VYSOKÁ ŠKOLA POLYTECHNICKÁ JIHLAVA Katedra elektrotechniky a informatiky Obor Aplikovaná informatika
Definice standardu koncového zařízení v s í t i A c t i v e D i re c t o r y p ro f i r m u A u t o C o n t bakalářská práce
Autor: Vladimír Řádek Vedoucí práce: Ing. Lubomír Leupold Jihlava 2015
Abstrakt Práce se zabývá možnostmi nasazení operačních systémů Windows 7 a Windows 8/8.1 na počítače ve firemním prostředí. Součástí instalace PC budou i ovladače a základní sada aplikací. Bude brán ohled na snadný a bezobslužný deployment (příp. s minimální obsluhou) z prostředí Microsoft Windows Server 2012 R2. V první části práce budou popsány možnosti deploymentu, nasazené operační systémy, virtualizace a sítě. V další části se budu věnovat samotné implementaci systémů, jejich zabezpečení a možností ukládání informací o jednotlivých přihlášení uživatelů do domény.
Klíčová slova Windows, Server, Deployment, GPO, Bginfo, Active Directory, Vmware
Abstract This work deals with the deployment of Windows 7 and Windows 8/8.1 on computers in a corporate environment. Part of the PC installation will also be drivers and basic set of applications. Consideration will be given to the easy and unattended (or. with minimal attendence) deployment from a Microsoft Windows Server 2012 R2. The first part will describe the deployment options, deployed operating systems, virtualization and network. In the next section I will take care of the actual implementation of systems, their security and the possibility of storing information about individual users log on to the domain.
Key words Windows, Server, Deployment, GPO, Bginfo, Active Directory, Vmware
Prohlašuji, že předložená bakalářská práce je původní a zpracoval/a jsem ji samostatně. Prohlašuji, že citace použitých pramenů je úplná, že jsem v práci neporušil/a autorská práva (ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů, v platném znění, dále též „AZ“). Souhlasím s umístěním bakalářské práce v knihovně VŠPJ a s jejím užitím k výuce nebo k vlastní vnitřní potřebě VŠPJ. Byl/a jsem seznámen s tím, že na mou bakalářskou práci se plně vztahuje AZ, zejména § 60 (školní dílo). Beru na vědomí, že VŠPJ má právo na uzavření licenční smlouvy o užití mé bakalářské práce a prohlašuji, že s o u h l a s í m s případným užitím mé bakalářské práce (prodej, zapůjčení apod.). Jsem si vědom/a toho, že užít své bakalářské práce či poskytnout licenci k jejímu využití mohu jen se souhlasem VŠPJ, která má právo ode mne požadovat přiměřený příspěvek na úhradu nákladů, vynaložených vysokou školou na vytvoření díla (až do jejich skutečné výše), z výdělku dosaženého v souvislosti s užitím díla či poskytnutí licence. V Jihlavě dne
............................................... Podpis
Poděkování Na tomto místě bych rád poděkoval svému vedoucímu práce Ing. Lubomíru Leupoldovi za možnost vytvářet bakalářskou práci pod jeho vedením. Dále bych rád poděkoval společnosti AutoCont za poskytnutí tématu.
Obsah 1
Úvod.......................................................................................................................... 8
2
Teoretický rozbor technologií ................................................................................. 10 2.1
Počítačová síť ................................................................................................... 10
2.1.1 2.2
Operační systém ............................................................................................... 12
2.2.1
Windows Server 2012 R2 ......................................................................... 13
2.2.2
Windows 7 ................................................................................................ 15
2.2.3
Windows 8/8.1 .......................................................................................... 16
2.3
Virtualizace ...................................................................................................... 17
2.3.1 2.4
3
4
Základní pojmy sítě a protokol TCP/IP .................................................... 11
VMware vSphere ...................................................................................... 18
Deployment ...................................................................................................... 20
2.4.1
Microsoft deployment toolkit ................................................................... 21
2.4.2
Windows Deployment Services ................................................................ 21
2.4.3
Windows Assessment and Deployment Kit (WADK) ............................. 22
2.4.4
Metody deploymentu ................................................................................ 23
2.5
Group Policy .................................................................................................... 24
2.6
Doplňkové služby............................................................................................. 25
2.6.1
WSUS ....................................................................................................... 25
2.6.2
FSRM ........................................................................................................ 25
2.6.3
Print Service .............................................................................................. 25
Implementace .......................................................................................................... 26 3.1
Analýza a návrh infrastruktury......................................................................... 26
3.2
Vytvoření virtuálních strojů ve VMware vSphere ........................................... 27
3.3
Instalace Windows Server 2012 ....................................................................... 29
3.3.1
Konfigurace serveru ADTEST ................................................................. 30
3.3.2
Konfigurace serveru SWDS...................................................................... 32
3.4
Nasazení Bginfo ............................................................................................... 40
3.5
Nastavení skupinových politik ......................................................................... 41
3.6
Konfigurace WSUS .......................................................................................... 42
3.7
Nasazení certifikační autority .......................................................................... 44
3.8
Připojení síťové tiskárny .................................................................................. 46
3.9
Nasazení File Filteringu ................................................................................... 47
Testování ................................................................................................................. 49 4.1
Test komunikace .............................................................................................. 49
4.2
Test rychlosti nasazení: .................................................................................... 50
4.3
Ověření správného nainstalování ovladačů ...................................................... 51
4.4
Ověření nainstalovaných aplikací .................................................................... 52
4.5
Test BGinfo ...................................................................................................... 52
4.6
Ověření funkčnosti Group Policy..................................................................... 53
4.7
Test WSUS ....................................................................................................... 56
4.8
Test certifikační autority .................................................................................. 57
4.9
Test připojení síťové tiskárny .......................................................................... 57
4.10 5
Test filtrování souborů ................................................................................. 58
Závěr ....................................................................................................................... 59
Seznam použité literatury ............................................................................................... 62 Seznam obrázků .............................................................................................................. 65 Seznam tabulek ............................................................................................................... 67 Seznam grafů .................................................................................................................. 68 Seznam použitých zkratek .............................................................................................. 69 Přílohy............................................................................................................................. 71 1
Obsah přiloženého CD ............................................................................................ 71
1 Úvod Práce se zabývá definováním standardu počítače s cílem práce zhodnotit možnosti nasazení
operačních
systémů
Windows
ve
firemním
prostředí
s ohledem
na bezobslužný proces celé operace a co nejnižší časovou náročnost. Zmapování a zdokumentování těchto možností má sloužit primárně pro účely společnosti AutoCont při nasazování IT (Informační technologie) prostředí u zákazníků. V dnešní době se nabízí dvě platformy pro instalaci serverů. Jednou variantou je prostředí systému Linux a druhou možnost představuje rodina systémů Microsoft Server. Vzhledem k tomu, že nejčastěji používanými operačními systémy jsou produkty Microsoft Windows, bude zmíněn deployment právě na této platformě. AutoCont je navíc partnerem společnosti Microsoft. Během zpracovávání této práce bylo využito prostředí sítě vytvořené speciálně pro účely testování deploymentu. Serverové prostředí tvoří nejnovější serverový operační systém Microsoft Windows Server 2012 R2 se službami Active Directory pro správu počítačové sítě ve firemním prostředí, DHCP (Dynamic Host Control Protocol) pro dynamické přidělování IP (Internet Protocol) adres, DNS (Domain Name System) pro správu doménových jmen a WDS (Windows Deployment Services) pro samotnou konfiguraci automatizovaných scénářů deploymentu. V oblasti informačních technologií se stále častěji mluví o virtualizaci, ať už jde o virtualizaci serverů, sítě, pracovních ploch, aplikací nebo úložišť. Absolutní špičkou na trhu v oblasti virtualizace jsou nástroje od společnosti VMware. Pro jednodušší simulaci firemní sítě je v bakalářské práci využito virtualizace serverů a testovacího virtuálního počítače s operačním systémem Microsoft Windows 7 a Windows 8.1 právě v prostředí VMware vShpere. Počítače zařazené do domény jsou v moderní IT infrastruktuře spravovány centrálně pomocí Active Directory. Další nastavení jako jsou omezení práv, zabezpečení je možné provádět pomocí tzv. skupinových politik Group Policy. Dnešní IT se také skládá z možnosti sledovat činnost IT infrastruktury a ukládat tyto informace do databází. Pro účely sledování jednotlivých stanic v doméně je využito jednoduchého, ale mocného programu BgInfo. 8
Důležitou vlastností serverů je udržovat operační systémy a aplikační vybavení stanic v aktualizovaném stavu. Služba Windows Server Update Services (WSUS) slouží administrátorům spravovat automatické aktualizace ve firemní síti. K výběru této bakalářské práce mě podnítila možnost vyzkoušet si a testovat nasazení operačních systémů Windows ve firemních prostředích. Před touto prací byly moje znalosti omezené pouze na zdlouhavé instalace jednotlivých stanic s plnou asistencí člověka bez automatizovaných scénářů.
9
2 Teoretický rozbor technologií 2.1 Počítačová síť Dnešní uspěchaná doba klade čím dál větší nároky i na výpočetní techniku a její propojení pomocí počítačových sítí. Pryč je doba, kdy firma vlastnila jediný počítač. V dnešních firmách jich bývají desítky i stovky a kromě nich i další zařízení, jako jsou disková pole, tiskárny, IP telefony, atd. Právě z tohoto důvodu vznikla potřeba propojit počítače a jejich příslušenství pomocí počítačových sítí, díky kterým je pak mnohem jednodušší sdílet a přenášet data, sdílet hardwarové prostředky, komunikovat písemně i audiovizuálně, či jednotně provádět různá nastavení na koncových stanicích (např. instalace aplikací a aktualizací). Existuje několik způsobů, jak jsou v síti jednotlivé prvky propojeny. Způsob takového uspořádání se nazývá topologie:
sběrnicová,
hvězdicová,
kruhová,
páteřní.
Dnes se nejčastěji v domácích a firemních sítích setkáváme s hvězdicovou topologií. Každé zařízení připojené do takové sítě má veden samostatný kabel (nebo je bezdrátově připojeno) k rozbočovači (switch), který tvoří pomyslný střed sítě. Výhodou je její spolehlivost, rychlost a snadná lokalizace případné poruchy. Mezi hlavní nevýhody patří nutnost pořizování switchů.
Obrázek 1: Hvězdicová topologie sítě
10
Všechny počítačové sítě se skládají nejen z hardwaru, ale i softwaru, díky kterému síť „obživne“. Rozlišují se dva základní typy software podle toho, zda je použit server (klient-server) či nikoliv (peer-to-peer). Síť peer to peer tvoří jednotlivé počítače, které jsou si vzájemně rovné a nabízí si mezi sebou své služby (např. sdílení některých složek mezi určitými uživateli). Mezi výhody takové sítě patří její levné řešení (není třeba serverový operační systém). Nevýhodou je chaotický přehled o uložených datech při větším počtu počítačů, složité nastavování a nízká úroveň zabezpečení. Druhý typ sítě, klient-server, soustředí všechna data, konfigurace, údaje o uživatelích apod. do jednoho bodu v síti – do serveru. Požadavky na server jsou mnohem vyšší, než na koncovou stanici, a proto je důraz kladen na vysokou rychlost a maximální spolehlivost. Servery využívají speciální operační systémy, které nabízí nástroje pro administraci sítě. Výhodou sítě klient-server je vysoká bezpečnost, snadná konfigurace a přehlednost (vše je na jednom místě). Nevýhody spočívají v nákladech na pořízení serveru a serverového OS (operačního systému) a s tím související nutnost mít kvalifikovaného pracovníka, který má zkušenosti s administrací serveru.
