ÚDŽBA PRACOVNÍCH STANIC, ZÁLOHOVÁNÍ, ANTIVIROVÁ OCHRANA příručka k semináři
Rozvojový projekt „Systémová podpora Informačního centra jako Centra excelence“
Projekt v rámci realizace I. Etapy Státní informační politiky ve vzdělávání (SIPVZ), zpracovala Střední průmyslová škola a Střední odborné učiliště, Trutnov, Školní 101
© SPŠ a SOU, Trutnov, Školní 101. 2004 - Všechna práva vyhrazena. URL: http://www.spssoutu.cz
Údržba pracovních stanic, zálohování, antivirová ochrana
1. Úvod Základním problémem každé počítačové sítě je trvalé zajištění jejího provozu. Provoz každé sítě může být narušen technickou poruchou, chybou obsluhy na straně uživatelů (případně i správce systému), zavirováním nebo jiným narušením systému. Proto je nezbytné pravidelně provádět preventivní údržbu, zabezpečovat síť a mít prostředky pro řešení problémů.
2. Specifické podmínky školní sítě V rámci školní sítě je trochu jiná situace než v běžném komerčním prostředí. V komerční sféře většina uživatelů pracuje s vlastním počítačem a zbytečně neexperimentuje. Po zavedení nějakého systému a jeho odladění se celek podstatně nemění, spíše dochází k větším skokům jednou za čas. Ve školách se u většiny počítačů střídá vetší počet uživatelů s různou úrovní znalostí a odlišnými zájmy i oblastí využívání. Velká část uživatelů je navíc dosti zvídavá a ráda experimentuje (i bez potřebných znalostí). Školy většinou nemají dostatek finančních prostředků a často improvizují a staví na fandovství svých pedagogů. Často na školách chybí ucelená koncepce rozvoje ICT. Poměrně často také dochází ke změnám.
3. ICT náklady ICT technika se stále rozšiřuje a je nezbytné i ve školách ji dále rozvíjet. Jejím využíváním se zefektivňuje a zkvalitňuje nejen běžná administrativní práce, ale i vzdělávání pedagogů a jejich příprava na výuku a vlastní proces výuky. Ceny této techniky stále klesají a objevují se stále nová, výkonnější zařízení. A pro nové programy a použití ICT je potřeba stále výkonnější ICT technika. Kromě rozšiřování ICT je nezbytné počítat s její životností, která je zhruba kolem 4 až 5 let. Proto je nezbytné počítat s dostatečnými prostředky na průběžnou obnovu. K těmto prostředkům je vždy nutné počítat ještě s prostředky pro pokrytí nákladů spojených s jejím provozem. Tyto náklady je možné rozdělit do několika kategorií: ) Náklady na spotřební materiál Představují nemalou položku v rozpočtu školy. V dnešní době se jedná hlavně o náplně do tiskáren, které stále narůstají (obdobně jako u kopírek). Proto je vhodné při nákupu těchto zařízení uvažovat i o ceně těchto náplní a nerozhodovat jen na základě pořizovací ceny. Pro tisk černobílých materiálů je zcela jistě vhodnější používat laserové tiskárny. Ale i zde jsou podstatné rozdíly. Ve většině případů vychází provozní náklady výhodněji v případě oddělené vlastní náplně a tiskového válce. Je vhodné pro větší objemy tisku používat výkonné síťové tiskárny, u kterých jsou nižší provozní náklady. A kategorii levných tiskáren (které mají vysoké provozní náklady) používat pro příležitostné tisky. U barevného tisku jsou u inkoustových tiskáren podstatně nižší pořizovací náklady, ale ceny náplní už tak výhodně nevycházejí. Navíc u těchto tiskáren je potřeba pro kvalitní tisk používat speciální (a tím podstatně dražší) média. U barevných laserových tiskáren dosáhnete vynikající kvality tisku i na běžný papír. ) Náklady na běžnou správu sítě Zajištění údržby a oprav ICT. Tuto činnost je možné z větší části zajistit externě (prostřednictvím najaté firmy nebo odborníka) nebo vlastními silami. Externí správa specializovanou firmou má výhodu ve vysoké profesionalitě, pokud daná firma disponuje řadou specializovaných odborníků. Nevýhodou je v některých případech málo pružné řešení problémů, často neznalost diferencí školního prostředí a poměrně vysoká cena. Pružnost řešení Strana 1/11
