Źródło licencji Chip Special: Microsoft Small Business Server 2000 PL

Transkrypt

1 System operacyjny System operacyjny jest programem działającym jako pośrednik między uŝytkownikiem komputera a sprzętem komputerowym. System operacyjny tworzy środowisko, w którym uŝytkownik moŝe wykonywać programy w sposób wygodny, wydajny i harmonijny. Nadzoruje i koordynuje posługiwanie się sprzętem komputerowym przez róŝne programy uŝytkowe, które pracują na zlecenia róŝnych uŝytkowników. Przydziela programom i zadaniom czas procesora, obszar w pamięci, urządzenia wejścia-wyjścia i inne zasoby. Konfiguracja wielosystemowa Do nauki systemów operacyjnych zaleca się korzystanie z konfiguracji wielosystemowej komputera: minimalne wymagania standard PC, Celeron 600MHz, HDD 20 GB, RAM 256 MB Partycja rozruchowa - FAT 16 Windows 95/98/Me - FAT 32 Windows NT 4.0 Workstation - NTFS Windows NT 4.0 Server - NTFS Windows 2000 Professional - NTFS (nowy) Windows 2000 Server - NTFS (nowy) Windows XP Professional - NTFS (nowy) Windows 2003 Server - NTFS (nowy) Novell NetWare 4.11 Server - Novell GroupWise 5.2 lub Novell NetWare 5 Server lub Novell NetWare 6 Server MacOSX - emulacja Linux (Debian, Slackware, Mandriva, Fedora Core) Solaris 10 dla platformy X86 (PC) Swap Miejsce na eksperymenty z partycjami róŝnych systemów plików Podstawowe funkcje systemu operacyjnego Windows NT 4.0 obecnie znaczenie historyczne, MS juŝ nie wspiera Źródło licencji Chip Special: Microsoft Small Business Server 2000 PL Źródło licencji Chip Special: Microsoft Small Business Server 2000 PL Windows 2003 Server wersje testowe strony Microsoft Źródło licencji ENTER 8/1998: Server + 2 klientów Źródło licencji PC Word 4/1999: Server + 3 klientów Źródło licencji: Internet, Chip Special: Linux Warto takŝe eksperymentować z wersjami 64-bitowymi Windows XP oraz Windows 2003 Server SO nadzoruje i koordynuje posługiwanie się sprzętem przez róŝne programy uŝytkowe, pracujące na zlecenia uŝytkownika / uŝytkowników: jest programem sterującym i tworzy jedynie środowisko umoŝliwiające: prawidłowe funkcjonowanie aplikacjom, zwiększające komfort korzystania z komputera, umoŝliwiające jego efektywne działanie przydziela poszczególnym aplikacjom / uŝytkownikom czas procesora, obszar pamięci operacyjnej / dysku, urządzenia I/O itd. w przypadku konfliktu - przydziela dostęp do zasobów z uwzględnieniem wydajności i harmonijnego działania całego systemu nadzoruje działanie programów uŝytkownika (urządzenia I/O), przeciwdziała błędom i zapobiega niewłaściwemu uŝyciu komputera gromadzi wspólne funkcje sterowania i przydzielania zasobów do wykorzystania przez aplikacje Pionierskie SO funkcjonowały na wielkich maszynach obsługiwanych za pomocą konsoli. Programiści byli jednocześnie operatorami systemu i pracowali w oparciu o harmonogram pracy maszyny (*). Tworzenie współczesnych SO było procesem wieloetapowym. Proces ten ciągle trwa, jego motorem jest postęp w technologii wytwarzania komputerów i ich otoczenia: powstały asemblery, programy łączące i ładujące. stopniowo konstruowano róŝnorodne urządzenia I/O, dla urządzeń tych tworzono odpowiednie programy obsługi, przyspieszając tworzenie programów wykorzystujących takie urządzenia powstały pierwsze kompilatory Fortranu i Cobolu zatrudniono zawodowych operatorów (zakładanie taśm), aby zwiększyć wydajność systemów, po pojawieniu się błędu programistom dostarczano listing pamięci i rejestrów gromadzono zadania o podobnych wymaganiach i wykonywano je na komputerze grupowo zastosowano metodę automatycznego porządkowania zadań (automatic job sequencing) redukując przestoje między zadaniami (początek współczesnych SO) o wprowadzono do pamięci komputera niewielki programu tzw. monitor rezydujący sterujący wykonywaniem innych programów o na początku pracy wywoływano monitor rezydujący o z poziomu monitora wywoływano odpowiednie programy o po zakończeniu pracy programów sterowanie systemem powracało do monitora rezydującego zastąpiono powolne czytniki kart i drukarki wierszowe jednostkami taśmy magnetycznej, dało to początek tzw. pracy w trybie pośrednim (off-line) (czytnik kart przewijaki taśmy jednostka centralna przewijaki taśmy drukarka wierszowa) wprowadzono buforowanie - jednoczesne wykonywanie obliczeń i operacji I/O zastąpiono niewygodne jednostki taśmy systemami dyskowymi wprowadzono spooling (simultaneuos peripheral operation on-line -jednoczesna bezpośrednia praca urządzeń) umoŝliwiający wykonywanie operacji I/O dla jednego zadania i wykonywanie obliczeń innego zadania wprowadzono wieloprogramowość dla zwiększenia efektywności wykorzystania systemu - podczas gdy jedno zadanie oczekuje na reakcję uŝytkownika lub zakończenie operacji I/O, moŝe być wykonywane zadanie innego uŝytkownika

2 wprowadzono wielozadaniowość rozszerzenie wieloprogramowości polegające na wykonywaniu na przemian wielu róŝnych zadań z taką prędkością, Ŝe moŝliwa jest quasi-jednoczesna praca z kaŝdym z nich wprowadzono systemy rozproszone umoŝliwiające rozdzielenie obliczeń między wiele fizycznych procesorów współdzielących pamięć lub stanowiących część komputerów powiązanych ze sobą za pomocą sieci wprowadzono systemy czasu rzeczywistego stosowane do sterowania określonych urządzeń / systemów, pobierające dane z odpowiednich czujników i generujące na ich podstawie sygnały sterujące obniŝenie kosztów produkcji komputerów zaowocowało pojawieniem się na rynku komputerów osobistych oraz ich SO: PC- DOS, MS-DOS i innych DOS - Disk Operating System System operacyjny PC-DOS powstał na zamówienie IBM w firmie Microsoft w 1980 r. (MS-DOS v , , , , ,...) Początkowo system ten wzorowany był na CP/M (Control Program for Microprocessors), a następnie na Unix. Jest to prosty, łatwy w obsłudze SO otwarty na róŝne konfiguracje komputera. Przedstawione poniŝej informacje dotyczą głównie systemu MS-DOS v.5.0 i powyŝej. Programy systemowe DOS niezbędne do zainicjowania systemu: program ładujący (boot loader) umieszczany przez program FORMAT w odpowiednim sektorze nośnika pamięci masowej * IO.SYS wbudowane programy obsługi standardowych urządzeń, współpracujące z procedurami I/O programu BIOS (Basic Input/Output System) (początkowe sektory dysku przeznaczone dla plików **) MSDOS.SYS jądro systemu zawierające zarządzanie plikami, pamięcią, procesami itd. (**) COMMAND.COM interpretator poleceń systemu Inicjacja komputera (włączenie komputera lub zimny restart BEZ WZGLĘDU NA SYSTEM OPERACYJNY!!) Wykonywanie przez procesor instrukcji od adresu FFFF0H, gdzie znajduje się pierwsza instrukcja BIOS: test procesora, inicjacja i testowanie układów I/O płyty głównej test pamięci operacyjnej (Power On Self Test, POST) testowanie po włączeniu zasilania test poprawności BIOS-u przez liczenie sumy kontrolnej inicjacja tablicy adresów procedur obsługi przerwań sprzętowych i programowych (od 00000H, 256 x 4 bajty) inicjacja klawiatury inicjacja karty graficznej, sprawdzenie, czy jest rozszerzenie BIOS sterownika ekranu pomiędzy C0000H, a C8000H sprawdzenie, czy jest rozszerzenie BIOS powyŝej C8000H inicjacja obszarów roboczych BIOS od 00400H przejście do procedury ładującej SO Inicjacja SO DOS: próba załadowania programu ładującego z napędu pamięci masowej wyspecyfikowanego w BIOS-ie (FDD, HDD, CD-ROM..) program ładujący sprawdza, czy na dysku znajdują się pliki IO.SYS i MSDOS.SYS, jeśli tak do pamięci ładowany jest plik IO.SYS, który przejmuje sterowanie IO.SYS ma część inicjującą określającą konfigurację systemu, inicjuje system dysków, układy I/O, wpisuje część tablicy wektorów przerwań oraz ładuje MSDOS.SYS (jeśli na dysku znajduje się plik CONFIG.SYS to jest on interpretowany) MSDOS.SYS inicjuje tablice robocze systemu, wpisuje pozostałą część tablicy wektorów przerwań i tworzy blok wstępny programu (PSP) dla programu COMMAND.COM, ładuje program COMMAND.COM COMMAND.COM składa się z trzech części: o dwie pierwsze części ładują się do pamięci o najmniejszych dostępnych adresach (za blokiem PSP) o druga część jest częścią inicjującą, zawiera procesor pliku wsadowego AUTOEXEC.BAT oraz procedury określające najmniejszy adres segmentu, od którego mogą być ładowane programy uŝytkowe o trzecia część ładuje się do obszaru o największych adresach konwencjonalnej pamięci operacyjnej i jest tzw. częścią zamazywalną, która nie jest chroniona i moŝe być nadpisana, jest ona właściwym procesorem poleceń systemu, zawiera: procedury poleceń wewnętrznych, procesor plików wsadowych, procedury obsługi klawiatury, wyświetlania znacznika zgłoszenia systemu, procedury ładujące i inicjujące wykonanie programów BIOS (Basic Input/Output System) podstawowy system I/O BIOS izoluje SO od bezpośredniej obsługi sprzętu, zawiera procedury obsługi podstawowych części składowych systemu komputerowego, procedury inicjujące system po włączeniu zasilania i ładujące SO z pamięci masowej do pamięci operacyjnej RAM komputera. BIOS jest umieszczany w pamięci stałej (ROM, EPROM, E 2 PROM, FLASH). Pamięć operacyjna DOS: konwencjonalna (conventional memory) KB górna (Upper Memory Area, UMA) bloki UMB (Upper Memory Blocks) w zakresie 640KB.. 1MB, moŝe być częściowo wykorzystana do celów systemowych wysoka (High Memory Area, HMA) - pierwsze 64KB powyŝej adresu 1MB moŝe być wykorzystana do celów systemowych rozszerzona (extended memory area) powyŝej 1MB, obsługa za pomocą programu HIMEM.SYS