2.1.1 Základní pojmy sítě a protokol TCP/IP TCP/IP Komunikaci mezi jednotlivými počítači a dalšími prvky v síti se zajišťuje protokol TCP/IP (Transfer Control Protocol / Internet Protocol). Tento protokol obsahuje sadu pravidel pro určení významu jednotlivých zpráv při komunikaci v síti. Protokol se dělí na čtyři hierarchické vrstvy, které popisují komunikaci v různých úrovních.
Linková vrstva – nejnižší vrstva popisující přístup k fyzickému médiu a způsob komunikace v rámci LAN (Local Area Network).
Síťová vrstva – stará se o adresaci jednotlivých zařízení v rámci sítě pomocí unikátní IP adresy protokoly IPv4 nebo IPv6.
Transportní vrstva – zajišťuje spolehlivost přenosu pomocí protokolů TCP a UDP (User Datagram Protocol). Protokol TCP je spolehlivější, ale pomalejší a používá se, když je nezbytně nutné, aby data dorazila z bodu A do bodu B.
11
UDP je naopak méně spolehlivé, ale využívá se tam, kde je kladen důraz na rychlost i za cenu potencionálního rizika ztráty některých dat.
Aplikační vrstva – využívá služeb protokolů, jako je např. Telnet, POP3 (Post Office Protocol), DNS Server, FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol) a další, které využívá pro přenos konkrétních služeb a aplikací.
DNS Domain Name System (DNS) je systém doménových jmen uspořádaných hierarchicky do různých úrovní. Jedná se o službu, které překládá těžko zapamatovatelnou IP adresu na jednodušší jméno. Adresu DNS s odpovídající IP adresou lze nastavit buď ručně nebo automaticky protokolem DHCP. Nejvyšší úroveň domény označuje nejčastěji lokalizaci (.cz, .sk, .de). Druhá úroveň by měla nést snadno zapamatovatelný název (např. jméno společnosti). DHCP Dynamic Host Configuration Protocol je určen k automatické konfiguraci zařízení v počítačové síti typu klient-server následujícími parametry:
Ip adresa,
maska sítě,
výchozí brána,
DNS servery
2.2 Operační systém Operační systém je základní programové vybavení, bez kterého by byl počítač pouhým kusem železa bez možnosti využití. Jeho činnost spočívá ve zprostředkování komunikace mezi uživatelem a hardwarem a řízení jednotlivých části počítače. Základním prvkem OS je jádro (nebo též kernel), kterému je předáno řízení a po celou dobu běhu počítače sleduje a obsluhuje procesor, paměť, periférie a systém souborů.
12
Operační systém dále řídí:
zpracování programů včetně určování priority zpracování v případě souběhu více procesů,
zpracování síťové komunikace prostřednictvím síťových rozhraní.
Dnešními nejznámějšími představiteli operačních systémů jsou Windows od společnosti Microsoft, operační systémy typu UNIX (především různé distribuce Linuxu) a Mac OS od společnosti Apple.
Obrázek 2: Využití operačních systémů na koncových stanicích Zdroj: http://www.netmarketshare.com/ 27.3.2015
2.2.1 Windows Server 2012 R2 Serverové operační systémy se vyznačují vysokou stabilitou a spolehlivostí i při extrémním zatížení. Prvním serverovým systémem ze série Windows Server se stal Microsoft Windows Server 2000. Nejnovějším zástupcem je Microsoft Windows Server 2012 / 2012 R2, jehož nasazení je v současné době velmi aktuální v souvislosti s končící podporou systému Windows Server 2003. Verze 2012 R2 přichází s edicemi Datacenter, Standard, Essential a Foundation. Nejvyšší edice Datacenter a Standard se liší pouze ve způsobu licencování, jinak mají shodné technické vlastnosti (až na automatickou aktivaci virtuálního stroje). Datacenter je vhodný pro vysoce virtualizovaná datová centra a cloudová prostředí. Edice Standard 13
nejlepší využití nalezne u fyzických serverů nebo minimálně virtualizovaná prostředí. Verze Essential je limitována především maximálním počtem současně přihlášených uživatelů (25) a podporou maximálně dvou fyzických procesorů. Nejvíce „ořezaná“ edice nese název Foundation, která se dodává pouze jako OEM (Original Equipment Manufacturer) spolu s novými servery. Počet současně přihlášených uživatelů je limitován hodnotou 15 a podporuje pouze jednoprocesorové servery.
Obrázek 3: Vlastnosti Microsoft Windows Server 2012 R2
Po čisté instalaci Windows serveru toho operační systém Windows Server 2012 příliš nenabízí. Důležitou součástí nainstalovanou již ve výchozím nastavení Windows Server 2012 je konzole Server Manager, pomocí které se provádí instalace a konfigurace serveru. Active Directory Active Directory je adresářová služba, která slouží k ukládání informací o jednotlivých uživatelích i počítačích v doménové struktuře a umožňuje jejich hromadnou správu (např. instalace aplikací, nastavení Group Policy, aktualizace, monitoring, atd.). V novém systému Windows Server 2012 se instalace a konfigurace Active Directory komponent provádí pomocí skriptovacích příkazů v PowerShell nebo v intuitivním 14
prostředí Server Manager. Nová verze AD (Active Directory) se dočkala nových vlastností, které celému řešení dodávají ještě větší stabilitu, spolehlivost a snadnější správu. Nainstalovat lze následující role Active Directory:
Active Directory Certificate Services (AD CS).
Active Directory Domain Services (AD DS).
Active Directory Federation Services – používá jednotné přihlášení k ověření více uživatelů pro více souvisejících webových služeb v průběhu životnosti jedné relace.
Active Directory Lightweight Directory Services – adresářová služba s využitím LDAP, která poskytuje podporu pro aplikace pracující s adresáři.
Active Directory Rights Management Services – poskytuje nadstandardní mechanismy zabezpečení dokumentů a informací.
V této bakalářské práci zmíním pouze AD CS a AD DS, které jsou nezbytně nutné. AD CS role umožňuje vydávat a spravovat digitální certifikáty pro šifrování a digitální podpisy elektronických dokumentů či ověřování počítačů, uživatelských účtů nebo zařízení v počítačové síti. AD DS je pravděpodobně nejzákladnější role potřebná ke konfiguraci a správě adresářových služeb v doméně. S její pomocí lze vybudovat infrastrukturu pro správu uživatelů a počítačů, která bude splňovat požadavky na bezpečnost a škálovatelnost. [2]
2.2.2 Windows 7 Operační systém Windows 7 byl vydán v roce 2009 společností Microsoft jako nástupce Windows Vista, na jejichž jádře jsou „sedmičky“ postaveny. Systém Windows Vista ovšem obsahoval chyby, díky kterým se tento systém netěšil přílišné oblibě. Těmi byly především pomalé starty systému, nízká stabilita a složitější instalace a konfigurace v porovnání s Windows 7. Operační systém Microsoft Windows 7 existujejak ve 32bitové, tak 64bitové verzi a existuje 6 různých edicí od základní edice Starter, až
15
po vrcholné edice Enterprise a Ultimate. V tabulce níže jsou uvedené nejdůležitější vlastnosti jednotlivých edicí tohoto operačního systému. [3] Tabulka 1: Porovnání vlastností edicí Windows 7 Starter
Home Basic
ano/ano
ano/ano
Home Premium ano/ano
Ne
Ne
4 GB 8 GB Ne Ne
Snadné přepínání uživatelů Aero Multi-touch Přehrávání DVD Windows Media Center XP mód
x32/x64 Podpora více procesorů Max. RAM 32-bit Max. RAM 64-bit Taskbar Mobility Center
Šifrování souborového systému BitLocker AppLocker BranchCache DirectAccess
ano/ano
Enterprise, Ultimate ano/ano
Ne
Ano
Ano
4 GB 8 GB Ano Ano
4 GB 16 GB Ano Ano
4 GB 192 GB Ano Ano
4 GB 192 GB Ano Ano
Ne
Ano
Ano
Ano
Ano
Ne Ne Ne
Ne Ne Ne
Ano Ano Ano
Ano Ano Ano
Ano Ano Ano
Ne
Ne
Ano
Ano
Ano
Ne
Ne
Ne
Ano
Ano
Ne
Ne
Ne
Ano
Ano
Ne Ne Ne Ne
Ne Ne Ne Ne
Ne Ne Ne Ne
Ne Ne Ne Ne
Ano Ano Ano Ano
Professional
2.2.3 Windows 8/8.1 Nový operační systém od společnosti Microsoft, Windows 8, byl uveden do prodeje 26 října 2012. Od 17. listopadu 2013 je pak přístupná volně dostupná první velká aktualizace pod názvem Windows 8.1, která nahrazuje opravné balíčky známé z předchozích operačních systémů jako Service Packy. Zcela zásadní změnou je vzhled původního Startu, který nahradilo nové celoobrazovkové prostředí Metro. Další novinkou je plná podpora zařízení s dotykovou obrazovkou, pro které bylo právě Metro přizpůsobeno.
16
Další nové vlastnosti Windows 8 a 8.1:
Windows Store – tisíce aplikací pro Windows na jednom místě,
rychlejší vyhledávání,
podpora virtualizace pomocí Hyper-V,
nový vzhled File Exploreru,
podpora 3D tisku.
