional, jsou pro činnost počítače nutné. Každá spuštěná služba představuje pro počítač či síť potenciální riziko. Proto je zakázání nepotřebných služeb tou nejjednodušší m< ti ností, jak podobným rizikům zabránit. Na to, které služby jsou pro činnost počítačů v naší síti zbytečné a mohou být vypnuté, jen velmi těžko přijdete pouhým pohledem. Tato oblast vyžaduje velkou míru testování (samozřejmě mimo provozní prostředí), neboť na některých službách, které by operační systém sám o sobě nevyužil, může záviset úspěšný běh aplikací. Registr Tato část zabezpečení nabízí zabezpečení přístupu existujících větví registru, přesněji jeho části HKEY_LOCAL_MACHINE. Zabezpečení konkrétní větve se bude týkat všech po čítačů, na které se bude aplikovat objekt zásad skupiny. Pomocí této části zásad můžete výchozí zabezpečení registru jak zvýšit, tak také snížit. Systém souborů Jedná se o analogii zabezpečení klíčů registru - zabezpečení souborů a složek pomocí oprávnění NTFS. Bude se tedy týkat všech počítačů, na které se bude aplikovat objekt zásad skupiny, jež ale zároveň obsahují složku či soubory definované v této zásadě na svaz ku NTFS. Výchozí nastavení neobsahuje žádné složky či soubory, prvními adepty jsou však systémové a aplikační složky. Zásady veřejných klíčů Celá tato oblast zásad se týká infrastruktury veřejných klíčů. V naší síti jsme se zatím se tkali pouze se šifrováním, které je na ní také založené. Další plány s certifikáty nemáme, takže tato oblast zůstane nadále nevyužita. Nezapomeňte, že pokud chcete definovat dalšího agenta obnovení dat, je pro to určena část Šifrování systému souborů. Každá organizační jednotka - v naší organizaci tedy každé oddělení - může mít na své úrovni definovaného svého agenta obnovení. Uživatel Administrátor pak bude tuto ulo hu plnit pro celou organizaci. Zásady omezení softwaru V kapitole 17 „Správa prostředí klientských počítačů", jsme pomocí zásad skupiny defi novali, které programy nebudou moci uživatelé spouštět. Někdy si však uživatelé mohou připadat chytřejší než správci a jednoduše si řeknou - když nemohu spustit hru S o l i t a re (protože správce zakázal spuštění souboru Sol.exe), přejmenuji soubor Sol.exe na Sol2.exe a spustím ten. Pokud k této změně názvu má uživatel oprávnění, pravděpodob ně se mu jeho úmysl zdaří. Nástroje Zásady omezení softwaru jsou odpovědí na tento „trik" uživatele a přistupuji k omezení spouštění aplikací poněkud jiným způsobem. K


303

dispozici jsou možnosti spoušťet pouze programy z určité cesty na disku, spouštět pouze digitálně podepsané progra my nebo například spouštět pouze programy, k nimž existuje konkrétní hodnota hash (speciální vypočtená hodnota, která se v případě změny jediného bajtu aplikace zrnění) Zásady zabezpečení protokolu IP Přenos dat pomocí protokolu IP standardně není nijak zabezpečen. To již v dnešní dobé nemusí v některých sítích postačovat, a proto společnosti Microsoft a Cisto vyvinuly technologii, která umí pakety protokolu IP šifrovat. Tato technologie se nazývá IP Security (zkráceně IPSec) a zajišťuje digitální podepisování, šifrování, případně obě možnosti. V systémech Windows 2000 a vyšších (nižší systémy technologii IPSec neumějí využívat) standardně existují tři výchozí zásady, z nichž pouze jednu můžete přiřadit konkrétnímu počítači: ♦ ♦ ♦

Klient (pouze odpověď) Při požadavku na žádost o komunikaci nabídne nezabezpečenou komunikaci. Pokud protějšek souhlasí, proběhne nezabezpečená komunikace. Pokud protějšek vyžaduje zabezpečení, přejde klient na zabezpečenou komunikaci. Server (požádat o zabezpečení) Při požadavku na komunikaci počítač po svém protějšku žádá její zabezpečení. Pokud protějšek souhlasí, komunikace je zabezpečena, nesouhlasí-li, komunikace proběhne nezabezpečená. Zabezpečený server (požadovat zabezpečení) Takto nakonfigurovaný počítač nebude se svými protějšky komunikovat jinak, než zabezpečeně. Pokud protějšek není schopen na tento požadavek přistoupit, komunikace neproběhne.

Takto to vypadá docela jednoduše, na pozadí však před spuštěním komunikace probíhá spousta dalších činností (ověření počítačů a vyjednání zabezpečení). Technologie IPSec je výrazným průlomem v oblasti zabezpečené komunikace a je možné ji využít k velmi jednoduchému zabezpečení malé sítě. Nevýhodou zůstává větší vytížení procesoru počítačů a síťového rozhraní. V prostředích, kde se šifrování IPSec používá, se tedy vyskytují síťové karty, které tuto technologii pod-porují, a jež jsou samy schopny data šifrovat a podepisovat. Procesor počítače tak není moc zatížen a může se věnovat ostatním úlohám. Možná jste si všimli, že v objektu zásad skupiny s názvem Default Domain Policy jsou na-konfigurované pouze následující zásady zabezpečení: Část objektu

Zásady

Zásady účtů\Zásady hesla Zásady účtů\Zásady uzamčení účtů Zásady účtu\Zásady modulu Kerberos Místní zásady\Možnosti zabezpečení

Všechny Prahová hodnota pro uzamknutí účtu Všechny Zabezpečení sítě: Vynutit odhlášení, pokud vyprší časový limit pro přihlášení Definován výchozí agent obnovení

Zásady veřejných klíčú\Šifrování systému souborů

Tabulka 22.8 Zásady zabezpečení nakonfigurované v objektu Default Domain Policy Z.asady nakonfigurované v části Zásady účtů (tedy zásady hesla, uzamčení účtů a modulu Kerberos) zde hrají velmi důležitou roli. Platí totiž pro celou doménu a musí být nakonfigurované v objektu na její úrovni. Pokud byste tyto zásady nakonfigurovali na úrovni organizačních jednotek (kde pochopitelně také jsou), budou se vztahovat pouze na místní uživatelské účty v těchto počítačích. Tak to prostě je a nikdo s tím nic jiného neudělá. Vyplývá z toho, že pokud mají mít někteří uživatelé jiné požadavky na minimální délku hesel, jejich složitost a podobně, je nutné vytvořit pro ně jinou doménu. Otázkou návrhu potom je, zda to bude například podřízená doména té stávající (tedy ve stejném stromu Active Directory) nebo kořenová doména nového stromu stejného lesa Active Di-rectory nebo například naprosto nezávislá doména s explicitně vytvořeným vztahem dů věryhodnosti. Dalších nastavení již mnoho není. Co to znamená pro síť? Že neexistuje (téměř) vůbec žádné zabezpečeni? Prakticky by se to tak dalo nazvat, ale s jednou výjimkou - tou jsou řadiče domény. Na úrovni jejich organizační jednotky je další objekt zásad skupiny S na zvem Default Domain Controllers Policy, který je zde právě proto, aby zajistil výchozí za bezpečení řadičů domény. V něm, v části Místní zásady, naleznete spoustu nakonfiguro váných zásad. Právě konfigurace zabezpečení je důvodem existence této organizační jednotky. Jedno však mají oba výchozí objekty (Default Domain Policy a Default Domain Contro llers Policy) společné. Nemají žádné nastavení zabezpečení systémových služeb, klíčů re gistru, systému souborů ani například nehlídají členství v důležitých skupinách. To jistě není optimální, neboť existuje spousta klíčů, souborů i služeb, které si vyšší než žádné (nebo základní) zabezpečení zaslouží. A co ostatní počítače - členské servery a pracovní stanice? Pokud nebudou jejich účty zařazeny v organizační jednotce Domain Controllers (a to jistě nebudou), potom mají pouze takové zabezpečení, které si přinesou ve své konfiguraci. S tím je nutně potřeba něco udělat.

Systém nebo chaos? Jak jste viděli, je zásad týkajících se zabezpečení poměrně dost, a to nebyly ještě v některých částech uvedeny všechny. Je pravda, že zjistit, o čem která zásada je, a poté se ihned pustit do zabezpečení domény, nebude zřejmě nejvhodnější postup. Některé zásady se mohou navzájem ovlivňovat, konfigurací jiné zásady můžete zase v krajním případě způ sobit nefunkčnost některých zásadních úloh v doméně (například přihlašování uživatelů) Pokud pominu stav, že nemožnost přihlásit se k doméně je taky jistým způsobem zabez pečení řadiče domény, jistě se nebude jednat o cíl žádného správce. Jak tedy postupovat? Obecně lze říci, že rozumný návod, který by byl platný a použitel ný pro jakoukoli organizaci, neexistuje. To je dáno tím, že každá organizace má jiné mož. nosti a priority zabezpečení, každá je schopna akceptovat jinou míru rizika a podobné


304

Co se ale týká konfigurace jednotlivých zásad zabezpečení, jedna rozumná možnost tady je. Proč si nenechat poradit od expertů a neprovést základní nastavení zabezpečeni po dle jejich doporučení? Expertem je v tomto případě samotný tvůrce operačních systé mů Windows - společnost Microsoft. Ta již publikovala mnoho článků, informací a do poručení pro konfiguraci zabezpečení operačních systémů a nutno dodat, že velmi zajímavých. Navíc vše podtrhuje svou již zmíněnou iniciativou Trustworthy Computing, Než začít stavět zásady zabezpečení na zelené louce, bude opravdu jednodušší a mno hem efektivnější vyjít z doporučení pro jednotlivé role počítačů a poté doporučené na stavení nakonfigurovat a případně upravit podle konkrétní situace organizace. Doporučená nastavení jsou shrnuta do takzvaných šablon zabezpečení. Jedná se o sou bory INF, které jsou pro správce jako text poměrně čitelné. Pokud by však měly poskytovat pouze textové informace a příslušná nastavení, nemusely by být publikované jako soubory INF, ale například jako TXT nebo ve formě souboru XLS pro aplikaci Microsoft Excel. Soubor INF má tu výhodu, že se s ním dá pomocí speciální konzoly dále velmi efektivně pracovat.

Šablony zabezpečení a práce s nimi Šablona zabezpečení je soubor s příponou INF obsahující nakonfigurovaná nastavení zásad zabezpečení. Podle úrovně zabezpečení, tedy podle toho, jak jsou jednotlivé zásady nakonfigurované, se dají rozdělit do několika kategorií - šablony s výchozí konfigurací zabezpečení, šablony se standardním zabezpečením a šablony s velmi vysokým zabezpečením. Aby se koncovým uživatelům zabránilo v provádění změn v šablonách, jsou uložené ve složce %WiNDIR%\security\templates. Šablony jsou uloženy v místním počítači a nere-plikují se ani mezi řadiči domény.

Výchozí šablony zabezpečení Každý systém Windows 2000/XP/2003 obsahuje po instalaci ve výše uvedené složce několik různých šablon. Pojďme se podívat na výchozí šablony systému Windows Server 2003. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte konzolu MMC a přidejte do ní modul snap-in Šablony zabezpečení. 3. Rozbalte položku Šablony zabezpečení a poté složku C:\WINDOWS\Security\ Templates. Zobrazí se výchozí šablony zabezpečení. Poznámka Cesta k šablonám se může lišit v závislosti na názvu instalační složky a písmenu jednotky.

Popis Šablon ♦

♦

♦ ♦

♦

Setup security.inf Nastavení této šablony se aplikují na systém během instalace. Jedná se o výchozí konfiguraci zabezpečení počítačů včetně nastavení oprávnění NTFS na složky v systémové jednotce. Šablona by se měla aplikovat pouze na klientské počítače a členské servery, rozhodně ne na řadiče domény. To samozřejmě platí při případné aplikaci později po instalaci systému. Informace o aplikování šablon naleznete později. Compatws.inf V některých aplikacích mohou instalaci používat pouze uživatelé, kteří mají v místním počítači vyšší oprávnění, než má skupina Users. To se týká aplikací nesplňujících program Windows logo společnosti Microsoft. Než takové uživatele pracně vkládat do skupiny Power Users (čímž samozřejmě získají daleko vyšší oprávnění, než pro spouštění aplikací potřebují), je mnohdy lepší změnit seznam řízení přístupu konkrétních větví registru, které spouštění takových aplikací umožní. To je přesně práce této šablony. V každém případě dojde její aplikací ke snížení zabezpečení. Jedná se ale o menší „zlo", než přidat uživatele do skupiny Power Users. Tento postup je optimální situací pro připomenutí výrazu „míra rizika". DC Security.inf Nastavení této šablony se aplikuje na řadič domény během instalace této role (po spuštění příkazu DCPROMO). Šablona obsahuje definici oprávnění ke klíčům registru, systému souborů a konfiguraci systémových služeb. Secure*.inf Šablona securews.inf je určena pro členské servery a klientské počítače (workstation + server), šablona securedc.inf je určena pro řadiče domény. Po aplikaci šablony securews.inf do prostředí s klientskými počítači se systémy Windows 2000 a Windows XP Professional a řadiči domény Windows 2000 a Windows Server 2003 budou definovány silnější zásady hesel, zamykání účtu a auditu a navíc se můžete setkat s následujícími omezeními: ■ Uživatel nebude moci z klientského počítače přistoupit k prostředkům počítače se systémem Windows 2000 pomocí místního účtu ve vzdáleném počítači, pokud se čas obou počítačů bude lišit o více než 30 minut. ■ Pro přístup k počítači se systémem Windows XP Professional platí omezení přístupu obdobně, ale s maximálním časovým rozdílem 20 hodin. ■ Anonymní uživatelé (například uživatelé z nedůvěryhodných domén) nebudou moci provádět výčet účtů a sdílených prostředků a nebudou moci prováděl překlad jmen na kódy SID a naopak. Šablona secure*.inf dále povolí digitální podepisování paketů SMB v zabezpečených kanálech. Protože klientské počítače mají toto podepisování standardně povoleno, bude tato komunikace digitálně podepisována. Hisec*.inf Šablony hisecws.inf a hisecdc.inf dále zvyšují zabezpečení. Pro prostředí se systémy Windows 2000/XP/2003 platí tedy vše uvedené u šablon secure*.inf a navíc následující zásady: ■ Data přenášená v zabezpečených kanálech mezi klienty a servery a data protokolů SMB musí být digitálně podepsaná i zašifrovaná. ■ V členských serverech a klientských počítačích budou odebráni všichni členové skupiny Power Users.


305

■ Členy místních skupin Administrators budou pouze účet Administrátor a skupina Domain Admins. Šablony secure*.inf a hisec*.inf velmi výrazně omezují možnosti komunikace, připadni vůbec možnosti přihlášení z počítačů se systémy staršími než Windows 2000. Naší sítě se to tedy netýká, nicméně pokud by to bylo v síti aktuální, doporučuji si podrobně projít veškerá nastavení zmíněných šablon.

Postupy automatické aplikace šablon Klientské počítače 1. Provádíte-li čistou instalaci klientského počítače nebo serveru se systémem Win dows 2000/XP/2003, aplikuje se nejprve šablona setup security.inf. Všechny počí tače jsou tak po instalaci nakonfigurované stejně. 2. Po přidání počítače do domény se na něj aplikují zásady konfigurované na úrov ni domény, případně na úrovni organizační jednotky, do které účet počítače pře sunete. Poznámka Pro kontejner Computers nelze definovat objekty zásad skupiny. Řadiče domény 1. Provedete-li instalaci role řadiče domény, aplikuje se nastavení šablony DC secu-rity.inf. Pakliže jsou některá z nastavení s původní šablonou setup security.inf v rozporu, bude platit nastavení uvedené v šabloně DC security.inf. Pakliže šablona DC security.inf zavádí nové nastavení zásady (v šabloně setup security.inf nebyla zásada nakonfigurovaná), platí nastavení šablony DC security.inf. 2. Po instalaci se řadič domény zařadí do organizační jednotky Domain Controllers, u které je definován objekt Default Domain Controllers Policy. Na řadič domény se tak začnou aplikovat postupně objekty definované na úrovni domény a poté na úrovni organizační jednotky Domain Controllers. V případě konfliktů platí ta zásada, která je v doméně k počítači blíže.

Ruční aplikace šablon Nejprve se podíváme na nastavení existujících šablon. Rozbalte šablonu DC Security.inf a klepněte na položku Registr. V pravém podokně bude zobrazen seznam klíčů v regis-tru, které jsou pro účely role řadiče domény zabezpečeny.

Obrázek 22.26 Seznam klíčů registru zabezpečených v této šabloně Rozbalte šablonu Securews.inf a v části Místní zásady klepněte na položku Možnosti zabezpečení. Všimněte si konfigurace zásady Přístup do sítě: Povolit anonymní překlad SID/názvu, která je nastavena na Zakázáno. Rozbalte šablonu Hisecws.inf a klepněte na položku Skupiny s omezeným členstvím. V pravém podokně byste měli vidět dvě skupiny, jejichž členství je omezeno. Skupina Power Users nemá žádné členy (to zjistíte po zobrazení jejích vlastností), ve skupině Admi-nlstrators jsou členy pouze účet Administrátor a skupina Domain Admins. Obrovskou výhodou šablon je možnost jejich velmi rychlé aplikace. Prostě a jednoduše po prohlédnutí nastavení zjistíte, že vám všechna nastavení vyhovují a provedete jejich aplikaci do systému. Byl by to sice ideální případ, ale vyskytnout se může. Pokud ale například zjistíte, že vám vyhovuje větší část nastavení šablony, ale něco byste přece jen rádi změnili, neprovádějte změny přímo do šablony, ale vytvořte si novou, vlastní. Postupujte podle následujících pokynů: 1. Pravým tlačítkem myši klepněte na šablonu, ze které chcete vyjít (například securews.inf) a v místní nabídce poté klepněte na příkaz Uložit jako. Otevře se dialogové okno pro uložení šablony. 2. Zadejte název mojesablona.inf a klepněte na tlačítko Uložit. Šablona se ve formě souboru INF uloží do výchozí složky, takže by měla být


306

zobrazena v konzole. 3. V konzole MMC klepněte na novou šablonu pravým tlačítkem myši a v místní nabídce klepněte na příkaz Nastavit popis. V dialogovém okně Popis šablony zabezpečení zadejte text vystihující chování šablony. 4. Zásady šablony upravte podle potřeby. Bez ohledu na to, zda se jedná o výchozí či vlastní šablonu, je možné ji velmi jednoduchým způsobem aplikovat. Předtím je však vhodné zjistit, zda se nastavení počítače s nastavením šablony už například neshodují (aby nebyl import zbytečný), případně do jaké míry se obecně konfigurace počítače s konfigurací šablony (ne)shoduje. Porovnání konfigurace Budeme chtít například zjistit, jak se shoduje konfigurace zabezpečení klientského počítače PC001 s nastaveními doporučenými v šabloně securews.inf. Postupujte podle následujících pokynů: 1. Přihlaste se k počítači PC001 jako správci. 2. Spusťte konzolu MMC a přidejte do ní moduly snap-in Šablony zabezpečení a Konfigurace a analýza zabezpečení. 3. Pravým tlačítkem myši klepněte na položku Konfigurace a analýza zabezpečení a v místní nabídce poté klepněte na příkaz Otevřít databázi. Do pole Název souboru v dialogovém okně Otevřít databázi zadejte jakýkoli název souboru (na příklad porovnáni) a klepněte na tlačítko Otevřít. Obrázek 22.27 Výběr šablony, jejíž nastavení budou importována do databáze

Tímto krokem vytváříte prázdný soubor, do kterého se později načte nastavení ze šablony databáze. Vůbec tak nezáleží na jeho názvu. 2. V dialogovém okně klepněte na šablonu, se kterou chcete aktuální konfiguraci zabezpečení počítače porovnat (tedy securews) a poté klepněte na tlačítko Otevřít. Na pozadí proběhne import dat do databáze. 3. Pravým tlačítkem myši znovu klepněte na položku Konfigurace a analýza zabezpečení a v místní nabídce poté klepněte na příkaz Analyzovat počítač.

Obrázek 22.28 Spuštění analýzy počítače


307

6. V dialogovém okně Provést analýzu klepněte na tlačítko OK. Zde je pouze informace o tom, kam se uloží soubor protokolu o akci, což není v běžných případech nic podstatného. Obrázek 22.29 Průběh analýzy počítače

4. V konzole MMC se nyní pod položkou Konfigurace a analýza zabezpečení zobrazí konfigurace zásad. V části Místní zásady klepněte na položku Zásady auditu. V pravém podokně se zobrazí všechny zásady, jejich nastavení v počítači a nastavení v šabloně securews.inf.

Obrázek 22.30 Porovnání zásad auditu Pokud je zásada označena červeně, nesouhlasí konfigurace počítače s konfiguraci v šabloně. Pokud je označena zeleně, nastavení zásad je v obou místech totožné. Pokud není v šabloně některé z nastavení definováno, zobrazí se tato informace jednak ve sloupci nastavení databáze a ikona zásady není nijak změněna Všechny případy jsou vidět na obrázku 22.30. Zde je nutné připomenout, že s nastavením šablony se porovnávají místní zásady zabezpečenípočítače, nikoli skutečné zásady zabezpečení, které mohou ovlivnit různé objekty zásad skupiny na úrovni sítí, domény a organizačních jednotek. Na tom závisí možnosti aplikace nastavení šablon. Konfigurace počítače podle šablony Zabezpečení počítače je možné velmi jednoduše a rychle nakonfigurovat pomocí šablo ny. Pamatujte však na to, že pokud je počítač členem domény, má na výsledné nastave ní zabezpečení kromě místních zásad vliv mnoho zásad v dalších objektech, které se po čítače týkají. Existují dva pohledy na věc: Konfigurace konkrétního počítače podle šablony je vhodná v následujících případech: ♦ Je třeba zabezpečit samostatný počítač (například webový server organizace v de militarizované zóně). ♦ Počítač je nutné zabezpečit po instalaci, ale ještě před přidáním do domény. ♦ Je třeba jednotlivě zabezpečit konkrétní počítače v doméně, pro které zabezpeče ní nakonfigurované v objektech zásad skupiny nevyhovuje, a jež není možné za tímto účelem seskupit do stejné organizační jednotky. Tato konfigurace se provádí následujícím způsobem (v naší síti konkrétní konfiguraci (V provádějte):

1. Přihlaste se jako správci k počítači, který chcete nakonfiguroval. 2. 3. 4. 5. 6.

Šablonu, podle které chcete počítač nakonfigurovat, zkopírujte do složky %WIN-DIR%\ Security\Templates. Spusťte konzolu MMC a přidejte do ní modul snap-in Konfigurace a analýza zabezpečení. Podle výše uvedeného postupu proveďte analýzu počítače. Pravým tlačítkem myši klepněte na položku Konfigurace a analýza zabezpečení a v místní nabídce klepněte na příkaz Zkonfigurovat počítač. V dialogovém okně Konfigurovat systém ponechte výchozí nastavení a klepněte na tlačítko OK.


308

7. Spustí se proces konfigurace počítače, po jehož dokončení je počítač nakonfigurován. Importovaná nastavení však nemusí být ihned po konfiguraci aktuální. Abyste měli jistotu, že se tak stane ihned, spusťte v systémech Windows XP Professional nebo Windows Server 2003 na příkazovém řádku příkaz g p u p d a t e / f o r c e a v systémech Windows 2000 příkaz s ec e di t / r e f r e s h p o l icy m a c h i na_policy / e n f o r c e .

Podle šablony je možné nakonfigurovat konkrétní objekt zásad skupiny, který může ovlivnit všechny počítače v síti, doméně či organizační jednotce. Pokud byste například chtěli šablonou securews.inf nakonfigurovat všechny počítače V organizační jednotce Počítače naší sítě, byl by postup následující: 1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. 2. Pravým tlačítkem myši klepněte na organizační jednotku Počítače a na kartě Zásady skupiny vytvořte nový objekt zásad skupiny s názvem Zabezpečení počítačů. Poznámka Můžete využít také stávající objekt. Různé strategie byly popsány v kapitole 17, „Správa prostředí klientských počítačů". 3. 4. 5. 6.

Nově vytvořený objekt posuňte na první místo, abyste zajistili jeho prioritu (pokud je v organizační jednotce objektů více, aplikují se zdola nahoru). Poklepejte na objekt a rozbalte část Konfigurace počítače\Nastavení systému Windows. Pravým tlačítkem myši klepněte na položku Nastavení zabezpečení a poté v místní nabídce klepněte na příkaz Importovat zásady. V dialogovém okně Importovat zásady vyberte příslušnou šablonu a klepněte na tlačítko Otevřít. Poté dojde k importu zásad ze šablony.

Podle importovaných zásad začnou počítače pracovat v okamžiku, kdy dojde k jejich ak-tualizaci. Standardně se jedná o 90minutový interval u běžných stanic a členských serve-ru a 5 minut u řadičů domény. Pokud chcete aplikaci zásad urychlit, můžete počítače re-slarloval nebo na příkazovém řádku zadat příkaz g p u p d a t e / f o r c e pro systémy Windows XP Professional (Windows Server 2003) nebo s e c e d i t / r e f r e s h p o l icy m a c h i ne_policy / e n f o r c e pro systémy Windows 2000. Budete-li nyní v síti trochu pátrat nebo podíváte-li se do dokumentace (pokud ji máte), /jistíte, že objekt zásad Default Domain Policy má atribut: Nepřepisovat. Co to pro stávající zásady znamená? Pokud byste opravdu provedli import šablony do objektu zásad skupiny definovaného na úrovni organizační jednotky, potom se z této šablony nebudou aplikovat nastavení, která jsou v konfliktu s doménovými. Pokud to bude nevyhovující stav, potom řešení (zjistit, za jakým účelem byl atribut Nepřepisovat u zásady nakonfigu rován a odebrat jej nebo aplikovat daná nastavení na úrovni domény s dalšími kroky) ponechám na vás.

Doporučené postupy Možná, že během studia této kapitoly stále čekáte na chvíli, „kdy už to konečně přijde", tedy kdy konečně padnou přesné postupy a konfigurace, na které jste zvyklí z předchozích kapitol knihy. Těchto informací se zde, bohužel, nedočkáte. Nejde o to, že by nebylo možné říci, kterou šablonu vzít a kam ji naimportovat. Problém je v tom, že v některé organizaci může vyhovovat řešení, které bude mít v jiné organiza ci za následek totálně nefunkční prostředí. Stačí uvést příklad implementace šablony secure*.inf. Společnost, která používá výhradně technologie Windows 2000/XP/2003 a pouze aplikace, jež jsou držitelem loga Windows (certifikované), nepocítí z hlediska funkčnosti po implementaci této šablony žádná ome zení, ale její síť bude o něco bezpečnější. Společnost, která používá necertifikované apli kace pro Windows a provede implementaci šablony secure*.inf, může mít s funkčnosti aplikace také velké potíže. Ty se mohou násobit zejména v případě, kdy se v síti vyskytují systémy Windows 9X/ME/NT, které mohou mít také potíže s komunikací s ostatními systémy.

Testujte Žádná tištěná informace vám neposkytne takovou jistotu, jako pečlivé otestování šablony na počítačích s konfigurací provozního prostředí v testovací laboratoři. V takové labora toři otestujte co možná nejvíce kopií počítačů z provozního prostředí. Jak komunikaci s řadiči domény, tak s členskými servery i komunikaci klientských počítačů mezi sebou. Pamatujte, že zásady zabezpečení neřeší pouze zabezpečení konkrétních samostatný) li počítačů, ale také zabezpečení přenosu dat v síti, přihlašování a ověřování při přístupu k prostředkům sítě. O testování byste měli vést pečlivé záznamy, které se vám budou hodit při řešení případ ných potíží v provozním prostředí. Zároveň sestavte během testování postup, jak konfi guraci počítačů v případě potíží po implementaci šablony vrátit zpět. U zabezpečeni im portovaných do objektu zásad skupiny například pro konkrétní organizační jednotku počítačů to může být jednoduché - objekt prostě odstraníte, ale u zabezpečení jednotli vých počítačů je vhodné mít vždy k dispozici šablonu odpovídající původnímu nastave ní (vzpomeňte na šablonu setup security.inf).

Vyberte správné šablony Pokud půjdete cestou doporučení, máte prakticky dvě možnosti: ♦ Použít šablony, které jsou součástí operačního systému Výhodou šablon je jejich umístění v každém operačním systému. Pokud půjdete cestou importovaní šablon do jednotlivých počítačů, máte potřebné šablony vždy při sobě. ♦ Použít šablony navržené pro konkrétní počítače či role V Internetu, od správců jiných sítí nebo od společností či konzultantů zabývajících se oblastí zabezpečení je možné získat již připravené šablony zabezpečení. V takovém případě je dobré mít jasnou představu o rozvržení rolí


309

jednotlivých počítačů, neboť se dá logicky předpokládat, že zabezpečení webového serveru se bude lišit od zabezpečení řadi če domény nebo od serveru DHCP. Jenom pro představu - minimálně se budou lišit spuštěné služby, u řadičů domény bude jistě definováno i členství ve skupinách. Velmi dobrým zdrojem informací o zabezpečení spolu s připravenými šablonami pro systémy Windows XP Professional a Windows Server 2003 jsou dokumenty Windows Server 2003 Security Guide, který je k dispozici ke stažení na adrese a Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP ke stažení na adrese http://go.microsoft.com/fwlink/?LinkId=15159. Na přiloženém disku CD-ROM naleznete dokumenty Windows Server 2003 Security Guide, Windows XP Security Guide a Threats and Countermeasures Guide. V tomto případě se jedná o takzvané inkrementální použití šablon. Znamená to, že na úrovni domény se nasadí šablona tvořící základní zabezpečení všech počítačů a další šablony se nasazují na úrovni konkrétních organizačních jednotek. Ty jsou bez základní šablony nepoužitelné. Neznamená to, že by nešly nainstalovat. To není problém. Neposkytovaly by ale potřebnou úroveň zabezpečení.

Sledujte své prostředí Pomoci šablony zabezpečení můžete například určit (a nadále sledovat), kdo bude členem místní skupiny Administrátore. V některé součásti systému se ale může po určité době na-jít chybička, která umožní jakémukoli uživateli získat oprávnění správce daného počítače. Pomineme-li, že k opravě takové chybičky bude velmi brzo připravena oprava hotfix, muze uživatel s oprávněními správce kromě změny členství jakékoli místní skupiny „páchat" spoustu nekalých činností (pokud má samozřejmě zlé úmysly). Pokud nemá oprávnění za-sáhnoul v doméně do objektů zásad skupiny, je pravděpodobné, že po jejich další aplikaci bude členství skupiny znovu upraveno. To však nemusí platit pro všechna nastavení, která tak mohou být narušena a zeslabena. Kromě výchozího zabezpečení je tak velmi důležité pravidelně konfiguraci prostředí hlídat. Tomu je věnována další část této kapitoly.

Správa zabezpečení Zabezpečením počítačů a sítě práce v této oblasti zdaleka nekončí. Možná by bylo přesnější uvést, že vlastně začíná. Návrh a samotné zabezpečení je samozřejmě velmi důleži-té, neboť dobře zabezpečené síti se každý útočník rád vyhne. Po zabezpečení přichází další velmi oblíbená disciplína správců - správa zabezpečení. Tu lze rozdělit na několik částí: ♦ Informovanost o chybách v produktech ♦ Systémová aplikace aktualizací Service Pack a oprav hotfix ♦ Sledování neměnnosti nakonfigurovaných zásad zabezpečení

Informace o chybách v produktech Pokud budete například správci webového serveru, budou vás jistě zajímat veškeré chyby týkající se hlavních součástí operačního systému stejně jako chyb součásti IIS. Nejhorší situace, která vás v této souvislosti může potkat, je zjištění chyby v produktu až v okamžiku, kdy je server napaden. Pro praktickou ukázku nemusíme chodit příliš daleko. Dva proslavené útoky pojmenované Nimda a CodeRed využívaly chyby v součásti IIS systémů Windows 2000 a byly mimo jiné zajímavé tím, že opravy těchto chyb existovaly ještě předtím, než se lavina Nimda a CodeRed spustila. Zveřejnění chyby ihned po jejím nalezení může mít spíše kontraproduktivní účinky a mu že poskytnout prostor pro útočníky. Proto se popis chyby (a v dnešní době již ani to ne) objeví až v okamžiku, kdy je už známá oprava nebo dočasný postup vylučující možnosi napadení počítačů. I tak je pro většinu správců tento termín nedosažitelný. Jednoduše nevědí, jak se k informacím dostat (to v lepším případě) nebo vůbec nevědí, že podobné informace existují (to je již téměř trestuhodné). Přitom dostat se k informacím o potížích se zabezpečením produktů společnosti Microsoft je poměrně jednoduché - stačí využít službu Microsoft Security Notification Service. K odběru e-mailových notifikací se můžete přihlásit na webové stránce společnosti Microsoft na adrese http://www.microsoft.com/security/security_bulletins/decision.asp. Stránku http://www.microsoft.com/security je obecně vhodné používat jako úvodní stránku pro celou oblast zabezpečení produktů společnosti Microsoft.

Systémová aplikace aktualizací Service Pack a oprav hotfix Na úvod této části je nutné připomenout, že systémovou instalaci aktualizací Service Pack jak pro operační systém, tak pro aplikace, jsme řešili v kapitole 20, „Instalujeme aktuall zace Service Pack". Systémově to s použitím pouze základních funkcí za vás nikdo jmv než technologie IntelliMirror nenainstaluje. Jedinou činností správce je v tomto případe stažení potřebných souborů, pečlivé otestování jejich kompatibility se systémy v provoi ní konfiguraci a definování instalace pomocí objektů zásad skupiny. Složitější je to již s opravami hotfix. Jedná se o relativně malé soubory opravující s ti Microsoft do praxe a dostala také svůj název - Software Update Service.


310

Microsoft Software update Services Produkt Microsoft Software Update Services (SUS) je automatickou obdobou práce uživatele s webovou stránkou Windows Update. Poté, co jej nakonfigurujete, bude automaticky ze servetu Windows Update stahovat opravy hotfix a důležité aktualizace. Počítač s tímto produktem se tak stane databází aktualizací pro ostatní počítače v síti. Výhodou je možnost sta-hovat opravy nejen pro české verze operačních systémů, ale pro všechny jazyky, které organizace používá. To však pro úspěšnou aktualizaci nestačí. Ještě je třeba provést druhý krok - na straně klientských počítačů. Protože je cílem automaticky do nich instalovat aktualizace, je nutné je pro tuto činnost nakonfigurovat. K tomu slouží speciální klient, kterého je možné získat následujícími způsoby: ♦ ♦ ♦ ♦

Jako součást aktualizace Service Pack 3 pro systémy Windows 2000 Jako součást aktualizace Service Pack 1 pro systémy Windows XP Jako součást systému Windows Server 2003 Jako samostatný instalační soubor MSI z webových stránek společnosti Microsoft (soubor WUAU22.MSI)

Správci jistě ocení klienta jako součást aktualizací Service Pack, neboť nemusejí provádět dvě samostatné instalace. Pokud je ale z nějakých důvodů nutné instalovat klienta SUS samostatně, můžete využít objekty zásad skupiny. Forma instalace klienta pak bude stej-ná jako U aktualizace Service Pack operačního systému - přiřazení počítačům. Podrobný popis vlastností a funkcí produktu Microsoft Software Update Services, který je k dispozici zcela zdarma, naleznete v příloze této knihy. Na obrázku 22.31 j znázorněn princip činnosti. Veškeré další informace včetně stažení produktu jsou k dispozici na we-bové stránce společnosti Microsoft na adrese http://www.microsoft.com/win-dows2000/windowsupdate/sus/default.asp. Obrázek 22.31 Stažení aktualizací a jejich následná distribuce do klientských počítačů


311

Sledování neměnnosti nakonfigurovaných zásad zabezpečení Jakmile se konfigurace zásad zabezpečení neočekávaně změní, měl by se to správce počítače či domény dozvědět co nejrychleji. Změnu může provést pouze správce počítače. Běžní uživatelé tato oprávnění nemají (a pokud mají, tak jich je co nejdříve zbavte), takže je jasné, že v síti něco nehraje. Následující postup je velmi jednoduchou ukázkou sledování zabezpečení. Sestává z automatických procesů zjištění, zda se zabezpečení počítačů změnilo, a z ručního sledování výsledků těchto procesů.

Automatické sledování změn K automatickému sledování změn je určen nástroj secedit. Ten by měli velmi dobře znal správci systémů Windows 2000, neboť se pomocí něj provádí vynucení aplikace zásad zabezpečení (konkrétně pomocí parametru /refreshpolicy). V systémech Windows XP Pro-fessional a Windows Server 2003 byla tato konkrétní možnost nahrazena nástrojem gpup-date, ale nástroj secedit jako takový zde zůstal. Princip automatického sledování změn je založen na pravidelném spouštění příkazu sec edit s parametrem /analýze. Porovnává se databáze s načtenými nastaveními ze šablony s konkrétní konfigurací počítače. Zůstaneme-li u prostředků, které máme k dispozici, mohou být vhodným prostředkem k pravidelnému sledování spouštěcí skripty. K jejich spuš tění dojde při každém spuštění počítače. Příkaz secedit může jako součást spouštěcího skriptu vypadat takto: s e c e d i t / a n a l ý z e /db databaze / l o g protokol / v e r b o s e

Databáze je souborem, se kterým se porovnává aktuální konfigurace a získáme jej pomo cí konzoly Konfigurace a analýza zabezpečení. Protokol je souborem, který obsahuje \ \ sledek porovnání.

Vyhodnocení výsledků Vyhodnocení výsledků spočívá v pravidelné kontrole obsahu protokolů vytvořených v předchozím odstavci pomocí nástroje secedit. Protokol je vlastně textovým souborem obsahujícím informace o každé zásadě zabezpečení. Pokud je konfigurace počítače v roz poru s konfigurací zásady v šabloně, bude v textovém souboru u této zásady uvedena pa třičná informace. Právě podle té je možné se orientovat. Pokud provedete analýzu zabezpečení operačního systému ve verzi CZ, bude u jinak na konfigurovaných zásad informace Neshoda. V jazykové verzi EN se jedná o slovo Mismatch Ve větších sítích to může způsobovat potíže, jejichž možnosti řešení jsou uvedeny dále. Vzhledem k poměrně jednoznačnému označení nestejných zásad je možné i tuto část zpracovat automaticky. Pomocí některého nástroje postačí například vyhledat počet výsky tů slova Neshoda a vhodným způsobem informovat správce. Jedním z možných nástrojů je součást systémů Windows 2000/XP/2003 - příkaz Find. Syntaxe příkazu Find pro vyhledání určitého řetězce se zobrazením počtu výskytů je ná sledující: find /c /i " N e s h o d a " protokol

Parametr /c říká, že se zobrazí počet řádek obsahujících hledané slovo a parametr /i nebere ohled na velká a malá písmena v hledaném řetězci. Pokud uvedete slovo „Neshoda", není nutné parametr /i zadávat. Výstup nástroje Find lze velmi jednoduše přesměrovat do souboru. Na jednom místě je lak možné shromáždit informace z celé sítě.

Konfigurace prostředí Dále uvedená konfigurace je velmi jednoduchým případem pro sledování zabezpečení operačních systémů ve verzích CZ. Využívá pouze standardní nástroje systémů. 1. 2. 3. 4.

Přihlaste se k počítači SRVR001 jako správci a vytvořte a sdílejte složku s názvem Protokoly. Oprávnění nastavte tak, aby oprávnění Změnit po síti měla skupina Domain Computers. Vyjma správců a skupiny SYSTEM (opravení Úplné řízení) postačí ostatním uživatelům oprávnění Číst. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastnosti organizační jednotky Počítače. Na kartě Zásady skupiny vytvořte nový objekt zásad s názvem Analýza zabezpečení a posuňte jej na první místo v seznamu (nejvyšší priorita). Otevřete nově vytvořený objekt a přejděte na položku Konfigurace počítače\Na-stavení systému Windows\Skripty. V pravé části konzoly poklepejte na položku Po spuštění. Otevře se dialogové okno Po spuštění — vlastnosti. Klepnutím na tlačítko Zobrazit soubory otevřete okno aplikace Průzkumník Windows. V tomto okně vytvořte (nebo do něj zkopírujte) následující soubory: Analyza.bat: s e c e d i t / a n a l y z e /db W s r v r 0 0 1 \ p r o t o k o l y \ d b . sdb /log W s r v r 0 0 1 \ p r o t o k o l y \ %computername%. l og / v e r b o s e

Findcz.bat: echo % d a t e % , % t i m e % >> W s r v r 0 0 1 \ p r o t o k o l y \ % c o m p u t e r n a m e % . txt find /c /i " N e s h o d a " \\s r v r 0 0 1 \ p r o t o k o l y \ % c o m p u t e r n a m e % . l og >> \ \ s r v r 0 0 1 \ p r o t o k o l y \ % c o m p u t e r n a m e % . txt

Odstran.bat: del \\s r v r 0 0 1 \ p r o t o k o l y \ % c o m p u t e r n a m e % . l o g

5. Okno zavřete a v dialogovém okně Po spuštění — vlastnosti klepněte na tlačítko Přidat. 6. V dialogovém okně Přidat skript klepněte na tlačítko Procházet a poté poklepejte na soubor Odstran.bat. Klepnutím na tlačítko OK zařadíte


312

skript do seznamu skriptů. Stejný postup opakujte pro soubory Analyza.bat a Findcz.bat. Zachovejte správné pořadí skriptů (viz obrázek 22.32). 7. Klepnutím na tlačítko OK zavřete dialogové okno Po spuštění — vlastnosti. Nyní je vytvořen objekt zásad skupiny, který zajistí analýzu zabezpečení. V konkrétní síti je možné využít jak stávající objekty (přidat skripty do nich), tak i samozřejmě jejich aplikaci na jiné úrovni než v našem případě na úrovni organizační jednotky Počítače. Sle-dování zabezpečení řadičů domény je přece také velmi podstatné.

Obrázek 22.S2 Seznam skriptů spouštěných při spuštění počítače

Než začne vše pracovat, je nutné ještě vytvořit databázi nastavení, na kterou se odkazuje skript Analyza.bat. Postupujte podle následujících pokynů: 1. V počítači SRVR001 spusťte konzolu MMC a přidejte do ní modul snap-in Konfigurace a analýza zabezpečení. 2. Pravým tlačítkem myši klepněte na položku Konfigurace a analýza zabezpečení a v místní nabídce poté klepněte na příkaz Otevřít databázi. 3. V dialogovém okně Otevřít databázi přejděte do složky Protokoly vytvořené na začátku výše uvedeného postupu a do pole Název souboru poté zadejte text DB. Klepněte na tlačítko Otevřít. 4. Vyberte šablonu, se kterou budete zabezpečení počítačů v organizační jednotce Počítače porovnávat a klepněte na tlačítko Otevřít. 5. Šablona je nyní pro účely porovnávání vytvořena. Pro jistotu ověřte její přítomnost ve složce Protokoly.

Jak to celé pracuje? Spouštěcí skripty se standardně spouští synchronně. To znamená, že další v pořadí se spustí až po dokončení předchozího. To je naprosto vyhovující, neboť tak na sebe skrip ty navazují. 1. Při spouštění počítače, jehož účet je součástí organizační jednotky Počítače, se nej prve spustí skript Odstran.bat. Ten provede odstranění souboru %ComputerNa me%.log. (například PC001.log) Pokud soubor neexistuje, nic se neděje ( l a i c i chy ba nám na úvod vůbec nevadí). 2. Jako druhý se spustí skript Analyza.bat. Ten porovná zabezpečení konkrétního počítače se zabezpečením v databázi DB.SDB (vytvořené výše) a výsledky zapíše do protokolu s názvem %ComputerName%.log (například PC001.log). 3. Jako poslední se spustí skript Findcz.bat. Ten projde soubor PC001.log (v případě počítače PC001) a spočítá počet výskytů slova „Neshoda". Tento počet zaznamená spolu s datem a časem zjištění do souboru PC001.txt. 4. Při dalším spuštění se odstraní původní soubor PC001.log a celý proces se opakuje. Soubor PC001.txt zůstává stále ve složce Protokoly a informace se do něj doplňují. To je výhodné pro správce, neboť má k dispozici částečnou historii analýzy zabezpečení konkrétního počítače. 5. Poslední část je na správci - ten musí pravidelně procházet jednotlivé soubory TXT a kontrolovat, jak na tom počítače z hlediska změny zabezpečení jsou.

