Windows rendszergazda

Windows rendszergazda előadás jegyzet

Készítette: Szabó Gergő

Miskolci Egyetem, 2011

Történeti áttekintés

DOS alapú Windows OS-ek:
Windows 3.1 • Nem volt hálózati támogatása, DOS alól indult a GUI.
Windows 3.11 (Windows for Workgroups) • Rendelkezett hálózati támogatással – TCP/IP, TSR (Terminate & Stay Resident) elvet követte (rendszerhívás), rossz programok miatt lefagyhatott.
Windows ’95 • Instabil volt, a memóriában ütköző programokat nem kezelte jól.
Windows ’98 • A Plug & Play eszközöket viszonylag jól támogatta, SE (Second Edition) verziója már stabil volt.
Windows Me (Millennium Edition) • Főleg a digitális eszközök támogatásában fejlődött. Egy idő után a Microsoft külön Windows változatokat készített a vállalatok, illetve az otthoni felhasználók számára. A Windows ’95 korszakában szükség volt egy vállalati OS-re, de nem volt megfelelő tapasztalat az elkészítéséhez, ezért a DEC cég VMS OS-e alapján készült el a Microsoft Windows NT, DOS alap nélkül, multitask/multiuser OS-ként. Két változatban jött ki:
Workstation – gyorsaságra törekedett, a jobb futás érdekében
Server – hálózati szolgáltatásokat részesítette előnyben Mivel ez sem volt tökéletes OS, ezért folyamatosak voltak a PATCH-ek, ezeket összefogva jöttek ki bizonyos időközönként a Service (Security) Pack-ek. Windows NT 4.0 esetén az utolsó javítócsomag az SP6a volt. A Windows NT manapság is közkedvelt egyes körökben, ugyanis telepítője ~100 MB, továbbá memóriafoglalása ~32 MB.

2

Vállalati célra szánt Windows termékek:
Windows 2000 szerver-család • NT 5.0 – 1999-ben jelent meg 1 otthoni (Professional) és 3 szerver termék formájában: Server, Advanced Server, Datacenter Server. Utolsó javítócsomagja a SP4 volt.
Windows Server 2003 • NT 5.2 – 2003-ban jelent meg (R2 volt a stabil verziója) 3 fő változatban: Standard, Enterprise, Datacenter. SP2 készült el belőle.
Windows Server 2008 • NT 6.0 – a 2008-ban megjelent szerver-család 3 fő termék formájában vált elérhetővé: Standard, Enterprise, Datacenter. Jelenleg a SP2 javítócsomag készült el hozzá. R2 változata NT 6.1 kernellel rendelkezik.

Otthoni célra szánt Windows termékek:
Windows 2000 Professional • NT 5.0 – az első NT kernelre épülő otthonra szánt Windows termék.
Windows XP • NT 5.1 – 2001-ben jelent meg az elmúlt évek egyik legsikeresebb OS-e, átdolgozott GUI-val, két fő változatban: Home Edition, Professional. SP3 volt hozzá az utolsó javítócsomag.
Windows Vista • NT 6.0 - az XP-t hivatott leváltani, mint soron következő otthoni Windows, 2007-ben jelent meg. Azonban tervezésénél túlbecsülték az megjelenésekor várható PC konfigurációkat, így eleve nagy memóriaigényű OS-ként jelent meg, emiatt lassú volt pár gépen. Nem lett túl népszerű a felhasználók körében, amit részben a negatív előítéleteknek is köszönhetett. 5 változatban elérhető: Home Basic, Home Premium, Professional, Business, Ultimate. Eddig a SP2 készült el hozzá.
Windows 7 • NT 6.1 – a 2009-ben rohamléptekben megjelenő Windows 7 a Windows Vista sikertelenségét hivatott kiküszöbölni. Változatai: Starter (főleg netBook-ra), Home Basic/Premium, Professional, Enterprise, Ultimate.

3

Menedzselés Kisvállalkozás Workgroup – munkacsoport • A célszámítógépen szükséges az egyes felhasználók számára egy fiók kialakítása, az ehhez tartozó jelszavak (csoporttagságok) a SAMben (Security Accounts Manager – Biztonsági Fiókkezelő) tárolódnak, ami egy registry fájl, hash kódban tárolja az előbbi információkat (más szolgáltatásokkal együtt az lsass.exe folyamaton belül fut). Munkacsoport esetén csak az azonos munkacsoport névvel konfigurált számítógépek képesek a másik megosztásainak elérésére.

Nagyobb intézmény Domain – tartomány • Az egy tartományba tartozó számítógépek bármelyikén be lehet jelentkeznie egy tartományba regisztrált felhasználónak. A tartományt a Domain Controller (DC) menedzseli a rendszergazda által. A DC-en levő adatbázis (DB) tartalmazza a tartományba regisztrált felhasználókat.

Windows NT 4.0 operációs rendszernél (OS) csak Server változat esetén lehet kialakítani DC-t, ennél az OS-nél mindez még telepítéskor dőlt el. Megkülönböztetünk:
Elsődleges (Primary) DC – PDC
Tartalék (Backup) DC – BDC

4

Egy adott tartományban csak egy PDC lehet és először azt kell telepíteni. BDC-ből az ajánlás szerint 15-20 gépenként ajánlatos egynek a beüzemeltetése. A PDC igyekszik egyes feladatokat átruházni a BDC-re, azonban nem minden feladat ruházható át, ill. ennek következtében a BDC is túlterhelődhet. A DC adatbázisát címtárnak vagy „Directory Database”-nek nevezzük. Minden címtári módosítás (felhasználónév, jelszó, stb.) a PDC-n valósul meg. A BDC-nek is van adatbázisa, amely a PDC-n lévő Master Directory Database másolata. Változtatáskor a PDC jelet küld a BDC felé a módosítás tényéről – replikációnak vagy szinkronizációnak nevezzük. Ilyenkor a teljes DB kerül módosításra, nemcsak a változtatások. Mindez bizonyos késleltetéssel történik, általában 15 percenként. A PDC-BDC közötti szinkronizáció időtartamának bele kell férnie az adott időintervallumba.

PDC  BDC Kétféle esetet különböztetünk meg:
TMK – Tervezett megelőző karbantartás
Crash – Rendszer összeomlás

TMK Beállítást követel, mégpedig a Server Manager program segítségével. Első indításkor üres az ablak, fel kell venni a tartományi tagokat. Ezután kiválasztunk egy BDC-t és a menüből kiválasztjuk a „Promote to PDC” opciót. A gépeken leállnak a hálózati szolgáltatások, majd a PDC csak ezzel a BDC-vel végrehajt egy szinkronizációt, időtartama függ a DB méretétől. Ezt követi a szerepcsere: PDC  BDC, BDC  PDC, majd újraindulnak a hálózati szolgáltatások. Innentől kezdve a kiválasztott BDC már PDC funkciót tölt be a tartományban. Miután a PDC-n elvégzik a karbantartást, vissza kell, hogy vegye az eredeti szerepét. Ekkor BDC-ként van beállítva. Ismét elindítjuk a Server Manager-t az eredeti PDC-n, majd a „Promote to PDC” opciót választjuk, ezután automatikusan BDC lesz az aktuális PDC-ből. Ezt követően már csak a szerepcserének, ill. a szinkronizációnak kell ismét megvalósulnia.

Crash Ekkor kiválasztunk egy BDC-t, mely egy időre majd átveszi a tartományban a PDC szerepét. Azon változtatások elvesznek a DB-ből, melyek PDC-vel történő szinkronizáció után kerültek beírásra a DB-be (adott időpecséten túl). Elindítjuk rajta a Server Manager-t, majd „Promote to PDC”. Egy ideig szólítja a PDC-t, majd az időszelet lejárta után leállnak a hálózati szolgáltatások, szerepet cserél saját magával, újraindulnak a hálózati szolgáltatások, de a szinkronizáció kimarad.

5

Miután az eredeti PDC működőképes lesz, vissza kell illeszteni azt a tartományba, azonban abban a pillanatban ő még PDC-nek hiszi magát és emiatt le kell rajta futtatni a Server Manager-t, majd „Demote to BDC”. Majd az aktuális PDC-n Server Manager elindít, eredeti PDC kiválaszt és „Promote to PDC”. Leállnak a hálózati szolgáltatások megtörténik a szinkronizáció, majd ismét újraindulnak a hálózati szolgáltatások.

Windows NT 4.0

Windows 2000 Server

Directory Database

Active Directory

Egy szerver lehet:
Member Server – benne van egy tartományban
Standalone Server – nincs tartományban, munkacsoportban van Hogyan lehet DC-vé alakítani egy Member Server-t? - A megoldás a DCPROMO alkalmazás, mellyel DC-t alakíthatunk ki egy szerverből, ill. vissza is minősíthetjük azt. Visszaminősítésnél a telepítés alapján történő fordított sorrendben minősítjük vissza a DC-t. Windows 2000 Server-től rekordszinten, Windows Server 2003-tól pedig mezőszinten történik a szinkronizáció a PDC-BDC között. A Windows 2000 Server Active Directory kibővíti a Windows korábbi verzióiban használt egyetlen főkiszolgálós modellt, mivel több szerepet kínál, és a szerepek átadhatók a vállalat tetszőleges tartományvezérlője számára. Mivel az Active Directory szerepe nem egyetlen tartományvezérlőhöz tartozik, mozgó egyedüli főkiszolgálóval végzett művelet (Flexible Single Master Operation – FSMO) szerepének is nevezhetjük. A Windows 2000 Server rendszerben öt FSMO-szerep található: • • • • •

Séma-főkiszolgáló Tartománynév-kiosztási főkiszolgáló RID-kiszolgáló Elsődleges tartományvezérlő (PDC) emulátora Inrastruktúra démon