Windows 8 a 8.1 podporuje platformy x86, x86_64 a ARM a jsou dostupné ve čtyřech edicích. Jejich porovnání je v tabulce níže. [4] Tabulka 2: Porovnání vlastností edicí Windows 8/8.1
x86/x86_64
Windows 8.1 Pro x86/x86_64
Windows 8.1 Enterprise x86/x86_64
Ne
Ne
Ano (2)
Ano (2)
4 GB
128 GB
512 GB
512 GB
Ne
Ne
Ano
Ano
Ano Ano Ano Ne Ne Ne Ne
Ano Ano Ano Ne Ne Ne Ne
Ano Ano Ano Ano Ne Ne Ne
Ano Ano Ano Ano Ano Ano Ano
Windows 8.1 RT
Windows 8.1
ARMv7
Platforma Podpora více procesorů Max. RAM 64-bit Připojení do domény Mobility Center Metro Šifrování zařízení BitLocker AppLocker BranchCache DirectAccess
2.3 Virtualizace Prvotní myšlenku virtualizace vyslovila v počátcích 60. let ve společnosti IBM kvůli stále složitějšímu procesu nasazování nových systémů, které se zásadně lišily od předchozích generací. Virtualizace, jak již název vypovídá, je založena na fiktivním prostředí, ve kterém dochází k oddělení abstraktních aplikací od hardwaru a představuje je jako jejich logické nebo virtuální stroje. Virtuálním strojem je myšlen softwarový počítač, který umí stejně jako běžný fyzický počítač spouštět operační systém s aplikacemi. V podstatě vytváří fiktivní pohled na jednotlivé výpočetní zdroje či počítače, které se uživatelům jeví jako samostatné jednotky, ačkoliv využívají 17
prostředky fyzického hardwaru (hypervizoru). Virtualizace se uplatňuje při virtualizaci serverů, stanic, aplikací, sítí, datových úložišť, ale třeba i vstupně-výstupních (I/O) zařízení. Dříve bylo cílem virtualizace především hledání cest, jak zpracovávat více procesů v jednom okamžiku, tak jak dnes běžně známe u vícevláknových zařízeních. Dnes se společnosti zaměřují na virtualizaci infrastruktury především kvůli efektivnějšímu využití hardware, který se stává hostitelem pro celou řadu virtualizovaných systémů. Díky tomu dochází ke snížení nákladů na provoz. Nespornou a pravděpodobně nejvýraznější výhodou je zjednodušení správy a přenositelnost virtualizovaných strojů. Hlavními hráči na trhu v oblasti virtualizace serverů jsou VMware vSphere, Microsoft Hyper-V a Citrix XenServer. [5]
2.3.1 VMware vSphere Společnost VMware je lídrem v oblasti virtualizace, což dokládá i více než 500 000 zákazníků a přes 55 000 partnerů. Produkty VMware svým zákazníkům zajišťují větší pružnost, efektivitu a lepší zhodnocení investic. Kromě řešení pro virtualizaci desktopů a aplikací nabízí též pokročilé nástroje pro datová centra a cloudové infrastruktury. Základní komponenty VMware vSphere VMware vSphere využívá sílu virtualizace k přeměně datových center na jednoduché výpočetní střediska v podobě cloudu a umožňuje IT organizacím poskytovat flexibilní a robustní IT služby. Jedná se o komplexní řešení pro nasazení a správu virtuálních strojů napříč datovými centry. Základním stavebním kamenem vSphere jsou komponenty WMware ESXi a VMware vCenter Server. Komponenta ESXi slouží jako hypervizor pro běh virtuálních stojů. Komponenta vCenter Server zastupuje funkci centrálního správce ESXi hostitelů připojených do počítačové sítě (možnost vytvoření virtuálního switche, díky kterému lze propojit virtuální počítače v ethernetové síti) a umožňuje správu a monitoring prostředků i pro více hostitelů zároveň. [6]
18
Obrázek 4: Architektura virtualizace VWware vSphere (ESXi) [6]
Topologie datového centra vSphere
Výpočetní servery – ESXi server, který je nainstalovaný na fyzickém serveru, poskytuje prostředky (CPU, RAM, HDD, LAN, …) pro virtuální počítače. Každý takový server tvoří ve virtuálním prostředí samostatného hostitele a v případě více x86 serverů s podobnou konfigurací připojených do stejné sítě lze sdružovat výkon všech těchto serverů k přiřazování prostředků virtuálním strojům.
Síťová úložiště a disková pole – VMware vSphere podporuje všechny hojně využívané úložné technologie typu SAN (ať už Fibre Channel nebo iSCSI) i NAS (Network Area Storage). Taková pole, pokud jsou propojená a sdílená v rámci jedné skupiny serverů, je možné využívat jako jedno obří úložiště, z něhož lze jednotlivým virtuálním strojům flexibilně poskytnout potřebnou kapacitu virtuálního HDD.
IP sítě – virtuální servery mohou mít hned několik síťových adaptérů tak, aby obsáhly celé pásmo sítě a poskytly spolehlivou síťovou komunikaci v celém datovém centru.
vCenter Server – poskytuje kontrolu přístupu, monitorování výkonu a možnost konfigurování datového centra přehledně na jednom místě. V této komponentě 19
dochází ke sjednocování dostupných prostředků z jednotlivých výpočetních serverů, aby mohly být následně propůjčeny virtuálním strojům v síti pomocí správce přiřazování na základě nastavení politik.
Management klienti – pro přístup a správu virtuálních strojů nabízí vSphere několik rozhraní pro přístup k virtuálním strojům. Pomocí aplikace vSphere Client, webového klienta vSphere Web Client pro přístup přes webový prohlížeč nebo pomocí příkazového řádku vSphere Command Line Interface (vSphere CLI). [7, 8]
Obrázek 5: Toplogie datového centra vSphere [8]
2.4 Deployment Pojem deployment původně vychází z vojenského termínu, který se používal při popisu umístění vojáků a vojenského vybavení v bitevním poli. Dnes se s tímto termínem nejčastěji setkáme v souvislosti s informačními technologiemi a doslova znamená nasazení. V této oblasti se deployment může týkat serverů, stanic, softwaru, počítačových sítí nebo třeba i webů. Deployment operačního systému je kritickým bodem IT administrátorů. V každé organizaci, která má svoji vlastní síť, se nachází více počítačů, jejichž individuální instalace a nastavování je časově a potažmo i finančně velice náročný proces. Z tohoto 20
důvodu se hledají cesty jak proces instalace zjednodušit a urychlit automatizací u desítek i stovek počítačů. Při nasazování operačních systémů Microsoft Windows se nabízí hned několik možností, jak zautomatizovat nasazování operačního systému, jako je např. použití sady nástrojů Microsoft Deployment Toolkit, služeb Windows Deployment Services, či Windows Automated Installation Kit.
2.4.1 Microsoft deployment toolkit Microsoft Deployment Toolkit (MDT) je nástroj pro automatizaci při nasazování operačních systémů a aplikací. Výrazně zkracuje dobu instalace a udává standard instalačních obrazů a zároveň vylepšuje zabezpečení a správu konfigurace. Nejnovější verze Microsoft Deployment Toolkit 2013 podporuje deployment operačního systému Windows 8/8.1 i serverového OS Windows Server 2012 a Windows Server 2012 R2. Nejdůležitější novinky v Microsoft Deployment Toolkit 2013:
podpora Windows Assesment a Deployment Kit (ADK) pro Windows 8.1,
podpora deploymentu systémů Windows 8.1 a Windows Server 2012 R2,
podpora System Center 2012 R2 Configuration Manager,
vylepšuje podporu 32bitových systémů UEFI (Unified Extensible Firmware Interface). [9]
2.4.2 Windows Deployment Services Služba Windows Deployment Services vznikla po aktualizaci původní služby Remote Installation Services. Jedná se o balíček, se kterým lze vzdáleně nainstalovat operační systém na koncovou stanici pomocí síťové instalace, takže není nutné mít žádné instalační médium, které by bylo třeba manuálně spouštět na každé stanici. Windows Deployment Services má řadu nesporných výhod:
podpora síťové instalace, která zjednodušuje, zefektivňuje a zlevňuje celý proces nasazení operačních systémů na koncové stanice,
21
podpora různých prostředí od Windows XP a Windows Server 2003 až po Windows 8.1 a Windows Server 2012 R2,
podpora standardních Windows Setup technologií jakými jsou Windows PE (Preinstallation Kit), soubory s příponou .wim a instalace obrazu operačního systému,
multicastový přenos dat,
umožňuje tvorbu obrazu referenčního počítače pomocí Image Capture Wizard,
možnost zahrnutí balíčků s ovladači do instalačního obrazu.
Podmínky pro instalaci WDS:
Na serveru musí být moderní operační systém Windows Server 2003 nebo novější s nainstalovaným Active Directory.
Koncové stanice musí být kompatibilní s bootovacími soubory PXE (Preboot Execution Environment). [10]
2.4.3 Windows Assessment and Deployment Kit (WADK) S nástupem operačních systémů Windows Vista a Windows Server 2008 vydal Microsoft sadu Windows Automated Installation Kit, což je další sada nástrojů pro konfiguraci a deployment operačních systémů v rozsáhlých prostředích malých a středních firem. Po příchodu operačních systémů Windows 8 a Windows Server 2012 došlo k přejmenování této sady na Windows Assessment and Deployment Kit, která nyní sjednocuje balíčky OEM Preinstallation Kit a Windows Automated Installation Kit. Balíček WADK nabízí dva různé scénáře:
Windows deployment,
Windows assessment.
Windows deployment Scénář usnadňuje IT administrátorům přizpůsobit a automatizovat instalace operačních systémů v rozsáhlé infrastruktuře. Obsahuje řadu užitečných nástrojů pro přizpůsobení 22
instalačního obrazu. Patří mezi ně Windows System Image Manager, Deployment Imaging Servicing and Management Tool, Application Compatibility Toolkit, User State Migration Tool a Volume Activation Management Toolkit. Windows assessment Druhý scénář sady WADK, Windows assessment, umožňuje provádět měření, diagnostiku problémů a definovat možná vylepšení. Uplatnění najde při měření provozních charakteristik počítačů, která zahrnují výkon, funkčnost a spolehlivost. [11, 12]
2.4.4 Metody deploymentu V současnosti existují čtyři známé metody deploymentu. Každá metoda je vhodná pro jiné podnikové prostředí především v závislosti na typu sítě, počtu počítačů v síti, konfigurace počítače či způsobu instalace aplikací. High-Touch Retail médium Metoda je vhodná pro menší společnosti, kde se nachází méně, než 100 klientských počítačů. Síť v těchto organizacích nemá management s oddělenými umístěními. Instalace koncových zařízení probíhá ručně z instalačního média v jeden okamžik na jeden počítač. Stejným způsobem probíhá následná konfigurace počítače a instalace aplikací a ovladačů. Plná automatizace nasazování operačního systému v této úrovni je pro malé organizace nevýhodná. Nabízí se ovšem úprava obrazu systému, aby proces instalace nevyžadoval příliš interakce. [13] High-Touch Standardní obraz Deployment pomocí této metody je vhodný pro menší organizace, které již disponují IT techniky, ale často využívají externí podporu pro nasazení nových technologií. Metodu lze využít v síti bez managementu, ve které se nachází 100 až 200 klientských počítačů. V takovém rozsahu se již začínají uplatňovat odpovědní soubory pro automatizaci instalace operačního systému. [14] Lite-Touch Metoda Lite-Touch je určená pro společnosti, v jejichž síti se nachází 200 až 500 klientských počítačů. Společnost má IT oddělení, jehož zaměstnanci obstarávají chod 23
počítačové sítě a jen zřídka využívají partnerskou IT podporu při nasazování nových technologií. Deployment je řešen pomocí nástrojů a technologií poskytovaných Microsoftem. Zahrnuje kombinaci odpovědních souborů, skriptů a nástroje MDT. Tuto metodu mohou výhodně využít společnosti, které nemají potřebnou infrastrukturu pro nasazení pomocí metody Zero-Touch. Jedinou infrastrukturní podmínkou je mít souborový server. [15] Zero-Touch Metoda Zero-Touch je sen každého administrátora. Spočívá v plné automatizaci instalačního procesu, který je vhodný pro organizace s více jak 500 klientskými počítači a se síťovou infrastrukturou s managementem, kde hlavní úlohu hrají servery s operačními systémy Microsoft Windows. Pro využití plně bezobslužné instalace je nutnost mít potřebnou infrastrukturu, která zahrnuje především server s Active Directory a Windows Deployment Services. [16]
2.5 Group Policy Group Policy, neboli také skupinové politiky, je kolekce nastavení vlastností počítačů (Computer Configuration) a uživatelských účtů (User Configuration). Skupinové politiky usnadňují práci při opakovaných i nárazových činnostech, které je třeba aplikovat na koncových stanicích. Může se jednat o přizpůsobení operačního systému a jeho komponent, spouštění skriptů, zabezpečení počítače, instalace software a zařízení, mapování jednotek, apod. Většina nastavení provedených pomocí skupinové politiky změní příslušný registr. Změny provedené v Computer Configuration upravují větev registrů HKLM (HKEY_LOCAL_MACHINE), zatímco nastavení v sekci User Configuration upravují větev registrů HKCU (HKEY_CURRENT_USER). Skupinové politiky se rozdělují na globální a lokání. Globální politiky se využívají v podnikovém prostředí, kde je v drtivé většině případů nastavena doménová síť, na niž se tato nastavení uplatňují. Každé vytvořené politice odpovídá jeden tzv. Group Policy Object (GPO) – objekt skupinové politiky. Tyto objekty jsou uloženy ve složce SYSVOL. Ve struktuře AD je možné GPO přilinkovat k síti, doméně nebo organizační jednotce. Každý objekt skupinové politiky může být přilinkován v různých umístěních v síti a tím vytvořit společná pravidla pro chování počítačů v Active Directory.