Další možností úprav Uvedená možnost sledování zabezpečení je velmi jednoduchým vodítkem, které lze dále rozvíjet. Skripty jistě nejsou bůhvíjak dokonalé, ale svůj účel jistě splní. V praxi by jistě bylo vhodné dořešit otázku sledování systémů v dalších jazycích (kde se již nevyskytuje slovo Neshoda), případně automatické upozorňování správce. To však vyžaduje poněkud hlubší pohled do problematiky, případně nasazení dalších technologií, které vám umožni sledovat i další činnosti v síti (například produkt Microsoft Operations Manager 2000). Uvedený příklad berte tedy opravdu pouze jako příklad, i když funkční a celkem použitelný


313

Závěr Operační systémy Microsoft jsou bezpečné, nikoli však ve výchozí konfiguraci. Právě zde došlo k obrovské změně mezi systémy Windows 2000 a Windows Server 2003, neboť za-bezpečení nového systému je mnohem vyšší. Přesto se stále jedná o základní úroveň, kte-rou je možné (a vhodné) pro další počítače ještě zvýšit. Ihned po instalaci domény je třeba provést některé kroky související se systémem šifrováni souborů EFS. Jedná se zejména o implementaci agentů obnovení dat, export jejich soukromých klíčů a následné odstranění ze systémů. Nelze se spolehnout na uživatele, kteří by si měli své klíče zálohovat také. Pokud mají uživatelé systémy Windows XP Pro-fessional a předpokládáte, že budou chtít zašifrované soubory mezi sebou sdílet, je vhodné nainstalovat do sítě certifikační úřad rozlehlé sítě, který bude potřebné certifikáty vystavovat. Stejně tak je vhodné zamezit šifrování tam, kde to není vhodné. Jedná se zejména o sdílené složky s dokumenty, ke kterým musí přistupovat více uživatelů. Potřebujete-li zakázal šifrování pouze pro konkrétní počítače, můžete to provést pomocí objektu zásad skupiny. Obecně je u systému EFS třeba myslet na to, že se jedná o velmi silný mechanismus zabezpečení dat. Tak, jak je rychlé a jednoduché soubory zašifrovat, tak může být rychlé a jednoduché o tyto soubory přijít. Na tuto záležitost myslete vždy a řádně zabezpečte potřebné klíče. Systémy Windows 2000/XP/2003 obsahují celou řadu práv a dalších nastavení zabezpe-čení. Přímo v systémech, ale také na jiných místech, můžete získat šablony zabezpečení, které obsahují konkrétní nastavení jednotlivých práv a zásad. Ty mohou být vhodným výchozím bodem pro zabezpečení konkrétních počítačů. K analýze zabezpečení, případně ke konkrétní konfiguraci jednotlivých počítačů podle šablony, je možné využít nástroj Konfigurace a analýza zabezpečení. Před jakoukoli další konfigurací zabezpečení je nutné vše pečlivě ověřit v laboratorním prostředí. Ne vždy se jedná o ideální prostředí, kde bude vše pracovat podle manuálů, a omezení hlavních obchodních aplikací by mohlo organizaci citelně ohrozit. Po konfiguraci zabezpečení a jejím ověření v praxi přichází další fáze. Udržení zabezpe čení a kontrola případných změn v síti. K tomu lze využívat různé prostředky, není však žádný důvod nezačít pouze s tím, co nám nabízí operační systémy. Teprve pro činnosti, které samotné systémy nezvládnou, je vhodné nasadit další produkty. To se týká také instalací oprav hotfix publikovaných na webové stránce Windows Update, pro které lze nasadit produkt Software Update Service. Zabezpečená síť je vizitkou pečlivého a znalého správce. Nikdy nelze z pohledu správce připustit pochybnosti o tom, zda je zabezpečení postačující či nikoli. Jediným omluvitel ným průnikem neověřeného uživatele do sítě může být pouze chyba produktu, kterou útočník využil dříve, než vešla ve známost a než ji výrobce opravil.

Stav sítě Nejvýraznější změnou v síti je instalace certifikačního úřadu rozlehlé sítě, který je využil pro vystavování certifikátů a generování šifrovacích a dešifrovacích klíčů. Dále došlo k exportování soukromého klíče agenta obnovení dat a jeho odstranění klíče z domény. V síti neproběhla konkrétní konfigurace zabezpečení, neboť konkrétní nastavení se muže v praxi velmi lišit a není tak možné poskytnout univerzální návod. Byl však implemen tován proces sledování zabezpečení založený na nástroji secedit /analyze a technologii IntelliMirror (přihlašovací skripty).


314

Když jeden server nestačí Jak organizace poroste, přijde den, kdy stávající síť přestane svým výkonem stačit požadavkům uživatelů. Přitom před samotnými uživateli může zůstat většina jejich požadavků skrytá. Který z uživatelů ví, jak je zatížená síť při spouštění počítače (a zda vůbec je), jaké služby v síti se procesu spouštění účastní nebo jak moc je zatížen řadič domény při přihlašováni? To je jenom část z oblasti, která je skutečně „nutným zlem" na pozadí a s níž není možné v podstatě nic zásadního provést. Pokud však server plní roli, která s ním není bytostně spjata, může být za jistých okolností v případě jeho nadměrného zatížení přenesena na jiný server. To se týká jak systémových záležitostí (řadič domény, server DNS, DHCP či WINS, certifikační úřad, globální katalog a další), tak i ostatních rolí (souborový server, aplikační server, databázový server, webový server a další). Proces samotného přenesení role je potřeba velmi dobře naplánovat. Při lehkomyslném přístupu hrozí ztráta dat, případně narušení funkčnosti i zdánlivě nesouvisejících služeb. Vzpomeňte jen na přechod ze statického adresování protokolu IP na službu DHCP. Sice se nejednalo o přenesení služby do jiného počítače, ale výsledky při špatně naplánovaném postupu by mohly mít na síť velmi negativní vliv. Síť naší organizace ještě nedospěla k přímé nutnosti rozšiřovat počet počítačů. Pokud na to však v budoucnu dojde, je třeba být připraven. Jak se připravit, ukazuje tato kapitola.

Příprava na přenesení souborů Pokud se rozhodnete přenést celý systém sdílení souborů (případně jeho část) do jiného počítače, můžeme takový proces nazvat přenesením souborového serveru. Následující části ukazují důležité aspekty, na které je potřeba se dopředu připravit.

Výkon počítače Nejčastější příčinou přenesení jakékoli role do jiného počítače je nízký výkon původního počítače. Při plánování a sledování výkonu počítačů je obecně nutné posoudit následující čtyři hardwarové součásti: ♦ ♦ ♦ ♦

Procesor Paměť Diskový podsystém Síťová rozhraní

Ve velkém procentu případů zapomínají správci na výkon diskového podsystému. Při nákupu nového hardwaru je zajímá maximálně kapacita disků a jejich počet. To však nestačí, neboť důležitou roli hraje také rozhraní s řadičem disků, případný způsob uspořádání disků do pole RAID, velikost mezipaměti disků a další. Uvedené součásti jsou podstatné pro všechny počítače. U konkrétních rolí serverů lze však některé z nich upřednostnit, jiné zase až tak důležité pro konkrétní případ být nemusí. Zatímco pro webový server bude velmi důležitá velikost paměti a rychlost a výkon diskového sy-stému, pro server DNS nebo DHCP bude důležitější rychlost procesoru a síťového rozhraní. Horší situace nastává v případě, kdy je v jednom počítači zkombinováno více rolí. Je lep-ší takovém případě zakoupit rychlejší procesor nebo spíše přidat paměť? Nebo přidat síťové rozhraní či další disk? Jednoznačná odpověď na tyto otázky neexistuje, neboť každé přostředí potřebuje své. U souborového serveru je nutné klást důraz na dostatečnou velikost operační paměti a místo a rychlost pevných disků. Není zde podstatná rychlost procesoru a pokud nejsou požadavky na soubory ze sítě extrémně náročné, potom není rozhodující ani síťové rozhraní. Je zbytečné například určovat, jak velká by měla být operační paměť. Minimální požadavky jsou dány instalací systému, maximální požadavky často hardwarovým omezením nebo možnostmi organizace. Podstatné je vědět, do jakých součástí serveru investovat. Rytchlostí pevných disků se nerozumí pouze časy přístupů, ale také způsob uspořádaní disků, jejich počet a rychlost řadiče. Další informace o možnostech uspořádání disků naleznete v kapitole 24, „Správa disků".

Oprávnění NTFS Oprávnění NTFS určují, kdo a co může s daným objektem provádět. Jsou vlastností kon-krétního objektu (souboru, složky, tiskárny...) a je důležité, aby se při přenášení přenesly se souborem. To se někdy může zdařit pomocí jednoduché operace, někdy je však nutné tuto záležitost zajistit dalšími prostředky. V každém případě se jedná o mnohdy dlouhodo bé konfigurace, které může být nemožné znovu konfigurovat. Proto je pochopení chováni Oprávnění NTFS při manipulaci se soubory jednou ze základních znalostí správců.

Oprávnění NTFS a kopírování Při kopírování se původní oprávnění NTFS objektu ztrácejí a objekt získá oprávněni od nadřazeného objektu v cílovém umístění. Pokud například zkopírujete soubor ze složky s názvem A, ke které měl uživatel Jarda oprávnění Upravit, do složky B, k níž má oprávnění Úplné řízení, získá uživatel Jarda k souboru v novém umístění oprávnění Úplné řízení. Graficky je kopírování souboru zobrazeno na obrázku 23.1.


315

Obrázek 23.1 Při kopírování získává soubor oprávnění cílového nadřazeného objektu

Oprávnění NTFS a přesunutí Při přesunu souborů se oprávnění chovají bud jako při kopírování nebo se ponechají. Záleží totiž na tom, zda se objekt přesouvá v rámci stejné jednotky pevného disku nebo zda se jedná o přesun mezi jednotkami. Přesun mezi jednotkami S oprávněními NTFS se naloží stejně jako v případě kopírování. Přesun v rámci jednotky Přesouvané objekty si ponechávají svá oprávnění bez ohledu na oprávnění v cílové složce. Tato oprávnění si však udrží pouze do chvíle, než dojde k jejich úpravě. Poté se zdědí oprávnění z nadřazené složky. Z uvedených informací vyplývá, že kopírování i přesun objektů mezi počítači dopadni' slejně - soubory přijdou o původní oprávnění a získají oprávnění nadřazeného cílového objektu.

Přesunutí zašifrovaných souborů Se zašifrovaným souborem může manipulovat pouze ten, kdo jej zašifroval. Ostatní uživatelé mohou mít oprávnění, jaká chtějí, to jim však nepomůže. Výjimku může ještě tvořil agent obnovení, ten však mívá většinou odstraněný soukromý klíč a nezmůže tedy také nic, Při kopírování do jiného počítače se zašifrovaný soubor nejprve dešifruje, poté se v ne chráněné podobě přenese přes síť a v cílovém počítači se zašifruje. Zároveň se v cílovém počítači vytvoří profil uživatele, jemuž zašifrovaný soubor patří, neboť jeho součástí je soukromý klíč. Aby vůbec bylo možné šifrovat soubory ve vzdáleném počítači, musí mít počítač zaškrtnuto políčko Důvěřovat počítači pro delegování (viz obrázek 23.2). Stan-dardně mají toto políčko zaškrtnuté pouze řadiče domény. Obrázek 23.2 Pole Důvěřovat počítači pro delegování je k dispozici na kartě Obecné v dialogovém okně vlastností účtu počítače


316

Kopírování a přesouvání komprimovaných souborů Komprimace je další z vlastností systému NTFS a následující informace platí pouze pro ni. Atribut komprimace souboru vykazuje stejné chování jako oprávnění NTFS kopírovaných souborů. Pokud je cílová složka komprimovaná, bude soubor při zkopírování také zkomprimován. Pokud cílová složka komprimovaná není, soubor se při kopírování dekom primuje. Přesouvání mezi jednotkami se chová stejně jako kopírování, přesouvání v rámci jednotky atribut komprimace souboru ponechá.

Možnosti přenesení Výše uvedené informace jsou základem pro úspěšné naplánování přenesení sdílených složek a souborů. Ačkoli je nyní jasné, že zkopírováním souborů přijdete o spoustu oprávnění a atributů a že se vám nepodaří zkopírovat zašifrované soubory ostatních uži vatelů, stále se jedná o nejčastější chybu správců v této oblasti. Jaké jsou tedy možnosti?

Použití nástrojů od jiných výrobců Nástroje od jiných výrobců umějí kopírovat soubory včetně oprávnění. Podmínkou funkčnosti oprávnění samozřejmě je, aby byl cílový počítač členem domény jako zdrojový počítač. V opačném případě zůstanou na kartě Zabezpečení k dispozici pouze kódy SID neexistujících účtů. Pokud jsou v seznamu řízení přístupu souboru uvedeny místní skupiny, je nutné rozlišit, zda se jedná o systémové nebo vlastní skupiny. Položky týkající se vlastních skupin nebudou v cílovém počítači pracovat (protože tam jednoduše neexistují), položky odpovídající systémovým skupinám ano, neboť ty existují v každém počítači a mají stejný kód SID. Výhodou nástrojů od jiných výrobců je tak možnost poměrně jednoduše zkopírovat také oprávnění. Nevýhodou je nutnost jejich zakoupení, instalace a případné správy (jde o další programy v síti).

Použití systémových nástrojů Přemýšleli jste někdy nad otázkou, jak můžete přemístit zašifrovaný soubor jiného uživatele, ke kterému nemáte běžně přístup? Odpověď na tuto otázku byla uvedena v kapitole 22, „Zabezpečení serveru, dokumentů a sítě". Odpověď je aktuální jak pro správce (kteří potřebují takové soubory přesunout), tak pro uživatele, kteří přijdou o přístup k zašifrovaným souborům (a potřebují soubor doručit agentovi obnovení). Jediným rozumným řešením je provedení zálohy takového souboru. K tomu může velmi dobře posloužit nástroj Zálohování (NTBackup.exe), se kterým jsme podrobně pracovali v kapitole 16, „Co když zítra „odejde" server?" Nelze tedy souhlasit se správci, kteří zužují možnosti využití nástroje Zálohování pouze na provádění záloh systémů. Pokud máte právo provádět zálohování systému (ve výchozí konfiguraci zabezpečení systémů Windows 2000/XP/2003 má toto právo skupina Administrátore a Backup Operátore), můžete pomocí nástroje Zálohování zabít více much jednou ranou - zajistíte bezchybné přenesení oprávnění NTFS, atributů komprimace a také zašifrovaných souborů.

Sdílení složek Budete-li chtít přesunout sdílené dokumenty na jiný server, jistě byste neradi přišli o na konfigurovaná sdílení. Nejde pouze o informaci, že složka je sdílena, ale současně také o oprávnění ke sdílení. Tyto informace nejsou vlastností konkrétní složky, ale jsou součástí konkrétního počítače. Naleznete je uložené v části registru HKEY_LOCAL_MACHINE. Přesné místo ukazuje obrázek 23.3. V klíči Shares jsou uloženy informace o sdíleném prostředku, jako je jeho název, maximální počet současně připojených uživatelů a další. V podklíči Security jsou pak uložené informace o sdílených oprávněních. Jak tyto informace do jiného počítače přenést? Rozhodně to nebude pomocí zálohy sta vu systému (SystemState). Ta se dá obnovit pouze jako celek, takže bychom z nového počítače měli kopii původního (včetně stejného názvu, kódu SID a podobně). To by listé nedělalo dobrotu, takže bude nutné vymyslet jiný způsob.


317

Obrázek 23.3 Informace o sdílených prostředcích jsou uloženy v registru počítače Dalším řešením je zaznamenání potřebných informací a jejich ruční konfigurace. Pokud jich není moc (což je v tomto případě jistě pojem relativní), může se jednat o nejrychlej-

ší metodu. Bude li sdílených složek více, bude pravděpodobně jednodušší přenést příslušné hodnoty klíčů registru. V takovém případě lze v původním počítači exportovat příslušné klíče do souboru REG, poté je upravit a následně importovat do registru nového počítače.

Časový rozvrh přenesení Přenesení souborů ve sdílených složkách je uživatelsky nepřátelská operace. Během ce lé operace by uživatelé neměli se soubory ve sdílených složkách pracovat, neboť nelze zajistit jejich aktuálnost. S jistým omezením práce uživatelé tedy musí počítat. Úkolem správce je, aby toto omezení bylo co nejkratší a přechod uživatelů co nejjednodušší. Zcela jistě můžete vynechat pracovní dobu. Dané situaci budou spíše vyhovovat večerní hodiny či víkend.

Přenášíme strukturu dokumentů Samotný proces přenesení souborů bude sestávat z následujících fází: ♦ ♦ ♦ ♦

♦

Instalace a konfigurace dalšího serveru (SRVR002). Záloha struktury složek, případně důležitých klíčů registru. Znepřístupnění souborů v původním umístění. Obnovení struktury v novém serveru. Zpřístupnění struktury v novém serveru k používání.

Alternativním řešením je: ♦ ♦

Instalace a konfigurace dalšího serveru. Využití systému DFS (Distributing File System) k přenesení obsahu sdílených složek.

Instalace a konfigurace dalšího serveru Nyní je již zbytečné připomínat, že každá instalace vyžaduje pečlivou přípravu. Instalace serveru byla popsána v kapitole 1, „Instalujeme server". V případě nutnosti tedy můžete z této kapitoly čerpat další informace při instalaci. 1. Nainstalujte další server se systémem Windows Server 2003 a přidejte jej do domény studny.local. Bude se jednat o běžný členský server, který nbude plnit žádné jiné role než roli souborového serveru. Podstatné budou následující parametry: ♦ Název serveru SRVR002 ♦ Člen domény studny.local ♦ Adresa IP 192.168.10.3 ♦ Maska podsítě 255.255.255.0 ♦ Server DNS 192.168.10.2 Ostatní parametry mohou zůstat ve výchozí konfiguraci. 2. Objekt serveru SRVR002 přesuňte v doméně studny.local pomocí nástroje Uživatelé a počítače služby Active Directory do příslušné


318

oganizační jednotky. Po instalaci ověřte bezchybnou komunikaci serveru v síti.

Přenesení souborů - metoda zálohování a obnovení Tuto metodu naplánujte na dobu, kdy uživatelé nebudou se soubory pracovat. Zároveň je dobré uživatele upozornit na stav, že po konkrétní dobu nemusí být provedené změny v souborech uloženy. Celý proces bude sestávat z několika dílčích kroků optimalizovaných tak, aby byl co nejjednodušší a co nejméně omezil uživatele. Zálohování klíčů registru 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj REGEDIT.EXE a přejděte na klíč KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares. 3. V nabídce Soubor klepněte na příkaz Exportovat a v dialogovém okně Exportovat soubor registru zadejte název souboru Knihovna.REG a uložte jej dočasně na jednotku C:. Úprava klíčů registru Protože nás bude ze všech sdílených složek zajímat pouze složka Knihovna, bude třeba exportovaný soubor upravit, aby se v cílovém počítači zbytečně negenerovaly události o chybějících sdílených složkách. 1. Přihlaste se k počítači SRVR001 jako správci. 2. Soubor Knihovna.REG otevřete v aplikaci Poznámkový blok. Zobrazí se interní formát souboru, který je naštěstí dobře čitelný a bude možné jej jednoduše upra vit. Struktura souboru je zobrazena níže: Windows Registry Editor V ers i on 5.00 [HKEY_L0CAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares] "prin t $ "= h e x (7 ) : 4 3 ,00,5 3 ,00 ,43,00 ,46 ,00,6c,00,6 1 ,0 0 ,6 7 ,0 0 ,7 3 ,0 0 ,3 d ,00,30,00,00,\ 00,4d,00,61,00,78,00,55,00,73,0 0 , 65,00,73,00 ,3d ,00,34,00,32,00,39,00,34,00,\ 39,00,36,00,37,00,32,00,39,00,35,0 0 , 00,00,50 ,00,61,00,74,00,68,00,3d,00,43,\ 00,3a,00,5c,00,57,00,49,00,4e,0 0 ,4 4 , 00 ,4 f , 0 0 , 5 7 , 00,53,00,5c,00,73,00,79,00,\ 73,00,74,00,65,00,6d,00,33,00,32 ,0 0 ,5c,00,73,00 ,70,00,6f,00,6f,00,6c,00,5c,\ 00,64,00,72,00,69,00,76,00,65,00,7 2 , 00,73,00,0 0 ,00,50,00,65,00,72,00,6d,00,\ 69,00,73,00,73,00,69,00,6f,00,6e,0 0 ,73,0 0 , 3d,0 0 , 30,00,00,00,52,00,65,00,6d,\ 00,61,00,72,00,6b,00,3d,00,4f,00,76,0 0 ,6 c , 00,61,00,64,00,61,00,Od,01,65,00, \ 20,00,74,00,69,00,73,00,6b,00,e l , 00,7 2 , 0 0 , 6e,0 0 ,79,00,00,00,54,00,79,00,70,\ 00,65,00,3d,00,30,00,00,00,00,00 "SYSVOL"=hex(7) : 4 3 , 0 0 . 53,00,43,0 0 , 4 6 , 0 0 , 6 c , 0 0 , 6 1 , 00,67,00,73,00,3d,00 ,32 .00 ,35 ,\ 00,36,00,00,00,4d,00,61,00,78,0 0 ,55,0 0 , 73,0 0 ,65,00,73,00,3d,00,34,00,32,00,\ 39,00,34,00,39,00,36,00,37,00,32,0 0 ,39,00 ,35,0 0 , 00,00,50,00,61,00,74,00,68,\ 00,3d.00,43,00,3a,00,5c,00,57,00,49,00,4 e , 00,44,00,4f,00,57,00,53,00,5c, 00, \ 53,00,59,00,53,00,56,00,4f,00,4 c , 00,5c,0 0 , 53,0 0 ,59,00,53,00,56,00,4f,00,4c,\ 00.00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00.6f,00,6e,00,73,00, \ 3d,00,30,00,00,00,52,00,65,00,6 d , 0 0 , 61,0 0 ,7 2 , 00,6b,00,3d,00,53,00,64,00,ed,\ 00,6c,00,65,00,6e,00,el,00,20,0 0 , 7 0 , 0 0 ,6 f , 0 0 , 6c,00,6f,00,7e,01,6b,00,61,00, \ 20,00,70,00,59,01,69,00,68,00,6 c , 0 0 ,61,00,61,01,6f,00,76,00,61,00,63,00,ed,\ 00,68,00,6f,00,20,00,73,00,65,00 ,7 2 , 0 0 , 7 6 ,0 0,65,00,72,00,75,00.20,00,00,00,\ 54,00,79,00,70,00,65,00.3d,00,30,00,0 0 ,0 0 , 00,00 "NETLOGON"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73.00,3d,00,32,00,\ 35.00,36,00,00,00,4d,00,61,00,78,00,55,0 0 ,73,00,65,00,73,00,3d,00,34,00.32, \ 00.39,00,34,00,39,00,36,00,37,0 0 , 32,00,39,0 0 , 35,00,00,00,50,00,61,00,74,00, \ 68,00,3d,00,43,00,3a,00,5c,00,57,0 0 , 4 9 ,00,4 e , 00,44,00,4f,00,57,00,53,00,5c, \ 00,53,00,59,00,53,00,56,00,4f,0 0 ,4 c , 0 0 , 5c,0 0 ,53,00,59,00,53,00,56,00,4f, 00, \ 4c,00,5c,00,73,00,74,00,75,00,64,00,6e,0 0,7 9 , 0 0 , 2e,00,6c,00,6f,00,63,00,61, \ 00,6c,00,5c,00,53,00,43,00,52,00,49,00,50 ,00,54,00,53,00,00,00,50,00,65,00,\ 72,00,6d,00,69,00,73,00,73.00,6 9 , 0 0 , 6 f , 00,6e,00,73,00,3d,00,30,00,00,00,52,\ 00,65,00,6d,00,61,00,72,00,6b,0 0 ,3 d,00 ,53,0 0 , 64.00,ed,00,6c,00,65,00,6e,00,\ el,00,20,00,70,00,6f,00,6c,00,6 f , 00,7 e , 01,6 b , 0 0 , 61,00,20,00,70,00,59,01,69, \ 00,68,00,6c,00,61,00,61,01,6f,00,76,00,61,00,63,00,ed,00,68,00,6f,00,20,00, \ 73,00,65,00,72,00,76,00,65,00,7 2 , 00,75,00,20 ,00,00,00,54,00,79,00,70,00,65, \ 00,3d,00,30,00,00,00,00,00 "Kn ih o v n a " = h e x (7 ) : 4 3 ,0 0 ,5 3 ,00 ,43 ,00 ,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,\ 00,00,4d,00,61,00,78,00,55,00,73,00,6 5 , 0 0 , 73,00,3d,00,34,00,32,00.39.00,34, \ 00,39,00,36,00,37.00,32,00,39,0 0 , 35.00,0 0 ,0 0 , 50,00,61,00,74.00,68.00.3d.00, \ 43,00.3a,00,5c,00,4b,00,6e,00,6 9 ,0 0 , 68,00,6 f , 00,76,00,6e,00,61,00,00,00,50, \ 00,65,00,72,00,6d,00,69,00,73,00 ,7 3 , 00,69,0 0 , 6f,00,6e,00,73,00,3d,00,30,00,\ 00,00,52,00,65,00,6d,00,61,00,7 2 , 0 0 ,6 b ,00,3d,00,00,00,54,00,79,00,70,00,65,\ 00,3d.00,30,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares\Securii v "print$"=hex:01,00,04,80,78,00,00,00.88,0 0 , 00,0 0 ,00,00,00,00,14,00,00,00,02,00,\ 64.00,04,00,00,00,00,00,14,00,a 9 , 0 0 , 12,00,01,01,00,00,00,00,00,01,00,00,00, \ 00,00,00,18 ,00 ,ff ,01,lf,00,01,0 2 ,00,0 0 , 0 0 , 0 0 , 0 0 , 0 5 , 2 0 , 00,0 0 , 0 0 , 2 0 , 0 2 . 0 0 , 0 0 , \ 00.00,18,00,ff,01,lf,00,01,02,00,00,00 ,0 0 ,00,05,20,00,00,00,26,02,00.00,00,\ 00,18,00. ff,01, lf, 00,01,02,00,00,00,00,00,05,20,00,00,00,25,02,00.00,01,02,\ 00,00,00.00,00,05,20.00,00,00,20 ,0 2 , 00,0 0 ,01,01,00,00,00.00,00,05.12,00,00,\ 00


319

"SYSVOL"=hex:01,00,04,80,5c,00,0 0 , 00,6c,00 ,00,00,00,00,00,00,14,00,00,00,02,00,\ 48,00,03,00,00.00,00,00 ,14,00 ,a 9 , 00 ,12,00,01,01,00,00,00,00,00,01,00,00,00, \ 00,00,00,18,00,ff,01,lf,00,01,0 2 , 0 0 , 0 0 . 0 0 , 0 0 ,00 ,05,20,00,00,0 0 , 2 0 , 0 2 , 00,00, \ 00,00,14,00,ff,01,lf,00,01,01,00,0 0 ,00,00,0 0 ,05,Ob.00,00,00,01,02,00,00,00,\ 00 ,00 ,0 5,20 ,00 ,00 ,00 ,2 0,02 ,00 ,00 ,01 ,0 1,00 ,00 ,00 ,00 ,0 0,05 ,12 ,00 ,00 ,0 0 "NETL0GON"=hex:01,00,04,80,48,00 ,0 0 ,00,58,0 0 , 00 ,00,00,00,00,00,14,00,00,00,02, \ 00,34,00,02,00,00,00,00,00,14.00,a 9 , 0 0 , 12,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,00,00,18,00,ff,01.l f , 00 ,01,0 2 , 0 0 , 00,00,0 0 ,00,05,20,00,00,00,20,02,00, \ 00,01,02,00,00,00,00,00.05,2 0 , 00,00,0 0 , 2 0 ,02,0 0 ,00,01,01,00,00,00,00,00,05,\ 1 2 , 0 0 , 0 0 , 0 0 "Knihovna"=hex:01,00,04,80,30,00 ,0 0 ,00,4 0 , 0 0 ,0 0,00,00,00,00,00,14,00,00,00,02,\ 00,lc,00,01,00,00,00,00 ,00,14,00,f f , 01,l f , 00,01,01,00,00,00,00,00,05,Ob,00.\ 00,00,01,02,00,00,00,0 0 , 0 0 , 05,2 0 , 00,00,0 0 , 2 0 ,02,00,00,01,05,00,00,00,00,00, \ 0 5 ,1 5 ,0 0 ,0 0 ,0 0 ,0 d , a 5 ,0 6 ,5 4 ,a a ,3 6 ,5 9 ,b 7 ,7 d .2 a, e 2 ,f e,0 1 ,0 2 ,0 0 ,0 0 3. Z obou částí, které jsou v souboru uvedeny, nás budou zajímat pouze položky týkající se složky Knihovna, a to v obou částech. Soubor

Knihovna.REG tedy upravte do následujícího tvaru a uložte jej: Windows Registry Editor V e r s i o n 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares] "Knihovna" = h e x ( 7 ) : 4 3 , 00,53,00,43,00,4 6 , 0 0 , 6 c,00,61,0 0 , 6 7 , 0 0 , 7 3 .0 0 .3 d .00,30.00.\ 00,00,4d,00,61,00,78,0 0 , 55,00 ,73,00,65,00,73,00 ,3d,00,34,00,32,00,39,00,34,\ 00,39,00,36,00,37,00.32,00,39,00,35,0 0 , 00,0 0 , 50,00,61,00,74,00,68,00,3d,00,\ 43,00,3a,00,5c,00,4b,00 ,6e,00 ,69,0 0 , 68,00,6 f , 0 0 ,76,00,6e,00,61,00,00,00,50.\ 00,65,00,72,00,6d,00,69,0 0,73,00,73 ,0 0 ,69,00 ,6 f , 00,6e,00,73,00,3d,00,30,00, \ 00,00,52.00,65,00,6d,0 0 ,61,00 .7 2 .0 0 , 6 b , 00,3 d , 00,00,00,54,00,79,00.70,00,65, \ 00,3d,00,30,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares\Security] "Knihovna"=hex:01,00,04,80,30,00,00,00,40,00,00,00,00,00,00,00,14,00,00,00,02,\ 00, lc,00,01,00,00.00,00 ,00,14,00,f f , 01,lf,0 0 , 01,01,00,00,00,00,00,05,0b, 00. \ 00.00,01,02,00,00,00,00 ,00 ,05,20,0 0 , 00 ,00,2 0 , 0 2 , 00,00,01,05,00,00,00,00,00,\ 05,15,00,00,00,0d,a5,06,54,aa,36,59,b7,7d,2a,e2,fe,01,02,00,00

Znepřístupnění složky a zálohování obsahu Přestože jste dopředu uživatelům ohlásili své úmysly a vysvětlili jim, jak se mají chovat, je docela dobře možné, že někteří uživatelé neuposlechnou doporučení a budou s některými soubory pracovat. Abyste je naposledy upozornili, že máte v úmyslu začít se soubory pracovat, můžete postupovat následovně: 1. Přihlaste se k počítači SRVR00l jako správci. 2. Spusťte konzolu Správa počítače. Pravým tlačítkem myši klepněte na položku Sdílené složky a v místní nabídce poté v části Všechny úkoly klepněte na příkaz Poslat zprávu konzoly. Zobrazí se dialogové okno, do kterého napište informaci o tom, že začínáte pracovat se soubory a neručíte za případnou ztrátu dat změněných od této chvíle, a odešlete ji. Poznámka Úspěšné odeslání a doručení zprávy do počítačů vyžaduje funkční spuštěnou službu Kurýrní služba (Messenger). Protože je však tato služba ve výchozím stavu v systémech Windows Server 2003 zakázána, může být odeslání zprávy nereálné. 3. Přejděte na jednotku C: a ve vlastnostech složky Knihovna ukončete její sdílení. Zabráníte tak uživatelům v přístupu k souborům. 4. Spusťte nástroj Zálohování (NTBackup.exe) a proveďte úplnou zálohu složky Knihovna. Zálohu uložte do místního počítače do souboru Knihovna.BKF. Obnovení obsahu a jeho zpřístupnění v cílovém počítači Soubor se zálohou složky Knihovna nyní obnovíme do nového serveru. Poté ověříme zachovaná oprávnění NTFS a úpravou registru složku nasdílíme. 1. 2. 3.

Přihlaste se k počítači SRVR002 jako správci. Spusťte nástroj Zálohování. Proveďte obnovení souboru Knihovna.BKF z jednotky C: počítače SRVR001 (cesta k souboru bude \\SRVR001\c$\Knihovna.BKF) do původního umístění. Obrázek 23.4 Cesta ke katalogu


320

Poznámka Výchozí konfigurací nástroje Zálohování je také obnovení oprávnění NTFS. 4. V jednotce C: klepněte pravým tlačítkem myši na novou složku Knihovna a v dialogovém okně vlastností klepněte na kartu Zabezpečení. Protože se obnovila také oprávnění NTFS, musí být seznam řízení přístupu totožný se seznamem v počítači SRVR001. Stejnou kontrolu proveďte u náhodně vybraných podsložek. Z povahy obnovení dat vyplývá, že buď musí nebo nemůže souhlasit vše. Není možné, aby nesouhlasilo nastavení pouze u některých složek. Pokud je vše v pořádku, je možné přikročit k obnovení sdílení. Kromě ruční konfigurace (která se hodí u relativně jednodu-chých případů, jako je nyní náš) je možné ji provést změnou registru. Tuto možnost ukážeme dále. 1.

2. 3.

V počítači SRVR002 otevřete okno se složkou SRVR001\c$ a poté spusťte soubor Knihovna.REG. Pokud se zobrazí dialogové okno Stažení souboru, klepněte na tlačítko Otevřít. Na dotaz, zda chcete importovat informace do registru, odpovězte klepnutím na tlačítko Ano. Klepnutím na tlačítko OK zavřete zprávu s informací o úspěšném uložení informací ze souboru Knihovna.REG do registru. 3. Restartujte počítač SRVR002. Po dalším spuštění by měla být složka Knihovna sdílena s příslušnými oprávněními (Authenticated Users Úplné řízení). Poznámka Restartování je také krok, který je nutné provést pouze v případě importováni hodnot do registru. Pokud provedete změnu ručně, je aktivní ihned.

Jak to dopadlo? Předtím byla knihovna přístupná pomocí cesty UNC \\SRVR001\Knihovna, nyní je k dispozici po zadání cesty \\SRVR002\Knihovna. Poslední krok je tak na uživatelích, kteří se musí „přeučit" na novou cestu. Pokud případně tuto cestu připojujete během přihlašovacího skriptu k písmenu jednotky, stačí pozměnit skript. V takovém případě je velmi pravděpodobné, že si změny uživatelé ani nevšimnou. Pochopitelně by však měli odhalit rychlejší odezvy.

Přenesení souborů - využití systému DFS Systém DFS byl poprvé představen v systémech Windows 2000. V systému Windows Server 2003 je rozšířen o některé funkce, které však v následujícím postupu nebudeme potřebovat. Systém DFS je prakticky rozcestníkem, který zjednodušuje orientaci a přístup uživatelů k různým sdíleným složkám, které mohou být „rozházené" po různých serverech v síti. Systém souborů DFS má vždy takzvaný kořen - tím je sdílená složka, ve které jsou odkazy (něco jako zástupci) na místní i vzdálené sdílené složky. Uživatelům tak při plném využiti systému DFS nyní stačí pamatovat si pouze jedinou cestu ke sdílené složce, neboť poté se dostanou ke všem složkám, ke kterým potřebují. Tuto hlavní funkci systému DFS my využijeme pouze jako základ. S výhodou však využijeme další zajímavé možnosti, kterou je automatické replikování obsahu mezi dvěma sdílenými složkami. Pokud budete chtít následují postup vyzkoušet v naší síti, je nutné provést následující kroky: ♦ ♦

Sdílet znovu složku Knihovna v počítači SRVR001. V počítači SRVR002 vytvořit pouze prázdnou sdílenou složku Knihovna a nastavil stejná sdílená oprávnění jako má složka Knihovna v počítači SRVR001.

Dále postupujte podle následujících pokynů: Konfigurace doménového kořene DFS v počítači SRVR002 1. 2. 3. 4. 5. 6.

Přihlaste se k počítači SRVR002 jako správci. Spusťte nástroj Systém souborů DFS. Jedná se o nástroj, který je součástí základní instalace systému Windows Server 2000/2003 a jejž není možné odinstalovat. Pravým tlačítkem myši klepněte v konzole na položku Systém souborů DFS a v místní nabídce poté klepněte na položku Nový kořen. Spustí se Průvodce přidáním do adresáře. Klepněte na tlačítko Další. V dialogovém okně Typ kořenové složky zaškrtněte políčko Doménový kořenový adresář a klepněte na tlačítko Další. V dialogovém okně Hostitelská doména ponechte výchozí nastavení - domenu studny.local a klepněte na tlačítko Další. V dialogovém okně Název serveru zadejte název serveru, který bude hostovat kořen systému DFS (SRVR002). Pokračujte klepnutím na tlačítko Další.


321

Obrázek 23.5 Server SRVR002 bude hostovat doménový kořen DFS

7. Dialogové okno Název kořenového adresáře vyplňte podle obrázku 23.6. Poté klepněte na tlačítko Další. Pokud se zobrazí informace o neexistenci složky, zadejte do pole Sdílená složka cestu C:\DFS a klepněte na tlačítko Další. Svůj úmysl potvrďte klepnutím na tlačítko Ano.

Obrázek 23.6 Založení sdílené složky s kořenem DFS


322

8. V dialogovém okně Dokončení průvodce přidáním kořenového adresáře si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. V konzole Systém souborů DFS se zobrazí nový kořen. Poznámka V systému Windows Server 2003 byste nyní mohli pokračovat ve vytváření dalších doménových kořenů. Možnosti systému Windows 2000 jsme jedním doménovým kořenem vyčerpali. Konfigurace nového propojení Propojením je v systému Windows Server 2003 nazýván odkaz v systému DFS na sdílenou složku. Vytvoříme tedy propojení na složku Knihovny umístěnou na serveru SRVR001. 1. V konzole Systém souborů DFS klepněte pravým tlačítkem myši na položku doménového kořene a poté v místní nabídce klepněte na příkaz Nové propojení. 2. Pole v dialogovém okně Nové propojení vyplňte podle obrázku 23.7. Všimněte si cesty uvedené v poli Náhled cesty UNC propojení. Pokračujte klepnutím na tlačítko OK. Obrázek 23.7 Dialogové okno s odkazem na složku SRVR001\Knihovna

V doménovém kořenu DFS došlo k vytvoření odkazu na složku \\SRVR001\Knihovna Shodou okolností se tento odkaz jmenuje také Knihovna, i když to není podmínkou. Pod statné je, že uživatelé se mohou k dokumentům knihovny nyní dostat také pomocí cesty \ \studny.local\DFS\Knihovna. Možná vám přijde zvláštní používat v cestě UNC celý název domény. Cílem názvu domé-ny (jejž je možné využít pouze v případě doménového kořene DFS) je možnosl zadával vždy stejnou cestu UNC a nemuset si tak pamatovat název konkrétního počítače, k t e r ý doménový kořen DFS udržuje. Pokud by došlo později k jeho přesunu, uživatelé tuto změnu nepoznají. Vytvoření odkazu na sdílenou složku SRVR001\knihovna můžete ověřit kontrolou přítomnosti složky odpovídající názvu propojení v doménovém kořenu DFS. Pokud je ve složce DFS přítomna složka Knihovna, je vše v pořádku. Změna u uživatelů Nyní máte relativně dost času na to, abyste naučili uživatele používat místo cesty UNC \\SRVR00l\Knihovna cestu \\studny.local\DFS\Knihovna. Přestože je první cesta stále aktivní, je vhodné, aby si uživatelé zvykli na cestu, která je nezávislá na názvech konkrétních počítačů. Poté, co uživatelé plně přejdou na využívání nové cesty UNC, můžeme pokračovat v přemístění knihovny na server SRVR002. Poznámka Systémy Windows 9X/ME/NT neumějí systém DFS využívat. Jedinou možností je nainstalovat klienta adresářové služby. Replikace knihovny do počítače SRVR002 Poté, co uživatelé začnou používat cestu UNC systému DFS, je nutné, abyste dobře naplánovali přenesení struktury tak, aby byla uživatelům složka Knihovna k dispozici pouze v jednom počítači. Systém DFS neumí řešit konflikty a v případě dostupnosti obou replik jedné složky přesměruje některé uživatele na jeden server a ostatní na druhý (provádí lak vyrovnávání zátěže). Mohlo by tedy dojít k potížím, pokud by si dva uživatelé otevřeli v knihovně stejný soubor, přitom každý v jiném počítači. Pojem replika je v konzole DFS zobrazen jako Cíl. Pro existující propojení tak přidáme další cíl - složku Knihovna v počítači SRVR002. Postupujte podle následujících pokynů: 1. V konzole Systém souborů DFS klepněte pravým tlačítkem myši na položku Knihovna a v místní nabídce poté klepněte na příkaz Nový cíl. 2. V dialogovém okně Nový cíl zadejte do pole Cesta ke sdílené složce cestu SRVR002\Knihovna. Políčko Přidat tento cíl do replikační sady ponechte zaškrtnuté a poté klepněte na tlačítko OK. 3. Pokud se zobrazí informace o tom, že není nakonfigurovaná replikace, klepněte na tlačítko Ano. Pokud se dotaz nezobrazí nebo pokud jste omylem klepnuli na tlačítko Ne, klepněte pravým tlačítkem myši na položku Knihovna a v místní nabídce zvolte příkaz Konfigurovat


323

replikaci. 4. V okně Průvodce konfigurace replikací klepněte na tlačítko Další. 5. V dalším dialogovém okně vyberte položku SRVR001\Knihovna a klepněte na tlačítko Pracovní. Otevře se dialogové okno Pracovní složka, ve kterém můžete v poli Pracovní složka upravit místní cestu (například C:\FRS-Staging). Nato klepněte na tlačítko OK a nastavení pracovní složky opakujte pro druhý cíl v počítači SRVR002. 6. Poté klepněte na položku SRVR00l\Knihovna a klepněte na tlačítko Další. Určili jste, že první replikace proběhne ze složky Knihovna na serveru SRVR001 do slož ky Knihovna na server SRVR002. Opačná volba by mohla mít nepříjemné následky. V dialogovém okně s výběrem topologie ponechte výchozí nastavení (Vyzvánění) a poté klepněte na tlačítko Dokončit. 7.

8.

Obrázek 23.8 Konfigurace replikací

Poznámka Pojem „Vyzvánění" je v této jazykové verzi nepodařeným překladem. V originále zní jako Ring a označuje replikační topologii (tedy Kruh). Protože v našem případě replikují pouze dva počítače, je úplně jedno, kterou topologii zvolíte. Do 15 minut by měla proběhnout replikace složky Knihovna do počítače SRVR002. Zatímco pro úvodní replikaci je nutné určit, ze kterého serveru a kam se provede, u dalších replikací již vše pracuje metodou multimaster (a replikace probíhá okamžitě). To znamená, že ke změně může dojít na jakémkoli místě a vše se bude replikovat do ostatních cílů. Tuto jedinečnou vlastnost můžete velmi jednoduše ověřit: 1. 2. 3. 4.

V některé ze složek knihovny dokumentů v počítači SRVR001 vytvořte jakýkoli soubor. Otevřete stejnou složku v počítači SRVR002 a ověřte, že nový soubor byl replikován. Další nový soubor vytvořte v některé ze složek knihovny v počítači SRVR002. Ověřte, že soubor se replikoval do počítače SRVR001.

Tuto možnost my však právě proto, že systém DFS neumí řešit konflikty, nevyužijeme (systém DFS se řídí pravidlem, že vyhraje poslední- neboli platí poslední uložená verze sou boru). Po dokončení úvodní replikace bude tedy nutné odebrat cíl SRVROOlAKnihovna z konzoly DFS. Zastavení replikací a odebrání původní složky z replikace 1. V levé části konzoly DFS klepněte pravým tlačítkem myši na položku Knihovna a poté v místní nabídce klepněte na příkaz Zastavit replikaci. Svůj úmysl polvrď-te klepnutím na tlačítko Ano. 2. V pravém podokně poté klepněte pravým tlačítkem myši na položku SRVR001\ Knihovna a v místní nabídce klepněte na příkaz Odebrat cíl. 3. Zobrazí se zpráva o odstranění cíle. Klepněte na tlačítko Ano. Pokud nyní uživatelé zadají cestu UNC ve tvaru \\studny.local\dfs\knihovna, zobrazí M knihovna dokumentů z počítače SRVR002. Ne všichni uživatelé si ale již museli přivyknout na novou cestu UNC a může se najít uživatel, který vyzkouší cestu UNC ve tvaru \\SRVR001\Knihovna (zvyk je železná košile). I ten bude úspěšný, bude však pracovat S již neaktuální knihovnou v počítači SRVR001. Bylo by tedy velmi vhodné přístup do původní knihovny zakázat. zakázání přístupu k původní knihovně 1. 2. 3. 4.

Přihlaste se k počítači SRVR001 jako správci. Zobrazte okno aplikace Průzkumník Windows a přejděte do složky C:\. Zakažte sdílení složky Knihovna. Volitelně můžete celou složku Knihovna odstranit.

Uživatelé nyní mohou i nadále využívat cestu, kterou se již dříve naučili (Wstudny.lo-cal\dfs\knihovna) a budou přitom přesměrováni na počítač SRVR002. Systém DFS tedy provedl spoustu práce automaticky. Přenesl kompletní obsah složek celé knihovny včetně oprávnění a všech atributů (to znamená například i komprimované soubory). Zároveň zavádí do sítě možnost využívat k přístupu k souborům cesty UNC nezávislé na konkrétních počítačích.


324

Tento systém má však oproti předchozímu (ručnímu) řešení i několik nevýhod. Neumí replikovat zašifrované soubory a během replikací (zejména úvodní) zatěžuje síť. Nemožnost replikovat zašifrované soubory nás konkrétně u knihovny dokumentů netrápí, neboť při jejím vytváření jsme určili, že soubory nebude možné šifrovat (vzpomeňte na soubor desktop.ini). Může ale být velmi omezujícím prvkem v případě replikování ostatních složek (například přesměrovaných dokumentů uživatelů). Zatížení sítě je jistě nepříjemnou záležitostí, ale pouze tam, kde je běžné vytížení sítě téměř na svém maximu. Proto je dobré každé nasazení služby DFS pečlivě naplánovat. Abychom plně využili možnosti služby DFS, je třeba ještě doplnit informace o uložení vy-tvořeného doménového kořene. Ten jsme vytvořili v počítači SRVR002 ve složce DFS. Pokud se v sítích nasazuje systém DFS, potom se v něm většinou vytvoří také odkazy na ostatní sdílené složky. Předpokládejme například, že bychom chtěli do systému DFS doplnit složku Protokoly uloženou a sdílenou v počítači SRVR001: 1. 2. 3.