6

Active Directory replikáció kezelésére használható eszközök:
USN – Update Sequence Number • A state-based (állapot alapú) replikációhoz szükséges, hogy a forrás tartományvezérlő megállapíthassa melyik változtatásokat kapta már meg a cél kiszolgáló, ezzel együtt, hogy a cél tartományvezérlő megállapíthassa, mely változtatásokat kell kérnie a forrás kiszolgálótól. Mivel az órák szinkronizálása nagy kihívás, ezért aztán az elsődleges szabályozás nem a timestamp, hanem az USN.
Timestamp (időpecsét) • Az időpecsét sorrenden (TO, Timestamp Ordering) alapuló ütezemés alapelve az, hogy minden tranzakcióhoz rendel egy születési dátumot, vagy időpecsétet, amely jelzi, hogy mikor is jött létre a tranzakció a többi tranzakcióhoz viszonyítva. Az időpecsét tehát egy sorszámnak is tekinthető, amely megadja, hogy hol helyezkedik el a tranzakció a többi tranzakcióhoz viszonyítva a létrehozási időpont tekintetében, így a korábban létrejött tranzakciók időpecsétje kisebb, míg a később létrejövő tranzakciók időpecsétje nagyobb. Hálózatba kötött DC-k között létrejön egy bejárási irány. A DC-k rendelkeznek egy táblázattal, mely nyilvántartja az összes DC-t a hálózatban, ill. egy (sor)számot, ez azt jelzi, hogy melyik az az Active Directory-ban történt változás, amit ő már megkapott. Kapcsolat felvételkor egy DC-nek az adott (sor)számtól számított későbbi változásokra van szüksége, ehhez szükséges, hogy egységes legyen az óra. Windows NT 4.0 esetén amennyiben megosztunk egy erőforrást a tartományon belül a tagok számára, a jogosultságot azon a gépen kell kiadni, melyhez az adott erőforrás csatlakoztatva van. Windows 2000-től ha mindez publikálásra kerül az Active Directory-ba, onnantól a rendszergazda szolgáltathatja a jogokat közvetlenül a DC-ről, ezzel szűrést is meg lehet valósítani. Szintén Windows 2000 Server-nél nem lehet csökkenteni az Active Directory-ban lévő attribútumokat, a Windows Server 2003-ban már lehet őket módosítani, a Windows Server 2008tól pedig már lehet őket törölni is.

7

Windows 2000 struktúra

A képen jól kivehető, hogy több szabványos alrendszer helyezkedik el a struktúrában, ezek arra szolgálnak, hogy az eltérő szabványú programok gond nélkül futhassanak a Windows rendszeren. A futó folyamatok között megtalálható a csrss.exe (Client-Server Runtime Subsystem) nevű, mely az egyes folyamatok számára adja ki a futási engedélyt. Kezdetben még a Win32 GDI a User Mode-ba került, a meghajtóprogram (driver) hibája esetén nem szállt el a rendszer, de az alapból a GUI-ra fektető Windows alkalmazások jelentősen belassultak, így berakták azt Kernel Mode-ba. A rendszer teljesítménye megnőtt, hibás grafikus driver viszont gondot okozhat. Pár évvel ezelőtt a 64 bites CPU megjelenésekor célszerű volt egy 64 bites operációs rendszert is létrehozni, ezáltal gyorsabb működést produkálva. Otthoni felhasználásban mindmáig nincsenek egyértelmű fölényben a 64 bites rendszerek, habár CPU felől támogatást élveznek. Alkalmazások sokasága 32 bites OS-re készül el, azonban mégis futtathatóak lesznek a 64 bites rendszeren. Mindezt a „junk”-olás folyamata teszi lehetővé. Azonban ez sebességbeli veszteséggel jár, vagyis egy 64 bites OS-en egy 32 bites alkalmazás (ha nem is észrevehetően) lassabb futást eredményez, mintha azon egy 64 bites alkalmazást futtatnánk.

8

Windows Server 2008 R2 rendszerigénye (ajánlott) • • •

2 GB rendszermemória (RAM) 2 GHz vagy annál nagyobb órajelű CPU 40 GB tárhely a rendszerpartíción

IPv6 alapértelmezett hálózati protokoll, valamint csak 64 bites verzióban készül, emiatt célszerű 64 bites alkalmazások telepítése. A Windows Server 2008 még elérhető 32 bites platformra is. Windows termékekhez (otthoni és szerver változatok) megtalálható egy kompatibilitást igazoló lista az egyes hardware elemekhez, ezt nevezzük HCL-nek – Hardware Compatibility List. Az egyes termékeken a Windows Logo jelöli a garantált kompatibilitást. Windows Server termékek esetén ezt megtaláljuk az alábbi weboldalon: http://www.windowsservercatalog.com/

OS telepítése A telepítés előkészületei: • kiválasztjuk a merevlemezt, • létrehozunk rajta egy partíciót az OS számára, • kiválasztjuk a megfelelő fájlrendszert, majd megformázzuk a kiválasztott partíciót, • elkezdjük a telepítést. Windows környezetben használatos fájlrendszerek:
FAT (FAT16) – File Allocation Table • max 4 GB-os partíciók hozhatóak létre • max 2 GB-os fájlméret – partíciónként max 216 db. • floppy lemezek, illetve több OS által is támogatott • elavultnak számít
FAT32 • FAT16 kibővítése • gyakorlatilag 32 GB-os partíciók alakíthatóak ki, max 128 GB-os merevlemez kezelésére képes • max 4 GB-os fájlméret – partíciónként max 222 db. • nincs lehetőség hozzáférések szabályozására • titkosítás hiánya • támogatja a dual boot megoldásokat

9


NTFS – NT File System • tranzakció orientált • partíciónként kvóták alakíthatóak ki • támogatja a fájlok titkosítását (EFS), ill. az alternatív adatfolyamokat (ADS) • fájltömörítés támogatása – régebben a rendszermemória sebessége jóval nagyobb volt, mint a merevlemezé, ezért az ottani műveletek gyorsabban lezajlottak, mint a merevlemezen – manapság nem használatos • legalább ~50-100 MB-os partíciómérettől ajánlott a használata • gyakorlatilag max 16 TB – 4 kB-os kötetek hozhatóak létre, amennyiben alapértelmezett 4 kB-os klaszterméretet használunk, 2 TB feletti kötetméretek csak dinamikus kötetek használatával alakíthatóak ki • gyakorlatilag max 16 TB-os fájlméret – partíciónként max 232 − 1 db. fájl • könyvtár/fájlnevek hossza max 255 karakter lehet

Windows aktiválása Windows-t egy konkrét konfigurációval lehet aktiválni. Amennyiben hivatalos kulccsal rendelkezünk, de a már időközben cserélt komponensek száma meghaladja az 5-öt, abban az esetben az újraaktiválás már nem lehetséges.

Licence beszerzése Két módszer lehetséges:
Per Seat – adott géphez kötődik – gépenként 1 CAL (Client Access License)
Per Server – adott szerverhez csatlakozóakra – kapcsolatonként 1 CAL Több szerver esetén javasolt a Per Seat megoldás. Per Server-ről lehet konvertálni Per Seat-re, de visszafelé nem megoldható.

OS frissítése egy új változatra
tiszta telepítés • tiszta lappal indulás, mindent újra be kell konfigurálni
frissítés • megmaradnak a beállítások, azonban egyes esetekben kompatibilitási problémák merülhetnek fel (pl. eltérő Registry-struktúra miatt), ezek jellege lehet:  informatív  warning (figyelmeztetés)  fatal error (hiba)

10

Utóbbi kettőt ajánlott megszűntetni, mert később még egy warning is fatal error-t eredményezhet. Erre használható az Event Viewer, ezen belül az Application, ill. a Security naplófájl, melyekben hasznos információkhoz juthatunk a hiba okát illetően.

Frissítés előtt célszerű végrehajtani az alábbi lépéseket:






Registry és lemez mentése frissíteni a helyreállító lemezt – Emergency Repair Disk vírusírtó kikapcsolása UPS (Uninterruptible Power Supply – szünetmentes tápegység) lecsatolása fenntartani az IRQ-kat (Interrupt Request – megszakítás kérés)

Rendszerleíró adatbázis – Registry A Registry a .ini kiterjesztésű fájlok gyűjteménye, a konfigurációs beállítások tárolására. Nagy része a memóriában tárolódik, ez az a része, mely nem található meg fájl formájában a lemezen. Egy része azonban megtalálható, ezt a részt Registry Hive-nak nevezzük és 5 részre oszlik: • • • • •

HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG

Ez képezi a Registry csúcsát hierarchiai szempontból, nagymértékű módosítása előtt ajánlott biztonsági másolat készítése. 64 bites rendszereknél 32 és 64 bites részre oszlik.

Hardware telepítés Új hardware hozzáadásának folyamata:
eszköz csatlakoztatása,
eszközmeghajtó (driver) telepítése,
eszköz konfigurálása. Plug & Play eszközök esetén az OS kategorizálja az adott hardware-t, majd megpróbál hozzá illesztőprogramot párosítani. Speciális (főleg multimédiás) eszközöknél ebből probléma adódhat, ugyanis a driver telepítésének van egy előre meghatározott menete, melytől eltérve helytelen működést tapasztalhatunk.