24
V doméně se automaticky vytvoří dvě výchozí GPO:
Default Domain Controllers Policy GPO – aplikuje se na všechny doménové kontroléry, pokud jsou členy příslušné OU (organizační jednotky).
Default Domain Policy GPO – aplikuje se na všechna koncová zařízení uvnitř Active Directory.
Lokální politiky se liší v tom, že se uplatňují pouze rozsahu stanice. [17]
2.6 Doplňkové služby 2.6.1 WSUS Služba Windows Server Update Service je běžně dostupnou součástí operačních systémů Windows Server. WSUS poskytuje automatizovanou centrální správu nejnovějších aktualizací produktů Microsoft napříč celou infrastrukturou. [18]
2.6.2 FSRM FSRM (File Server Resource manager) je role služby File and Storage Service. Tato konzole umožňuje řízení množství a typy souborů na síťových úložištích. Díky možnostem sledování stavu disků a možnosti statistik tak mají administrátoři možnost též připravovat scénář pro budoucí rozšíření úložiště v závislosti na dosavadní činnosti uživatelů. [19]
2.6.3 Print Service Tisková služba je služba operačního systému Windows Server, která slouží pro management tiskových úloh a pomocí centrálního tiskového serveru umožňuje sdílet síťové tiskárny. [20]
25
3 Implementace 3.1 Analýza a návrh infrastruktury V prvé řadě je třeba provést analýzu prostředí, ve kterém proběhne proces instalace koncových stanic. Typicky jsou potřeba dva servery, ať už fyzické nebo virtuální. Jeden server plní roli doménového serveru s doplňkovými službami jako WSUS, FSRM, Print Services a IIS (Internet Information Services). Druhý server se službou WDS je zaměřen na proces nasazování operačního systému, ovladačů a aplikací na koncové stanice. V našem případě jde o virtuální servery s operačním systémem Microsoft Windows Server 2012 nainstalované v prostředí VMware. Nutno podotknout, že tato práce se zabývá standardem koncové stanice, který definuje společnost Autocont, tudíž je velice pravděpodobné, že požadavky jednotlivých zákazníků mohou být více či méně odlišné. Naše testovací prostředí tedy kromě již zmíněných dvou serverů zahrnuje jednu fyzickou a jednu virtuální koncovou stanici a síťovou tiskárnu. Pro testovací účely této práce plně postačují zmíněné dva servery s funkcí doménového kontroléru a Windows Deployment Services. Dále pro možnost testování implementace jsou k dispozici jeden fyzický, jeden virtuální počítač a síťová tiskárna. Pro tyto účely je vytvořena počítačová síť s IP rozsahem 10.0.20.x. Poslední Byte reprezentovaný proměnnou x identifikuje jednotlivá zařízení. VMware
ADTEST 10.0.20.1
WDS 10.0.20.2 Switch
User 1 User 2 10.0.20.50 10.0.20.51
Tiskárna User 51 User 3 10.0.20.52 10.0.20.100 10.0.13.10
Obrázek 6: Infrastruktura sítě
26
Přiřazené IP adresy:
Server ADTEST – 10.0.20.1,
Server SWDS – 10.0.20.2,
Rozsah pro koncové stanice – 10.0.20.50 až 10.0.20.100
Výjimku tvoří pouze síťová tiskárna, která náleží do jiné sítě a má IP adresu 10.0.13.10.
3.2 Vytvoření virtuálních strojů ve VMware vSphere Virtuální stroje poskytují určitou mírou svobody v přidělených prostředcích. Při vytváření lze definovat parametry celého stroje, a tím získat požadovaný výkon a vlastnosti. Po definování názvu stroje vybereme Cluster, příslušného hostitele a úložiště, kde bude tento stroj uložen. Virtuálnímu stroji poté nadefinujeme operační systém (při následné instalaci ovšem není nutné verzi systému dodržet), počet socketů CPU a počet jader na socket, operační paměť, síťovou kartu a kapacitu pevného disku. Některé parametry jsou pro všechny vytvářené stroje neměnné, zatímco jiné, jako definice CPU, kapacita operační paměti a kapacita virtuálního HDD je specifická pro každý stroj zvlášť.
Obrázek 7: Ukázka prostředí VMware vSphere Client s dostupnými prostředky virtuálního stroje AC-DEPLOY
27
Parametry testovacích zařízení Server ADTEST (virtuální server)
CPU: Intel Xeon X5650 @2,67 GHz, single-core
RAM: 3 GB
HDD1: 30 GB
HDD2: 2 GB
HDD3: 30 GB
Server SWDS (virtuální server)
CPU: Intel Xeon X5650 @2,67 GHz, dual-core
RAM: 4 GB
HDD1: 40 GB
HDD2: 50 GB
Stanice AC-DEPLOY (virtuální PC)
CPU: Intel Xeon X5650 @2,67 GH, single-core
RAM: 1 GB
HDD1: 35 GB
Stanice AC-DESKTOP (Lenovo ThinCentre, fyzické PC)
CPU: Intel Pentium G630 @2,7 GHz, dual-core
RAM: 3 GB
HDD: 250 GB
28
3.3 Instalace Windows Server 2012 Po vytvoření již zmíněných serverů ADTEST a SWDS ve virtuálním prostředí přijde na řadu instalace operačního systému. Pro testovací prostředí je použit serverový operační systém Microsoft Windows Server 2012 R2 Standard. Instalace probíhá klasicky z obrazu operačního systému pomocí instalačního průvodce. Jakmile je operace hotová, dojde k přihlášení do systému, kde se spustí Server Manager. Ten funguje jako pomyslný rozcestník ke všem nainstalovaným službám, tzv. role serveru.
Obrázek 8: Prostředí Server Manager
29
3.3.1 Konfigurace serveru ADTEST Server ADTEST plní funkci doménového kontroléru. Tak, jak je u serverů standardem, je IP adresa nastavena na statickou hodnotu 10.0.20.1 se 24bit maskou.
Obrázek 9: Nastavení síťové karty serveru ADTEST
Instalace a konfigurace AD DS Nyní jako další krok následuje instalace a konfigurace rolí. Základní součástí doménového kontroléru je služba AD DS. Po instalaci následuje nastavení domény. Pro naše účely bude stačit vytvořit nový les s kořenovým doménovým jménem DOM1.local v záložce Deployment Configuration a vyplnit heslo doménového administrátora v záložce Domain Controller Options. Zbylé položky v průvodci ponecháme v defaultních hodnotách. Podmínkou pro úspěšné splnění podmínek nastavení domény je být přihlášen pod lokálním administrátorským účtem, který má nastavené heslo. Po instalaci a následném restartu je server připraven plnit úlohu doménového kontroléru.
Obrázek 10: Nastavení doménového jména
30
Obrázek 11: Nastavení hesla doménového administrátora
Instalace a konfigurace DHCP DHCP server se instaluje v Server manageru přidáním stejnojmenné role. Opět se pomocí průvodce dostaneme až k instalaci a po jejím úspěšném proběhnutí je požadované nastavení
přihlašovacích údajů.
Následně nastavíme rozsahy
pro dynamické přidělování adres v nástroji DHCP. Protože je síť postavena na IPv4, bude nás zajímat pouze tato položka. V ní vytvoříme následující „Scope“ (rozsah):
počáteční IP adresa 10.0.20.50,
koncová IP adresa 10.0.20.100
Obrázek 12: Rozsah IP adres pro koncové stanice
31
Obrázek 13: Ukázka zapůjčených IP adres
3.3.2 Konfigurace serveru SWDS Server SWDS má na starosti samotný proces nasazování operačního systému, ovladačů a aplikací na koncové stanice. IP adresa serveru je nastavena na statickou hodnotu 10.0.20.2.
Obrázek 14: Nastavení síťové karty serveru ADTEST
Aby server SWDS plnil funkci, pro kterou byl určen – tedy deployment koncových stanic, je třeba se vrátit na server ADTEST a v DHCP nástroji nastavit Scope Options. Konkrétně se jedná o volbu 066 Boot Server Host Name a volbu 067 Bootfile Name. Volba 066 Boot Server Host Name pomocí IP adresy identifikuje TFTP server. V našem případě server SWDS (IP 10.0.20.2). Volba 067 Bootfile Name specifikuje bootovací program. V našem případě boot\x64\wdsnbp.com, který obsahuje síťový bootovací program.
32
Instalace a konfigurace Windows Deployment Services Server SWDS potřebuje pro svoji správnou funkci nainstalovat pouze službu Windows Deployment Services. Tuto službu nainstalujeme opět přidáním role v prostředí Server Manageru. Po instalaci v konzoli WDS přidáme do seznamu server (SWDS) a pomocí průvodce nastavíme vlastnosti služby. Vlastnosti:
PXE bude reagovat na všechny (známé i neznámé) stanice připojené do sítě.
Bootování ze sítě se aktivuje stiskem klávesy F12.
Zvolíme výchozí bootovací image, tak že k příslušné architektuře zvolíme cestu bootovacího souboru. Nastavíme boot soubory pro obě architektury.
IP adresu koncového zařízení necháme přiřadit pomocí DHCP serveru z výše uvedeného rozsahu IP adres.