Údržba pracovních stanic, zálohování, antivirová ochrana může zvýšit vzdálená správa sítě a stanic (jako v případě INDOŠe), ale vyžaduje vyšší pořizovací náklady. Správa vlastními silami (většinou formou práce navíc učitele VT) má výhodu v ceně, znalosti prostředí a pružnosti. Pouze některé větší školy řeší správu sítě pracovníkem na plný úvazek. Nevýhodou je nemožnost vysoké specializace (poměrně široký záběr školních sítí). Většina škol kombinuje správu vlastními silami a specializovanou firmou na větší zásahy. ) Komunikační náklady Náklady za připojení do Internetu. Pro efektivní využití ICT je nezbytné její propojení se světem. Narůstá počet připojených stanic ve škole, jejich využívání, objem elektronické korespondence a objemy stahovaných dat. Proto stále rostou požadavky na kapacitu připojení. Pro školní síť je již prakticky nemyslitelné připojení vytáčenou telefonní linkou, ale je nezbytné trvalé připojení. Dnes je nejrozšířenější způsob linka ADSL nebo bezdrátové připojení. Bohužel v menších městech jsou náklady takového připojení podstatně vyšší než ve velkých městech. To je důsledek nižší konkurence a nižší koncentrace potenciálních zákazníků. Je jisté, že požadavky na kapacitu připojení budou i nadále růst a je nezbytné počítat s odpovídajícími náklady. Bohužel se na většině škol tyto náklady přímo nesledují a proto je obtížné analyzovat konkrétní situaci a podle ní rozhodovat o strategii. Plánování často naráží na nepochopení významu ICT u vedoucích pracovníků školy nebo nadřízených orgánů. Navíc jsou školy svázány daným rozčleněním finančních prostředků, které mají k dispozici (investiční, přímé a provozní) a dalšími předpisy a omezeními ze strany zřizovatele, včetně nerovnoměrnosti přidělování financí. V komerční sféře tyto činnosti bývají sledovány a pečlivě plánovány. Používá se hledisko TCO (Total Coast of Ownership) – celkové náklady na vlastnictví. Podle toho firmy rozhodují o výběru dodavatele, nákupech nebo pronájmech techniky, zajišťování správy sítě vlastními zaměstnanci nebo externím dodavatelem a dalších aspektech. V oblasti financování provozu ICT na školách budou již v příštím roce změny. Finanční prostředky budou školy dostávat ve formě účelových dotací a kromě daného základního rámce čerpání bude mít každá škola určitou volnost v rozhodování o využití. Základním předpokladem využití dotací bude zpracovaný ICT plán školy. Tím budou školy donuceny reálně plánovat vybavení v této oblasti.
4. Způsoby zajištění provozuschopnosti Hlavním problémem školní sítě je zabezpečení funkčnosti a provozu počítačové učebny a serverů. U serverů (a dalších prvků sítě) jde o řádné vyladění a zabezpečení systému, protože v případě výpadku sítě je ohrožena jak výuka (nefunkčnost učeben VT), tak i další oblasti chodu školy (komunikace, přípravy učitelů, řízení školy a další). U těchto systémů je nezbytné zajištění kombinací více prostředků: ) Záložní zdroj Nezbytný pro překlenutí krátkodobých výpadků rozvodné sítě a proti kolísání napájení. U většiny systémů je nejkritičtější fází provozu startování a vypínání systému. Záložní zdroj (UPS) snižuje počet takovýchto výpadků. Pokud nepřeklene krátkodobý výpadek, tak umožní alespoň korektní vypnutí systému (může probíhat i automaticky speciálním obslužným programem například PowerShut). Většina systémů umí ošetřit nekorektní vypnutí (výpadek). Při opětovném zapnutí po takovémto výpadku se systém pokouší obnovit normální stav a ve většině případů se to zdaří. Nejhorší situace ale nastane, pokud při tomto obnovování dojde
Strana 2/11
Údržba pracovních stanic, zálohování, antivirová ochrana k opětovnému výpadku. Pak je systém často vážně narušen a vyžaduje zásah správce, případně i ruční obnovu celého systému nebo reinstalaci. Úroveň ochrany serveru je daná typem UPS – offline nebo online. ) Zabezpečení serveru před nepovolaným přístupem Je nezbytné pro jeho správnou funkci. Naprosto nevhodné řešení je umístění serveru přímo na počítačové učebně. Každý žák se potom může pokoušet o přístup k němu, případně ho i „jen“ vypnout nebo manipulovat s kabeláží. Ani v kabinetě nemusí být server zcela zabezpečený. I učitelé mohou systém narušit nebo vypnout (většinou jen z neznalosti nebo omylem). Naprosto nevhodné je využívání serveru jako pracovní stanice pro některé uživatele. Proto je nejvhodnější server umístit do samostatné uzamčené místnosti, dobře větrané a málo vytápěné. ) Zálohování systému Umožňuje uchovávat důležitá data systému pro případ havárie a pro následnou obnovu. U učeben jde o stálý problém, kdy po zahájení hodiny potřebujete s žáky rovnou pracovat a ne řešit problémy s funkčností nebo nastavením jednotlivých stanic. Pro zajištění trvalé provozuschopnosti stanic (hlavně na počítačových učebnách) jsou možné dvě základní cesty. Jednou je možnost rychlého obnovení základního stavu a druhou je restriktivní politika a zabezpečení stanic. Obě varianty mají své výhody a nevýhody .