11

Amennyiben driver-t szeretnénk frissíteni, az Eszközkezelőt kell megnyitnunk, majd az egyes eszközre jobb egérgombbal kattintva, a Tulajdonság menüpontban válasszuk az Update Device Driver Wizard. Ha régebbi verzióval szeretnénk helyettesíteni a már meglévő driver-t, akkor az OS rákérdez, hogy valóban ezt szeretnénk-e. Driver telepítése során 3 opció közül választhatunk:
Windows felismeri az eszközt és telepíti a számára megfelő driver-t
Windows felismeri az eszközt és mi adunk meg keresési útvonalat
Windows nem ismeri fel és saját driver-t telepítünk

Digitális aláírás A digitális aláírással igazolni tudjuk az aláíró személyét, és azt hogy a dokumentum az aláírás óta nem változott meg. Az aláírás tartalmaz egy ellenőrzőösszeget, amihez szükség van egy MD algoritmusra (hashfüggvény) ez általában SHA-1 vagy MD5. Ez a dokumentumból egy fix hosszúságú (bit)sorozatot készít. Ehhez hozzáfűzzük az aláíró nevét vagy azonosítóját, az aláírás idejét, az MD algoritmus nevét, és amit még fontosnak tartunk. Ezután ezt az aláíró kódolja a titkos kulcsával. Az így előállt kód csak a küldő titkos kulcsával állítható elő és csak az ő nyilvános kulcsával olvasható el. Ezt a kódot csatolnunk kell az üzenethez és így kell elküldeni. Ha címzett vagy akárki, aki meg akar bizonyosodni az üzenet hitelességéről, annak kell készíteni az üzenetről egy ellenőrzőösszeget, ugyanazzal az MD algoritmussal, amit az aláíráskor is használtak, és dekódolnia kell az aláírást a küldő nyilvános kulcsával. Az ebben található kódot össze kell hasonlítani az újjal. Ha megegyeznek, akkor biztos lehet benne, hogy a küldő írta alá az üzenetet, és az nem változott meg mióta alá lett írva, feltételezve, hogy nem került illetéktelen kezekbe a titkos kulcs. A Windows Server 2008 bootoláskor ellenőrzi a digitális aláírást, ha egy adott driver-hez nincs, akkor azt nem engedi betöltődni. Ez persze futási problémához vezethet, ezért haladó bootoláskor (F8) lehetőség van arra, hogy a digitális aláírás nélküli driverek is elinduljanak.

Hardware profile Windows Server 2008 R2 előtti (Windows Server 2008-ban is) OS-ekben lehetőség van egy hardware profil kialakítása. Egy már meglévő profilt lemásolunk, majd ezután lehetőségünk van annak változtatására. A körülményekhez alkalmazkodva példáúl jelentős mértékben megnövelhetjük akkumulátorunk üzemidejét egy olyan profillal, amelyet akkor használunk, amikor nem tartózkodunk Internet lefedettséggel rendelkező térségben, ilyenkor a hálózati kártyát leválasztva üzemidőt nyerhetünk. Vagy akár kellemetlen hibaüzenetek kiküszöbölésére is alkalmazható, amennyiben azt adott hardware okozza.

12

Képernyőbeállítások Alapvetően háromféle monitortípus elterjedt:
CRT – Cathode Ray Tube – katódsugárcsöves kijelző
LCD/TFT – Liquid Crystal Display / Thin Film Transistor – folyadékkristályos kijelző / vékonyfilm tranzisztor
PDP – Plasma Display Panel – plazmakijelző CRT monitorokban egy katódsugárcső található, melynek egyik végén (egy) elektronágyú elektronnyalábokat bocsát ki, majd a nagy mágneses tér kellő mértékben téríti azt el ahhoz, hogy megjelenítse az egyes képpontokat a kijelzőn. Azt, hogy másodpercenként hányszor frissíti a képpontokat, képfrissítési frekvenciának nevezzük és hertzben mérjük (Hz). Minél magasabb ez a frekvencia, szemünknek annál kevésbé megterhelő a monitor figyelése, ugyanis csökken a képernyő „vibrálása”, ezáltal folyamatosabb lesz a kép, viszont ezzel egyidőben csökken a kontraszt is. LCD kijelzők folyadékkristályokat tartalmaznak, elől és hátul polárszűrővel közrefogva, amely csak egy bizonyos síkban engedi tovább a fény minden irányú rezgését. A folyadékkristályok elforgatják a rá eső fény rezgési síkját. Ha a folyadékkristályra feszültséget kapcsolunk, akkor nem forgatják el a fényt, az eredmény egy feket képpont lesz. Az LCD technológián alapuló TFT minden egyes képpontja egy saját tranzisztorból áll, amely aktív állapotban elő tud állítani egy világító pontot. Az ilyen kijelzőket gyakran aktív-mátrixos LCD-nek is szokás nevezni. CRT kijelzőknél a felbontás állításakor nem torzul el a kép, azonban LCD kijelzők esetén ún. szellemképek alakulhatnak ki, melyek a „natív felbontástól” történő eltérés miatt mutatkozhat meg. Ilyenkor az egyes szegmensekre (folyadékkristályokra) nem egy, hanem két vagy több képkocka eshet, amikor dönteni kell, hogy milyen színt jelenítsen meg az adott képkocka esetén. A monitorokon megjelenő képkockák aktuális állapotát tárolni kell. Attól függően, hogy milyen színmélységet ill. felbontást használunk, ez az érték kB-októl több MB-ig terjedhet, amit tárolni kell, erre használatos a videókártya belső memóriája. NT 4.0-tól már több mint 10 monitor van egyidejűleg támogatva. Ezek egyenként eltérő beállítással rendelkezhetnek. Lehetőség van arra, hogy egyidejűleg az alapértelmezésként 1 monitoron megjelő képet több monitorra osszuk szét, ezzel jelentős mértékben megkönnyíthetjük a munkavégzést. Mindezt a képernyő beállításai között az „Extend my Windows desktop onto this monitor” opcióval kapcsolhatjuk be.

13

Környezeti változók Segítségükkel befolyásolható a programok futása. Az egyes szoftverek megszabják, hogy milyen elnevezéssel lehet őket létrehozni (pl. DIR parancs esetén a dircmd). Hivatkozni a %valtozo% formában tudunk rájuk, beállításuk a „SET” kulcsszóval történik, pl. „SET a = 5”, ezen változó törlésére pedig a „SET a=” szintaxis használatos. Külön környezeti változók definiáltak a felhasználó és a rendszer számára. Ezek neve azonban megegyezhet, ezért meg van szabva egy bizonyos sorrend, mely alapján eldől, hogy a rendszer vagy a felhasználó által definiált környezeti változó lesz az éppen érvényes. Vagyis az egyik által definiált felüldefiniálhatja a másikat. A környezeti változók végrehajtási sorrendje:
AUTOEXEC.NT-ben definiáltak,
rendszer szintűek,
felhasználó szintűek. A rendszerszintű környezeti változókat csakis rendszergazda módosíthatja. A környezeti változókat parancssorból a SET kulcsszó begépelésével kérdezhetjük le, grafikus környezetben a Rendszer tulajdonságok között a Haladó fülecskének Környezeti változók opciójával.

Teljesítmény Kliens és szerver üzemmódban eltérő működésre (teljesítményre) van szükségünk. Míg kliens esetén a felhasználó által éppen futtatott programok memória ill. processzor-igényének kielégítése a fő cél, addig egy szerver esetén a háttérben futó kiszolgálást végző alkalmazások futása élvez magasabb prioritást. Windows-ban lehetőség van ezek között váltani, alapértelmezettként a Windows maga dönti el, hogy aktuálisan melyik profilt alkalmazza. Mindezt a Rendszer tulajdonságok között a Haladó fülecskének Teljesítmény opciójával adhatjuk meg.

Kékhalál (BSOD – Blue Screen Of Death) Előfordulnak User-módban futó alkalmazások, melyek hozzá tudnak férni Kernel módban a memóriához és tudják vizsgálni annak állapotát – például telepített alkalmazásokat tudják ellenőrizni stb. Ezzel kiküszöbölhetőek lennének a rendszerhibák. BSOD esetén az aktuális memóriatartalom mentésre kerül, amit később analizálhatunk, ami azonban nehézkes, ugyanis mindez hexadecimális kódban szerepel.

14

A memória mentése egy Memory Dump fájlba történik, melynél választhatunk, hogy milyen formában kívánjuk a mentést elvégezni, mely lehet:
kis méretű dump fájl (64 kB),
kernel memória mentése,
teljes memóriaterület mentése. Ezen kívül az első esetben megadhatjuk a mentés helyét, mely alapértelmezésként a %SystemRoot%\Minidump mappa. Egyes cégek kifejezetten arra specializálódtak, hogy dump fájlok visszafejtésével választ adjanak a rendszerhiba okára. Nagyobb cégek esetén megfontolandó lehet hasonló szolgáltatás igénybevétele.

Rendszerindítás és visszaállítás Az előbb említett útvonalon a Teljesítmény opció helyett választhatjuk a címben szereplőt is. Ekkor megszabhatjuk, telepített rendszerünk indítási paramétereit, az indítandó OS-eket (multiboot esetén a választásra szánt várakozási időt), a naplófájlok méretét, rendszerhiba esetén az OS működését. A boot.ini fájlt a Windows Server 2008 és Windows 7 rendszerktől kezdve a bootmgr.dll által lett áthelyezve a rendszerkönyvtárba, az illetéktelen módosítások kivédésére.

Hozzáférés beállítások
StickyKeys – beragadó gombok opció, billentyűkombinációk használata esetén hasznos lehet,
FilterKeys – lassabban érzékeli az egyes billentyűk leütését,
ToggleKeys – hangjelzést ad, amennyiben a Caps Lock, Num Lock, ill. a Scroll Lock billentyűk leütésekor.

Microsoft Installer (MSI) Az MSI egy Windows OS olyan komponense, amely szükséges ahhoz, hogy a legújabb technológiák szerint készült programok is könnyen telepíthetők legyenek. Tranzakciós naplófájlt vezet, amiben jegyzi a módosításokat, felülírásokat, ebben az esetben menti a régebbi verziót, így szükséges esetben az visszaállítható. MSI csomagok léltrehozásakor .msi kiterjesztésű futtatható fájlok jönnek létre. Ilyen célra használható az ingyenes WinInstall program, de előfordulnak más, fizetős alternatívák is.

15

Csatlakozás a hálózathoz

Az ábra tartalmazza a Windows OS hálózathoz csatlakozásának sémáját. A 3 réteg között határrétegek helyezkednek el, az ún. binding-ok. Alulról az első ilyen az NDIS (Network Driver Interface Specification), ez határozza meg, hogy mely hálózati kártyák, milyen protokollokkal vannak kapcsolatban és milyen irányban. Kompatibilitási kérdésekben célszerű az NDIS verziót figyelembe venni, amely adott OS esetén egyezik a kernel verzióval, így pl. Windows 7 esetén az NDIS 6.2 verziójú.

16

A következő „binding” a TDI (Transport Driver Interface), amely megszabja, hogy az egyes alkalmazások milyen protokollokat használhatnak, azok irányát is beleértve.

