ZAJĘCIA 6 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

Transkrypt

1 Wersja: 3.1, ZAJĘCIA 6 - ZAKRES PRAC I MATERIAŁY POMOCNICZE ZAKRES PRAC 1. Rejestr systemu Windows Server Przeznaczenie i budowa Rejestru 1.2. Wartości w Rejestrze 1.3. Klucze główne Rejestru i reprezentacja Rejestru na dysku 1.4. Odczyt i modyfikacja zawartości Rejestru 1.5. Edytor Rejestru: regedit 1.6. Polecenie reg narzędzie wiersza poleceń 1.7. Rozmiar Rejestru i jego porządkowanie 1.8. Ochrona dostępu do Rejestru 1.9. Kopie zapasowe Rejestru Dodatkowe narzędzia do pracy z Rejestrem Liczba ćwiczeń: 15 MATERIAŁY POMOCNICZE 1 Rejestr systemu Windows Server Przeznaczenie i budowa Rejestru Rejestr jest zunifikowaną bazą danych konfiguracyjnych Windows Server 2003: obejmuje informacje dotyczące sprzętu, oprogramowania i użytkowników. Informacje te są wykorzystywane przez jądro systemu Windows Server 2003, programy obsługi urządzeń, programy instalacyjne, profile sprzętowe, profile użytkowników. Organizacja i obsługa Rejestru Windows Server 2003 są wzorowane na Rejestrze Windows NT 4.0/2000 Rejestr ma budowę hierarchiczną podobną do struktury katalogów i plików na dysku. Składa się z poddrzew, umieszczonych w nich kluczy i podkluczy oraz wartości przypisanych kluczom i podkluczom. Na najwyższym poziomie organizacji Rejestru znajdują się poddrzewa (inaczej: klucze poddrzew nazywane też kluczami głównymi), które są jakby odpowiednikami głównych katalogów na oddzielnych dyskach. W poddrzewie umieszczone są klucze i podklucze, będące odpowiednikami katalogów i podkatalogów. Klucze lub podklucze mogą mieć przypisaną jedną lub więcej wartości. Taka wartość jest odpowiednikiem pliku w systemie plików. Małe i duże litery w nazwach kluczy oraz wartości nie są rozróżniane, ale zalecane jest stosowanie się do sposobu zapisu tych nazw podawanego przez Microsoft w dokumentacjach Rejestru. 1.2 Wartości w Rejestrze Wartość przypisana kluczowi (nazywana też czasem parametrem klucza lub wpisem) charakteryzuje się trzema atrybutami: nazwą wartości, typem danych oraz daną (czyli wartością nadaną wartości klucza). Jest pięć najważniejszych typów danych (REG_DWORD, REG_SZ, REG_EXPAND_SZ, REG_BINARY, REG_MULTI_SZ). W zapisie wartości przypisanych do klucza stosuje się notację, w której poszczególne atrybuty są rozdzielone symbolem dwukropka. Dla przykładu wartość Shell:REG_SZ:Explorer.exe oznacza wartość o nazwie Shell, typie danych REG_SZ, danej w postaci ciągu znaków Explorer.exe Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 1