5. Prostředky obnovy systému Není nutné stanice na počítačové učebně nijak zvlášť zabezpečovat, pokud máte prostředky na jejich obnovu. Pak je hlavní výhodou této cesty možnost neomezované práce uživatelů, jejich „pokusničení“. Další výhodou je možnost použití libovolného operačního systému. Nevýhodou je nutnost technických a programových prostředků pro obnovu. Další nevýhodou je nutnost znovuvytvoření dat pro obnovu po každé změně systému (například instalace nového programu nebo jeho změna, výměna ovladače a podobně). Součásti systému obnovy ) Technické prostředky Slouží pro uložení dat pro obnovu a jejich přenos na stanici. Většinou data bývají uložena na serveru, kde je tedy nutné mít k dispozici potřebný diskový prostor. Pro rychlou obnovu je nezbytné mít na serveru výkonný systém (hlavně diskový) a správně nastavenou výkonnou síť. Tyto investice do serveru a sítě jsou řádově od desítky tisíc korun podle velikosti a struktury školní sítě. Jinou možností je uložení dat přímo na stanicích na nevyužité části lokálního pevného disku (skrytého pro běžné uživatele). Je také možné mít data vypálená na CD-R (DVD-R) a obnovovat je přímo na stanicích z lokální mechaniky. Tím vznikají náklady na vybavení stanic příslušnými mechanikami. ) Programové prostředky Slouží pro vlastní vytvoření dat pro obnovu a pro jejich vlastní obnovu. Nejjednodušší je použití programů pro vytvoření prostého obrazu disku (například Norton utility). Je ale nezbytné mít připravené možnosti inicializace systému pro vlastní obnovu (startovací disketu). Tato startovací disketa musí zajistit náběh operačního systému, oživit síť a přístup na server a spus-
Strana 3/11
Údržba pracovních stanic, zálohování, antivirová ochrana tit vlastní program pro obnovu. Propracovanější systémy umožňují i centrální správu obnovy systému a jeho monitorování. To je například v tuzemsku používaný program Repair 2000.
6. Prostředky restrikcí systému Druhou cestou je zabezpečit pracovní stanice takovým způsobem, aby běžný uživatel nemohl měnit nastavení systému. Některé operační systémy (Windows NT 4.0/2000/XP) mají takovéto prostředky zabudované přímo ve vlastnostech systému, pro jiné lze takovéto zabezpečení provádět speciálním programem. U systémů řady NT lze ve spojení se serverem Windows v roli řadiče domény vyladit celkem spolehlivý systém pro použití na počítačových učebnách. Přitom se používají následující prostředky: Vhodné členění uživatelů do skupin Již po instalaci systému jsou běžným uživatelům přiřazena pouze omezená práva. Uživatelé nemohou měnit podstatná nastavení systému a nemohou „zneprovoznit“ systém. Nemohou také instalovat programy. Tato nastavení a instalace nových programů (případně jejich změny) mohou provádět pouze členové skupiny Administrators. Do této skupiny by měli být zařazeni pouze správci systému, případně zkušený ICT koordinátor. Žáci ani učitelé by zde neměli být zařazeni. Pokud je potřeba některým uživatelům (učitelům) umožnit některé zásahy do systému, lze je zařadit do skupiny Power Users, která má vyšší úroveň oprávnění. Všichni ostatní by měli být zařazeni do skupiny standardních uživatelů, do skupiny Users. Zařazení stanic do domény To znamená do skupiny počítačů s jednotným modelem zabezpečení a centrální správou. V tom případě lze centrálně nastavovat zabezpečení, zadávat uživatele a přidělovat práva. Při přihlašování se autentifikační údaje (uživatelské jméno a heslo) předávají serveru (řadiči domény), který zajistí jejich ověření. Všechny účty uživatelů (i počítačů) jsou uloženy na serveru v jednotné systémové databázi Active Directory. Proto není nutné na jednotlivých počítačích definovat tyto účty pro jednotlivé uživatele. Přidělování uživatelských práv k souborovým systémům a objektům Slouží pro zabezpečení přístupu ke sdíleným prostředkům. Na základě těchto práv mají uživatelé různé úrovně přístupu k souborům a složkám na serveru a k dalším objektům (například tiskárnám). Uživatelská práva je vhodné přidělovat skupinám a tím jsou implicitně přiděleny i všem členům dané skupiny (pokud není uvedeno jinak). Stejným způsobem lze přidělovat oprávnění