V konzole Systém souborů DFS klepněte pravým tlačítkem myši na položku kořene (studny.local\DFS) a poté v místní nabídce klepněte na příkaz Nové propojení. Otevře se dialogové okno Nové propojení. Pole v dialogovém okně Nové propojení vyplňte podle obrázku 23.9 a klepněte na tlačítko OK. Z jakéhokoli počítače ověřte přístup do složky Protokoly pomocí cesty UNC \\studny.local\dfs\protokoly.

Nyní jsme ale u jádra problému. Přesto, že systém souborů DFS velmi zjednodušuje přístup uživatelům ke sdíleným složkám (neboť uživatelé si nemusí pamatovat, ve kterém počítači je jaká složka k dispozici), existuje v tuto chvíli v naší síti jedno slabé místo, při jehoŽ výpadku celý systém DFS končí. Tím je samostatný kořen DFS. Ne objekt kořene jako lakový, který je zapsán v databázi Active Directoiy, ale složka, v níž se jednotlivé od kazy udržují. V našem případě tedy složka DFS v počítači SRVR002. Obrázek 23.9 Zadání odkazu na složku \\SRVR001\protokoly

Pokud dojde k výpadku počítače SRVR002, veškeré možné přístupy pomocí cest UNC služby DFS končí. Jistě, i nadále platí původní cesty (například \\SRVR00l\protokoly), ale jednou jste uživatele naučili používat výhradně cesty začínající \\studny.local, tak by bylo nesystémové jim vysvětlovat, že se mají vrátit k používání původních cest. Řešením případného výpadku počítače s kořenem DFS je provést replikaci kořene do jiného (případně jiných) počítače. Musí se jednat o serverové operační systémy Windows 2000/2003. Postupujte podle následujících pokynů: 1. 2. 3. 4. 5. 6.

V konzole Systém souborů DFS klepněte pravým tlačítkem myši na položku \\studny.local\DFS a v místní nabídce poté klepněte na položku Nový cíl kořene. V dialogovém okně Hostitelský server zadejte do pole Název serveru text SRVR001 a klepněte na tlačítko Další. V dialogovém okně Kořenová sdílená složka zadejte do pole Sdílená složka cestu C:\DFS (obecně cestu, ve které bude uložena replika kořene DFS). Pokra čujte klepnutím na tlačítko Další. Pokud zadaná složka neexistuje, zobrazí se o tom informace s nabídkou jejího vytvoření. Klepněte na tlačítko Ano. V dialogovém okně Dokončení Průvodce přidáním kořenového adresáře si prohlédněte zadané možnosti a poté klepněte na tlačítko Dokončit. V konzole Systém souborů DFS se zobrazí nová replika (cíl) kořene DFS. V počítači SRVR001 otevřete složku DFS a přesvědčte se, že bez konfigurace ja kékoli replikace došlo ke zkopírování odkazů na sdílené složky z kořene DFS z počítače SRVR002.

Tímto krokem jsme vyloučili nedostupnost sdílených prostředků v případě výpadku po čítače SRVR002. Pokud máte tu možnost, vypněte počítač SRVR002 a poté zkuste z jaké hokoli klienta přistoupit ke sdíleným složkám definovaným v systému souborů DFS po mocí cest UNC začínajících \\studny.local.


325

Další doporučené kroky l'o přenesení dokumentů do jiného souborového serveru a nasazení služby DFS ještě zdaleka není vše hotovo. V původním počítači existovala ještě další nastavení, která ovlivňovala možnosti uživatelů, ale jež se automaticky nepřenesla (ani by se to nedalo očekávat). Po přenesení souborů je tedy dobré nakonfigurovat ještě následující: ♦

♦

Zabezpečení serveru V souladu s předchozí kapitolou byste měli zabezpečit nový souborový server. S výhodou lze využít šablon zabezpečení, které jsou součástí dokumentů Windows Server 2003 Security Guide a Threats and Countermeasu-res: Security Settings in Windows Server 2003 and Windows XP zmíněných i s odkazy pro stažení v předchozí kapitole, neboť zde naleznete přímo šablony zabezpečení souborových serverů. Nezapomeňte ale vše před nasazením do provozního prostředí důkladně otestovat! Stínové kopie Pokud jste přenesli knihovnu dokumentů na jednotku C:, nezapomeňte v jejích vlastnostech nakonfigurovat Stínové kopie. Uživatelům tak velmi jednoduše zpřístupníte předchozí verze sdílených dokumentů pro případ, kdy provedli nechtěné změny nebo kdy soubor omylem odstranili. Obrázek 23.10 Konfigurace stínové kopie jednotky C:

♦

Konfigurace automatického zálohování Nezálohovat souborový server se rozhodně nevyplácí. Abyste však na zálohování nemuseli myslet, je vhodné nakonfigurovat zálohovací úlohy na automatické spuštění. Další informace o strategiích zálohování a konfiguraci automatického zálohování naleznete v kapitole 16, „Co když zítra „odejde" server?".

♦ Konfigurace diskových kvót U počítače SRVR001 jsme nakonfigurovali diskové kvóty pomocí objektu zásad skupiny s názvem Diskové kvóty, který se aplikuje na organizační jednotku Domain Controllers. Jistě nemá význam přesouvat účet počítače SRVR002 do této organizační jednotky. K dispozici je tak možnost aplikovat stejný objekt na tento počítač (ať již na úrovni organizační jednotky, ve které je účet počítače uložen, nebo formou filtrování objektů zásad skupiny). Extrémním případem je možnost nakonfigurovat diskové kvóty pouze místně přímo ve vlastnostech konkrétní jednotky v počítači SRVR002.

Závěr Pokud se v síti dostanete do stavu, kdy je nutné přenést některé role na jiný server, je nutné pečlivě vybrat hardware nového serveru. Každá role vyžaduje jiné priority a je třeba dát pozor, abyste zbytečně neinvestovali do součástí, které nenaplní vaše očekávání. U souborových serverů se jedná zejména o dostatečně velkou operační paměť a rychlý diskový podsystém. Přenesení souborů je dobré dopředu naplánovat. Uživatelé nesmí přijít o data ani o oprávnění přístupu k souborům, případně další atributy (šifrování, komprimace), a po přenesení se musí být schopni připojit k novému umístění. Existuje několik možností přenesení. Pokud budete přenášet data ručně, je nanejvýše vhodné použít k tomu zálohovací mechanismus systému (NTBackup.exe) nebo mechanismus z něj vycházející. Zajistíte tak bezpečné přenesení všech atributů. Pokud půjdete cestou kopírování nebo přesunutí souborů, můžete přijít o oprávnění, případně o atributy komprimace. Šifrované soubory navíc může zkopírovat nebo přesunout pouze vlastník, přičemž je nutné myslet na to, že zašifrované soubory se před přenosem dešifrují. Jediným zabezpečeným přenosem zašifrovaných souborů je tak využití nástroje NTBackup.exe. Alternativním řešením přenesení je využití systému souborů DFS. Ten je primárně určen pro zjednodušení přístupu ke sdíleným složkám v síti a umožňuje také automatickou re plikaci kořene a obsahu konkrétních složek. Jeho využití pro přenesení obsahu sdílených složek je pouze ukázkou možností využití jeho funkcí a je vhodné pro případ, kdy jako správci chcete provést přenesení automatiky. Má své nedostatky (například nepřenese za


326

šifrované soubory) a přenesení je nutné dobře naplánovat, aby uživatelé nepřistupovali do obou umístění (původního i nového) sdílených složek najednou. Po úspěšném přenesení dokumentů je nutné provést ještě další kroky, které souvisí s využíváním prostředků serveru uživateli. Patří sem jeho zabezpečení, konfigurace diskových kvót a nastavení zálohování spolu se stínovými kopiemi svazků. Některé z uvedených kroků je možné zajistit automaticky vhodným zařazením objektu serveru do příslušné or ganizační jednotky, jiné je nutné připravit ručně.

Stav sítě Do domény studny.local přibyl nový počítač SRVR002 plnící roli souborového serveru, Dále došlo k vytvoření doménového kořene systému souborů DFS. Jeho repliky jsou ve složkách C:\DFS na serverech SRVR001 i SRVR002 a zajišťují tak případný výpadek serveru SKVR002. Do počítače SRVR002 byla zcela přenesena knihovna firemních dokumentů a v počítači SRVR001 byly poté všechny soubory odstraněny. Uživatelé nyní nepřistupují ke knihovně pomocí cest y\\SRVR002\Knihovna, ale využívají možností systému DFS a cestu UNC zadávají ve formátu \\studny.local\DFS\Knihovna. V počítači SRVR002 je dále nakonfigurováno pravidelné zálohování, diskové kvóty na jednotce C: (v souladu S počítačem SRVR001) a stínové kopie svazku C:.


327

Správa disků Pevný disk je bezesporu jednou z hlavních součástí počítače. Pro jeho hodnotu si stačí pouze představit, co by se stalo v případě výpadku jak za běhu počítače, tak před spuštěním. Mnoho uživatelů již také ví, jakou hodnotu měla jejich data, která navždy odešla spolu s diskem, na němž byla uložena. Jednoduše řečeno - k disku je nutno jako k hlavnímu úložišti přistupovat s co největší péčí a využít všech možností systému, které zajistí záchranu dat při případných potížích. Kromě toho lze na disk také pohlížet jako na součást podsystému, který má významný vliv na rychlost a výkon celého počítače. I v tomto ohledu je možné výkon optimalizovat, a serverové operační systémy Windows 2000/2003 k tomu mají také co říci. V neposlední řadě může být disk hlavním zdrojem potíží u uživatelů, kteří si při práci zvyknou pouze na jediné písmeno C:. Pokud jim na tomto disku dojde volné místo, je samozřejmě řešením přidat další disk. Otázkou však je, zda se uživatel vyrovná se stavem, že disk C: je sice zaplněn, ale k dispozici jsou další písmena jednotek D:, E: atd., na které může své další soubory ukládat. Tato kapitola se zabývá možnostmi systémů Windows 2000/ XP/2003 v oblasti práce s pevnými disky a ukazuje možnosti řešení situací, do kterých se mohou uživatelé dostat.

Kupujte servery s více disky Představte si případ, kdy máte ve svém počítači dva fyzické disky (to sice nebývá případ běžných uživatelů, ale u správců se nejedná o nic výjimečného). Musí se opravdu jednat o fyzické disky, nikoli o více logických jednotek vytvořených na jednom disku. Na disku C: máte uložen soubor velký 400 MB. Která akce proběhne rychleji - zkopírování tohoto souboru do jiné složky na stejném disku C: nebo jeho zkopírování na jednotku D:? Samozřejmě že rychlejší bude jeho zkopírování na jednotku D:. Pokud se jedná o dva fyzické disky, mohou operace čtení z jednoho disku a zápis na druhý disk probíhat současně. Pokud se jedná o kopírování v rámci stejného fyzického disku, musí se operace čtení a zápisu provádět postupně. Ve druhém případě nezáleží na tom, zda soubor kopírujete v rámci jedné logické jednotky nebo mezi logickými jednotkami. Vždy se jedná o stejný fyzický disk, a to je rozhodující. Podobné je to v reálném provozu serveru. Zatímco uživatelé po serveru žádají například zpracování databázového dotazu, načítá a ukládá server systémové soubory, data aplikací, onu databázi, informace z paměti, kterou potřebuje uvolnit, ukládá do stránkovacího souboru na disk a podobně. Jistě nyní cítíte, že pokud jsou všechny tyto soubory na jednom fyzickém disku, jedná se z pohledu výkonu snad o nejhorší možné řešení. Tím nejjednodušším krokem, který můžete pro zvýšení výkonu serveru udělat, je provozovat více disků.

Kolik disků server potřebuje? Na začátku je nutné uvést, že v praxi nelze snad nikdy dosáhnout ideálního řešení, co se počtu disků týká. I u jednoduchých rolí serveru totiž můžete velmi snadno dojít k překvapujícímu počtu disků, které například nemusí být kam umístit nebo k čemu je fyzicky připojit. Pojďme se podívat na naše servery: Server SRVR001 je řadičem domény. Zároveň plní roli serveru DNS, DHCP a WINS. A i přes přesun knihovny dokumentů do počítače SRVR002 lze o serveru SRVR001 mluvil jako o souborovém serveru, neboť se na něj ukládají například profily uživatelů, pře-směrované složky Dokumenty a další soubory. Nelze ani zapomenout na jeho roli tisko-\ ého serveru. Obecně platí pro servery následující pravidla: ♦ ♦ ♦ ♦ ♦

Stránkovací soubor by měl být oddělen od systémových souborů. Binární soubory aplikací by měly být oddělené od systémových souborů. Data aplikací by měla být oddělena od binárních souborů aplikací. Databáze aplikací a systémových služeb by měly být odděleny od svých protokolů transakcí. Ostatní soubory je vhodné oddělit podle potřeby.

Co na to server SRVR001? Pokud dodržíme uvedená doporučení, můžeme dojít k následujícímu počtu a rozdělení disků: Fyzický disk

Účel

C:

Operační systém

D:

Stránkovací soubor

E:

Soubory služby Vzdálená instalace

F:

Binární soubory aplikací

G:

Databáze Active Directory

H:

Protokoly databáze Active Directory

I:

Sdílené soubory

J:

Tisková fronta


328

Tabulka 24.1 Fyzické disky a jejich účel Rozdělení disků serveru SRVR002 je uvedeno v tabulce 24.2. Fyzický disk Účel C:

Operační systém

D:


E:

Soubory souborového serveru

Tabulka 24.2 Fyzické disky a jejich účel Server SRVR001 není žádným speciálním serverem a přesto by měl mít 7 disků? Je vůbec možné tolik disků k tomuto serveru připojit? To je otázka, na kterou nemusí být odpověď vždy Ano. Potom přichází další fáze, kterou je optimalizace počtu disků. Na jedné straně jsou fyzické možnosti serveru, na druhé straně finanční možnosti organizace. Někam mezi se musí vejít požadavky správců. Optimalizace není nic jiného než ústupky od optimálního řešení směrem k méně výkonnému. V některých případech je řešení pouze na zkušenostech správce, někdy jsou správci navíc omezeni požadavky aplikací. Výsledkem může být například následující rozdělení disků serveru SRVR001: Fyzický disk

Účel

C:

Operační systém, binární soubory aplikací, databáze Active Directory

D:


E:

Soubory služby Vzdálená instalace, tisková fronta, sdílené soubory, protokoly databáze Active Directory

Tabulka 24.3 Možné optimalizované rozdělení disků serveru SRVR001 Některé záležitosti je možné přesunout jednoduše. Jiné je nutné již na daný disk instalovat (například binární soubory aplikací) a některé vyžadují využití zvláštních nástrojů.

Přesunutí stránkovacího souboru Stránkovací soubor není standardním souborem, u kterého byste se museli obávat o jeho obsah. Je pouze úložištěm informací, které v danou chvíli nemají co pohledávat v operační paměti počítače. Jednou z možností zabezpečení souborů je konfigurace zásady, která tento soubor při vypnutí počítače automaticky odstraní. Znovu se soubor vytvoří po zapnutí počítače v okamžiku, kdy je nutný Stránkovací soubor tedy nelze přesunout jako kterýkoli jiný soubor. Přesun stránkovacího souboru vlastně znamená zásah do konfigurace systému, která soubor vytváří a manipuluje s ním. Stránkovací soubor přesunete na disk D: podle následujících pokynů: 1. 2.

Přihlaste se k počítači SRVR001 jako správci. V Nabídce Start nebo na pracovní ploše klepněte pravým tlačítkem myši na po ložku Tento počítač a v místní nabídce poté klepněte na položku Vlastnosti. 3. V dialogovém okně Vlastnosti systému klepněte na kartě Upřesnit v části Výkon na tlačítko Nastavení. Zobrazí se dialogové okno Možnosti výkonu. 4. Klepněte na kartu Upřesnit a poté na tlačítko Změnit. Zobrazí se dialogové okno Virtuální paměť. Obrázek 24.1 Konfigurace stránkovacího souboru (virtuální paměti)


329

5. V horní části dialogového okna Virtuální paměť klepněte na písmeno D: a poté zaškrtněte políčko Vlastní velikost. Do pole Počáteční velikost (MB) zadejte hodnotu odpovídající 1 až l,5násobku velikosti paměti RAM, do pole Největší velikost (MB) zadejte nejvýše 2násobek velikosti operační paměti RAM. 6. Klepněte na tlačítko Nastavit. Nastavený rozsah stránkovacího souboru se zobrazí v horní části okna. 7. Poté klepněte na písmeno C: a zaškrtněte políčko Nepoužívat stránkovací soubor. Klepněte na tlačítko Nastavit. 8. Klepnutím na tlačítko OK zavřete dialogové okno Virtuální paměť. 9. Restartujte počítač. Při konfiguraci velikosti stránkovacího souboru můžete kromě zadání jeho velikosti zaškrtnutím pole Velikost určí systém nechat rozhodnutí o velikosti stránkovacího souboru na systému. V některých případech může být při definici velikosti stránkovacího souboru vhodné použít stejné hodnoty v obou polích Počáteční velikost i Největší velikost. Pokud dosáhne Stránkovací soubor velikost větší, než je počáteční, musí jej systém zvětšit. To však zabe re systémové prostředky a server může mít v tu chvíli delší odezvy. Pokud nastavíte hodnoty stejně, nemusí systém stránkovací soubor zvětšovat a tento problém se neprojeví.

Přesunutí databáze a protokolů transakcí Active Directory Ačkoli po optimalizaci disků nebude nutné v počítači SRVR001 přesouvat databázi Acti ve Directory na jiný disk, je vhodné si tento postup ukázat. Velmi podobným postupem je přesunutí protokolů transakcí. Při přesunu databáze Active Directory nebo protokolů transakcí postupujte následovně: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Proveďte zálohu stavu systému řadiče domény, na kterém budete soubory přesouvat. Proveďte restartování řadiče domény a spusťte jej v režimu Obnovení adresářové služby. Přihlaste se jako Administrátor s heslem pro režim obnovení adresářové služby, které jste určili při instalaci role řadiče domény. Na příkazovém řádku spusťte nástroj NTDSUTIL. V příkazovém režimu tohoto řádku zadejte příkaz FILES. Zobrazí se režim File Maintenance. Pokud chcete přesunout protokoly transakcí databáze Active Directory, zadejte nyní příkaz MOVE LOGS TO E:\NTDS. Proběhne přesunutí protokolů. Pokud chcete přesunout databázi Active Directory, zadejte v režimu File Maintenance příkaz MOVE DB TO cesta, kde cesta reprezentuje složku pro nové umístění databáze Active Directory. Zadejte příkaz INFO a ověřte, že protokoly (případně databáze) jsou přesunuty na správná místa. Dvakrát za sebou zadejte příkaz quit. Vrátíte se tak na běžný příkazový řádek. Restartujte počítač.

Po restartování počítače byste měli provést jeho zálohu. Pokud byste totiž museli například za několik hodin provést obnovení původní zálohy stavu systému, byly by protokoly databáze (případně databáze) opět na původním místě. Disky v serverech je možné ještě dále optimalizovat a zjistit další běh počítače v případě výpadku některého z nich. Informace o možnostech této konfigurace jsou uvedeny v této kapitole v části „Složitější svazky odolné proti chybám".

Je nutné upravovat disky v klientských počítačích? Klientské počítače jsou většinou běžné počítače neoplývající extrémními hardwarovými schopnostmi. Výjimku mohou tvořit například grafické pracovní stanice, ve kterých najde více disků jistě své uplatnění. Běžné stanice nejsou z hlediska výkonnosti nijak důležité, takže jediný disk, na kterém jsou uložené všechny informace, postačuje. V minulých kapitolách jsme téměř všechna uživatelská data včetně profilů uživatelů přesunuli na servery. Na pevných discích stanic tak zbudou pouze soubory operačního systému, případně binární soubory aplikací. I tak jistě budou existovat uživatelé, kteří si ve svých počítačích budou shromažďovat vlast ní data. Tito uživatelé patří často mezi uživatele s vyššími znalostmi, a dokáží si v případě nedostatku místa na disku poradit. Existuje ale také skupina uživatelů, pro které je konkrétní disk jediným možným úložištěm (někdy to dokonce mohou vyžadovat i aplikace), V dalších částech se podíváme na možnosti optimalizace disků u výkonných klientských počítačů a na řešení problémů uživatelům, kteří nutně potřebují ukládat data na již zapl něný disk. Souhrnně bude řeč o takzvaných dynamických discích.

Typy disků Systémy Windows 2000/XP/2003 mohou pracovat se dvěma typy disků. Prvním typem jsou takzvané běžné disky. Jedná se o typ disků známý z předchozích systémů Windows 9X/ME/NT. Tyto disky se vyznačují omezeními, která již v dnešní době mohou někdy bránit rozumné práci. Řešením je přechod na dynamické disky, které omezení běžných disků nemají, na druhou stranu jsou však kompatibilní pouze se systémy Windows 2000 a vyššími. Běžné disky Běžné disky ukládají svou konfiguraci do takzvané hlavní tabulky souborů (Master File Table, MFT). V této tabulce mohou mít nejvýše čtyři záznamy co záznam, to oddíl. Oddíly se dělí na primární a rozšířené. Primární oddíl představuje jedno písmeno jednotky, zatímco rozšířený oddíl může obsahovat takzvané logické jednotky, kde každé jednotce odpovídá jedno písmeno. Počet písmen tak nemusí vypovídat nic o rozdělení disku na oddíly.


330

Hlavním omezením běžných disků je právě počet oddílů a nemožnost vytvářet složitější Struktury, které by mohly například vylepšit výkon počítače. Na druhou stranu se však většina klientských pracovních stanic instaluje s jediným diskem na jediný oddíl a toto omezení tak není zajímavé. Obrázek 24.2 Ukázka možností rozdělení běžného disku. Nevyužité místo v takovém případě zůstane nevyužité do doby, než proběhne převedení disku na dynamický Běžné disky jsou výchozími typy disků při instalaci operačních systémů Windows 2000/XP/2003.

Dynamické disky Dynamické disky jsou řešením pro případ, že při používání běžných disků narazíte na je jich omezení. Protože se jedná o nový typ disků, není zpětně kompatibilní se systémy staršími než Windows 2000. Neznamená to, že by s nimi ostatní systémy v síti nekomunikovaly (to řeší jiné služby); dynamický disk nebude k dispozici pro systémy, které jsou nainstalované ve stejném počítači (takzvaná konfigurace dual-boot nebo multi-boot). Dynamické disky mohou využívat jak operační systémy určené pro klientské počítače, lak i serverové systémy (ty mají dokonce více možností). zrychlení diskového podsystému Předpokládejme, že v počítači jsou kromě disku se systémem Windows XP Professional k dispozici ještě další dva fyzické disky. Pokud budou disky v počítači již od instalace operačního systému, budou ihned zobrazeny v nástroji Správa disků. Pokud disky do počítače přidáte až po instalaci operačního systému, zobrazí se při prvním spuštění nástroje Správa disků průvodce přidáním nových disků (viz obrázek 24.3). Obrázek 24.3 Průvodce inicializací a převodem disku

1. Klepněte na tlačítko Další.


331

2. V dialogovém okně Výběr disku k inicializaci ponechte zaškrtnutá políčka u všech disků, které chcete přidat do systému, a klepněte na tlačítko Další. 3. V dialogovém okně Vyberte disky, které mají být převedeny nezaškrtávejte žádné políčko a klepněte na tlačítko Další. Převedení disků provedeme později. 4. Klepněte na tlačítko Dokončit. Nové disky se nyní zobrazí v nástroji Správa disků. Převedení disků na dynamické Nově přidané disky převedeme na dynamické. To je podmínkou dalších možnosti práce s disky. S prvním fyzickým diskem obsahujícím instalaci operačního systému se toho moc provádět nedá, proto jej ponecháme jako běžný disk. Před převedením nedoporučuji vytvářet na discích

další oddíly. Postupujte podle následujících pokynů: 1. V nástroji Správa disků klepněte pravým tlačítkem myši na položku fyzického disku, který chcete převést na dynamický a v místní nabídce poté klepněte na příkaz Převést na dynamický disk (viz obrázek 24.4).

Obrázek 24.4 Při převodu disku na dynamický je nutné myší klepnout na místo, kde by to možná nikdo nečekal

2. V dialogovém okně Převést na dynamický disk zaškrtněte políčka Disk 1 a Disk 2 a poté klepněte na tlačítko OK. 3. Proběhne převod disků na dynamické. Pokud v danou chvíli nebyl otevřen žádný soubor z těchto disků (a to ani být nemohl), ani na žádném z disků není uložen stránkovací soubor, nebude počítač vyžadovat restartování. 4. U převedených disků je nyní v konzole Správa disků zobrazeno označení Dynamický. Tyto dva disky budou nyní použity pro ukládání dat. Aby se práce s daty co nejvíce zrychlila, vytvoříme na nich takzvaný prokládaný svazek o velikosti 1 GB. 1. V nástroji Správa disků klepněte pravým tlačítkem myši na nepřiřazené místo na disku a v místní nabídce poté klepněte na příkaz Nový svazek. Spustí se Průvodce vytvořením svazku. Klepněte na tlačítko Další. V dialogovém okně Vybrat typ svazku je k dispozici více možností. Nás však bude zajímat Prokládaný svazek. Zaškrtněte toto políčko a poté klepněte na tlačítko Další 2.

3.


332

Obrázek 24.5 Definice prokládaného svazku

3. V dialogovém okně Vyberte jednotky označte v levé části Disk 2 a klepnutím na tlačítko Přidat ji přidejte mezi jednotky, které se na svazku účastní. Do pole Zvolte velikost místa (MB) zadejte hodnotu 500. Všimněte si hodnoty uvedené v poli Celková velikost svazku (MB) a poté klepněte na tlačítko Další. Obrázek 24.6 Určení disků, které se na svazku budou podílet

4. V dialogovém okně Přiřadit písmeno jednotky či cestu ponechte nabízené pís meno jednotky a klepněte na tlačítko Další. 5. V dialogovém okně Formátovat svazek zaškrtněte políčko Rychlé formátování a do pole jmenovka svazku zadejte text Data. Poté klepněte na tlačítko Další. 6. V dialogovém okně Průvodce vytvořením svazku si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. 7. Na obou discích se nyní vytvoří stejně velký oddíl označený jako Prokládaný svazek. Jednotka E: je nyní připravena k použití. Jak pracuje prokládaný svazek? Pokud uživatel například uloží na jednotku E: soubor o velikosti 1 MB, bude ukládání vypadat následovně: Prvních 64 kB souboru se uloží na první disk (Disk 1). Druhých 64 kB dat se uloží na druhý disk (Disk 2). Dalších 64 kB se znovu uloží na první disk, dalších 64 kB pak na druhý disk a tak dále. Protože tedy dochází k ukládání dat na dva disky najednou, je ukládání mnohem rychlejší v porovnání s běžným postupným ukládáním na jeden disk. To samé pak platí pro čtení. Velikost jednotlivých „pruhů" souborů 64 kB není možné změnit. Pokud by jeden z disků účastnících se na prokládaném svazku přestal pracovat, přijde uživatel o veškerá data. Prokládaný svazek je tedy jednoduchou možností pro zrychlení Ukládání a čtení dat z disku, pokud jej však zamýšlíte nasadit, dbejte na časté zálohováni dat, která jsou na něm umístěna. Zjednodušení práce uživatelů V této části si ukážeme, jak uživatelům, kteří jsou zvyklí ukládat data pouze na jediný svazek, přidat další místo k ukládání. Následující postup je možný pouze v případě, kdy:


333

1. Uživatel nepoužívá pro ukládání souborů jednotku se spouštěcími nebo systémovými soubory (ve většině případů jednotku C:). 2. Disk, na který uživatel soubory ukládá, byl na dynamický převeden ještě před vytvořením oddílu, jejž uživatel využívá. Abychom tento stav nasimulovali, vytvoříme na Disku 1 další svazek o velikosti 100 MB. Jedná se o stav, který je nezávislý na vytvoření předchozího prokládaného svazku. Svazek vytvoříte podle výše uvedeného postupu s následujícími změnami: ♦ ♦

V bodě 2 vyberte Jednoduchý svazek. V bodě 3 ponechte vybraný pouze Disk 1 a do pole Zvolte velikost místa (MB) zadejte hodnotu 100.

Uživatel má nyní pro ukládání k dispozici 100 MB místa na svazku F:, které jednou zákonitě dojde. Jak poté postupovat? Rozšíření svazku Pokud jste na dynamickém disku, je to jednoduché - svazek můžete rozšířit. Podmínkou je systém souborů NTFS. Postupujte podle následujících pokynů: 1. Pravým tlačítkem myši klepněte na položku Jednoduchého svazku F: a v místní nabídce poté klepněte na příkaz Rozšířit svazek. Spustí se Průvodce rozšířením svazku. Pokračujte klepnutím na tlačítko Další 2. V dialogovém okně Vyberte jednotky zadejte do pole Zvolte velikost místa (MB) hodnotu, o kterou chcete svazek rozšířit (například 50 MB). V poli Celková velikost svazku (MB) pak bude uveden součet aktuální velikosti a zadané hodnoty. Poté klepněte na tlačítko Další. Obrázek 24.7 Při rozšíření svazku zadejte hodnotu, o kterou jej chcete rozšířit

3. V dialogovém okně Dokončení Průvodce rozšířením svazku klepněte na tlačítko Dokončit. Pokud se nyní podíváte na stav disků do konzoly Správa disků, uvidíte, že rozšířené místo je zde zobrazeno podobně jako nový svazek. Můžete tak získat pocit, že rozšíření svazku je možné kdykoli vrátit zpět. Nenechte se mýlit - není to možné! Pokud v místní nabídce zvolíte příkaz Odstranit svazek, odstraní se celý svazek a uživatel přijde o dala. Rozšiřování svazků je tak třeba dobře plánovat. Není samozřejmě problém nyní svazek rozšiřovat dále a dále. Pokud potřebujete rozšířit svazek a na disku, kde je nyní umístěn, již není dostatek mís ta, můžete si vybrat k rozšíření jiný dynamický disk. V takovém případě vytvoříte takzvaný Rozložený svazek. Vytvoření rozloženého svazku se provádí stejně jak rozšiřování existujícího svazku, s líni rozdílem, že v dialogovém okně Vybere jednotky bude v levé části v seznamu Vybrané! uveden jiný fyzický dynamický disk. Rozložený svazek můžete vytvořit ihned, nikoli až v okamžiku, kdy na původním disku dojde místo. Volba je pouze na vás. Buďte však obezřetní, neboť stejně jako v případě prokládaného svazku může i zde dojít ke ztrátě dat, pokud jeden z disků účastnících se rozloženého svazku nebude k dispozici. Sice se to nezdá, ale je to tak.

Souhrn je dobré vědět, že klientské operační systémy mají možnost pracovat s dynamickými disky, neboť v některých případech může přijít tato možnost vhod. Praktické využití dynamických disků je však pouze u speciálních klientských počítačů, které mají více než jeden fyzický disk a jež funkce dynamických disků využijí. V drtivé většině případů je tato funkce pro klientské počítače nevyužitelná. Převod disků na dynamické je třeba velmi dobře naplánovat, neboť chcete-li se vrátit k běžným diskům, je nutné provést zálohu všech dat, odstranit všechny svazky z disku a poté jej stejným postupem, jako při převodu na dynamický, převést na běžný disk.


334

Složitější svazky odolné proti chybám Co se stane se serverem, pokud „odejde" disk obsahující operační systém? Můžeme si takovou situaci vůbec dovolit? Je možné se na takové situace připravit? Odpověd je relativně jednoduchá. Je to možné, vyžaduje to však potřebné znalosti a do-statek pevných disků. Na začátku této kapitoly byly uvedeny informace o tom, jak by mělo vypadat optimální rozložení dat na pevných discích. Co kdybychom nyní přihodili informaci, že by bylo nejlepší vše zdvojit? Nejsme totiž daleko od pravdy. Pokud máte k dispozici dostatečné množství disků, které je možné připojit do konkrétního počítače, není problém nakonfigurovat takové svazky, jež přežijí výpadek jednoho fyzického disku. Vychází se zde samozřejmě z předpokladu, že najednou nevypadne více než jeden disk. Výpadek více disků by již znamenal výpadek celého serveru. Mezi svazky, které se umí s výpadkem jednoho disku vypořádat, patří takzvaná pole RAID (ze zkralky Redundant Array of Independent Disks) s číslem 1 nebo 5.

RAID 1

neboli zrcadlený svazek

Princip zrcadleného svazku je velmi jednoduchý - důležitá data se budou udržovat ještě na jednom místě. Toto místo tak bude „zrcadlem" aktuálního úložiště. V případě výpadku originálního úložiště dodá potřebná data „záložní" úložiště. K tomu, abyste mohli zrcadlený svazek nakonfigurovat, potřebujete splnit dvě podmínky: ♦ ♦

Musíte mít k dispozici systém Windows Server 2003 nebo Windows 2000 Server. Musíte mít dva dynamické disky.

Řešení operačního systému nevyžaduje, aby měly disky stejnou velikost tak, jak to bývá zvykem u hardwarových řešení zrcadlených svazků.

Co zrcadlit? Obecně se doporučuje zrcadlit systémové a spouštěcí svazky. Systémový svazek je ten, na kterém jsou uloženy spouštěcí soubory, spouštěcí svazek je ten, na němž je nainstalován systém Windows. Možná se to zdá přesně naopak, ale je to tak a pravděpodobně toto označení ještě dlouho vydrží. Ve většině případů jsou oba svazky společné a reprezentovaný jako jednotka C:. Zrcadlit je pochopitelně možné jakékoli disky, u disků s daty se ale tato koncepce moc nepoužívá. Zde se využívá další možnosti (svazku RAID 5), která je celkově levnějším řešením. Při zrcadlení disku vždy využijete pouze 50 % celkové zakoupené kapacity a to je u větších řešení velmi drahá záležitost.

Jak zrcadlení pracuje Celé zrcadlení má v systémech Windows Server 2003 a Windows 2000 na starosti ovladač FTdisk.sys (FT = Fault Tolerant, tedy Odolný proti chybám). Při zápisu se tento ovladač postará o to, aby se data zapsala na zrcadlené disky najednou. Jakýkoli nesynchronní stav je u zrcadlení nepřípustný, neboť potom by se nejednalo o zrcadlení (pokud si před zrcadlem otočíte kšiltovku kšiltem dozadu, také se to projeví ihned a na nic se nečeká). V případě čtení dat z disku čerpá ovladač FTdisk.sys data z upřednostňovaného disku. Teprve v případě, kdy není tento disk k dispozici, přečte data z druhého disku.

Konfigurace zrcadleného svazku Zrcadlený svazek je jediným ze složitějších svazků v systémech Windows 2000/XP/2003, který má poněkud jiný postup konfigurace. Předpokládejme následující konfiguraci: V počítači je disk s jednotkou C:, na které je operační systém. Tuto jednotku budeme chtít zrcadlit. Budeme tedy potřebovat další disk, který má stejnou nebo větší velikost, než je velikost jednotky C:. Zrcadlení nakonfigurujete podle následujících pokynů. 1. V počítači spusťte nástroj Správa disků a ověřte, zda jsou oba disky (systémový i nový) pro vytvoření zrcadleného svazku dynamické. Pokud ne, převeďte je. Protože převádíte systémový disk, bude nutné počítač restartovat. 2. Po spuštění počítače spusťte nástroj Správa počítače. 3. Pravým tlačítkem myši klepněte na svazek C: a v místní nabídce poté klepněte na příkaz Přidat zrcadlo.


335

4. Zobrazí se dialogové okno Přidat zrcadlo. Označte disk, na kterém chcete svazek zrcadlit a poté klepněte na tlačítko Přidat zrcadlo. 5. Systém vytvoří zrcadlený svazek a provede zkopírování dat (synchronizaci). To může několik minut trvat. Po provedení synchronizace lze říci, že je zajištěn výpadek pevného disku, nikoli však stoprocentně. Může se stát, že po výpadku hlavního pevného disku (předchozí samostatné jednotky C:) dojde k restartování počítače a bude nutné jej spustit ze zrcadlené jednotky. K tomu je ale potřeba, aby existoval záznam v soubora Boot.ini (v opačném případě zavaděč operační systém nenalezne). Systém Windows Server 2003 se jej sice pokouší vytvořit, je však dobré jeho existenci ověřit, a pokud neexistuje, vytvořit jej.

Obrázek 24.8 Instalace zrcadleného svazku Vytvoření záznamu v souboru Boot.ini Záznam v souboru Boot.ini vytvoříte podle následujících pokynů: 1. V Nabídce Start nebo na pracovní ploše klepněte pravým tlačítkem myši na položku Tento počítač a zobrazte jeho vlastnosti. 2. Na kartě Upřesnit klepněte v části Spouštění a zotavení systému na tlačítko Nastavení. Zobrazí se dialogové okno Spuštění a zotavení systému. Klepněte na tlačítko Upravit. Otevře se aplikace Poznámkový blok. 3. Ověřte, zda v oddílu [ o p e r a t i n g s y s t e m s ] existují nejméně dva záznamy (pokud je v počítači jediný systém). Jeden záznam zde existuje od prvotní instalace systému, další zde může přidat nástroj Konzola pro zotavení. V našem případě zde existuje následující řádka: m u l t i ( 0 ) d i s k ( 0 ) r d i s k ( 0 ) p a r t i t i o n ( l ) \ W I N D O W S = " W i n d o w s S e r v e r 2003. S t a n d a r d " / f a s t d e t e c t

Tento záznam říká, že operační systém se bude spouštět ze složky Windows, která je uložena v první jednotce (partition (1)) na prvním pevném disku (rdisk (0)) připojeném k prvnímu kanálu řadiče (multi (0)). Nyní velmi záleží na způsobu připojení drahého disku. Pokud bude připojen ke stejnému řadiči, bude třeba do souboru Boot.ini přidat následující řádek: m u l t i ( 0 ) d i s k ( 0 ) r d i s k ( l ) p a r t i t i o n ( l ) \ W I N D O W S = " W i n d o w s S e r v e r 2003. S t a n d a r d (mi rror)"

Pokud by byl další pevný disk připojen jako master k druhému řadiči IDE, vypadal by řádek přidaný do soubory Boot.ini takto: m u l t i ( l ) d i s k ( 0 ) r d i s k ( 0 ) p a r t i t i o n ( l ) \ W I N D 0 W S = " W i n d o w s S e r v e r 2003. S t a n d a r d (mi r r o r ) "

Pokud to po úpravě souboru Boot.ini situace jenom trochu umožňuje, vyzkoušejte funkci upraveného souboru Boot.ini. Při spouštění systému vyberte nový záznam a ověřte, zda skutečně dojde ke spuštění systému. Pokud byste se v praxi potkali s nefunkčností, je řešením pouze spuštění Konzoly pro zotavení a zkopírování upraveného souboru z diskety do kořenové složky jednotky C:. Nejen, že to je mnohem zdlouhavější proces, ale člověk v takovou chvíli pracuje pod stresem a může do systému zanést další chyby. Zrcadlené svazky jsou tedy zajímavým řešením pro situace, kde výpadek disku nesmí ohrozit funkce systému. Tím zajímavější, že jsou součástí serverového operačního systému Windows Server 2003 (Windows 2000 Server). Jejich výkon jistě nelze srovnával s hardwarovým řešením stejného problému, ale taktéž nelze srovnávat jejich cenu.

RAID 5 neboli prokládaný svazek s paritou Protože je zrcadlení svazků drahou záležitostí, kdy z peněz zaplacených za kapacitu disků využijete pouze polovinu, může být alternativním řešením svazek RAID 5. Ten je také součástí serverových operačních systémů Windows Server 2003 a Windows 2000 Server. Abyste mohli svazek RAID 5 nakonfigurovat, musíte splňovat následující podmínky: ♦ ♦

Musíte mít systém Windows Server 2003 nebo Windows 2000 Server. Musíte mít alespoň 3 dynamické disky (maximálně 32).


336

Na co svazek RAID 5 použít? Součástí svazku RAID 5 nemůže být systémový ani spouštěcí svazek. Proto je možné jej využívat na klasická data, nikoli pro data operačního systému. Svazek RAID 5 je totiž nutné do systému přidat jako úplný celek. V tom se blíží konfiguraci ostatních svazků a oddaluje se od konfigurace zrcadla.

Jak svazek RAID 5 pracuje? Představte si 3 pevné disky, na kterých jsou vytvořeny stejně velké oddíly (disky mít stejnou velikost nemusí). Při zápisu souboru do svazku RAID 5 se prvních 64 kB zapíše na první disk a druhých 64 kB na druhý disk. Na třetí disk se zapíše takzvaná parita, což |e řetězec spočítaný z uložených dat na prvním a druhém disku. Jejím účelem je například při výpadku prvního disku dopočítat chybějící data. K tomu použije své informace a data na druhém disku. Další kolo vypadá podobně, pouze se mění pořadí uložení. Prvních 64 kB se uloží na druhý disk, dalších 64 kB na třetí disk a na první disk se uloží

dopočítaná parita.

Obrázek 24.9 Postup zápisu dat a parity ve svazku RAID 5 se třemi disky Pokud si představíte tři disky vedle sebe a nakreslíte si na ně pruh parity, bude parita tvořit pravidelnou šroubovici (viz obrázek 24.9). V každém okamžiku je tak zajištěno, že při výpadku jakéhokoli disku bude k dispozici dostatek dat pro dopočtení těch chybějících Z principu činnosti svazku RAID 5 vyplývá také jeho nevýhoda - pomalý zápis i čtení dat. V systémech Windows s tím ale nic neuděláte a musíte se s takovým chováním spokojit. Pokud se svazek RAID 5 řeší hardwarově, používají se k němu řadiče, které při ukládání na disky využívají mezipaměť tvořenou běžnými moduly RAM a na disk zapisují zpětně (tzv. zápis write-back). Aby se předešlo potížím v případě výpadku napájení, jsou paměti řadičů zálohované. Konfigurace svazku RAID 5 Pro úspěšnou konfiguraci svazku RAID 5 potřebujete alespoň 3 pevné a dynamické disky. Pokud je v počítači máte, postupujte podle následujících pokynů: 1. V nástroji Správa disků klepněte pravým tlačítkem myši na nepřiřazené místo kteréhokoli ze třech pevných disků (klidně na něm již může být vytvořený oddíl) a v místní nabídce zvolte příkaz Nový svazek. Spustí se Průvodce přidáním svazku. Pokračujte klepnutím na tlačítko Další. 2. V dialogovém okně Vybrat typ svazku zaškrtněte políčko RAID 5 a poté klepněte na tlačítko Další. Poznámka Pokud nelze políčko RAID 5 zaškrtnout, nemáte buď k dispozici 3 dynamické disky nebo nepracujete v serverovém operačním systému. 3. V dialogovém okně Vyberte jednotky přidejte do seznamu Vybrané alespoň tři pevné disky. Do pole Zvolte velikost místa (MB) se automaticky dosadí volné místo, které je ze všech vybraných disků nejmenší. Jeho velikost můžete pouze snížit, nikoli zvýšit. Všimněte si využitelné velikosti v poli Celková velikost svazku (MB) a poté klepněte na tlačítko Další. 4. V dialogovém okně Přiřadit písmeno jednotky ponechte výchozí nastavení a klepněte na tlačítko Další. 5. V dialogovém okně Formátovat svazek zaškrtněte políčko Rychlé formátování, zadejte popisný text do pole Jmenovka svazku a poté klepněte na tlačítko Další. 6. V dialogovém okně Dokončení Průvodce vytvořením svazku si prohlédněte zadané hodnoty a poté klepněte na tlačítko Dokončit. 7. Po vytvoření a zformátování svazku proběhne synchronizace obsahu a poté je svazek připraven k plnohodnotnému využití. Obrázek 24.10 ukazuje stav, jak může vypadat výsledná konfigurace dynamických disků v počítači.

Závěr Diskový podsystém je jednou z důležitých součástí, které mají vliv na celkový výkon systému. Řešením nedostatečného výkonu počítače může být v některých případech přidání dalších disků a přesunutí některých součástí systémů či aplikací.


337

Obrázek 24.10 Výsledná konfigurace disků serveru může vypadat i takto Systémy Windows 2000/XP/2003 pracují se dvěma druhy disků - běžnými a dynamickými. Zatímco při práci s běžnými disky nelze očekávat žádné velké možnosti, s dynamickými disky je možné konfigurovat následující svazky: ♦ Jednoduché ♦ Prokládané ♦ Rozložené ♦ Zrcadlené ♦ RAID 5 První tři typy svazků jsou k dispozici ve všech systémech, zrcadlené svazy a svazky RAID S jsou k dispozici pouze v serverových systémech. V pracovních stanicích mají speciální svazky význam pouze v konkrétních případech, kdy je nutné urychlit diskový podsystém nebo přidat uživatelům další volné místo rozšířením Mávajících disků. NA serverech se zrcadlené svazky a svazky RAID 5 používají jako prevence pro případný výpade k fyzických disků. Oba jsou odolné proti chybám a i při výpadku jednoho disku pracuje počítač nadále bez potíží. Do svazku RAID 5 nelze zařadit již existující svazky, COŽ se týká také systémového a spouštěcího svazku. Ty lze naproti tomu zrcadlil. Z hlediska ekonomického je levnějším řešením svazek RAID 5, neboť v případě použití 3 disků využijete 66 % jejich kapacity (oproti 50 % u zrcadleného svazku). Nejvyšší počet disků zařazených v jakémkoli svazku (s výjimkou zrcadleného) je 32.

