Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Transkrypt

1 Steve Suehring Egzamin Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Przekład: Leszek Biolik APN Promise, Warszawa 2014

2 Egzamin : Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R APN PROMISE SA Authorized Polish translation of the English edition Exam Ref : Implementing an Advanced Server Infrastructure, ISBN: Copyright 2014 by Steve Suehring This translation is published and sold by permission of O Reilly Media, Inc., which owns or controls all rights to publish and sell the same. APN PROMISE SA, biuro: ul. Kryniczna 2, Warszawa tel , fax mspress@promise.pl Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana ani rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny), włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez pisemnej zgody wydawcy. Książka ta przedstawia poglądy i opinie autorów. Przykłady firm, produktów, osób i wydarzeń opisane w niniejszej książce są fikcyjne i nie odnoszą się do żadnych konkretnych firm, produktów, osób i wydarzeń, chyba że zostanie jednoznacznie stwierdzone, że jest inaczej. Ewentualne podobieństwo do jakiejkolwiek rzeczywistej firmy, organizacji, produktu, nazwy domeny, adresu poczty elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone. Nazwa Microsoft oraz znaki towarowe wymienione na stronie about/legal/en/us/intellectualproperty/trademarks/en-us.aspx są zastrzeżonymi znakami towarowymi grupy Microsoft. Wszystkie inne znaki towarowe są własnością ich odnośnych właścicieli. APN PROMISE SA dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji. APN PROMISE SA nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli APN PROMISE została powiadomiona o możliwości wystąpienia szkód. ISBN: Przekład: Leszek Biolik Redakcja: Marek Włodarz Korekta: Magdalena Swoboda Skład i łamanie: MAWart Marek Włodarz

3 Spis treści Wstęp ix 1 Zarządzanie i utrzymanie infrastruktury serwerów Zagadnienie 1.1: Projektowanie modelu administracyjnego Analiza projektowa modelu administracyjnego Delegowanie w programie System Center 2012 R Projekt portalu samoobsługowego przy użyciu programu Service Manager.. 24 Delegowanie praw dla chmury prywatnej Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 1.2: Projektowanie strategii monitorowania Włączanie usług ACS (Audit Collection Services) Działanie programu Global Service Monitor Implementowanie i optymalizowanie pakietów zarządzania programu Operations Manager Planowanie monitorowania usługi Active Directory Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 1.3: Planowanie i implementowanie zautomatyzowanych korekt 42 Tworzenie podstawy aktualizacji w programie VMM Implementowanie linii bazowych aktualizacji DCM (Desired Configuration Management) i automatycznych korekt Implementowanie integracji VMM z programem Operations Manager Konfigurowanie programu VMM w celu dynamicznego przenoszenia maszyny wirtualnej w oparciu o zasady Projektowanie i implementowanie rozwiązania DSC (Desired State Configuration) programu Windows PowerShell Podsumowanie zagadnienia Pytania kontrolne Odpowiedzi Zagadnienie 1.1: Eksperyment myślowy Zagadnienie 1.1: Pytania kontrolne Zagadnienie 1.2: Eksperyment myślowy Zagadnienie 1.2: Pytania kontrolne Zagadnienie 1.3: Eksperyment myślowy Zagadnienie 1.3: Pytania kontrolne iii

4 iv Spis treści 2 Planowanie i implementowanie infrastruktury o wysokim poziomie dostępności Zagadnienie 2.1: Planowanie i implementowanie klastra pracy awaryjnej Planowanie i implementowanie klastra pracy awaryjnej Analiza projektowa Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 2.2: Planowanie i implementowanie usług sieci o wysokim poziomie dostępności Planowanie i konfigurowanie mechanizmu NLB (Network Load Balancing) Uwagi projektowe Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 2.3: Planowanie i implementowanie magazynu o wysokim poziomie dostępności Planowanie i konfigurowanie funkcji obszarów magazynu i pul magazynu Projektowanie przestrzeni nazw DFS o wysokim poziomie dostępu i wielu replikach Planowanie i konfigurowanie funkcji MPIO (multi-path I/O) Konfigurowanie obiektów docelowych iscsi i serwerów isns o wysokim poziomie dostępności Planowanie i implementowanie magazynu za pomocą RDMA wielu kanałów SMB Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 2.4: Planowanie i implementowanie ról serwera o wysokim poziomie dostępności Planowanie usług o wysokim poziomie dostępności Planowanie i implementowanie wysokiego poziomu dostępności aplikacji, usług i skryptów Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 2.5: Planowanie i implementowanie ciągłości pracy i przywracania działania po awarii Planowanie strategii wykonywania kopii zapasowych i przywracania Tematyka analiz związanych z planowaniem Planowanie i implementowanie tworzenia kopii zapasowej i przywracania za pomocą narzędzia System Center Data Protection Manager (DPM) Podsumowanie zagadnienia Pytania kontrolne