i k souborům a složkám na lokálních discích jednotlivých stanic. K tomu je ale nezbytné při instalaci systému vybrat souborový systém NTFS. Základní nastavení přístupových práv k lokálnímu souborovému systému je u systému W 2000/XP nastaveno již při instalaci stanice. Například k důležitým systémovým souborům má povolený přístup jen skupina Administrators. Podobně je to u složky Program Files, kde všichni ostatní uživatelé mají jen právo pro čtení. Podle potřeby lze přidělovat podle potřeby práva k různým objektům. Například vytvořit skupinu učitelé, další skupiny třeba podle tříd nebo ročníků a zpřístupňovat jim vždy jen ty objekty, které ke své práci potřebují. Diskové kvóty Umožňují nastavovat pro určité uživatele omezení dostupného prostoru na disku. Lze používat jak na pracovních stanicích pro složky na lokálních discích, tak i na serveru pro sdílené složky. Je vhodné (pokud je to možné) pro lokální disky stanic nepovolovat ukládání uživatelských dat a směrovat je vždy na servery. A zde nastavovat kvóty. Na serverech Novell NetStrana 4/11
Údržba pracovních stanic, zálohování, antivirová ochrana ware jsou možnosti nastavení restrikcí prostoru pro uživatele daleko propracovanější, kdy lze nastavovat nejen restrikce pro jednotlivé uživatele, ale i omezení velikosti pro určité složky (například domovské složky). Systémové politiky (zásady zabezpečení domény a zásady zabezpečení řadiče domény) V případě počítačové sítě se serverem Windows 2000/2003 ve funkci řadiče domény. Zde je možné centrálně nastavovat základní vlastnosti přístupu do domény a k řadiči domény. Je zde možné nastavení účtů, auditování a bezpečnostních prvků. Například platnosti a minimální délky hesla, uzamykání účtů (při pokusech uhádnutí hesla), auditování (sledování a zaznamenávání) důležitých událostí a desítky dalších parametrů. Jejich správným nastavením a vyladěním lze podstatným způsobem ovlivnit chování celé sítě. Skupinové politiky (Zásady skupin, GPO – Group Policy Object) Pro nastavení vlastností systému odlišně pro různé uživatele. V rámci systémové databáze Active Directory mohou být uživatelé rozčleněni do Organizačních jednotek (OU). A pro OU lze nastavovat parametry a chování systému. Všechna nastavení jsou rozdělena do dvou oblastí – konfigurace počítače a konfigurace uživatele. Pokud se na některé stanici v doméně přihlásí uživatel, tak se v průběhu přihlašování aplikují postupně jednotlivé politiky (zásady). Politiky totiž mohou být přiřazovány na jednotlivých úrovních hierarchické struktury Active Directory. Tímto způsobem lze měnit nastavení prostředí pracovní stanice podle uživatele, který se k ní přihlašuje. Prostřednictvím stovek položek lze nastavovat (povolovat nebo zakazovat) jednotlivé součásti systému a základních programů. Takto lze vnutit uživateli například nastavení pracovní plochy, Internet Exploreru, sítě a další. Nebo můžete některé součásti uživateli vypnout (nastavení pracovní plochy, některé položky nabídky Start a další). V souhrnu se potom jedná o kombinaci Místních zásad počítače, Zásad zabezpečení domény a řadiče domény a všech skupinových politik. Toto je velice mocný nástroj a přitom poměrně málo využívaný. Profily Jsou souhrnem individuálního nastavení konkrétního uživatele. Při přihlášení uživatele se vytvoří jeho profil (adresářová struktura s jednotlivými nastaveními). Standardně jsou všechny profily uloženy na systémovém disku stanice (většinou disk C:) ve složce Documents a Settings. Názvy jednotlivých profilů jsou shodné s přihlašovacími jmény. Přístupová práva nedovolují běžným uživatelům přístup do jiného profilu kromě vlastního. Některé profily jsou předdefinované a mají specifický význam: ) Default User Je připravený základní profil, jehož kopií se vytváří profil nově přihlášeného uživatele. Úpravou tohoto profilu lze ovlivnit všechny nově vzniklé profily. ) All Users Nastavení v tomto profilu jsou platná pro všechny uživatele dané stanice. Například společné položky v nabídce Start nebo zástupci na pracovní ploše. V profilech jsou tyto prvky: ) Soubor NTUSER.dat Je soubor, obsahující základní nastavení systému.