Stav sítě Síť se po této kapitole nijak nezměnila. Byly zde pouze představeny možnosti disků a postupy konfigurace jednotlivých typů svazků.


338

Připojujeme síť k Internetu O tom, zda připojit či nepřipojit síť k Internetu nemá význam diskutovat. Pravidla v tomto směru již pár let výrazně určuje okolní prostředí, takže sítě prostě k Internetu připojené jsou. Komunikace mezi společnostmi je jednodušší, levnější a především rychlejší. Uživatelé a hlavně správci mají po ruce dostatek informací, které ke své činnosti potřebují, a společnosti mají velmi levně vystavené své prezentace, případně prodávají své zboží v elektronických obchodech. Internet však nepřináší jen pozitivní věci. Protože se jedná o síť, jsou všechny počítače mezi sebou propojené, a každý by tak teoreticky mohl komunikovat přímo se všemi ostatními. Myšlenky všech uživatelů ale nemusí být úplně čisté, což se může projevit nikoli v přátelské, ale v nepřátelské komunikaci mezi počítači. Protože však výhody Internetu mají stále navrch nad jeho nevýhodami, zaznamenává stále rozvoj a spojuje tak další a další uživatele a počítače. Tato kapitola uvádí postupy, pomocí kterých dokážete svou síť připojit k Internetu pomocí standardních prostředků, to znamená bez velkých financí a co nejjednodušeji.

Musíme kupovat další software? Pokud se v praxi mluví o sítích a jejich připojení k Internetu, vybaví si většina správců i uživatelů slovo „proxy". Co to vlastně takový „proxy" je? Potřebujeme jej vůbec? Slovo „proxy" znamená v anglickém jazyce „zástupce, prostředník". Nejedná se o slovo, které by se úzce vázalo pouze k oblasti výpočetní techniky. Je to naprosto standardní výraz a jistě má využití i v jiných oblastech. Pokud se mluví v tématu Internetu o „proxy", mělo by se správně uvádět označení „server proxy". Pokud se v síti používá k připojení k Internetu server proxy, znamená to, že klientské počítače nekomunikují s počítači v Internetu přímo, ale využívají k této komunikaci prostředníka. Uživatel se chce například připojit k webové stránce společnosti Microsoft na adrese http://www.microsoft.com/cze. O toto připojení požádá server proxy, který pomocí speciálního nainstalovaného softwaru uloží požadavek klienta a poté se pokusí navázat komunikaci se serverem hostujícím webové stránky http://www.microsoft.com/cze. Pokud se spojení podaří navázat, předá server proxy odpověď původnímu klientskému počítači v síti. Pokud je tak nakonfigurován, ukládá navíc server proxy získané informace do své mezipaměti; to pro případ, že by jiný počítač požadoval v brzké době informace ze stejné stránky. Komunikace tak bude rychlejší (klientský počítač získá informace pouze po komunikaci se serverem proxy) a nebude se zbytečně zatěžovat spojení do Internetu. Server proxy může mít tedy více funkcí. Jenom ve výše uvedeném příkladu jsme zmínili dvě. Mezi uživateli a méně zkušenými správci je v okamžiku, když se začne mluvit o připojení k Internetu, server proxy jaksi automatickým a téměř jediným řešením. A pokud je server proxy jediným řešením, je pochopitelně nutné některý vybrat, zakoupit licenci a vzhůru do instalace a konfigurace. Nenechte se mást! Připojení k Internetu je třeba rozdělit na dvě části - vůbec možnost připojil se a na zabezpečení přístupu jak do Internetu, tak z Internetu.

Možnosti připojení k Internetu Možnosti připojení k Internetu označované pomocí proxy bývají často nepřesné. V principu existují dvě možnosti, které se liší tím, jak je celá interní síť z Internetu viditelná nebo neviditelná. ♦

Připojení pomocí směrovače V tomto případě je z pohledu Internetu každý počítač v interní síti nezávislý. Počítače musí mít veřejné adresy IP a jejich komunikaci s počítači v Internetu zajišťuje směrovač. Nevýhod tohoto řešení je hned několik. První je nutnost vlastnit veřejné adresy IP. Ty nejsou zadarmo a čím více má organizace počítačů, tím více adres musí mít k dispozici. Další nevýhodou je složitější správa celého prostředí. Každý klientský počítač v síti je z prostředí Internetu viditelný, a to zvyšuje nároky na správu a konfiguraci filtrování provozu na směrovací. Samozřejmě pouze v případě, že otevřenost celé sítě je žádoucí (a to jistě není).

♦

Připojení pomocí služby překladu síťových adres Překlad síťových adres (Network Address Translation, NAT) se vyznačuje používáním neveřejných adres IP a skrytím celé sítě před Internetem za jediný počítač (jedinou veřejnou adresu IP). Z Internetu tak není možné komunikovat s jakýmkoli počítačem v síti, prostředí je přehlednější a jednodušší je také jeho správa.

Možnosti zabezpečení připojení k Internetu Tato oblast se ve velkém množství případů zjednodušuje na zabezpečení vnitřní sítě proti přístupu z Internetu. Oblast zabezpečení směrem ven, to znamená odpověď na otázku, kuří uživatelé mohou používat jaké služby, přichází většinou na řadu až na druhém místě. Zabezpečení vnitřní sítě při připojení k Internetu je poměrně rozsáhlá oblast, kterou lze těžko shrnout do pár řádků. Obecně se možnosti zabezpečení dělí na: ♦

Filtrování portů Pokud se bude někdo z Internetu na vaší veřejné adrese IP d< >-máhat například webových služeb, můžete filtrováním portů přístup k této službě zakázat. Jednoduše do sítě nepustíte žádná data na portu 80 protokolu TCP. Potom je však třeba vědět, že jediný web, který


339

můžete provozovat, musí být umístěn na externí adrese IP nebo mimo vaši síť. Filtrování v aplikační vrstvě protokolu IP Tento relativně nový způsob filtrování zavádí více a více společností. Pokud máte ve své síti webový server, na který se přistupuje zvenku, je pomocí filtrování v aplikační vrstvě možné hlídat typ provozu pomocí protokolu IP. Můžete tak definovat pravidla, která propustí pouze provoz týkající se vašich konkrétních webových aplikací, přičemž ostatní provoz bude vyloučen.

♦

Co na to systémy Windows? Možná to bude znít překvapivě, ale obě výše zmíněné možnosti připojení jsou k dispozici v systémech Windows Server 2003 i Windows 2000 Server. Tyto systémy lze nakonfigurovat jako směrovače, nicméně pro připojení k Internetu je to vzhledem k požadavku na externí adresy IP a s ohledem na základní zabezpečení v této oblasti velmi málo využívaná možnost. Tím však není řečeno, že by se systémy Windows Server 2003/Windows 2000 Server jako směrovače vůbec nepoužívaly. Mnohem častější využití připojení k Internetu pomocí systému Windows Server 2003 je překlad síťových adres (NAT). Ten zvládá systém Windows Server 2003 bez potíží a jeho konfigurace je jednoduchá. K dispozici jsou dokonce dvě možnosti konfigurace, které závisí na konkrétní síti a požadavcích organizace. V

oblasti zabezpečení přístupu z Internetu do sítě je systém Windows Server 2003 schopen naplnit pouze oblast filtrování portů, a to ještě omezeně. Velmi zde záleží na konkrétní konfiguraci přístupu k Internetu. Filtrování v aplikační vrstvě protokolu IP je věc, která je zcela mimo možnosti systémů Windows, a k jejímu nasazení je třeba se poohlédnout po jiných produktech. Velmi slušně si zde stojí ISA Server 2000. Jeho poměr cena/výkon je nedostižný, a to je pouze jedna z funkcí, kterými tento produkt disponuje.

V

další části se tak podíváme na možnosti připojení sítě k Internetu a na filtrování provozu. Zároveň budeme předpokládat trvalé připojení k Internetu pomocí standardního síťového adaptéru.

Sdílení připojení k Internetu Sdílení připojení k Internetu (Internet Connection Sharing) je přesné pojmenování funkce, která umožňuje počítačům sdílet existující připojení. Jeden z počítačů je právě tím, který je k Internetu připojen, a toto připojení je třeba sdílet pro ostatní. Možností sdílet připojení k Internetu (neplést se sdílením modemu) disponují všechny systémy Windows 2000/XP/2003 včetně operačních systémů pro klientské pracovní stanice. V praxi samozřejmě záleží na vytížení konkrétního počítače a na jeho dostupnosti (pokud je počítač vypnutý, nemůže tuto službu poskytovat). Tři připojení k Internetu není podstatné jenom samotné připojení, ale přichází do hry také další služby, které musí v síti pracovat. Jedná se zejména o službu DNS a o službu DHCP, která přiřadí adresy potřebné pro připojení klientských počítačů k Internetu. Konfiguraci služby Sdílení připojení k Internetu si ukážeme v naší síti. Pokud je to možné, vyhněte se její konfiguraci v počítači, který je serverem DNS nebo řadičem domény. V naší síti plní obě role počítač SRVR001, který tak vynecháme, a vše nakonfigurujeme v počítači SRVR002. Základní konfigurace 1. 2. 3.

Do počítače SRVR002 přidejte další síťový adaptér. Přihlaste se k počítači SRVR002 jako správci a otevřete okno Síťová připojení. Pokud jste předtím přidali síťový adaptér, bude mít název Připojení k místní síti 2. Pro lepší orientaci přejmenujte obě připojení následovně: Připojení k místní síti -> LAN Připojení k místní síti -> Internet

4. Ve vlastnostech připojení k Internetu nakonfigurujte parametry protokolu IP podle informací poskytovatele připojení. Poznámka Pokud tyto postupy pouze zkoušíte mimo provozní síť, nakonfigurujte například adresu IP na hodnotu 200.200.200.200 s maskou podsítě 255.255.255.240. Adresy IP serverů DNS v laboratorním prostředí nekonfigurujte. Nyní |e vhodné ověřit, zde je internetová adresa IP funkční. Bez jakékoli další konfigura-ce byste se měli z místního počítače připojit k Internetu (pouze však z místního). Před úspěšným ověřením tohoto stavu nepokračujte v další konfiguraci. Jinak by totiž nebylo ani co konfigurovat. Jestliže chceme nakonfigurovat sdílení připojení k Internetu, musí to-to připojení existovat a být funkční. Správné pořadí síťových připojení Pokud je v počítači více síťových adaptérů, je důležité stanovit správné pořadí jejich využití. Protože se v doménách Active Directory neobejdete bez služby DNS a protože se adresa serverů DNS konfiguruje ve vlastnostech protokolu IP, může nesprávné pořadí síťových adaptérů v důležitých počítačích způsobit, že se nebudou aplikovat zásady skupiny, mohou se objevit potíže a dlouhotrvající přihlášení a spouštění aplikací může mít dlouhé odezvy. Proto je vhodné pořadí síťových adaptérů ověřit a bude-li to nutné upravit. 1. 2. 3.

Přihlaste se k počítači SRVR002 jako správci. Otevřete okno Síťová připojení a v nabídce Upřesnit klepněte na příkaz Upřesnit nastavení. Otevře se dialogové okno Upřesnit nastavení, ve kterém je možné konfigurovat pořadí vazeb a zprostředkovatelů. Na kartě Adaptéry a vazby ověřte, že v části Připojení je na prvním místě síťový adaptér LAN a na druhém ostatní adaptéry (Internet, případně další).


340

Obrázek 25.1 Dialogové okno pořadí vazeb

4. 5.

Klepnutím na tlačítka se šipkami po pravé straně dialogového okna můžete nevyhovující pořadí změnit. Klepnutím na tlačítko OK potvrdíte pořadí a zavřete dialogové okno. Poznámka Pokud v nástroji Prohlížeč událostí naleznete několik chybových událostí týkajících se nemožnosti aplikovat objekty zásad skupiny (bez ohledu na konfiguraci sdílení připojeni k Internetu), vždy ověřte pořadí síťových adaptérů. Ve většině případů je chyba právě zde.

Konfigurace sdílení připojení k Internetu 1. 2. 3.

Přihlaste se k počítači SRVR001 jako správci a zobrazte vlastnosti připojení k lnici netu (připojení výše pojmenované Internet). Na kartě Upřesnit zaškrtněte v části Sdílení připojení k Internetu políčko Umožnit ostatním uživatelům v síti využívat připojení k Internetu tohoto počítače. Klepněte na tlačítko OK. Zobrazí se upozornění na obrázku 25.3.

Tato informace říká, že adresa IP síťového adaptéru místní sítě bude nakonfigurována tu 192.168.0.1. Zde nemáte možnost jakkoli adresu upravit a máte možnost bud klepnutím na tlačítko Ano souhlasit a adresu IP tak změnit, nebo nesouhlasí, a potom se žádné sdí lení připojení k Internetu konat nebude. V tuto chvíli zvažte, zda si můžete dovolit klep nout na tlačítko Ano. Pokud ano, proveďte to, pokud ne, nečiňte tak. Mohli byste způsobit vážné potíže v síti.


341

Obrázek 25.2 Karta Upřesnit v dialogovém okně vlastností připojení k Internetu

Obrázek 25.3 Informace o nutnosti změny adresy IP síťového adaptéru místní sítě

Poznámka Pokud byste konfigurovali sdílení připojení k Internetu pomocí modemu, zaškrtněte na kartě Upřesnit navíc políčko Navázat vytáčené připojení při každém pokusu některého z počítačů o přístup k Internetu. V opačném případě by ostatní počítače nebyly schopny vzdáleně připojení do Internetu vytočit.

Jak sdílení připojení funguje? Pro uvedenou funkci je v systémech Windows vyhrazena podsíť 192.168.0.0/24. Aby zaťalo sdílení pracovat, je nutné v předchozím upozornění klepnout na tlačítko Ano. Síťový adaptér místní sítě se nastaví na adresu 192.168.0.1 s maskou podsítě 255.255.255.0 (všimněte si, že o masce podsítě není nikde ani zmínka) a sdílení připojení k Internetu se povolí. Aby vše pracovalo, musí mít „podobnou" adresu IP také klientské počítače, které se chtějí do Internetu dostat a musí pro ně být zajištěna služba DNS, která bude překládal názvy v Internetu. Služba Sdílení připojení k Internetu zajišťuje sama všechny funkce pro bezproblémové připojení všech počítačů k Internetu. Služba DHCP Allocator V okamžiku povolení sdílení připojení k Internetu se spustí služba s názvem Součást ICF (Brána firewall pro připojení k Internetu) / součást ICS (Sdílení připojení k Internetu) a nakonfiguruje se na automatické spouštění. Ačkoli to není viditelné, jsou součástí této služby také služba DHCP Allocator a Proxy DNS. Služba DHCP Allocator má za úkol zjednodušení konfigurace pracovních stanic. Protože je tento způsob připojení sítě k Internetu určen spíše pro sítě rovnocenných počítačů (peer-to-peer), kde se nepředpokládá funkční služba DHCP, provádí služba DHCP Allocator automatickou konfiguraci protokolu IP klientských počítačů. Služba DHCP Allocator je tedy serverem DHCP s nakonfigurovanými parametry, které není možné měnit. Para metry jsou následující: ♦ ♦ ♦ ♦

Rozsah adres IP: Maska podsítě: Výchozí brána: Server DNS:

192.168.0.2 až 192.168.0.254 255.255.255.0 192.168.0.1 192.168.0.1

Pokud v síti skutečně není standardní služba DHCP, je vše v pořádku. To ale není náš případ. V naší síti je kromě služby DHCP Allocator také server DHCP a adresu IP pronajme klientským počítačům rychlejší z nich. To ale může způsobit vážné potíže. Standardní server DHCP nyní pronajímá adresy IP spadající do podsítě 192.168.10.0/24, se kterými se klientské počítače do Internetu rozhodně nedostanou, a pokud bychom přešli plně na službu DHCP


342

Allocator, budou mít klientské počítače zase chybnou adresu serveru DNS. Ta správná konfigurace tak leží někde mezi. Řešení pro naši síť je jedno jediné, a tím je ruční konfigurace klientských počítačů. Jiným způsobem nelze konflikt v přidělovaných adresách serveru DNS vyřešit. Pokud to bude pro vaši síť reálné, postupujte podle následujících pokynů: 1. Přihlaste se k počítači SRVR001 jako správci. 2. Spusťte nástroj DHCP a deaktivujte nakonfigurovaný obor DHCP. 3. Zobrazte vlastnosti připojení k místní síti a nakonfigurujte parametry protokolu IP takto: adresa IP 192.168.0.2, maska podsítě 255.255.255.0, výchozí brána 192.168.0.1, adresa serveru DNS 192.168.0.2 (musí být sám sobě klientem). Pokud používalc server WINS, potom jej nakonfigurujte na adresu 192.168.0.2. 4. Přihlaste se jako správci postupně ke všem klientským počítačům a ostatním zaří zením využívajícím server DHCP a nakonfigurujte adresování protokolu IP ručně takto: ♦ ♦ ♦ ♦

Adresa IP: Maska podsítě: Výchozí brána: Server DNS:

postupně 192.168.0.3 až 192.168.0.254 255.255.255.0 192.168.0.1 192.168.0.2

Při udělování adres IP berte ohled na plán jejich přidělování specifikovaný v kapitole 3 „Učíme počítače komunikovat v síti", kde jsme určili rozsahy adres IP přidělované serve rum, klientským počítačům a ostatním zařízením. Vzhledem k dosti citelnému zásahu do prostředí celé sítě je třeba konfiguraci adres IP naplánovat na dobu, kdy nebudou uživa telé s počítači pracovat. Přesto po dokončení ruční konfigurace nebude přístup k Internetu ještě funkční. Chybí zde mechanismus pro překlad názvů. Služba proxy DNS Protože je služba Sdílení připojení k Internetu určena převážně pro sítě peer-to-peer, kde nebývá nakonfigurovaná služba DNS, je její součástí služba Proxy DNS. Proxy DNS zajišťuje pro klientské počítače překlad externích, tedy internetových názvů. Počítač s povoleným sdílením svého připojení k Internetu tak pracuje jako forwarder (server pro předávání) a veškeré dotazy na službu DNS předává k vyřešení serveru DNS nakonfigurovaných U připojení k Internetu. Pokud by v síti pracovala pouze služba DHCP Allocator a klientské počítače by od ní získávaly adresy IP, obešli byste se bez jakékoli další konfigurace. V naší síti to ale možné není. Serverem DNS je počítač SRVR001, zatímco připojení k Internetu zajišťuje počítač SRVR002. Pokud by všechny počítače používaly jako server DNS pouze počítač SRVR002, přestane být funkční doména Active Directory. To si ale nemůžeme dovolit, a je třeba vyřešit koexistenci služeb DNS a Proxy DNS. Výše uvedená konfigurace protokolu IP v počítačích říká, že serverem DNS bude i nadále počítač SRVR001. Pro interní síť je to jediné možné řešení, neboť pouze tento počítač udržuje zónu studny.local. Pro úspěšný překlad internetových názvů nyní existují dvě řešení. První z nich ukazuje obrázek 25.4. Obrázek 25.4 Dotazy DNS, které nevyřeší počítač SRVR001, se předají počítači SRVR002

Klientský počítač je uživatelem požádán o zobrazení webové stránky na adrese www.mi-crosoft.com. Protože musí nejprve zjistit adresu IP počítače s názvem www v zóně micro-soft.com požádá o tuto informaci svůj server DNS (kterým je počítač SRVR001). Protože ten nemá o zóně microsoft.com


343

žádné informace, předá dotaz k vyřešení počítači SRVR002. Ten je nakonfigurován jako server Proxy DNS, takže dotaz předá k vyřešení in-ternetovému serveru DNS, jehož adresa IP je uvedena v parametrech připojení k Interne tu. Po překladu názvu na adresu IP v Internetu se tato informace vrátí stejnou cestou, ale v opačném pořadí, klientskému počítači. Ten je poté schopen komunikovat přímo s po čítačem www.microsoft.com. Aby byl uvedený postup funkční, je třeba na serveru SRVR001 nakonfigurovat předáváni nevyřešených dotazů DNS serveru SRVR002. To provedete podle následujících pokynů: 1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu DNS. 2. Pravým tlačítkem myši klepněte na server SRVR001 a poté v místní nabídce klepněte na položku Vlastnosti. 3. V dialogovém okně SRVR001 —vlastnosti klepněte na kartu Servery pro předávání. Ověřte, že v části Doména DNS je aktivní položka Všechny další domény DNS a do pole Seznam adres IP serverů pro předávání u vybrané domény zadejte adresu IP interního síťového adaptéru počítače SRVR002. Poté klepněte na tlačítko Přidat. 4. Klepnutím na tlačítko OK potvrďte nastavení a zavřete dialogové okno. Uvedená konfigurace je určena pro prostředí, v nichž se nevyužívá služba DNS. Interní síťový adaptér pak nemá nakonfigurován žádný server DNS a veškeré příchozí dotazy tak automaticky předá externímu adaptéru. Pokud je počítač členem domény, musí mít u interního adaptéru nakonfigurovánu adresu IP interního serveru DNS. Poté však bude veškeré dotazy předávat tomuto serveru a překlad internetových názvů tak nebude vyřešen. V doménovém prostředí je vhodné nakonfigurovat topologii pro překlad názvů poněkud jinak (a možná jednodušeji). Jedná se o druhé možné řešení a jeho princip je na obrázku 25.5. Obrázek 25.5 Překlad externích názvů DNS v prostředí domény se službou Sdílení připojení k Internetu

Nenechte se obrázkem zmást. Server SRVR002 je nyní vynechán pouze pro překlad názvů DNS. Nelze jej však vynechat zcela, neboť právě on zajišťuje komunikaci s Internetem. Pokud nyní klient požádá server SRVR001 o překlad názvu počítače www v zóně micro-soft.com na adresu IP, pokusí se server SRVR001 tento požadavek vyřešit. Protože však nemá informace o zóně microsoft.com, předá požadavek dále serveru DNS v Internetu. Nemusí se jednat přímo o server DNS doporučený poskytovatelem (server, jehož adresa IP je uvedena ve vlastnostech internetového adaptéru v počítači SRVR002). Můžete si zvolit jakýkoli server DNS, který bude na vaše požadavky odpovídat, ale volbu serveru DNS poskytovatele připojení k Internetu lze jednoznačně doporučit. V případě této konfigurace postupujte podle následujících pokynů: 1. Ve vlastnostech serveru SRVR001 nahraďte na kartě Servery pro předávání výše přidanou adresu IP adresou externího serveru DNS. 2. V počítači SRVR002 ověřte, že ve vlastnostech interního síťového připojení je nakonfigurován jako server DNS počítač SRVR001.

Zabezpečení sítě a přístup k interním prostředkům Po úspěšné konfiguraci mohou do Internetu přistupovat uživatelé všech počítačů v síti. Je j ic h přístup není nijak omezen, takže mohou využívat veškeré služby Internetu (www, ftp. smtp a další). Je tedy pouze na uživatelích, jak se s přístupem k Internetu sami vypo-řádají. Prostředky pro omezení přístupu směrem ven pro toto řešení přímo v systému Windows Server 2003 neexistují. Trochu jiná je situace s přístupem z Internetu k prostředkům v interní síti. Celá síť je z pohledu uživatelů Internetu skrytá za jedinou adresou IP, kterou má přidělenu síťový adapter pro přístup k Internetu. Jedná se o jedinou adresu IP, ke které je možné se z Internetu ve výchozí konfiguraci dostat. Pokud tedy na této adrese budou spuštěny například služby www, ftp či smtp, budou z Internetu dostupné. Ke službám v interní síti se uživatelé z Internetu nedostanou.


344

Poznámka Pokud jste například měli před jakoukoli konfiguraci přístupu k Internetu v daném počítači funkční web, dojde po instalaci dalšího síťového adaptéru k jeho zpřístupnění i na další adrese IP. Výsledkem po připojení sítě k Internetu je neomezený, a tedy nijak nezabezpečený, přístup k webovým službám v počítači. Jedná se však o výchozí nastavení, které je možné v systémech Windows Server 2003 upravit. Dále se podíváme na různé strategie. Vzhledem k tomu, že naše stávající síť je relativně malá a nejsou v ní nainstalované žádné internetová služby, bude se jednat čistě <> teoretická řešení konkrétních případů, které však poskytnou úplný návod pro své uvedení do praxe. Přístup k Internímu webovému serveru Pokud máte například v počítači PC001 funkční webové stránky a chcete je zpřístupnil všem uživatelům v Internetu, je třeba v počítači SRVR002, který je bránou pro vstup do sítě, tento přístup nakonfigurovat. Následující postup je v praxi také nazýván jako mapováni portů nebo publikování webového serveru. Postupujte podle následujících pokynů

1. Přihlaste se k počítači SRVR002 jako správci. 1. Zobrazte vlastnosti připojení sítě k Internetu. V dialogovém okně vlastností klep něte na kartu Upřesnit. 2. V pravé spodní části klepněte na tlačítko Nastavení. Zobrazí se dialogové okno Upřesnit nastavení. Obrázek 25.6 Dialogové okno Upřesnit nastavení

4. Zaškrtněte políčko Webový server (HTTP). Otevře se dialogové okno Nastavení služby. Obrázek 25.7 Dialogové okno Nastavení služby


345

5. Do pole Název počítače nebo adresa IP zadejte název počítače PC001 nebo jeho adresu IP. Jednodušší a rychlejší je zadat adresu IP. Poznámka Webový server by měl mít vždy statickou adresu IP. V takovém případě je lepší zadat jeho adresu IP. 6. Všimněte si, že nelze upravovat čísla externího ani interního portu pro tuto službu a klepnutím na tlačítko OK zavřete dialogové okno. 7. Klepnutím na tlačítka OK zavřete ostatní otevřená dialogová okna. Nyní můžete ověřit připojení k webovému serveru z prostředí Internetu. Pokud vše testujete mimo provozní síť a nakonfigurovali jste například externí adresu IP rozhraní připojeného k Internetu na hodnotu 200.200.200.200, můžete si na některém z počítačů nakonfigurovat adresu IP 200.200.200.201 a považovat jej za počítač v Internetu. Přístup k webovému serveru pak vyzkoušíte zadáním adresy http://200.200.200.200. Pokud chcete zpřístupnit také ostatní služby, zaškrtněte příslušné políčko a konfiguraci provedte obdobně jako u webového serveru. Někdy se může stát, že potřebujete z Internetu zpřístupnit aplikaci, která nepoužívá standardní známé porty jako předdefinované služby. Řekněme, že by šlo o aplikaci využívající port 880 protokolu TCP. V takovém případě postupujte následovně: 1. 2. 3. 4.

Přihlaste se k počítači SRVR002 jako správci. Zobrazte vlastnosti připojení sítě k Internetu. V dialogovém okně vlastností klepněte na kartu Upřesnit. V pravé spodní části klepněte na tlačítko Nastavení. Zobrazí se dialogové okno Upřesnit nastavení (viz obrázek 25.6). Klepněte na tlačítko Přidat a v dialogovém okně Nastavení služby (viz obrázek 25.7) zadejte Popis služby, adresu IP, číslo externího a interního portu (v obou případech 880) a vyberte protokol (TCP). 5. Klepnutím na tlačítka OK zavřete všechna dialogová okna. Někdy se může objevit požadavek na zpřístupnění dvou interních webových serverů Z Internetu. V takovém případě jsou možná dvě řešení. Jedno z nich je určeno pro skupinu uživatelů, kteří znají port, na němž se k webovému serveru dostanou, druhé z nich je řešením pro široký okruh uživatelů Internetu, již očekávají webový server vždy na por-tech 80 (HTTP) a 443 (HTTPS). V prvním případě postupujte následovně: 1. 2. 3. 4.

Přihlaste se k počítači SRVR002 jako správci. Zobrazte vlastnosti připojení sítě k Internetu. V dialogovém okně vlastností klepněte na kartu Upřesnit. V pravé spodní části klepněte na tlačítko Nastavení. Zobrazí se dialogové okno Upřesnit nastavení (viz obrázek 25.6). Klepněte na tlačítko Přidat a v dialogovém okně Nastavení služby (viz obrázek 25.7) zadejte Popis služby (například webový server v počítači PC002) a adresu IP. Do pole Číslo externího portu zadejte číslo portu, na kterém se poté bude zvenku k webovému servear přistupovat (například 81), a do pole Číslo interního portu zadejte hodnotu 80 a zaškrtněte políčko TCP. 5. Klepnutím na tlačítka OK zavřete všechna dialogová okna.

Přístup k oběma webovým serverům je znázorněn na obrázku 25.8.

Obrázek 25.8 Přístup ke konkrétnímu webovému serveru je dán číslem externího portu Pokud chtějí uživatelé z Internetu přistoupit k webovému serveru v počítači PC001, musí v internetovém prohlížeči zadat adresu http://200.200.200.200. Pokud chtějí přistoupit k webovému serveru v počítači PC002, musí zadat adresu ve tvaru http://200.200.200.200:81 (81 zde označuje číslo externího portu). Druhý uvedený případ není možné při použití funkce Sdílení připojení k Internetu na konfigurovat. Jeho konfiguraci si ukážeme později.


346

Zabezpečení externího síťového rozhraní Systémy Windows Server 2003 a Windows XP Professional obsahují novou funkci - Bra na Firewall připojení k Internetu. Jedná se o zaškrtnutí jediného políčka s možností konfigurace výjimek. Povolení brány firewall zajistí ochranu externího síťového rozhraní, takže pokud to nebu de explicitně nakonfigurované, nebude toto rozhraní reagovat na požadavky zvenku. Konfigurace brány firewall je velmi jednoduchá: 1. Přihlaste se k počítači SRVR002 jako správci. 2. Zobrazte vlastnosti připojení sítě k Internetu. V dialogovém okně vlastností klep něte na kartu Upřesnit. 3. V horní části dialogového okna zaškrtněte políčko Chránit počítač a síť omezením nebo zabráněním přístupu k tomuto počítači z Internetu. 4. Klepnutím na tlačítko OK potvrdíte nastavení a zavřete dialogové okno vlastností připojení. Nyní je veškerá komunikace (s výjimkami nakonfigurovanými výše) na externím rozhraní zakázána. To můžete jednoduše ověřit příkazem PING. Na kartě Upřesnit nastavení zároveň přibyly další dvě karty - Protokolování zabezpečení a ICMP. Pokud se někdo z Internetu snaží s externím síťovým rozhraním komunikovat, bude toto rozhraní příchozí pakety vyřazovat. Na kartě Protokolování zabezpečení můžete určit, zda chcete protokolovat informace o vyřazených paketech, případně o úspěšných připojeních. Minimálně druhou možnost doporučuji povolit. Na této kartě je dále možné určit název, umístění a velikost souboru protokolu. Karta ICMP slouží k omezení, případně povolení komunikace pomocí protokolu ICMP. Jedná se o protokol, který zařízení komunikující pomocí protokolu TCP využívají k zasílání informací o chybách. Zároveň jej využívá nástroj PING. Protože je ve výchozím nastavení po povolení brány firewall veškerá komunikace pomocí protokolu PING směrem do sítě zakázaná, nebude externí síťový adaptér reagovat ani na příkaz PING. Odpovědi na příkaz PING povolíte zaškrtnutím políčka Povolit příchozí zprávy s požadavkem na odezvu tak, jak ukazuje obrázek 25.9. Obrázek 25.9 Povolení odpovědí na příkaz PING

Poznámka Odpovědi na příkaz PING není nutné povolovat. Pokud pro to není žádný zásadní důvod, ponechte výchozí nastavení omezení protokolu ICMP.

Souhrn vlastností sdílení připojení k Internetu Sdílení připojení k Internetu využívá pro přístup k Internetu překlad síťových adres. Tou to funkcí disponují všechny systémy Windows 2000/XP/2003 včetně systémů pro klientské počítače. Hlavním omezením sdílení připojení k Internetu ve větších sítích je nutnost používat adresy IP z podsítě 192.168.0.0/24. Protože je změna adresování IP velmi citelným zásahem do sítě, který si nemohou některé organizace dovolit, nemohou tuto funkci využívat. Danou podsítí je zároveň řečeno, že pomocí sdílení připojení lze k Internetu připojit nejvýše 254 počítačů včetně toho, který připojení zprostředkovává. Současně s povolením této funkce dojde k automatickému spuštění služeb DHCP Alloca-tor a Proxy DNS (přece jen je tato funkce určena spíše pro malé sítě typu peer-to-peer). Pokud se v síti využívá klasický server DHCP, je jeho koexistence se službou DHCP Allo cator velmi špatná a jediným řešením je ruční konfigurace klientských počítačů. Služba Proxy DNS s klasickou službou DNS již bez potíží vyjde, jen je třeba upravit předávání dotazů DNS v síti. Pokud chcete zpřístupnit uživatelům v Internetu místní prostředky (například webový server), můžete využít pouze jedinou externí adresu IP. To může přinést potíže v případě nutnosti zpřístupnit více interních webových serverů. Řešením je v takovém případě použití dalších portů protokolu TCP, jak


347

bylo uvedeno dříve.

Překlad síťových adres (NAT) Ačkoli se jedná o způsob připojení sítě k Internetu, je v systému Windows Server 2003 stejným způsobem nazvána služba. Je to sice poněkud zavádějící, neboť i výše uvedena možnost sdílení připojení k Internetu používá technologii překladu síťových adres, ale je to zkrátka tak. Překlad síťových adres (Network Address Translation, NAT) je mnohem systémovějším řešením pro připojení sítě k Internetu, neboť není omezeno tak, jako výše uvedený způsob a poskytuje více možností konfigurace. Je také možné jej konfigurovat pouze v servero-vých operačních systémech (Windows 2000 Server, Windows Server 2003). Je totiž jed ním ze směrovacích protokolů služby Směrování a vzdálený přístup. Tento způsob připojení je také vhodný po naši síť a obecně pro jakékoli větší sítě s do měnovým prostředím. Základní konfigurace Konfiguraci překladu síťových adres provedeme na serveru SRVR002. Předtím je potřeba ověřit, případně vrátit veškerá nastavení provedená v síti na výchozí hodnoty. Stav sítě by měl být následující: ♦ ♦ ♦

♦ ♦

Server SRVR001 - adresa 192.168.10.2, maska podsítě 255.255.255.0, výchozí brána 192.168.10.1, adresa serveru DNS 192.168.10.2, adresa serveru WINS 192.168.10.2. Server SRVR002 (interní síťový adaptér) - adresa 192.168.10.1, maska podsítě 255.255.255.0, adresa serveru DNS 192.168.10.2, adresa serveru WINS 192.168.10.2. Server SRVR002 (externí síťový adaptér) - veškeré parametry připojení určí poskytovatel připojení k Internetu. Pro laboratorní testování můžete použít například adresu IP 200.200.200.200 a masku podsítě 255.255.255.240. Výchozí brána ani servery DNS nejsou v laboratorním prostředí nutné. Klientské počítače - nakonfigurované na získání parametrů protokolu IP od serveru DHCP. Sdílení připojení k Internetu a brána flrewall - zakázáno.

Adresa IP interního síťového rozhraní počítače SRVR002 byla původně 192.168.10.3 (jedna z adres z rozsahu určeného pro servery). Tyto rozsahy jsme přiřadili jednotlivým rolím v kapitole 3, „Učíme počítače komunikovat v síti". Protože však od této chvíle bude server SRVR002 plnit roli výchozí brány, změníme jeho adresu na 192.168.10.1 (viz kapi-tola 3). Všechny počítače, které budou připojené k Internetu (a to budou opravdu všechny), musí mít definovanou výchozí bránu. Tou bude právě adresa 192.168.10.1. U počítačů konfigurovaných ručně je třeba tuto adresu doplnit, pro počítače konfigurované automaticky je třeba tuto adresu doplnit do možností oboru serveru DHCP: 1. 2. 3. 4. 5.

Přihlaste se k počítači PC001 jako správci a spusťte konzolu DHCP připojenou k serveru SRVR001. Rozbalte položku serveru a poté obor 192.168.10.0. Pravým tlačítkem myši klepněte na položku Možnosti oboru a v místní nabídce poté klepněte na příkaz Konfigurovat možnosti. Zobrazí se dialogové okno Obor možností. Zaškrtněte políčko 003 Směrovač, do pole Adresa IP zadejte adresu IP 192.168.10.1 a poté klepněte na tlačítko Přidat. Klepnutím na tlačítko OK zavřete dialogové okno. V počítači PC001 spusťte příkazový řádek a zadejte příkaz i c o n f i g / r e n e w . Po úspěšném obnovení adresy IP zadejte příkaz i p c o n f i g /a11 a ověřte, že počítač PC001 získal také adresu výchozí brány. Tento krok proveďte u všech počítačů nakonfigurovaných na automatické získávání adresy IP.

Před dalším postupem ještě ověřte správné pořadí síťových adaptérů počítače SRVR002. Jako první v pořadí musí být interní adaptér. Konfigurace překladu síťových adres 1.

Přihlaste se k počítači SRVR002 jako správci a spusťte nástroj Směrování a vzdálený přistup.

Poznámka Pokud není nástroj Směrování a vzdálený přístup součástí Nabídky Start, spusťte konzolu MMC a přidejte do ní modul snap-in se stejným názvem. 2. 3. 4. 5.

Pravým tlačítkem myši klepněte na položku Stav serveru a v místní nabídce potéklepněte na příkaz Přidat server. V dialogovém okně Přidat server zaškrtněte políčko Tento počítač a poté klepněte na tlačítko OK. V konzole se poté zobrazí položka serveru SRVR002 s červenou značkou. Ta říká, že služba Směrování a vzdálený přístup není nakonfigurovaná ani spuštěná. Pravým tlačítkem myši klepněte na položku serveru SRVR002 a v místní nabídce zvolte příkaz Nakonfigurovat a povolit směrování a vzdálený přístup. Spustí se Průvodce instalací serveru pro směrování a vzdálený přístup. Klepněte na tlačítko Další. V dialogovém okně Konfigurace zaškrtněte políčko Překládání adres (NAT) a poté klepněte na tlačítko Další.


348

Obrázek 25.10 V dialogovém okně Konfigurace se určují role serveru 6. 7.

V dialogovém okně Připojení k Internetu NAT označte externí adaptér, který bude připojovat síť k Internetu a zaškrtněte políčko Povolit zabezpečení vybraného rozhraní nastavením základní brány firewall. Poté klepněte na tlačítko Další. V dialogovém okně Dokončení Průvodce instalací serveru pro směrování a vzdálený přístup si prohlédněte zobrazené informace a poté klepněte na tlačítko Dokončit.

Obrázek 25.11 V dialogovém okně Připojení k Internetu NAT je třeba označit správné rozhraní pro připojení k Internetu

Nyní se v počítači spustí služba Směrování a vzdálený přístup a nastaví se na automatické spouštění. Poté můžete v konzole se stejným názvem rozbalit položku serveru SKVK002 a prohlédnout si nastavení překladu síťových adres. Postupujte podle následují-cích pokynů: 1. 2. 3.

5. 6.

V konzole Směrování a vzdálený přístup klepněte na položku Směrování IP a v pravém podokně poté zobrazte vlastnosti položky Protokol NAT a základní brána firewall. Na kartě Přiřazení adres si všimněte, že není zaškrtnuté políčko Automaticky přiřazovat adresu IP pomocí přidělujícího modulu DHCP. Jedná se o již dříve zmiňovanou službu DHCP Allocator, která však v tomto případě není povolená. To je v pořádku, neboť v síti je funkční server DHCP. Na kartě Překlad adres IP si všimněte, že není zaškrtnuté políčko Překládat adresy IP pro klienty používající službu DNS (Domain Name System). Jedná se o službu Proxy DNS, která není v případě správně nakonfigurované služby DNS v síti potřeba. 4. Klepnutím na tlačítko OK zavřete dialogové okno. Poklepejte na položku Protokol NAT a základní brána firewall. V levém podokně konzoly se zobrazí nejméně tři síťová rozhraní. Pravým tlačítkem myši klepněte na položku rozhraní LAN a zobrazte její vlastnost i. V dialogovém okně si všimněte, že je zaškrtnuté políčko Privátní rozhraní, připojené k privátní síti. Klepnutím na tlačítko Storno toto okno zavřete.


349

Obrázek 25.12 Adaptéry účastnící se překladu síťových adres 7.

Pravým tlačítkem myši poté klepněte na položku rozhraní Internet a zobrazte její vlastnosti. V dialogovém okně si všimněte, že se jedná o Veřejné rozhraní připojené k síti Internet. Zároveň je zde zaškrtnuto políčko Povolit v tomto rozhraní protokol NAT, které se právě stará o překlad síťových adres na tomto rozhraní, a políčko Povolit v tomto rozhraní základní bránu firewall (toto nastavení jste konfigurovali v průvodci).

Obrázek 25.13 Konfigurace externího adaptéru pro připojení k Internetu


350

Základní brána firewall chrání celou síť (včetně externího síťového rozhraní) před přístupem z Internetu. Směrem z vnitřní sítě do Internetu však uživatele nijak neomezuje. Pokud chcete omezit některý provoz směrem ze sítě ven (například protokol ICMP - tedy odpovědi na nástroj PING), postupujte následovně: 1. Zobrazte vlastnosti rozhraní Internet a na kartě Protokol NAT a základní brána firewall klepněte na tlačítko Výstupní filtry. Zobrazí se dialogové okno se stejným názvem. 2. Klepněte na tlačítko Nový. Otevře se dialogové okno Přidat filtr IP, které vyplňte podle obrázku 25.14 (adresa IP 200.200.200.200 je v tomto případě adresa přiřazená poskytovatelem připojení k Internetu) a poté klepněte na tlačítka OK.

Obrázek 25.14 Odpovědi na příkaz PING jsou zakázány pro všechny požadavky z místní sítě

3. Nyní ověřte příkaz PING z jakéhokoli místního počítače na jakoukoli adresu IP v Internetu. Komunikace bude blokovaná. Konfigurace filtrování protokolu IP má dvě podoby. První, která je výchozí, a již jsme tak nyní využili, říká, že projde veškerý provoz vyjma zadaného. Druhá říká, že projde pouze zadaný provoz. Filtrování protokolu IP je tak třeba dobře naplánovat, abyste nemuseli dělat více pravidel, než je nezbytně nutné.

Přístup k interním prostředkům Konfigurace přístupu například k internímu webovému serveru se nijak neliší od konfigurace, kterou jsme provedli u funkce Sdílení připojení k Internetu. Pro konfiguraci těch-to přístupů slouží v dialogovém okně vlastností rozhraní Internet karta Služby a porty (viz obrázek 25.13), na které se interní prostředky konfigurací obdobně jako u funkce sdíleni připojení k Internetu. Jiná situace je v případě, že chcete zpřístupnit více interních webo vých serverů a všechny na portu 80. Ať chcete nebo ne, pro tento stav potřebujete dvě veřejné adresy IP. Pokud se některý uživatel bude „dobývat" na jednu adresu na port 80, bude přesměrován například na počítač PC001. Pokud se bude na stejném portu „dobývat" na druhou adresu IP, bude přesměrován například na počítač PC002.

Konfigurace přístupu ke dvěma interním webovým serverům Konfigurace přístupu k více interním webovým serverům se bude skládat z několika kroků: ♦ ♦ ♦

Přidání adresy IP jako další síťovému rozhraní. Definování fondu adres (rozsahu veřejných adres IP, které jsou k dispozici uživatelům Internetu). Přesměrování požadavků na konkrétní servery.

Přidání další adresy IP Další adresu IP si nemůžete vymyslet, ale je nutné požádat poskytovatele připojení k Internetu. Pokud budeme předpokládat, že by nám poskytovatel kromě adresy 200.200.200.200 udělil ještě také adresu 200.200.200.199, je třeba tuto adresu s maskou podsítě 255.255.255.240 přidat jako další adresu IP k síťovému rozhraní nazvanému Internet.

Definování fondu adres a zpřístupnění interních prostředků 1. Přihlaste se k počítači SRVR002 a spusťte konzolu Směrování a vzdálený přístup. 2. V levém podokně klepněte na položku Protokol NAT a základní brána firewall a v pravém podokně poté zobrazte vlastnosti internetového rozhraní. Zobrazí se dialogové okno jeho vlastností (viz obrázek 25.13). 3. Na kartě Fond adres klepněte na tlačítko Přidat. Zobrazí se dialogové okno Přidat fond adres.


351

4. Do pole Počáteční adresa zadejte adresu 200.200.200.199, do pole Koncová adresa zadejte adresu 200.200.200.200. Do pole Maska zadejte hodnolu 255.255.255.240 a poté klepněte na tlačítko OK. 5. Klepněte na tlačítko Použít a poté klepněte na kartu Služby a porty. 6. Poklepejte na položku Webový server (HTTP) a v dialogovém okně Upravit službu ponechte výchozí hodnoty, pouze do pole Privátní adresa zadejte adresu IP počítače PC001. Klepněte na tlačítko OK. 7. Na kartě vlastností internetového rozhraní klepněte na tlačítko Přidat a dialogoví'' okno Přidat službu vyplňte podle obrázku 25.15. 8. Klepnutím na tlačítka OK zavřete všechna dialogová okna. Tento postup lze považovat za systémové řešení. Uživatelé očekávají webový server vžily na portu 80 (proto se číslo portů běžně do webové adresy nezadává) a v tomto případě se tak dočkají obou. To je rozdíl oproti druhé možnosti, která byla uvedena výše a jež využívala pro přístup ke dvěma webovým serverům jedinou adresu IP, ale více portů. I tu je však možné v případě nutnosti v tomto případě využít.