5 Spis treści v Odpowiedzi Zagadnienie 2.1: Eksperyment myślowy Zagadnienie 2.1: Pytania kontrolne Zagadnienie 2.2: Eksperyment myślowy Zagadnienie 2.2: Pytania kontrolne Zagadnienie 2.3: Eksperyment myślowy Zagadnienie 2.3: Pytania kontrolne Zagadnienie 2.4: Eksperyment myślowy Zagadnienie 2.4: Pytania kontrolne Zagadnienie 2.5: Eksperyment myślowy Zagadnienie 2.5: Pytania kontrolne Planowanie i implementowanie infrastruktury wirtualizacji serwerów Zagadnienie 3.1: Planowanie i implementowanie wirtualizacji hostów Planowanie i implementacja delegowania środowiska wirtualnego Planowanie i implementowanie bibliotek wielu hostów Planowanie i implementowanie optymalizacji zasobów hosta Integracja z niezależnymi platformami wirtualizacji Wdrażanie hostów Hyper-V bez zainstalowanego systemu operacyjnego Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 3.2: Planowanie i implementowanie maszyn wirtualnych Planowanie i implementowanie maszyn wirtualnych o wysokim poziomie dostępu Planowanie i implementowanie optymalizacji zasobów systemu gościa Konfigurowanie reguł umieszczania Tworzenie szablonów programu Virtual Machine Manager Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 3.3: Planowanie i implementowanie wirtualizacji sieci Planowanie i konfigurowanie sieci logicznych programu VMM Planowanie i konfigurowanie ustawień adresów IP i MAC na wielu hostach Hyper-V Planowanie i konfigurowanie optymalizacji sieci Planowanie i implementowanie bramy serwera systemu Windows Server Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 3.4: Planowanie i implementowanie wirtualizacji magazynu Planowanie i konfigurowanie magazynu klastra hostów Hyper-V Planowanie i konfigurowanie magazynu systemu gościa Hyper-V Planowanie optymalizacji magazynu Podsumowanie zagadnienia Pytania kontrolne

6 vi Spis treści Zagadnienie 3.5: Planowanie i implementowanie przenoszenia maszyn wirtualnych Planowanie i konfigurowanie migracji na żywo i migracji magazynu pomiędzy hostami i chmurami Hyper-V Planowanie migracji P2V i V2V oraz zarządzanie nimi Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 3.6: Zarządzanie infrastrukturą i konserwacja infrastruktury wirtualizacji serwerów Zarządzanie optymalizacją dynamiczną i optymalizacją zasobów Integracja programu Operations Manager z VMM i Service Manager Aktualizowanie obrazów maszyn wirtualnych w bibliotekach Planowanie i implementowanie tworzenia kopii zapasowych i przywracania infrastruktury wirtualizacji za pomocą programu DPM (System Center Data Protection Manager) Podsumowanie zagadnienia Pytania kontrolne Odpowiedzi Zagadnienie 3.1: Eksperyment myślowy Zagadnienie 3.1: Pytania kontrolne Zagadnienie 3.2: Eksperyment myślowy Zagadnienie 3.2: Pytania kontrolne Zagadnienie 3.3: Eksperyment myślowy Zagadnienie 3.3: Pytania kontrolne Zagadnienie 3.4: Eksperyment myślowy Zagadnienie 3.4: Pytania kontrolne Zagadnienie 3.5: Eksperyment myślowy Zagadnienie 3.5: Pytania kontrolne Zagadnienie 3.6: Eksperyment myślowy Zagadnienie 3.6: Pytania kontrolne Projektowanie i implementowanie rozwiązań dotyczących tożsamości i dostępu Zagadnienie 4.1: Projektowanie infrastruktury usług Certificate Services Projektowanie wielowarstwowej hierarchii urzędów certyfikacji Planowanie wdrożenia urzędów CA w organizacjach o wielu lasach i relacjach zaufania Planowanie usług Certificate Enrollment Web Services Planowanie usług NDES (Network Device Enrollment Services) Planowanie walidacji odwoływania certyfikatów Planowanie przywracania po awarii Podsumowanie zagadnienia Pytania kontrolne

7 Spis treści vii Zagadnienie 4.2: Implementowanie infrastrukturą usług certyfikatów i zarządzanie tą infrastrukturą Konfigurowanie głównego urzędu CA trybu offline i zarządzanie tym urzędem Konfigurowanie usług Certificate Enrollment Web Services i Certificate Enrollment Policy Web Services oraz zarządzanie tymi usługami Konfigurowanie usług NDES (Network Device Enrollment Services) i zarządzanie tymi usługami Konfigurowanie obiektów odpowiadających protokołu OCSP (Online Certificate Status Protocol) Migracja urzędów CA Implementowanie separacji ról administratora Implementowanie i zarządzanie relacjami zaufania pomiędzy organizacjami 244 Monitorowanie kondycji urzędu CA Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 4.3: Implementowanie certyfikatów i zarządzanie nimi Zarządzanie szablonami certyfikatów Implementowanie wdrażania, walidacji, odnawiania i odwoływania certyfikatów oraz zarządzanie tymi procesami Zarządzanie odnawianiem certyfikatu Konfigurowanie archiwizacji i przywracania kluczy oraz zarządzanie tymi procesami Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 4.4: Projektowanie i implementowanie rozwiązania tożsamości federacyjnych Planowanie i implementowanie uwierzytelniania opartego na oświadczeniach Planowanie i konfigurowanie reguł zaufania dostawcy oświadczeń i jednostki zależnej Planowanie i konfigurowanie magazynów atrybutów Planowanie certyfikatów usług AD FS (Active Directory Federation Services) i zarządzanie nimi Planowanie i implementowanie usług integrowania tożsamości z usługami chmury Integrowanie serwera Web Application Proxy z usługami AD FS Podsumowanie zagadnienia Pytania kontrolne Zagadnienie 4.5: Projektowanie i implementowanie usług AD RMS (Active Directory Rights Management Services) Planowanie wdrożenia usług AD RMS o wysokim poziomie dostępności

8 viii Spis treści Planowanie wdrożenia usług AD RMS w systemie klienckim i zarządzanie tym wdrożeniem Zarządzanie zaufanymi domenami użytkowników Zarządzanie zaufanymi domenami publikacji Zarządzanie obsługą tożsamości federacyjnych Przeprowadzanie aktualizacji, migracji i likwidacji usług AD RMS Podsumowanie zagadnienia Pytania kontrolne Odpowiedzi Zagadnienie 4.1: Eksperyment myślowy Zagadnienie 4.1: Pytania kontrolne Zagadnienie 4.2: Eksperyment myślowy Zagadnienie 4.2: Pytania kontrolne Zagadnienie 4.3: Eksperyment myślowy Zagadnienie 4.3: Pytania kontrolne Zagadnienie 4.4: Eksperyment myślowy Zagadnienie 4.4: Pytania kontrolne Zagadnienie 4.5: Eksperyment myślowy Zagadnienie 4.5: Pytania kontrolne