3 Organizacja dysków Dyski twarde naleŝy podzielić na partycje (partition) za pomocą FDISK.EXE: partycja podstawowa (primary partition) stanowi w całości jeden dysk logiczny, partycja rozszerzona (extended DOS partition) moŝna w niej utworzyć do 23 dysków logicznych Operator systemu odwołuje się do dysków za pomocą liter: A, B napędy FDD, C, D, E,.. dyski logiczne dysków twardych. Podczas formatowania na określonych sektorach dysków / dyskietek w partycjach systemu DOS umieszczane są informacje: rekord ładujący (boot record), tablica alokacji plików (File Allocation Table, FAT), kopia tablicy alokacji plików, katalogi plików Program FDISK na pierwszym dysku twardym umieszcza główny rekord ładujący dysku twardego (Master Boot Record, MBR). W końcowej części MBR znajduje się tablica opisująca podział dysku na partycje. W partycji rozszerzonej równieŝ mogą wystąpić tablice partycji rozszerzenia, z których kaŝda opisuje jeden dysk logiczny. FAT - File Allocation Table - tablica alokacji plików FAT jest mapą plików zapisanych na dysku. Miejsce na dysku jest przydzielane plikom w jednostkach alokacji pliku (cluster): w katalogu pliku wpisany jest numer klastra, określający logiczny numer sektora, wskazujący początek pliku, oraz miejsce w FAT z numerem kolejnego klastra klaster ten określa pierwszy sektor kolejnej części pliku oraz miejsce w FAT z numerem następnego klastra tak utworzony łańcuch określa połoŝenie całego pliku Katalogi plików Pliki w DOS mają przewaŝnie drzewiastą strukturę katalogów. KaŜdy dysk ma katalog główny (root directory) zawierający pliki i/lub katalogi, które mogą równieŝ zawierać pliki i/lub podkatalogi (subdirectory) itd. Na katalog główny dysku zarezerwowana jest określona (*) liczba sektorów. Podkatalogi są zapisywane na dysku tak jak pliki uŝytkowe i ich wielkość nie jest ograniczona. Polecenia DOS dzielą się na: wewnętrzne - wykonywane przez procesor poleceń wewnętrznych COMMAND.COM zewnętrzne wykonywane przez samodzielne programy umieszczone w plikach o rozszerzeniu COM lub EXE Standardy narodowe DOS umoŝliwia dostosowanie komputera do standardów narodowych (pliki: MODE.COM, DISPLAY.SYS): alfabet narodowy: klawiatura, monitor, drukarki,..(code pages), kolejność liter w narodowym alfabecie przy sortowaniu, format daty i czasu, symbol waluty, znaki separacji ułamka i tysięcy, zestaw znaków dozwolonych w nazwach plików i katalogów Windows NT 4.0 Server / Workstation System operacyjny MS Windows NT ma budowę modułową. Zbudowany jest z komponentów programowych komunikujących się za pomocą wywołań systemowych (ułatwia to update niezaleŝnych części SO). NT 4.0 działa na róŝnych platformach sprzętowych, stąd konieczne było utworzenie niezaleŝnej od platformy sprzętowej abstrakcyjnej warstwy sprzętowej (Hardware Abstraction Layer - HAL). HAL są dostarczane Microsoftowi przez producentów sprzętu lub tworzone przez sam MS. Architektura NT składa się z dwóch odseparowanych sekcji: jądro (kernel mode): zapewnia bezpośredni dostęp do elementów sprzętowych komputera, zawiera kluczowe komponenty SO, jest wspólne dla wersji Workstation i Server - na podstawie rejestrów podczas startu system ocenia, czy pracować jako Server, czy jako Workstation sekcja uŝytkownika (user mode): nie umoŝliwia dostępu do elementów sprzętowych komputera, wspomaga funkcjonowanie aplikacji uŝytkownika i niektórych podsystemów NT, ma niŝszy priorytet niŝ jądro, Mikrojądro: zawsze rezyduje w pamięci, planuje zadania procesora, kontroluje funkcjonowanie wszystkich procesorów w systemie wieloprocesorowym Pamięć wirtualna (PW): NT posługuje się 32-bitowym systemem PW - kaŝdy proces otrzymuje 4GB PW (2GB - OS, 2GB - proces) do realizacji PW wykorzystuje się HDD, umoŝliwia to przydzielenie większej pamięci do procesu niŝ jest fizycznie RAM PW oparta jest na technice stronicowania, menedŝer pamięci wirtualnej (Virtual Memory Manager) przenosi dane nie uŝywane (strony pamięci) do pliku wymiany, gdy musi zwolnić pamięć na rzecz innego procesu, gdy są ponownie potrzebne - przenoszone są do RAM wydajność systemu wraz ze wzrostem objętości pliku wymiany maleje zalecana wielkość pliku wymiany wynosi RAM + 12MB * dodawanie, usuwanie zmiany rozmiarów pliku/plików wymiany: Settings Control Panel System Performance Virtual Memory Change

4 Priorytety procesów w NT 4.0: istnieje 31 priorytetów do określania kolejności wykonywania procesów: bezczynny (idle) 1 6, normalny (normal) 6 10, (typowy poziom procesów), wysoki (high) 11 15, rzeczywisty (realtime) (! niebezpieczne dla OS) uwaga w Windows 2000/2003/XP dodatkowe poziomy priorytetów (powyŝej normalnego i poniŝej normalnego) priorytet procesu jest nadawany przsy jego starcie priorytet moŝe być zmieniony przez NT o 2 jednostki (w górę/w dół) w celu zoptymalizowania działania OS priorytet moŝe teŝ być zmieniony w czasie trwania procesu z poziomu menedŝera zadań: Task Manager Processes Menu Kontekstowe Set Priority priorytet moŝe być ustalony podczas uruchamiania procesu w oknie Command Prompt start nazwa_procesu /high (realtime!) wydajność procesów pierwszoplanowych w stosunku do programów działających w tle moŝe zostać zmieniona od None do Max przez: Settings Control Panel System Performance Application performance Rejestr w NT: stanowi bazę danych konfiguracji systemu NT i jego uŝytkowników ma strukturę drzewa i jest podzielony na pięć poddrzew, klucze zawierają elementy - wartości, składające się z: o nazw wartości o typów wartości REG_BINARY dane binarne konfiguracji sprzętu czytelne dla aplikacji Diagnostyka Windows NT (Windows NT Diagnostics) REG_DWORD dane reprezentowane przez czterobajtowy numer (wartości serwisowe, poziomy przerwań) REG_EXPAND_SZ rozszerzalny ciąg znaków zawierający wielowartościowe logiczne przypisanie do pobrania przez aplikacje REG_MULTI_SZ złoŝony ciąg znaków w postaci prostego tekstu oddzielanego znakami NULL REG_SZ prosty tekst łatwy do modyfikacji o bieŝących danych wartości poddrzewa umieszczone w korzeniu rejestru to: o HKEY_LOCAL_MACHINE (dowolny uŝytkownik - stała): konfiguracja sprzętowa lokalnego komputera BD zabezpieczenia kont konfiguracja programowa o HKEY_CLASSES_ROOT powiązania między typami plików i aplikacjami odpowiednik HKEY_LOCAL_MACHINE\SOFTWARE\Classes edycja przy pomocy menu Opcje (Options) programu Windows NT Explorer o HKEY_CURRENT_CONFIG konfiguracja sprzętowa aktualnego profilu o HKEY_CURRENT_USER profile uŝytkowników zalogowanych do systemu dane o pulpitach uŝytkowników i dzielonych zasobach o HKEY_USERS wszystkie załadowane profile uŝytkownika (aktualne teŝ) profil domyślny jest uŝywany jako szablon dla uŝytkowników logujących się po raz pierwszy Zmiany w rejestrach dokonywane są: najczęściej przy uŝyciu odpowiednich aplikacji, automatycznie rekonfigurujących poszczególne elementy drzewa ręcznie przy uŝyciu programu \WINNT\SYSEM32\REGEDT32, program ten umoŝliwia m. in.: o wyszukiwanie klucza w strukturze drzewa rejestru (View Find) o zdalne zarządzanie rejestrem (Registry Select computer) o zapamiętywanie podkluczy rejestru (Registry Save Subtree As) naleŝy zachować ostroŝność - wprowadzenie niewłaściwych wartości moŝe doprowadzić do utraty kontaktu z OS gdy zachodzi potrzeba jednoczesnej zmiany wielu wartości rejestru naraz - naleŝy dokonać wszystkich zmian lub Ŝadnej Konfiguracja uŝytkowników serwera NT: grupy robocze (GR) o komputery wchodzące w skład GR traktowane są tak samo o BD o ochronie kont jest przechowywana na kaŝdym komputerze naleŝącym do GR o administracja GR musi być prowadzona indywidualnie / lokalnie na wszystkich komputerach naleŝących do GR o GR jest oparta na podstawowych zasadach działania sieci peer-to-peer o stosowane dla małej ilości uŝytkowników domeny o wszystkie komputery wchodzące w skład domeny korzystają z jednej centralnej BD o ochronie kont o administracja domenami jest scentralizowana o baza domen jest zarządzana przez serwery NT o stosowane dla duŝej ilości uŝytkowników i komputerów

5 Zapewnienie bezpieczeństwa w MS NT 4.0 Logowanie - kombinacja klawiszy Ctri+Alt+Del umoŝliwia wyświetlenie okna logowania (username, password, [domain*]) Proces lokalnej autoryzacji (Local Security Authority - LSA) stanowi interfejs między sekcją uŝytkownika, a jądrem sprawdza polisę kontrolną uruchamia pakiet weryfikujący nazwę uŝytkownika (username) i hasło (password) z danymi przechowywanymi przez administratora ochrony kont (Security Accounts Manager - SAM), o SAM stanowi bazę danych informacji o zabezpieczeniach wszystkich uŝytkowników i grup (baza usług katalogowych) o dla grup roboczych stacje korzystają z własnego SAM o dla domen uŝywa się jednego centralnego SAM, administracja SAM (HKEY_LOCAL_MACHINE\SAM **) odbywa się za pośrednictwem administratora uŝytkowników dla domen (User Manager Administrator) jeśli dane są niewłaściwe próba logowania zostanie odrzucona i wyświetlony zostanie komunikat o błędzie (x*) jeśli dane są właściwe: pakiet weryfikujący tworzy sesję logowania i przesyła dane konta do LSA umoŝliwiając stworzenie klucza dostępu (Security Access Token - SAT) zawierającego: o identyfikator bezpieczeństwa (Security ID -SID) uŝytkownika starającego się o dostęp o SID kaŝdej grupy, do której naleŝy uŝytkownik o wszystkie prawa uŝytkownika (zmiany praw w trakcie sesji zostaną uwzględnione dopiero przy następnym logowaniu) proces logowania wywołuje podsystem Win32 tworzący proces uŝytkownika do którego dołączany jest klucz dostępu SAT podsystem Win32 uruchamia pulpit Windows NT z poziomu pulpitu uŝytkownik moŝe próbować odwołać się do róŝnych obiektów systemu o monitor odwołań (Security Reference Monitor) sprawdza, czy SID danego uŝytkownika i prawa związane z obiektem umoŝliwiają uŝytkownikowi dostęp o kontrolna lista dostępu (Access Control List - ACL) zawiera elementy kontroli dostępu (Access Control Entries - ACE) o ACE zawierają maski dostępu umoŝliwiające określenie, czy uŝytkownik/grupa ma przyznany/odebrany dostęp do obiektu, typy masek dostępu: specyficzny informacje specyficzne dla danego typu obiektów (maksymalnie 16 specyficznych typów) standardowy informacje odnoszące się do wszystkich obiektów ogólny mapowanie dla specyficznego i standardowego typu o ACE są uporządkowane tak, Ŝe na początku znajdują się elementy, które nie mają dostępu, potem te co mają dostęp w ten sposób uŝytkownik naleŝący do grupy, która ma dostęp do obiektu i jednocześnie grupy, która nie ma dostępu do obiektu nie uzyska dostępu o kaŝdy proces uŝytkownika otrzymuje kopię klucza dostępu - SAT uŝywaną podczas dostępu do poszczególnych obiektów Inicjacja NT Server/Workstation (PC) o inicjacja komputera jak w innych SO... o próba załadowania programu ładującego z napędu pamięci masowej wyspecyfikowanego w BIOS-ie (FDD, HDD, CD-ROM,...) o lokalizacja partycji systemowej i ładowanie pierwszego sektora (boot sector) o wykonywanie programu ładującego NTLDR (NT Loader) zmiana trybu pracy z 16-bitowego na 32-bitowy włączenie tymczasowej obsługi systemu plików FAT i NTFS BOOT.INI lista dostępnych systemów operacyjnych NTDETECT.COM: rozpoznanie aktualnego sprzętu i sporządzenie jego listy, przekazanie listy do NTLDR uŝytkownik decyduje, czy ładować ostatni prawidłowy profil sprzętowy (Hardware Profiles/Last Known Good) menu profil sprzętowy/odzyskiwanie konfiguracji (Hardware Profile/Configuration Recovery) {opcja dostępna przez naciśnięcie spacji) {Settings Control Panel System Hardware Profile} ładowanie jądra NT NTOSKRNL.EXE (NT OS KERNEL) przekazanie do NTOSKRNL.EXE informacji o konfiguracji sprzętowej z listy o NTOSKRNL.EXE ładowanie pierwszej grupy sterowników (drivers) zmiana obrazu na niebieski (jeśli jądro poprawnie przejęło kontrolę) inicjacja pierwszej grupy sterowników ładowanie drugiej grupy sterowników SMSS.EXE (menedŝer sesji) - inicjacja usług i podsystemów wyŝszego poziomu CHKDSK.EXE (Check Disk) sprawdzanie integralności partycji przygotowanie pliku wymiany uruchamianie podsystemów m. in. WIN32 (I/O, ekran): WINLOGON.EXE, LSASS.EXE lokalny administrator zabezpieczeń, wyświetlenie okna logowania (ładowanie dalszych usług w tle): HKEY_LOCAL_MACHINE\System\LastKnownGood po prawidłowym zalogowaniu wskazuje podklucz rejestru uŝytego podczas bieŝącego uruchamiania SO