Obrázek 25.15 Webový server PC002 je k dispozici na veřejné adrese IP 200.200.200.199

¨

Peklad internetových názvů Po připojení k Internetu je třeba zajistit překlad názvů na adresy IP. Pokud je ve vnitřní síti nakonfigurovaná služba DNS, potom je situace velmi jednoduchá a postačí nakonfigurovat předávání nevyřešených dotazů některému serveru DNS v Internetu. Postupujte podle následujících pokynů: 1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu DNS připojenou k serveru SRVR001. 2. Pravým tlačítkem myši klepněte na server SRVR001 a poté v místní nabídce klepněte na položku Vlastnosti. 3. V dialogovém okně SRVR001 - vlastnosti klepněte na kartu Servery pro předávání. Ověřte, že v části Doména DNS je aktivní položka Všechny další domény DNS a do pole Seznam adres IP serverů pro předávání u vybrané domény zadejte adresu IP internetového serveru DNS (s výhodou můžete využít adresu serveru DNS, kterou vám dodal poskytovat připojení k Internetu, a jež je zároveň nakonfigurovaná na externím síťovém adaptéru). Poté klepněte na tlačítko Přidat 4. Klepnutím na tlačítko OK potvrďte nastavení a zavřete dialogové okno. Pokud byste v síti službu DNS neměli, bude možné využít službu Proxy DNS, kterou dis ponuje přímo nástroj Překlad síťových adres (NAT). Oproti funkci Sdílení připojeni k Internetu je však její využití volitelné. Konfigurace služby Proxy DNS je následující:

1. Přihlaste se k počítači SRVR002 jako správci a spusťte konzolu Směrováni a vzdálený přístup připojenou k počítači SRVR002. 2. Rozbalte strom pod položkou SRVR002 a poté zobrazte dialogové okno vlastnoí ti položky Protokol NAT a základní brána firewall. 3. Na kartě Překlad adres IP zaškrtněte políčko Používat adresy IP pro klienty používající službu DNS (Domain Name System). 4. Klepnutím na tlačítko OK zavřete dialogové okno.


352

Obrázek 25.16 Povoleni služby Proxy DNS

Podmínkou funkčnosti tohoto nastavení je samozřejmě správná konfigurace klientských počítačů. Všechny, které chtějí pracovat s názvy v Internetu, musí mít jako server DNS na stavenu adresu IP počítače se službou NAT.

Souhrn vlastností překladu síťových adres (NAT) Tento způsob připojení k Internetu nevyžaduje změny adresování protokolu IP. Je schopen akceptovat veškeré adresy IP, které lze v sítích používat, nejen adresy z podsítě 192.168.0.0/24. Tím zároveň odstraňuje omezení počtu počítačů, jež lze tímto způsobeni k Internetu připojit. Překlad síťových adres (NAT) lze konfigurovat pouze v systémech Windows Server 2003 a Windows 2000 Server. Pomocí protokolu NAT je možné přistupovat do interní sítě přes více veřejných adres IP. Navíc je možné filtrovat provoz protokolu IP na konkrétních interních i veřejných adresách IP. Služby DHCP Allocator a Proxy DNS nejsou povinné. Ve výchozí konfiguraci jsou zaká zané.

Závěr Pokud chcete připojit svou síť k Internetu, nemusíte pouze pro účely připojení kupovat další software, neboť funkce pro to jsou v systémech Windows 2000/XP/2003 k dispozici. Pakliže máte menší síť, která nemá doménu, bude postačovat využití funkce Sdílení připojení k Internetu. Tu je možné konfigurovat jak v serverových operačních systémech, tak v systémech pro klientské počítače. Kromě připojení využívajícího technologii překladu síťových adres je také automaticky zajištěno automatické přidělování adres službou DHCP a překlad názvů službou DNS. Nejedná se však o plnohodnotné služby, takže je nelze nijak konfigurovat ani zakázat. Vnitřní síťové rozhraní v počítači, který sdílí své připojení k Internetu, má automaticky přidělenu adresu IP 192.168.0.1 a služba DHCP Allo-cator přiděluje klientským počítačům další adresy IP z podsítě 192.168.0.1/24. V oblasti zabezpečení tohoto připojení (tedy ochrany vnitřní sítě před přístupem z Internetu) jsou na tom lépe systémy Windows XP Professional a Windows Server 2003, které obsahují vestavěnou funkci brány firewall. Ta sice není standardně povolena, ale to je otázka zaškrtnutí jediného políčka. Více zabezpečit tento typ připojení systémovými prostředky nelze. Pokud máte síť s doménovým prostředím nebo větší síť zahrnující více podsítí, není možné výše uvedenou funkci z důvodů omezení adresování protokolu IP použít. Pro tyto účely je k dispozici funkce Překlad síťových adres (NAT). Pracuje na stejném principu jako sdílení připojení k Internetu, konfiguruje se však na jiném místě v systému a má více možností konfigurace. Není již omezena pouze na podsíť 192.168.0.0/24 a pro přístup k proStředkům vnitřní sítě z Internetu lze využívat více externích adres IP. Podobně jako sdílení připojení k Internetu je i v tomto případě možné chránit celou při-pojenou síť branou firewall. Navíc je zde možné omezit konkrétní provoz směrem ven ze sítě do Internetu. Pravidla omezení je možné definovat na základě adres IP, nikoli například na členství ve skupinách v doméně Active Directory. Taktéž nelze například omezit přístup ke konkrétním webovým serverům, které ve svém názvu obsahují zakázaná slova. Pro tyto účely je nutné implementovat do sítě další produkty, mezi nimiž si velmi dobře stojí ISA Server 2000.

Stav sítě Síť je od této chvíle připojena k Internetu. Připojení zprostředkovává prostřednictvím služby Překlad síťových adres (NAT) server SRVR002, který je pro tyto účely vybaven dvěma síťovými adaptéry. O přidělování adres IP a dalších parametrů (včetně adresy výchozí brány) se i nadále stará služba DHCP a o překlad názvů služba DNS, která má pro překlad externích názvů definován server pro předávání (forwarder).


353

Protože je server SRVR002 výchozí bránou, byla mu ručně upravena adresa IP na 192.168.10.1. Komunikace s Internetem je plně funkční s výjimkou odchozího protokolu ICMP, který je zakázaný. Z vnitřní sítě tak nelze používat příkaz PING k ověření dostupnosti počítačů v Internetu. Tato konfigurace byla spíše provedena na ukázku možností filtrování protokolu a je možné ji v případě, že nevyhovuje, odebrat.


354

Uživatelé potřebují pracovat i z domova Jak by se asi většině uživatelů líbilo, kdyby nemuseli chodit do práce a mohli pracovat z domova! Tato záležitost se dnes však spíše přesouvá do roviny psychologické, neboť technické prostředky již delší dobu pro takové řešení existují. Jde tedy spíše o to, zda by se v domácím prostředí dostatečně přinutili k příslušné práci. Rozhodování o tom, zda bude či nebude možné pracovat z domova, ponechme na managementu každé společnosti. Z hlediska technického je důležité vědět, jak takový vzdálený přístup nakonfigurovat, a je jedno, zda se bude uživatel připojovat k síti vzdáleně z domova, kavárny nebo z obchodního jednání. Možností vzdáleného přístupu je více a konkrétní volba záleží na důvodu přístupu do sítě. Kromě prostředků, které jsou ke vzdálenému přístupu nutné, zde hraje roli také zabezpečení přenosu dat. Není například možné připustit, aby se při přihlašování uživatele do domény přenášelo přes síť nezašifrované jméno a heslo. Téměř to samé lze pak říci také o datech. Technologie, které jsou součástí operačního systému Windows Server 2003, tyto záležitosti zvládají a umožňují zabezpečit vzdálený přístup více, než si někteří správci vůbec dokáží představit. V této kapitole se podíváme na možná řešení vzdáleného přístupu, jeho zabezpečení a jako obvykle na konkrétní konfigurace.

Nezůstaneme jako správci také doma? Proč ne!? Záleží však na tom, zda si to můžete dovolit. Pokud jste správci typu „holka pro všechno", budete mít s tímto návrhem zřejmě potíže. Existuje totiž spousta uživatelů, kteří mají problémy konkrétní potíže při práci vůbec popsat, a správcům nezbývá, než takového uživatele navštívit a probrat s ním celou záležitost osobně. Někteří uživatelé mohou mít zase psychický blok, a než by vám umožnili vzdálený přístup ke svému počítači, raději jej vypnou. Taková situace ale předpokládá, že existují mechanismy, jak se ke vzdáleným klientským počítačům dostat (konkrétně jak se dostat k pracovní ploše uživatele). Systémy Windows XP Professional touto možností sice disponují, ale zatím jsou v oblasti operačních systémů pro klientské počítače jediné. Pokud jste správci zabývající se koncepční prací či návrhy, případně máte svou doménu nakonfigurovánu tak, že například pouze kontrolujete její hlavní funkce a hlídáte další správce, kterým jste svěřili konkrétní úkoly, může být práce z domova vhodnou alternativou. To navíc platí i v případě, kdy v síti například existuje produkt, který vás aktivně ( formou zprávy SMS) upozorní na chyby či nesprávné chování konkrétních počítačů. V takovém případě nemusíte celý den sedět u počítače, ale můžete se věnovat i jiným činnostem a reagovat pouze v případě nutnosti. Nechme však teorií, zda pracovat či nepracovat z domova. Každý správce či uživatel mu-sí vědět, zda je schopen provést vzdáleně veškerou nutnou práci a zda to pro něj bude výhodnější.

Možnosti vzdáleného přístupu Vzdálený přístup do sítě sestává ze tří základních částí - klienta, který připojení vyvolal, Serveru, jenž je přijal a z přenosového média. Právě přenosové médium je ta část, která určuje typ vzdáleného připojení.

Telefonické připojení Telefonické připojení k síti využívá většina uživatelů, kteří mají doma počítač, a již si to možná ani neuvědomují. Drtivá většina takových uživatelů se například po večerech připojuje k Internetu, aby nalezli informace, které jsou pro ně zajímavé, nebo například vyřídili obchodní či soukromou korespondenci. Internet je ale také síť, dokonce největší síť na světě, a jedná se tak o typické telefonické připojení k síti. Pokud to jde u Internetu, musí to jít samozřejmě také u mnohem menší sítě. Obecně sestává telefonické připojení k síti z následujících součástí: klientského počítače, severu a dvou modemů. U počítačů je situace jasná, u modemů záleží na možnostech linky a požadavcích organizace. Můžete se tak setkat s analogovými modemy nebo modemy ISDN, také se můžete u serverů setkat s modemovými poli, které zajišťují současné připojení několika desítek či stovek uživatelů, nebo s modemy ADSL. Princip je však vždy stejný a obecně tak lze hovořit pouze o modemu.


355

Nevýhodou tohoto typu připojení je jednoznačně jeho cena. Ačkoli se oblast hardwaru, softwaru a systémů řítí neuvěřitelnou rychlostí dopředu a ceny tohoto zboží stále klesají, u telekomunikačních služeb je stav o poznání konzervativnější. Zejména u cen. Pokud by se uživatelé připojovali pouze například ze svého bydliště, které je ve stejné telefonní oblasti jako server, nemusí se jednat o nijak závratné částky. Horší situace bude, pokud se bude vzdáleně tímto způsobem připojovat některý z prodejců z obchodní schůzky v zahraničí. Přes tuto obrovskou nevýhodu má telefonické připojení ještě své výhody. Jeho konfigu raci ve svém počítači zvládne většina uživatelů, kteří s počítačem aktivně pracují a komunikace počítač <—> server pro vzdálený přístup je relativně bezpečná. Slovem „relativní" je zde myšleno to, že ke spojům, jež přenos dat zajišťují, má přístup pouze velmi omeze ný počet lidí v porovnání například s Internetem.

Připojení pomocí virtuální privátní sítě (VPN) V předchozí kapitole jsme nakonfigurovali připojení sítě k Internetu. Připojení k Interní-tu je plně funkční a časově neomezené. Pokud se budete chtít připojit k síti z vlastního počítače, je bez ohledu na to, zda se jedná o domácí počítač nebo přenosný počítač na cestách, nutné, abyste měli po ruce modem. Otázka zní, zda se tyto dvě věci (trvalé při pojeni sítě organizace k Internetu a modem v klientském počítači) nedají nějak rozumné spojit. Samozřejmě dají. Pokud máte v počítači k dispozici funkční modem, může pro vás byl jednodušší a zároveň levnější připojit se pomocí poskytovatele připojení k Internetu než do sítě organizace. Poskytovatelé nabízejí přístup k Internetu zdarma a jediné, co zbývá zaplatit, jsou telefonní poplatky operátorovi. V okamžiku, kdy budete připojeni k Internetu jste na tom stejně jako vaše síť. Proč tedy Internet nevyužít k přístupu do vlastní sítě? Samozřejmě to jde a tomuto typu připojení se říká Virtuální privátní síť (Virtual Private Network, VPN).


356

V porovnání s telefonickým připojením je výhoda jasná - jedná se o nepoměrně lacinější záležitost. Sice můžete namítnout, že je jedno, zda jste telefonicky připojeni přímo do vlastni sítě nebo k Internetu, ale tato námitka končí v okamžiku, kdy se budete s přenosným počítačem pohybovat v zahraničí. Tam bude jistě levnější připojení k místnímu poskytova-teli Internetu než volání do ČR. A pokud se připojujete z domácího počítače, se kterým ur-čitě cestovat nebudete, vzpomeňte na své kolegy s přenosnými počítači. Zde je důležité myslet na náklady za připojení celé společnosti, nikoli na cenu jediného připojení. Obecně má komunikace v Internetu jednu velmi podstatnou nevýhodu - vzhledem k jednoduchosti používaných protokolů (HTTP, SMTP a dalších) není standardní komunikace v Internetu jakkoli zabezpečená. Není tak ani digitálně podepisovaná (což by nám ani tak moc nemuselo vadit), ani šifrovaná (a to už nám jistě vadit bude, protože si komunikaci může „přečíst" správce každého směrovače, přes který komunikace mezi dvěma počítači prochází). A pokud přistupujete prostřednictvím Internetu do sítě, kde jsou uložené citlivé informace, které si potřebujete přečíst, je zabezpečení takových dat úkolem číslo jedna. To samé je třeba říci o ověření uživatele při připojení k místní síti - ne všechny ově-řovací protokoly jsou dostatečně bezpečné (o tom ale až dále). Sítě VPN umožňují v produktech společnosti Microsoft definovat dva možné protokoly pro zabezpečení dat, přičemž u jednoho z nich lze využít také možnosti digitálního podepisování přenášených paketů. Tím je nevýhoda běžné komunikace v Internetu eliminovaná a správcům tak nebrání nic v masovém šíření sítí VPN. Větší společnosti tak mohou dokonce využít Internet spolu s technologií VPN k propojení svých poboček. Pokud porovnáme možnost telefonického připojení s připojením pomocí sítě VPN, vyjde pravděpodobně vítězně síť VPN. Kromě výše uvedené výhody jsou tady ještě další mož nosti - k serveru pro vzdálený přístup nakonfigurovanému pro síť VPN se mohou připojit uživatelé, kteří se do Internetu dostali pomocí svého modemu a poskytovatele, ale také uživatelé, již jsou k Internetu připojeni trvale pomocí modemu ADSL nebo standardního síťového rozhraní Ethernet nebo uživatelé, kteří jsou k Internetu připojeni prostřednictvím sítě podobně, jako jsme to konfigurovali v předchozí kapitole. Připojení VPN je tak univerzálnější pro více přenosových médií než klasické telefonické připojení. Občas je třeba se z nadšení možností sítí VPN vrátit zpět na zem. Mnoho správců v afektu konfigurace sítě VPN zapomíná na to, že podmínkou pro navázání spojení VPN je nejprve připojení uživatelů k Internetu. To se pak odráží v nedostatečné informovanosti uživatelů, kteří si následně vytvoří pouze jediné připojení, s nímž mají ještě před dokončením konfigurace potíže, a tak dále. V další části této kapitoly se podíváme na konfiguraci obou možností připojení jak na straně serveru, tak i v klientském počítači a později na zabezpečení vzdálených připojení.

Konfigurace vzdáleného přístupu Konfigurace vzdáleného přístupu se skládá z několika částí, bez nichž k úspěšnému spojení nedojde: ♦

♦

♦

Konfigurace serveru pro vzdálený přístup Organizace může mít jeden či více serverů pro zprostředkování vzdáleného přístupu a ověření uživatelů. Více serverů přichází v úvahu v případech, kdy jeden server nestačí kapacitně, případně pokud je třeba tyto servery geograficky rozmístit do více lokalit, ve kterých mohou mít uživatelé rychlejší přístup. Konfigurace brány firewall Pokud má organizace chráněnou síť a přístup k Internetu bránou firewall, je třeba ji nakonfigurovat tak, aby propustila provoz na potřebných portech. V opačném případě skončí veškeré pokusy klientských počítačů na této bráně, která přijaté pakety vyřadí. Konfigurace klientských počítačů Konfigurace konkrétních připojení je plně v kompetenci uživatelů. Správce jim tuto záležitost může zjednodušit připravením souboru s příponou INS, který dané připojení předkonfiguruje. Jedním z nástrojů, ve kterých můžete tyto soubory vytvořit, je nástroj Internet Explorer Administrali-on Kit (IEAK), jejž lze stáhnout pro různé verze internetových prohlížečů z webo-vých stránek společnosti Microsoft. Tento nástroj však také neřeší vše, takže v ex trémním případě musí uživatelům pomoci správce, který nakonfiguruje příslušné připojení a nastaví jej jako připojení pro všechny uživatele daného počítače. Vše tak provede pod svým přihlášeným účtem.

Vytáčené telefonické připojení Protože v tomto případě je nutné mít na obou stranách (na serveru a v klientských počí tačích) modem, je nutné jej nejprve nainstalovat. Proveďte tedy instalaci modemu na ser ver SRVR002 a do počítače PC001. Poté může dojít k samotné konfiguraci. Konfigurace serveru pro vzdálený přístup Konfigurace serveru pro vzdálený přístup se provádí pomocí nástroje Směrování a vzdá-I ns přístup. V případě, že tato služba není nakonfigurovaná, je možné vytížit průvodce podobně, jako jsme to provedli v předchozí kapitole při připojování sítě k Internetu. Pakliže již některou ze součástí služby Směrování a vzdálený přístup používáte (a to je náš případ), je nutné konfiguraci pro vzdálený přístup nakonfigurovat ručně. Postupujte potilo následujících pokynů: 1. Přihlaste se k serveru SRVR002 jako správci a spusťte nástroj Směrování a vzdálený přístup. 2. Pravým tlačítkem myši klepněte na položku serveru SRVR002 a zobrazte jeho vlastnosti. 3. Na kartě Obecné bude pravděpodobně zaškrtnuté pouze políčko Směrovač a první políčko pod ním. Zaškrtněte políčka Směrování sítě LAN i připojení vyžádaného volání a Server pro vzdálený přístup a poté klepněte na tlačítko OK.


357

Obrázek 26.3 Povolení vzdáleného přístupu

4. Zobrazí se informace o nutnosti restartování služby Směrování a vzdálený přístup. Klepnutím na tlačítko Ano jej proveďte. Konzola Směrování a vzdálený přístup se rozšíří o položky Porty a Vzdálení klienti. Na straně serveru je tímto základní konfigurace provedena. Dále je třeba ověřit konfigu raci portů pro vzdálené připojení pomocí modemu. 5. Pravým tlačítkem myši klepněte na položku Porty a zobrazte dialogové okno vlastností. 6. Ověřte přítomnost položky týkající se modemu. Ve sloupci Počet portů je uvedeno číslo odpovídající maximálnímu počtu současně připojených uživatelů pomocí daného rozhraní. 7. Označte port pro telefonické připojení a poté klepněte na tlačítko Konfigurovat. 8. V dialogovém okně Konfigurovat zařízení zaškrtněte políčko Připojení vzdáleného přístupu (pouze příchozí) a klepněte na tlačítko OK. 9. Klepnutím na tlačítko OK zavřete dialogové okno vlastností portů. Obrázek 26.4 K tomuto serveru se pomocí modemu může najednou připojit pouze jediný uživatel (nic nečekaného)

Poznámka Ostatní uvedené položky slouží pro vzdálený přístup pomocí uvedených protokolů.


358

Konfigurace klientského počítače Následující postup je uveden pouze pro názornost. Je záležitostí každého uživatele, která připojení a jakého typu si nakonfiguruje. 1. Přihlaste se k počítači PC001. 2. V okně Ovládací panely poklepejte na položku Síťová připojení. 3. V levé části okna Síťová připojení klepněte na příkaz Vytvořit nové připojení. Spustí se Průvodce novým připojením. Klepněte na tlačítko Další. 4. V dialogovém okně Typ připojení zaškrtněte políčko Připojit k firemní síti a poté klepněte na tlačítko Další. 5. V dialogovém okně Síťové připojení zaškrtněte políčko Telefonické připojení a poté klepněte na tlačítko Další.

Obrázek 26.5 Volba typu připojení 6. V dialogovém okně Název připojení zadejte do pole Název společnosti název, pod kterým se bude toto připojení zobrazovat v seznamu všech připojení. Nemusí se tedy jednat o název společnosti, příkladem je název Připojení do firmy. Poté klepněte na tlačítko Další. 7. V dialogovém okně Vytáčené telefonní číslo zadejte telefonní číslo, které se bude při poklepání na toto připojení vytáčet. Poté klepněte na tlačítko Další. 8. V dialogovém okně Dostupnost připojení ponechte zaškrtnuté políčko Použití kýmkoli, pokud provádíte konfiguraci pro všechny uživatele daného počítače. Pokud chcete mít toto připojení pouze ve svém profilu, zaškrtněte políčko Pouze pro mne. Klepněte na tlačítko Další. 9. V dialogovém okně Dokončení Průvodce novým připojením máte možnost zaškrtnout políčko, které vytvoří zástupce připojení na ploše. Dialogové okno zavřete klepnutím na tlačítko Dokončit. Po vytvoření se připojení automaticky spustí. Pokud chcete připojení ověřit, zadejte Uživatelské jméno a heslo a poté klepněte na tlačítko Vytočit. Pokud dojde k úspěšnému připojení, je vše v pořádku. Pokud se připojení nezdaří, ověřte správné telefonní číslo, uživatelské jméno a heslo, nastavení modemu, případně oprávnění ke vzdálenému připojeni v doméně Active Directory. Ověření oprávnění uživatele v doméně Active Directory 1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. 2. Zobrazte vlastnosti účtu, pomocí kterého se chcete vzdáleně připojit, a klepněte na tlačítko Telefonické připojení. Všimněte si výchozího nastavení oprávnění ke vzdálenému připojení. Existují zde tři možnosti: Povolit přístup, Odepřít přístup a Řídit přístup pomocí zásad vzdáleného přístupu. Pokud je doména Active Directory ve smíšeném režimu Windows 2000, jsou k dispozici pouze první dvě políčka, která celkem jasně vyjadřují oprávnění uživatele. Pokud je doména v nativním režimu Windows 2000 nebo Windows Server 2003, budou k dispozici všechna políčka. Význam třetího políčka probereme později v této kapitole. Výchozím nastavením v doméně Active Directory ve smíšeném režimu Windows 2000 je Odepřít přístup, v doméně Active Directory ve zbývajících dvou režimech potom Řídit přístup pomocí zásad vzdáleného přístupu.


359

Obrázek 26.6 Oprávnění uživatele ke vzdálenému přístupu

Bez další konfigurace se v žádném režimu domény Active Directory uživatelé ke vzdálenému serveru nepřipojí!

Připojení pomocí virtuální privátní sítě (VPN) Pro připojení pomocí virtuální privátní sítě potřebujete v praxi na obou stranách funkční připojení k Internetu, nakonfigurovaný server, vytvořené připojení v klientském počítači a řádně nakonfigurovanou bránu firewall. Připojení pomocí sítě VPN lze však také velmi dobře ověřit v laboratorním prostředí. To provedeme nyní v naší síti. Konfigurace serveru Pokud jste již dříve server nakonfigurovali podle výše uvedených postupů (překlad síťových adres a server pro vzdálený přístup), je server pro připojení pomocí sítě VPN téměř nakonfigurován. Stačí provést následující kroky: 1. 2. 3.

Přihlaste se k počítači SRVR002 jako správci a spusťte konzolu Směrování a vzdálený přístup. Zobrazte dialogové okno vlastností Porty. Klepněte na položku WAN miniporl (PPTP) a poté klepněte na tlačítko Konfigurovat.

Zaškrtněte políčko Připojení vzdáleného přístupu (pouze příchozí) a v poli Maximální počet portů případně zadejte požadovaný počet portů (jeden port je vždy pro server, ostatní porty jsou určeny pro klientské počítače. Například při 20 portech se připojí najednou 19 počítačů). Obrázek 26.7 Konfigurace portů pro příchozí připojení

4. Stejný postup opakujte pro porty WAN miniport (L2TP). Pokud byste potřebovali nakonfigurovat server s nespuštěnou službou Směrování a vzdálený přístup, postupujte podle následujících pokynů: 1. Přihlaste se k počítači SRVR002 jako správci a spusťte nástroj Směrování a vzdálený přístup. 2. Pravým tlačítkem myši klepněte na položku SRVR002 označenou červeným symbolem a v místní nabídce poté klepněte na příkaz Nakonfigurovat a povolit směrování a vzdálený přístup. Spustí se Průvodce instalací serveru pro směrování a vzdálený přístup. Pokračujte klepnutím na tlačítko Další. 3. V dialogovém okně Konfigurace zaškrtněte políčko Vzdálený přístup (pomocí telefonického připojení nebo sítě VPN) a poté klepněte na tlačítko Další.


360

4. 5.

V dialogovém okně Vzdálený přístup zaškrtněte políčko VPN (v případě, že budete využívat také telefonické připojení, zaškrtněte obě políčka - tedy i políčko Telefonické připojení). Poté klepněte na tlačítko Další. V dialogovém okně Připojení virtuální privátní sítě označte síťové rozhraní, pomocí kterého je počítač připojen k Internetu (v našem případě rozhraní Internet). Pokud ponecháte zaškrtnuté políčko Povolit zabezpečení ve vybraném rozhraní nastavením filtrů statických paketů, nastaví se automaticky příchozí i odcho-zí filtrování na označeném rozhraní tak, že oběma směry projde pouze komunikace pomocí protokolů PPTP a L2TP. To může způsobit potíže, pokud využíváte například připojení sítě k Internetu pomocí překladu síťových adres (NAT). Nejste-li si přesně jisti, že toto nastavení potřebujete (zejména z důvodu zabezpečení), zrušte zaškrtnutí tohoto políčka. Klepněte na tlačítko Další.

Obrázek 26.8

Volba t yp u v z d á l e n é h o p ř i p o j e n í

6. V dialogovém okně Přiřazení adresy IP ponechte zaškrtnuté pole Automaticky a klepněte na tlačítko Další. Vzdáleným počítačům tak bude pronajímat adresy IP server DHCP v místní síti. Pokud byste server DHCP v síti neprovozovali, můžete zaškrtnout políčko Z určeného rozsahu adres a v dalším dialogovém okně tento rozsah zadat. Poznámka Myslete na to, že první adresa IP ze zadaného rozsahu bude patřit virtuálnímu rozhraní, které si pro příchozí připojení vytvoří server pro vzdálený přistup (SRVR002). To pro příklad, že byste potřebovali přesný počet portů.

7. 8.

V dialogovém okně Správa serverů s vícenásobným vzdáleným připojením ponechte zaškrtnuté políčko Ne, požadavky na připojení ověřovat pomocí služby Směrování a vzdálený přístup. Klepněte na tlačítko Další. V dialogovém okně Dokončení Průvodce instalací serveru pro směrování a vzdálený přístup klepněte na tlačítko Dokončit. Zobrazí se dialogové okno s upozorněním na nutnost instalace přenosového agenta DHCP. Klepněte na tlačítko Ano.

Rozdíl oproti předchozí konfiguraci je nyní v tom, že porty jsou automaticky nakonfigurované pro příchozí připojení a jejich počet je pro každý protokol 128. Konfigurace klientského počítače Připojení pomocí sítě VPN ověříme v místní síti z počítače PC001. Kromě standardního připojení pomocí místní sítě LAN tak přibude ještě jedno, které bude šifrované. 1. 2. 3. 4. 5.

Přihlaste se k počítači PC001. V okně Ovládací panely poklepejte na položku Síťová připojení. V levé části okna Síťová připojení klepněte na příkaz Vytvořit nové připojení. Spustí se Průvodce novým připojením. Klepněte na tlačítko Další. V dialogovém okně Typ připojení zaškrtněte políčko Připojit k firemní síti a poté klepněte na tlačítko Další. V dialogovém okně Síťové připojení zaškrtněte políčko Připojení k virtuální privátní síti a poté klepněte na tlačítko Další.


361

6.

V dialogovém okně Název připojení zadejte do pole Název společnosti název, pod kterým se bude toto připojení zobrazovat v seznamu všech připojení. Nemusí se tedy jednat o název společnosti, příkladem je název VPN do firmy. Poté klepněte na tlačítko Další. 7. Pokud v počítači PC001 existuje nakonfigurované telefonické připojení k síti, potom budete mít v dialogovém okně Veřejná síť možnost zadat, aby se před připojením pomocí sítě VPN vytočilo. Pokud nechcete toto připojení vytáčet (nyní v místní síti jej nevyužijeme), zaškrtněte políčko Nevytáčet počáteční připojení. Poté klepněte na tlačítko Další. 8. V dialogovém okně Výběr serveru VPN zadejte adresu IP serveru VPN. V našem případě 200.200.200.200. Obecně se jedná o adresu IP, kterou má vaše síť přidělenu pro připojení k Internetu. Pokračujte klepnutím na tlačítko Další. 9. V dialogovém okně Dostupnost připojení ponechte zaškrtnuté políčko Použití kýmkoli, pokud provádíte konfiguraci pro všechny uživatele daného počítače. Pokud chcete mít toto připojení pouze ve svém profilu, zaškrtněte políčko Pouze pro mne. Klepněte na tlačítko Další. 10. V dialogovém okně Dokončení Průvodce novým připojením máte možnost zaškrtnout políčko, které vytvoří zástupce připojení na ploše. Dialogové okno zavřete klepnutím na tlačítko Dokončit. Po vytvoření se připojení automaticky spustí. Zadejte jméno a heslo uživatele, který má oprávnění ke vzdálenému přístupu a poté klepněte na tlačítko Připojit. Nyní by mělo dojít k připojení pomocí sítě VPN. Pokud se připojení nezdaří, ověřte znovu konfiguraci serveru, nastavení portů protokolu PPTP pro příchozí volání, konfiguraci klientského počí-tače, případně filtrování paketů na rozhraní s adresou IP 200.200.200.200. Pokud se připojení podaří, můžete ověřit jeho funkčnost: 1. 2.

V počítači PC001 zobrazte stav právě aktivního připojení VPN. Klepněte na kartu Podrobnosti a všimněte si několika důležitých údajů: ♦ ♦

Název zařízení - určuje protokol, pomocí kterého je připojení realizováno (PPTP). Ověřování - MS CHAP V2 je velmi bezpečeným ověřovacím protokolem, který se zde použil k ověření uživatele.

♦ ♦

Šifrování — použitý algoritmus šifrování (MPPE 128). Adresa IP serveru a adresa IP klienta - adresy přidělené serverem DHCP.

Obrázek 26.9 Vlastnosti připojení VPN

Adresa IP klientského počítače a další přidělené parametry se musí zobrazit v místním počítači PC001 po zadání příkazu ipconfig /all. Pokud chcete ověřit, že šifrovaná komunikace pomocí sítě VPN je funkční, postupujte následovně: 1. Přihlaste se k počítači PC001 jako správci. 2. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte cestu UNC \\192.168.10.38 (adresa IP serveru VPN zjištěná výše uvedeným postupem). Mělo by se zobrazit okno aplikace Průzkumník Windows se sdílenými prostředky serveru SRVR002. Pokud se okno otevře, proběhla mezi počítači PC001 a SRVR002 úspěšně šifrovaná ko munikace. Připojení VPN bude aktivní tak dlouho, dokud jej uživatelé nepřeruší. Pokud máte v úmyslu nasadit připojení pomocí sítě VPN z prostředí Internetu (dosud jsme je otestovali pouze v místní síti), je třeba ověřit, případně nastavit ještě několik parametrů.

Adresy serverů DNS. WINS, případně další parametry protokolu IP Při konfiguraci připojení pomocí sítě VPN jsme určili, že adresu IP bude klientským počítačům udělovat server DHCP v místní síti. Jedná se ale pouze o adresu IP, nikoli dali) parametry protokolu IP. Klienti však potřebují například adresy IP serverů DNS, neboť v případě úspěšného připojení pomocí sítě VPN se stávají součástí místní sítě, ve které budou pravděpodobně pracovat s názvy počítačů tak, jak je znají v místní síti. Služba DNS, případně WINS, je tak pro tyto klienty také nutná.

Jak to vypadá v naší síti?


362

Vše podstatné říká dialogové okno vlastností serveru pro vzdálený přístup (viz obrázek 26.10). Obrázek 26.10 Karta Protokol IP vlastností serveru SRVR002

V horní části je uvedeno, že adresu IP budou klienti získávat od serveru DHCP. Není to zcela přesné vyjádření, neboť prakticky to vypadá tak, že server DHCP předá 10 adres IP serveru pro vzdálený přístup, který je následně přidělí klientům. Pokud rozsah vyčerpá, přidělí mu server DHCP další. Je tak zajištěno, že přidělování adres IP se nebude zdržovat při každém připojení komunikací se serverem DHCP. Ve spodní části dialogového okna je dále uvedeno, že adresy IP serverů DNS a WINS budou mít vzdálení klienti stejné, jako má uvedený adaptér (standardně se zde dosadí adaptér pro místní síť LAN). Ve většině případů to může vyhovovat, neboť interní adaptéry mívají nastavení, které je u všech počítačů stejné a mělo by být stejné také u vzdálených klientů. Může se ale stát, že nebudete mít k dispozici rozhraní, které by mělo tu správnou konfiguraci vhodnou pro vzdálené klienty. Tehdy musí přijít ke slovu konfigurace přenosového agenta DHCP, který zajistí předání správných parametrů z oboru serveru DHCP. Protože klientské počítače komunikují s externím síťovým rozhraním (v Internetu), je třeba, aby toto rozhraní bylo schopné předávat požadavky internímu serveru DHCP. To provedete podle následujících pokynů: 1. Přihlaste se k počítači SRVR002 jako správci a spusťte nástroj Směrování a vzdálený přístup. 2. Rozbalte položku serveru SRVR002 a pravým tlačítkem myši klepněte na položku Přenosový agent DHCP a poté v místní nabídce zvolte příkaz Nové rozhraní. 3. V dialogovém okně Nové rozhraní pro DHCP Relay Agent označte internetové rozhraní a poté klepněte na tlačítko OK. V dialogovém okně Vlastnosti správy přenosu DHCP zadejte v poli Mezní doba spouštění (sekundy) hodnotu 2 a klepněte na tlačítko OK. Rozhraní se přidá k položce Přenosový agent DHCP a uvidíte jej v pravém podokně konzoly. Hodnota 2 určuje, že pokud do dvou sekund neodpoví na požadavek klientského počítače žádný server DHCP, začne reagovat přenosový agent, který zajistí přenesení parametrů od serveru DHCP ke klientskému počítači. 4. Pravým tlačítkem myši znovu klepněte na položku Přenosový agent DHCP a v místní nabídce zvolte položku Vlastnosti. Do pole Adresa serveru zadejte adresu IP odpovídající adrese serveru DHCP ve vnitřní síti (v našem případě 192.168.10.2) a klepněte na tlačítko Přidat. Dialogové okno zavřete klepnutím na tlačítko OK. Vzdálené připojování cizích počítačů Připojení k síti VPN (stejně jako telefonická připojení) můžete navazovat také z počítačů, které nejsou standardně členy domény a jež tak nemají v doméně svůj účet. Při přihlašování z takových počítačů je tedy kromě jména a hesla uživatele nutné zadal také název domény. Je třeba tedy upravit nakonfigurované připojení a určit, jaký název domény budou uživatelé používat. Úprava konfigurace připojení Konfiguraci samotného připojení proveďte podle postupu uvedeného výše (kdy jsme konfigurovali připojení pomocí sítě VPN pro počítač PC001).


363

Poté postupujte následujícím způsobem: 1. Pravým tlačítkem myši klepněte na vytvořené připojení a zobrazte jeho vlastnosti. V dialogovém okně vlastností připojení klepněte na kartu Možnosti. 2. Zaškrtněte políčko Zahrnout dotaz na doménu a poté klepněte na tlačítko OK. 3. Pokud poté připojení spustíte, zobrazí se také pole pro zadání názvu domény. Jaký je správný název domény? Pokud se připojujete k síti s doménou Active Directory, můžete při připojení zadat název domény dvěma způsoby. Buď ve formátu DNS nebo ve formátu rozhraní NetBIOS. Název NetBIOS naší domény je STUDNY, název DNS je studny.local. Do hry však může při jít ještě jeden název - tím je název domény organizace Studny s.r.o. v Internetu. Musí být nutně jiný než název studny.local, neboť přípona local nepatří v Internetu mezi známé přípony. Pokud si uživatelé zvyknou zadávat v doménách Active Directory při přihlašováni' název domény ve formátu DNS, potom mohou řešit potíže, který z názvů použít. Udělejme si v tom jasno. Obrázek 26.11 Připojení VPN s možností zadat název domény

Uživatel musí zadat název domény, ve které je vytvořen účet, pomocí kterého se přihlašuje. S tím nemá internetová doména určená pro firemní prezentaci a e-mailové adresy žádnou souvislost. Při přihlášení je tak vždy nutné použít doménu STUDNY.LOCAL. Pro uživatele by bylo samozřejmě jednodušší, kdyby byl název vnitřní domény shodný 8 názvem internetová domény. Další informace o tom, proč se naše názvy liší (pokud předpokládáme, že organizace by měla své internetová stránky na adrese www.stud-ny.cz), byly uvedeny v kapitole 7, „Instalujeme doménu". Jde tak pouze o jejich zvyk, neboť místo adres IP pro připojení, kterou jsme při konfiguraci uvedli, lze využít také název DNS, například vpn.studny.cz.

Zabezpečení vzdáleného přístupu Protože se při vzdáleném přístupu využívajícím zejména síť VPN přenáší přes veřejnou síť Internet velmi citlivé informace, je třeba mít jasno v možnostech a úrovni jejich zabezpečení. První informace, které se mezi oběma počítači vyměňují, jsou přihlašovací jméno a heslo. Jejich zabezpečení je dáno použitím konkrétního ověřovacího protokolu.

Ověřovací protokoly Účelem ověřovacího protokolu je přenést veškeré informace týkající se ověření mezi klientským počítačem a serverem pro vzdálený přístup. V případě neúspěšného ověření se spojení nenaváže, v případě úspěšného ověření ano. Které ověřovací protokoly jsou pro náš případ k dispozici a jaké je jejich zabezpečení? ♦ PAP (Password Authentication Protocol) Tento ověřovací protokol přenáší heslo ve formě prostého textu. Ze všech ověřovacích protokolů je nejméně bezpečným a měl by se používat až jako poslední možnost pro klientské počítače, kle ré jiné protokoly neznají. Rozhodně jej však nelze doporučit pro přenášení hesel správců domény. ♦ SPAP (Shlva Password Authentication Protocol) Z pohledu zabezpečení je na tom podobně jako protokol PAP. Jeho hlavním účelem je umožnit produktům Shi va připojení ke vzdáleným serverům. ♦ CHAP (Challenge Handshake Authentication Protocol) Tento protokol zajišťuje bezpečné ověření způsobem, který nevyžaduje přenos


364

♦ ♦

♦

hesla. V doméně však vyžaduje méně bezpečný způsob uložení hesel uživatelů, kteří se chtějí pomocí tohoto protokolu ověřovat (hesla musí být uložena pomocí reverzibilního šifrování). MS CHAP (Microsoft Challenge Handshake Authentication Protocol) Imple mentace protokolu CHAP společnosti Microsoft. Zajišťuje bezpečné ověření všech klientů, kteří používají službu LAN manager. Je tak určen zejména pro připojení starších klientů se systémy Windows. MS CHAP v2 Verze 2 protokolu MS CHAP umožňuje bezpečné ověření klientu s operačními systémy Windows 2000 a vyššími. Zároveň zajišťuje oboustranné ověření, takže klientskému počítači se ověřuje také server pro vzdálený přístup. To je dobré pro případ, že by váš server někdo zosobnil svým vlastním a poskytoval vám při vzdáleném připojení zkreslené informace. EAP (Extensible Authentication Protocol) Jedná se o otevřený systém, který umožňuje jiným výrobcům vyvíjet své vlastní ověřovací protokoly. Protokol EAP tedy sám o sobě žádné ověření neprovede, ale je nutné k němu určit konkrétní metodu. Systémy Windows Server 2003 obsahují metody MD5-Challenge, Protec-ted EAP a TLS. Metoda TLS se například využívá při ověřování přihlášení pomoci karty Smart Card.

Aby se konkrétní protokol ověření dal použít, musí být k dispozici na obou stranách spo jení - na serveru pro vzdálený přístup i v klientském počítači. Protože je možné nakonfigurovat protokolů více, potom je-li to tak, zkouší se pořadí od těch nejvíce po ty ne) méně bezpečné. Systém Windows Server 2003 také umožňuje přístup vzdálených počítačů bez ověřeni Protože se však v takovém případě může k síti připojit kdokoli, o tomto řešení raději ne uvažujte. Konfigurace ověření na straně serveru Při konfiguraci serveru pomocí průvodce nebyla o ověření ani zmínka. Server si tak nakonfiguroval některé protokoly sám. Pokud chcete výchozí konfiguraci změnit, postupujte podle následujících pokynů: 1. Přihlaste se k počítači SRVR002 jako správci a spusťte nástroj Směrování a vzdálený přístup. 2. Pravým tlačítkem myši klepněte na položku serveru (SRVR002) a zobrazte jeho vlastnosti. Na kartě Zabezpečení poté klepněte na tlačítko Metody ověřováni. Zob razí se stejnojmenné dialogové okno, ve kterém jsou zaškrtnuty povolené ověřo vací protokoly. Obrázek 26.12 Výchozí nastavení metod ověřování

To, co v dialogovém okně vidíte, je výchozí nastavení ověřovacích protokolů - MS CHAP, MS CHAP v2 a EAP. Aby se klienti byli schopni ověřit, musí to provést pomocí alespoň jednoho z uvedených protokolů. Jak to vypadá na straně klienta? Konfigurace ověření na straně klienta Zatímco na straně serveru se při konfiguraci předpokládají znalosti správců, u klientů K musí předpokládat znalosti uživatelů. Konfigurace jakéhokoli připojení se také obejde bez dotazů na metody ověřování, ale ověřování je potom shrnuto slovy jako „požadovat zabezpečené heslo" apod. Uživatelům to jistě řekne více, než kdyby tam stálo MS CHAP v2. I zde je však možnost provést pokročilejší konfiguraci pomocí jednotlivých protokolů: 1. Přihlaste se k počítači PC001. 2. Zobrazte vlastnosti nakonfigurovaného připojení VPN. Na kartě Zabezpečení bude zaškrtnuté políčko Typické nastavení (doporučeno). Co takové „typické" nastavení znamená? 3. Zaškrtněte políčko Upřesnit nastavení a poté klepněte na tlačítko Nastavení. Zobrazí se dialogové okno Upřesnit nastavení zabezpečení obsahující výchozí nastavení ověřovacích protokolů - MS CHAP a MS CHAP v2. Pokud nyní uděláte průnik obou nastavení, zjistíte, že možné protokoly ověření jsou MS CHAP a MS CHAP v2. V předchozím případě, kdy jsme testovali připojení pomocí sítě VPN, se počítač ověřil pomocí protokolu MS CHAP v2, neboť ten je bezpečnější než MS CHAP.


365

Obrázek 26.13 Výchozí možnosti ověření v klientských počítačích

Zabezpečení telefonického připojení Po úspěšném ověření přihlášení uživatele ze vzdáleného počítače dojde ke spojení se serverem a může proběhnout výměna dat. U telefonického připojení existují ještě další možnosti, jak toto připojení zabezpečit. Vesměs se jedná o možnosti zpětného volání (Call-back). Funkce zpětného volání pracuje tak, že po přihlášení uživatele odpojí jeho relaci a podle nastavení ve vlastnostech příslušného uživatelského účtu vytočí konkrétní telefonní číslo zpět. Náklady na připojení tak hradí společnost. Zpětné volání může mít několik podob (viz obrázek 26.14): ♦ ♦ ♦

Bez zpětného volání Po ověření uživatele se spojení nepřeruší a pokračuje se v komunikaci, dokud ji uživatel nepřeruší. Náklady jdou samozřejmě na vrub uživatele. Získané od volajícího V takovém případě je uživatel po ověření vyzván k zadání telefonního čísla, které poté server vytočí a naváže spojení. Náklady jdou na vrub společnosti. Zpětné volání vždy na číslo Po ověření uživatele se spojení přeruší a server okamžitě vytáčí číslo, které je zadané v tomto poli.