Obrázek 15: Ukázka prostředí Windows Deployment Services
Instalace Microsoft Deployment Toolkit Hlavní účel automatizovaného či poloautomatizovaného nasazení operačních systémů je úspora času, potažmo i nákladů na instalaci koncových zařízení. K tomuto účelu Microsoft vyvinul nástroj Deployment Toolkit. Po jeho instalaci získáme sadu nástrojů, které slouží k definování průběhu instalace OS, ovladačů a aplikací krok za krokem. Součástí MDT 2013 je prostředí Microsoft Deployment Workbench pro nastavení instalačních scénářů. Pomocí průvodce vytvoříme nový deployment share. V našem 33
případě se tento share nazývá Instalace OS. V této složce jsou uloženy soubory a skripty, na kterých závisí celý proces nasazení.
Obrázek 16: Prostředí Deplyoment Workbench
Pro každý share lze definovat pravidla, pomocí kterých lze automatizovat průvodce při vlastním nasazování nového počítače předvyplněním některých údajů. Pravidla pro share Instalace OS: [Default]
SkipComputerBackup=NO
OSInstall=Y
SkipBitLocker=YES
SkipComputerName=NO
SkipLocaleSelection=NO
SkipDomainMemberShip=NO
KeyboardLocale=cs-CZ
JoinDomain=DOM1.local
UserLocale=cs-CZ
DomainAdmin=administrator
UILanguage=cs-CZ
DomainAdminPassword=********
SkipTimeZone=NO
DomainAdminDomain=DOM1.local
TimeZone=095
SkipUserData=NO
TimeZoneName=Central Europe
SkipCapture=YES
Standard Time
SkipAdminPassword=YES
SkipApplications=NO
SkipProductKey=YES
34
Instalační scénáře v Deployment Workbench Při klasické instalaci koncového zařízení se postupuje od instalace operačního systému, přes instalaci ovladačů po instalaci aplikací. Pomocí Deployment Workbench zabijeme několik much jednou ranou, tím že tyto činnosti sjednotíme do jednoho velkého celku. Import obrazu operačního systému Jak již bylo řečeno, deployment se týká operačních systémů Microsoft Windows 7 a Windows 8.1. Přidáme tedy instalační image těchto systémů do deployment scénáře pomocí nástroje Deployment Workbench. Při samotném procesu nasazování stanice budou na výběr tyto image:
Microsoft Windows Professional 7 x86,
Microsoft Windows Professional 7 x64,
Microsoft Windows Pro 8.1 x64.
Import aplikací v Deployment Workbench Přidání aplikací do deployment scénáře probíhá pomocí průvodce pro nové aplikace. Všechny instalované aplikace budou instalovány jako aplikace se zdrojovými soubory z daného umístění, jehož cestu v průvodci musíme zadat. Na závěr průvodce požaduje zadat command line příkaz pro spuštění instalace. Základní balík instalovaných aplikací:
Adobe Reader,
Adobe Flash Player,
Microsoft Office 2010/2013 x86/x64,
Java.
Další aplikace a programy je možné kdykoliv doplnit. Tato oblast už je silně specifická díky nejrůznějším aplikacím pro různá odvětví. Některé aplikace nabízí pokročilé volby instalace a chování programu, takže je možné některé komponenty aplikace úplně vynechat, jiné upravit apod. Takové možnosti nabízí např. nástroj Adobe Customization Wizard XI pro Acrobat Reader XI. 35
Obrázek 17: Ukázka prostředí Adobe Customization Wizard XI
Nastavení Adobe Customization Wizard XI pro Adobe Reader XI:
nezobrazovat okno s licenčním ujednáním,
nastavit Adobe Reader jako výchozí prohlížeč dokumentů PDF (Protable Document Format),
odstranit předchozí verze programu, jsou-li nainstalované,
tichý režim instalace (bez zobrazení GUI),
potlačit restart počítače po instalaci,
nezobrazovat ikonu zástupce na ploše počítače,
zakázat aktualizace programu v menu Nápověda.
Podobný nástroj je i součástí balíčku MS Office. Pokud navíc nasazujeme Office pomocí Deployment Workbench, pak je Office Customization Tool dostupný přímo ve vlastnostech aplikace v záložce Office Products (jde o nástroj, který je též možné spustit samostatně příkazem cesta_k_souboru\setup.exe /admin).
36
Obrázek 18: Prostředí Microsoft OCT Nastavení Office Customization Tool
zadání názvu organizace (Autocont)
odsouhlasení licenčních ujednání, aby se nezobrazovalo při instalaci
potlačení zobrazení GUI při instalaci – vlastnost HIDEUPDATEUI nastavena na hodnotu True
Zákaz restartu po instalaci – vlastnost SETUP_REBOOT nastavena na hodnotu Never
Příkazy pro instalaci aplikací
Adobe Reader o msiexec /qn /i AdbeRdr11000_cs_CZ.msi TRANSFORMS = \\swds\image\Acrobat Reader XI\AdbeRdr11000_cs_CZ.mst
Flash Player o msiexec.exe /i install_flash_player_16_plugin.msi /quiet /norestart /qn
Java o jre-8u31.exe /s WEB_JAVA=1 37
MS Office (verze dle souboru .MSP) o setup.exe /adminfile "\\swds\image\Office 2010 x86\Office2010x86.MSP" o setup.exe /adminfile \\swds\image\MS Office 2010 x64\Office2010x64.MSP o setup.exe /adminfile \\SWDS\image\MS Office 2013\Office2013x86.MSP o setup.exe /adminfile \\SWDS\image\MS Office 2013 x64 English\Office2013x64.MSP
Import ovladačů v Deployment Workbench Import ovladačů koncových zařízení je opět silně zjednodušen díky prostředí Deployment Workbench. Jedinou podmínkou je naimportovat ovladače ve formátu *.inf. Každý balíček pro určitý hardware obsahuje celou řadu souborů s příponou .inf., které se rozbalí a nainstalují na stanici, pokud není využito služby WDS. Výhodou instalace ovladačů pomocí WDS je, že nástroj sám rozpozná vendora zařízení a automaticky vybere odpovídající soubor. Task Sequences v Deployment Workbench Budou vytvořeny 3 různé Task Sequences, které zajistí posloupnost dílčích pod úkolů prováděných při nasazení kompletního obrazu operačního systému na koncové stanice. Každá tato posloupnost při jejím vytváření vyžaduje zadat ID a název sekvence. Následně z nabídky vybereme šablonu Standard Client Task Sequence, která je přednastavená pro kompletní nasazení operačního systému na koncové zařízení. Dále vybereme námi požadovaný operační systém, jejichž obrazy již máme naimportovány (viz Import obrazu operačního systému str. 35). V další nabídce je požadováno zadání produktového klíče OS. Na výběr jsou 3 možnosti:
nyní nezadávat (pro testovací prostředí vybrána tato volba),
zadat multilicenční klíč (v podnikovém prostředí bude nejběžnější volba),
zadat retailový produktový klíč (licence pouze pro jednu stanici).
38
Další strana průvodce vyzve k zadání názvu organizace (Autocont). Pole Full Name a domovskou stránku pro Internet Explorer můžeme ponechat ve výchozím nastavení. V posledním kroku zbývá volba, zda zadat heslo pro lokálního administrátora. Pokud ano, je třeba vyplnit. Poté již dojde k importu všech potřebných souborů a vytvoření nové sekvence. Ve vlastnostech každé takto vytvořené sekvence lze doladit vlastnosti systému pomocí odpovědního souboru (Unattend.xml) v programu WSIM (Windows System Image Manager). Tyto vlastnosti se pak propíší do výsledného obrazu instalovaného systému. Tabulka 3: Nastavení odpovědního souboru
Komponenta Windows PE - Product Key generalize amd64_Microsoft-Windows-ShellSetup_neutral
generalize amd64_Microsoft-Windows-IEInternetExplorer_neutral
Nastavení
Hodnota
WillShowUI
Never
RegisteredOrganization
Autocont
BlockPopups DisableFirstRunWizard DisableWelcomePage Home_Page NoDial PlaySound ShowLeftAddressTolbar Domain Password
yes true true http://www.autocont.cz true true true DOM1 ********
generalize amd64_MicrosoftWindowsUnattendedJoin_neutral - Username Identification - Credentials oobeSystem Domain amd64_MicrosoftWindows-ShellPassword Setup_neutral AutoLogon + Password HideLocalAccountScreen oobeSystem HideOEMRegistrationScreen amd64_MicrosoftHideOnlineAccountScreens Windows-ShellHideWirelessSetupInOOBE Setup_neutral - OOBE SkipMachineOOBE
Administrator DOM1.local ******** true true true true true
39
3.4 Nasazení Bginfo Program Bginfo umožňuje uživatelům na ploše zobrazit informace aktuální informace o stanici i uživateli. Umožňuje např. usnadnit práci při uživatelské podpoře tím, že administrátorovi sdělí informace propsané do tapety na ploše a na základě nich je snadné identifikovat o jakou stanici a jakého uživatele se jedná. V našem případě jsou informace získávány pomocí WMI dotazů a Visual Basic skriptů. Kromě toho Bginfo umožňuje uchovávat záznamy o uživatelích přihlášených na jednotlivé stanice. Vzhledem k tomu, že nemáme k dispozici zprovozněn databázový server, budou se jednotlivé záznamy ukládat do MS Access databáze. Do takové databáze je možné ukládat i informace, které nejsou běžným uživatelům zpřístupněny. Bginfo uživatelům na ploše zobrazuje následující informace:
název stanice,
login aktuálně přihlášeného uživatele,
IP adresu,
operační systém,
Service pack.
Obrázek 19: Bginfo na ploše uživatele
Pro spuštění programu je nutné pomocí skupinové politiky pro uživatele nadefinovat Logon script pomocí rozhraní příslušné politiky. V Bginfo zároveň elegantně 40
nadefinujeme pozadí plochy, které má mít jednotný vzhled pro všechny doménové uživatele. Na závěr všechna nastavení uložíme do souboru BGInfo.bgi, který je přidružen jako parametr při spouštění programu.
Obrázek 20: Logon skript pro BGInfo v Group Policy Management
3.5 Nastavení skupinových politik K nastavení skupinových politik využijeme prostředí Group Policy Management Console. Pod vybranou doménou (DOM1.local) vytvoříme a nalinkujeme požadované Group Policy objekty dle jejich funkce, které budou definovat chování a bezpečnost koncové stanice. Skupinové politiky jsem definoval nad celou doménou, ačkoliv v praxi se rozlišují např. politiky pro servery a pro koncové stanice (na úrovni organizačních jednotek). Požadavky na skupinové politiky:
minimální délka hesla je 8 znaků; heslo musí být komplexní (malé, velké znaky, číslice a další znaky), heslo je třeba měnit minimálně každých 90 dní,
posledních 14 dní před vypršením hesla jsou uživatelé vyzýváni ke změně hesla,
uzamknout účet na 10 minut po zadání 3 nesprávných hesel během 1 minuty,
počítač nezobrazuje login posledního přihlášeného uživatele,
není požadováno stisknout kombinaci kláves CTRL+ALT+DEL pro přístup k přihlašovací obrazovce,
nastavení přístupu pomocí vzdálené plochy,
jednotný spořič obrazovky bez možnosti nastavení a změny, 41
jednotné pozadí plochy bez možnosti změny,
uzamknout obrazovku po 10 minutách nečinnosti,
ponechání vybraných prvků v ovládacích panelech,
spouštění pouze povolených aplikací,
zakázat možnost instalovat aplikace uživateli,
omezit použití vyměnitelných úložných zařízení.