Az Internethez történő csatlakozás esetén alapértelmezett protokollok:
NetBEUI – Windows NT-től,
IPv4 – Windows 2000-től,
IPv6 – Windows Vista / Windows Server 2008-tól. IP konfigurálás esetén kétféle mód közül választhatunk:
az OS automatikusan (dinamikusan) szerezze be az IP-t (DHCP-n keresztül),
statikus IP cím kiosztással – manuálisan megadva.

A hálózat működésének tesztelése:
IPCONFIG /ALL paranccsal megkapjuk az IP beállításokat
PING 127.0.0.1 – a visszacsatolt interfész (localhost) pingelése, melynek akkor is működnie kell, ha nincs tényleges hálózati kapcsolat
PING a saját IP címre, ezzel ellenőrizhető a hálózati kártya működése.
PING az alapértelmezett átjáró IP címére.
PING egy távoli gépre.

17

Megosztás Megosztáshoz történő csatlakozás módjai:
Internet Explorer (Windows Explorer) UNC (Universal Naming Convention) név megadásával. Az UNC név két részből tevődik össze (mindkettőnek egyedinek kell lennie):  gépazonosító • NetBIOS név • IP cím • FQDN (Fully Qualified Domain Name)  megosztási név - eltérhet a valódi katalógus nevétől, de nem javasolt, mert kikeresése bonyolult, időigényes lehet. Fájlt és további katalógust tartalmazhat.
Parancssorból NET VIEW megosztott fájlok és nyomtatók megjelenítése NET VIEW \\ ... \ ... megadott hálózati helyen elérhető megosztások megjelenítése NET USE X: \\ ... \ ... /user:username password az X: betűjel hozzárendelése (meghajtóként) a megadott hálózati helyhez, a felhasználói név és jelszóval együtt, annak elhagyása esetén az aktuális felhasználó neve és jelszava kerül elküldésre NET USE X: /delete előbbi hozzárendelés megszűntetése
Map Network Drive
Network (régebben My Network Places) – Hálózati helyek - a hálózaton elérhető logikai csoportokat vagy gépeket jeleníti meg
Keresés menü

18

Az I/O Manager hálózati komponense

Egy Workstation Service által igényelt szolgáltatás az adott lokális gép Redirector fájlrendszerén (rdr.sys) keresztül küld kérést a távoli gép Server fájlrendszerén (srv.sys) keresztül az ottani Server Service-nek. Így alakul ki közöttük a kliens-szerver kapcsolat.

19

A rétegek közötti kommunikáció ún. szolgálatok segítségével valósul meg. A szolgálatok a rétegek ki/bemeneti pontján ún. SAP-ján (Service Access Point) keresztül érhetők el. Ezek mindig két szomszédos réteg között találhatók. Lényegében a két réteg közötti kommunikáció ténylegesen ezeken a pontokon keresztül valósul meg.

A Windows hálózati komponenseihez tartozik a MPR és a MUP is. A MPR (Multiple Provider Router) többszörös szolgáltatású útválasztó, mely valójában egy DLL (mpr.dll) fájl a \Windows\System32 almappában. Meghatározza, hogy az alkalmazás melyik hálózathoz férjen hozzá, amikor Windows WNet API-t használ a távoli fájlok elérésére. A MUP (Multiple Universal Naming Convention Provider) egy driver (mup.sys) a \Windows\System32\Drivers almappában. Meghatározza, hogy az alkalmazás melyik hálózathoz férjen hozzá, amikor Windows I/O API-t használ távoli fájlok megnyitására.

Automatikus megosztások Csak rendszergazdai jogokkal rendelkező felhasználó férhet hozzájuk. Automatikusan létrejönnek, nem jelennek meg távoli felhasználók számára. Házirenddel kikapcsolhatóak, amennyiben egy megosztás létrehozásakor az elnevezés végére a $ szimbólumot illesztjük, abban az esetben egy saját, rejtett megosztást hozunk létre. • • • • •

ADMIN$ – rendszerkönyvtár “C:\WINDOWS”, C$ – gyökérkönyvtár “C:\” esetleg más meghajtó, IPC$ – hálózati kommunikációhoz, ennek segítségével látják egymást a gépek, FAX$ – fax küldésére, ill. fájlok gyorsítótárazására, PRINT$ – nyomtatók távoli felügyeletére használatos, nyomtató driver elérésére is.

20

DHCP A DHCP (Dynamic Host Configuration Protocol) leegyszerűsíti az egyes gépek hálózatba kötését. Windows-ban a TCP/IP beállításoknál alapértelmezésként DHCP van beállítva. Ilyenkor az adott gép automatikusan kap egy IP címet, alhálózati maszkot, DNS IP címet és egyéb szabványos, ill. nem szabványos paramétert is a csatlakozáshoz. Eszközök:
DHCP szerver – egy DHCP Scope-pal rendelkezik, vagyis a kiosztható IP címek tartományával
DHCP kliens – a DHCP szervertől kapja az adatokat
statikus IP címmel rendelkező gép - nem a DHCP szervertől kapja az adatokat

DHCP szolgáltatás lépései

Első lépésben a DHCP-t igénybe venni kívánó kliens egy szórás (broadcast) üzenetet küld a hálózatba, amit mindegyik állomás megkap – DHCP Discover. Amennyiben a DHCP szerver rendelkezik még kiosztható IP címmel, abban az esetben egy szórás üzenetben (a kérvényező MAC címével címezve) felajánlja a választott IP címet, így csak a kérvényező kapja meg – DHCP Offer. Ekkor az állomás még nem használhatja az IP-t, hanem egy DHCP kérést kell intéznie a DHCP szerver felé, hogy használni kívánja a kapott IP címet – DHCP Request. Ezután a szerver egy nyugtát (acknowledgement) küld a kliensnek a további paraméterekkel együtt, így lehetővé válik a csatlakozás a hálózatba – DHCP ACK. Ha több DHCP szerver is működik egy hálózatban, a kliens attól fogadja el az IP-t, amelytől a leggyorsabban érkezik válasz.

21

Windows Vista-tól kezdve az előzőleg DHCP által szerzett IP címet megjegyzi az adott állomás, így bootoláskor a DHCP folyamat a DHCP Request-től indul, ezáltal gyorsabb lehet a rendszerindítás. DHCP szervertől kapott IP cím egy adott T időre vonatkozik – Leasing. Ez a T időt T1 és T2 időre oszlik, T1 idő lesz a T idő 50%-a, T2 pedig a T 87,5%-a. T1 elérésekor az állomás próbálja megujítani a kapott IP-t további T időre. Amennyiben sikeres lesz a kérvénye, úgy T1 idő múlva ismét megpróbálja ugyanezt és így tovább. Ellenkező esetben T2 elérésekor ismét újra próbálkozik. Ha ekkor sikerrel jár a kliens, akkor újabb T időre lefoglalja az IP-t, ellenben a T lejártakor lemond az IP címéről és új DHCP kérést intéz. DHCP szerver csak Windows Server verzióból alakítható ki, feltétel a statikus IP cím, szabad IP tartomány (DHCP Scope), ill. DHCP szolgáltatás telepítése. Amennyiben ún. partizán DHCP szerverek is lennének a hálózatban, azok kiküszöböl-hetőek a hálózatba kötött gépek domain-be léptetésével, így az Active Directory-ba beépíthető a jogosultság adott DHCP szerverhez. Csak az a szerver működhez DHCP szerverként, amelyik rendelkezik az előbbi jogosultsággal.

APIPA (Automatic Private IP Addressing) Amikor egy állomás DHCP-re van konfigurálva (DHCP kliens), de még nem rendelkezik IP címmel, az IPCONFIG parancsot kiadva azt tapasztalhatjuk, hogy IP-je: 0.0.0.0 . Ha a hálózatban éppen nem található DHCP szerver, a DHCP kliensek nem kapnak választ egy DHCP szervertől sem. Ekkor a kliens egy idő után automatikusan kioszt magának egy IP címet a 169.254.xxx.xxx címek egyike közül, ezt nevezzük APIPA-nak Mivel az APIPA alapján történő címzéskor egy állomás privát IP-t kap (ez a Microsoft által megvásárolt B osztályú IP cím tartomány), ezért az Internetet nem használhatja és csak APIPA-s állomásokkal kommunikálhat. Az APIPA-s állomások 5 percenként próbálnak szabadulni az APIPA címtől.

22

DHCP scope(pool) Az a tartomány, melyből a DHCP szerver IP címeket oszthat a DHCP kliensek számára. Feltétel, hogy folytonosnak kell lennie, azonban egy folytonos tartományt több résztartományra oszthatunk az EXCLUDE opcióval, így kijátszható az eredeti feltétel. Pl.: eredeti IP tartomány: 10.5.0.1 .. 12 10.5.0.18 .. 21 10.5.0.42 .. 65 10.5.0.68 .. 75

RANGE: 10.5.0.1 .. 75

EXCLUDE 10.5.0.13 .. 17 10.5.0.22 .. 41 10.5.0.66 .. 67

Dedikált szerverek (fájlszerver, webszerver, stb.) esetén a DHCP szervertől a MAC címekhez vannak fix IP címek hozzárendelve – Reserving.

23

A DHCP egy forgalomirányító által ún. „nem irányítható (rout-olható)” protokoll, ez azt jelenti, hogy egy forgalomirányító mögötti DHCP üzenetek nem kerülnek ki a forgalomirányító által lefedett belső hálózatból, ami logikus, hiszen a DHCP szórás üzeneteket produkál, amiket a forgalomirányító nem enged át. Előfordulhat azonban, hogy a forgalomirányító ún. RFC kompatibilis, ami azt jelenti, hogy egy RFC (Request For Comment) ajánlást támogató forgalomirányító átengedheti a DHCP üzeneteket. Amennyiben ez mégsem lenne így, úgy a forgalomirányító mögé eső belső hálózatba egy DHCP Relay Agent elhelyezése szükséges, ami tipikusan egy Windows Server, szintén fix IP címmel. A DHCP Relay Agent komponens egy Bootstrap Protocol (BOOTP) relay ügynök, amely átdobja a DHCP üzeneteket a DHCP kliensek és kiszolgálók között a különféle IP hálózatokon. Minden IP hálózati szegmensben, amely DHCP klienst tartalmaz, egy DHCP szerver vagy egy DHCP Relay ügynökként működő számítógép szükséges.