Strana 5/11
Údržba pracovních stanic, zálohování, antivirová ochrana ) Složka Data aplikací Obsahuje nastavení jednotlivých programů, spouštěných na dané stanici. ) Složka Cookies Obsahuje jednotlivé soubory Cookies, které se vytváří automaticky při komunikaci s některými webovými servery (internetovými stránkami). ) Složka Dokumenty Obsahuje soubory, které se standardně ukládají do této složky jako předvolené v jednotlivých aplikacích. ) Složka Local Settings Obsahuje pracovní data jednotlivých aplikací (například dočasné internetové soubory, vyrovnávací paměť, cache). ) Nabídka Start Obsahuje položky v nabídce Start definované pro daného uživatele. Položky společné pro všechny uživatele daného počítače jsou definované v profilu All Users. ) Složka Oblíbené položky Obsahuje seznam favoritních zástupců. ) Složka Plocha Obsahuje objekty umístěné na pracovní ploše. ) Složka Šablony Obsahuje soubory základních šablon. Uživatelské (vámi vytvořené) šablony jsou ale uloženy v profilu ve složce Data aplikací\Microsoft\Šablony. Mohou zde být ještě další položky. Některé z položek jsou standardně skryté a pro jejich zobrazení je nutné povolit zobrazení skrytých složek v možnostech složky. Cestovní profily (roaming profiles) Při přihlašování uživatele na různých stanicích v dané počítačové síti lze zajistit automatické přenášení většiny nastavení uživatele na všechny stanice. Potom postačuje jen jedno nastavení používaných programů (MS Office, Outlook, … ), nastavení pracovní plochy a systému, zástupců na plochu a dalších. Tento proces zajišťují cestovní profily. Ve vlastnostech daného uživatele (záložka Profil) postačí nastavit cestu ke sdílené složce na serveru, kde bude cestovní profil uložen. Jako všechna ostatní nastavení uživatelů lze toto provádět prostřednictvím aplikace Uživatelé a počítače služby Active Directory v Nástrojích pro správu. Pokud má uživatel řádně nastavenou cestu k profilu, tak se při přihlašování na některé stanici automaticky zkopíruje jeho profil na příslušnou stanici. A při odhlášení uživatele se aktuální profil ze stanice zase uloží na server. Povinné profily (mandatory profiles) Nově přihlášenému uživateli můžete přednastavit jeho prostředí úpravou základního profilu s názvem Default user. Na jeho základě se vytvoří osobní profil uživatele (v podstatě jeho kopie) pod jménem shodným se jménem uživatele. Ten si potom může podle potřeby tento Strana 6/11
Údržba pracovních stanic, zálohování, antivirová ochrana svůj profil upravovat a tím měnit nastavení. Tato nastavení jsou potom na stanici uložena v profilu a použijí se při dalším přihlášení daného uživatele. Povinný typ profilu umožňuje nastavit uživateli (nebo uživatelům) trvale platná nastavení. Funguje podobně jako cestovní profily, je uložený ve sdílené složce na serveru. Zde je potřeba uložit profil s nastavením, které potřebujete uživateli nastavit. Aby se z tohoto profilu stal povinný profil je potřeba přejmenovat základní soubor profilu Ntuser.dat na Ntuser.man. Jakmile se přihlásí uživatel, který má nadefinován takovýto typ profilu, tak se použijí nastavení tohoto profilu. Uživatel sice může měnit nastavení, ale tyto změny se neukládají a při dalším přihlášení bude znovu obnoveno základní (vámi definované) nastavení. V případě problémů s během nějakého programu, které se projevují pouze u určitého uživatele, může pomoci smazání jeho profilu. V případě používání cestovního profilu je většinou nutné smazat jak tento cestovní profil, tak i případnou kopii na pracovní stanici. Nelze ale smazat profil uživatele, který je právě přihlášený! Aby profily jednotlivých uživatelů nezabíraly nadměrný prostor na disku, lze ve skupinových politikách nastavit maximální velikost profilu. Po jejím překročení je uživatel na tuto skutečnost upozorňován. Toto nastavení má velký význam u cestovních profilů pro omezení nadměrné zátěže sítě při přihlašování nebo odhlašování uživatelů.