Obrázek 21: Seznam použitých politik
Skupinové politiky počítače se aplikují po restartování stanice, zatímco nastavení uživatelských politik proběhne při přihlášení uživatele k účtu. Politiky lze také vynutit příkazem gpupdate /force, který se automaticky ve výchozím nastavení spouští každých 90 minut.
3.6 Konfigurace WSUS Služba WSUS, jak již bylo řečeno, slouží ke správě a instalaci aplikací na stanice a servery s operačním systémem MS Windows. Službu včetně uživatelského rozhraní 42
nainstaluji přidáním role Windows Server Update Service v Server Manageru. Současně s WSUS se automaticky přidá k instalaci Web Server s nástrojem IIS. V instalačním průvodci je možné nastavit cestu, kam se budou ukládat stažené aktualizace. V našem případě jsme ponechali výchozí nastavení (C:\WSUS). Po přidání role je třeba ještě provést post instalační kroky nástroje WSUS, zahrnující následující nastavení:
synchronizovat aktualizace ze serveru Windows Update,
stahovat aktualizace pouze v českém a anglickém jazyce,
specifikovat, pro které produkty aktualizace stahovat: o Office 2010, o Office 2013, o Windows 7, o Windows 8.1,
typy stahovaných aktualizací: o kritické aktualizace, o aktualizace zabezpečení, o Service Packy,
automatická synchronizace jednou za 7 dní v nočních hodinách.
Obrázek 22: Konzole WSUS
43
Kromě samotného nastavení WSUS je nutné provést konfiguraci skupinové politiky, která zajistí správnou interakci mezi koncovou stanicí a WSUS. Pro základní funkčnost WSUS nastavíme umístění služby Microsoft update, což je v našem případě server ADTEST a položku Automatic Updates. Položka Automatic Updates říká, jak a kdy aktualizace stahovat a instalovat. Její nastavení je specifické dle požadavků jednotlivých firem, ale obecně se nastavuje na automatické stahování a instalaci jednou za týden v nočních hodinách. V testovacím prostředí jsme nastavili interval na každý den v pravé poledne (viz obr. 21). Další konfigurace již jen specifikuje chování automatických aktualizací.
Obrázek 23: Nastavení GPO pro WSUS
3.7 Nasazení certifikační autority Ve vytvořeném testovacím prostředí požadujeme ověření stanice pro připojení do doménové sítě pomocí certifikátu počítače. Nejprve je nutné opět nainstalovat službu AD CS, která vydává a umožňuje spravovat certifikáty. Službu nainstalujeme standardně pomocí Server Manageru. Pro naše potřeby postačí u služby vybrat
44
Certification Authority a Certification Authority Web Enrollment. Po dokončení instalace služba požaduje nastavit konfiguraci:
Vybrané role služby – Certification Authority, Certification Authority Web Enrollment,
Typ nastavení certifikační autority – Enterprise CA,
Typ certifikační autority – Root CA,
Typ soukromého klíče – Create a new private key,
Délka platnosti certifikátu – 1 rok.
V konzoli Certificate Templates Console jsou již předdefinovány vzorové šablony certifikátů. Vybereme certifikát s názvem Computer a zkopírujeme jej s novým názvem Computer DOM1. Ve vlastnostech vytvořené šablony nás zajímá především záložka General (Obecné), kde nastavíme dobu platnosti certifikátu. Pro automatické vydávání certifikátu stanicím v záložce Security (Zabezpečení) povolíme skupině Domain Computers (DOM1\Domain Computers) volbu Autoenroll.
Obrázek 24: Certificate Template Console
Nyní otevřeme konzoli certsrv příkazem certsrv.mgr nebo otevřením nástroje Certification Authority prostřednictvím Server Manageru. Přejdeme do složky Certificate Templates a přidáme námi vytvořenou šablonu Computer DOM1.
45
Obrázek 25: Konzole certifikační autority
Na závěr nastavíme opět skupinovou politiku, která zajistí distribuci certifikátů na koncové stanice.
Obrázek 26: Skupinová politika pro certifikační autoritu
3.8 Připojení síťové tiskárny Pro připojení tiskárny na koncových stanicích je třeba nainstalovat tiskovou službu, nastavit tiskárnu v Print Managementu a vytvořit politiku pro automatické připojení tiskárny na koncové stanice. Instalace tiskové služby probíhá přidáním Print Serveru z balíčku Print and Document Services v Server Manageru. Nasazení tiskárny probíhá v konzoli Print Management, kde v nabídce Print Server –> –> Printers přidám novou tiskárnu. Zadáme IP adresu tiskárny a síťový název, pomocí kterého pak tuto tiskárnu uživatelé identifikují. Tiskárnu máme připravenou a nyní ji stačí pouze připojit ke koncovým stanicím pomocí Group Policy. Toho dosáhneme 46
volbou Deploy with Group Policy v Deployed Printers. Pokud již máme vytvořen objekt skupinové politiky pro tiskárny, stačí zadat název tohoto objektu, zatrhnout volbu aplikovat na uživatele a přidat politiku na seznam. Nyní je tiskárna připravena k tisku pod názvem HP LJ 3390 test.
Obrázek 27: Nasazení síťové tiskárny pomocí Print Managementu
Obrázek 28: Nastavení GPO pro síťovou tiskárnu HP LJ 3390 test
3.9 Nasazení File Filteringu Elegantním způsobem, jak uživatelům nastavit diskovou kvótu na sdíleném disku a zároveň zakázat ukládání nežádoucím typům souboru je file filtering. Aby jej bylo možné uvést do života, musíme na AD server nainstalovat službu File and Storage Services, resp. její roli FSRM. Aby bylo možné vůbec filtrování souborů využít, bylo třeba vytvořit sdílené úložiště. Vytvořil jsem sdílenou složku HOME s cestou \\ADTEST\HOME\ a zde má každý uživatel vytvořenou vlastní složku nastavenou tak, aby do ní ostatní uživatelé neměli přístup. Na toto umístění nyní budeme aplikovat filtrování a nastavení kvót. 47
Nejprve vytvoříme novou šablonu kvóty. Ta má limit 300 MB. Každý uživatel tedy ve své domovské složce bude mít k dispozici 300 MB volného místa s tvrdou kvótou. Tvrdá kvóta nedovoluje tento limit přesáhnout.
Obrázek 29: Nastavení kvóty domovské složky uživatelů
Vzhledem k omezené kapacitě domovské složky je tedy nutné předcházet jejímu snadnému zaplnění, což se dá do určité míry zařídit i filtrováním určitých typů souborů. Bude se jednat především o různé multimediální soubory, jako jsou videa, hudba či obrázky. Nicméně ve výsledku budou povoleny pouze soubory, které je možné otevřít v MS Office, textové soubory a webové stránky. Tabulka 4: Omezené skupiny souborů
audio a video soubory komprimované soubory systémové soubory
obrázky e-mailové soubory dočasné soubory
soubory záloh spustitelné soubory webové stránky
Využijeme tedy předdefinované skupiny souborů a vytvoříme nový File Screen pro umístění E:\HOME. Využívá aktivní screening nad skupinami souborů, které jsou uvedeny v tab. 4. Jakmile provedeme tento krok, budou všechna nastavení aplikována na domovské složky uživatelů v síťovém umístění \\ADTEST\HOME.
Obrázek 30: Prostředí File Server Resource Manager
48
4 Testování Testováním si ověříme, zda implementace koncové stanice pomocí služby WDS proběhla úspěšně, porovnáme použitou metodu Lite-Touch s metodou High-Touch, abychom zjistili časovou úsporu při nasazování systému, aplikací a ovladačů. Na závěr prověříme přidání stanice do domény, aplikaci skupinových politik, funkčnost WSUS, file filtering, funkčnost tiskárny, vydání certifikátu a distribuci na koncovou stanici, zobrazování informací o stanici na ploše pomocí BGinfo a podrobný výpis o stavu stanice do databáze při každém přihlášení uživatele.
4.1 Test komunikace Aby bylo možné celý systém provozovat, je nezbytně nutné, aby spolu komunikovaly servery ADTEST a SWDS. Otestovali jsme pomocí pingu.
Obrázek 31: Test ping z ADTEST na SWDS
Obrázek 32: Ping z SWDS na ADTEST
49
4.2 Test rychlosti nasazení: Průběh kompletního nasazení koncové stanice je znázorněn na videosnímcích (viz příloha) zachycených z virtuální stanice AC-DEPLOY. Z těchto snímků je vidět kompletní postup od nabootování až po dokončení deploymentu. Další testy probíhaly na fyzické stanici Lenovo.
0:13:41
0:12:19
0:11:05
0:00:00
0:02:53 Windows 8.1 Pro x64
0:05:46
0:08:38
Windows 7 Pro x64
0:11:31
0:14:24
Windows 7 Pro x86
Graf 1: Porovnání rychlosti nasazení dle operačního systému na virtuální stanici AC-DEPLOY
0:17:07 0:18:09 0:16:13
0:15:07
0:15:50 Windows 8.1 Pro x64
0:16:34
0:17:17
Windows 7 Pro x64
0:18:00
0:18:43
Windows 7 Pro x86
Graf 2: Porovnání rychlosti nasazení dle operačního systému na fyzickou stanici AC-DESKTOP
Jak je z grafů patrné, rychlosti nasazení jednotlivých stanic se liší. Je to způsobeno odlišnou architekturou i typem operačního systému. U 64bit systémů se kopíruje více systémových souborů a jsou rozsáhlejší knihovny. U Windows 8.1 je navíc větší množství aplikací, které se spolu s operačním systémem instalují. Pro testování byly 50
zvoleny stejné sady instalovaných aplikací, pouze u Windows 7 Professional x86 byl místo MS Office x64 vybrán MS Office x86. Na závěr proběhlo porovnání metody Lite Touch s manuálním nasazením stanice. Manuální nasazení začalo instalací operačního systému z optického média, dále ovladače a výše uvedená sada aplikací. Všechny potřebné instalační soubory jsem měl připraveny na USB flash paměti a optických médiích. Nakonec jsem stanici přidal do domény a zaznamenal výsledný čas.
0:17:07 0:18:09 0:16:13
1
0:35:50 0:34:11 0:32:45
0:00:00
0:07:12
0:14:24
0:21:36
0:28:48
0:36:00
0:43:12
Windows 8.1 Pro x64 Lite Touch
Windows 7 Pro x64 Lite Touch
Windows 7 Pro x86 Lite Touch
Windows 7 Pro x64 ruční instalace
Windows 7 Pro x86 ruční instalace
Windows 8.1 Pro x64 ruční instalace
Graf 3: Porovnání metod Lite Touch a High Touch
4.3 Ověření správného nainstalování ovladačů Kontrolou správce zařízení jsem si ověřil správnost instalace ovladačů
Obrázek 33: Nainstalované ovladače
51
4.4 Ověření nainstalovaných aplikací Pro zvolenou sadu instalovaných aplikací se nevyskytly žádné problémy, což se projevilo úspěšně dokončeným deploymentem a v nainstalovaných programech všechny tyto aplikace vidíme.