2 Wersja: 3.1, Klucze główne Rejestru i reprezentacja Rejestru na dysku Dodatkowe informacje na temat kluczy głównych można znaleźć w pliku klucze.doc. W Rejestrze jest pięć predefiniowanych poddrzew (kluczy głównych): HKEY_LOCAL_MACHINE zawiera dane konfiguracyjne lokalnego systemu HKEY_USERS dane konfiguracyjne dla domyślnego użytkownika (w podkluczu.default) oraz dla bieżąco zalogowanego użytkownika HKEY_CURRENT_USER zawiera dane o użytkowniku bieżąco zalogowanym w trybie interakcyjnym. Kopia danych tego typu (czyli profil użytkownika), dla każdego konta, które zostało użyte do zalogowania się na tym komputerze jest przechowywana w pliku Ntuser.dat w katalogu przeznaczonym na profil użytkownika. HKEY_CLASSES_ROOT definiuje typy plików i klas OLE znanych systemowi HKEY_CURRENT_CONFIG zawiera dane o aktualnej konfiguracji systemu zawarte w aktualnie używanym profilu sprzętowym Najważniejsze są dwa pierwsze poddrzewa: HKEY_LOCAL_MACHINE i HKEY_USERS, następne trzy zawierają w istocie wskaźniki na odpowiednie podklucze w tych dwóch. Hive (dosłownie: ul) jest zestawem kluczy, podkluczy i wartości, które mają swoją reprezentację w postaci plików binarnych przechowywanych w katalogu %systemroot%\system32\config. Jest pięć takich uli: Default, SAM, Security, Software, System. Stanowią więc one reprezentację Rejestru na dysku. 1.4 Odczyt i modyfikacja zawartości Rejestru Informacje przechowywane w Rejestrze najlepiej jest wyświetlać w czytelnej postaci za pomocą odpowiednich narzędzi systemu Windows Server 2003 takich jak Control Panel, polecenie net, konsole MMC służące do administrowania systemem, czy polecenia informacyjne np. System Information (Accessories System Tools System Information, lub samodzielnie jako msinfo32.exe). Modyfikacje zawartości Rejestru najlepiej jest wykonywać za pomocą: - programów instalacyjnych - Control Panel - narzędzi do konfiguracji zasad grup i zabezpieczeń systemowych (Group Policy, Local Security Policy) - programów do administrowania systemem (Administrative Tools, Administration Support Tools) - skryptów WSH (metody: RegDelete, RegRead, RegWrite) - użyciem mechanizmu WMI w skryptach lub polecenia wmic - narzędzi dodatkowych takich jak Xteq-dotec X-Setup Pro - jako ostatnie, najmocniejsze ale i potencjalnie najbardziej niebezpieczne narzędzie pozostaje edytor Rejestru lub jego odpowiednik działający w wierszu poleceń 1.5 Edytor Rejestru Windows Server 2003 udostępnia jeden edytor Rejestru o nazwie regedit Jego możliwości są połączeniem cech dwóch edytorów Rejestru używanych w systemie Windows 2000 tzn. edytora regedit i regedt32. (Porównanie cech tych dwóch edytorów jest zawarte w pliku Edytory-Rejestru-Win2k.doc) Posługując się edytorem Rejestru trzeba zachować ostrożność, gdyż zmiany w Rejestrze są natychmiastowe i nie ma polecenia cofnięcia zmian. Edytor Rejestru nie oferuje również żadnych mechanizmów kontroli dopuszczalnego zakresu wprowadzanych danych w wartościach Rejestru ani weryfikacji nazw definiowanych kluczy i wartości. Microsoft ostrzega, że nieprawidłowe stosowanie edytora Rejestru może spowodować poważne problemy dotyczące całego systemu, co w konsekwencji może prowadzić do konieczności zainstalowania Windows Server 2003 od nowa. Edytor regedit posiada następujące możliwości działania i cechy: Dodawanie, usuwanie, modyfikacja kluczy i wartości (w tym danych binarnych) Przeszukiwanie wg. klucza, wartości i danych Obsługa głównych typów danych Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 2