6 Przykładowe sługi systemowe UŜyta paleta usług systemowych w NT zaleŝy od funkcji serwera. Usługi mogą być uruchamiane podczas startu systemu lub ręcznie za pomocą polecenia Settings Control Panel Services. Podstawowe rodzaje usług: Alarm (alert) wszystkie alarmy systemowe Computer Browser (przeglądarka komputerów) lista dostępnych komputerów Directory Replicator (replikator katalogów) replika katalogów i ich zawartości na zdalnym systemie Event Log (rejestr zdarzeń) zdarzenia związane z systemem, ochroną i aplikacjami Messenger (goniec) przekazywanie komunikatów alarmowych Net Logon (weryfikator logowania) weryfikacja logowania i synchronizacja bazy danych domen serwera Schedule (harmonogram) uruchamianie zadań o zadanym czasie Server (serwer) m. in. usługi związane z plikami i drukowaniem Spooler szeregowanie zadań do wydruku UPS (Uninterruptible Power Supply, zasilacz bezprzerwowy) zarządzanie systemem podtrzymywania napięcia Workstation (stacja robocza) podstawowe funkcje sieciowe Podsystem dysków Podsystem dysków jest komponentem sprzętowym i programowym słuŝącym do implementacji systemu plików. Kontrolowany jest przez menedŝera wejścia/wyjścia (I/O Manager), obsługującego równieŝ inne operacje I/O. I/O Manager jest składnikiem NT Executive (wykonawca NT).NT Executive jest interfejsem między niŝszymi i wyŝszymi warstwami SO. I/O MANAGER MenedŜer wejścia/wyjścia CACHE MANAGER MenedŜer pamięci podręcznej FILE SYSTEM System plików NETWORK DRIVERS Sterowniki sieciowe DEVICE DRIVERS Sterowniki urządzeń Podsystem plików jest zarządzany przez Administratora dysków Start Programs Administrative Tools (Common) Disk Administrator. Prawo do korzystania z niego mają członkowie grupy Administratorzy. Pierwsze uruchomienie programu na nowo zainstalowanym systemie powoduje zapisanie na dysku o numerze 0 specjalnej sygnatury (wewn. NT). Administrator dysków umoŝliwia: tworzenie/usuwanie partycji tworzenie/usuwanie/nazywanie/rozszerzanie wolumenów i zbiorów wolumenów (volumen set) tworzenie/usuwanie zbioru dysków (stripe set) przypisywanie identyfikatorów dysków zapisywanie/odtwarzanie konfiguracji dysków włączenie/wyłączenie (tylko NT Server) o mirroringu - odzwierciedlenie danych z jednego dysku na inny/inne dyski, lub o dupleksingu zdublowanie danych z jednego dysku na inny/inne dyski podłączone do innego kontrolera tworzenie/usuwanie/regenerowanie zbioru dysków z kontrolą parzystości (stripe set with parity) (tylko NT Server) Technologie dostępne w systemie plików NT: partycja systemowa i startowa (startowa moŝe być systemową): o zawiera pliki niezbędne do załadowania NT o jeden z dysków wykorzystywanych przy starcie systemu o partycja aktywna (PC) partycja podstawowa - moŝe być partycją aktywną i umoŝliwiać ładowanie SO *** partycja rozszerzona o umoŝliwia podział wolnej przestrzeni dysku na wolne logiczne obszary o na kaŝdym dysku moŝe być tylko jedna partycja rozszerzona wolumen partycjonowany i formatowany obszar dysku (z wykorzystaniem jednego z systemów plików NT) zbiór wolumenów (volumen set) partycje dyskowe połączone w jeden obszar logiczny o partycje mogą pochodzić z tego samego lub z róŝnych dysków o partycje mogą zawierać dyski róŝnych typów o jeden zbiór wolumenów moŝe być zbudowany z max. 32 odseparowanych obszarów dysku o zapis danych na zbiór wolumenów odbywa się w sposób sekwencyjny (obszar po obszarze) o partycja systemowa i startowa nie mogą być częścią zbioru wolumenów o rozmiary wolumenów NTFS i zbiorów wolumenów NTFS mogą być modyfikowane bez konieczności ponownego formatowania (FAT NTFS)

7 zbiór dysków (stripe set) dane zapisywane na róŝnych fizycznych dyskach, na partycjach o tym samym obszarze, w obszarach o wielkości 64kB o stosowany do zwiększenia wydajności operacji I/O rozdzielenie Ŝądań I/O na kilka dysków zwiększa przepustowość kaŝdego z nich o zbiór dysków musi zawierać 2-32 dyski o nie zapewnia ochrony przed skutkami błędów zbiór dysków z kontrolą parzystości (stripe set with parity) dane rozdzielane między dyskami, jeden z elementów wykorzystany do kontroli parzystości (tylko NT Server) o jeśli jeden z dysków zbioru przestanie działać: utracone dane moŝna odtworzyć na podstawie danych parzystości NT będzie kontynuował pracę do czasu zamknięcia systemu i wymiany uszkodzonego dysku przy pomocy polecenia Regenerate Administratora dysków moŝna przenieść dane na nowy dysk mirroring dysków (mirror set) identyczne kopie dwóch oddzielnych partycji na dwóch dyskach (tylko NT Server) o obydwa dyski naleŝą do zbioru dysków lustrzanych (mirror set) o wszystkie operacje są automatycznie przeprowadzane na obydwu elementach tego zbioru o jeśli jeden z dysków zbioru przestanie działać: jego funkcje przejmuje drugi NT będzie kontynuował pracę do czasu zamknięcia systemu i wymiany uszkodzonego dysku następnie naleŝy ponownie ustanowić związek odzwierciedlania duplexing dysków funkcjonuje analogicznie jak mirroring, tylko Ŝe kaŝdy dysk dołączony jest do osobnego kontrolera (tylko NT Server) - rozwiązanie to zwiększa jeszcze poziom bezpieczeństwa, poniewaŝ nawet przy uszkodzeniu jednego z dysków lub kontrolerów dane wciąŝ są dostępne (p. startowe, systemowe) Systemy plików w Windows NT 4.0 FAT (File allocation table, tablica alokacji plików) o najpowszechniejszy system plików dostępny w systemach MS-DOS, OS/2, czytany przez Windows XXX o nazwy plików format 8+3 (w NT długość do 255 znaków) o brak lokalnych zabezpieczeń i brak automatycznego odzyskiwania plików o rozmiar pliku ograniczony standardowo do 4GB *** CDFS (Compact disk file system, system plików dysków kompaktowych) - system plików stworzony na potrzeby technologii CD-R NTFS (New technology file system, nowa technologia systemu plików) powstał na potrzeby MS Windows NT i tam dostępny o w przypadku awarii SO wykorzystuje rejestr transakcji do anulowania lub wznowienia kaŝdej niekompletnej transakcji o dostępne lokalne zabezpieczenia na poziomie wolumenu, foldera lub pliku prawa do zasobów mogą być nadane uŝytkownikowi lub grupie nabyte prawa są kumulowane (p. własne + p. grupy) prawa do plików mają przewagę nad prawami do folderów (wyjątek p. No Access, brak dostępu) po utworzeniu wolumenu NTFS kaŝdy uŝytkownik otrzymuje prawo Everyone With Full Control - brak ochrony, naleŝy w tym miejscu ją wprowadzić właściciel obiektu ma specjalne prawa do niego (bez względu na aktualne prawa), umoŝliwia to właścicielowi zmianę uprawnień do obiektu administrator moŝe przejąć taki obiekt na własność * podczas kopiowania plików: pomiędzy wolumenami plik dziedziczy prawa nadkatalogu w ramach wolumenu plik zachowuje swoje prawa o obsługa nazw pliku do 255 znaków o rozróŝnianie małych i wielkich liter dla zapewnienia zgodności ze standardami POSIX o maksymalna pojemność dysków do 16EB (1E+18) o translacyjny system plików oparty na budowie relacyjnych BD o wymaga 2MB, nie zalecany przy małych dyskach o automatyczna generacja nazw pliku w formacie 8+3 dla zapewnienia zgodności z aplikacjami DOS krótka_nazwa=sześć_pierwszych_znaków_długiej_nazwy + ~ + numer gdzie numer 4 (gdy metoda ta wystarcza do zapewnienia unikalności) krótka_nazwa=dwa_pierwsze_znaki_długiej_nazwy + znaki_przetworzone_matematycznie + ~1 jeśli krótkie nazwy nie będą potrzebne moŝna wyłączyć generację krótkich nazw, co pozwoli czasami * przyspieszyć pracę systemu Start Programs Administrative Tools System Policy Editor Nazwa Policy File Default Computer Windows NT System File System Do not create 8. o obsługuje kompresję wolumenów, folderów i plików włączenie kompresji z poziomu: Windows NT Explorer Properties General Compress kopiowanie do skompresowanego folderu powoduje automatyczne kompresowanie umieszczanych tam plików kopiowanie skompresowanego pliku do skompresowanego folderu w ramach wolumenu nie zmienia stanu pliku kompresję stosuje się dla wolumenów o klastrach 4kB o w przypadku wystąpienia błędów zapisu związanych z uszkodzeniem sektora system automatycznie przydziela do danych nowy klaster uszkodzony klaster dodawany jest do zbioru wadliwych klastrów o w przypadku wystąpienia błędów odczytu związanych z uszkodzeniem sektora: dane z klastra zostaną utracone uszkodzony klaster dodawany jest do zbioru wadliwych klastrów