A DHCP működéséhez szükséges adatbázis fájlok a %systemroot%\system32\dhcp könyvtárban találhatóak meg. Ha backup-ot hoznánk létre a DHCP működéséről, akkor az a %systemroot%\system32\dhcp\backup\jet\new könyvtárban kerülnek eltárolásra. A DHCP működésével kapcsolatos naplófájlok (.log) DHCPSrvLog.xxx alakban tárolódnak, ahol xxx egy sorszám.

24

WINS A WINS (Windows Internet Name Service) a NetBIOS nevek IP címekké alakítását végzi el. Előnye a hasonló rendszerekkel szemben, hogy automatizált, nem kíván kézi beavatkozást a működése folyamán. A WINS ügyfélgépek az operációs rendszer elindítása alatt felveszik a kapcsolatot a WINS kiszolgálóval és bejegyeztetik az IP címüket. Amikor kommunikációt akarnak kezdeményezni egy másik géppel, szintén a WINS kiszolgálóhoz fordulnak, kérve a célgép IP címét. Ha a keresett név nem található a WINS szerver adatbázisában, úgy a DNS szerverhez fordul névfeloldásért. A kiszolgálói bejegyzéseknek van egy élettartama (TTL - Time To Live), amíg használhatók maradnak. Ennek lejártával a bejegyzések megszűnnek. Amikor a WINS ügyfél kilép a hálózatból (szabályosan kilépünk a Windows-ból), a lefoglalt bejegyzést felszabadítja.

Felhasználói fiókok Minden felhasználói fiókot a név-jelszópáros jellemez (utóbbi időnként elmarad). Munkacsoport (Workgroup) esetén ez a Directory Database-ben tárolódik, míg tartomány (Domain) esetén a Domain Controller Active Directory-jában (AD). A felhasználónévnek érvényességi körén belül egyendinek kell lennie. Workgroup esetén 2 azonos felhasználónév 2 eltérő gépen nem biztos, hogy közvetlen kapcsolatot jelent, vagyis az eltérő felhasznákat is azonosíthat. Amennyiben egy felhasználó felvétele az AD-be sikertelen lenne, úgy a Directory DB-ben a fiókja megmarad, de domain-be léptetéskor már elérhetetlenné válik – egyszerre a kettő nem lehet aktív. A felhasználók elnevezése:
Workgroup – Users
Domain – Domain Users Minden felhasználói fiókhoz létrehozáskor generálódik egy SID (Security Identifier) biztonsági azonosító, amely egyedi módon azonosítja a felhasználókat.

25

Létezik telepítéskor beépített felhasználói fiók, a Vendég (Guest) felhasználói fiók, melyet nem lehet törölni. Egy felhasználói fiók létrehozásakor elnevezésbeli konvenciókat szoktunk követni:
nagyvállalatoknál : a host a fontos, ahhoz kötődnek, pl. Terv01,
kisebb cégeknél : a névhez kötődik KovacsP. Elnevezéskor ékezeteket lehet használni, de nem ajánlott, a helyközre és a speciális karakterekre (/, \, <, >, *, ...) ugyanez vonatkozik. A Windows nem különbözteti meg a kis és nagy betűket (non Case Sensitive), de megjegyzi őket. Ajánlott helyköz helyett az ’_’ karakter használata, számok szintén használhatóak. Az felhasználi fiók nevének hossza max 256 karakter lehet (Windows Server 2008), de javasolt a 64 karakter vagy annál kisebb.

Jelszavak A jó jelszó nem bonyolult, de hosszú! Javasolt a 10 vagy annál hosszabb jelszavak használata, amire már kis és nagybetű érzékenység (Case Sensitive) vonatkozik. A rendszergazdáknak lehet ellenőrizni a komplexitási feltételt, amelyre a következők érvényesek (komplex jelszó tartalma):
kis és nagy betűk,
számok,
speciális karakterek – pl.: ’_’,’?’,’@’, stb. A rendszergazda beállíthat további opciókat:
Password History – hány jelszóra emlékezzen a rendszer,
Maximális élettartam – érvényességi idő (alapértelmezésként 42 nap),
Minimális élettartam – minimális érvényességi idő.

26

Felhasználói profilok A Windows a felhasználókhoz úgynevezett profilokat rendel hozzá, ezekben tárolja az adott felhasználó Asztal, Start menü és egyéb beállításait, de itt kaptak helyet a dokumentumok is. A profil egy mappa a merevlemezen és a beállításokat almappák rendszerében tárolja. Alapértelmezésben a rendszermeghajtó "Document and Settings" könyvtárában helyezkednek el (általában c:\ Document and Settings). Ezen belül találhatók további mappák, a nevük megegyezik annak a felhasználónak a nevével, akinek a beállításait tárolja (pl.: Rendszergazda). Ha a gép tartományi tag, akkor a felhasználó neve után egy pont következik, majd a tartomány neve (pl.: Rendszergazda.ANIMARE). Fontos, hogy mindig a felhasználó első bejelentkezése alkalmával keletkeznek a profilok (kilépéskor mentődnek). Hiába van a belépésre jogosultak között valaki, ha még nem lépett ténylegesen be, nincs profilja. Ha megnézzük a fent említett mappát, találunk benne olyan almappákat is, amelyekhez nem tartozik felhasználó, ezek az "All Users" és "Default User". Az "All Users" profilban helyet kapott beállítások érvényesek minden felhasználó számára. A "Default User", mint ahogy a neve is mutatja alapértelmezett beállításokat tartalmaz. Ahogy előbb szó esett róla, a felhasználó első bejelentkezésekor generálódik számára egy profil. Azonban ez nem a semmiből keletkezik, hanem a "Default User" másolódik át másik néven. Ebből következik, ha itt változtatunk valamit, az megjelenik az összes leendő felhasználó beállításai között. Van még egy speciális eset a "Vendég" ("Guest") fiók, ők ugyanis nem rendelkeznek saját profillal. Két környezeti változón keresztül lehet elérni ezeket a mappákat:
%USERPROFILE% - az aktuálisan bejelentkezett felhasználó mappáját,
%ALLUSERPROFILE% - az "All Users" mappa elérési útját tartalmazza. A profil gyökérkönyvtárában találunk NTUSER.* nevű fájlokat is. Ezek a Registry HKEY_CURRENT_USER kulcsa alatt szereplő beállításokat rejtik és az operációs rendszer indításakor töltődnek be.

Local User Profile Ez az alapértelmezett felhasználói profil. Az előbbiekben leírtak érvényesek rá, a profil a helyi merevlemezen tárolódik.

27

Roaming Profile Olyan felhasználói profil, mely egy fájlszerverről (DC-ről) hálózaton keresztül töltődik le a helyi gépre (elérési út: \\fszerver_gépnév\Profiles\felhasználónév\ ). Ez sem jön létre automatikusan, legalább egyszer be kell jelentkezni. Hálózati probléma esetén nem érhető el a szerver, ekkor a helyi merevlemezen lévő profilt ajánlja fel használatra a rendszer. Ha ezt elfogadja a felhasználó, akkor egy régebbi profil töltődhet be, ellenkező esetben viszont nem tud bejelentkezni. A konfigurációs beállítások NTUSER.DAT fájlban tárolódnak. Amennyiben ezt átneveznénk NTUSER.MAN névre, úgy létrejön egy ún. Mandatory Roaming Profile, amely a Roaming Profile kiegészítése. A különbség a sima Roaming Profile-tól, hogy kilépéskor nem mentődnek vissza a változtatások a szerverre, vagyis a .man kiterjesztésre történő változtatás csak olvashatóvá teszi az adott profilt.

Szervezeti egységek A szervezeti egységek (Organization Unit - OU) az Active Directory objektumainak tárolói, amelyekbe felhasználók, csoportok, számítógépobjektumok, illetve más szervezeti egységek helyezhetők. A szervezeti egységek rendkívül fontos szerepet játszanak a csoportházirend érvényesítésével és a felügyeleti jogok delegálásával kapcsolatban is. A szervezeti egységek használatával a tartományon belüli hierarchia pontosan megfelelhet az adott szervezet hierarchikus felépítésének. Ezekhez külön jogokat lehet állítani, így a rendszergazda feladata megosztható, korlátozható.

Helyi Biztonsági Házirend (Local Security Policy) lehetőségek Rendszergazda által megszabható egy felhasználó számára, hogy mikor jeletkezhet be az adott gépre (napokra, órákra vett időtartamra). Beállítástól függ, hogy ha ez az időtartam letelt, akkor mi lesz az aktuális munkamenetekkel. Egyik eshetőség, hogy a fájlok elmentődnek és csak kilépni lehet, új munkamenet már nem indítható. Domain esetén szükséges lehet, hogy egy adott gépre csak adott felhasználó(k) léphessen(ek) be, így a felhasználó(k) letiltható(ak) lesz(nek). Erre és további lehetőségekre adnak módot: • Account Policies (Password Policy, Account Lockout Policy), • Local Policies, • Public Key Policies, • Software Restriction, • IP Security.

28

Jelszavakkal kapcsolatos jogok (AD-ben megszabva):
User must change password at next logon - első belépéskor jelszót kell változtatni
User cannot change password - a felhasználó nem módosíthatja a jelszavát
Password never expires Ha egy felhasználói fiók törlésre kerülne, majd ugyanolyan névvel létrehoznánk egy másikat, akkor ahhoz új SID generálódik (amennyiben ugyanaz generálódna, akkor a rendszer megvizsgálja, hogy generálódott-e már az a SID és ha igen, akkor azt eldobja és újat generál). Ez gondot okozhat egyes, már előzőleg kiadott hozzáférési engedélyeknél, jogoknál, az ugyanis SID-hez kötődik és azok visszaállítása hosszadalmas lehet, ezért felhasználókat nem célszerű törölni, hanem csak letiltani. Domain esetén lehetőségünk nyílik felhasználói sablonok (template) létrehozására, melyben előre megszabhatunk jogokat és hozzáférési engedélyeket. Felhasználói fiókok létrehozásakor így leegyszerűsödik az adott felhasználót megillető jogok, engedélyek kiadása, hiszen elég egy sablont lemásolni, majd a nem ismétlődő adatokat átírni.