7. Centrální správa stanic v síti Novell V síti se serverem Novell Netware je možné centrálně nastavovat chování sítě. Síťový systém Netware umožňuje centrální správu uživatelských účtů, skupin, přístupových práv ke zdrojům serveru a další. Ale neumožňuje přímo spravovat prostředí jednotlivých stanic. Některé úlohy centrální správy stanic lze provádět pomocí dalšího programu Novell ZenWorks. Tento program je plně integrován do systémové databáze E-Directory (dříve nazývané NDS). Proto se snadno spravuje běžnými nástroji pro její správu (například programem Nwadmin). S jeho pomocí lze nastavovat centrálně například tiskárny, nastavení pracovní plochy a nabídky Start, nastavení jednotlivých aplikací, jejich instalace a aktualizace. Součástí instalace Novell Netware je omezená verze programu ZenWorks Starter Pack. V ČR byl na základě tohoto systému vyvinut další systém, vyloženě zaměřený na prostředí školní sítě pod názvem Zen for Classroom. Tento systém umožňuje nastavit podle potřeby přesně takové prostředí, které je pro výuku potřeba. Učitel přiřadí předmět a na základě definovaných vlastností předmětu, vlastností daného uživatele a vlastností pracovní stanice je potom přesně připraveno prostředí.
8. Centrální správa stanic v síti MS Windows Stanice se systémem Windows 2000/XP mají vestavěné nástroje, které umožňují ve spojení se serverem Windows 2000/2003 centrálně spravovat stanice v síti. U systémů Windows NT 4.0 jsou jen omezené možnosti. Systémy Windows 9x nelze solidně centrálně spravovat. Další popis se tedy zabývá variantou Windows 2000/XP. K dispozici jsou tyto nástroje: ) Správa uživatelů a skupin Umožňuje definovat jednotlivé uživatele a jejich zařazení do skupin s různými oprávněními. Podobně lze zařazovat i jednotlivé stanice. V nastavení lze definovat domovskou síťovou složku a cestu k cestovnímu profilu. Dále lze nastavit přístup k terminálovým službám.
Strana 7/11
Údržba pracovních stanic, zálohování, antivirová ochrana ) Přístupová práva Umožňují centrální nastavování přístupu k objektům. Těmito objekty mohou být nejen sdílené zdroje na serverech, ale také soubory a složky na lokálních discích stanic. Dále to mohou být přístupy k jednotlivým programům, nastavením a správcovským nástrojům, tiskárnám a dalším. Nevhodným nastavením mohou i neoprávnění uživatelé (žáci) získat kontrolu nad určitými nastaveními počítače nebo přístup k datům. ) Administrátorské sdílení Umožňuje členům skupiny Administrators vzdálený přístup k lokálním pevným diskům všech stanic a k jejich souborům. Tato vlastnost je standardně nastavena při instalaci operačního systému Windows 2000/XP každého počítače. Toto sdílení je nastaveno pro kořenovou složku každého logického disku, ale je běžným uživatelům nepřístupné a dokonce není ani vidět při procházení sítě. Je vždy ve tvaru jména logického disku a znaku dolar (C$, D$). ) Vzdálený přístup Umožňuje přístup k některým nastavením počítače i vzdáleně. V příslušných programech lze nastavit práci s lokálním počítačem nebo se připojit k jinému počítači. Například Správa počítače umožňuje po připojení vzdáleného počítače použít Prohlížeč událostí pro sledování záznamů v log souborech. Nebo zjišťovat sdílené prostředky, otevřené soubory a relace a spravovat je. Dále zjišťovat ve správci zařízení stav jednotlivých součástí systému a jejich ovladače. Ve správě disků lze zjišťovat stav disků a jejich rozdělení, případně provádět defragmentaci nebo spravovat jednotlivé systémové služby. Podobně lze v programu Regedit zjišťovat a upravovat hodnoty v registrech vzdálených počítačů. ) Sdílení pracovní plochy Je možné pouze u nejnovějších systémů, Windows XP a Windows 2003 server. Pomocí této funkce je možné připojení k jinému počítači a zobrazení jeho pracovní plochy přes počítačovou síť. Potom můžete pracovat se vzdáleným počítačem stejně, jako byste seděli přímo u dané stanice. Tato služba musí být povolena a nastaveny přístupy. Standardně je funkce vypnuta, po zapnutí ji mohou používat pouze členové skupiny Administrators, ostatní