8 Parametry uŝytkownika w systemie NT Konta uŝytkowników posiadają następujące cechy: nazwę uŝytkownika (max. 20 znaków, lcs*) hasło (max. 14 znaków, lcs*) (puste jeśli pozwala polisa) podczas tworzenia konta przypisywany mu jest stały identyfikator bezpieczeństwa SID (Security ID), dzięki temu: o po zmianie nazwy konta jego cechy pozostaną takie same o po usunięciu i utworzeniu uŝytkownika z tymi samymi cechami jego SID się zmieni, uniemoŝliwiając dostęp do oryginalnego konta Konta uŝytkowników stacji roboczej skonfigurowanej jako grupa robocza zarządzane są przez Administratora uŝytkowników (User Manager). Konta uŝytkowników serwera pracującego jako kontroler domeny zarządzane są przez Administratora uŝytkowników dla domen (User Manager For Domains). Konfigurację konta uŝytkownika określa polisa konta: Start Programs Administrative Tools User Manager (For D.)Policies Acount W większości sytuacji do ułatwienia zarządzania kontami uŝytkowników moŝna posłuŝyć się grupami. Cechy grupy NT Server: lokalne o umoŝliwia nadanie uprawnień do lokalnych zasobów domeny o członkowie grupy mogą zawierać lokalnych uŝytkowników domeny uŝytkowników zaufanej domeny lokalne domeny globalnych grup zaufane domeny globalnych grup o lokalna grupa domeny nie moŝe być członkiem innych grup o predefiniowane grupy lokalne: EVERYONE (Wszyscy) wszyscy stworzeniu uŝytkownicy NT grupa ta nie pojawia się na liście uŝytkowników, lecz są do niej przypisane prawa * REPLICATOR (Replikator) grupa wykorzystywana do przenoszenia danych między komputerami nie ma członków ani praw GUESTS LOCAL (Goście lokalni) (Server) DOMAIN GUESTS członek grupy GUESTS LOCAL bez określonych praw globalne o umoŝliwia organizowanie domen uŝytkowników przez przypisywanie ich do grup globalnych oraz nadanie członkostwa w lokalnej grupie zawierającej wymagane uprawnienia o członkowie grup mogą zawierać lokalnych uŝytkowników domeny o globalne grupy nie mogą zawierać lokalnych grup i globalnych grup o globalne grupy mogą stać się członkami lokalnych grup NT Workstation znajdujących się w tej samej domenie lub w domenie zaufanej o nazw grup nie moŝna zmieniać (usuwać i tworzyć od nowa) o predefiniowane grupy globalne NT Server ADMINS (Administratorzy) DOMAIN GUESTS (Goście domeny) DOMAIN USERS (UŜytkownicy domeny) Profile uŝytkownika Profile uŝytkownika umoŝliwiają zapamiętanie pulpitu i środowiska pracy m. in. kolory systemu, ustawienia drukarek, połączenia sieciowe itd. Do zarządzania profilami słuŝy: Settings Control Panel System User Profiles, PoniŜej przedstawiono profile w NT: local personal profile (osobisty lokalny) [.USR] o tworzony automatycznie po zalogowaniu się uŝytkownika o wykorzystywany w konfiguracji bez domen o gdy uŝytkownik celowo zalogował się do lokalnego hosta roaming personal profile (wędrujący osobisty) [.USR] o na serwerze NT moŝna utworzyć roaming personal profile (wędrujący osobisty profil) P o jeśli uŝytkownik zaloguje się do domeny ze stacji roboczej otrzyma swój własny profil P o jeśli uŝytkownik zaloguje się do NT i nie istnieje Ŝaden predefiniowany profil to do nowego profilu uŝytkownika wstawiany jest profil domyślny mandatory profile (obligatoryjny) [.MAN] o profil oparty na serwerze, umoŝliwia ignorowanie zmian konfiguracyjnych w środowisku wprowadzonych przez uŝytkownika o moŝe być wykorzystany do zapewnienia wszystkim uŝytkownikom takiego samego wyglądu obszaru roboczego

9 Polisa w MS Windows NT 4.0 Polisa pozwala na kontrolę środowiska uŝytkownika. Do jej określania słuŝy Edytor polisy systemowej (System Policy Editor). Polisy mogą być określane dla: indywidualnych uŝytkowników domyślnego uŝytkownika (Default User) grup uŝytkowników: administratorów domeny (Domain Admins), gości domeny (Domain Guests), uŝytkowników domeny (Domain Users) domyślnego komputera (Default Computer) indywidualnego komputera Właściwości uŝytkownika, które moŝna poddać kontroli to m. in.: Control Panel o Deny access to display icon (zablokowanie dostępu do ikon związanych z ekranem) o Hide Background tab (ukrycie zakładki Tło) o Hide Screen Saver tab (ukrycie zakładki Wygaszacz ekranu) o Hide Appearance tab (ukrycie zakładki Wygląd) o Hide Settings tab (ukrycie zakładki Ustawienia) Desktop o Wallpaper (określenie tapety) o Color scheme (określenie schematu kolorów) Shell Restrictions o Remove run command from Start menu (usunięcie polecenia Uruchom z menu Start) o Remove folders from Settings on Start menu (usunięcie folderów z podmenu Ustawienia menu Start) o Remove taskbar from Settings on Start menu (usunięcie paska zadań z podmenu Ustawienia menu Start) o Hide drives in My Computer (ukrycie napędów z foldera Mój komputer) o Hide Network Neighborhood (ukrycie foldera Otoczenie sieciowe) o No Workgroups content in Network Neighborhood (ukrycie Grup roboczych w folderze Otoczenie sieciowe) o Hide all items on desktop (ukrycie wszystkich elementów pulpitu) o Disable Shutdown command (zablokowanie polecenia Zamknij) o Don t save settings on exit (zablokowanie zapisu ustawień przy wyjściu) System Restrictions o Disable Registry editing tools (zablokowanie narzędzi edycji rejestru) o Run only allowed Windows applications (umoŝliwienie uruchamiania jedynie dozwolonych aplikacji Windows naleŝy określić jakich) Windows NT Custom folders o Common Program folder (wspólny folder Program) o Common Desktop folder (wspólny folder Pulpit) o Hide Start menu subfolders (ukrycie podfolderów menu Start) o Common Startup folder (wspólny folder Uruchamianie) o Common Network Neighborhood (wspólny folder Otoczenie sieciowe) o Commnon Start menu (wspólne menu Start) Windows NT Restrictions o Only use approved shell extension (uŝywanie tylko zatwierdzonych rozszerzeń powłoki) o Remove common group from Start menu (usunięcie wspólnych grup z menu Start) Windows NT System o Parse Autoexec.bat (analiza pliku AUTOEXEC.BAT) o Run logon script synchronously (synchroniczne uruchamianie skryptów logowania ***) Skrypty logowania w MS Windows NT 4.0 Skrypty logowania umoŝliwiają wykonywanie dodatkowych zadań konfiguracji środowiska uŝytkownika w NT m. in.: tworzenie połączeń sieciowych po zalogowaniu uruchamianie aplikacji Parametry logiczne skryptów logowania: %HOMEPATH% - pełna ścieŝka dostępu do katalogu domowego uŝytkownika %HOMEDRIVE% - litera dysku katalogu domowego uŝytkownika %HOMESHARE% - nazwa współdzielona zawierająca katalog domowy uŝytkownika %OS% - system operacyjny stacji roboczej uŝytkownika %PROCESSOR_ARCHITECTURE% - typ procesora stacji roboczej uŝytkownika %PROCESSOR_LEVEL% - poziom procesora stacji roboczej uŝytkownika %USERDOMAIN% - domena zawierająca stację roboczą uŝytkownika %USERNAME% - nazwa uŝytkownika

10 Podstawowe zadania związane z administracją uŝytkownikami i ich środowiskiem: utworzenie konta uŝytkownika następuje przez wywołanie polecenia User New User w jednym z poniŝszych programów: o administrator uŝytkowników dla domen (User Manager For Domain) Primary Domain Controller o administrator uŝytkowników (User Manager) grupa robocza Parametry podstawowe: Username (nazwa uŝytkownika) 20 lcs* Full Name (pełna nazwa uŝytkownika) Discription (opis) Password (hasło) 14 lcs* Confirm Password (potwierdzenie hasła) User Must Change Password at Next Logon (wymuszenie zmiany hasła uŝytkownika przy następnym logowaniu) User Cannot Change Password (zablokowanie moŝliwości zmiany hasła uŝytkownika) Password Never Expires (wyłączenie wygaśnięcia hasła) Account Disabled (zablokowanie konta) Niektóre parametry dodatkowe (okno z właściwościami uŝytkownika): Określenie terminu wygaśnięcia konta przycisk Account o Account Expires (konto wygasa): Never lub End of... o Account Type (typ konta): Global Account (for regular user accounts in this domain) Local Account (for users from untrusted domains) Ustalenie restrykcji logowania przycisk Logon To o User May Log On To All Workstations (uŝytkownik moŝe zalogować się do wszystkich stacji roboczych) o User May Log On To These Workstations (uŝytkownik moŝe zalogować się do stacji roboczych z listy...) Ustalanie godzinowych restrykcji logowania przycisk Hours o Zaznaczenie na graficznym diagramie godzin, w których moŝliwe jest zalogowanie się: Allow / Disallow Przypisywanie uŝytkownika do grupy / grup przycisk Groups - Member of / Not member of Określenie kartoteki domowej uŝytkownika przycisk Profile - Home Directory (kartoteka domowa) o Local path o Connect Litera katalog sieciowy Tworzenie i przypisywanie profili uŝytkownika o Utworzenie konta X o Utworzenie profilu zalogowanie się pod kontem X przeprowadzenie konfiguracji środowiska dane zostaną zapisane w osobistym profilu uŝytkownika o udostępnienie katalogu sieciowego (Sharing) o skopiowanie do podkatalogu udostępnionego katalogu utworzonego profilu Start Settings Control Panel System User Profiles Copy To... Copy profile to Browse... zmiana prawa dostępu określenie uŝytkownika mającego prawo dostępu do katalogu przycisk Permitted to use o modyfikacja bazy danych kont uŝytkowników Administrator uŝytkowników dla domen (User Manager For Domains) User Properties przycisk Profile User Environment Profile (profil środowiska uŝytkownika) User Profile Path (ścieŝka dostępu do profilu) - \\nazwa_serwera\nazwa_katalogu\nazwa_uŝytkownika Nadawanie / usuwanie praw grupy Policies User Rights o Access this computer from network (dostęp do komputera przez sieć) o Add workstations to domain (dodawanie stacji do domeny) * o Back up files and directories (tworzenie kopi zapasowych) o Change the system time (zmiana czasu systemowego) o Force shutdown from a remote system (zdalne zamykanie s.) o Load and unload device drivers (instalacja / deinstalacja sterowników urządzeń) o Log on locally (lokalne logowanie) o Manage auditing and security log (definiowanie zdarzeń związanych z obiektem, które mają być kontrolowane) o Restore files and directories (odtwarzanie plików i katalog.) o Shut down the system (zamykanie systemu) o Take ownership of files or other objects (przejmowanie własności plików i innych obiektów) o Bypass traverse checking (advanced right) (przeglądanie katalogów pomimo braku praw do nich) o Log on as a service (advanced right) (uruchomienie procesu jako usługi) Domeny Do autoryzacji logowania w modelu domenowym wykorzystywana jest tylko jedna baza danych o zabezpieczeniach. Podczas operacji dodawania komputera do domeny w administratorze ochrony kont (Security Account Manager) tworzone jest konto uŝytkownika. Narzędziem do administrowania systemami i dodawania/usuwania ich z domeny jest Start Programs Administrative Tools (Common) Server Manager