9 Wstęp Niniejsza książka przedstawia zagadnienia związane z egzaminem certyfikacyjnym Implementowanie zaawansowanej infrastruktury serwerowej. Mówiąc dokładniej, książka omawia drugie wydanie, czyli wersję R2 zagadnień egzaminacyjnych. Książka jest przeznaczona dla profesjonalistów IT, którzy mają już doświadczenie w pracy z sieciami systemów Windows. Egzamin obejmuje zaawansowane zagadnienia, z którymi spotykają się profesjonaliści IT w środowisku przedsiębiorstwa. W zagadnieniach egzaminacyjnych szczególnie uwzględnione zostały takie tematy, jak monitorowanie, wirtualizacja i zapewnianie wysokiego poziomu dostępności. Opracowując książkę, założono, że Czytelnik zna podstawy infrastruktury serwerów, które także można zaliczyć do wymagań wstępnych egzaminu Egzamin obejmuje cztery główne obszary zagadnień uwzględniane na różnym poziomie: Zarządzanie i konserwacja infrastruktury serwerów: 25 do 30 procent Planowanie i implementowanie infrastruktury przedsiębiorstwa o wysokim poziomie dostępności: 25 do 30 procent Planowanie i implementowanie infrastruktury wirtualizacji serwerów: 20 do 30 procent Projektowanie i implementowanie rozwiązań dotyczących tożsamości i dostępu: 20 do 25 procent Jak widzimy na podstawie tego szerokiego zakresu zagadnień, omawiane są tematy związane z planowaniem i implementacją, jak również z zarządzaniem i projektowaniem. Ten poziom prezentowania tematyki oznacza, że Czytelnik będzie musiał prawdopodobnie opanować sposoby dokonywania wyboru odpowiedniego rozwiązania dla podanego scenariusza lub wyboru zestawu technologii dla tego scenariusza, a następnie będzie musiał określić optymalną ścieżkę implementacji wybranego rozwiązania. Książka ta uwzględnia wszystkie zagadnienia egzaminacyjne, jednak nie jest zbiorem wszystkich pytań, które mogą pojawić się podczas zdawania egzaminu. Jedynie zespół firmy Microsoft opracowujący egzamin zna wszystkie pytania, a do tego zbioru pytań firma Microsoft stale dodaje nowe, co uniemożliwia opisanie wszystkich pytań. Czytelnik powinien książkę traktować jako uzupełnienie własnych umiejętności, doświadczeń i innych materiałów dodatkowych. Jeśli podczas czytania książki napotkamy mniej znaną tematykę, powinniśmy kontynuować analizę tych zagadnień, ix

10 x Wstęp korzystając z łączy umieszczonych w tekście, które wskazują na wartościowe źródła. Doskonałym źródłem takich informacji dodatkowych jest witryna MSDN, TechNet oraz bloki i fora tematyczne. Certyfikacje firmy Microsoft Zdobycie certyfikatów firmy Microsoft powoduje, że dana osoba uważana jest za eksperta oraz zaświadcza, że ma ona szeroki zakres umiejętności i doświadczeń w pracy z aktualnymi produktami i technologiami firmy Microsoft. Egzaminy i odpowiednie certyfikacje zostały tak opracowane, by sprawdzić nasze opanowanie krytycznych zagadnień związanych z projektowaniem, implementowaniem i obsługą rozwiązań przy użyciu produktów i technologii firmy Microsoft zarówno w przypadku rozwiązań stosowanych w siedzibie, jak i w chmurze. Oprócz tego, certyfikaty pozwalają także uzyskiwać wiele korzyści poszczególnym osobom, jak również pracodawcom i organizacjom. WSZYSTKIE CERTYFIKACJE FIRMY MICROSOFT Dodatkowe informacje na temat certyfikacji firmy Microsoft, a w tym pełną listę dostępnych certyfikacji, znaleźć można pod adresem: Podziękowania Pragnę podziękować Karen Szall i zespołowi Microsoft Press, a także Jeffowi Riley. Jak zawsze, z wielką przyjemnością pracowałem z Wami wszystkimi. Darmowe książki elektroniczne wydawnictwa Microsoft Press Darmowe książki elektroniczne wydawnictwa Microsoft Press obejmują bardzo szeroką tematykę, od technicznych przeglądów po głębokie analizy tematów specjalnych. Te książki elektroniczne dostępne są w formatach PDF, EPUB i Mobi i można je pobrać pod adresem: Sprawdzajcie często, czy nie pojawiły się nowości!

11 Errata, aktualizacje i wsparcie techniczne xi Errata, aktualizacje i wsparcie techniczne Podjęliśmy wszelkie starania w celu zapewnienia poprawności tej książki. Aktualizacje książki w postaci listy dostrzeżonych błędów i wprowadzonych poprawek dostępne są pod adresem: Za pośrednictwem tej strony prosimy też o przesyłanie informacji o wszelkich błędach, które nie zostały jeszcze znalezione*. Jeśli zachodzi potrzeba uzyskania dodatkowego wsparcia, prosimy kontaktować się poprzez z działem Microsoft Press Book Support (mspinput@microsoft.com). Prosimy zwrócić uwagę, że wsparcie dla produktu oprogramowania firmy Microsoft czy stosowanych urządzeń nie jest oferowane za pośrednictwem podanych powyżej adresów. Aby uzyskać pomoc dotyczącą programów lub sprzętu firmy Microsoft, prosimy skierować się pod adres Kontakt z Czytelnikami jest dla nas bardzo ważny Dla firmy Microsoft Press zadowolenie Czytelników jest najwyższym priorytetem i Państwa ocena jest dla nas najcenniejszą informacją. Wszelkie uwagi dotyczące książki prosimy kierować pod adresem: Szybko przeglądamy wszelkie komentarze czy pomysły i dziękujemy za poświęcony czas! Pozostań w kontakcie Warto stale rozmawiać! Jesteśmy dostępni na Twitterze pod adresem: * Strona erraty dotyczy angielskiego wydania książki. Błędy zgłoszone tam w czasie przygotowywania polskiego wydania zostały już uwzględnione. Ewentualne nowe błędy odkryte w polskim wydaniu prosimy zgłaszać na adres mspress@promise.pl (przyp. red.).