uživatele je nutné nastavit. Podobně pracuje vzdálená pomoc, kdy je možné vyžádat si připojení dalšího uživatele k počítači přes síť pro řešení nějakého problému. ) Terminálové služby Umožňují připojení jiného počítače v roli terminálu. Tuto službu lze nainstalovat pouze na serveru. Terminálové služby mohou být zapnuty buď v režimu vzdálené správy nebo v režimu aplikačního serveru. Režim vzdálené správy umožňuje správci připojení k serveru ze vzdáleného počítače a pracovat s ním stejně jako by seděl přímo u něj. Je to podobný režim jako připojení vzdálené plochy u Windows XP. Terminálové služby ale fungují u všech serverů Windows NT/2000/XP. V režimu vzdálené správy se mohou připojit maximálně 2 uživatelé zároveň. V režimu aplikačního terminálového serveru spouští uživatelé programy ze svých stanic na serveru. Tyto programy kompletně běží přímo na serveru, pracovní stanice slouží pouze pro zobrazení průběhu programu a ovládání programu klávesnicí a myší. Tímto způsobem je možné i na zastaralých počítačích provozovat nové programy. Zároveň může spouštět tyto terminálové relace více uživatelů (pokud je na serveru dostatek prostředků). Pro provoz terminálu v tomto režimu je nutné na jednotlivých stanicích nainstalovat Klienta služby terminál services. Po jeho nastavení a spuštění je možné připojit se k serveru a přihlásit. A podle nastavení lze potom spouštět příslušné programy. Nastavení chování a přístupu k této službě
Strana 8/11
Údržba pracovních stanic, zálohování, antivirová ochrana se provádí ve vlastnostech příslušného uživatele v programu Uživatelé a počítače služby Active Directory. Je také nezbytná instalace licencí pro všechny připojované stanice. Tyto licence jsou nepřenosné a relativně drahé. V případě stanic Windows 2000/XP Professional a terminálové služby na serveru Windows 2000 nejsou licence pro tuto službu nutné, licence jsou implicitně zahrnuty do systémů těchto stanic.
9. Zálohování dat Důležitá data je nezbytné zálohovat pro případ havárie. Je vhodné tato data ukládat na server a zde centrálně provádět jejich zálohu. Všechny serverové systémy mají nástroje pro zálohování. V síti Novell Netware lze zabudovanými prostředky provádět zálohu pouze na připojené magnetopáskové jednotky (streamery, DAT pásky). V systémech Windows (i u pracovních stanic) lze ve vlastnostech disku v záložce Nástroje spustit program pro zálohování. Zde je připravený průvodce, který umožňuje poměrně jednoduše zálohovat data nejen na externí zařízení, ale i do souboru na pevný disk. Tuto zálohu je potom možné případně vypálit na disk CD nebo DVD. Provádění záloh lze nastavit pro automatické spouštění v určitou dobu (nejlépe v noci nebo době malého zatížení sítě). Je vhodné podle důležitosti a frekvence změn dat promyslet vhodný systém zálohování a jeho četnost. Při zálohování se mohou provádět různé typy záloh: ) Plná záloha Zálohování všech souborů v zadaném umístění (zároveň se zruší jejich atribut Archive). ) Kopie Funguje stejně jako Plná záloha, pouze nemění atribut Archive. ) Přírůstková záloha Zálohuje pouze soubory, které mají nastaven atribut Archive, zároveň tento atribut vymazává. Pokud vytvoříte nový soubor, nebo změníte již existující, tak se vždy nastaví atribut Archive. A právě na základě tohoto atributu se při zálohování vybírají objekty pro zálohování. ) Rozdílová záloha Zálohuje pouze soubory s nastaveným atributem Archive, ale nemění ho. ) Denní záloha Zálohuje pouze soubory s datem odpovídajícím dnu provádění zálohy. Nemění atribut Archive.
Strana 9/11
Údržba pracovních stanic, zálohování, antivirová ochrana * Vhodnou kombinací a časovou posloupností jednotlivých typů záloh lze efektivně zabezpečovat důležitá data. Pro některé účely může být užitečná nová funkce, dostupná u serveru Windows 2003. Jedná se o stínovou kopii (Shadow Copy). Určité sdílené složky mohou mít zapnutou stínovou kopii a automaticky se v zadaných časových intervalech provádí zálohy. Potom je možné jednoduše obnovovat i různé verze souborů, které jsou v této složce.