11 PDC (Primary Domain Controller - Podstawowy kontroler domeny): PDC przechowuje bazę danych SAM (Security Account Manager) zawierająca informacje o zabezpieczeniach kont naleŝących do danej domeny. W systemie powinien znajdować się tylko jeden PDC. Jego zadaniem (szczególnie jeśli jest jedynym serwerem w systemie) jest autoryzacja logowań do domeny. BDC (Backup Domain Controller Zapasowy kontroler domeny) BDC przechowuje kopię (tylko do odczytu) bazy danych o zabezpieczeniach kont naleŝących do danej domeny (SAM). W systemie moŝe być wiele BDC i aby odciąŝyć PDC mogą one autoryzować logowania do domeny. Standardowo synchronizacja baz danych BDC z PDC odbywa się co 15 minut (opcjonalnie moŝna wymusić natychmiastową synchronizację baz danych o ochronie kont na PDC i BDC). Fizyczna alokacja BDC w domenie powinna zostać dobrana tak aby autoryzacja logowania do domeny odbywała się w sieci na tym samym poziomie. Podczas logowania mogą wystąpić istotne problemy jeśli istnieją zbyt wolne łącza (inf. topologie sieci) ***. Przeniesienie PDC lub BDC do innej domeny moŝliwe jest tylko po reinstalacji systemu. Aby awansować komputer do PDC musi on uprzednio pełnić rolę BDC. Podczas gdy BDC jest awansowane do PDC, PDC automatycznie degraduje się do BDC. Zwykłe serwery nie przechowują kopii bazy danych SAM więc nie mogą autoryzować logowania do domeny. Ich rola ogranicza się do funkcji określonej dla nich przez administratora (serwery plików, aplikacji, www,...) PDC SERWER BDC BDC... BDC Stacja robocza Stacja robocza... Stacja robocza Stacja robocza Sieci z kilkoma domenami W niektórych sieciach istnieje potrzeba instalacji kilku domen. Standardowo między tymi domenami nie istnieją Ŝadne związki, tzn. uŝytkownicy mają do dyspozycji tylko jedną własną domenę. W firmach, gdzie istnieje potrzeba korzystania z poziomu komputerów jednej domeny z zasobów innej domeny naleŝy ustanowić zaufanie pomiędzy dwiema domenami (domain trust). Pozwala to uŝytkownikom logowanie się z dowolnej domeny. Rodzaje zaufania: o jednokierunkowe: o domena A ufa domenie zaufanej B o uŝytkownicy domeny A mogą logować się do domeny B (domena B znajdzie się na liście domain okna logowania) o uŝytkownicy domeny B nie mogą logować się do domeny A (domena A nie znajdzie się na liście domain okna logowania) o dwukierunkowe: o uŝytkownicy obu domen mogą się logować do obu domen (obie domeny znajdą się na liście domain okien logowania) DOMENA A DOMENA B Stacja robocza 1 Stacja robocza 2 UNC (Universal Naming Convention Uniwarsalna konwencja nazywania) Zasoby NT są dostępne pośrednio przez przeglądanie odpowiednich zasobów, albo bezpośrednio przez UNC. UNC danego zasobu jest wyświetlane w oknie Właściwości udostępniania (Share Properties) pod postacią: \\nazwa_serwera\udostępniony_zasób\podfolder. UNC jest przydatne do tworzenia skryptów logowania przy specyfikacji właściwych połączeń dla poszczególnych uŝytkowników. Aby korzystać z UNC naleŝy uruchomić usługi Server i Workstation na komputerze na którym z zasobami i tam gdzie komputer tworzy połączenie. Usługa Przeglądarka (BROWSER) Wykorzystywana do lokalizacji zasobów sieciowych. Tworzy listę przeglądania zasobów zbudowaną z komputerów i regularnie przesyłanych komunikatów ogłoszeniowych domen. PDC ma najwyŝszy priorytet pełni zatem funkcję głównej przeglądarki, która tworzy i zarządza listą przeglądania zasobów. Przeglądarki zapasowe (BACKUP BROWSERS) (wszystkie serwery NT *) przechowują kopie listy przeglądania zasobów otrzymywane z przeglądarki głównej. Domena w sieci uznana jest za niedostępną po nieudanych ogłoszeniach w 3 okresach rozgłoszeniowych (co 15 min.) 3*15 min = 45 min. Wyłączona stacja robocza usuwana jest z listy po 36 min. Dla grup roboczych z NT Workstation jedna stacja staje się główną przeglądarką a przeglądarką zapasową druga i pozostałe 32 stacje robocze, przeglądarka zapasowa zastępuje przeglądarkę główną, gdy ta nie działa wymuszając wybór nowej przeglądarki głównej, aktualizacja listy co 15 min.

12 Usługa Replikator (REPLICATOR) Wykorzystywana do powielania plików i katalogów pomiędzy obydwoma systemami Windows NT Workstation i Windows NT Server. Logowanie moŝe być autoryzowane przez PDC i BDC zatem usługa Replicator jest przydatna do utrzymania: o skryptów logowania, domyślny katalog \winnt\system32\repl\import\scripts\ udostępniany jako \\nazwa_serwera\netlogon\ o profili - dostępnych na wszystkich systemach autoryzujących. Replikacja moŝe odbywać się okresowo lub natychmiast po zamknięciu i osadzeniu pliku. NT Server moŝe importować i eksportować pliki, NT Workstation moŝe jedynie importować pliki. Systemy plików Windows 2000 NTFS (New Technology File System) FAT (File Allocation Table) o FAT12-12-bitowy wpis w FAT, woluminy FAT mniejsze od 16 MB głównie dyskietki i bardzo małe woluminy o FAT16-16-bitowy wpis w FAT o FAT32-32-bitowy wpis w FAT, Windows 2000 rezerwuje pierwsze cztery bity, nie obsługiwany w NT umoŝliwia formatowanie większych partycji FAT niŝ w FAT16 i efektywniejsze przechowywanie plików w duŝych woluminach CDFS (Compact Disc File System) - zgodny ze standardem ISO 9660 system plików dla dysków kompaktowych, umoŝliwiający korzystanie z długich nazw plików zgodnie ze standardami ISO 9660 Level 2. Przygotowując dysk CD-ROM, który ma być uŝywany w systemie Windows 2000, konieczne jest zachowanie następujących ograniczeń: o wszystkie nazwy folderów i plików muszą mieć długość 32 znaków. o wszystkie nazwy folderów i plików muszą być zapisane wielkimi literami. o drzewo folderów nie moŝe mieć więcej niŝ osiem poziomów, licząc od korzenia. o rozszerzenia nazw plików nie są obowiązkowe. UDF (Universal Disk Format) - zgodny ze standardem ISO system plików, zdefiniowany przez organizację OSTA (Optical Storage Technology Association), stanowi następcę systemu plików CDFS. UDF jest przeznaczony dla nośników wymiennych takich jak dyski DVD, CD oraz magnetooptyczne (MO). PoniewaŜ UDF został oparty na otwartych standardach, to w załoŝeniu umoŝliwia wymianę danych pomiędzy róŝnymi systemami operacyjnymi i urządzeniami domowymi. Standard UDF udostępnia wiele zaawansowanych funkcji: długie nazwy plików, równieŝ w standardzie Unicode, obsługa plików rozrzedzonych, obsługa róŝnorodnych typów nośników, włączając dyski DVD (Digital Video Disc), WORM (Write Once, Read Many) oraz CD-R (Compact Disc-Recordable). Zalecenia MS dla systemów plików uŝywanych pod Windows 2000: FAT16 Windows 2000, MS-DOS, Windows 3.x, Windows 95, FAT32 Windows 2000, Windows 95 OSR2 lub Windows 98 i uŝywane są bardzo duŝe woluminy NTFS dedykowany tylko dla Windows 2000 zapewnienie bezpieczeństwa danych znajdujących się na dysku oraz wydajności i efektywności Nowe cechy systemu NTFS: Szyfrowanie systemu plików EFS (Encrypting File System) technologia umoŝliwiająca przechowywanie zaszyfrowanych plików w woluminach NTFS. EFS korzysta z szyfrowania za pomocą klucza symetrycznego w połączeniu z technologią kluczy publicznych. Pozwala to zabezpieczyć pliki i zagwarantować, Ŝe jedynie ich właściciel będzie miał do nich dostęp. UŜytkownicy EFS otrzymują certyfikat cyfrowy oraz parę klucza publicznego i prywatnego. EFS korzysta z zestawu kluczy uŝytkownika zalogowanego w lokalnym komputerze, w którym przechowywany jest klucz prywatny. UŜytkownicy pracują z zaszyfrowanymi plikami i folderami tak samo, jak z innymi plikami. Szyfrowanie jest dla nich przezroczyste, system automatycznie odszyfrowuje plik lub folder. Podczas zapisania pliku wykonywany jest proces jego szyfrowania. Intruzi usiłujący uzyskać dostęp do zaszyfrowanego pliku lub folderu otrzymują komunikat Odmowa dostępu. Aby zaszyfrować lub odszyfrować folder lub plik, naleŝy ustawić dla niego atrybut Zaszyfrowany. Przydziały dysków - przydzielanie przestrzeni dyskowej w woluminach NTFS, umoŝliwia monitorowanie i ograniczanie przestrzeni dyskowej wykorzystywanej przez uŝytkowników. Przydziały dysku są określane osobno dla kaŝdego uŝytkownika i woluminu. Pod uwagę brany jest rozmiar jedynie tych plików, których właścicielem jest dany uŝytkownik. Przydziały są śledzone osobno w kaŝdym woluminie, nawet jeŝeli woluminy stanowią oddzielne partycje tego samego fizycznego dysku twardego. JeŜeli jednak w jednym woluminie utworzono wiele udziałów, to przydziały dysku są stosowane dla nich jednocześnie. Wykorzystanie przez uŝytkownika miejsca we wszystkich tych udziałach nie moŝe przekroczyć przydzielonego mu limitu w danym woluminie. W oknie dialogowym Właściwości woluminu zakładka Przydział umoŝliwia administratorowi: o Włączanie i wyłączanie przydziałów dysku dla danego woluminu. o Blokowanie uŝytkownikom moŝliwości zachowywania nowych danych po przekroczeniu przydziału. o Określanie domyślnego poziomu ostrzegawczego oraz limitu przydziału, które będą przypisywane nowym uŝytkownikom woluminu. o Przeglądanie informacji o przydziałach dla kaŝdego z uŝytkowników, w oknie Wpisy przydziałów. Przydziały dysku są przezroczyste dla uŝytkownika. Gdy Ŝąda on informacji o wolnej przestrzeni na dysku, to system informuje go jedynie o dozwolonych limitach określonych w przydziale. JeŜeli uŝytkownik przekroczy dozwolony limit, to system poinformuje go o tym, Ŝe dysk jest pełny.