12 Przygotowanie do egzaminu Egzaminy certyfikacyjne Microsoft są wspaniałym sposobem na rozbudowanie Twojego CV i pokazanie światu poziomu Twoich umiejętności. Egzaminy te potwierdzają Twoje doświadczenie i wiedzę na temat danego produktu. Choć nic nie jest w stanie zastąpić doświadczenia zdobytego w codziennej pracy, przygotowywanie się w oparciu o samodzielną naukę i wykonywanie ćwiczeń praktycznych pomoże Ci przygotować się do egzaminu. Zalecamy Ci, byś uzupełnił swój plan nauki o kombinację dostępnych materiałów szkoleniowych i kursów. Możesz na przykład przygotowywać się z pomocą podręcznika Training Guide i innego podręcznika do samodzielnej nauki w domu, jak również odbyć kurs Microsoft Official Curriculum w sali szkoleniowej. Wybierz kombinację, która Twoim zdaniem będzie dla Ciebie najlepsza.

13 ROZDZIAŁ 1 Zarządzanie i utrzymanie infrastruktury serwerów Egzamin obejmuje i sprawdza zrozumienie zagadnień planowania, implementowania i zarządzania dotyczących zaawansowanej infrastruktury bazującej na produktach firmy Microsoft. Narzędzia i produkty uwzględniane w pytaniach egzaminacyjnych są używane w sieciach przedsiębiorstw i w szczególności związane są z automatyzacją, wysoką dostępnością i samoobsługą. W pierwszym rozdziale książki omówiono zagadnienia odnoszące się do zarządzania infrastrukturą. W tym rozdziale, a w zasadzie w całej książce, znajdziemy przydatne przykłady, które bezpośrednio wiążą się z zagadnieniami egzaminacyjnymi oraz szereg łączy do dodatkowych informacji zamieszczonych w witrynie TechNet. Zagadnienia egzaminacyjne omawiane w tym rozdziale: Zagadnienie 1.1: Projektowanie modelu administracyjnego 2 Zagadnienie 1.2: Projektowanie strategii monitorowania 29 Zagadnienie 1.3: Planowanie i implementowanie zautomatyzowanych korekt 42 Odpowiedzi 59 1

14 2 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów Zagadnienie 1.1: Projektowanie modelu administracyjnego Projektowanie modelu administracyjnego sieci przedsiębiorstwa wiąże się z dużym nakładem pracy dotyczącym planowania, w szczególności w przypadku złożonych przedsiębiorstw lub przedsiębiorstw o skomplikowanych strukturach. Prawidłowy model administracyjny umożliwia delegowanie odpowiedzialności, a jednocześnie wymusza zasadę stosowania minimalnych uprawnień. Wiele organizacji ma swoje specyficzne potrzeby, jednak ogólny model administracyjny jest zgodny z typowym wzorcem. Na przykład, organizacja, która jest rozproszona geograficznie może zezwalać personelowi w lokacjach zdalnych zmieniać hasła użytkowników w tej lokacji zdalnej. Niniejsze zagadnienie obejmuje następującą tematykę: Poznanie analiz projektowych, wliczając w to prawa użytkowników i grupy wbudowane Projektowanie delegowania struktur administracji w programie System Center 2012 R2 Projekt portalu samoobsługowego przy użyciu programu System Center 2012 Service Manager Delegowanie praw do zarządzania prywatnymi chmurami za pomocą programu System Center 2012 App Controller i Virtual Machine Manager Analiza projektowa modelu administracyjnego Typowe modele administracyjne i uprawnień przedsiębiorstwa korzystają z grup do przypisywania i delegowania uprawnień. Dzięki grupom można zaoszczędzić czas i nakład pracy administracyjnej przez łączenie podobnych użytkowników i komputerów w pojedynczej jednostce, do której można następnie przypisywać uprawnienia. DODATKOWE INFORMACJE Projektowanie strategii dla usług AD DS (Active Directory Domain Services) W tym podrozdziale omówimy prawa użytkowników i grup wbudowanych. Jeśli Czytelnik nie zna strategii projektowych dla usług AD DS (Active Directory Domain Services), dodatkowe informacje na ten temat znaleźć można w poradniku AD DS Design Guide pod adresem Grupy mogą zawierać użytkowników lub komputery oraz są tworzone jako grupy zabezpieczeń lub grupy dystrybucji. W tym rozdziale omawiane są grupy zabezpieczeń; grupy dystrybucji są zazwyczaj używane do tworzenia list dystrybucji poczty elektronicznej i w tej książce nie będziemy się nimi zajmować. Dla grup określane