Microsoft Management Console (MMC) A Microsoft Management Console egy keretrendszer, amely a különböző eszközökhöz közös navigációs felületet, menüket, eszköztárakat és munkafolyamatot biztosítva egységessé és egyszerűvé teszi a mindennapos rendszer-felügyeleti feladatokat (Windows 2000-től elérhető). Az MMC eszközeivel (beépülő moduljaival – snap in) felügyelhetők a hálózatok, a számítógépek, a szolgáltatások, az alkalmazások és a rendszer más összetevői. Maga az MMC nem végez felügyeleti feladatokat, de sokféle Windows alapú és nem Microsoft fejlesztésű beépülő modult tartalmaz, amelyek erre szolgálnak (ezek .msc kiterjesztésű fájlok, sajátokat is létrehozhatunk): •

• •

Számítógép kezelő – Computer Management  rendszereszközök  események  megosztott mappák  teljesítmény naplózás  eszközkezelő  adathordozók  lemezkezelő  szolgáltatások és alkalmazások  szolgáltatások  indexelő szolgáltatás Helyi Biztonsági Házirend – Local Security Policy  számítógép beállítások  felhasználói beállítások Csoportházirend – Group Policy

29

Csoportok A felhasználói csoport olyan felhasználói fiókok gyűjteménye, amelyek azonos biztonsági engedélyekkel rendelkeznek. Olykor a felhasználói fiókokat biztonsági csoportoknak is nevezik. Egy felhasználói fiók egynél több csoportnak is lehet tagja. A két leggyakoribb felhasználói csoport az általános jogú felhasználó és a rendszergazda, de léteznek egyéb csoportok is. Egy felhasználói fiókra gyakran azon a felhasználói csoporton keresztül hivatkoznak, amelyben található (például egy olyan fióknak, ami az általános jogú csoportban található, a neve általános jogú fiók). Ha rendszergazdai felhasználói fiókkal rendelkezik, létrehozhat egyéni felhasználói csoportokat, áthelyezhet fiókokat egyik csoportból a másikba, valamint bizonyos csoportokhoz hozzáadhat fiókokat vagy eltávolíthatja azokat belőlük. Ha egyéni felhasználói csoportot hoz létre, kiválaszthatja, hogy milyen jogokat rendel a fiókhoz. Workgroup esetén gépenként kell a jogosultságokat beállítani adott csoporthoz, míg Domain esetén a DC-ről lehet mindezt elintézni. A Windows megengedi, hogy közvetlenül felhasználóknak adjunk jogosultságokat, de nem ajánlott! Ha mégis így történne, akkor a több jogosultsággal rendelkező felhasználó jogosultságok összeadódnak (kumulálódnak).

Csoportok hatókör szerint:
Helyi csoport (Local Group) – Olyan biztonsági csoport, amely csak annak a számítógépnek az erőforrásaihoz kaphat jogokat és engedélyeket, amelyen a csoportot létrehozták. A helyi csoportok tartalmazhatják bármely megbízható hely, például a tartomány, vagy más megbízotti kapcsolatban álló tartományok és erdők felhasználói fiókjait és csoportjait. Fontos szabály, hogy helyi erőforráshoz csak helyi csoportnak adjunk közvetlenül jogosultságot, vagyis például egy ügyfélgép NTFS jogainak kiosztásakor egyetlen hozzáférés-vezérlési listába se kerüljön felhasználói fiók, illetve tartományi csoport (az egyes felhasználók profilját tároló mappákon kívül). A tartomány szintjén definiált csoportok mindig a helyi csoport tagjai közé való felvétellel szerezzenek jogot az erőforrások használatára.
Globális csoport (Global Group) – Olyan biztonsági vagy terjesztési csoport, amelynek tagjai saját tartományában található felhasználók, csoportok és számítógépek. A globális biztonsági csoport az erdő bármely tartományának erőforrásaira kaphat jogosultságokat és engedélyeket. A globális csoportok kialakításának tükröznie kellene a szervezeti felépítést.

30


Tartományon belüli csoport (Domain Local Group) – A tartományon belüli csoportok tagjai a Windows Server és Windows NT alapú tartományok csoportjai és fiókjai lehetnek. A tartományon belüli csoportoknak csak a tartományon belül adható engedély.
Univerzális csoport (Universal Group) – Az univerzális hatókörű csoport tagjai a tartományfa vagy az erdő bármely tartományában lévő csoportok és fiókok lehetnek. Univerzális hatókörű csoportnak a tartományfa vagy az erdő bármely tartományában adható engedély. Az univerzális csoport csak legalább Windows 2000 – natív módban működő tartományban használható. Az ilyen csoportok tagjai a globális katalógusban tárolódnak. Más tartományból lehet bele felhasználókat rendelni. Biztonsági és terjesztési csoportokként is használhatóak, így akár konverziós célokra is használható.

Csoportok típusai:
Biztonsági csoport (Security Group) – Ezek hagyományos értelembe vett felhasználói csoportok. Kaphatnak hozzáférési engedélyeket a rendszerhez, megosztott erőforrásokhoz, stb.
Terjesztési csoport (Distribution Group) – Nem kap a rendszerben jogokat az erőforrások használatához, egy kivételével és ez a csoportos levélküldés, tekinthető úgy is, mint egy üzenetszórásos csoport.

Feltelepítés után két helyen keletkeznek a rendszerrel szállított csoportok: a beépített (Built-in) és a felhasználók (Users) mappákban. Az előzőben azok kaptak helyet, amelyek hatókörüket tekintve csak a tartományon belül ténykedhetnek, kívül nem, pl. rendszergazdák, nyomtatófelelősök, replikáló, vendégek. A másik esetben nincsenek ilyen korlátozások. Azt, hogy felhasználói csoporttal van dolgunk, nagyon könnyen eldönthetjük, ha megnézzük a név előtti ikont. A két emberi fejet szimbolizáló rajz minden esetben egy csoportot jelöl. A beépített csoportok telepítéskor létrejönnek, bizonyos jogokkal felruházva, nem lehet őket törölni, de lehet hozzájuk felhasználókat rendelni / eltávolítani. Speciális felhasználói csoportok – a csoportba besorolást a rendszer végzi dinamikusan
Hálózat – a rendszerrel az éppen hálózaton keresztül kommunikáló felhasználókat tartalmazza
Interaktív – az éppen bejelentkezett felhasználókat tartalmazza
Mindenki
Hitelesített felhasználók
stb.

31

Mindenki (Everyone) csoport Minden egyes felhasználó beletartozik, így rendszergazda jogokkal nem szabad benne tiltásokat kiadni, mert különben saját magunkkal is kitolhatunk. Ennek a csoportnak tagja az összes felhasználó és másik csoport is, függetlenül attól, hogy hitelesített vagy az Interneten keresztül bejelentkezett névtelen felhasználóról van szó.

Hasznos tippek Amennyiben arra kerülne a sor, hogy felhasználó(ka)t kellene törölni a rendszerből, úgy célszerű (őket) előbb kiszedni a csoport(ok)ból, a hozzáférési engedélyeket és jogokat pedig megvonni. Csoportokat nem lehet letiltani, csak hozzájuk rendelt felhasználókat. A rendszer gyorsaságának megőrzése érdekében részesítsük előnyben a beépített csoportokat, saját csoportok létrehozása lassíthatja a működést.

(!) Megjegyzés: A Windows élesen elhatárolja a jog és az engedély fogalmát! Habár sokak számára egy és ugyanazt jelenti a kettő, illik tudni megkülönböztetni a kettőt. Hozzáférési engedély (Permission) – erőforrás használatához kötődik, Jog (Right) – tevékenység elvégzéséhez szükséges (tipikusan rendszertevékenységek).

AGDLP stratégia tartománybeli csoportok számára

Az ábra azt mutatja, hogy miként javasolt biztonságos erőforrás-hozzáférést kialakítani tartománybeli csoportok segítségével. Munkacsoport esetén hasonlóan fest az ábra, azzal a különbséggel, hogy ott ALP stratégia van, ami az Account-Local-Permission szavak kezdőbetűiből jött létre, vagyis ott helyi csoportokba vannak rendelve a felhasználók, majd úgy kaphatnak hozzáférést az egyes erőforrásokhoz.

32

NTFS Az NTFS vagy New Technology File System (új technológiájú fájlrendszer) a Microsoft Windows NT és utódainak (Windows 2000, Windows XP, Windows Server 2003, stb.) szabványos fájlrendszere. A korábbi Windows 95, 98, 98SE és ME nem képesek natív módon olvasni az NTFS fájlrendszert, bár léteznek programok erre a célra is. Az NTFS a Microsoft korábbi FAT fájlrendszerét váltotta le, melyet az MS-DOS és a korábbi Windows verziók esetén használtak. Az NTFS több újdonsággal rendelkezik a FAT fájlrendszerrel szemben, mint például a metaadatok támogatása, fejlettebb adatstruktúrák támogatása a sebesség, a megbízhatóság és lemezterület-felhasználás érdekében, valamint már rendelkezik hozzáférésvédelmi listával és megtalálható benne a naplózás is. A fő hátránya a korlátozott támogatottsága a nem Microsoft operációs rendszerek oldaláról, mivel a pontos specifikáció a Microsoft szabadalma. Az NTFS-nek három (fő) verziója létezik: • • •

v1.2 – NT 3.51, NT 4 v3.0 – Windows 2000 v3.1 – Windows XP, W2k3, Windows Vista, W2k8, Windows 7

Ezekre a verziókra gyakran v4.0-ként, v5.0-ként és v5.1-ként is szoktak hivatkozni a Windows verziója alapján. Az újabb verziók újabb funkciókat vezettek be. Például a Windows 2000-ben jelent meg a kvóta támogatás.