366

Obrázek 26.14 Možnosti zpětného volání ve vlastnostech uživatelského účtu

Možnost, kterou zvolíte, záleží zejména na úrovni zabezpečení (vzpomeňte na míru rizika). Pokud se budou například připojovat pouze vaši uživatelé, je možné jejich účty nakonfigurovat tak, aby si sami zadali číslo, které server vytočí při zpětném volání. Pokud ovšem povolíte vzdálený přístup do své sítě externím organizacím (například obchodním partnerům), je třeba se nad konfigurací zamyslet. Jak to může v praxi vypadat, uvádí následující případ: Svému obchodnímu partnerovi vytvoříte standardní doménový účet a povolíte mu vzdálený přístup pomocí telefonického připojení. V rámci dobrých vztahů budete krýt náklady spojení, takže nakonfigurujete zpětné volání tak, aby si uživatel mohl zadat vždy telefonní číslo. Zástupce partnera, kterému jste předali příslušné informace včetně přihlašovacího jména a hesla, seznámí s novým stavem po návratu do firmy své kolegy a přihlašovací jméno, heslo a telefonní číslo vyvěsí na nástěnku - proč ne, vždyť přístup bude využívat více pracovníků, nejen on sám. Takovéto informace na nástěnce ale může zhlédnout i jakýkoli kolemjdoucí, který nemusí mít s firmou vašeho partnera nic společného - mohl být pouze u někoho na soukromé návštěvě. Pokud z domova přístup vyzkouší, potom se připo-jí a dokonce může zadat telefonní číslo, na které mu server sám zpět zavolá. Poté může například využít vašich prostředků k celonočnímu procházení Internetu, případně pokusil se o útok na vaši síť. Situace tedy není tak růžová, jak na první pohled může vypadat. Pokud chcete tento pří pad více zabezpečit, musíte zvolit druhou možnost zpětného volání - zpětné volání vždy na stejné číslo. Případnému kolemjdoucímu tak zhlédnuté jméno a heslo nebudou k ničemu, neboť po připojení a přihlášení z domova přeruší server spojení a začne vyzváněl v dané společnosti. Mimo jiné se tak ve firmě mohou dozvědět, že někdo zcizil přihlašo vací jméno a heslo. Další možností zabezpečení je použití políčka Ověřit ID volajícího. To je k dispozici pouze v nativním režimu Windows 2000 nebo v režimu Windows Server 2003 domény. Do tohoto pole (viz obrázek 26.14) se zadá telefonní číslo, ze kterého musí uživatel volat, přičemž se tato hodnota stává součástí procesu ověření. Pro její využití je však nutné, aby tuto funkci podporovaly telefonní systémy.

Další zabezpečení vzdáleného připojení Bez ohledu na typ připojení (telefonické, VPN) je možné je ještě dále zabezpečit. V dialogovém okně vlastností uživatelského účtu jsou na kartě Telefonické připojení standardně možnosti Povolit přístup a Odepřít přístup. To však ve větších sítích nebo v sítích s velmi rozdílnými typy uživatelů nevyhovuje. Oddělení zabezpečení infrastruktury může například požadovat, aby měli uživatelé obchodního oddělení povolen vzdálený přístup pouze během pracovních hodin, zatímco správci mohou přistupovat neomezeně. Nebo může požadovat, aby uživatelé připojující se pomocí modemů měli časově omezený přístup, zatímco uživatelé přistupující pomocí sítě VPN přes síťové karty (trvale připojení k Internetu) měli neomezený přístup. Možností je celá řada, ale pouhá dvě výše zmíněná nastavení na to nestačí. Potřebujeme k tomu zpřístupnit položku Řídit přístup pomocí zásad vzdáleného přístupu, což však znamená povýšit úroveň funkčnosti domény. Pokud v doméně nemáte řadiče domény se systémem Windows NT 4.0 (což náš případ jistě není), je možné tento krok provést bez obav: 1. 2.

Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. Pravým tlačítkem myši klepněte na položku domény (studny.local) a v místní nabídce zvolte příkaz Zvýšit úroveň funkčnosti domény. Zobrazí se dialogové okno Zvýšit úroveň funkčnosti domény. V jeho horní části je zobrazena aktuální úroveň, ve spodní části pak vyšší


367

3. 4.

úrovně. V dialogovém okně vyberte položku Windows 2000 native a poté klepněte na tlačítko OK. Po zobrazení zprávy o tom, že změna ovlivní celou doménu, klepněte na tlačítko OK. Poté se zobrazí informace, že úroveň funkčnosti byla zvýšena. Jedná se o nevratný proces. Klepněte na tlačítko OK.

Pokud nyní zobrazíte vlastnosti uživatelského účtu, budete moci na kartě Telefonické připojení zaškrtnout políčko Řídit přístup pomocí zásad vzdáleného přístupu. Tím do hry vstupují další mechanismy zabezpečení, které se nazývají Zásady vzdáleného přístupu a jež naleznete v konzole Směrování a vzdálený přístup. Obrázek 26.15 Zvýšení úrovně funkčnosti domény

Zásady vzdáleného přístupu Ve výchozím nastavení existují dvě zásady vzdáleného přístupu. Každá zásada sestává ze tři částí: podmínky, rozhodnutí o přístupu a profilu. V podmínkách se určuje, co všechno musí vzdálený počítač či uživatel splňovat, aby se ho daná zásada vůbec týkala. Je možné například využít informace o členství uživatele ve skupinách, aktuální čas, typ služby, kterou vzdálený uživatel požaduje, nebo například ověřovací protokol, kterým se uživatel ověřuje. Příkladem podmínky může být následují-cí: Každý uživatel, který je členem skupiny Domain Admins, připojuje se v rozmezí 8. až 16. hodiny a používá síť VPN s protokolem PPTP. Pokud uživatel splní podmínku či podmínky (může jich být i více, potom musí splnit všechny), přichází na řadu rozhodnutí, zda bude připojení povoleno či nikoli. To určuje Zásada ve své spodní části (viz obrázek 26.16). V uvedeném příkladu bude přístup v případě splněných podmínek odepřen. Poznámka Zásada uvedená na obrázku je jednou z výchozích zásad vzdáleného přístupu v systému Windows Server 2003 a jedinou výchozí zásadou v systému Windows 2000 Server. Odepření přístupu je zde proto, aby žádný uživatel bez předchozího zásahu správce neměl oprávnění k přístupu. Pokud by byl přístup povolen, přichází na řadu třetí část zásady, kterou je profil. Jeho vlastnosti můžete zobrazit po klepnutí na tlačítko Upravit profil ve vlastnostech zásady vzdáleného přístupu. Profil může obsahovat další informace, které mohou relaci ještě více zabezpečit (například úroveň šifrování nebo ověřovací protokol), případně relaci zakážou (pokud klientský počítač nesplňuje požadavky profilu). V menších sítích se z profilu využívají pouze omezení, například jak dlouho může být klient připojen.


368

Obrázek 26.16 Zásada vzdáleného přístupu

Po prvním seznámení se zásadami vzdáleného přístupu můžete být poněkud rozčarováni. Ano, je nutné říci, že zde existuje hodně možností konfigurace, které mohou připojení zabezpečit nebo také zakázat, a navíc je nutné velmi dobře pochopit pořadí, v němž se jednotlivé části mechanismu ověření a navázání relace vzdáleného připojení provádějí. Uveďme si případ: Jako správci budete chtít zabezpečit vzdálený přístup následovně: ♦ ♦

Všichni uživatelé se mohou připojovat pomocí sítě VPN kdykoli. Kromě toho může pouze obchodní oddělení využít telefonické připojení, pouze však v pracovní době (8-16 hodin).

Postup konfigurace bude následující: ♦ ♦ ♦

Konfigurace všech uživatelských účtů pro telefonické připojení na základě zásad. Konfigurace zásad vzdáleného přístupu. Ověření konfigurace.

Konfigurace uživatelských účtů 1. 2.

Přihlaste se k počítači SRVR001 jako správci a spusťte konzolu Uživatelé a počítače služby Active Directory. U všech uživatelů zaškrtněte na kartě Telefonické připojení políčko Řídit přístup pomocí zásad vzdáleného přístupu.

Konfigurace zásad vzdáleného přístupu 1. 2.

Přihlaste se k počítači SRVR002 jako správci a spusťte nástroj Směrování a vzdálený přístup. Rozbalte položku serveru SRVR002 a pravým tlačítkem myši klepněte na položku Zásady vzdáleného přístupu. V místní nabídce poté klepněte na příkaz Nové zásady vzdáleného přístupu. Spustí se průvodce vytvořením zásady vzdáleného přístupu. Pokračujte klepnutím na tlačítko Další. 3. V dialogovém okně Metoda konfigurace zásad zadejte do pole Název zásady název Obchodní oddělení — telefonický přístup. Poté klepněte na tlačítko Další. 4. V dialogovém okně Metoda přístupu zaškrtněte políčko Vytáčený a poté klepněte na tlačítko Další. 5. V dialogovém okně Přístup uživatele nebo skupiny ponechte zaškrtnuté políčko Skupiny a klepněte na tlačítko Přidat. V seznamu doménových skupin poté přidejte skupiny G Obchod běžní a G Obchod zkušení a klepněte na tlačítko OK. Pokračujte klepnutím na tlačítko Další.


369

Obrázek 26.17 Dialogové okno Přístup uživatele nebo skupiny

6. 7.

V dialogovém okně Metody ověřování ponechte zaškrtnuté políčko MS CHAP v2 a klepněte na tlačítko Další. V dialogovém okně Úroveň šifrování zásady ponechte zaškrtnutá políčka šifrování, která vyžadují klientské počítače. Pokud máte klientské počítače se systémy Windows 2000 a vyšší, můžete ponechat pouze 128bitové šifrování. Pokračujte klepnutím na tlačítko Další. 8. V dialogovém okně Dokončení Průvodce vytvořením zásady vzdáleného přístupu si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. Poznámka Možná jste si všimli, že jsme zde udělili přístup globálním skupinám. To je záležitost, která zdaleka nesedí s doporučeními týkajícími se strategie udělování oprávnění. Zde si ale nepomůžeme. Omezení systému říká, že doménové skupiny zde není možné použít. Druhou zásadu nakonfigurujeme obdobným způsobem. 1. 2. 3. 4. 5. 6. 7.

Pravým tlačítkem myši klepněte na položku Zásady vzdáleného přístupu. V místní nabídce poté klepněte na příkaz Nové zásady vzdáleného přístupu. Spustí se průvodce vytvořením zásady vzdáleného přístupu. Pokračujte klepnutím na tlačítko Další. V dialogovém okně Metoda konfigurace zásad zadejte do pole Název zásady název Všichni — přístup VPN. Poté klepněte na tlačítko Další. V dialogovém okně Metoda přístupu zaškrtněte políčko Pomocí sítě VPN a poté klepněte na tlačítko Další. V dialogovém okně Přístup uživatele nebo skupiny zaškrtněte políčko Uživatelé a poté klepněte na tlačítko Další. V dialogovém okně Metody ověřování ponechte zaškrtnuté políčko MS CHAP v2 a klepněte na tlačítko Další. V dialogovém okně Úroveň šifrování zásady ponechte zaškrtnutá všechna políčka. Pokračujte klepnutím na tlačítko Další. V dialogovém okně Dokončení Průvodce vytvořením zásady vzdáleného přístupu si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit.

V konzole Směrování a vzdálený přístup by nyní měly být čtyři zásady vzdáleného přístupu - dvě výchozí a dvě nakonfigurované. Zásady mají své pořadí, které je velmi důležité. Na prvním místě musí být zásada Všichni - připojení VPN a na druhém zásada Obchodní oddělení - vzdálený přístup. Pořadí výchozích zásad není podstatné, neboť obě zakazují uživatelům přístup. Ověření konfigurace Na tomto místě není podstatné podrobně popisovat konfiguraci jednotlivých připojení a následné (ne)připojení konkrétních uživatelů. Mnohem zajímavější jistě bude vysvětlení cesty, kterou přihlášení uživatele postupuje. Podstatné nyní je, že všichni uživatelé mají nakonfigurované vzdálené připojení podle zásad. Postup vzdáleného připojení jakéhokoli uživatele pomocí sítě VPN vypadá takto: 1. Uživatel se připojí a ověří protokolem MS CHAP v2. 2. Systém se podívá do vlastností uživatelského účtu, kde zjistí, že vzdálený přístup se řídí zásadami vzdáleného přístupu. 3. Vezme se tak první zásada vzdáleného přístupu (Všichni - přístup VPN) a porovnají se její podmínky se skutečností - protože se jedná o připojení VPN, jsou pod minky této zásady splněny a přístup bude řídit ona. Protože má nakonfigurováno povolení přístupu, uživatel může postoupit dále. 4. Systém projde konfiguraci profilu této zásady. Ten může obsahovat pouze 128bi-tové šifrování (pokud jste tuto konfiguraci v průvodci provedli). Pokud tedy klient tuto podmínku splňuje, dojde k připojení.


370

Postup vzdáleného připojení uživatele obchodního oddělení pomocí modemu bude následující: 1. 2. 3. 4.

Uživatel se připojí a ověří protokolem MS CHAP v2. Systém ve vlastnostech uživatele zjistí, že vzdálený přístup se řídí pomocí zásad vzdáleného přístupu. Připojení nesplňuje podmínky první zásady - nejedná se o připojení pomocí sítě VPN. Proto se přejde k další zásadě. Podmínky druhé zásady jsou splněny - jedná se o připojení pomocí modemu (asynchronního nebo ISDN) a uživatel je členem jedné ze skupin obchodního oddělení. 5. Zásada povoluje přístup, takže zbývá vyhodnotit její profil. Uživatele může opět omezit pouze nedostatečná úroveň šifrování klientského operačního systému. V opačném případě se uživatel připojí. Pokud by uživatel využívající k připojení modem nebyl členem žádné ze skupin obchodního oddělení, pokračovalo by se k dalším zásadám. Protože splňuje podmínky obou (Připojení k serveru Microsoft Routing and Remote Access a Připojení k ostatním serverům pro přístup), použije se pro vyhodnocení přístupu pouze první z nich. Ta však říká, že přístup je odepřen. Uživatel by tedy připojení nenavázal, ani by nedošlo k vyhodnocení profilu zásady.

Proč existují výchozí zásady? V praxi se může stát, že zásady nebudete vůbec využívat, neboť doména bude v režimu Windows 2000 mixed nebo jednoduše nebudete mít žádnou potřebu oprávnění ke vzdálenému přístupu dále konfigurovat. Jednoduše vám bude stačit konfigurace má či nemá přístup. Potom je celkem namístě otázka, proč existují výchozí zásady. Je j i c h existence je opodstatněná a vychází z návrhu celé filozofie vzdáleného přístupu v systémech Windows 2000 Server a Windows Server 2003. POZOR! Přesto, že nikdy nevyužijete ve vlastnostech uživatelského účtu možnost řídit přístup pomocí zásad vzdáleného přístupu, alespoň jednu zásadu pro přístup potřebujete (nejlépe takovou, jejíž podmínky splňují všichni uživatelé). Bez její existence by se žádný z uživatelů nepřipojil přesto, že bude mít vzdálený přístup povolen! Pro přehlednost je na obrázku 26.18 uveden úplný postup pro vzdálené připojení. Do vyhodnocení oprávnění ke vzdálenému přístupu zasahuje velmi mnoho nastavení. Pokud máte více různých požadavků na přístupy pomocí telefonického připojení nebo sítě VPN, je třeba vše velmi podrobně naplánovat, určit několik konkrétních případů a projít si poté všechny připravené zásady. Pouze tak zjistíte, zda jste nic neopomněli a zda nemohou získat přístup uživatelé, kteří jej mít například v danou dobu nemají.


371

Uložení zásad vzdáleného přístupu Zásady vzdáleného přístupu jsou vždy uloženy v místním počítači. Pokud byste tedy někdy potřebovali nakonfigurovat další server pro vzdálený přístup, je nutné všechny zásady nakonfigurovat znovu v novém serveru. Pokud je prostředí ještě více složitější (více serverů pro vzdálený přístup), může být řešením konfigurace serveru RÁDIUS, v implementaci společnosti Microsoft nazývaný IAS (Internet Authentication Service). Ten je |)(i tom centrálním místem pro ověřování přístupů a také pro definici zásad vzdáleného přístupu.

Závěr Pokud to aplikace a další okolnosti umožňují, nemusí někteří uživatelé (správce nevyjí maje) neustále sedět v práci u svého počítače, ale mohou ji vykonávat vzdáleně. K tomu však potřebují zajistit vzdálený přístup k síti. Cílem správců je nakonfigurovat vzdálený přístup tak, aby vyhovoval uživatelům a byl zabezpečen. To se týká jak informací nutných k ověření uživatelů, tak dat, která se vyměňují mezi sítí a daným počítačem. Jednou z možností vzdáleného přístupu je telefonické připojení využívající modem. Ten potom musí být na obou stranách, v případě připojování více uživatelů je třeba na straně serveru používat modemové pole. Výhodou telefonického připojení je relativně vysoké zabezpečení, jeho podstatnou nevýhodou cena. Druhou možností vzdáleného připojení je využití virtuální privátní sítě. K tomu je nejprve třeba získat připojení k Internetu, neboť virtuální privátní síť využívá k propojení počítačů právě Internet. Protože je Internet prostředím pro přenos citlivých dat velmi nebezpečným, zajišťuje virtuální privátní síť dostatečný stupeň jejich zabezpečení pomocí šifrování. Využívá k tomu bud své vlastní šifrování MPPE (to je případ spojení pomocí protokolu PPTP) nebo šifrování protokolu IPSec (to je případ spojení pomocí protokolu L2TP). Kromě konfigurace serveru pro vzdálený přístup je třeba z pozice správce dále nakonfigurovat vlastnosti uživatelských účtů. V doméně Active Directory v režimu Windows 2000 mixed máte pouze dvě možnosti - povolit či zakázat vzdálené připojení. V režimu Win-dows 2000 native nebo Windows Server 2003 máte navíc ještě možnost řídit připojení pomocí zásad vzdáleného přístupu. Právě tady je možnost dále rozdělit různé případy přistupu například podle členství ve skupinách, přístupové technologie nebo podle denní doby. Zásady vzdáleného přístupu jsou však velmi důležité bez ohledu na úroveň funkčností domény - jestliže žádná zásada neexistuje, nebude povolen vzdálený přístup Žádnému uživateli přesto, že doména může být v režimu Windows 2000 mixed a uziva-tel může mít vzdálený přístup povolen. Po úspěšném připojení se počítač stává standardní součástí sítě a uživatel tak může podle svých oprávnění a práv využívat veškeré prostředky sítě podobně, jako kdyby byl přihlášen k síti místně.

Stav sítě V síti je nyní nakonfigurován vzdálený přístup pomocí telefonického připojení i pomocí sítě VPN. Serverem pro vzdálený přístup je počítač SRVR002, v počítači PC001 bylo nainstalované (a ověřené) klientské připojení pro síť VPN. Úroveň funkčnosti domény byla zvýšena na Windows 2000 native, aby bylo možné využívat možnost vzdáleného přístupu podle zásad vzdáleného přístupu. Poté byly vytvořeny dvě zásady. První umožňuje připojení všem uživatelům pomocí sítě VPN v jakoukoli dobu, druhá navíc umožňuje uživatelům z obchodního oddělení připojit se kdykoli pomocí modemu. Všichni uživatelé v doméně mají ve vlastnostech telefonického připojení nakonfigurovaný přístup podle zásad vzdáleného přístupu.


372

Firma zřizuje pobočku A je to tady. Organizace Studny s.r.o. zřizuje pobočku. S tím samozřejmě souvisí také rozvoj sítě, což bývá úkol pro správce. Otázek je v této oblasti poměrně dost: Kolik bude v nové lokalitě počítačů? Kolik uživatelů? Jak rychlé bude spojení? Bude třeba dát do lokality další server nebo bude postačovat stahování informací ze stávajícího? Co přihlašování uživatelů? Jak dlouho bude trvat? Co se stane v případě, kdy dojde k přerušení konektivity mezi pobočkou a centrálou? Budou moci uživatelé pracovat? Budou se moci přihlásit? Samotné zřízení pobočky je proces z hlediska technického zajištění poměrně náročný. Pokud se však dopředu vše dobře připraví, nemusí to zdaleka být tak hektické. Práce je však z pohledu správce sítě poměrně dost a dost je i otázek. Tato kapitola poskytuje na drtivou většinu otázek odpovědi a ukazuje možnosti konfigurace domény pro více poboček.

Bude muset firma přijmout dalšího správce? Není správce jako správce. Již dříve jsme v této knize řešili, že někteří správci si nechávají na svá bedra nahrnout spoustu povinností, aby pak v práci trávili večery a noci jen za účelem udržení sítě v chodu. Někteří mají dobrý pocit, že zvládají více různých činností, jiní začnou být po čase nešťastní z toho, že musí dělat příliš mnoho věcí najednou. Přitom se obě části blíží zhruba do stejného bodu a je jen otázkou, kdo z nich tam bude jako první a kdo poslední. Poté zjistí, že sice dělají spoustu různé práce (od výměny hardwaru uživatelům přes řešení jejich základních potíží s aplikacemi až po správu domény), ale nic z toho není lOOprocentní. Ono to totiž dost dobře nejde. Vrhnout na takového správce práci týkající se plánování připojení, funkce a správy nové pobočky je poměrně značné hazardérství, neboť lakový člověk nemá téměř žád ný čas ani na plánování ve svém blízkém pracovním okolí, natož aby disponoval potřebnými znalostmi pro návrh sítě a vše, co s tím souvisí, do nové pobočky. Pokud má společnost správce, který se opravdu stará o správu domény a konkrétní potíže uživatelů jdou mimo něj (řeší je například oddělení podpory uživatelů), potom je velmi pravděpodobné, že bude schopen sám naplánovat i zajištění nové pobočky, neboť si na to nějaký čas najde. Jak to ale bude vypadat se správou nového prostředí poté, co pobočka zahájí činnost?

Oddělení podpory uživatelů V oddělení podpory uživatelů bývá počet správců obvykle jednoduchou matematickou záležitostí. Zda bude třeba toto oddělení rozšířit tak závisí na počtu nových uživatelů v nové pobočce. Pracovníky oddělení podpory uživatelů bych však rozhodně nenazýval správci sítě - jejich práce je přece jen o něčem trochu jiném.

Správci sítě Pokud si jako správce sítě představíme osobu starající se o konfiguraci a správu domény, případně o správu síťových infrastrukturních služeb, není vznik nové pobočky rozhodně důvodem pro automatické přijetí dalšího správce. Uvést přesný poměr uživatelů na jediného správce není dost dobře možné, neboť náplň práce jednotlivých správců se i přes relativně jasné zaměření liší. V praxi se tak lze na jedné straně setkat s prostředími, kde na 40 uživatelů připadá 5 správců, a ti si ještě jednou za čas vypomáhají externími konzultanty, na druhé straně pak s prostředími, kde jeden správce připadá na několik set uživatelů a vše jede bez potíží. Velký rozdíl zde hraje konfigurace a využívání možností domény Active Directory, případně dalších služeb. Kdo například nevyužívá dostatečně možnost objektů zásad skupiny, delegování řízení nebo například zautomatizované postupy pro vytváření nových účtů a jejich přidávání do skupin, bude mít při větším jednorázovém rozšíření organizace takřka existenční potíže. Naopak, kdo je dopředu velmi dobře připraven, využívá všech možností a pečlivě celou síť dokumentuje, toho nemůže ani větší jednorázové rozšíření zaskočit. Předchozí kapitoly ukázaly drtivou většinu možností domény Active Directory, které pokud jsou implementovány a dokumentovány, budou vás řadit do té „lepší" skupiny správců, jež chodí včas z práce, má klidné noci a žádné rozšiřování sítě ji nemůže rozhodit. A zároveň můžete zůstat klidní, neboť vaše oddělení se nebude muset rozšiřovat a vedle vás se tak dlouhou dobu nepostaví žádný přímý konkurent.

Bude nová pobočka potřebovat řadič domény? V předchozí části jsme vyřešili lidské zdroje, nyní pojďme ke strojům. Řadič domény udržuje doménu Active Directory a provádí ověřování počítačů a uživatelů a poskytuje jim objekty zásad skupiny. To znamená, že s řadičem domény komunikuje každý počítač přisvém spuštění a přihlášení uživatele a poté v pravidelných intervalech. Pokud je mezi řadičem domény a počítačem, ke kterému se přihlašuje uživatel, pomalé spojení, mohou se v síti objevit potíže. Uživatelé si budou stěžovat na pomalý proces při hlasování, případně na pomalost dalších síťových služeb, a správci za čas zjistí, že někte rým uživatelům se neaplikují veškeré zásady skupiny tak, jak předpokládali, že se apliko vat budou. Na obou stranách se tak může objevit nervozita, ze které musí vyjít zásah do sítě, jenž potíže vyřeší. V takovém prostředí se však rozhoduje velmi špatně, někdy se ani správci nedočkají těch správných nápadů. Zde tedy znovu platí, že vše je třeba velmi pečlivě dopředu naplánovat.


373

Pomalé spojení nelze brát za pomalé pouze při pohledu na jeho rychlost deklarovanou (případně potvrzenou měřením) poskytovatelem připojení mezi pobočkou a centrálou. Spojení může mít rychlost například 1 Mb/s, přesto však může být velmi pomalé, neboť bude vytíženo například internetovým provozem. Naproti tomu spojení o rychlosti 128 kb/s může být pro uživatele v některých případech rychlejší. Vzpomeňte si ale na aplikaci jednotlivých částí objektů zásad skupiny! Mezní rychlostí pro pomalé spojení, při kterém se jich zhruba polovina neaplikuje, je standardně rychlost 500 kb/s. Obecně platí, že pokud v síti existují počítače, které jsou připojeny pomalým spojením, měly by mít vlastní řadič domény. Za pomalé spojení udávají některé zdroje hodnotu 1,5 Mb/s (to ale spíše ty americké), jiné na to jdou „od lesa" a jako pomalé označují každé připojení, které je pomalejší než rychlost místní sítě LAN (jíž je ve většině případů 100 Mb/s). Jestliže máte nebo budete mít pobočku, ve které je nejvíce 5 uživatelů, je třeba pečlivě zvážit, zda je nutné instalovat pro jejich potřeby další řadič domény. V takto malých prostředích se jedná o relativně velkou investici, která se nemusí uspokojivě vrátit. Jestliže máte v pobočce více než 5 uživatelů, rozhodně lze další řadič domény doporučit. Potom se z něj totiž stane také souborový server, server DNS, server pro ukládání přesměrovaných složek dokumentů uživatelů a tak dále. Jako správci domény tak budete bez starostí, neboť procesy týkající se ověření a jakékoli další práce s řadičem domény budou rychlé a uživatelé si nebudou stěžovat. Pro připravovanou pobočku v našem případě tedy budeme s dalším řadičem domény počítat.

Jak probíhá replikace doménových informací? V okamžiku, kdy do stejné domény nainstalujete další řadič domény, mohou si klientské počítače vybrat, kdo ověří jejich požadavky a přihlašované uživatele. To znamená, že nový řadič musí mít k dispozici úplně stejné informace jako řadič původní, aby byl schopen požadavkům klientských počítačů vyjít vstříc. Musí mít tedy k dispozici takzvanou repli ku doménové databáze Active Directory. Nové objekty (uživatele, skupiny, počítače a další) lze vytvářet na jakémkoli řadiči domé ny. Ten zjistíte v konzole Uživatelé a počítače služby Active Directory, kde je jeho úplný doménový název zobrazen hned vedle položky se stejným názvem. Poté, co objekt vytvoříte, se musí replikovat na všechny ostatní řadiče domény. Kdy se tak stane záleží na topologii celé sítě a fyzické reprezentaci sítě zachycené v doméně Active Directory.

Sítě (sídla) Pro úplné pochopení dále uvedených informací o replikacích mezi řadiči domény je třeba seznámit se s pojmem dosud v této knize nezmíněným (nebo možná zmíněným, ale dále neprobíraným), kterým je Síť. Ne síť tak, jak ji správci v první chvíli pochopí, ale jako objekt reprezentující v doméně Active Directory fyzické rozložení sítě. Slovíčko síť není zcela přesné. V originále se jedná o Sítě, což by v překladu do českého jazyka bylo možná ještě nepřesnější. Společnost Microsoft se však rozhodla pro tuto lokalizaci, takže se s pojmem síť setkáme také v tomto smyslu. Nic si z toho nedělejte, dá se na to velmi rychle zvyknout. Síť se definuje jako rychlé propojení počítačů. Pokud tedy máte v centrále všechny počítače v místní síti s rychlostí 100 Mb/s, jedná se z pohledu domény Active Directory o jednu síť. Pokud k tomu přibude nová pobočka, která bude k centrále připojená například linkou 128 kb/s, vzniká vlastně další nová síť. Síť by však nebyla sítí bez dalšího řadiče domény. Teprve tento počítač dodá síti veškeré vlastností a z pohledu domény Active Directory hlavně možnosti. Zkrátka řečeno - zajistí bezproblémový a rychlý chod sítě pobočky. Právě na umístění řadičů domény ve stejných či jiných sítích závisí způsob replikace doménových informací. Je to celkem logické - máte-li mezi pobočkou a centrálou pomalé spojení (například 64 kb/s), jež je celý den téměř 100procentně zatíženo důležitými daty obchodních aplikací, nebudete jej pravděpodobně chtít navíc zatěžovat replikací doménových informací, které pro pobočku nejsou ani podstatné. Informace o novém uživatelském účtu v centrále pro pobočku jistě nebude tak důležitá, aby se musela repliko-vat v nejbližších minutách. Naproti tomu řadiče domény umístěné ve stejné síti si musí doménové informace vyměňovat rychle. Jak by to asi vypadalo, pokud byste vytvořili uživateli nový účet, vyzvali jej k přihlášení a server by mu odpověděl, že tento účet nezná? V rámci sítě totiž nikdy nelze přesně určit, který řadič domény se chopí své role, takže co nejrychlejší replikace podstatných informací je zde velmi důležitá.

Replikace v rámci sítě (pobočky) Pokud budete mít ve stejné síti řadiče domény se systémem Windows Server 2003 (předpokládejme řadiče A, B, C a D), bude replikace probíhat takto: ♦ ♦ ♦

Na serveru A vytvoříte například nový uživatelský účet. Server A vyčká 15 sekund a poté upozorní prvního replikačního partnera. Poté mu odešle informaci o tom, že jeho doménová databáze se změnila. Pokud má repli-kačních partnerů více, počká mezi každým odesláním 3 sekundy. Servery B, C a D (pokud jsou replikačními partnery serveru A) přijmou informaci o aktualizaci domény a požádají server A o stažení změn. Server A tento požadavek přijme a umožní stažení změn.

Poznámka Pomocí 3 sekund vyčkávání se řadič domény brání svému zatížení, pokud by se na něj obrátilo více řadičů domény najednou. Dá se tedy říci, že pokud například vytvoříte nový uživatelský účet, bude k dispozici u prvního replikačního partnera přibližně za 15 sekund. Za jak dlouho bude na všech I:I dičích domény, závisí na vytvořené replikační topologii.

Replikační topologie


374

Replikační topologii vytváří automaticky součást KCC (Knowledge Consistency Checker). Ta se spouští každých 15 minut, prochází řadiče domény v každé síti a vytváří mezi nimi objekty propojení. Tvoří tak replikační topologii, která není mezi dvěma náhodně vybranými servery nikdy delší než 3 směrování. Převedeno do řeči čísel to znamená, že jakákoli změna v doméně bude na všech řadičích v síti k dispozici nejdéle za něco málo přes 45 sekund. Poznámka Řadiče domény se systémy Windows 2000 mezi sebou v rámci sítě replikují doménové informace každých 5 minut. Tento interval byl v systému Windows Server 2003 silně zkrácen. Interval 15 sekund týkající se replikace nelze upravit. Je nutné se s tím smířit a vycházet z tohoto stavu. Kromě běžných replikací však v doméně existují také takzvané urgentní replikace, které se provádějí okamžitě. Příkladem replikace je také uzamčení uživatelského účtu. Není se co divit - uzamčení účtu je právem považováno za útok na uhádnutí hesla a je tak jeho logickým vyústěním, které se musí projevit na všech řadičích domény ihned. Možnou replikační topologii v rámci sítě větší organizace ukazuje obrázek 27.1.

Obrázek 27.1 Mezi kterýmikoli dvěma řadiči domény nenajdete nikdy delší cestu než tři směrování

Objekty spojení zobrazené šipkami jsou v praxi jednosměrné. Proto je třeba si na jejich místech představit dvě šipky v opačném směru. Nicméně konečné rozhodnutí o replikač-ní topologii určuje součást KCC, ale pokud chcete, můžete ručně některé objekty přidat nebo odebrat. Přidané objekty nechá KCC být, chybějící objekty může při dalším spuštění doplnit.

Replikace mezi sítěmi (pobočkami) Jedním z účelů sítí služby Active Directory je možnost určovat, kdy má k replikacím doménových informací docházet. Zatímco v rámci sítě je daný interval 15 sekund, se kterým nelze hnout, mezi sítěmi si můžete parametry replikace definovat jako správci sami. Je to celkem pochopitelné - v rámci sítě jsou řadiče domény spojeny vždy rychlým spojením, takže se předpokládá, že rychlá replikace tuto síť nijak nezatíží. Mezi sítěmi je to však něco jiného. Pokud bude mít organizace dvě pobočky (Praha, Brno), potom je jistě možné říci, že vytvoření účtu v Praze pro nového uživatele nemusí být v Brně známé během 15 sekund. Dokonce nemusí být nutné replikovat jej ani za hodinu ani za tři hodiny. Někteří uživatelé v Brně by nejraději takovou informaci nereplikovali vůbec, ale doména Active Directory se replikovat alespoň jednou za čas prostě musí (replikace se netýká pouze uživatelských účtů, ale v některých případech také například zóny DNS, jež je již důležitá). Volba, kdy bude docházet k replikaci mezi sítěmi, je tak na správci. Možnosti její konfigurace jsou dvě: ♦ ♦

Interval replikace Interval replikace určuje, jak často bude k replikacím docházet. Příkladem jsou 1 hodina, 3 hodiny apod. Nejkratším možným replikačním intervalem je 15 minut. Časové rozmezí replikace Při konfiguraci replikací doménových informací můžete určit, že kromě pravidelného intervalu budou probíhat například pouze v noci. Zadáte tedy časové rozmezí 0.00 - 06.00 hodin.

Pokud tak zadáte replikační interval 1 hodina a časové rozmezí 0.00 - 06.00, začne první replikace v 0.00, bude se opakovat každou hodinu a skončí v 6.00 hodin ráno. Celý den se pak nebude dít nic, takže linka mezi pobočkou a centrálou nebude replikacemi zatížená.

Replikační protokoly O transport replikovaných informací se mohou starat dva protokoly. Standardní přenosový protokol IP (Internet Protocol) používaný pro přenos dat v sítích s protokolem TCP/IP a SMTP (Simple Mail Transport Protocol) používaný zejména pro přenos poštovních zpráv.


375

Přenos replikací v rámci sítě V rámci sítě se replikační informace přenášejí výhradně pomocí protokolu IP. To je dáno systémovou konfigurací, kterou správci nemohou měnit.

Přenos replikací mezi sítěmi Zde je možné si vybrat, který protokol pro replikaci použít. Pokud se však jedná o replikaci v rámci jedné domény, zužují se možnosti opět jen na protokol IP. Pokud by se mělo replikovat mezi doménami (to není případ naší sítě, ale spíše větších organizací s více do ménami v lese Active Directory), je možné si vybrat mezi protokoly IP a SMTP. Přenos dat mezi sítěmi je nutné zabezpečit. Je jisté, že data se budou přenášet pomoci spojení, které pro vás zajišťuje třetí strana, a je tak nutné je chránit. Pokud nakonfigurujete přenos pomocí protokolu IP, je jeho šifrování vyřešeno automaticky a data se navíc budou před replikací komprimovat (aby se nezatěžovalo pomalé spojení). Pokud využi jete protokol SMTP, budou se data také šifrovat. K tomu musí mít počítače potřebné klíče, které získají buď od certifikačního úřadu rozlehlé sítě (pokud je nakonfigurován) nebo si je vystaví samy. Výsledkem je vždy zašifrovaná komunikace pomocí protokolu SMTP.

Další účel sítí Jak již bylo zmíněno, primárním účelem sítě je správa replikací domény Active Directory. Pokud tak vše bude pracovat, je předpoklad, že pomalé spojení mezi sítěmi bude zatěžováno mnohem méně než v případě nevytvoření další sítě. Představte si tedy nyní, že organizace má svou centrálu například v Praze a pobočku v Brně. Obě sítě jsou vybaveny řadičem domény. Správce nakonfiguroval protokol, který bude přenášet replikační informace na IP (Internet Protocol) a určil, že replikace bude probíhat celý den vždy jednou za hodinu. Vy tuto skutečnost ověříte a opravdu zjistíte, že řadiče domény mezi sebou replikují podle předpokladů, a nezatěžují tak zbytečně pomalé spojení mezi sítěmi. Uživatelé si však mohou občas stěžovat na pomalý proces přihlašování. Například uživatel v Brně pracující s počítačem PC111 vás zavolá k počítači, k němuž se právě přihlašuje již několik minut. Po úspěšném (avšak dlouhotrvajícím) přihlášení zadáte v tomto počítači na příkazovém řádku příkaz SET. Ten vypíše všechny systémové proměnné a jejich hodnoty. U proměnné LOGONSERVER, jež říká, který z řadičů domény ověřil uživatele, zjistíte název pražského řadiče domény. Výpis příkazu SET může vypadat například takto: C : \ D o c u m e n t s and S e t t i n g s \ i t s p r a v a 1 > s e t A L L US E R S P RO F I L E = C: \ D o c u me n t s and Settings\ All Us e r s APPDATA=C:\Documents and Settin g s \ i t s p r a v a 1 \ D a t a a p l i k a c i CommonProgramFiles=C:\Program Files\Common Fil es COMPUTERNAME=PC001 ComSpec=C:\WIND0WS\system32\cmd.exe H0MEDRIVE=C: HOMEPATH=\Documents and Settin g s \ i t s p r a v a 1 LOGONSERVER-\ \ SRVR001 NUMBER_0F„PR0CESS0RS=1 OS=Windows_NT Path=C:\WIND0WS\system32;C:\WIND0WS;C:\WIND0WS\System32\Wbem P A T H E X T = . C 0 M ; .EXE;.BAT;.CMD;.V B S ;.V B E ; .JS:.JSE;.WSF ; .WSH PR0CESS0R_ARCHITECTURE=x86 P RO CE S S 0 R _ ID E N TI FI E R = x8 6 F a m i l y 6 Model 11, S t e p p i n g 1, G e n u i n e l n t e l PR0CESS0R_LEVEL=6 PROCESS0R_REVISI0N=0b01 P r o g r a m Fi l es=C:\Program Files PR0MPT=$P$G SESSI0NNAME=Console

SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOCUME~l\ITSPRA~l\L0CALS~l\Temp TMP=C:\DOCUME~l\ITSPRA~l\LOCALS~l\Temp USERDNSDOMAIN=STUDNY.LOCAL USERDOMAIN=STUDNY USERNAME-ttspraval USERPROFILE=C:\Documents and Settings\it s p r a v a l windir=C:\WINDOWS

Poznámka Pokud chcete získat potřebné informace, ale nechcete vypisovat hodnoty všech systémových proměnných, zadejte na příkazovém řádku příkaz echo %logonserver%. Co se v případě brněnského nešťastníka stalo? Jednoduše řečeno - byl ověřen řadičem domény v Praze, takže celý proces ověření proběhl přes pomalé spojení. Byl sice úspěšný, ale trval neúměrně dlouho. Aby se těmto potížím zabránilo, existuje v doméně Active Directory položka, která je spojena se sítěmi a jež se jmenuje Subnets (podsítě). Právě zde se definuje vazba počítačů v konkrétní pobočce k příslušným řadičům domény. Co mají řadiče domény a počítače v pobočce společného? Pokud vyloučíte jakékoli vlastnosti uživatelů, kteří na tuto záležitost nemají vliv, a pominete


376

vše nepodstatné, skončíte u jediné záležitosti, a tou je adresování protokolu IP. Adresování protokolu IP v pobočce bude totiž jistě jiné než adresování v centrále. Podle podsítí (přidělovaných adres IP) takk můžete jednoznačně určit příslušnost klientských počítačů k příslušné síti v Active Di-rectory. Zbývající práci, tedy vyhledání příslušného řadiče domény ze stejné lokality, zaj i s t í na dotaz klientského počítače služba DNS. Možná ještě není zcela jasné, proč uživatele v Brně samovolně ověřoval řadič domény v Praze, když ověření provede vždy ten nejrychlejší řadič domény. Odpovědí je, že to tak prostě bylo a není třeba to dále zkoumat. Co když u řadiče v Brně v danou dobu někdo restartoval službu Přihlašování k síti (Netlogon) nebo co když byl řadič domény v Brně jednoduše tak vytížen, že řadič v Praze byl rychlejší? Otázkou samozřejmě zůstává, zda by v takovém případě bylo ověření místním řadičem, který má tolik práce, rychlejší. Těžko v daném případě říci, zda ano či ne. Podstatné je, že při správné konfiguraci se bude ověřování provádět vždy místně. Teprve v případě potíží se klientský počítač obrátí na vzdálené řadiče domény.

Pobočky a další síťové služby V naší síti provozujeme čtyři další služby - DHCP, DNS, WINS a certifikační úřad. Jak s těmito službami naložit v případě více poboček?

Služba DNS Služba DNS je zásadní službou pro správnou funkci domény Active Directory. Určuje umístění řadičů domény a dalších důležitých služeb v síti a překládá názvy počítačů na adresy IP. Dosud je služba DNS spuštěna pouze na řadiči domény SRVR001 a zóna studny.local je nakonfigurována jako integrovaná se službou Active Directory (viz ob rázek 27.2).

Obrázek 27.2 Dialogové okno vlastností zóny studny.local

V položce Replikace je zde uvedena jedna velmi důležitá informace: Všechny řadiče domény v doméně služby Active Directory. To znamená, že pokud nainstalujete další řadič domény, bude automaticky obsahovat zónu DNS studny.local a je jenom otázkou insta lace služby DNS v daném počítači, zda začne odpovídat na dotazy DNS. Systém Windows Server 2003 má oproti systému Windows 2000 Server ještě další možnosti, kde může být uložena zóna DNS integrovaná se službou Active Directory. Zatímco výše uvedená možnost je k dispozici v obou systémech, v systému Windows Server 2003 může být díky existenci takzvaného oddílu aplikací (Application Partition) uložena ještě na všech serverech DNS v doméně nebo na všech serverech DNS v celém lese. Tyto možnosti se ale uplatní až ve větším prostředí, kterým naše síť rozhodně není. Jednoduše se tak dá říci, že pokud v pobočce nainstalujete další řadič domény a zároveň na něj nainstalujete službu DNS, stane se plnoprávným serverem DNS, který bude repli kovat potřebné informace se svým partnerem a dále bude správně odpovídat na dotazy DNS. Takový server musí být potom sám sobě klientem a všechny počítače v pobočce by jej měly mít nakonfigurovaný jako upřednostňovaný server DNS. Pokud v pobočce nebude řadič domény (to jsme v naší síti již vyloučili), ale bude tam z nějakého jiného důvodu počítač se systémem Windows Server 2003 (nebo Windows 2000 Server), je možné na něm nakonfigurovat zóny studny.local jako sekundární. Tento server by si pak pravidelně stahoval informace od svého primárního serveru, kterým by byl původní server DNS v centrále. Byl by, stejně jako v předchozím případě, sám sobě klientem a počítače by jej využívaly jako upřednostňovaný server DNS. Funkčnost DNS v pobočce by tak zůstala stejná jako v prvním případě, pouze přenosy zónových informací by byly odděleny od replikací Active Directory. Pokud by v pobočce nebyl žádný počítač se serverovým operačním systémem, musí klientské počítače používat server DNS v centrále. Všechny dotazy


377

DNS by tak zatěžovaly pomalé spojení, což by mohlo mít například znovu vliv na pomalý proces přihlašování. Zajištění překladu internetových názvů v případě přítomnosti serveru DNS v pobočce bude uvedeno později.

Služba DHCP Služba DHCP zajišťuje pronájem adres IP a dalších konfiguračních parametrů protokolu IP klientským počítačům, případně dalším zařízením, jako jsou například tiskárny. Pro pobočky se používá jiný rozsah adres IP než v centrále. V případě existence centrály a pobočky jsou následující možnosti řešení služby DHCP: ♦

♦

Server DHCP na pobočce Toto řešení zajistí nejrychlejší a nejbezpečnější udělování všech nutných parametrů protokolu IP klientským počítačům v pobočce. Pokud bude v pobočce počítač se serverovým operačním systémem, je otázka konfigurace služby DHCP velmi jednoduchou záležitostí. Protože se navíc jedná z pohledu adresování protokolu IP o jinou podsíť, je možné nakonfigurovat „záložní" obor na serveru DHCP v centrále, který bude řešit adresování počítačů v pobočce v případě výpadku jejich serveru DHCP. Server DHCP pouze v centrále Toto řešení je aktuální v případě, kdy v pobočce nebude k dispozici žádný serverový operační systém, který by bylo možné nakonfigurovat také jako server DHCP. Přidělování adres IP a dalších konfiguračních parametrů počítačům na pobočce serverem DHCP v centrále však není automatickou záležitostí, ale je třeba nakonfigurovat přenosového agenta DHCP.