15 Zagadnienie 1.1: Projektowanie modelu administracyjnego 3 są zakresy, co oznacza, że grupa może odnosić się lokalnie do komputera, do domeny lub do całego lasu. W tabeli 1-1 opisano trzy typy zakresów grupy dostępnych w usługach AD DS. TABELA 1-1 Zakresy grup usług Active Directory Domain Services Zakres grupy Domain Local (Lokalny w domenie) Global (Globalny) Universal (Uniwersalny) Opis Członkowie grupy o zakresie Domain Local mogą mieć uprawnienia w tej samej domenie, gdzie znajduje się grupa o zakresie Domain Local i mogą tworzyć dowolne połączenie grup o zakresie lokalnym w domenie, globalnym lub uniwersalnym. Członkowie grup o zakresie Global mogą mieć uprawnienia w dowolnej domenie lasu, jednak członkowie takiej grupy mogą pochodzić tylko z domeny, wewnątrz której grupa została zdefiniowana. Członkowie grup o zakresie Universal mogą mieć uprawnienia w dowolnej domenie lub dowolnym lesie oraz mogą pochodzić z dowolnej domeny i dowolnego lasu. Prawa użytkowników Zanim przyjrzymy się prawom użytkowników, istotne jest ustalenie definicji prawa użytkownika. Definicję znajdziemy, cofając się do systemu Windows NT Server 4.0 w podręczniku NT Server 4.0 Concepts and Planning Manual w witrynie TechNet, gdzie prawo jest zdefiniowane jako coś, co autoryzuje użytkownika do wykonania pewnych działań w systemie komputera. Dokładniejsze omówienie definicji znaleźć można pod adresem Istotne jest zdawanie sobie sprawy z różnicy między prawem a uprawnieniem. Prawo definiuje, co użytkownik może zrobić w systemie komputera, natomiast uprawnienia stosowne są do obiektów. W niektórych przypadkach prawa mogą zastępować uprawnienia. Na przykład, jeśli użytkownik należy do grupy, która ma prawo tworzenia kopii zapasowej komputera, czyli ma prawo Back Up Files and Directories (Wykonuj kopie zapasowe plików i katalogów), użytkownik ten z natury rzeczy uzyskuje dostęp do odczytu plików na komputerze, nawet jeśli uprawnienia będą odmawiały takiego dostępu. Mówiąc bardziej szczegółowo, prawo Back Up Files and Directories zawiera następujące uprawnienia: Traverse Folder/Execute File (Przechodzenie przez folder/wykonywanie pliku) List Folder/Read Data (Wyświetlanie zawartości folderu/odczyt danych) Read Attributes (Odczyt atrybutów) Read Extended Attributes (Odczyt atrybutów rozszerzonych) Read Permissions (Odczyt uprawnień)

16 4 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów Uprawnienie Back Up Files and Directories jest jednym z przykładów tej koncepcji. W tabeli 1-2 pokazano szereg innych praw użytkowników odnoszących się do zabezpieczeń dostępnych w systemie Windows Server Skrócona nazwa stała stosowana jest do każdego prawa opisanego w tabeli 1-2. Nazwy stałe są używane do rejestrowania i mogą być także używane w powłoce Windows PowerShell, co zostało omówione w dalszej części podrozdziału. TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Access Credential Manager as a trusted caller (Uzyskaj dostęp do Menedżera poświadczeń jako zaufany obiekt wywołujący) Access this computer from the network (Uzyskiwanie dostępu do tego komputera z sieci) Act as part of the operating system (Działanie jako część systemu operacyjnego) Add workstations to domain (Dodaj stacje robocze do domeny) Adjust memory quotas for a proces (Dostosuj przydziały pamięci dla procesów) Allow logon locally (Zezwalaj na logowanie lokalne) Stosowane do Credential Manager w trakcie procesów związanych z kopiami zapasowymi. Uprawnienie to jest przypisywane tylko do usługi Winlogon i nie powinno być przypisywane do konta. Określa, czy użytkownik może wykorzystywać protokoły odnoszące się do uzyskiwania dostępu do danego komputera, takie jak Service Message Block (SMB), NetBIOS, Common Internet File System (CIFS) czy Component Object Model Plus (COM+). Stosowane do procesów, by określić, czy mogą one używać tożsamości użytkownika do uzyskania dostępu do uprawnień przydzielonych temu użytkownikowi. Umożliwia użytkownikowi dodawanie komputera do domeny. Umożliwia użytkownikowi zmianę pamięci używaną przez proces. Umożliwia użytkownikowi rozpoczynanie sesji interaktywnej. SeTrustedCredManAccessPrivilege SeNetworkLogonRight SeTcbPrivilege SeMachineAccountPrivilege SeIncreaseQuotaPrivilege SeInteractiveLogonRight

17 Zagadnienie 1.1: Projektowanie modelu administracyjnego 5 TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Allow logon through Remote Desktop Services (Zezwalaj na logowanie za pośrednictwem usług Pulpitu zdalnego) Back up files and directories (Wykonuj kopie zapasowe plików i katalogów) Bypass traverse checking (Obejdź sprawdzanie przy przechodzeniu) Change the system time (Zmień czas systemowy) Change the time zone (Zmień strefę czasową) Create a pagefile (Utwórz plik stronicowania) Create a token object (Utwórz token obiektu) Create global objects (Utwórz obiekty globalne) Create permanent shared objects (Utwórz trwałe obiekty udostępnione) Create symbolic links (Utwórz łącza symboliczne) Debug programs (Debuguj programy) Umożliwia użytkownikowi logowanie za pomocą Remote Desktop Services. Pozwala kontu pomijać uprawnienia w celu wykonania kopii zapasowej. Umożliwia kontu przechodzenie w systemie plików NTFS bez konieczności sprawdzania uprawnienia Traverse Folder. Umożliwia użytkownikowi zmianę czasu na komputerze lokalnym. Umożliwia użytkownikowi zmianę strefy czasowej na komputerze lokalnym. Umożliwia użytkownikowi zmianę ustawień dotyczących pliku stronicowania, wliczając w to jego rozmiar. Umożliwia procesowi tworzenie tokenu obiektu za pomocą uprawnionego konta. Umożliwia tworzenie obiektów globalnych. Umożliwia tworzenie obiektów katalogu. Umożliwia kontu tworzenie łącza symbolicznego systemu plików. Umożliwia użytkownikowi dołączanie się do procesu w celu debugowania. SeRemoteInteractiveLogonRight SeBackupPrivilege SeChangeNotifyPrivilege SeSystemtimePrivilege SeTimeZonePrivilege SeCreatePagefilePrivilege SeCreateTokenPrivilege SeCreateGlobalPrivilege SeCreatePermanentPrivilege SeCreateSymbolicLinkPrivilege SeDebugPrivilege