Öröklés Egy adott katalógusban előforduló fájlokra azonos fájlvédelmi opciók vonatkoznak. Ez mindaddig igaz, míg az egyes fájlokhoz külön hozzáférést nem állítunk be. Ekkor egyéni hozzáférési engedély kiadásával megszakítjuk az ún. öröklési láncot. Ezzel ki lehet kényszeríteni, hogy fában egy adott almappától kezdődően lefelé más hozzáférési engedélyek legyenek érvényesek. Amennyiben meg kívánjuk szakítani egy fájl esetében az öröklési láncolt, úgy a felugró ablakban 3 opció közül választhatunk:
hozzáférési engedélyek másolása (copy),
tiszta lappal indulás (remove),
visszavonás (cancel).

33

Létrehozó, tulajdonos Az NTFS megkülönbözteti adott fájl létrehozóját és tulajdonosát. Alkalom adtán módosítható a tulajdonos személye, amelyhez külön joggal kell rendelkezni – tulajdonjog (take ownership – (o)). Amennyiben egy fájl tulajdonosai vagyunk, hozzáférési engedélyeket oszthatunk a fájlra vonatkozóan akár saját magunknak is – change permission (p). Érdekesség, hogy egy fájl tulajdonosa akkor is meg fogja tudni ezt tenni, ha már saját magától megvont bizonyos engedélyeket. A könnyebb kezelhetőség érdekében az egyes fájlokra vonatkozó hozzáférési engedélyeket csoportosították, pl.: írásra vonatkozó engedélyek.

Access Control List (ACL) Az NTFS az ACL-eket arra használja, hogy engedélyeket állítson be a felhasználókhoz és a csoportokhoz az objektumokon. Az ACL-ek a hozzáférési vezérlőelemekből (ACE) épülnek fel. Minden ACE bejegyzés információval rendelkezik, amely vezérli a jogosultságait egy megadott felhasználónak vagy csoportnak. Jogosultságok Jelenleg négy ACE típus definiált: - írás (W) - olvasás (R)
Access Allowed – engedélyezett hozzáférés, - olvasás és végrehajtás (RE)
Access Denied – tiltott hozzáférés, - módosítás (M)
System Alarm – rendszerriasztás, - teljes hozzáférés (FC)
System Audit – rendszerfelügyelet. Fájlműveletek (másolás, áthelyezés) végzése után kérdésessé válhat, hogy az adott fájlra az új helyén milyen hozzáférési engedélyek fognak vonatkozni. Ehhez pontosan definiálni kell, mit nevezünk másolásnak és áthelyezésnek partíciók között vagy azon belül.

34

Amennyiben egér navigációval dolgozunk, abban az esetben:
SHIFT + Drag & Drop – áthelyezésnek minősül,
CTRL + Drag & Drop – másolásnak minősül. Partíción belüli fájlművelet
áthelyezés – csak a katalógusnév változik, eredeti hozzáférési engedélyek megmaradnak,
másolás – új fájl jön létre és örökli az új katalógus hozzáférési engedélyeit. Partíciók közötti fájlművelet
áthelyezés – a forráspartíción a fájl megszűnik, a célpartíción létrejön, majd a célkatalógus hozzáférési engedélyeit kapja meg,
másolás – a forráspartíción a fájl nem szűnik meg, a célpartíción új fájl jön létre és örökli az új katalógus hozzáférési engedélyeit.

Hasznos tippek engedélyekkel kapcsolatban Egy fájlra vonatkozó hozzáférési engedélyeket a Properties (Tulajdonságok) menüpont Security (Biztonság) menüpont alatt állíthatjuk be – csak NTFS fájlrendszer esetén! Csak csoportokhoz rendeljünk hozzá engedélyeket, közvetlenül felhasználókhoz ne! Csak azokat az engedélyeket adjuk meg egy csoportnak, amelyek mindenképp szükségesek az adott tevékenységhez! Alkalmazások könyvtáraira csak olvasási és futtatási engedélyt adjunk!

Fájltömörítés (röptömörítés) Az NTFS képes a fájlok tömörítésére az LZ77 algoritmus (melyet a ZIP fájl formátumban is használnak) használatával. Bár a tömörített fájlok írása és olvasása transzparens módon történik, a Microsoft ajánlása szerint a tömörítés használata kerülendő szerverrendszereken és profilokat tároló hálózati megosztásokon, mert jelentős processzorterhelést idéz elő.

Kvóták A fájlrendszer kvótákat az NTFS 3.0-ban (vagy 5.0 vagy Windows 2000) vezették be. Lehetővé teszik az adminisztrátorok számára, hogy korlátozzák az egyes felhasználók által (akár partíciónként) lefoglalható tárterületet, továbbá azt is, hogy lekérdezzék az egyes felhasználók által lefoglalt terület méretét. Beállítható, hogy a felhasználó mikor kapjon figyelmeztetést (set warning level), majd mikor tiltsa le a további lemezfoglalást a rendszer (set limit). Az alkalmazások, melyek lekérik a szabad tárterületet, a kvótának megfelelő szabad területet fogják visszakapni. Régi és új felhasználók számára külön vonatkoztathatóak a kvóta beállítások.

35

Alternate Data Stream (ADS) Az alternatív adatfolyam az NTFS egyik tulajdonsága (szolgáltatása). NTFS esetén egy fájl egyszerre több adatfolyamot, ún. stream-et foglal magába. Egy stream tárolja a biztonsági információkat (hozzáférési jogokat, stb.), egy pedig az alapértelmezett adatokat (amit akkor látunk, ha megnyitjuk). Ha a fájl link, akkor az átirányításhoz szükséges adatokat is egy új, külön streamben tárolja a fájlrendszer. Ezeken felül létrehozhatunk alternatív stream-eket, amelyeknek nevet adhatunk és igény szerint pakolhatunk bele adatokat. Az adatfolyamok előnyei, hogy teljesen rejtettek. Ha egy 1 bájt méretű fájlhoz hozzáadunk egy 100 MB-os alternatív adatfolyamot, a fájl mérete 1 bájtos marad, habár az fizikailag 100 MB + 1 bájt méretű. Vigyázni kell viszont, hogy sok, nagyméretű stream kezelésénél hamarabb betelhet a merevlemezünk, mint ahogy azt a Windows gondolná, ő ugyanis nem fogja látni az így lefoglalt területeket. Sajnálatos módon az ADS-t legtöbbször hackerek használják, akik egy-egy ártalmatlan rendszerfájlhoz hozzáfűznek több olyan segédeszközt, melyek segítségével fel tudják törni az adott gépet. Mivel az alternatív adatfolyamok nem módosítják a fájl valódi / alapértelmezett stream-jét, így az eredeti rendszerfájl továbbra is használható marad. Windows Vista OS-től parancssorból megjeleníthetőek az ADS-ek, mégpedig a dir /R parancs megadása után. Az alábbi ábrán a pelda.txt fájlhoz lett hozzárendelve a titkos.txt fájl, mindez mentéskor a kettőspont (:) operátor segítségével történt.

Encrypted File System (EFS) A titkosított fájlrendszer erős, és a felhasználó számára átlátszó, fájl és könyvtár titkosítást biztosít az NTFS köteteken. Az EFS szimmetrikus kulccsal (FEK – File Encryption Key) titkosít, mivel azzal nagyobb teljesítmény érhető el, mint egy aszimmetrikus kulcsú megoldással.

36

A szimmetrikus kulcsot egy, a titkosítást igénybe vevő felhasználó publikus kulcsával titkosítják, és ezt a titkosított adatot (DDF – Data Decryption Field) a titkosított fájl alternatív adatfolyamába mentik. Ugyanezt a FEK-et kódolja a Data Recovery Agent publikus kulcsával is (ez lesz a DRF – Data Recover Field) és szintén a titkosított fájl alternatív adatfolyamába mentik. A visszafejtéshez a felhasználó privát kulcsával visszafejtik a szimmetrikus kulcsot, majd a szimmetrikus kulccsal visszafejtik a titkosított fájlt. Mivel ez a folyamat rendszer szinten történik, a felhasználó számára láthatatlan. Arra az esetre, ha a felhasználó elvesztené a privát kulcsát (például adatvesztés történt), helyreállító ügynökök (Data Recovery Agent) visszafejthetik a fájlt. Ezért is függ a titkosítás erőssége a felhasználók által használt jelszavaktól, ami sebezhetővé teszi az eljárást helyi támadásokkal szemben. Az EFS azzal a céllal jött létre, hogy megakadályozza az illetéktelen hozzáférést, ugyanis azelőtt, ha például egy merevlemezt eltulajdonítottak és másik gépben beüzemeltették, úgy az ottani rendszergazda egyszerűen hozzáférhetett annak tartalmához.

További eshetőségek: • • • • • •

A tömörített mappákat és fájlokat nem lehet titkosítani az EFS használatával. Ha egy másik partícióról másolunk át fájlokat a tömörített mappába, azok is tömörítetté válnak. Ha a saját partícióról másolunk át fájlokat a tömörített mappába, szintén tömörítetté válnak. Ha azonban a saját partícióról átmozgatjuk a fájlokat a tömörített mappába, nem történik meg az automatikus becsomagolásuk. Megőrzi a tömörített állapotát, ha partíción belül átmozgatjuk. Megszűnik mindentől függetlenül a tömörítés másoláskor, illetve nem NTFS partícióra helyezéskor. 37

Kötetkezelés A lemezkezelés alapfogalma a partíció, ez a merevlemez egy önálló logikai egysége, mely fájlrendszer tárolására alkalmas. Fájlrendszert formázással tudunk kialakítani az adott partíción. Kétféle fő partíció-típust különböztetünk meg:
Primary (elsődleges) – Egyes OS-ek csak ilyen partícióra telepíthetőek fel, lemezenként max 4 lehetséges.
Extended (kiterjesztett) – Olyan elsődleges partíció, amely nem fájlrendszert, hanem logikai partíciókat tartalmaz, így válik lehetővé több partíció használata. A partíciós táblában összesen egy kiterjesztett partíció lehet, a többinek elsődlegesnek kell lennie. Egy adott lemez aktív partíciójának nevezzük azt a partíciót, mely a rendszerindításra kijelölt.