Po spuštění, kdy počítač zjistí, že je nakonfigurován pro automatické adresování protokolu IP, začne komunikovat se servery DHCP. Protože ale nemá žádnou adresu IP, není schopen se servery DHCP komunikovat přímo. Proto použije komunikaci formou všesměrového vysílání. Na to „slyší" všechny servery DHCP, které jsou ve stejné podsíti jako onen klientský počítač. A zde jsme u kamene úrazu. Počítače na pobočkách nejsou bez další konfigurace schopny komunikovat tímto způsobem se serverem DHCP v centrále, neboť komunikace pomocí všesměrového vysílání neprochází přes směrovače (které mezi centrálou a pobočkou nepochybně budou). Proto je nutné nakonfigurovat přenosového agenta DHCP, a to i v prvním případě, kdy budeme zvažovat „zálohování" serveru DHCP na pobočce. Slovo zálohování je zde uvedeno v uvozovkách proto, že se nejedná o zálohu celého oboru (to by v síti vznikaly kolize), ale o jakýsi jeho doplněk.

Služba WINS V „čistokrevné" síti, tedy v síti, kde jsou pouze systémy Windows 2000/XP/2003, není služba WINS třeba. V naší síti jsme ji tak nainstalovali pouze jako ukázku případné instalace, nicméně je plně funkční. Pokud tedy bude služba WINS k překladu názvů rozhraní NetBIOS třeba také v pobočce, jsou zde znovu dvě možnosti: ♦

♦

Server WINS na pobočce Opět jsme u otázky existence či neexistence počítá če s příslušným operačním systémem. Pokud daný počítač bude na pobočce k dis pozici, je možné na něm nainstalovat službu WINS. Pokud bude server sám sobě klientem služby WINS, provede registraci svých názvů rozhraní NetBIOS a budou to tak jediné zaregistrované názvy v databázi WINS na pobočce. Stejně tak to pro vedou klientské počítače (pokud je nakonfigurujete na pobočkový server WINS). Zde ale může vzniknout menší problém - počítače v centrále budou registroval své názvy na server WINS v centrále, pobočkové počítače pak na server WINS na pobočce. Jestliže tedy bude chtít počítač z centrály komunikovat podle názvu NetBIOS s počítačem na pobočce, bude mít s překladem názvu na adresu IP potíže, neboť „jeho" server WINS o ní nebude mít žádné informace. Řešením tohoto problému je konfigurace replikace mezi řadiči WINS, kterou provedeme později. Server WINS v centrále Jedná se o situaci podobnou všem ostatním službám. Zde je však nutné myslet na to, že počítače, které jsou klienty služby WINS, při spuštění registrují své názvy NetBIOS na serveru WINS, takže přes pomalé spojení budou se serverem WINS v centrále komunikovat vždy při svém spuštění, nejen při dotazech na názvy NetBIOS jiných zařízení. Zejména při současném spuštění několika počítačů v centrále může tato komunikace velmi značně spojení zatížit. Optimalizace tohoto „náporu" se dá provést na serveru WINS, vyplatí se však až u několika set počítačů.

Certif ikační úřad Otázka certifikačního úřadu jako služby se poněkud vymyká všem již uvedeným službám. Certifikační úřad není možné provozovat na více počítačích najednou. Spíše naopak -vzhledem k velké důležitosti kladené na zabezpečení certifikačních úřadů by si je správci měli ponechávat ve svém dosahu, navíc i fyzicky zabezpečené. Protože další certifikační úřad nebudeme v naší síti potřebovat, můžeme tuto oblast uzavřít beze změn.

Shrnutí služeb V pobočce nainstalujeme další řadič domény. Zároveň bude pro pobočkové počítače serverem DNS, WINS a serverem DHCP. Replikace služby DNS nebude z výše zmíněných důvodů nutné jakkoli konfigurovat, nastavíme tedy pouze replikaci serverů WINS. Na server DHCP v centrále poté přidáme obor odpovídající záložnímu rozsahu adres IP pro klientské počítače na pobočce.

Jak to tedy celé zařídit? Ani v tomto případě se neobejdeme bez pečlivého naplánování celé akce. Prvním kro kem, který bude důležitý také pro společnost zajišťující konektivitu do nové pobočky, je určení podsítě, v níž se budou počítače na pobočce adresovat. Samozřejmě záleží na jejich počtu, jinak je možné postupovat stejně jako u výběru podsítě pro centrálu v kapito le 3, „Učíme počítače komunikovat v síti". Společnost zajišťující konektivitu potřebuje tu to informaci pro správnou konfiguraci svých směrovačů. Pro pobočku můžeme vybrat například podsíť 192.168.20.0/24. Konfigurace konektivity může vypadat například l a k , j a k ukazuje obrázek 27.3.


378

Podsítě 192.168.10.0/24 a 192.168.20.0/24 jsou volbou zákazníka, podsíť 10.0.0.0/30 je na poskytovateli připojení. Dalším krokem, samozřejmě po úplné otestování funkčnosti nově vytvořeného spojení, bude instalace řadiče domény. Nově vytvořené spojení je možné ověřit například tím, že k němu připojíte počítač, nakonfigurujete mu adresu IP z podsítě 192.168.20.0/24, jako výchozí bránu zadáte vnitřní adresu IP směrovače a servery DNS a WINS zadáte stejné, jako používají počítače v centrále. Poté ověříte přihlášení k doméně, případně konektivi-tu k dalším službám a komunikaci s počítači v centrále (příkaz PING, přístup ke sdíleným složkám, přístup pomocí nástrojů pro správu do domény Active Directory a další). Poznámka K propojení poboček nepotřebujete nutně hardwarové směrovače. Funkci směrovačů zvládají také systémy Windows Server 2003. Jako médium zajišťující fyzické spojení pobočky a centrály můžete dále použít Internet. V takovém případě lze nakonfigurovat šifrované tunely typu IP-to-IP. Problém u využití Internetu je ale v tom, že poskytovatel vám ve většině případů není schopen garantovat jistou propustnost spojení.

Instalace řadiče domény Instalace řadiče domény nemusí proběhnout úplně jednoduše. Pokud budete mít například mezi centrálou a pobočkou velmi pomalé spojení, které navíc nebude zcela spolehlivé, můžete mít při instalaci řadiče domény potíže. Po instalaci role řadiče domény totiž imisí dojít k replikaci všech doménových informací, které mohou mít velikost i několik desítek či stovek megabajtů. Případ naší sítě sem rozhodně nepatří - zde jsme stále na jednotkách megabajtů, ale ve větších sítích může taková replikace zatížit nové spojení i na několik hodin, v extrémním případě dnů. Poznámka Přibližnou velikost databáze Active Directory určíte podle velikosti souboru NTDS.DIT a příslušných protokolů EDBxxxxx.LOG. Jedná se ale o přibližnou velikost, neboť v případě, že se z domény odstraní některé objekty, velikost souboru NTDS.DIT se automaticky nezmenší. Proto je třeba pomocí nástroje NTDSUTIL provádět jednou za určitou dobu de-fragmentaci offline. Replikovat se navíc musí ještě všechny objekty zásad skupiny (obecně celý obsah složky SYSVOL), takže i velikost této složky je nutné vzít v úvahu. Pokud předpokládáte potíže s replikací, máte k dispozici ještě dvě možnosti: ♦ Příprava serveru v centrále V tomto případě provedete instalaci dalšího řadiče domény v centrále společnosti. Nový řadič tak bude mít dočasně přidělenu adresu IP z podsítě centrály a veškerá replikace tak proběhne místně. Poté lze na konfigurovat další služby, provést také jejich replikaci (například u služby WINS) a server odvézt do pobočky. Na další kroky, které je poté nutné provést v doméně Active Directory, se podíváme později. ♦ Instalace serveru ze zálohy offline Touto možností disponují pouze systémy Windows Server 2003. Využijete ji v případech, kdy je nutné nakonfigurovat roliřadiče domény v pobočce, ale daný server není možné nejprve převézt do centrály (je v něm například spuštěna aplikace, jejíž běh nelze na delší dobu přerušit). Tento postup ověříme v další konfiguraci. Možnost instalovat roli řadiče domény ze zálohy offline není k dispozici v systémech Windows 2000. instalace počítače, který bude řadičem domény v nové pobočce 1. K síti v nové pobočce připojte nový počítač. 2. Do počítače nainstalujte operační systém Windows Server 2003 a během instalace jej přidejte do domény studny.local. Poté nainstalujte služby DHCP, WINS a DNS.


379

3. Počítač nakonfigurujte následovně: ♦ ♦ ♦ ♦ ♦

Název: Adresa IP: Maska podsítě: Adresa serveru DNS: Adresa serveru WINS:

SRVR003 192.168.20.2 255.255.255.0 192.168.10.2 192.168.10.2

Poznámka Pokud se vám povedlo přidat počítač instalovaný v pobočce do domény, je spojení funkční a není třeba je dále testovat. Příprava replikace doménových informací V normálním případě byste po úvodní konfiguraci počítače spustili příkaz DCPROMO a zahájili byste tak instalaci role řadiče domény. My však budeme předpokládat velmi pomalé spojení, které nechceme úvodní replikací zatěžovat, a provedeme instalaci role fa diče domény ze zálohy offline. 1. Přihlaste se k počítači SRVR001 jako správci a spusťte nástroj Zálohování (příkazem NTBackup.exe). 2. Na kartě Zálohování zaškrtněte políčko SystemState a do pole Zálohovací médium nebo název souboru zadejte cestu, do které se uloží soubor zálohy (například C:\AD.bkf). Poté klepněte na tlačítko Spustit zálohování. 3. V dialogovém okně Informace o úloze zálohování klepněte na tlačítko Upřesnit a v rozevíracím seznamu Typ zálohování vyberte položku Kopie. Poté klepněte na tlačítko OK a klepnutím na tlačítko Spustit zálohování spusťte proces zálohování stavu systému. Poznámka Typem zálohování Kopie nenarušíte nakonfigurované zálohovací strategie. 4. Výsledný soubor AD.bkf zapište na disk CD, DVD nebo použijte jiné přenosné médium a přeneste jej do počítače SRVR003. Kopírování tohoto souboru přes síť pochopitelně postrádá smysl. Instalace řadiče domény ze zálohy 1. Přihlaste se k počítači SRVR003 jako správci. 2. Spusťte nástroj Zálohování a klepněte na kartu Obnovení a správa média. 3. Pravým tlačítkem myši klepněte na položku Soubor a poté v místní nabídce klepněte na příkaz Soubor katalogu. V dialogovém okně Otevřít záložní soubor zadejte cestu k souboru BKF, který jste přenesli z počítače SRVR001. 4. V levém podokně nástroje Zálohování klepněte na zobrazenou položku zálohy a poté zaškrtněte políčko SystemState. 5. V poli Umístění souborů vyberte položku Alternativní umístění a poté do pole Alternativní umístění zadejte cestu, do které se obnoví stav systému počítače SRVR001 (například C:\ADobnova).

Obrázek 27.4 Obnova zálohy stavu systému do složky C:\ADobnova


380

6. Zobrazí se upozornění, že v případě obnovy do alternativního umístění nedojde k obnovení všech dat. Klepněte na tlačítko OK. V dialogovém okně Potvrdil ob novení klepněte na tlačítko OK.

Obrázek 27.5 Obsah složky s obnovenou zálohou stavu systému

7. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz dcpromo /adv. Poté klepněte na tlačítko OK. 8. V dialogovém okně Vítá vás Průvodce instalací služby Active Directory klepněte na tlačítko Další. 9. V dialogovém okně Kompatibilita operačního systému klepněte na tlačítko Další. 10. V dialogovém okně Typ řadiče domény zaškrtněte políčko Další řadič domény pro již existující doménu a poté klepněte na tlačítko Další. 11. V dialogovém okně Kopírování informací o doméně zaškrtněte políčko Z obnovených záložních souborů a zadejte cestu ke složce s obnovenými soubory zálohy stavu systému počítače SRVR001 (C:\ADobnova). Pokračujte klepnutím na tlačítko Další. 12. V dialogovém okně Globální katalog zaškrtněte políčko Ano a pokračujte klep nutím na tlačítko Další. 13. V dialogovém okně Síťová pověření zadejte jména a heslo uživatele, který je Cle nem skupiny Domain Admins (nebo Enterprise Admins) a poté klepněte na tlačítko Další. 14. V dialogovém okně Umístění databáze a protokolu ponechte výchozí hodnoty nebo zadejte cesty pro uložení doménové databáze a protokolů transakcí a poté klepněte na tlačítko Další. 15. V dialogovém okně Sdílený systémový svazek ponechte výchozí cestu nebo zadejte cestu k uložení sdílené složky SYSVOL a pokračujte klepnutím na tlačitko Další. 16. V dialogovém okně Heslo správce režimu obnovení adresářových služeb za dejte dvakrát stejné heslo a poté klepněte na tlačítko Další. Mezi dobré strategie patří zadání stejného hesla na všech řadičích domény.

Obrázek 27.6 Dialogové okno Kopírováni informací o doméně 17. V dialogovém okně Souhrn si prohlédněte zadané informace. Pokud chcete některé z nich změnit, pokračujte klepnutím na tlačítko Zpět. V opačném případě klepněte na tlačítko Další. Spustí se instalace role řadiče domény ze souborů off-line. Po dokončení instalace restartujte


381

počítač. Obrázek 27.7 Instalace role řadiče domény ze souborů zálohy

Po restartování počítače se může zdát, že řadič domény je okamžitě připraven na poskytování svých služeb. To však nemusí být pravda, přičemž doba, kdy se tak stane, závisí na metodě instalace. Po restartování počítače po dokončení instalace služby Active Directory je počítač všude zobrazen jako řadič domény, tyto služby však ještě nemusí poskytovat. Dříve, než se lak stane, se musí replikovat veškeré objekty zásad skupiny. Je to celkem pochopitelné - do vedete si představit, že by řadič domény ověřil počítač i uživatele, ale nedodal jim žádné zásady skupiny? Potom by docházelo ke znatelným inkonzistencím, kdy by se v centrále stejnému uživateli aplikovalo nastavení a na pobočce ne. Řadič domény tak začne pracovat až poté, co provedl replikaci veškerých informací dů ležitých pro svou činnost. Informace o tom, že je připraven poskytovat své služby, nalez nete v protokolu událostí služby replikace souborů. Zde hledejte událost typu Informace s kódem ID 13516 (případně pomocí příkazu net u s e ověřte existenci sdílené složky SYS VOL).

Globální katalog Během instalace řadiče domény jsme zaškrtli políčko, které instalovaný řadič domény nakonfiguruje zároveň jako globální katalog. Rozhodně lze doporučit, aby v každé síti byl k dispozici globální katalog. Jeho nutnost lze pochopit na následujícím příkladu. Pobočka bude zcela nainstalovaná - bude obsahovat řadič domény, sužby DNS, server DHCP a službu WINS. Všechny dotazy a informace tak budou k dispozici uživatelům místně. Přesto mohou mít uživatelé stále potíže s dlouhotrvajícím procesem přihlášení. Protože máme úroveň funkčnosti domény Windows 2000 native, bude každé přihlášení uživatele probíhat následujícím způsobem: 1. 2. 3. 4.

Po spuštění získá počítač adresu IP a další informace (mezi nimi adresu serveru DNS) od serveru DHCP (vše místně). Pomocí dotazu DNS vyhledá počítač řadič domény (samozřejmě místní) a vytvoří s ním zabezpečený kanál. Po přihlášení uživatele proběhne přes zabezpečený kanál jeho ověření a začne se sestavovat přístupový token. Informace o členství uživatele v místních doménových a globálních skupinách do dá uživatelskému účtu řadič domény, informace o členství v univerzálních skupi nách jsou však k dispozici pouze v globálním katalogu. 5. Počítač vyhledá v DNS server globálního katalogu a bude jej kontaktovat s dotazem na členství uživatele v univerzálních skupinách. Protože je globální katalog pouze v centrále, musí dojít ke spojení a předání potřebných informací přes po malé spojení, které celý proces zpomalí. Pokud bude globální katalog také v pobočce, proběhne dotaz a odpověď na členství v univerzálních skupinách místně. Zároveň je při přihlášení uživatelů zajištěn případný výpadek spojení do centrály. Pokud totiž globální katalog není při přihlášení k dispozici, uživatel se přihlásí pouze pomocí profilu uloženého v místní mezipaměti. Pokud však předtím přihlášen nebyl, nepřihlásí se vůbec. Výjimku tvoří pouze členové skupiny 1 >< i main Admins, kteří se přihlásí vžciy. Globální katalog však neslouží pouze k přihlašování. Vyřizuje například také dotazy na vyhledávání objektů v doménách Active Directory v celém lese a může hrát významnou ro li také ve spojení s dalšími produkty (například Exchange Server 2003). Praxe se systémy Windows 2000 ukázala, že některé počítače nejsou schopny zátěž spojenou s globálním katalogem unést, zatímco samotnou roli řadiče domény by zvládly v pohodě. To je ale v přímém rozporu s rychlostí přihlašování probranou výše. V systému Windows Server 2003 je tak tato záležitost vyřešena pomocí ukládání členství v univerzálních skupinách do mezipaměti. Protože pro přihlášení uživatelů není z globálního katalogu nic kromě informací o členství uživatele v univerzálních skupinách třeba, je možné na řadiči domény se systémem Windows Server 2003 definovat ukládání informací o členství v univerzálních skupinách do mezipaměti. V takovém případě se řadič domény každých 8 hodin spojí s globálním katalogem, vyžádá si aktuální informace, a provede aktualizaci své mezipaměti (až 500 univerzálních skupin najednou). Při přihlášení uživatele poté předá také tyto informace, takže přístupový token se vytvoří bez nutnosti kontaktovat globální katalog. Globální katalog je tedy výhodná věc, ale jsou stavy, kdy jeho přítomnost nelze zajistit, a přesto je nutné zajistit rychlé a úspěšné přihlášení. Globální katalog v pobočce nedefinujte, pokud: ♦ ♦

Místní řadič domény má operační systém Windows Server 2003, ve kterém lze povolit ukládání členství v univerzálních skupinách do mezipaměti. Řadič domény nemá dostatečně výkonný hardware, který by umožnil hostování a zatížení globálního katalogu.


382

♦

Spojení do pobočky je pomalé a nespolehlivé. Nebude tak docházet k replikaci všech informací globálního katalogu z celého lesa.

Konfigurace sítí Active Directory Nyní je nový řadič domény zařazen do výchozí sítě Active Directory. Replikace tak probíhá každých 15 sekund (pokud je co replikovat), což jistě není nejlepší. V dalších krocích tak bude nutné nakonfigurovat novou síť, definovat spojení sítí (pomocí protokolu IP) a pomocí definice podsítě zajistit uživatelům v pobočce ověření místním řadičem domény. Konfigurace nové sítě 1. Přihlaste se k počítači PC001 jako správci (členové skupiny Enterprise Admins) a spusťte nástroj Sítě a služby Active Directory. 2. Rozbalte položku Sites (sítě). Zobrazí se podrobnější informace, mimo jiné síť s názvem Centrála (pokud jste neprovedli žádnou konfiguraci, bude její název Vycho-zi-nazev-prvni-site). Pokud v této síti klepnete na políčko Servers, zobrazí se v pravém podokně konzoly oba řadiče domény - SRVR001 a SRVR003 3. Pravým tlačítkem myši klepněte na položku Sites a v místní nabídce zvolte příkaz Nová síť. V dialogovém okně Nový objekt — Síť zadejte do pole Název text Pobocka. Nepoužívejte háčky, čárky ani speciální znaky, neboť tento název se objevuje v dotazech DNS. Poté klepněte na propojení DEFAULTIPSITELINK a klepněte na tlačítko OK. 4. V dialogovém okně Active Directory si přečtěte důležité informace a poté klepněte na tlačítko OK. Tím jste vytvořili novou síť. Konfigurace podsítí 1. V konzole Sítě a služby Active Directory klepněte na položku Subnets. V pra vém podokně by se měla zobrazit informace o adresování stávající podsíté (192.168.10.0/24). 2. Pravým tlačítkem myši klepněte na položku Subnets a v místní nabídce poté zvol te příkaz Nová podsíť. 3. V dialogovém okně Nový objekt — Podsíť zadejte do pole Adresa hodnotu 192.168.10.0 a do pole Maska hodnotu 255.255.255.0. Poté klepněte na síť, do které bude tato podsíť spadat (Pobočka) a klepněte na tlačítko OK. Obrázek 27.8 Definice nové podsítě a její spojení se sítí Pobočka

Konfigurace spojení sítí 1. 2. 3. 4.

V konzole Sítě a služby Active Directory rozbalte položku Inter-Site Transports a poté klepněte na položku IP. V pravém okně by se měl zobrazit výchozí objekt spojení sítí s názvem DEFAULTIPSITELINK. Pravým tlačítkem myši klepněte na tento objekt a v místní nabídce poté zvolte příkaz Přejmenovat. Zadejte název Centrála <-> Pobočka. Pravým tlačítkem myši znovu klepněte na objekt spojení sítí a v místní nabídce zvolte jeho vlastnosti. V dialogovém okně Centrála <-> Pobočka — vlastnosti ověřte, že v pravé části jsou v poli Sítě obsažené v tomto spojení sítí uvedeny obě sítě Active Directory. Do pole Replikovat vždy po zadejte hodnotu, která je pro vaši síť optimální (na příklad 60 minut) a poté klepněte na tlačítko Změnit plán. Zde nakonfigurujte


383

plán replikace doménových informací mezi řadiči domény (například ponechte celých 24 hodin). Dvakrát za sebou klepněte na tlačítko OK. Obrázek 27.9 Replikace mezi centrálou a pobočkou bude probíhat každých 60 minut

Přesun řadiče domény SRVR003 do nové sítě 1. 2.

V konzole Sítě a služby Active Directory klepněte pravým tlačítkem myši na položku řadiče SRVR003 a v místní nabídce poté klepněte na příkaz Přesunout. V dialogovém okně Přesunout server klepněte na položku Pobočka a poté na tlačítko OK. Server SRVR003 je nyní přesunut a replikace budou probíhat každou hodinu.

Poznámka Pokud byste provedli přípravu sítí před instalací role řadiče domény, přidal by se řadič domény do příslušné sítě automaticky.

Konfigurace služby DNS Aby byla služba DNS v pobočce funkční a dotazy nechodily po pomalém spojení do cen-trály, je třeba ověřit konfiguraci služby DNS v počítači SRVR003, poté upravit jeho nastavení protokolu IP a nadefinovat správnou adresu IP v oboru serveru DHCP. Ověření konfigurace služby DNS 1. 2. 3. 4.

5.

Přihlaste se k počítači PC001 jako správci a spusťte nástroj DNS. Pravým tlačítkem myši klepněte na položku DNS a v místní nabídce zvolte příkaz. Připojit k serveru DNS. V dialogovém okně Připojit k serveru DNS zaškrtněte políčko Na následujícím počítači a zadejte název SRVR003. Poté klepněte na tlačítko OK. V konzole DNS rozbalte položku serveru SRVR003 a poté položku Zóny dopřed-ného vyhledávání. Ačkoli jste neprováděli žádnou konfiguraci, je zde uvedena zóna studny.local. Veškeré informace o ní a její data jsou totiž součástí domény Active Directory. Klepněte na zónu studny.local a v pravém podokně konzoly vyhledejte záznam typu SOA (Start of Authority). Všimněte si sériového čísla tohoto záznamu, které určuje aktuálnost obsahu zóny. Stejné číslo by mělo být uvedeno v zóně studny.local v počítači SRVR001. To je známka správné funkce replikace Active Directory. Pravým tlačítkem myši klepněte na název zóny studny.local serveru SRVR003 a zvolte její vlastnosti. Ověřte, že konfigurace této zóny je shodná se stejnou zónou v serveru SRVR001.

Konfigurace protokolu IP počítače SRVR003 Každý server DNS musí být sám sobě klientem. Proto je nutné změnit adresu IP serveru DNS ve vlastnostech připojení k místní síti počítače SRVR003. 1. 2. 3.

Přihlaste se k serveru SRVR001 jako správci. Zobrazte vlastnosti připojení k místní síti a poté zobrazte vlastnosti protokolu TCP/IP. Do pole Upřednostňovaný server DNS zadejte adresu počítače SRVR003 - 192.168.20.2. Klepnutím na tlačítka OK zavřete postupně všechna dialogová okna.

Překlad internetových názvů Pokud má centrála organizace připojení k Internetu, bude je chtít pravděpodobně využít i pobočka. Jestli však klientské počítače v pobočce používají


384

vlastní server DNS v počítači SRVR003, je třeba, aby tento server byl schopen vyřešit překlad externích, tedy internetových adres. Protože jsme tuto záležitost již konfigurovali dříve, bude postačovat, přesměrujeme-li nevyřešené dotazy DNS ze serveru SRVR003 na server, který je umí vyřešit. Pokud je jím ser ver SRVR001, potom je třeba ve vlastnostech serveru SRVR003 přidat na kartě Servery pro předávání adresu IP serveru SRVR001 (192.168.10.2).

Konfigurace služby WINS Služba WINS nevyžaduje sama o sobě po své instalaci žádnou speciální konfiguraci. Pro naši síť však bude důležité nakonfigurovat replikaci mezi dvěma servery WINS (SRVR001 a SRVR003). Jedině tak zajistíte, že zaregistrované informace budou k dispozici počítačům v centrále i na pobočce. Konfigurace protokolu IP počítače SRVR003 Server WINS by měl být sám sobě klientem. Adresa IP serveru WINS tedy musí být ve vlastnostech připojení k místní síti adresou počítače SRVR003. Konfiguraci proveďte obdobně jako u konfigurace adresy IP serveru DNS výše.

Konfigurace replikací serverů WINS Servery WINS je možné konfigurovat na dva druhy replikací: vyžádanou (Pull) a nabízenou (Push). Nabízená replikace se spustí v okamžiku, kdy sever WINS překročí zadaný počet změn v záznamech (například změní více než 100 záznamů). Vyžádaná replikace probíhá v definovaných časových intervalech. V praxi sestává výsledná replikace z kombinace obou. V případě dvou serverů je nutné ji nastavit na obou stranách. Konfigurace replikací

3.

4.

1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu WINS. 2. Do konzoly přidejte oba servery WINS - SRVR001 a SRVR003. Klepněte na server SRVR001. Poté klepněte pravým tlačítkem myši na položku Partnerské servery pro replikaci a v místní nabídce zvolte příkaz Nový partnerský server pro replikaci. Do pole Server WINS dialogového okna Nový partnerský server pro replikaci zadejte název serveru SRVR003. Poté klepněte na tlačítko OK. Replikace se standardně nakonfiguruje na typ Push/Pull. Klepněte na položku Partnerské servery pro replikaci. V pravém podokně konzoly WINS poté klepněte pravým tlačítkem myši na server SRVR003 a zobrazte jeho vlastnosti. Na kartě Upřesnit případně upravte hodnoty pro oba typy replikací. Obrázek 27.10 Konfigurace obou typů replikací WINS


385

Výchozí hodnota pro vyžádanou replikaci je každých 30 minut, pro nabízenou replikaci není zadán žádný práh. Do pole Počet změn čísla verze před replikací zadejte například hodnotu 20. Dialogové okno vlastností zavřete klepnutím na tlačítko OK. 5. Postup uvedený v bodech 3 a 4 opakujte obdobně pro server SRVR003. Replikace mezi servery WINS bude probíhat následovně: Oba si vymění obsahy své databáze každých 30 minut. Jestliže však u některého serveru dojde před tímto intervalem k více než 20 změnám, upozorní na tento stav svého replikačního partnera, který si stáhne obsah databáze svého protějšku. Obecně nelze doporučit žádné konkrétní hodnoty pro konfiguraci replikací. Vše vždy záleží na konkrétní síti, neboť v každé síti je jiný počet počítačů využívajících službu WINS a každá síť má jinak zatížená spojení, přes která replikace probíhají. Optimalizace konfigurace je tedy otázkou sledování činnosti sítě a potřebných měření.

Konfigurace služby DHCP V této části provedeme konfiguraci služby DHCP tak, že na pobočce bude vlastní server DHCP a v centrále bude záloha pro případ, že by server v pobočce nebyl k dispozici. Pro tento krok je nutné rozdělit podsíť, ve které jsou počítače na pobočce adresované, na dvě části. Obecně se doporučuje zvolit poměr 80/20, přičemž 80 % z celé podsítě musí počítačům postačovat. V našem případě, kdy na pobočce využíváme podsíť 192.168.20.0/24, můžeme adresovat až 254 počítačů. Pokud se podíváme na rozvržení adres (viz kapitola 3), bude server DHCP adresovat klientské počítače v rozmezí adres 192.168.20.17 až 192.168.20.254. Jedná se o 238 adres, které rozděleny v poměru 80/20 vycházejí na 190/48. Pokud neplánujeme na pobočce více než 190 počítačů, je vše v pořádku. Pokud bychom plánovali více než 190 počítačů, je nutné buď poupravit poměr adres nebo pobočce přiřadit jinou podsíť (s kratší maskou podsítě). Server DHCP na pobočce tak bude počítačům přidělovat adresy 192.168.20.17 až 192.l68.20.206. Záložní server v centrále bude klientským počítačům případně přiděloval adresy 192.168.20.207 až 192.168.20.254. Konfigurace serveru DHCP na pobočce 1. 2.

Přihlaste se k počítači PC001 jako správci a spusťte konzolu DHCP. Do konzoly přidejte server SRVR003. Pravým tlačítkem myši klepněte na položku serveru (srvr003.studny.local) a v místní nabídce klepněte na položku Nový obor. Spustí se Průvodce vytvořením oboru. Pokračujte klepnutím na tlačítko Další. 3. V dialogovém okně Název zadejte text Pobočka — hlavní a klepněte na tlačítko Další. 4. V dialogovém okně Rozsah adres IP zadejte počáteční adresu 192.168.20.17 a koncovou adresu 192.168.20.206. Do pole Délka zadejte hodnotu 24. Pole klepněte na tlačítko Další. 5. V dialogovém okně přidat vyloučení klepněte na tlačítko Další. 6. V dialogovém okně Doba trvání zápůjčky ponechte výchozí hodnotu (8 dnů) a klepněte na tlačítko Další. 7. V dialogovém okně Konfigurovat možnosti serveru DHCP ponechte zaškrtnuté políčko Ano, chci tyto možnosti změnit a poté klepněte na tlačítko Další. 8. V dialogovém okně Směrovač zadejte adresu IP 192.168.20.1 (jedná se o adresu přidělenou směrovací zajišťujícímu směrování paketů do centrály) a klepněte na tlačítko Přidat. Pokračujte klepnutím na tlačítko Další. 9- V dialogovém okně Název domény a servery DNS zadejte do pole Nadřazená doména název studny.local a do pole Adresa EP zadejte adresu 192.168.20.2 a 192.168.10.2. Poté klepněte na tlačítko Další. 10. V dialogovém okně Servery WINS zadejte adresy 192.168.20.2 a 192.168.10.2. Poté klepněte na tlačítko Další. 11. V dialogovém okně Aktivovat obor zaškrtněte políčko Ano a klepněte na tlačítko Další 12. V dialogovém okně Průvodce vytvořením oboru klepněte na tlačítko Dokončit. Server DHCP je nyní nakonfigurován, ještě však nebude adresy IP a další parametry přidělovat. Je třeba jej dále ověřit v doméně Active Directory.

Ověření serveru DHCP v doméně 1. V konzole DHCP klepněte pravým tlačítkem myši na položku serveru (srvr003.stud-ny.local) a v místní nabídce klepněte na příkaz Ověřit. Proces ověření trvá několik sekund. Poté obnovte zobrazení konzoly a uvidíte u serveru zelené znaménko. Pokud je server stále zobrazen jako neověřený, restartujte konzolu DHCP.

Poznámka Ověřit server DHCP může pouze člen skupiny Enterprise Admins. Konfigurace serveru DHCP v centrále Při konfiguraci serveru DHCP v centrále postupujte stejně jako u konfigurace pobočkového serveru DHCP. Vytvořte další obor s rozsahem adres IP 192.168.20.207 až 192.168.20.254 a se stejnými možnostmi. Pokud by nyní, po konfiguraci záložního serveru DHCP v centrále, pobočkový server DHCP vypadl, nebudou klienti z centrály ještě získávat adresy IP od serveru SRVR001. Všesměrové vysílání totiž standardně neprochází přes směrovače. Aby to začalo fungovat, je třeba tomu trochu pomoci. Nikoli v propuštění tohoto typu vysílání přes směrovač (ta možnost tady je, ale nepoužívá se), ale konfigurací přenosového agenta DHCP. Přenosového agenta DHCP je třeba nakonfigurovat na rozhraní, které je schopno zachy-tit všesměrové vysílání klientských počítačů - tedy na vnitřním síťovém rozhraní počítače SRVR003 (to pro případ, že by měl více síťových rozhraní). Pokud má počítač síťové rozhraní jedno, je řešení jasné.

Komunikace počítačů v centrále Protože byl v centrále nakonfigurován přístup k Internetu, mají nyní všechny počítače, které jej chtějí využívat, nastavenu adresu výchozí brány na


386

počítač zprostředkující připojení. To ale znamená, že nebudou schopny komunikovat s počítači v pobočce. Výchozí brána je počítač, kterému se odešlou veškeré pakety, jež počítač neví, kam odeslat. O paketech určených pro počítače v místní síti tyto informace má, ostatní pakety nyní odesílá počítači SRVR002. To je vhodná situace, neboť budeme-li konfigurovat komunikaci směrem do pobočky, bude postačovat nakonfigurovat ji v jediném počítači, který ji následně předá směrovací. Předpokládejme, že směrovač, který dodala externí společnost zajišťující konektivitu, mí vnitřní rozhraní s adresou IP 192.168.10.3. To proto, že server SRVR002 získal dříve adresu výchozí brány (192.168.10.1), na kterou jsou zároveň nakonfigurovány ostatní počítače. Moc to sice nezapadá do rozdělení adres IP, takže by bylo vhodné tyto dvě adresy přehodit. Zatím ale budeme vycházet ze stávajícího rozdělení. Pokud tak počítač komunikuje s externím světem, odesílá všechny pakety na adresu 192.168.10.1. Tento počítač je pak předává externímu rozhraní, které je odešle do Internetu. Pobočka však není Internet a externí rozhraní by nebylo schopné komunikoval s podsítí 192.168.20.0/24. Je tak nutné tok paketů poněkud pozměnit. Co například takto? Pokud přijde počítači SRVR002 na síťové rozhraní 192.168.10.1 paket s cílovou adresou IP pobočky, předá počítač tento paket směrovací na adresu 192.168.10.3. Ostatní pakety pak předá svému externímu rozhraní. Tuto konfiguraci provedete velmi jednoduše: 1. Přihlaste se k počítači SRVR002 jako správci. 2. Na příkazovém řádku zadejte následující příkaz: route -p add 192.168.20.0 m ask 255.255.255.0 192.168.10.3

Příkaz říká, že veškeré pakety, které mají cílovou adresu z podsítě 192.168.20.0/24, budou předány na adresu IP 192.168.10.3. Parametr -p navíc způsobí trvalé zapsání tohoto směrování do registru počítače. Bude tak k dispozici i po jeho restartování.

Konfigurace přenosového agenta DHCP 1. Přihlaste se k počítači SRVR003 jako správci a spusťte nástroj Směrování a vzdálený přístup. 2. V případě, že tato služba není nakonfigurovaná, klepněte pravým tlačítkem myši na položku serveru SRVR003 a v místní nabídce poté klepněte na příkaz Nakonfigurovat a povolit směrování a vzdálený přístup. 3. V dialogovém okně Průvodce instalací serveru pro směrování a vzdálený přístup klepněte na tlačítko Další. 4. V dialogovém okně Konfigurace zaškrtněte políčko vlastní konfigurace a poté klepněte na tlačítko Další. 5. V dialogovém okně Vlastní konfigurace zaškrtněte políčko Směrování místní sítě (LAN) a klepněte na tlačítko Další. 6. V dialogovém okně Dokončení Průvodce instalací serveru pro směrování a vzdálený přístup klepněte na tlačítko Dokončit. Klepnutím na tlačítko Ano spusťte službu Směrování a vzdálený přístup. 7. Rozbalte položku Směrování BP a pravým tlačítkem myši klepněte na položku Obecné. V místní nabídce poté klepněte na položku Nový směrovací protokol, v dialogovém okně Nový směrovací protokol klepněte na položku DHCP Re-lay Agent a poté klepněte na tlačítko OK. 8. Pod položkou Směrování IP nyní přibude položka Přenosový agent DHCP. Klepněte na ni pravým tlačítkem myši a v místní nabídce zvolte příkaz Nové rozhraní. V dialogovém okně Nové rozhraní vyberte rozhraní odpovídající připojení k místní síti a klepněte na tlačítko OK. 9. V dialogovém okně Vlastnosti správy přenosu DHCP - vlastnosti určete čas, po kterém začne přenosový agent reagovat (můžete ponechat výchozí hodnotu 4 sekundy), a klepněte na tlačítko OK.

Obrázek 27.11 Přenosový agent začne pracovat po 4 sekundách od přijetí požadavku, pokud nebude reagovat místní server DHCP


387

10. Pravým tlačítkem myši klepněte v konzole Směrování a vzdálený přístup na položku Přenosový agent DHCP a zobrazte její vlastnosti. 11. Do pole Adresa serveru zadejte adresu IP serveru DHCP v centrále (192.168.10.2) a poté postupně klepněte na tlačítka Přidat a OK.

Konfigurace globálního katalogu Při instalaci role řadiče domény do počítače SRVR003 jsme zadali, že tento počítač bude serverem globálního katalogu. Protože někdy může být nutné roli serveru globálního katalogu odebrat, podíváme se nyní na místo, kde se globální katalog konfiguruje. 1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu Sítě a služby Active Directory. 2. Rozbalte položky Pobočka -> Servers -> SRVR003 a pravým tlačítkem myši klepněte na položku NTDS Settings. 3. Zobrazí se dialogové okno vlastností, ve kterém bude na kartě Obecné zaškrtnu to políčko Globální katalog. Obrázek 27.12 Konfigurace globálního katalogu

Pokud chcete konfigurovat některý z řadičů domény jako globální katalog, myslete na to, že tuto roli může začít počítač plnit až v okamžiku, kdy bude mít repliku všech potřebných informací z celého lesa. Tento proces samozřejmě nějakou dobu trvá, přičemž záleží na velikosti prostředí a rychlosti spojení mezi doménami. Teprve po dokončení replikace se informace o globálním katalogu objeví v zóně DNS a počítače jej tak začnou využívat. Zároveň mějte v případě konfigurace globálního katalogu na paměti, že zvýšenou replikaci ve vaší doméně může ovlivnit správce úplně jiné domény, který například jednorázově vytvoří stovky uživatelských účtů. Pokud zjistíte, že není reálné udržovat v daném řadiči domény navíc roli globálního katalogu, ale jiný globální katalog v místní síti nemáte, je třeba alespoň zajistit rychlé přihlášení uživatelů. To se samozřejmě týká pouze domén s úrovní funkčnosti Windows 2000 native nebo vyšší. Konfigurace ukládání členství v univerzálních skupinách do mezipaměti 1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu Sítě a služby Active Directory. 2. Klepněte na položku sítě, pro kterou chcete ukládání do mezipaměti nakonfigurovat a v pravém podokně poté zobrazte vlastnosti objektu NTDS Site Settings.


388

Elektronická pošta zdarma? Proč ne? Když je síť nakonfigurovaná, zabezpečená a funkční, přichází na řadu instalace aplikací. Jednou z nich obvykle bývá elektronická pošta (přesněji řešení pro elektronickou poštu). Jen velmi obtížně si lze dnes představit firmu, která by nepoužívala či nechtěla používat prostředky elektronické komunikace. Na počátku elektronické komunikace je výběr vhodné aplikace. Kde začít? Přece v operačním systému! Velmi často se lze totiž v praxi setkat s řešeními, které společnosti zakoupily přesto, že bylo možné pro dané úlohy využít součásti operačních systémů. S tím samozřejmě souvisí další produkt v síti, jeho instalace, zabezpečení, správa a údržba. Systém Windows Server 2003 přichází s vestavěnou součástí týkající se poštovních služeb. Jedná se o novinku systému Windows Server 2003, kterou rozhodně nehledejte v serverových systémech Windows 2000. Nejedná se o žádný extra zázračný produkt pro podporu elektronické komunikace, ale jistě splní požadavky menších organizací, které chtějí využívat alespoň zpočátku to základní, co se v oblasti elektronické komunikace použít dá elektronickou poštu. A slovo „zdarma" v nadpisu kapitoly? To říká, že pro úspěšné spuštění e-mailových služeb nepotřebujete dokupovat žádné další produkty ani licence. Instalace a používání e-mailových služeb tak další prostředky nevyžaduje a náklady na správu se snaží minimalizovat tato kapitola.

Jak to bude fungovat? Spousta poskytovatelů připojení k Internetu i ostatních společností nabízí uživatelům Internetu osobní poštovní schránku. Buď zdarma nebo za menší poplatek. Uživatelé musí provést pouze výchozí konfiguraci své schránky, případně si nakonfigurovat poštovního klienta (pokud to poskytovatel umožňuje). Na úplně stejném principu pracují e-mailové služby systému Windows Server 2003. Pod tímto názvem jsou k dispozici jako jedna za součástí systému a pokud je budete chtít využívat, musíte je do systému nainstalovat (nejsou součástí výchozí instalace). Právě to je mimo jiné důvodem, že spousta správců sítí se systémem Windows Server 2003 se o takové součásti nikdy ani nedozví. E-mailové služby systému Windows Server 2003 jsou, ať zní jejich název jakkoli honosně, prostým jiným názvem protokolu, který se standardně v Internetu využívá k přístupu k poštovní schránce. Jedná se o protokol POP3 (Post Office Protocol), který je velmi jednoduchý. Právě proto se používá v celém Internetu prakticky od jeho začátků a v porovnání s ostatními přístupovými protokoly (IMAP, HTTP) zde jednoznačně vede. POP3 je ale pouze protokolem pro získání informací z poštovní schránky. Uživatelé jej lak používají jen v případě, kdy potřebují stáhnout zprávu (nebo zprávy) od svých kolegů a kamarádů. Pokud budou chtít zprávu odeslat, protokol POP3 jim ani částečně nepo-může - jednoduše to neumí. Odesílání zpráv se provádí pomocí protokolu SMTP (Simple Mail Transfer Protocol), který má slovo „jednoduchý" dokonce přímo v názvu, a jenž tak imisí být pro úspěšnou komunikaci také k dispozici. Kol i každého protokolu plní v systému Windows Server 2003 takzvané virtuální servery. Ty mohou být nainstalované ve stejném fyzickém serveru nebo je možné je instalovat zvlášť. V jednom fyzickém serveru se systémem Windows Server 2003 pak může existoval kromě jiných, pro společnost pravděpodobně mnohem důležitějších součástí, server POP3 i server SMTP. Uživatelé získávají zprávy ze své poštovní schránky výhradně pomocí protokolu POP3 a jiným uživatelům je odesílají pomocí protokolu SMTP (vše prakticky na pozadí provádí klientský software). Server SMTP, který zprávu přijme, ji buď uloží do poštovní schránky adresáta nebo ji případně předá jinému serveru SMTP k doručení.

Instalace a konfigurace poštovních služeb Instalace poštovních služeb sestává z několika kroků: ♦ ♦ ♦ ♦ ♦ ♦

Naplánování e-mailových služeb Instalace e-mailových služeb Konfigurace serverů POP3 a SMTP Vytvoření poštovních schránek pilotních uživatelů Ověření komunikace Vytvoření poštovních schránek ostatním uživatelům

Naplánování e-mailových služeb Velmi důležitým rozhodnutím, které je třeba v době plánování e-mailových služeb provést, je název e-mailové domény (tedy řetězce, který se používá za znakem @). Pokud budou chtít uživatelé komunikovat pouze mezi sebou v rámci organizace, může se zdal, že na názvu e-mailové domény nesejde. To však již nebude platit v případě, kdy budou chtít uživatelé přijímat zprávy z Internetu. Proto je vhodné plánovat e-mailovou doménu tak, aby se dala využít i v Internetu. Dalším důležitým bodem je výběr poštovního serveru. Na něj přijdou nainstalovat e-mailové součásti a na jeho pevném disku bude pravděpodobně úložiště elektronické pošly všech uživatelů. Pro tyto účely je třeba vybrat server, který disponuje dostatečně velkou a volnou diskovou kapacitou a jenž není standardními funkcemi extrémně zatížen. Zároveň se dá předpokládat, že tento počítač bude v budoucnu dostupný z Internetu (minimálně jako server SMTP) a z pohledu zabezpečení tak není vhodné na něm ukládat citlivá data nebo důležité aplikace.


389

Každý uživatel, který bude chtít přistoupit ke své poštovní schránce, se musí ověřit. Pokud je poštovní server členským serverem v doméně, jsou na výběr tři možnosti ověření - pomocí standardního uživatelského účtu v Active Directory, pomocí místního uživatelského účtu nebo pomocí zašifrovaného hesla uloženého v souboru. V prvním případě musí mít každý uživatel vlastní doménový uživatelský účet, v druhém případě pak místní účet. V třetím případě se heslo zašifruje a uloží do souboru. U řadiče domény existují dvě možnosti - ověřování v Active Directory a zašifrovaná hesla v souboru. Poznámka Pokud je poštovní server zároveň řadičem domény, není k dispozici možnost ověření místním uživatelským účtem systému Windows. Pro odesílání zpráv budou uživatelé využívat služby serveru SMTP. Proto je nutné připravit konfiguraci tohoto serveru tak, aby zprávy odesílal správným způsobem a aby nemohl být zneužit pro nevyžádané odesílání zpráv anonymními uživateli z Internetu. V síti společnosti Studny s.r.o. jsou k dispozici tři servery (SRVR001 a SRVR003 plní roli řadičů domény, server SRVR002 je členským serverem v doméně). Pro instalaci si vybereme server SRVR001. Pokud budeme chtít v budoucnu přijímat e-mailové zprávy z Internetu, bude vhodné definovat emailovou doménu ve formě, která je v Internetu známa. Protože příponu local není možné v Internetu použít, může být řešením doména Stud ny.cz. Tu lze použít za předpokladu, že není obsazena a firma Studny s.r.o. si ji za pří slušný poplatek zaregistruje a bude platit její užívání.