18 6 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Deny access to this computer from the network (Odmowa dostępu do tego komputera z sieci) Deny logon as a batch job (Odmowa logowania w trybie wsadowym) Deny logon as a service (Odmowa logowania w trybie usługi) Deny logon locally (Odmowa logowania lokalnego) Deny logon through Remote Desktop Services (Odmowa logowania za pośrednictwem usług pulpitu zdalnego) Enable computer and user accounts to be trusted for delegation (Określ konta komputerów i użytkowników jako zaufane w kwestii delegowania) Force shutdown from a remote system (Wymuszaj zamknięcie systemu zdalnego) Generate security audits (Generuj inspekcje zabezpieczeń) Impersonate a client after authentication (Personifikuj klienta po uwierzytelnieniu) Uniemożliwia użytkownikowi uzyskanie dostępu do komputera. Uniemożliwia kontu logowanie za pomocą metod wsadowych. Uniemożliwia kontu logowanie w trybie usługi. Uniemożliwia kontu logowanie lokalne na konsoli komputera. Uniemożliwia użytkownikom logowanie na komputerze za pomocą usług pulpitu zdalnego. Umożliwia użytkownikom definiowanie ustawienia Trusted for Delegation. Pozwala użytkownikowi zamykać komputer, z którym połączony jest zdalnie. Umożliwia kontu generować rekordy inspekcji w dzienniku zabezpieczeń. Umożliwia programowi personifikować użytkownika lub konto oraz działać w imieniu tego użytkownika lub konta. SeDenyNetworkLogonRight SeDenyBatchLogonRight SeDenyServiceLogonRight SeDenyInteractiveLogonRight SeDenyRemoteInteractiveLogonRight SeEnableDelegationPrivilege SeRemoteShutdownPrivilege SeAuditPrivilege SeImpersonatePrivilege

19 Zagadnienie 1.1: Projektowanie modelu administracyjnego 7 TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Increase a process working set (Zwiększ zestaw roboczy procesu) Increase scheduling priority (Zwiększ priorytet planowania) Load and unload device drivers (Ładuj i zwalniaj sterowniki urządzeń Lock pages in memory (Blokuj strony pamięci) Log on as a batch job (Logowanie w trybie wsadowym) Log on as a service (Logowanie w trybie usługi) Manage auditing and security log (Zarządzaj dziennikami inspekcji i zabezpieczeń) Modify an object label (Modyfikuj etykietę obiektu) Modify firmware environment values (Modyfikuj wartości środowiskowe oprogramowania układowego) Perform volume maintenance tasks (Wykonuj zadania konserwacji woluminów) Umożliwia użytkownikowi zwiększanie rozmiaru zestawu roboczego procesu. Umożliwia użytkownikowi zwiększanie podstawowego priorytetu procesu. Umożliwia użytkownikowi dynamiczne ładowanie i zwalnianie sterowników urządzeń. Umożliwia kontu zachowywanie danych przed procesem w pamięci fizycznej. Umożliwia kontu logowanie za pomocą metod wsadowych, a w tym programu Harmonogram zadań. Umożliwia kontu usługi rejestrowania procesu. Umożliwia użytkownikom korzystanie z dzienników inspekcji i zabezpieczeń. Umożliwia kontu modyfikowanie etykiet integralności używanych przez WIC (Windows Integrity Controls). Umożliwia użytkownikowi modyfikowanie ustawień pamięci nieulotnej (NVRAM). Umożliwia użytkownikowi wykonywanie zadań powiązanych z zarządzaniem woluminami i dyskami. SeIncreaseWorkingSetPrivilege SeIncreaseBasePriorityPrivilege SeLoadDriverPackage SeLockMemoryPrivilege SeBatchLogonRight SeServiceLogonRight SeSecurityPrivilege SeRelabelPrivilege SeSystemEnvironmentPrivilege SeManageVolumePrivilege

20 8 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Profile single proces (Profiluj pojedynczy proces) Profile system performance (Profiluj wydajność systemu) Remove computer from docking station (Usuń komputer ze stacji dokującej) Replace a process level token (Zamień token na poziomie procesu) Restore files and directories (Przywracaj pliki i katalogi) Shut down the system (Zamknij system) Synchronize directory service data (Synchronizuj dane usługi katalogowej) Take ownership of files or other objects (Przejmij na własność pliki lub inne obiekty) Umożliwia użytkownikowi przeglądanie aspektów dotyczących wydajności procesu. Umożliwia użytkownikowi używanie narzędzi Windows Performance Monitor. Umożliwia użytkownikowi usuwanie komputera ze stacji dokującej bez zalogowania się. Umożliwia procesowi zastępowanie tokenu dostępu do procesu podrzędnego. Umożliwia użytkownikowi omijanie normalnego procesu sprawdzania uprawnień podczas przywracania. Umożliwia użytkownikowi lokalnemu zamykanie systemu. Umożliwia użytkownikowi synchronizowanie danych usługi, takich jak katalog LDAP. Umożliwia kontu przejmowanie na własność obiektów komputera. SeProfileSingleProcessPrivilege SeSystemProfilePrivilege SeUndockPrivilege SeAssignPrimaryTokenPrivilege SeRestorePrivilege SeShutdownPrivilege SeSyncAgentPrivilege SeTakeOwnershipPrivilege Nazwa stała opisana w tabeli 1-2 może być używana w poleceniach cmdlet powłoki Windows PowerShell, odnoszących się do uprawnień: Get-Privilege Grant-Privilege Revoke-Privilege Test-Privilege Zgodnie z opisem w tabeli 1-2, prawa użytkownika zasadniczo nie powinny być stosowane bezpośrednio do kont, a raczej powinny być przydzielane za pośrednictwem grup.