Dinamikus lemezek (kötetek) A dinamikus lemez egy fizikai lemez, partíciók és logikai meghajtók helyett köteteket alkalmaz, és nem használja a Master Boot Record-ot. Az MBR helyett a Logical Disk Manager (LDM) tartalmazza a kötetinformációt a lemez végén. A Windows Server 2003 kettőezer kötetet tud kezelni, de lemezenként 32 a maximum. A dinamikus lemezen a grafikus felületen is lehet a kötet méretét változtatni, és nem kell újraindítani a számítógépet a művelet után. A dinamikus lemezek lemezcsoportokhoz vannak rendelve. A lemezcsoport minden tagja tartalmaz egy másolatot a kötetinformációkról. Csak a Windows 2000, XP és Server 2003 operációs rendszerek tudnak közvetlenül hozzáférni a dinamikus lemezekhez. Ha azonban megosztunk egy mappát egy dinamikus lemezen, ahhoz a korábbi Windows verziók is hozzáférhetnek a hálózaton keresztül. USB-s és FireWire merevlemezeken nem lehet dinamikus lemezt létrehozni. A Disk Management-ben (lemezkezelő) csak NTFS-sel lehet formázni egy dinamikus lemezt. Ha mindenképp FAT-tal akarjuk formázni, azt az Explorerből tehetjük meg.

Dinamikus kötet típusok:
Simple volumes – Az egyszerű kötet megfelelője, legalább 1 MB szabad területtel rendelkezik, max 2 TB.
Spanned volumes – Több lemezre kiterjesztett kötet (JBOD – Just A Bunch Of Disks), max 64 TB méretű.

38


Striped volume (RAID-0) – A RAID-0 alkalmazza az egyes lemezegységek sávokra bontását, viszont semmilyen plusz redundanciát nem visz a rendszerbe, így nem biztosít hibatűrést, azaz egyetlen meghajtó meghibásodása az egész rendszer hibáját okozza. Mind az írási, mind az olvasási műveletek párhuzamosítva történnek. A módszer az összes RAID eljárás közül a legjobb teljesítményt nyújtja, ugyanis a többi módszernél a redundancia kezelése (mint majd látni fogjuk) lassítja a rendszert. A tárkihasználás a redundancia hiánya miatt szintén hatékony. Max 64 TB méretű kötet hozható létre vele.
Mirrored volume (RAID-1) – A RAID-1 eljárás alapja az adatok duplikált tárolása, azaz tükrözése (disk mirroring). Az eltárolandó információ mindig párhuzamosan két meghajtón lesz felírva, amely meghajtópárost a számítógép egy szimpla kapacitású logikai meghajtónak lát. Az adatok olvasása párhuzamosan történik a két diszkről, felgyorsítván az olvasási teljesítményt. Az írás normál sebességgel, párhuzamosan történik a két meghajtón. Az eljárás igen jó hibavédelmet biztosít, bármely meghajtó meghibásodása esetén folytatódhat a működés. Ezen nagymértékű hibatolerancia ára a kétszeres tárolókapacitás-felhasználás. A RAID-1 önmagában nem használja a sávokra bontás módszerét. Max 2 TB méretű lehet.
RAID-5 volume – A RAID-5 a paritás információt nem egy kitüntetett meghajtón, hanem körbeforgó paritás (rotating parity) használatával, egyenletesen az összes meghajtón elosztva tárolja, kiküszöbölvén a paritás meghajtó jelentette szűk keresztmetszetet. Mind az írási, mind az olvasási műveletek párhuzamosan végezhetőek. A sávméret változtatható. Egy 64 TB-os kötet esetén így egy 62 TB méretű kötet alakítható ki, a paritás információk miatt (2 TB). A paritás olyan redundáns adatokat tartalmaz, amelynek segítségével bármely lemez hibája esetén, az azon sérült fájl eredeti formájába visszaállítható.
RAID 0+1 volume – A RAID-0 és RAID-1 módszererek együttes használata.

Distributed File System Az elosztott fájlrendszer (DFS) segítségével a rendszergazdák megkönnyíthetik a felhasználóknak az adott hálózaton fizikailag elosztott fájlok elérését és kezelését. A DFS alkalmazásával a több kiszolgálón keresztül elosztott fájlok úgy jeleníthetõk meg a felhasználóknak, mintha azok a hálózat ugyanazon helyén lennének. Ezt követõen a fájlok eléréséhez a felhasználóknak nem kell ismerniük és megadniuk azok tényleges fizikai helyét, így a megosztott mappák másik kiszolgálóra történő áthelyezésekor az útvonalak egyszerűbben módosíthatóak.

39

Névteren belül egy-egy megosztott mappára mutató útvonal a DFS-link. Ha egy mappára több DFS-link is mutat (többször szerepel a DFS-ben), akkor automatikus példánykiválasztás történik, ezzel terheléselosztás valósítható meg az egyes kiszolgálók között. Szerver szinten Windows 2000 Server-től érhető el a szolgáltatás, de alapértelmezésként nem fut. Ugyanez kliens szinten Windows ’98-tól és Windows NT 4.0 SP3-tól elérhető.

Változatai:
Standalone DFS – Azaz önálló DFS kiszolgáló. Ebben az esetben a DFS szolgáltatás a névtér információit a DFS kiszolgáló regisztrációs adatbázisában tárolja. Maga a névtér gyökere (DFS root) is a DFS kiszolgálón keresztül érhetõ el, ha ez a kiszolgáló nem elérhetõ, a DFS „halott”.
Domain DFS – Magyarul tartományi DFS kiszolgáló. Ilyenkor a DFS szolgáltatás adatai értelemszerűen az Active Directory-ban találhatók. Tartományi DFS esetén is kell legalább egy kiszolgáló, ami a DFS gyökér egy példányát kiszolgálja, de ebben az üzemmódban maga a DFS gyökér is többszörözhetõ (azaz gyökérreplikák is rendelkezésre állnak) – persze minden replikának különálló kiszolgálóra kell kerülnie (terheléselosztás, hibatűrés).

Nyomtatás A nyomtatóengedélyek határozzák meg, hogy a felhasználó mely nyomtatótulajdonságokat módosíthatja, például van-e engedélye a nyomtató átnevezésére, megosztására, a nyomtatóhoz való hozzáférés engedélyezésére vagy tiltására, valamint meghatározzák, hogy ki kezelheti a nyomtató tulajdonságait vagy a nyomtatási várólistán lévő dokumentumokat. A nyomtatóengedélyeket általában a nyomtatót telepítő személy kezeli, vagy egy rendszergazda, ha a nyomtató egy üzleti vagy vállalati hálózathoz van csatlakoztatva. Nyomtatóengedélyeket a nyomtatót használó bármely személy kaphat, vagy hozzárendelhetők az ugyanolyan típusú felhasználói fiókkal rendelkező felhasználók csoportjához is. A számítógép Rendszergazdák csoportjának tagjai például alapértelmezés szerint rendelkezik engedéllyel a nyomtatók kezelésére.

40

A Windows négyfajta nyomtatóengedélyt tesz lehetővé:
nyomtatás – A felhasználó csatlakozhat, és nyomtatási munkákat küldhet a nyomtatóra. Alapértelmezés szerint ez az engedély a Mindenki csoporthoz tartozik.
dokumentumok kezelése – Ha a felhasználó rendelkezik ezzel az engedéllyel, a nyomtatási várólista minden feladatát kezelheti, beleértve a más felhasználók által nyomtatott fájlokat és dokumentumokat is. Ez az engedély azonban nem jogosítja fel azonban nyomtatási munkák küldésére, vagy a nyomtató állapotának vezérlésére.
nyomtatókezelés – A felhasználó az elõzõ jogkörön túl teljes eléréssel rendelkezik a nyomtató fölött. Felfüggesztheti (pause) és újraindíthatja (restart) a nyomtatót, beállíthatja a nyomtatásisor kezelőt (spooler), megoszthatja a nyomtatót, állíthat a nyomtató engedélyein és a nyomtató beállításain. Alapértelmezés szerint a nyomtatókezelés engedéllyel a rendszergazdák és a kiemelt felhasználók rendelkeznek.
speciális engedélyek – Ezen - általában a rendszergazdák által használt - engedélyek használatával szükség esetén módosítani lehet a nyomtató tulajdonosát. A nyomtatót létrehozó tulajdonos minden nyomtatóengedéllyel rendelkezik, és általában ő telepíti a nyomtatót.

A nyomtatási interfész elsõdleges komponense a nyomtatásisor-kezelõ (print spooler). Ez a végrehajtható rendszerkomponens kezeli a nyomtatási folyamatot, mely a következõ tevékenységeket foglalja magába: • a megfelelõ nyomtató-meghajtó azonosítása, • az illesztõprogram betöltése, • a magas szintû hívások nyomtatási munkába transzponálása, • a nyomtatási munka ütemezése. A spooler az operációs rendszer betöltése során elindul, és a rendszer leállításáig fut. A spooler az, mely fogadja a nyomtatási igényeket, eltárolja a merevlemezen, majd a nyomtatóeszköz rendelkezésre állásakor kiküldi az eszközhöz. Ezen túl lehetõséget nyújt a folyamat naplózására, illetve a naplózás kikapcsolására, a spooler teljesítményének növelése érdekében. A nyomtatási prioritások használatával elérhetõ, hogy egy nyomtatóegységre érkezõ bizonyos dokumentumok elsõrendűséget élvezzenek. Ehhez több nyomtatót kell létrehozni egy nyomtatóegységhez. A felhasználók ezután a fontos dokumentumokat a nagyobb prioritással rendelkezõ, a nem kritikus dokumentumokat az alacsonyabb prioritással rendelkezõ nyomtatóra küldik. Ezután a nyomtatóegység a magas prioritású dokumentumokat nyomtatja elõbb. A nyomtató-illesztõ (printer driver) az a szoftver komponens, mely az operációs rendszer és a nyomtatóeszközök közötti kommunikációt végzi.

41