13 Punkty specjalne obiekty systemu plików NTFS, które mogą zostać przypisane dowolnemu plikowi lub folderowi NTFS. Plik lub folder, zawierający punkt specjalny, zyskuje dodatkowe moŝliwości, które nie wynikają z uŝywanego systemu plików. Punkty specjalne są uŝywane przez wiele nowych technologii magazynowania danych w systemie Windows 2000, łącznie z punktami instalacji woluminów. Punkty instalacji woluminów element działający w oparciu o punkty specjalne, umoŝliwiający administratorom przypisanie katalogu głównego jednego z woluminów lokalnych do struktury folderów w innym woluminie, punkt instalacji woluminu moŝe zostać umieszczony w dowolnym pustym folderze głównego woluminu NTFS, instalowane woluminy mogą być sformatowane przy uŝyciu dowolnego systemu plików Windows 2000, jeden wolumin moŝe zawierać wiele punktów instalacji (montowanie urządzenia pamięci masowej do punktu montowania) Pliki rozrzedzone - technologia umoŝliwiająca programom tworzenie bardzo duŝych plików, z których na dysk zapisywane są jedynie znaczące dane. Plik rozrzedzony posiada atrybut, który nakazuje podsystemowi I/O alokowanie miejsca na dysku jedynie dla znaczących (niezerowych) znajdujących się w nim danych. Dane znaczące są zapisywane na dysku, natomiast dane zerowe (długie ciągi zer) są pomijane. Podczas odczytu pliku rozrzedzonego pominięte dane są odtwarzane. NTFS obsługuje pliki rozrzedzone zarówno w przypadku plików skompresowanych, jak i nieskompresowanych. MoŜliwe jest odczytanie pliku rozrzedzonego bez odtwarzania całości danych (domyślnie wyłączone). Po skopiowaniu pliku rozrzedzonego do woluminu FAT jest on rozbudowywany do oryginalnego rozmiaru. Śledzenie łączy system NTFS umoŝliwia śledzenie łączy, dzięki któremu zachowywana jest integralność skrótów do plików oraz łączy OLE w złoŝonych dokumentach. Funkcja śledzenia łączy korzysta z unikalnego identyfikatora obiektu (ID) w celu lokalizowania plików źródłowych po ich przeniesieniu w obrębie lokalnego systemu lub domeny Windows Identyfikator obiektu jest przypisywany do pliku wtedy, gdy jest do niego tworzony skrót lub łącze OLE. NTFS potrafi zachowywać integralność odwołań do plików. Funkcja śledzenia łączy naprawia zerwane łącza w następujących sytuacjach: o Została zmieniona nazwa pliku źródłowego. o Plik źródłowy został przeniesiony w obrębie woluminu, pomiędzy dwoma woluminami w tym samym komputerze lub pomiędzy dwoma komputerami w tej samej domenie Windows o Wolumin zawierający plik źródłowy został zainstalowany w innym komputerze uŝywającym systemu Windows 2000 i znajdującym się w tej samej domenie Windows o Została zmieniona nazwa komputera zawierającego plik źródłowy i uŝywającego systemu Windows o Została zmieniona nazwa udziału sieciowego zawierającego plik źródłowy. Dziennik zmian udostępnia trwały rejestr zmian dokonywanych w plikach w woluminie. NTFS korzysta z dziennika zmian w celu śledzenia informacji o dodawanych, usuwanych i modyfikowanych plikach w kaŝdym woluminie. Gdy dowolny plik jest tworzony, modyfikowany lub usuwany, NTFS dodaje odpowiedni rekord do dziennika zmian w danym woluminie. KaŜdy rekord w dzienniku zmian zajmuje bajtów. Dziennik zmian posiada określony limit rozmiaru. Po jego osiągnięciu usuwana jest część najstarszych rekordów. NTFS obsługuje wielokrotne strumienie danych, w których nazwa strumienia identyfikuje nowy atrybut danych w pliku. KaŜdy strumień danych stanowi alternatywny zbiór atrybutów pliku. Strumienie posiadają oddzielne blokady, rozmiary alokacji oraz rozmiary plików, lecz mogą współdzielić jeden plik. Funkcja ta umoŝliwia zarządzanie danymi jako pojedynczą jednostką. Przy wykorzystaniu wielokrotnych strumieni danych plik moŝe być powiązany z więcej niŝ jedną aplikacją na raz, np. Microsoft Word oraz FrontPage. Domyślne rozmiary klastrów w woluminach systemów plików obsługiwanych przez Windows 2000 (Klastry = jednostki alokacji) Ogólne cechy systemów plików w Windows 2000: Rozmiar woluminu FAT16 FAT32 NTFS 1,025 MB 2 GB 32 KB 4 KB 2 KB 2 GB 4 GB 64 KB 4 KB 4 KB 4 GB 8 GB - 4 KB 4 KB 8 GB 16 GB - 8 KB 4 KB 16 GB 32 GB - 16 KB 4 KB 32 GB 2 TB KB Woluminy FAT16 > 2 GB nie są dostępne dla MS-DOS, Windows 95 / 98. Windows 2000 ogranicza rozmiar formatowanego woluminu FAT32 do 32 GB, moŝe jednak odczytywać i zapisywać woluminy FAT32 do 2TB sformatowane w innych SO. Implementacja FAT32 w Windows 2000 ogranicza maksymalną liczbę klastrów woluminu FAT32, który moŝe zostać zainstalowany, do Woluminy NTFS mogą teoretycznie osiągać rozmiar do 16 eksabajtów (EB), ale są ograniczone do 2 TB (terabajtów). UŜytkownik moŝe określić rozmiar klastra podczas formatowania woluminu NTFS. Kompresja NTFS nie jest jednak obsługiwana w przypadku klastrów większych niŝ 4 kilobajty (KB). Cechy FAT16 Wspólny dla wielu systemów operacyjnych: MS-DOS, Windows XXX, OS/2, Linux i innych systemów typu UNIX. Istnieje wiele narzędzi programowych do rozwiązywania problemów i odzyskiwania danych w woluminach FAT16 w razie awarii SO moŝna zabootować komputer przy uŝyciu dyskietki z DOS efektywny system pod względem prędkości przetwarzania danych w woluminach < 256 MB.

14 katalog główny woluminu moŝe zawierać maksymalnie 512 wpisów, a wykorzystanie długich nazw plików (LFN) moŝe znacznie ograniczyć ich ilość. ograniczenie do (65.524*) klastrów. Największy wolumin FAT16 w Windows 2000 moŝe mieć rozmiar 4 GB i korzysta z klastrów o rozmiarze 64 KB. Dla zachowania zgodności z MS-DOS, Windows 95 / 98 nie powinno się tworzyć woluminów większych niŝ 2 GB. FAT16 jest nieefektywny w przypadku duŝych woluminów, poniewaŝ rozmiar klastra szybko się zwiększa. Miejsce na dysku alokowane dla kaŝdego pliku zaleŝy od ziarnistości klastrów, a nie od rozmiaru pliku sektor rozruchowy nie jest zabezpieczany za pomocą kopii bezpieczeństwa brak wbudowanego schematu zabezpieczeń lub kompresji. Cechy FAT32 katalog główny woluminu FAT32 jest zwykłym łańcuchem klastrów i moŝe być umieszczony w dowolnym miejscu woluminu brak ograniczenia ilości wpisów FAT32 korzysta z mniejszych klastrów (4 KB dla wol. 8 GB), jest wydajniejszy niŝ FAT16 FAT32 moŝe automatycznie skorzystać z zapasowej kopii FAT (w FAT16 Chkdsk moŝe odtworzyć kopię zapasową) sektor rozruchowy jest automatycznie zabezpieczany w określonej lokalizacji woluminu największy wolumin FAT32 w Windows 2000 wynosi 32 GB (Win98-127,54 GB) woluminy FAT32 są bezpośrednio dostępne tylko z Windows 95 OSR2 / 98 / Me w razie awarii SO nie moŝna uruchomić komputera z dyskietki DOS lub Win 95 brak wbudowanego schematu zabezpieczeń lub kompresji. Cechy NTFS odzyskiwanie systemu plików. NTFS gwarantuje spójność woluminu uŝywając technik rejestrowania transakcji i odzyskiwania danych. W przypadku awarii systemu NTFS korzysta ze swojego rejestru w celu automatycznego przywrócenia spójności systemu plików. kompresja woluminów, folderów i plików, pliki są kompresowane / rozpakowywane w locie przez System brak ograniczeń ilości wpisów w katalogu głównym. maksymalny rozmiar formatowanego woluminu NTFS wynosi 2 TB efektywniejsze zarządzanie przestrzenią dyskową niŝ w systemie FAT (klastry o rozmiarze 4 KB dla woluminów o rozmiarze do 2 terabajtów). kopiowanie sektora rozruchowego do sektora na końcu woluminu. minimalizacja ilości dostępów do dysku, wymaganych do odnalezienia pliku przydzielanie uprawnień do udziałów, folderów i plików, określenie praw grup i uŝytkowników lokalnych i sieciowych. MoŜna takŝe określić uprawnienia udziałów, stosowane podczas pracy w sieci w kombinacji z uprawnieniami plików i folderów. system szyfrowania EFS korzystający z kluczy symetrycznych w połączeniu z technologią kluczy publicznych umoŝliwia zabezpieczenie zawartości plików przed niepowołanym dostępem. punkty specjalne, umoŝliwiające stosowanie nowych technologii, takich jak punkty instalacji woluminów. przydziały dyskowe uŝywane do ograniczania ilości przestrzeni dyskowej wykorzystywanej przez uŝytkowników dziennik zmian umoŝliwiający śledzenie zmian dokonywanych w systemie plików śledzenie łączy, zapewniające integralność skrótów oraz łączy OLE. obsługa plików rozrzedzonych, dzięki której bardzo duŝe pliki mogą być zapisywane przy wykorzystaniu jedynie niewielkiej przestrzeni dyskowej. woluminy NTFS nie są dostępne z poziomu systemów MS-DOS, Windows 95 / 98 / Me, zaawansowane funkcje NTFS z Windows 2000 nie są dostępne w Windows NT dla bardzo małych woluminów, zawierających w większości małe pliki, zarządzanie NTFS moŝe spowodować niewielki spadek wydajności w porównaniu do FAT Uprawnienia plików i folderów NTFS z Windows 2000 umoŝliwia stosowanie uprawnień dziedziczonych. W oknie dialogowym Właściwości, na zakładce Zabezpieczenia, moŝna ustawić opcję Zezwalaj na propagowanie uprawnień dziedziczonych obiektu nadrzędnego do tego obiektu (domyślnie włączone). Funkcja ta zmniejsza ilość czasu i operacji wejścia/wyjścia koniecznych do zmiany uprawnień wielu plików i podkatalogów. Na przykład, jeŝeli uŝytkownik chce zmienić uprawnienia całego drzewa katalogów zawierającego kilka tysięcy plików, to wystarczy, aby ustawił odpowiednie uprawnienia dla folderu nadrzędnego. Zgodność z POSIX NTFS jest zgodny z interfejsem POSIX (Portable Operating System Interface for UNIX), umoŝliwiającym przenoszenie programów systemu UNIX do systemu Windows System Windows 2000 jest w pełni zgodny ze standardem IEEE , który dotyczy nazewnictwa i identyfikacji plików. W systemie NTFS zostały wprowadzone następujące funkcje zgodne z POSIX: o Nazwy plików wraŝliwe na wielkość liter o Dowiązania stałe. Plik moŝe posiadać więcej niŝ jedną nazwę. UmoŜliwia to istnienie dwóch nazw pliku, z których kaŝda moŝe być umieszczona w innym folderze, wskazujących na te same dane. o Dodatkowe znaczniki czasu. SłuŜą one do zaznaczenia ostatniego dostępu i modyfikacji pliku.