Obrázek 34: Ověření nainstalované sady aplikací
4.5 Test BGinfo Každé přihlášení uživatele na stanici spustí Logon skripty. Pro otestování, zda se tapeta na ploše aktualizuje při každém přihlášení, jsem přidal položku Last Logon pro zobrazení času přihlášení.
Obrázek 35:Aktualizace tapety s BGinfo při přihlášení uživatele
52
V příloze na DVD je uložen ukázkový soubor s databází, která obsahuje záznamy jednotlivých stanic při přihlášení uživatele (pro otevření je třeba mít nainstalovaný MS Access).
4.6 Ověření funkčnosti Group Policy Nakonfigurované objekty skupinových politik se úspěšně aplikovaly na koncové stanice a uživatele. Při požadované změně hesla při prvním přihlášení uživatele nebylo možné zadat nekomplexní heslo kratší, než 8 znaků a 14 dní před vypršením 90denní životnosti hesla byla zobrazena výzva ke změně hesla. Minimální životnost hesla, kterou je možné nastavit, je 1 den. Test politiky, která neumožňuje zaměnit heslo za některé z posledních čtyř použitých, trval tedy celkem 4 dny. Po třech neúspěšných zadání hesla došlo na 10 minut k uzamčení účtu.
Obrázek 36: Zamčení účtu po třech neúspěšných pokusech přihlášení
Uživatelé mají nastavené jednotné pozadí plochy a jednotný spořič obrazovky, které si uživatel nemůže sám změnit.
Obrázek 37: Zašedlé volby změny pozadí plochy a spořiče obrazovky
Nastavení vzdáleného přístupu pomocí RDP (Remote Desktop Protocol) se podařilo zprovoznit dle požadavku, aby přístup měli doménoví administrátoři a vybraní
53
uživatelé, kteří jsou členy skupiny RDP Users. Výsledné nastavení na koncové stanici je znázorněno na obr. 38.
Obrázek 38: Nastavení RDP na koncové stanici
Nastavení brány Firewall je spravováno administrátorem
Obrázek 39: Nastavení Firewallu v doméně
Vymezení aplikací, které uživatel může spouštět, se také obešlo bez větších problémů při nasazování, ale dolaďování bylo především časově náročné z důvodu různých závislostí (např. pro spouštění VB (Visual Basic) skriptů je třeba povolit Wscript.exe nebo Cscript.exe). Je-li spuštěna jiná, než povolená aplikace, zobrazí se uživateli chybové hlášení.
54
Obrázek 40: Pokus o spuštění nepovolené aplikace
Z ovládacích panelů byla pomocí skupinové politiky vyjmuta většina položek. Některé položky byly odebrány kvůli zabezpečení stanice, na jiné položky se nepodařilo uplatnit výjimku pro spuštění aplikací, a tak byly tyto položky též vyjmuty. Výsledný seznam zbylých položek v ovládacích panelech je doložen obrázkem níže.
Obrázek 41: Položky Ovládacích panelů po aplikování GPO
Omezení týkající se možnosti použití odpojitelných úložišť se vztahuje na USB porty, optické mechaniky a disketové mechaniky. Omezení se týká jak čtení, tak i zápisu na tyto jednotky.
55
Obrázek 42: Omezení čtení a zápisu na USB úložiště
Obrázek 43: Omezení čtení a zápisu médií optických jednotek
Test přístupu k disketové mechanice nebylo možné otestovat, z důvodu absence mechaniky na koncové stanici. Toto omezení nemá příliš vysokou prioritu, protože tyto mechaniky se již téměř nepoužívají.
4.7 Test WSUS V případě správné funkčnosti WSUS se na koncové stanice automaticky instalují aktualizace povolené a spravované administrátorem.
Obrázek 44: Windows Update na koncových stanicích
56
4.8 Test certifikační autority Ihned po deploymentu stanice došlo k vydání certifikátu počítače vydaného serverem ADTEST pro koncovou stanici AC-DESKTOP. Platnost certifikátu je 1 rok (viz obr. 40).
Obrázek 45: Automaticky vydaný certifikát počítače na koncové stanici
4.9 Test připojení síťové tiskárny Síťová tiskárna byla automaticky přidána na koncová zařízení a je okamžitě připravena k tisku. Tisk zkušební stránky proběhl úspěšně.
Obrázek 46: Připojená tiskárna HP LJ 3390 test na stanici AC-DESKTOP
57
4.10 Test filtrování souborů Byly vytvořeny osobní síťové složky uživatelů s kapacitou 300 MB a možností ukládat pouze Office a textové soubory.
Obrázek 47: Díky tvrdé kvótě nelze přesáhnout kapacitu osobní složky
Při pokusu zkopírovat, či vytvořit v osobní složce uživatele soubor, který podléhá filtraci, je uživatel pomocí dialogového okna upozorněn o zamítnutí přístupu.
Obrázek 48: Ukázka file filteringu
58
5 Závěr Implementace standardu koncového zařízení pro firmu Autocont proběhla bez větších problémů a většina požadavků se podařilo splnit, ačkoliv práce trvala nakonec déle, než se předpokládalo, což bylo způsobeno studiem technologií, které pro mě byly do té doby neznámé. Většina problémů, se kterými jsem se potýkal, byly způsobeny špatným nastavením práv. První část, která se týkala instalace serverů, proběhla naprosto bez problémů. Nic tedy nebránilo pustit se do samotného nastavení prostředí pro deployment pomocí služby WDS. Při nasazování operačních systémů jsem se snažil o maximální automatizaci, což se povedlo. Pouze u 32bit systému Windows 7 Professional se nepodařilo aplikovat hotfix, tak jako u 64bit verze, který řeší problém s objevováním se okna pro výběr umístění sítě, ačkoliv je tato volba zavedena v odpovědním souboru pro operační systém. Další problém byl s úpravou odpovědního souboru 32bit systémů pomocí nástroje WSIM na 64bit Windows Serveru. Bylo tedy nutné ručně upravit kód odpovědního souboru. Při nasazování aplikací jsem se poprvé seznámil s tzv. silent (na pozadí bez GUI) instalacemi s možností přizpůsobit offline instalace aplikací, čehož jsem využil u Acrobat Reader a balíčku MS Office. Zvolená sada aplikací vychází z běžných koncových stanic ve firmách, kde tyto aplikace zřídka kdy chybí. Další aplikace je možné kdykoliv jednoduše naimportovat. Především by se jednalo o antivirový software, který by z důvodu zabezpečení neměl chybět na žádné stanici. V plánu jej ovšem instalovat nebylo z důvodu rozdílných preferencí zákazníků. Jakmile byl proces deploymentu uveden do fáze, kdy proběhl bez chyby, bylo nutné definovat chování stanic pro koncové uživatele. Pomocí skupinových politik byly nakonfigurovány politiky zaměřené na zabezpečení stanic, ale i pro zpříjemnění práce koncovým uživatelům, kteří tak nejsou zatěžováni zbytečnými informacemi díky správě stanic administrátorem. Problém u skupinových politik se vyskytl při omezení použít vyměnitelná úložiště, kdy tato politika vyhodnotila lokální disk jako vyměnitelný a nenávratně k němu zamezila přístup. Naštěstí se data podařilo obnovit nástrojem třetí strany. Dle požadavků jsem se zabýval i možností specifikovat aplikace, které může uživatel spouštět na dané stanici. Ostatní aplikace budou zakázané. To se projevilo pravděpodobně jako největší oříšek, neboť jak jsem zjistil, nelze na klasické koncové 59
stanice tuto politiku aplikovat, protože nebylo v mých silách zjistit všechny programy, které běžný uživatel používá. Takto specifikovat programy by bylo možné např. na terminálech, které by byly silně specializované pro minimální množství úkonů. Posledním problémem, se kterým jsem se setkal při tvorbě politik, se týkal vzdáleného přístupu, který se mi nepodařilo hromadně nasadit. Nejen pro uživatele, ale i pro administrátory je výhodou nasazené BGInfo, pomocí kterého uživatelé mohou helpdesku sdělit základní potřebné údaje pro vzdálené připojení ať už pomocí RDP nebo nějakým nástrojem třetí strany. Záznamy jednotlivých přihlášení uživatelů se zapisují do databáze. Bylo otestováno zapisování do textového souboru, tabulky excel a MS Access databáze. Do budoucna mám v plánu zprovoznit SQL (Structured Query Language) server, aby bylo možné ukládat záznamy i do SQL databáze. Nasazením WSUS se zjednodušila správa koncových stanic samočinnými instalacemi aktualizací. Problémem, na který jsem u aktualizací narazil, byla instalace Service Packu 1 na operační systém Windows 7, která vždy skončila s chybou, kterou jsem nebyl schopen identifikovat a odstranit. Nejedná se ovšem o chybu WSUS, ale o chybu v konkrétní instanci. Jediným spolehlivým způsobem tedy byla ruční instalace tohoto aktualizačního balíčku, případně předcházet této chybě, tím že budeme deployovat na stanice operační systém Windows 7 přímo s tímto service packem. Certifikační autority počítačů pomáhají s ověřením jednotlivých stanic v doméně při vzdáleném přístupu na stanici. Na závěr bylo nasazeno a otestováno filtrování souborů. Filtrování je opět velmi specifický úkon, protože typy souborů, které budou uživatelé ukládat na síťový disk, se budou velmi lišit v závislosti, zda se společnost zabývá vývojem aplikací, kreslením technických výkresů nebo se bude jednat např. o firmu zabývající se administrativní činností. Vzhledem k tomu, že se jedná o testovací prostředí, je nutné přihlédnout k tomu, že různé firmy mají různé požadavky na koncové stanice. V této bakalářské práci se jedná o základní implementaci, kterou je nutné v reálném prostředí přizpůsobit na základě požadavků zákazníka. Jde pouze o návod, jakým způsobem dosáhnout především co nejvíce automatizovaného nasazení stanic ve firemním prostředí.
60
Do budoucna, jak jsem zmínil, bych rád zprovoznil databázový server a doladil skupinové politiky, které průběžně doplňuji podle aktuální situace. Dále by šlo zvážit nasazení např. osobních certifikátů uživatelů. V současné době je projekt ve stádiu, kdy se jej chystám vyzkoušet i v ostrém provozu a případně rozšířit o další funkcionalitu.
61
Seznam použité literatury 1. HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 3., aktualiz. vyd. Brno: Computer Press, 2006, 211 s. ISBN 80-2510892-9. 2. MINASI, Mark. Mastering Windows server 2012 R2 [online]. xxxiv, 1670 pages [cit. 2015-05-21]. ISBN 978-111-8333-945. Dostupné z: https://play.google.com /books/reader?id=b4AKWdifLYYC&printsec=frontcover&output=reader&hl=c s&pg=GBS.PA490.w.1.0.109 3. PANEK, William a Tylor WENTWORTH. Mastering Microsoft Windows 7 administration [online]. Indianapolis, Ind.: Wiley Pub., 2010, xxi, 578 p. [cit. 2015-05-21].
Serious
skills.