21 Zagadnienie 1.1: Projektowanie modelu administracyjnego 9 DODATKOWE INFORMACJE Przypisywanie praw użytkowników Dodatkowe informacje na temat przypisywania praw użytkowników znaleźć można pod adresem Wbudowane grupy Grupy wbudowane, nazywane również grupami domyślnymi, są dodawane razem z systemem operacyjnym. Wiele grup domyślnych ma już przypisane prawa użytkowników. Niektóre prawa stosowane są również w zależności od typu komputera, na którym prawo jest realizowane. Na przykład, prawo Allow Logon Locally jest przydzielane do następujących grup w celu logowania się na stacjach roboczych i serwerach: Administrators Backup Operators Users Dla porównania, poniższe grupy mają prawo Allow Logon Locally dla kontrolerów domeny: Account Operators Administrators Backup Operators Print Operators Server Operators W tabeli 1-3 wymieniono grupy lokalne komputera i prawa użytkownika przydzielone domyślnie tym grupom. TABELA 1-3 Prawa użytkownika dla grup lokalnych Grupa Administrators (Administratorzy) Prawa użytkownika Access this computer from the network Adjust memory quotas for a process Allow logon locally Allow logon through Remote Desktop Services Back up files and directories Bypass traverse checking Change the system time Change the time zone Create a page file Create global objects Create symbolic links Debug programs

22 10 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-3 Prawa użytkownika dla grup lokalnych Grupa Backup Operators (Operatorzy kopii zapasowych) Cryptographic Operators (Operatorzy kryptograficzni) Distributed COM Users (Użytkownicy DCOM) Guests (Goście) IIS_IUSRS Network Configuration Operators (Operatorzy konfiguracji sieci) Performance Log Users (Użytkownicy dzienników wydajności) Performance Monitor Users (Użytkownicy monitora wydajności) Power Users (Użytkownicy zaawansowani) Remote Desktop Users (Użytkownicy pulpitu zdalnego) Replicators (Replikatorzy) Prawa użytkownika Force shutdown from a remote system Impersonate a client after authentication Increase scheduling priority Load and unload device drivers Log on as a batch job Manage auditing and security log Modify firmware environment variables Perform volume maintenance tasks Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects Access this computer from the network Allow logon locally Back up files and directories Bypass traverse checking Log on as a batch job Restore file and directories Shut down the system Allow logon through Remote Desktop Services

23 Zagadnienie 1.1: Projektowanie modelu administracyjnego 11 TABELA 1-3 Prawa użytkownika dla grup lokalnych Grupa Users (Użytkownicy) Offer Remote Assistance Helpers (Pomocnicy oferujący Pomoc zdalną) Prawa użytkownika Access this computer from the network Allow logon locally Bypass traverse checking Change the time zone Increase a process working set Remove the computer from a docking station Shut down the system DODATKOWE INFORMACJE Domyślne grupy lokalne Dodatkowe informacje na temat domyślnych grup lokalnych znaleźć można pod adresem Usługi AD DS również zawierają grupy domyślne. Grupy te znajdują się w kontenerze Builtin lub Users. W tabeli 1-4 opisano grupy w kontenerze Builtin. TABELA 1-4 Grupy w kontenerze Builtin Grupa Account Operators (Operatorzy kont) Administrator Prawa użytkownika Allow logon locally Shut down the system Access this computer from the network Adjust memory quotas for a process Back up files and directories Bypass traverse checking Change the system time Create a pagefile Debug programs Enable computer and user accounts to be trusted for delegation Force a shutdown from a remote system Increase scheduling priority Load and unload device drivers Allow logon locally Manage auditing and security log Modify firmware environment values Profile single process

24 12 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-4 Grupy w kontenerze Builtin Grupa Backup Operators Guests Incoming Forest Trust Builders (Konstruktorzy przychodzących zaufań lasu) Network Configuration Operators Performance Monitor Users Performance Log Users Pre-Windows 2000 Compatible Access (Dostęp zgodny z systemami starszymi niż Windows 2000) Print Operators (Operatorzy drukowania) Remote Desktop Users Replicator Server Operators (Operatorzy serwera) Users Prawa użytkownika Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects Back up files and directories Allow logon locally Restore files and directories Shut down the system ; stosowane tylko do domeny głównej lasu Access this computer from the network Bypass traverse checking Allow logon locally Shut down the system Back up files and directories Change the system time Force shutdown from a remote system Allow logon locally Restore files and directories Shut down the system W tabeli 1-5 opisano grupy w kontenerze Users. TABELA 1-5 Grupy w kontenerze Users Grupa Cert Publishers (Wydawcy certyfikatów) Prawa użytkownika

25 Zagadnienie 1.1: Projektowanie modelu administracyjnego 13 TABELA 1-5 Grupy w kontenerze Users Grupa DnsAdmins DnsUpdateProxy Domain Admins (Administratorzy domeny) Domain Computers (Komputery domeny) Domain Controllers (Kontrolery domeny) Domain Guests (Goście domeny) Domain Users (Użytkownicy domeny Prawa użytkownika ; instalowane jako część systemu DNS ; instalowane jako część systemu DNS Access this computer from the network Adjust memory quotas for a process Back up files and directories Bypass traverse checking Change the system time Create a pagefile Debug programs Enable computer and user accounts to be trusted for delegation Force a shutdown from a remote system Increase scheduling priority Load and unload device drivers Allow logon locally Manage auditing and security log Modify firmware environment values Profile single process Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects

26 14 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-5 Grupy w kontenerze Users Grupa Enterprise Admins (Administratorzy przedsiębiorstwa) Group Policy Creator Owners (Twórcy- -właściciele zasad grupy) IIS_WPG RAS and IAS Servers (Serwery RAS i IAS) Schema Admins (Administratorzy schematu) Prawa użytkownika Uwaga: Uprawnienia są stosowane tylko do domeny głównej lasu Access this computer from the network Adjust memory quotas for a process Back up files and directories Bypass traverse checking Change the system time Create a pagefile Debug programs Enable computer and user accounts to be trusted for delegation Force a shutdown from a remote system Increase scheduling priority Load and unload device drivers Allow logon locally Manage auditing and security log Modify firmware environment values Profile single process Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects ; instalowane razem z usługami IIS ; stosowane tylko do domeny głównej lasu Grupy wbudowane różnią się od tożsamości specjalnych. Tożsamość specjalna jest grupą, której członkostwo nie może być modyfikowane, na przykład grupa Everyone (Wszyscy). W tabeli 1-6 wymieniono tożsamości specjalne.

27 Zagadnienie 1.1: Projektowanie modelu administracyjnego 15 TABELA 1-6 Tożsamości specjalne Tożsamość Anonymous Logon (Logowanie anonimowe) Everyone (Wszyscy) Interactive (Interakcyjny) Network (Sieć) Opis Używana do uzyskiwania dostępu anonimowego do usług i zasobów Wszyscy użytkownicy sieci, z wyjątkiem grupy Anonymous Logon Użytkownicy, którzy zalogowali się lokalnie na komputerze Użytkownicy, którzy uzyskali dostęp do zasobów komputera poprzez sieć DODATKOWE INFORMACJE Tożsamości specjalne Dodatkowe informacje na temat tożsamości specjalnych znaleźć można pod adresem Delegowanie w programie System Center 2012 R2 Oprogramowanie Microsoft System Center 2012 R2 składa się z kilku produktów, wliczając w to Configuration Manager, Operations Manager, Data Protection Manager, Service Manager, AppController i Virtual Machine Manager (VMM). Produkty są używane w organizacji do określenia struktury delegowania. Na przykład, pewne role są właściwe tylko dla programu Virtual Machine Manager, a inne dla programu Configuration Manager. Jeśli organizacja nie używa programu VMM, role te nie będą używane. Jednakże koncepcja delegowania odpowiedzialności i administracji opartej na rolach jest słuszna, niezależnie od tego, jakie produkty zostaną zastosowane. W tym podrozdziale analizujemy delegowanie dla produktów Configuration Manager i Operations Manager. Inne produkty, takie jak Virtual Machine Manager i Data Protection Manager omówione zostały w innych zagadnieniach tego rozdziału. Administracja oparta na rolach Oprogramowanie System Center 2012 R2 wykorzystuje administrację opartą na rolach do ułatwienia skonstruowania struktury potrzebnej w wielu organizacjach. Dzięki administracji opartej na rolach możemy ograniczyć odpowiedzialności i zakresy uprawnień do postaci minimalnej, koniecznej do wykonania danego zadania. Na przykład, w organizacji może zachodzić potrzeba, by zmiany haseł zwykłych użytkowników przeprowadzali pracownicy pomocy technicznej. Taki scenariusz można zrealizować przez przydzielenie ograniczonych uprawnień do personelu działu pomocy technicznej. Ważnym pojęciem dotyczącym administracji opartej na rolach w programie System Center jest zakres administracyjny. Zakres administracyjny definiuje uprawnienia, jakie

28 16 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów ma dany użytkownik do obiektów objętych kontrolą zakresu. Zakresy administracyjne składają się z: Ról zabezpieczeń Kolekcji Zakresów zabezpieczeń DODATKOWE INFORMACJE Administracja oparta na rolach Dodatkowe informacje na temat planowania administracji opartej na rolach znaleźć można w artykule dostępnym pod adresem library/65fffa65-5c09-4f6c-82bf-e01d567cda20#bkmk_planningforrba. Role zabezpieczeń Role zabezpieczeń, które możemy traktować jak grupy usługi Active Directory, są używane do przydzielania zestawów uprawnień użytkownikom w oparciu o pełnione przez nich role. Na przykład, roli Asset Analyst (Analityk zasobów) przydzielone są pewne uprawnienia przeglądania informacji dotyczących analizy zasobów (Asset Intelligence) i inwentaryzacji. Następnie, jeśli użytkownicy mają wykonywać takie zadania, można im przydzielić rolę Asset Analyst. Każdej roli zabezpieczeń przydzielane są określone uprawnienia, takie jak Approve, Create, Delete, Modify (Zatwierdzanie, Tworzenie, Usuwanie, Modyfikowanie) itp. Uprawnienia stosowane są do określonych obiektów w programie System Center. Program Configuration Manager i inne produkty System Center mają wbudowane różne role zabezpieczeń. Uprawnienia przydzielone do tych ról nie mogą być zmieniane. Istnieje jednak możliwość skopiowania roli i utworzenia nowej po wprowadzeniu odpowiednich modyfikacji. Procedura ogólna planowania ról zabezpieczeń jest następująca: 1. Identyfikowanie zadań. Analizowanie odpowiedzialności administratorów. Na przykład, niektórzy administratorzy mogą być odpowiedzialni za bezpieczeństwo systemów klienckich, a inni za aktualizacje oprogramowania. 2. Mapowanie zadań do ról. Określenie sposobu połączenia odpowiedzialności z wbudowanymi rolami zabezpieczeń. 3. Przypisywanie ról. Przypisanie ról użytkownikom. Jeśli odpowiedzialności użytkownika rozciągają się na wiele ról, przypisujemy tego użytkownika do wielu ról. 4. Tworzenie nowych ról (opcja). Tworzenie nowych ról, jeśli odpowiedzialności nie można zamapować do jednej lub kilku ról wbudowanych.