Instalace e-mailových služeb Pro naši firmu zvolíme instalaci e-mailových služeb na server SRVR001. Postupujte podle následujících pokynů: 1. Přihlaste se k serveru SRVR001 jako správci. 2. V ovládacím panelu Přidat nebo odebrat programy klepněte na položku Přidal nebo odebrat součásti systému. 3. V dialogovém okně Součásti systému Windows označte políčko E-mailové služby a klepněte na tlačítko Podrobnosti. Poté zaškrtněte políčko Služba POP3 a klepněte na tlačítko OK. V instalaci pokračujte klepnutím na tlačítko Další.

Obrázek 28.1 Podrobnosti položky E-mailové služby Poznámka Pokud instalujete službu P0P3, nainstaluje se také protokol SMTP. Jedná se o součást Intemetové informační služby. 4. Spustí se instalace protokolů POP3 a SMTP. Během instalace můžete být požádáni o vložení instalačního disku CD-ROM se systémem Windows Server 2003. 5. Po dokončení instalace není nutné server restartovat. Mezi nástroji pro správu se na serveru SRVR001 objeví nová položka - Služba POP3- Jedná se o konzolu, která je standardně k dispozici pouze v počítači s nainstalovanou službou POP3. Znamená to, že správu serveru POP3 a konfiguraci poštovních schránek není možné provádět vzdáleně? Možné to je, ale pouze pomocí webového rozhraní (v bodě 3 výše byla možnost tento nástroj nainstalovat). To znamená, že v počítači SRVR001 by musela být nainstalovaná ještě webová služba. Je na zvážení každého správce, zda kvůli jedinému nástroji bude instalovat tuto službu. Na jednu stranu webová konzola zjednoduší práci, na druhou stranu je nutné věnovat se více zabezpečení webové služby a její konfiguraci. Vzhledem k tomu, že jsme webovou konzolu pro správu služby POP3 nenainstalovali, budeme muset provádět správu buď přímo z konzoly serveru SRVR001 nebo pomocí kli-enta pro připojení ke vzdálené ploše.


390

Konfigurace serverů POP3 a SMTP Server POP3 Server POP3 má několik parametrů, kterým je třeba správně porozumět. Patří sem výcho zí způsob ověřování uživatelů nebo například port protokolu TCP, na kterém je server k dispozici. Při konfiguraci serveru postupujte následovně: 1. Přihlaste se k počítači SRVR001 a spusťte nástroj Služba POP3. 2. Pravým tlačítkem myši klepněte na položku serveru a v místní nabídce poté zvolte položku Vlastnosti. Obrázek 28.2 Výchozí konfigurace serveru P0P3 na řadiči domény

3. V dialogovém okně vlastností serveru POP3 ověřte, že pole Metoda ověřování je nakonfigurováno na Integrovaná služba Active Directory. Poznámka Konfiguraci metody ověřování je nutné provést před vytvořením domény. Poté bude toto políčko šedé a vybranou metodu nebude možné změnit. 4. Dále ověřte, že v ostatních políčkách jsou nakonfigurované výchozí hodnoty. Port protokolu TCP serveru POP3 je 110 a pole Úroveň protokolování je ve výchozím nastavení nakonfigurována pouze na protokolování chyb (Nejmenší). Ty se protokolují do aplikačního protokolu serveru SRVR001. Pokud chcete protokolu vat více informací, můžete změnit nastavení v tomto poli na Střední (budou se protokolovat upozornění a chyby) nebo na Největší (poté se budou navíc protokolovat také informace). 5. Důležitým parametrem je Kořenový e-mailový adresář. Jedná se o složku, vekteré se budou vytvářet poštovní schránky uživatelů. Z důvodů zabezpečení a zvýšení výkonu se tuto složku doporučuje umístit na fyzický disk bez systémových souborů (to pro případ, že by velikost zpráv v poštovních schránkách obsadila veškeré volné místo na disku). Platí však dvě důležitá omezení: nelze ji založit v kořenové složce jednotky (nemůžete například zadat cestu CA) ani ve složce, jejíž soubory jsou právě otevřené. Důvodem pro změnu umístění poštovních schránek uživatelů může být také nutnost nasadit kvóty omezující velikosti poštovních schránek. Protože služba POP3 vlastní kvóty nemá, je nutné použít kvóty systému souborů NTFS. Uživatelé vlastnící poštovní schránky jsou vlastníky jednotlivých zpráv (tedy souborů) a systémové kvóty tak pracují bez potíží. Umístění kořenové složky je v případě nutnosti vhodné změnit dříve, než začnete vytvářet poštovní schránky uživatelů. Pokud změníte umístění složky později, je poté nutné ručně přesunout složku s názvem domény a podsložky - existující poštovní schránky. 6. V poli Kořenový e-mailový adresář ponechte výchozí cestu. 7. Zaškrtnuté políčko Vždy vytvořit přidruženého uživatele pro nové poštovní schránky říká, že pokud definujete název poštovní schránky, který neodpovídá přihlašovacímu jménu žádného stávajícího uživatele, budete muset zadat heslo a v doméně Active Directory se vytvoří uživatelský účet. To ale nemá nic společného se systémovým přístupem ke správě prostředí. Zaškrtnutí políčka tedy zrušte a pokud byste potřebovali vytvořit poštovní schránku pro nového uživatele, nejprve mu vytvořte účet v doméně. 8. O políčku zabezpečeného ověřování hesla bude řeč později.

Domény P0P3 a SMTP Předtím, než budeme moci vytvořit první poštovní schránku, bude nutné definovat doménu, která slouží ke dvěma účelům: 1. Určuje e-mailovou adresu uživatele. 2. Je součástí přihlašovacího jména uživatele. Pro potřeby organizace je vhodné vybrat název domény, který se dá používat v Internetu a jenž plánuje organizace v Internetu registrovat. Protože jsme v Čechách, budeme zvažovat doménu studny.cz a název této domény u některého z poskytovatelů připojení k Internetu zaregistrujeme.


391

vytvoření domény studny.cz 1. Přihlaste se k serveru SRVR001 jako správci a spusťte konzolu Služba POP3 2. Pravým tlačítkem myši klepněte na server SRVR001 a v místní nabídce poté klepněte v části Nový na položku Doména 3. Do pole Název domény v dialogovém okně Přidat doménu zadejte doménu studny.cz a klepněte na tlačítko OK. Nová doména se zobrazí pod serverem POP3. Poznámka Po vytvoření domény dojde k vytvoření složky se stejným názvem v kořenovém e-mai-lovém adresáři a dále dojde k vytvoření domény typu místní v protokolu SMTP. Ta slouží k tomu, aby poštovní zprávy odesílané do místní domény neopouštěly vnitřní síť. Nyní je infrastruktura pro elektronickou poštu připravena a je možné začít vytvářet poštovní schránky.

Poštovní schránky 1. Přihlaste se k serveru SRVR001 jako správci a spusťte konzolu Služba POP3. 2. Pravým tlačítkem myši klepněte na doménu studny.cz a v místní nabídce poté klepněte v části Nový na položku Poštovní schránka. 3. V dialogovém okně Přidat schránku zadejte do pole Název poštovní schránky přihlašovací jméno svého doménového účtu Active Directory (například itspra-val). Ostatní pole ponechte prázdná a klepněte na tlačítko OK. 4. V tuto chvíli proběhne v Active Directory vyhledání účtu se stejným přihlašovacím jménem. Pokud je účet nalezen, bude vytvoření poštovní schránky úspěšné (viz obrázek 28.3). Není-li účet nalezen, zobrazí se chybová zpráva. Obrázek 28.3 Informace pro přihlašování k nově vytvořené poštovní schránce

Všimněte si, že přihlašovací jméno pro jednoduché přihlašování je tvořeno celou e-mailovou adresou a původním heslem. Má to však jeden háček. Pokud uživatel používal k přihlášení do domény Active Directory přihlašovací jméno ve tvaru itspraval©studny.local, bude muset nyní používat přihlašovací jméno itspra [email protected]. O tom se můžete přesvědčit na kartě Účet v dialogovém okně vlastností uživatelského účtu.


392

Obrázek 28.4 Po vytvoření poštovní schránky se změní přihlašovací jméno uživatele

Obdobnou konfiguraci poštovní schránky proveďte ještě pro alespoň jednoho uživatele, aby bylo možné poštovní služby dostatečně prověřit.

Server SMTP Přestože je protokol SMTP velmi jednoduchým protokolem, což svádí k tomu myslet si, že nebude vyžadovat téměř žádnou konfiguraci, opak je pravdou. Zejména pokud bude váš server SMTP k dispozici v Internetu, je nutné dobře porozumět důležitým konfiguračním nastavením a také je třeba se smířit s tím, že ve výchozím stavu není přenos poštovních zpráv šifrován ani jinak zabezpečen. Ve výchozím stavu se dá server SMTP považovat za zabezpečený a nakonfigurovaný pro potřeby většiny organizací. Nyní se podíváme na nastavení, která mohou být v elektronické komunikaci důležitá. 1. Přihlaste se k serveru SRVR001 jako správci a spusťte nástroj Správa internetová informační služby. 2. Pravým tlačítkem myši klepněte na položku Výchozí virtuální server SMTP a zobrazte jeho vlastnosti. 3. Na kartě Obecné zaškrtněte políčko Povolit protokolování a vyberte položku Formát protokolu W3C Extended. Poté klepněte na tlačítko Vlastnosti. 4. V dialogovém okně Vlastnosti protokolování zaškrtněte políčko Použít místní čas pro pojmenovávání souborů a časový přechod. Na kartě Upřesnit zaškrt něte políčka Datum, Čas, Adresa IP klienta, Uživatelské jméno, Název služby, Stav protokolu, Odeslané bajty, Přijaté bajty, Doba trvání a Verze protokolu. Klepnutím na tlačítko OK zavřete dialogové okno Vlastnosti protokolování. Na kartě Přístup se můžete setkat s následujícími nastaveními: ♦

Řízení přístupu Přístup k serveru SMTP je standardně anonymní. Znamená to, že uživatelé se nemusí ověřovat. Pokud je server SMTP dostupný z Internetu, je takové nastavení žádoucí, neboť v opačném případě by vám zřejmě těžko přicházely e-mailové zprávy.

♦

Řízení připojení Dále je možné určit, ze kterých adres IP bude možné se k serveru SMTP připojit. Tato konfigurace se používá pro vyšší zabezpečení serveru, neboť adresy IP, které nemají přístup povolen, server SMTP odmítne. Tuto konfiguraci můžete využít pro zamezení přijímání nevyžádaných zpráv. V takovém případě je ale nutné znát adresy IP serverů, ze kterých tyto zprávy přicházejí a seznam těchto adres udržovat aktuální.

♦

Omezení přenosu Server SMTP standardně přijme pouze zprávy odeslané do některé z místních domén nebo domén aliasu (definovaných po klepnutí na položku Domény). Pokud by server přijímal od jakéhokoli počítače poštu pro všechny domény, byl by vyhledávaným serverem pro ty uživatele (nebo škůdce?), kteří hromadně odesílají nevyžádané zprávy. Dost možná, že by se adresa IP takového serveru za nějaký čas ocitla na seznamech Blacklist a ostatní servery by zprávy odesílané z tohoto serveru nepřijímaly. Vaše organizace by tak nebyla schopna směrem ven elektronicky komunikovat. Místní uživatelé ale musí mít možnost odesílat zprávy do všech domén. Výchozí konfigurace omezení přenosu je proto taková, že server přijme e-mailovou zprávu od každého uživatele, který se ověří (bez ohledu na jeho adresu IP). Pokud budou uživatelé odesílat poštu pouze z místní sítě, je možné zvýšil za bezpečení omezení přenosu pouze na rozsah adres IP, které se mohou ve va ší síti vyskytovat, a odebrat možnost přenosu pro všechny ověřené uživatele, Pokud ale budou uživatelé odesílat poštu i mimo organizaci (připojí se například k Internetu z domova), není tato konfigurace reálná, neboť nelze dopře du říci, jakou adresou IP bude klient disponovat. Jedinou výjimkou, kdy by se dalo omezení na adresy IP použít i pro vzdálené klienty, je používání sítě VPN (pro kterou jsme server nakonfigurovali v kapitole 26, „Uživatelé potřebují pracovat i z domova"). Omezení přenosu je jednou z nejdůležitějších konfigurací serveru SMTP a je třeba mu neustále věnovat patřičnou pozornost. Dobrým místem pro kontrolu zpráv, které procházejí přes váš server SMTP, jsou protokoly, jež jste nakonli gurovali v kroku číslo 4.


393

Obrázek 28.5 Karta Přistup v dialogovém okně vlastností serveru SMTP

6. Přejděte na kartu Zprávy. Ta obsahuje omezení týkající se zpráv odesílaných či přijímaných serverem SMTP. Všimněte si výchozího omezení maximální velikosti zprávy (2 048 kB). Pro odesílání zpráv mimo organizaci se jedná o celkem rozumnou hodnotu (šetříte své internetové připojení, případně připojení pobočky a centrály), větší problém to může být pro odesílání zpráv v rámci organizace. Je tedy potřeba najít vhodný kompromis. Do pole Odeslat kopii zpráv o nedoručení zadejte e-mailovou adresu správce serveru SMTP ([email protected]). Pokud některý z uživatelů v Internetu odešle zprávu do vaší společnosti na neexistující e-mailovou adresu, vygeneruje poštovní server automaticky zprávu o nedoručení (Non Delivery Report, NDR), již odešle ihned zpět a zároveň ji odešle na uvedenou e-mailovou adresu. Správce serveru SMTP má tak přehled o veškerých zprávách, které byly odeslány neexistujícím příjemcům (původní zpráva je přílohou zprávy NDR). To samé platí pro zprávy odesílané z vaší organizace do Internetu. Poznámka Správce poštovního serveru, jehož e-mailová adresa je uvedena v poli Odeslat kopii zpráv o nedoručení, musí mít vytvořenu poštovní schránku. Pokud není zprávu NDR komu odeslat (v hlavičce odesílané zprávy je například uvedena neexistující e-mailová adresa), server SMTP zprávu nezahodí, ale umístí ji do složky zadané v poli Adresář chybné pošty. Do tohoto pole zadejte cestu do složky, kterou budete pravidelně kontrolovat a její obsah mazat. Obrázek 28.6 Karta Zprávy v dialogovém okně vlastností serveru SMTP


394

7. Klepněte na kartu Doručování. Zde jsou uvedeny informace týkající se odesílání elektronické pošty. Jestliže uživatel odešle zprávu externímu uživateli v Internetu, snaží se server SMTP spojit se svým protějškem odpovědným za doručení do této domény. Může se ale stát, že nebude v danou chvíli dostupný. Zpráva se v takovém případě zařadí do fronty a za nějaký čas se zkusí odeslat znovu. Tyto časy jsou standardně definované tak, že k prvnímu pokusu dojde po 15 minutách, k druhému po 30 minutách (od předešlého) atd. Pokud se nedaří zprávu doručil ani po 12 hodinách, přijde odesilateli informace o zpoždění zprávy, a pokud se zprávu nepodaří doručit do 2 dnů, vrátí se odesilateli (případně definovanému správci) zpráva o nedoručení (NDR). Konfigurace intervalů pro opakované doručování záleží na potřebách organizace a na zatížení linek pro připojení k Internetu. Servery SMTP v Internetu jsou stan dardně nakonfigurované tak, že první tři pokusy o doručení proběhnou vždy po 10 minutách a každý další po 15 minutách. Prahové hodnoty 12 hodin a 2 dny jsou shodné. Pokud uživatel místní organizace odešle zprávu uživateli s e-mailovou adresou [email protected], je na serveru SMTP, jenž zprávu odesílá, aby vyhledal server SMTP odpovědný za doménu cpress.cz. To se provádí vyhledáním záznamů typu MX (Mail Exchange) v internetová službě DNS. Pro každou doménu si tak server SMTP vyhledává svého kolegu, kterému poté zprávu předá. Toto výchozí chování pro směrování zpráv je možné změnit. Některé společnosti například předávají veškerou poštu ze svých serverů SMTP do jednoho místa (jednomu konkrétnímu počítači), který provede skenování na přítomnost virů, zprávu opatří podpisem společnosti a odešle ji. Pokud tedy chcete toto předávání nakonfigurovat, klepněte na kartě Doručování na tlačítko Upřesnit a do pole Inteligentní hostitel zadejte do hranatých závorek adresu IP nadřazeného serveru SMTP. Jiným případem využití této možnosti je předávání veškerých poštovních zpráv nadřazenému serveru SMTP svého poskytovatele, se kterým máte rychlejší spojení než se zbytkem světa. Potom se dá předpokládat, že zprávy elektronické pošty se k příjemcům dostanou rychleji. Na druhou stranu je poskytovatel schopen mnohem jednodušeji sledovat veškerou elektronickou poštu, která z vaší organizace odchází, a aby to celé pracovalo, musí vašemu serveru povolit přenos (viz vysvědení výše). Obrázek 28.7 Karta doručování v dialogovém okné vlastností serveru SMTP

Nalezení serveru SMTP pomocí záznamů MX Jakým způsobem vyhledává server SMTP svého partnera, pokud k doručování zpráv používá službu DNS? Ukažme si to na příkladu s výše uvedenou e-mailovou doménou @cpress.cz. 1. Přihlaste se k počítači, který je připojen k Internetu a spusťte příkazový řádek. 2. Na příkazovém řádku zadejte příkaz nslookup a vyčkejte zobrazení znaku jeho vlastního příkazového režimu (znak >). Může se stát, že se zobrazí zpráva o nenalezení serveru. Tu nemusíte brát vážně, neboť se objeví vždy, pokud pro server DNS neexistuje záznam typu PTR v zóně zpětného vyhledávání. 3. Zadejte příkaz set type=mx a stiskněte klávesu Enter. 4. Zadejte název domény cpress.cz a stiskněte klávesu Enter. Zobrazí se informace o záznamech typu MX pro doménu cpress.cz: > set type=MX > cpress.cz S e r v e r : mgs2.eurotel.cz A d d r e s s : 1 6 0 . 2 1 8 . 1 0 . 2 0 1 N o n - a u t h o r i táti ve a n s w e r : cpress.cz MX p r e f e r e r c e = 10, m a i l e x c h a n g e r = mail.cpress.cz cpress.cz MX p r e f e r e n c e - 100, m a i l e x c h a n g e r = relay.contactel.cz cpress.cz cpress.cz

nameserver = n s . c p r e s s . c z nameserver = ns4.computerpress.cz


395

mail.cpress.cz

internet ad dr es s = 80.95.114.161 >

Pro doménu cpress.cz existují dva záznamy typu MX, které se liší svou váhou. Ta určuje prioritu záznamů. Znamená to, že server SMTP se nejdříve pokusí spojit se serverem mail.cpress.cz (adresa IP 80.95.114.161). Pokud by server neodpověděl, bude se snažil o spojení se serverem relay.contactel.cz. Způsob předání zpráv mezi servery relay.contac-tel.cz a mail.cpress.cz je pak již otázkou dohody jejich provozovatelů. Poznámka Informace Non-authoritative answer říká, že poskytnuté informace pocházejí z mezipa-měti serveru DNS, kterému byl dotaz položen (mgs2.eurotel.cz). Serverová část e-mailových služeb je v tuto chvíli připravena. Aby ale mohli uživatelé služby využívat, musí mít k dispozici některého klienta protokolu POP3. Těch je sice k dispozici nesčetné množství, ale proč se nejprve nepodívat do již používaných produktů? Součástí systémů Windows 2000/XP/2003 je totiž poštovní klient Outlook Express (v systémech Windows 2000 verze 5.0, v systémech Windows XP/2003 verze 6.0), který bude pro naše účely zcela vyhovující. Protože je součástí operačního systému, není nul né jej instalovat a náklady na jeho podporu budou minimální.

Konfigurace klientů a ověření komunikace Samotná konfigurace klienta Outlook Express pro používání poštovních služeb systému Windows Server 2003 je relativně jednoduchá, přesto bude ale nutné uživatele tento po stup naučit. Není jej totiž možné provést z pozice správce, neboť konfigurace poštovního účtu, který má každý uživatel jinou, je uložena v profilu uživatele. Pokud byste přece jen jako správci chtěli uživatelům pomoci, je k dispozici nástroj s názvem Internet Explorer Administration Kit (IEAK), pomocí kterého lze nakonfigurovat spoustu věcí nejenom v aplikaci Internet Explorer, ale také Outlook Express. V opačném případě bude konfigurace poštovního klienta zcela na uživateli. Jako uživatel nakonfigurujete svého poštovního klienta následujícím způsobem: 1. Přihlaste se k počítači PC001 pomocí svého uživatelského účtu (poštovní schránku má zatím vytvořenu pouze uživatel ITSprával, takže přihlaste tohoto uživatele). 2. V Nabídce Start spusťte aplikaci Outlook Express. Spustí se Průvodce připojením k Internetu. Do pole Zobrazované jméno zadejte své jméno (Správce IT) a klepněte na tlačítko Další. 3. V dialogovém okně Internetová e-mailová adresa zadejte vlastní e-mailovou adresu [email protected]. Pokračujte klepnutím na tlačítko Další. Obrázek 28.8 Na zadanou e-mailovou adresu budou chodit odpovědi na odeslané zprávy

4. V dialogovém okně Názvy serverů zadejte do pole Server příchozí pošty a Server odchozí pošty server SRVR001. Pokračujte klepnutím na tlačítko Další. 5. V dialogovém okně Přihlašování k poště Internetu zadejte do pole Název účtu přihlašovací jméno (podle informací po vytvoření poštovní schránky - viz obrázek 28.4) ve tvaru [email protected] a do pole Heslo zadejte heslo doménového účtu itspraval. Políčko Zapamatovat heslo ponechte zaškrtnuté a pokračujte klepnutím na tlačítko Další. 6. V dialogovém okně Blahopřání klepněte na tlačítko Dokončit. Účet elektronické pošty je vytvořen.


396

Obrázek 28.9 Příchozí a odchozí server je totožný

Nyní můžete ověřit funkce e-mailových služeb. Vytvořte novou poštovní zprávu a odešlete ji sami sobě. Zpráva by měla ihned odejít a měla by se uložit do vaší poštovní schránky na serveru POP3. Výchozí interval pro stahování zpráv aplikace Outlook Express je 30 minut. Pokud chcete odeslanou zprávu stáhnout ihned, klepněte v aplikaci Outlook Express na tlačítko Odeslat a přijmout. Zpráva by se měla zobrazit ve složce Doručená pošta. Nyní se můžete pokusit odeslat zprávu elektronické pošty do jiné domény (například na adresu [email protected]). Bez ohledu na to, zda zadaná adresa existuje či nikoli (a nemusíte být ani připojeni k Internetu) zpráva neodejde, neboť tento typ přenosu je omezen pouze na ověřené uživatele. Ve výchozím nastavení aplikace Outlook se připojení k odchozímu serveru SMTP neověřuje. Obrázek 28.10 Odezva serveru 5.7.1 Unable to relay for [email protected] sděluje zakázaný přenos do vzdálených domén

Protože je samozřejmě žádoucí, aby uživatelé mohli komunikovat s celým elektronickým světem, bude potřeba nakonfigurovat ověření proti serveru SMTP. Postupujte podle následujících pokynů. 1. V nabídce Nástroje aplikace Outlook Express klepněte na položku Účty. 2. V dialogovém okně Účty v Internetu klepněte na kartu Pošta, označte dříve vytvořený účet a poté klepněte na tlačítko Vlastnosti. 3. V dialogovém okně vlastností připojení (které má shodou okolností stejný název jako server) klepněte na kartu Servery a v části Server odchozí pošty zaškrtněte políčko Server požaduje ověření. Obrázek 28.11 Přihlašovací jméno pro službu SMTP je jiné než pro službu P0P3. Proto nelze využít možnost Použít stejné informace jako pro server příchozí pošty

4. Klepnutím na tlačítka OK a Zavřít zavřete všechna dialogová okna. Tato konfigurace ještě nestačí. Klient bude totiž zcela zbytečně odesílat jméno a heslo uživatele serveru SMTP, který není na jejich příjem připraven. Server SMTP nakonfigurujete podle následujících pokynů:


397

1. Přihlaste se k serveru SMTP jako správci a spusťte nástroj Správa internetová informační služby. 2. Pravým tlačítkem myši klepněte na položku Virtuální server SMTP a zobrazte jeho vlastnosti. 3. Na kartě Přístup klepněte na tlačítko Ověřování a zaškrtněte políčko Základní ověřování. Zobrazí se informace o přenosu hesel v čitelné podobě. Klepněte na tlačítko Ano. 4. Dvakrát za sebou klepněte na tlačítko OK. Zavřou se všechna dialogová okna. Z klienta elektronické pošty nyní zkuste znovu odeslat zprávu do vzdálené domény. Nyní by již mělo být vše v pořádku. Poznámka Jiným řešením konfigurace přenosu může být zrušení možnosti přenosu pro ověřené počítače (prakticky uživatele) a definování rozsahu adres IP. V takovém případě by nebylo nutné provádět ani zásah v aplikaci Outlook Express ani na serveru SMTP. Pokud je

vše v pořádku a elektronická pošta chodí pilotním uživatelům oběma směry (do vlastní i cizích domén), můžete poštovní schránky vytvořit ostatním uživatelům a naučil je konfigurovat klienty elektronické pošty.

Uživatelé na pobočkách Služba SMTP přijme zprávu od některého z klientů elektronické pošty. Pokud je adresa tem uživatel z místní domény definované při konfiguraci serveru POP3, předá server SMTP tuto zprávu službě POP3, která se pokusí najít poštovní schránku příjemce. V případě úspěchu se zpráva zařadí do poštovní schránky, v případě neúspěchu se generuje zpráva o nedoručení, která se vrátí odesilateli. Vzhledem k tomuto procesu nejsou servery SMTP ani POP3 schopny vyhledat umístěni poštovní schránky konkrétního uživatele a snaží se o doručení do poštovní schránky služ by POP3, která je ve stejném počítači jako služba SMTP. Pokud bychom tedy chtěli definovat poštovní schránky uživatelů na pobočkách na jednotlivých pobočkových serverech, musel by odesilatel vědět, na kterém serveru má daný adresát schránku a odeslat zprávu příslušnému serveru SMTP (uživatel by musel pokaždé nakonfigurovat účet). V praxi však není možné, aby odesilatelé znali umístění poštovních schránek příjemců, navíc by pak nebylo možné ani odesílat jednu zprávu více příjemcům najednou. Jaké jsou tedy možnosti řešení?

Poštovní schránky všech uživatelů na jediném serveru Vytvoření poštovních schránek všech uživatelů na jediném serveru je z hlediska správy ideálním řešením. Protože bude existovat jediný poštovní server, proběhne jediná insta lace služby POP3 (a samozřejmě služby SMTP) a správci se tak budou starat o správu je diného serveru. Nevýhodou tohoto řešení se může zdát vyšší zatížení linek spojujících pobočky a centrá lu. Pokud si však představíte konkrétní přenos zpráv, žádné vysoké zatížení linky nečeká. Pokud by uživatelé měli poštovní schránky na pobočkách a bylo by funkční automa tické směrování, zprávy by přes linky spojující centrálu a pobočky procházely ihned po odeslání. Jestliže mají uživatelé poštovní schránku na serveru v centrále, proběhne pře nos zpráv také. Jediným rozdílem může být přenos vyššího objemu dat najednou (ve dru hém případě).

Více poštovních serverů se stejným úložištěm Princip tohoto řešení je jednoduchý. Každý server POP3 má po své instalaci výchozí lilo žiště poštovních schránek ve složce C:\Inetpub\mailroot\Mailbox. Služba POP3 však podporuje také cesty UNC (ve tvaru \\server\ složka). Je tedy velmi jednoduché vytvořit jediné úložiště poštovních schránek a definovat je ve všech nainstalovaných serverech POP3. Úložiště dokonce nemusí ležet na žádném serveru POP3! Definice jednotného úložiště se liší podle typu ověřování uživatelů. Pokud používáte ově ření účtů v Active Directory, je celý postup jednodušší. Konfigurace úložiště by měla proběhnout ještě dříve, než vytvoříte e-mailovou doménu a začnete konfigurovat poštovní schránky. Konfigurace jediného úložiště probíhá následovně (v případě ověřování účtů v Active Di-rectory): 1. Na některém ze serverů (například SRVR001) vytvořte na nějaké jednotce složku s názvem Mail. Složku sdílejte pod stejným názvem. 2. Na kartě Sdílení klepněte na tlačítko Oprávnění. Odeberte skupinu Everyone a klepněte na tlačítko Přidat. 3. V dialogovém okně Vyberte uživatele, počítače nebo skupiny klepněte na tlačítko Typy objektů a zaškrtněte položku Počítače. Poté klepněte na tlačítko OK. 4. Do pole Zadejte názvy objektů k výběru zadejte objekty Domain Adtnins, Network Service, System a název každého poštovního serveru oddělené středníkem. Poté klepněte na tlačítko OK. Obrázek 28.12 Uvedené objekty musí mí oprávnění Úplné řízení


398

5. U všech objektů zadejte oprávnění Úplné řízení a poté klepněte na tlačítko Použít. 6. Klepněte na kartu Zabezpečení a proveďte zde kroky 3, 4 a 5. 7. Klepněte na tlačítko Upřesnit a ujistěte se, že je zaškrtnuté políčko Povolit přenesení dědičných oprávnění... Dále zaškrtněte políčko Nahradit položky oprávnění ve všech podřízených objektech... a klepněte na tlačítko OK. Zobrazí se informace o definování oprávnění na podřízené objekty. Klepněte na tlačítko Ano a poté klepnutím na tlačítko OK zavřete dialogové okno vlastností složky Mail Nyní zbývá provést konfiguraci serverů POP3. Postupujte podle následujících pokynů. 1. Přihlaste se k počítači s nainstalovanou součástí E-mailové služby a spusťte nástroj Služba POP3. 2. Zobrazte vlastnosti serveru POP3 a do pole Kořenový e-mailový adresář zadejte cestu ve formátu \\SRVR001\Mail. Zobrazí se informace, že změna se projeví po restartování služeb POP3 a SMTP. Klepnutím na tlačítko Ano provedete jejich restart. 3. Celý postup opakujte pro ostatní poštovní servery POP3. Poznámky Pokud změníte nastavení jakéhokoli serveru P0P3 (například port nebo úroveň protokolování), nakonfiguruji se oprávnění v úložišti poštovních schránek do výchozího stavu. Poté je nutné provést jejich novou konfiguraci (viz konfigurace oprávnění v konfiguraci úložiště výše). Novou doménu musíte vytvořit na všech poštovních serverech P0P3, které sdílejí vytvořené úložiště. Pokud chcete e-mailovou doménu později odstranit, musíte ji znovu odstranit na všech serverech P0P3. E-mailovou schránku je možné definovat na jakémkoli serveru P0P3; poté je viditelná na každém serveru P0P3 sdílejícím stejné úložiště. Budete-li používat kvóty, je nutné je definovat na jednotce s úložištěm poštovních schránek.

Zabezpečení serveru POP3 a elektronické komunikace Protože se uživatelé k serverům služby POP3 přihlašují pomocí doménových účtů, je třeba zvážit dopad na zabezpečení prostředí. Bohužel je nutné uvést, že vzhledem k jednoduchosti protokolů POP3 i SMTP se na zabezpečené metody ověřování příliš nemyslelo. Znamená to, že ve výchozím stavu je přenos hesel nutných pro ověřování nezabezpečen!

Protokol POP3 Při každém přihlašování k serveru POP3 se jméno a heslo odesílá ve formě prostého textu. Velmi jednoduchým způsobem je tak možné přihlašovací jméno a heslo zjistit. Stačí k tomu nainstalovat produkt, který je schopen sledovat síťový provoz (na vzdálené síťové kartě), a potenciální útočník má vyhráno. To se týká jak přístupu z Internetu, tak přístupu z vnitřní sítě. Je tedy nasnadě, že zabezpečení přihlašování je při instalaci protokolu POP3 úkolem číslo jedna. Kromě přihlašovacího jména a hesla je ve výchozí konfiguraci bez jakéhokoli zabezpečení přenášen také obsah zpráv. Pokud se ve zprávách elektronické pošty přenášejí důvěrné informace, bude pravděpodobně vhodné zabezpečit i jejich přenos. Co na to součást E-mailové služby systému Windows Server 2003? Pomocí této služby můžeme zabezpečit pouze přihlašovací informace. Pro zabezpečení obsahu přenášených zpráv bychom museli do sítě přidat další servery, zejména pro případ přístupu z Internetu.

Zabezpečení přihlašovacích informací protokolu POP3 Pokud nevyužijete žádné možnosti zabezpečení, přenese se uživatelské jméno a heslo za dané v klientské aplikaci Outlook Express jako prostý text. Na straně serveru se vytvoří takzvaný hash hesla (jednosměrná transformace hesla), který se porovná s heslem na ser veru. Pokud jsou tyto hashe stejné, uživatel je ověřen. Zabezpečením přihlašovacích informací se proces ověření uživatele poněkud změní. Přejde se na typ ověření NTLM, při kterém k přenosu hesla ani jeho hashe nedochází. Jednoduše se dá tato metoda vysvětlit následovně: Při požadavku o ověření vygeneruje server náhodný řetězec, který odešle klientskému počítači. Ten daný řetězec zašifruje heslem, které má k dispozici od uživatele a výsledek odešle zpět serveru. Server heslo uživatelského účtu pochopitelně zná, takže jej vezme a přijatý řetězec dešifruje. Pokud po této operaci získá původně vygenerovaný řetězec, je uživatel ověřen a přístup je povolen. Heslo tak vlastně hraje roli symetrického šifrovacího klíče. Konfigurace zabezpečení přihlašovacích informací 1. Přihlaste se k počítači PC001 jako uživatel elektronické pošty a spusťte aplikaci Outlook Express. 2. V dialogovém okně vlastností poštovního účtu přejděte na kartu Servery a zaškrtněte políčko Přihlašovat se zabezpečeným ověřováním hesla. V poli Název účtu pak musíte z přihlašovacího jména odebrat znak @ společně s doménou.


399

Obrázek 28.13 Konfigurace zabezpečeného ověřování hesla (Secure Password Authentication, SPA)

3. Klepnutím na tlačítko OK zavřete dialogové okno vlastností poštovního účtu. Zde je důležité vědět, že konfiguraci tohoto zabezpečení ponecháváte na vůli uživatelů. Jinými slovy - pokud uživatel tento postup neprovede, bude moci i nadále využívat služby serveru POP3 a jeho pověření se budou v síti zasílat ve formě prostého textu. A dokud si uživatelé nebudou svého hesla vážit alespoň stejně jako kódu PIN k vlastní pla-tební kartě, nedá se zvýšená aktivita očekávat. Jako správci ale máte možnost zabezpečené ověření vynutit. Je to jediná možnost zabezpečení, kterou vám server POP3 v systému Windows Server 2003 nabízí, a rozhodně ji lze doporučit. Postupujte podle následujících pokynů. 1. Přihlaste se k serveru se službou POP3 jako správci a spusťte nástroj Služba POP3. 2. Zobrazte dialogové okno vlastností serveru POP3 a zaškrtněte políčko Požadovat zabezpečené ověřování hesla (SPA) pro všechna klientská připojení. 3. Klepnutím na tlačítko OK zavřete dialogové okno. Zobrazí se informace, že změny se provedou až po restartování služby POP3. Klepnutím na tlačítko Ano službu POP3 restartujte. Od této chvíle máte jistotu, že uživatelé, kteří neprovedli konfiguraci zabezpečení ověření hesla, se k serveru POP3 nepřipojí. Poznámka Pokud používáte více serverů P0P3, nezapomeňte toto nastavení nakonfigurovat na každém z nich.

Zabezpečení přenosu obsahu stahovaných zpráv Obsah zprávy lze proti zachycení zabezpečit pouze šifrováním. Protokol POP3 podporuje jako standard šifrování SSL, implementace protokolu POP3 v systému Windows Server 2003 však tuto možnost nenabízí. Jedinou variantou tak zůstává zabezpečení přenosu veškerých dat mezi serverem POP3 a klientem pomocí protokolu IPSec. Poznámka Pokud by protokol POP3 v systému Windows Server 2003 podporoval šifrování SSL, nemuseli byste při jeho využití konfigurovat zabezpečené ověřování hesla.

Protokol SMTP Protokol SMTP slouží k přenosu e-mailových zpráv z klienta na server nebo mezi servery SMTP. Z pohledu zabezpečení je na tom ve výchozím stavu podobně jako protokol POP3 s jedinou výjimkou - zatímco u protokolu POP3 je ověření povinné, protokol SMTP umožňuje anonymní přístup. Ověření ale potřebujeme pro povolení přenosu zpráv clo vzdálených domén (pokud není přenos povolen pro konkrétní adresy IP). Dále se podíváme na zabezpečení ověření a samotných zpráv elektronické pošty při přenosu.

Zabezpečení přihlašovacích informací Protokol SMTP může využívat, obdobně jako další internetové protokoly, šifrování SSL, které je zde reprezentováno jako TLS. Zatímco mezi servery SMTP je možné použít toto šifrování bud pro zabezpečení ověření nebo pro zabezpečení přenosu všech dal Ucel ně ověření), klientská aplikace Outlook Express podporuje pouze zabezpečení veškeré ho přenosu dat (samostatné zabezpečení přihlašovacího procesu ve spojení s protokolem SMTP v systému Windows Server 2003 neumí).


400

Zabezpečení přihlášení a přenosu obsahu zpráv Podobně jako u protokolu SMTP je nutné i v tomto případě provést konfiguraci na obou stranách - v klientské aplikaci i na serveru. Začněme konfigurací serveru. Konfigurace serveru pro šifrování TLS Aby bylo šifrování TLS funkční, musí mít server k dispozici dva klíče pro asymetrické šifrování - soukromý a veřejný. Ty je nutné nejprve na server naimportovat. Postupujte podle následujících pokynů: 1. Přihlaste se k počítači se službou SMTP a spusťte nástroj Správa internetové informační služby. 2. Zobrazte vlastnosti virtuálního serveru SMTP. Na kartě Přístup byste měli mimo jiné vidět standardní tlačítko Certifikát a šedé tlačítko Komunikace. Klepněte na tlačítko Certifikát a proveďte importování certifikátu. Poznámka Pokud máte v síti certifikační úřad, můžete žádost o vystavení certifikátu odeslat online a certifikát ihned importovat na server. Pokud nemáte certifikační úřad online, požádejte o certifikát externí certifikační úřad. 3. Po úspěšném importování certifikátu a soukromého klíče bude k dispozici tlačítko Komunikace. Po klepnutí na něj můžete zaškrtnutím políčka Vyžadovat zabezpečený kanál vynutit šifrování TLS. Poznámka Ačkoli vynucení šifrování nemusí být pro komunikaci klienti SMTP <- -> server SMTP problém, bude se jednat o nepřekonatelnou překážku v komunikaci místní server SMTP <- > internetové servery SMTP. Vynucení šifrování TLS tedy nemusí být optimální volba. Pokud šifrování nevymítíte, mají klienti dvě možnosti - komunikovat nešifrovaně nebo šifrovaně (včetně stejného přístupu k přihlašovacím informacím). Můžete ale vynutit šifrování u přihlášení, při kterém mohou se serverem nešifrovaně komunikovat pouze servery nebo klienti nevyžadující ověření (například klient odesílá zprávu kolegovi z místní domény), zatímco při ověření se zároveň bude šifrovat celá zpráva. Tuto konfiguraci provedete podle následujících pokynů: 1. V dialogovém okně vlastností serveru SMTP klepněte na kartu Přístup. 2. Klepněte na tlačítko Ověřování a zaškrtněte položky Základní ověřování a Vyžadovat šifrování TLS. 3. Klepnutím na tlačítko OK zavřete dialogové okno. Poznámka Pokud nyní vyzkoušíte odeslat z klientské aplikace Outlook Express e-mailovou zprávu do místní domény, zpráva odejde (zde se nevyžaduje ověření, takže se neuplatní ani vynucení šifrování TLS). Zprávy pro příjemce ze vzdálených domén však neodejdou, neboť klient se musí ověřit, přičemž dosud není na šifrování TLS nakonfigurován. Konfigurace klienta pro šifrování TLS Zde je třeba znovu připomenout, že následující konfigurací dojde jak k zabezpečení přihlašovacích informací, tak přenášených dat. 1. Jako uživatelé e-mailových služeb zobrazte v aplikaci Outlook Express dialogové okno vlastností poštovního účtu. 2. Na kartě Upřesnit zaškrtněte pod položkou Odchozí pošta (SMTP) políčko Tento server požaduje zabezpečené připojení (SSL). 3. Klepnutím na tlačítko OK zavřete dialogové okno.

Doplněk - zabezpečení serveru P0P3 Na úvod krátký příklad. 1. 2. 3. 4.

Přihlaste se k počítači PC001 jako kterýkoli uživatel a spusťte příkazový řádek. Na příkazovém řádku zadejte příkaz telnet. Spustí se vlastní prostředí příkazového řádku nástroje Telnet. Zadejte příkaz set localecho (v systémech Windows 2000 set local_echo). Zajistíte tím zobrazování zadávaných příkazů. Nyní zadejte příkaz open SRVR001 110. Zobrazí se uvítací zpráva serveru POP3 (+0K Microsoft Windows P0P3 Service Version 1.0 <[email protected]> ready).

Jedno ze základních pravidel zabezpečeného prostředí zní: Neposkytujte potenciálním útočníkům informace, které nemusíte. Proč jim tedy poskytovat informace, že službu POP3 provozujeme v systému Windows Server 2003? Řešením je změna úvodní zprávy. Postupujte následovně: 1. 2. 3. 4.

Přihlaste se k počítači se službou POP3 jako správci a spusťte Editor registru (regedit.exe). V registru systému přejděte na klíč HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Pop3 Service. V nabídce Úpravy klepněte na položku Nový a dále Řetězcová hodnota. Její název zadejte Greeting. V podokně podrobností poklepejte na hodnotu Greeting a do pole Údaj hodnoty zadejte novou úvodní zprávu (například Nazdarek!). Poté klepněte na tlačítko OK a restartujte službu POP3. Poznámka Zpráva nesmí být delší než 259 znaků a nesmí obsahovat netisknutelné znaky ASCII a znaménka <>. V takovém případě se


401

zobrazí vždy původní zpráva. 5. Nyní znovu proveďte postup uvedený výše. Všimněte si nové úvodní zprávy: +0K N a z d a r e k ! <1 1 77 89 07@s rvr 0 0 1. s t u d n y.l o c a l > r e a d y .

Rozhodně nelze říci, že byste se tímto krokem před útočníkem zcela ukryli. V každém případě jim však jejich práci zkomplikujete.

Závěr Systém Windows Server 2003 přichází jako první operační systém společnosti Microsoft s vestavěnou podporou elektronické komunikace. Instalaci součástí, které se o tyto služby starají, je dobré předem velmi dobře naplánovat. Je třeba počítat s tím, že uživatelé mohou do schránek odesílat velké množství dat, které by případně mohlo obsadit veškeré volné místo na disku. Úložiště poštovních schránek by mělo být z tohoto důvodu odděleno od souborů operačního systému, z důvodu vyššího výkonu by pak mělo být pokud možno na samostatném fyzickém disku. Poštovních služeb se účastní dvě součásti - servery POP3 a SMTP. Protokol POP3 slouží k získávání zpráv z poštovní schránky, protokol SMTP k jejich odesílání z klienta elektronické pošty. Jako klientský software je možné použít vestavěnou součást operačních systémů Windows aplikaci Outlook Express. E-mailové služby nejsou omezené pouze na elektronickou komunikaci v rámci organizace. Je možné je využívat také pro komunikaci do a z Internetu. V takovém případě je kromě všech kroků uvedených v této kapitole navíc zapotřebí provést následující činnosti: ♦ ♦ ♦

Vybrat doménu, která není v Internetu obsazena, a zaregistrovat ji (například studny.cz). Do internetové zóny DNS (kterou u malých organizací vede zpravidla poskytovatel připojení k Internetu) zadat záznam typu MX směrovaný na server mail.studny.cz a záznam typu A pro server mail na externí adresu IP přidělenou poskytovatelem. Na počítači zpřístupňujícím Internet (SRVR002) zadat směrování požadavků zvenku na port 25 na server SMTP ve vnitřní síti.

Protože jsou oba protokoly pro přenos zpráv elektronické pošty velmi jednoduché, je třeba také věnovat čas jejich zabezpečení. To se týká zejména zabezpečení přenosu hesel doménových účtů, případně celých zpráv.

Stav sítě V síti přibyly e-mailové služby. Jsou nainstalované na serveru SRVR001, případně na pobočkových serverech (SRVR003). Servery POP3 mají společné úložiště pro poštovní schránky. Uživatelé mají nakonfigurované aplikace Outlook Express, které pro komunikaci používají. Komunikace protokolu SMTP je zabezpečena při odesílání zpráv do cizích domén, u protokolu POP3 je zabezpečeno ověřování hesla. Server POP3 v počítači SRVR001 má navíc změněnu uvítací zprávu.


402

Instalujeme server. Mistrovství v Microsoft Windows Server

Recommend Documents