ISBN
978-047-0559-840.
Dostupné
z:
https://imanovn.files.wordpress.com/2010/11/mastering-microsoft-windows-7administration.pdf 4. KRÁL, Mojmír a Petr SLAVÍK. Windows 8: kompletní příručka. 1. vyd. Praha: Grada, 2013, 368 s. Profesionál. ISBN 978-80-247-4340-0. 5. KUSNETZKY, Dan. Virtualization: a manager's guide [online]. Sebastopol, CA: O'Reilly, 2011, ix, 58 p. [cit. 2015-05-21]. ISBN 14-493-0645-4. Dostupné z: https://books.google.cz/books?id=dV_L5CbsDscC&printsec=frontcover&dq= virtualization&hl=cs&sa=X&ei=9CoMVbemJMPjO5XSgZgH&redir_esc=y#v= onepage&q&f=false 6. VMWARE. Virtualizace VMware pro klientské osobní počítače, servery, aplikace, veřejné a hybridní cloudy [online]. 2015 [cit. 2015-05-21]. Dostupné z: http://www.vmware.com/cz/ 7. VMWARE. VMware vSphere 5.5 Documentation Center [online]. [cit. 2015-0521]. Dostupné z: https://pubs.vmware.com/vsphere-55/index.jsp?topic=%2Fcom .vmware.+vsphere.doc%2FGUID-1B959D6B-41CA-4E23-A7DBE9165D5A0E80.html
62
8. VMWARE. VMware vSphere 5 Documentation Center [online]. [cit. 2015-0521]. Dostupné z: https://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom .vmware.vsphere.introduction.doc_50%2FGUID-8BE2902F-AF5D-4493-95E3B93A8A862192.html 9. Microsoft Deployment Toolkit. Microsoft TechNet [online]. 2015 [cit. 2015-0521]. Dostupné z: https://technet.microsoft.com/en-us/windows/dn475741 10. Windows Deployment Services. Microsoft Technet [online]. 2015 [cit. 2015-0521].
Dostupné
z:
https://technet.microsoft.com/en-
us/windowsserver/dd448616.aspx 11. Windows Assessment and Deployment Kit (Windows ADK) for Windows 8.1 Update. Microsoft Download Center [online]. 2015 [cit. 2015-05-21]. Dostupné z: https://www.microsoft.com/en-us/download/details.aspx?id=39982 12. MICROSOFT. Windows ADK Overview [online]. 2015 [cit. 2015-03-13]. Dostupné z: https://msdn.microsoft.com/cs-cz/library/windows/hardware/hh825 486.aspx 13. High-Touch with Retail Media. Microsoft TechNet [online]. 2015 [cit. 2015-0521]. Dostupné z: https://technet.microsoft.com/library/dd919183.aspx 14. High Touch with Standard Image. Microsoft TechNet [online]. 2015 [cit. 201505-21]. Dostupné z: https://technet.microsoft.com/library/dd919184.aspx 15. Lite-Touch, High-Volume Deployment. Microsoft TechNet [online]. 2015 [cit. 2015-05-21]. Dostupné z: https://technet.microsoft.com/library/dd919179.aspx 16. Zero-Touch, High-Volume Deployment. Microsoft TechNet [online]. 2015 [cit. 2015-05-21]. Dostupné z: https://technet.microsoft.com/library/dd919178.aspx 17. Windows® Group Policy Administrator's Pocket Consultant [online]. New York: O'Reilly Media, Inc, 2009 [cit. 2015-05-21]. ISBN 978-073-5638-433. Dostupné z: https://books.google.cz/books?id=0ZpCAwAAQBAJ&pg=PT34& dq=group+policy&hl=cs&sa=X&ei=sBUAVerlH-GqywOV74CgBw&ved=0CD YQ6AEwAw#v=onepage&q&f=false
63
18. SIVARAJAN, Santhosh. Getting Started with Windows Server Security [online]. s.
172-190
[cit.
2015-05-17].
ISBN
9781784398729.
Dostupné
z:
https://books.google.cz/books?id=Y0TfBgAAQBAJ&pg=PA172&dq=wsus&hl =cs&sa=X&ei=npNdVcOlHsPXyQPTpoC4DA&redir_esc=y#v=onepage&q&f =false 19. TechNet: File Server Resource Manager [online]. [cit. 2015-05-15]. Dostupné z: https://technet.microsoft.com/en-us/library/cc732431.aspx 20. Print Services. Microsoft Technet [online]. 2015 [cit. 2015-05-21]. Dostupné z: https://technet.microsoft.com/en-us/windowsserver/dd448602.aspx
64
Seznam obrázků Obrázek 1: Hvězdicová topologie sítě ............................................................................ 10 Obrázek 2: Využití operačních systémů na koncových stanicích Zdroj: http://www.netmarketshare.com/ 27.3.2015 ................................................................... 13 Obrázek 3: Vlastnosti Microsoft Windows Server 2012 R2 .......................................... 14 Obrázek 4: Architektura virtualizace VWware vSphere (ESXi) [6] .............................. 19 Obrázek 5: Toplogie datového centra vSphere [8] ......................................................... 20 Obrázek 6: Infrastruktura sítě ......................................................................................... 26 Obrázek 7: Ukázka prostředí VMware vSphere Client s dostupnými prostředky virtuálního stroje AC-DEPLOY ..................................................................................... 27 Obrázek 8: Prostředí Server Manager ............................................................................. 29 Obrázek 9: Nastavení síťové karty serveru ADTEST .................................................... 30 Obrázek 10: Nastavení doménového jména ................................................................... 30 Obrázek 11: Nastavení hesla doménového administrátora ............................................. 31 Obrázek 12: Rozsah IP adres pro koncové stanice ......................................................... 31 Obrázek 13: Ukázka zapůjčených IP adres ..................................................................... 32 Obrázek 14: Nastavení síťové karty serveru ADTEST .................................................. 32 Obrázek 15: Ukázka prostředí Windows Deployment Services ..................................... 33 Obrázek 16: Prostředí Deplyoment Workbench ............................................................ 34 Obrázek 17: Ukázka prostředí Adobe Customization Wizard XI .................................. 36 Obrázek 18: Prostředí Microsoft OCT............................................................................ 37 Obrázek 19: Bginfo na ploše uživatele ........................................................................... 40 Obrázek 20: Logon skript pro BGInfo v Group Policy Management ............................ 41 Obrázek 21: Seznam použitých politik ........................................................................... 42 Obrázek 22: Konzole WSUS .......................................................................................... 43 Obrázek 23: Nastavení GPO pro WSUS ........................................................................ 44 Obrázek 24: Certificate Template Console ..................................................................... 45 Obrázek 25: Konzole certifikační autority...................................................................... 46 Obrázek 26: Skupinová politika pro certifikační autoritu .............................................. 46 Obrázek 27: Nasazení síťové tiskárny pomocí Print Managementu .............................. 47 Obrázek 28: Nastavení GPO pro síťovou tiskárnu HP LJ 3390 test .............................. 47 Obrázek 29: Nastavení kvóty domovské složky uživatelů ............................................. 48 Obrázek 30: Prostředí File Server Resource Manager.................................................... 48 Obrázek 31: Test ping z ADTEST na SWDS ................................................................. 49 Obrázek 32: Ping z SWDS na ADTEST ........................................................................ 49 Obrázek 33: Nainstalované ovladače .............................................................................. 51 Obrázek 34: Ověření nainstalované sady aplikací .......................................................... 52 Obrázek 35:Aktualizace tapety s BGinfo při přihlášení uživatele .................................. 52 Obrázek 36: Zamčení účtu po třech neúspěšných pokusech přihlášení .......................... 53 Obrázek 37: Zašedlé volby změny pozadí plochy a spořiče obrazovky ......................... 53 Obrázek 38: Nastavení RDP na koncové stanici ............................................................ 54 Obrázek 39: Nastavení Firewallu v doméně ................................................................... 54 Obrázek 40: Pokus o spuštění nepovolené aplikace ....................................................... 55 Obrázek 41: Položky Ovládacích panelů po aplikování GPO ........................................ 55 Obrázek 42: Omezení čtení a zápisu na USB úložiště.................................................... 56 Obrázek 43: Omezení čtení a zápisu médií optických jednotek ..................................... 56 Obrázek 44: Windows Update na koncových stanicích ................................................. 56 Obrázek 45: Automaticky vydaný certifikát počítače na koncové stanici ...................... 57 Obrázek 46: Připojená tiskárna HP LJ 3390 test na stanici AC-DESKTOP .................. 57 65
Obrázek 47: Díky tvrdé kvótě nelze přesáhnout kapacitu osobní složky ....................... 58 Obrázek 48: Ukázka file filteringu ................................................................................. 58
66
Seznam tabulek Tabulka 1: Porovnání vlastností edicí Windows 7 ......................................................... 16 Tabulka 2: Porovnání vlastností edicí Windows 8/8.1 ................................................... 17 Tabulka 3: Nastavení odpovědního souboru .................................................................. 39 Tabulka 4: Omezené skupiny souborů............................................................................ 48
67
Seznam grafů Graf 1: Porovnání rychlosti nasazení dle operačního systému na virtuální stanici AC-DEPLOY .................................................................................................................. 50 Graf 2: Porovnání rychlosti nasazení dle operačního systému na fyzickou stanici AC-DESKTOP................................................................................................................ 50 Graf 3: Porovnání metod Lite Touch a High Touch ....................................................... 51
68
Seznam použitých zkratek IT – Informační technologie DHCP – Dynamic Host Control Protocol DNS – Domain Name System WDS – Windows Deployment Services WSUS – Windows Server Update Services OS – Operační systém TCP – Transfer Control Protocol IP – Internet Protocol LAN – Local Area Network UDP – User Datagram Protocol POP3 – Post Office Protocol třetí generace FTP – File Transfer protocol HTTP – Hypertext Transfer Protocol OEM – Original Equipment Manufacturer AD – Active Directory AD CS – Active Directory Certificate Services AD DS – Active Directory Domain Services CPU – Cetral Processor Unit RAM – Random Access Memory HDD – Hard Disk Drive SAN – Storage Area Network iSCSI – Internet Small Computer System Interface
69
CLI – Command Line Interface MDT – Microsoft Deployment Toolkit ADK – Assesment and Deployment Kit UEFI – Unified Extensible Firmware Interface PE – Preinstallation Environment PXE – Preboot Execution Environment WADK – Windows Assessment and Deployment Toolkit HKLM – HKEY_LOCAL_MACHIE HKCU – HKEY_CURRENT_USER GPO – Group Policy Object FSRM – File Server Resource Manager IIS – Internet Information Services PDF – Portable Document Format GUI – Graphic User Interface MS – Microsoft WSIM – Windows System Image Manager RDP – Remote Desktop Protocol VB – Visual Basic SQL – Structured Query Language
70
Přílohy 1 Obsah přiloženého CD Na přiloženém CD se tato bakalářská práce ve formátu bakalarska_prace.pdf, ukázková videa s procesem nasazení koncové stanice, VB skripty použité s BGInfo a nastavení Group Policy ve formátu GPO_bakalarska_prace.pdf
71