10. Zálohování stavu systému Pokud dojde k havárii systému, tak nestačí jen záloha uživatelských dat. Na serveru je uložená systémová databáze všech uživatelů, skupin, a dalších objektů včetně jejich hesel a přístupových práv. A tyto databáze (Active Directory na Windows serveru, NDS na Novell Netware) je vhodné zálohovat. Jinak bude obnova veškerého nastavení serveru a sítě po havárii časově náročná a síť bude pro uživatele nedostupná nebo s omezenou funkčností. Na serveru Windows lze v zálohovacím programu při výběru objektů pro zálohování vybrat volbu Stav systému (Systém State). Obdobně lze na serveru Novell zálohovat na pásku nebo do souboru systémovou databázi NDS. V případě výpadku nebo havárie serveru bude ale vždy nějakou dobu trvat obnova. Proto je řešením záložní server, kdy se mezi servery automaticky synchronizují (replikují) data systémové databáze. A v případě výpadku, havárie nebo nedostupnosti serveru poskytuje automaticky služby záložní server. Pro celkovou obnovu celého serveru po havárii lze použít systém ASR (Automated System Repair), kdy lze poměrně rychle obnovit celý systém z připravených záloh systému.
11. Antivirová ochrana V dnešní době se velice rychle šíří počítačové viry, které mohou snadno ochromit činnost vašeho počítače nebo celé sítě. Proto je nezbytné se proti nim účinně bránit. Vhodným nastavením systému můžete poměrně spolehlivě zabránit jejich činnosti. Vždy se ale jedná o celý komplex opatření, neexistuje jeden „všelék“. Zde je přehled nejdůležitějších opatření: ) Omezení přístupových práv Uživatelům přidělujte vždy jen nezbytně nutná práva. Některé viry mohou využívat pro svou činnost pouze přístupy, dané právy aktuálně přihlášeného uživatele. ) Kontrola elektronické pošty Je v dnešní době nezbytná. Jejím prostřednictvím se šíří velká část virů. Nejlepší ochranou je kontrola e-mailu přímo na poštovním serveru, kdy se všechny příchozí i odchozí zprávy nejprve zkontrolují než jsou předány dál. A pokud je nějaká zpráva zavirovaná, tak je zadržena a systém upozorní správce. Pokud není tato centrální kontrola pošty, tak je nezbytné mít alespoň na úrovni pracovní stanice a jejího e-mailového klienta mít nainstalovaný antivirový program. V tomto případě je ale již větší riziko průniku virů. ) Kontrola a filtrování dat z Internetu Je nezbytné pro ochránění vnitřní sítě. Tyto funkce plní firewall, který na rozhraní školní sítě a Internetu kontroluje všechny procházející data. A podle nastavení umožňuje pouze průchod povolených dat. Základní rozlišování dat se provádí na základě jejich IP adres (odkud kam jdou) a portů (adres určitých služeb). Standardně jsou povoleny jen základní služby (porty) pro elektronickou poštu a „brouzdání“ po Internetu. Ostatní služby se povolují jen podle potřeby a v omezené míře. Pomocí firewallu je také možné regulovat přístup do Internetu napříStrana 10/11
Údržba pracovních stanic, zálohování, antivirová ochrana klad pro určité stanice a časové období (například zakázat přístup žákovských stanic do Internetu v době výuky). ) Kontrola vstupů do systému Na stanicích, které častěji komunikují s veřejnými sítěmi, případně na stanicích, kde pracují uživatelé s vyššími oprávněními. Tam je zase větší riziko průniku virů. A je nutné mít nainstalovaný antivirový program. Na běžné stanice, kde pracují žáci (s vhodně nastavenými právy) není nutné instalovat antivirový program. Alespoň podle vlastních zkušeností. ) Aktualizace antivirového programu Je nezbytná pro zajištění bezpečnosti. Pokud není antivir aktuální, tak nemusí odhalit nové viry. Lze nastavit automatické aktualizace a kontroly stanic. Některé antivirové programy (například AVG) umožňují centrálně spravovat a nastavovat chod antivirů na všech stanicích v síti. Potom má správce přehled o jejich stavu.
12. Správa aktualizací Pro správný chod sítě je potřeba také průběžně aktualizovat jednotlivé součásti systému. Jedná se hlavně o aktualizaci operačního systému, ale i dalších používaných aplikací. Všechny programy se neustále vyvíjejí, opravují a zdokonalují. A je poměrně pracné při větším počtu stanic je stále dokola obcházet a instalovat tyto opravy a doplňky. Proto tuto činnost umožňují jak server Novell Netware (s produktem Zen Works), tak i server Windows provádět automaticky. Na serveru Windows lze v poslední jeho verzi využít propracovanou službu Software Update Services. Správce sítě může centrálně nastavit jakým způsobem se budou tyto aktualizace provádět a kontrolovat jejich stav.
13. Závěr Vyladění a nastavení sítě tak, aby správce zajistil její bezproblémový chod není nikdy jednoduchý problém, ale vždy souhrn technických, programových a administrativních opatření.
Strana 11/11