15 Zgodność NTFS Gdy uŝywa się funkcji umoŝliwiającej uruchamianie na jednym komputerze zarówno systemu Windows NT, jak i Windows 2000, to zdolność do korzystania z woluminów NTFS zaleŝy od uŝywanej wersji systemu Windows NT. Wersja ta nie wpływa jednak na działanie zdalnych klientów, korzystających z woluminów NTFS w serwerach plików i wydruków. Gdy korzysta się z systemu Windows NT 4.0 z dodatkiem Service Pack 4 lub nowszym, to moŝliwe jest odczytywanie woluminów podstawowych sformatowanych przy uŝyciu nowej wersji NTFS. Gdy wolumin Windows 2000 jest zainstalowany na komputerze uŝywającym systemu Windows NT 4.0 z dodatkiem Service Pack 4 lub nowszym, to większość nowych funkcji NTFS nie jest dostępna. Większość operacji odczytu i zapisu, nie korzystających z tych funkcji, jest dozwolona. Do funkcji, na które wpływa taka konfiguracja, zaliczają się: Punkty specjalne. System Windows NT nie moŝe przeprowadzać Ŝadnych operacji, które korzystają z punktów specjalnych. Przydziały dysku. Gdy korzysta się z systemu Windows NT w komputerze, na którym jest zainstalowany takŝe system Windows 2000, to przydziały zaimplementowane przez Windows 2000 są ignorowane. UmoŜliwia to uŝytkownikowi wykorzystanie większej ilości miejsca na dysku, niŝ pozwala mu jego przydział. Szyfrowanie. Windows NT nie moŝe wykonywać Ŝadnych operacji na plikach zaszyfrowanych w systemie Windows Pliki rozrzedzone. System Windows NT nie moŝe wykonywać operacji na tych plikach Dziennik zmian. System Windows NT ignoruje dziennik zmian i nie rejestruje w nim Ŝadnych operacji. Kreator klienta usług terminalowych Korzystając z kreatora klienta usług terminalowych moŝna utworzyć dyski słuŝące do instalowania klienta usług terminalowych: Tworzenie dysków zawierających 16-bitową wersję oprogramowania klienta przeznaczonego dla systemu Windows for Workgroups: na serwerze terminali uruchomić: Start Programy Narzędzia administracyjne Kreator klienta usług terminalowych pojawi się okno dialogowe Tworzenie dysków instalacyjnych w obszarze Klient sieci lub usługa sieciowa kliknij opcję Usługi terminalowe dla 16-bitowych systemów Windows w obszarze Dysk docelowy wybierz literę dysku z listy umieść dyskietkę w odpowiedniej stacji (4 dyskietki) Tworzenie dysków zawierających 32-bitową wersję oprogramowania klienta: na serwerze terminali uruchomić: Start Programy Narzędzia administracyjne Kreator klienta usług terminalowych pojawi się okno dialogowe Tworzenie dysków instalacyjnych w obszarze Klient sieci lub usługa sieciowa kliknij opcję Usługi terminalowe dla 32-bitowych systemów Windows (x86) w obszarze Dysk docelowy wybierz literę dysku z listy umieść dyskietkę w odpowiedniej stacji (2 dyskietki) 32-bitowy klient usług terminalowych Korzystając z 32-bitowego klienta usług terminalowych moŝna uzyskać dostęp do serwera, na którym uruchomione są usługi terminalowe i wykonać jedną z następujących czynności: łączenie z usługami terminalowymi sprawdzanie liczby klientów usług terminalowych korzystanie z klawiszy skrótów wycinanie informacji z okna klienta usług terminalowych i wklejanie ich do aplikacji uruchomionej na komputerze lokalnym drukowanie na drukarce lokalnej z aplikacji uruchomionych na serwerze terminali wycinanie informacji z okna klienta usług terminalowych i wklejanie ich do aplikacji uruchomionej na komputerze lokalnym drukowanie na drukarce lokalnej z aplikacji uruchomionych na serwerze terminali rozłączanie bez zakończenia sesji (tymczasowy stan konsoli jest zachowywany w katalogu z tymczasowymi plikami sesji) rozłączanie i zakończenie sesji (stan konsoli jest zerowany) Uwaga: Po nawiązaniu połączenia z usługami terminalowymi dostępna jest dodatkowa Pomoc na serwerze: Start Pomoc W spisie treści Usługi klientów Usługi terminalowe

16 Internet Information System (IIS) 5.0 Podstawowe informacje o standardowej konfiguracji IIS: instalacja IIS: Start Ustawienia Panel sterowania Dodaj / Usuń programy Dodaj / Usuń składniki Windows Internetowe Usługi Informacyjne (IIS) na jednym komputerze z Windows 2000 Professional moŝna zamieścić jedną witrynę sieci Web i jedną witrynę FTP (Microsoft Windows 2000 Server nie ma tych ograniczeń) zarządzanie usługami internetowymi: o uproszczone narzędzie administracyjne umoŝliwiające konfigurację IIS: Start Programy Narzędzia administracyjne Personal Web Manager (interfejs uŝytkownika zbliŝony do Personal Web Server) o przystawka programu IIS (konsola zarządzania zawierająca przystawki): Start Programy Narzędzia administracyjne Zarządzanie komputerem Internetowe usługi informacyjne: Domyślna witryna FTP Domyślna witryna sieci Web Domyślny serwer wirtualny SMTP o wiersz poleceń uruchamianie / zatrzymywanie usług internetowych (Inetinfo.exe): o przycisk Zatrzymaj / Uruchom (Personal Web Manager) o polecenia Zatrzymaj / Wstrzymaj / Rozpocznij (przystawka programu IIS) o wiersz poleceń: iisrestart [nazwa_komputera] / stop start restart status

17 podgląd usług realizujących zadania IIS: Start Programy Narzędzia administracyjne Usługi o Usługa administracyjna IIS (administrowanie usługami WWW i FTP poprzez przystawkę IIS) o Usługa publikacji w sieci World Wide Web (usługi WWW i administrowanie poprzez przystawkę IIS) [Port TCP 80] o Usługa publikowania FTP (usługi FTP i administrowanie poprzez przystawkę IIS) [Port TCP 21] o Protokół SMTP (przenoszenie wiadomości pocztowych przez sieć) [Port TCP 25] adres strony głównej serwera WWW: (Identyfikacja sieciowa) lub nazwa komputera (właściwości DNS) (serwery DNS zamieniają nazwę IP komputera na nazwę domenową) adres serwera FTP: ftp://nazwa_komputera (Identyfikacja sieciowa) lub nazwa komputera (właściwości DNS) ftp://ip_komputera (serwery DNS zamieniają nazwę IP komputera na nazwę domenową) katalogi macierzyste serwerów: o WWW: Napęd:\Inetpub\wwwroot o FTP: Napęd:\Inetpub\ftproot o SMTP: Napęd:\Inetpub\mailroot\Drop (katalog poczty odebranej) monitorowanie (Personal Web Manager): aktywne połączenia, czas pracy, goście, Ŝądania, pobrane bajty, najbardziej zbieŝne połączenia statystyka: Ŝądania /dzień lub godzinę, goście / dzień lub godzinę pliki z rejestracją odwołań do serwerów: %WinDir%\System32\LogFiles Przypisywanie adresu IP Adresy IP moŝna przypisywać na dwa sposoby: statycznie lub dynamicznie. W danej sieci moŝna uŝywać jednego z nich lub kombinacji obu: Statyczne: o administrator systemu przypisuje i śledzi adresy IP dla kaŝdego komputera w sieci intranet o przypisywanie statyczne działa najlepiej dla małych, rzadko zmieniających się sieci Dynamiczne: o serwer DHCP (Dynamic Host Configuration Protocol) czasowo wydzierŝawia adres klientowi, gdy klient loguje się w sieci o gdy klient loguje się, serwer DHCP przypisuje adres IP z puli aktualnie dostępnych adresów o gdy okres ten dobiega końca, komputer klienta negocjuje z serwerem odnowienie dzierŝawy, jeśli to konieczne o gdy klient wylogowuje się, adres jest zwalniany i moŝe zostać przypisany nowemu klientowi o serwer DHCP zwalnia administratora systemu z obowiązku śledzenia przypisań adresów IP i jest szczególnie uŝyteczny w wielkich lub często zmieniających się sieciach o protokół DHCP zezwala, aby tylko jeden adres IP był przypisany kaŝdemu komputerowi w sieci. o jeśli jednej karcie sieciowej ma być przypisanych kilka adresów IP, to dla komputera z tą kartą trzeba uŝywać statycznego przypisywania adresów: Połączenie localne Właściwości Protokół internetowy (TCP/IP) Zaawansowane Dodaj... Adres IP i Maska podsieci

18 Usługa Active Directory Windows 2000 Active Directory jest usługą katalogową: nie jest dostępna bezpośrednio po zainstalowaniu systemu i wymaga dodatkowej instalacji i konfiguracji przechowuje informacje dotyczące obiektów w sieci uŝywa strukturalnego przechowywania danych jako podstawy dla logicznej i hierarchicznej organizacji informacji katalogowych zawiera w pełni zintegrowane zabezpieczenia przez uwierzytelnianie logowania i kontrolę dostępu do kaŝdego obiektu w katalogu i kaŝdej właściwości obiektu ułatwia i przyspiesza dostęp do informacji: o administratorzy przez logowanie do pojedynczej sieci mogą zarządzać danymi katalogowymi i organizacją sieci o autoryzowani uŝytkownicy sieci mają dostęp do określonych dla nich zasobów znajdujących się w dowolnym miejscu sieci Active Server Pages (ASP) Active Server Pages (ASP) jest środowiskiem skryptów po stronie serwera, które moŝna wykorzystywać do tworzenia interakcyjnych stron sieci Web i budować aplikacje Web. Kiedy serwer odbiera Ŝądanie pliku ASP, przetwarza zawarte w pliku skrypty po stronie serwera, aby zbudować stronę Web, która jest wysyłana do przeglądarki. Oprócz skryptów po stronie serwera pliki ASP mogą zawierać tekst HTML (wraz z powiązanymi skryptami po stronie klienta), a takŝe wywołania składników COM, aby wykonywać rozmaite zadania, takie jak tworzenie połączeń z bazą danych lub przetwarzanie logiki biznesowej. Active Server Pages: MoŜna tworzyć dynamiczną zawartość, uŝywając po stronie serwera skryptów i składników do tworzenia niezaleŝnej od przeglądarki, dynamicznej zawartości. Środowisko Active Server Pages (ASP) stanowi alternatywę dla CGI i ISAPI dzięki temu, Ŝe pozwalają projektantom zawartości witryn na osadzanie na stronach HTML dowolnych języków skryptów lub składników serwera. Strony ASP dają dostęp do wszystkich strumieni Ŝądań i odpowiedzi HTTP, jak równieŝ do bazujących na standardach połączeniach z bazami danych. Dają takŝe moŝliwość dostosowania zawartości dla róŝnych przeglądarek. Rozpoznawanie nazw Aby uŝytkownicy mogli uzyskać dostęp do witryny w sieci Internet, musi istnieć unikatowy adres IP identyfikujący komputer w sieci. Adres taki przyjmuje formę długiego ciągu cyfr, oddzielonych od siebie kropkami (na przykład ). PoniewaŜ trudno jest zapamiętać adres numeryczny, uŝywa się nazw tekstowych. Rozpoznawanie nazw polega na dostarczaniu poprawnych adresów numerycznych dla odpowiednich nazw tekstowych (domenowych), które zostały wpisane do przeglądarki klienta. Systemy rozpoznawania nazw Sieciowe składniki systemu Windows opierają się na konwencji nazw NetBIOS. Składniki TCP/IP opierają się na konwencji nazw Domain Name System (DNS). W systemie Windows NT nazwa hosta DNS jest domyślnie taka sama, jak nazwa NetBIOS komputera. Mapowanie nazw komputerów do adresów IP moŝe odbywać się na dwa sposoby: Statyczne: o administrator systemu tworzy plik tekstowy o nazwie HOSTS (dla nazw DNS) lub LMHOSTS (dla nazw NetBIOS) i wprowadza nazwę oraz adres IP kaŝdego komputera o następnie plik ten jest rozpowszechniany w sieci o gdy pojawia się Ŝądanie połączenia z innym komputerem, plik ten jest uŝywany do skojarzenia nazwy z poprawnym adresem IP o system ten działa dobrze dla prostych, rzadko zmieniających się sieci. Dynamiczne: o Gdy komputer klienta loguje się, serwer DHCP (Dynamic Host Configuration Protocol) przypisuje adres i wysyła przypisanie adresu IP do serwera WINS (Windows Internet Name Service) o Serwer WINS rejestruje nazwę komputera i gdy zgłaszane jest Ŝądane nazwy NetBIOS komputera, serwer WINS zamienia tą nazwę na poprawny adres IP o takie automatyczne rozpoznawanie oraz mapowanie nazw i adresów komputerów ułatwia pracę administratorów duŝych lub często zmieniających się sieci.

19 Nazwy DNS są standardowo rozpoznawane przy uŝyciu informacji statycznych. serwer DNS zawiera część statycznej bazy danych nazw i adresów hostów jeśli Ŝądanej nazwy nie ma w części bazy danych znajdującej się na serwerze DNS, wysyła on kwerendę do innych serwerów DNS, aby uzyskać Ŝądane informacje serwer DNS z uruchomionym systemem Windows NT moŝe być skonfigurowany na wysyłanie kwerend do serwera WINS, w celu rozpoznania nazw z niŝszych poziomów hierarchicznej struktury nazw DNS poniewaŝ serwer WINS przypisuje nazwy komputerów dynamicznie, powoduje to zmianę systemu DNS ze statycznego na dynamiczny jeśli na jednym serwerze instaluje się wiele witryn sieci Web lub FTP, z których kaŝda ma własny adres IP, to przy automatycznej rejestracji DNS moŝna napotkać na problemy, aby zapewnić poprawne powiązanie IP i rejestrację DNS, naleŝy wyłączyć w systemie Windows 2000 Server automatyczną rejestrację DNS i ręcznie konfigurować DNS dla witryn. Drzewa domen (hierarchiczna struktura domen) Windows 2000 Pierwsza domena w drzewie domen jest domeną katalogu głównego. Dodatkowe domeny w tym samym drzewie domen są domenami podrzędnymi. Domena znajdująca się bezpośrednio nad inną w tym samym drzewie domen nazywana jest domeną nadrzędną w stosunku do domeny podrzędnej. Wszystkie domeny o wspólnej domenie katalogu głównego tworzą ciągły obszar nazw. Nazwa domeny podrzędnej jest nazwą tej domeny podrzędnej dodaną do nazwy domeny nadrzędnej. firma.com polska.firma.com bydgoszcz.polska.firma.com domena katalogu głównego domena nadrzędna w stosunku do polska.firma.com domena podrzędna w stosunku do firma.com domena nadrzędna w stosunku do bydgoszcz.polska.firma.com domena podrzędna w stosunku do polska.firma.com Domeny w drzewie są połączone dwustronnymi, przechodnimi relacjami zaufania. Nowo utworzona domena w drzewie domen natychmiast ma ustanowiony związek zaufania z kaŝdą domeną w drzewie lub lesie domen. Relacje zaufania pozwalają w pojedynczym procesie logowania uwierzytelnić uŝytkownika we wszystkich domenach w drzewie lub lesie domen. Uwierzytelniony uŝytkownik ma tylko określone prawa i uprawnienia we wszystkich domenach w drzewie domeny, poniewaŝ domena jest granicą zabezpieczeń, a prawa i uprawnienia muszą być nadawane osobno dla kaŝdej domeny. Las (wiele domen) Windows 2000 Las składa się z wielu drzew domen. Drzewa domen w lesie nie tworzą ciągłego obszaru nazw. Na przykład dwa drzewa domen, firma1.com oraz firma2.com mogą mieć domenę podrzędną o nazwie polska, jednak nazwy DNS dla tych domen podrzędnych będą brzmiały odpowiednio polska.firma1.com i polska.firma2.com. Nie istnieje współdzielony obszar nazw. Las nie ma domeny katalogu głównego. Domeną katalogu głównego lasu jest pierwsza domena utworzona w lesie. Domeny katalogów głównych wszystkich drzew domen w lesie ustanawiają przechodnią relację zaufania z domeną katalogu głównego lasu. firma2.com firma1.com firma3.com polska.firma2.com polska.firma1.com polska.firma3.com bydgoszcz.polska.firma2.com bydgoszcz.polska.firma1.com bydgoszcz.polska.firma3.com Na rysunku firma1.com jest domeną katalogu głównego lasu. Domeny katalogów głównych innych drzew domen, firma2.com oraz firma3.com, są w przechodniej relacji zaufania z domeną firma1.com. Jest to konieczne w celu ustanowienia zaufania we wszystkich drzewach domen w lesie. Wszystkie domeny we wszystkich drzewach domen w mają następujące cechy wspólne: Przechodnie relacje zaufania między domenami Przechodnie relacje zaufania między drzewami domen Wspólny schemat Wspólne informacje dotyczące konfiguracji Wspólny wykaz globalny UŜywanie drzew i lasów domen zapewnia elastyczność dla ciągłych i nieciągłych konwencji nazewniczych. MoŜe to być przydatne na przykład w firmach z niezaleŝnymi oddziałami, z których kaŝdy musi utrzymywać własne nazwy DNS.

20 Udostępnianie połączenia internetowego w Windows 2000 Usługa umoŝliwiająca połączenie komputerów znajdujących się w sieci LAN z Internetem, uŝywając tylko jednego połączenia. Przykład: gdy w sieci LAN jest jeden komputer, który łączy się z Internetem przy uŝyciu połączenia telefonicznego, po włączeniu usługi Udostępnianie połączenia internetowego na tym komputerze (host usługi ICS), inne komputery w sieci łączą się z Internetem za pomocą tego właśnie połączenia telefonicznego. Podczas konfigurowania sieci LAN naleŝy włączyć usługę Udostępniania połączenia internetowego, która automatycznie zapewnia wszystkie ustawienia sieciowe potrzebne do udostępnienia jednego połączenia internetowego wszystkimi komputerom tej sieci LAN. Po włączeniu tej usługi, gdy pojawia się Ŝądanie dostępu do Internetu, host usługi ICS łączy się z usługodawcą internetowym i tworzy połączenie, dzięki czemu inne komputery mogą osiągnąć określony adres sieci Web, pobrać pocztę , itd. Z tej usługi naleŝy korzystać w sieci, w której host usługi steruje komunikacją między komputerami i Internetem. Najczęściej na komputerze hoście usługi ICS jest jedyne połączenie internetowe. Inne komputery w sieci mogą mieć własne modemy umoŝliwiające dostęp do Internetu, ale ich podstawowym połączeniem jest połączenie za pośrednictwem komputera hosta. Usługa Udostępnianie połączenia internetowego (ICS) musi być włączona dla połączenia publicznego w sieci LAN. Jeśli w komputerze zainstalowano więcej niŝ jedną kartę sieciową, naleŝy wybrać połączenie lokalne (prywatne), które komunikuje się z pozostałymi komputerami w LAN. Jeśli podczas włączania Udostępniania połączenia internetowego istnieją dwa lub więcej połączenia sieci lokalnej, naleŝy wykonać jedną z następujących czynności: Wybrać jedno połączenie do łączenia się z pozostałymi komputerami w sieci. Jeśli istnieją dwa lub więcej połączeń lokalnych i wszystkie łączą z pozostałymi komputerami w sieci, przed wybraniem połączenia dla sieci LAN naleŝy zainstalować mostek między połączeniami lokalnymi. Jeśli utworzy się mostek sieciowy obejmujący wszystkie połączenia lokalne z siecią, mostek jest wybierany automatycznie podczas włączania usługi Udostępnianie połączenia internetowego. Pojawia się równieŝ problem przy dynamicznym przydzielaniu IP do karty sieciowej umoŝliwiającej połączenie do prywatnej sieci LAN Uwaga Nie naleŝy korzystać z tej funkcji w sieci z innymi kontrolerami domeny systemu Windows 2000 Server, serwerami DNS, bramami, serwerami DHCP lub systemami ze statycznym adresem IP. Na komputerze z Udostępnianiem połączenia internetowego potrzebne są dwa połączenia sieciowe. Połączenie lokalne, utworzone automatycznie podczas instalowania karty sieciowej, łączy komputery w sieci LAN. Drugie połączenie, uŝywające modemu 56k, ISDN, DSL lub kablowego, łączy sieć LAN z Internetem. NaleŜy upewnić się, czy usługa Udostępnianie połączenia internetowego jest włączona dla połączenia, które jest podłączone do Internetu. Po włączeniu usługi Udostępnianie połączenia internetowego połączenie lokalne sieci LAN otrzyma nowy statyczny adres IP ( ) i nową konfigurację (maska: ). MoŜe to spowodować utratę połączeń TCP/IP ustanowionych między komputerem sieci LAN, a komputerem hostem Udostępniania połączenia internetowego, które trzeba ponownie ustanowić. Do wykonania niektórych zadań jest wymagane zalogowanie się jako administrator lub członek grupy Administratorzy Jeśli połączenie sieci VPN zostanie utworzone na komputerze hoście usługi Udostępniania połączenia internetowego i usługa ta zostanie włączona dla tego połączenia, to cały ruch z Internetu jest przekierowywany do sieci firmy i wszystkie komputery w sieci LAN mogą uzyskać dostęp do sieci firmy. Jeśli usługa Udostępnianie połączenia internetowego nie zostanie włączona dla połączenia sieci VPN, inne komputery nie mają dostępu do Internetu ani do sieci firmy, gdy połączenie sieci VPN jest aktywne na komputerze hoście usługi Udostępnianie połączenia internetowego. Korzystanie z usługi DHCP z usługą Udostępnianie połączenia internetowego Protokół sieciowy TCP/IP wymaga, aby kaŝdy komputer w sieci miał unikatowy numer adres IP. Jeśli w komputerze są dwie karty sieciowe, kaŝda z nich musi mieć inny adres IP. Podczas łączenia się z Internetem modem zainstalowany na danym komputerze będzie miał inny adres IP niŝ karta sieciowa podłączona do sieci LAN. Numery IP są hierarchiczne. Aby umoŝliwić segmentację duŝej sieci na mniejsze sieci, wraz z adresem IP uŝywa się maski podsieci. Pewne adresy IP i grupy adresów IP pełnią w tym przypadku szczególną rolę. SOHO (Small Office Home Office) x (0 x 255) jedna z grup adresów IP uŝywana przez usługę Udostępnianie połączenia internetowego (ICS). Numerów tych uŝywa się łącznie z maską podsieci (podsieć klasy C). Usługa Udostępnianie połączenia internetowego automatyzuje zadanie numerowania IP dla jej klientów w sieci przy uŝyciu usługi DHCP (Dynamic Host Configuration Protocol). Usługa DHCP umoŝliwia komputerowi hostowi usługi Udostępnianie połączenia internetowego automatyczne przypisywanie adresów IP klientom tej usługi. Domyślnie po zainstalowaniu usługi Udostępnianie połączenia internetowego usługa DHCP zaczyna dostarczać adresy komputerom w sieci. Podczas instalowania usługi ICS karcie sieciowej podłączonej do sieci LAN przypisywany jest stały adres IP Następnie do pamięci ładowana jest usługa DHCP, tak aby komputerom w sieci moŝna było przydzielać adresy IP. KaŜdy komputer kliencki musi zaŝądać adresu, dlatego nie moŝe on mieć przypisanego statycznego numeru IP. Komputer-host usługi ICS musi być stale włączony lub uruchamiany przed uruchomieniem innych komputerów w sieci. W przeciwnym wypadku komputery klienckie nie będą mogły uzyskać adresu IP.