3 Wersja: 3.1, Zmiana nazwy klucza i wartości; kopiowanie nazwy klucza Zapis części lub całości Rejestru do plików (pliki binarne, pliku.reg) i odczyt z takich plików Załadowanie lub zwolnienie (Load/Unload) części Rejestru, przechowywanej w pliku Import i eksport (w różnych formatach) z wiersza poleceń Auto odświeżanie (wartości) Rozpoczynanie pracy z ostatnio używanym kluczem Wydruk zawartości Rejestru; menu Ulubione (Favorites) Administracja bezpieczeństwem Rejestru (uprawnienia dostępu, własność kluczy, inspekcja) Praca ze zdalnym Rejestrem 1.6 Polecenie reg narzędzie wiersza poleceń Polecenie reg jest standardowym poleceniem systemu Windows Server 2003 (w Windows 2000 jest ono dostępne w zestawie Windows 2000 Support Tools) służącym do wykonywania z wiersza poleceń operacji na Rejestrze lokalnego komputera oraz (niektórych operacji) na Rejestrze zdalnego komputera. Operacje realizowane za pomocą reg: - odpytywanie (odczyt) (query), - dodawanie lub usuwanie kluczy i wartości, nazywanych tu: wpisami (entries) (add, delete) - eksport, import zawartości z plików.reg (export, import) - kopia zapasowa, odtwarzanie zawartości z plików.hiv (save, restore) - załadowanie, zwolnienie gałęzi Rejestru (load, unload) - porównywanie kluczy i wpisów (compare) - kopiowanie kluczy i wpisów (copy) 1.7 Rozmiar Rejestru i jego porządkowanie W systemie Windows Server 2003 nie ma już jawnie zdefiniowanych ograniczeń na całkowitą wielkość miejsca, która może być zajęta przez hives Rejestru w tzw. stronicowanym obszarze pamięci (paged pool memory) ani na dysku. Jedynie rozmiar System hive jest ograniczony przez wielkość pamięci fizycznej. (W systemie Windows 2000 dopuszczalny rozmiar Rejestru (Registry Size Limit, RSL) wynosi od 4MB do 80% tzw. PagedPoolSize.) Zbędne i niepoprawne pozycje w Rejestrze można usunąć przy pomocy programu regclean bezpłatnie udostępnionego przez Microsoft. Przyjmuje się, że z systemem Windows 2000 oraz NT 4.0 SP5+ jest zgodna wersja 4.1a, Build programu regclean. Tego programu nie ma jednak już na stronach Microsofta Znacznie większe możliwości porządkowania Rejestru daje bezpłatny program RegCleaner, przeznaczony dla różnych wersji systemów Windows (9x/Me, NT/2000/XP/2003) opracowany poza firmą Microsoft. Do tego celu można także używać odpłatnych narzędzi takich jak RegSupreme czy Registry Mechanic. 1.8 Ochrona dostępu do Rejestru Klucze Rejestru mają swojego właściciela oraz chronione są uprawnieniami dostępu (permissions) w analogiczny sposób jak pliki i katalogi w NTFS (choć uprawnienia dostępu są inne). Dla poszczególnych kluczy Rejestru można uruchomić mechanizm inspekcji (audit). Obsługa tych zabezpieczeń jest realizowana w edytorze regedit, w menu Edit Permissions. Można ograniczyć użytkownikom zdalny dostęp do Rejestru z innych komputerów oraz możliwość interakcyjnego korzystania z edytora Rejestru przez lokalnych użytkowników Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 3

4 Wersja: 3.1, Kopie zapasowe Rejestru i odtwarzanie Rejestru Kopie zapasowe Rejestru mogą obejmować wybrane klucze Rejestru lub jego całość. Zalecane jest regularne wykonywanie kopii zapasowych Rejestru oraz wykonywanie ich przed dokonaniem edycji Rejestru lub instalacjami sprzętu lub oprogramowania. Polecenie Backup (Accessories System Tools Backup) udostępnia opcję tworzenia kopii zapasowej Rejestru (w ramach tzw. System State Data) i jej odtwarzania. Wykonywanie kopii zapasowej stanu systemu (System State) powoduje też aktualizację kopii plików Rejestru przechowywanych w katalogu %SystemRoot%\Repair, które mogą być przydatne w ręcznych metodach odtwarzania Rejestru Edytor Rejestru regedit oferuje możliwość zapisania w pliku części (lub całości) Rejestru i odtwarzania z takiego pliku, w szczególności oferuje możliwość eksportowania oraz importowania kluczy Rejestru poprzez pliki.reg (Microsoft zaleca jednak, aby w przypadku konieczności wykonania kopii zapasowej całego hive Rejestru, nie stosować metody eksportu/importu, tylko wykonać kopię zapasową całości Rejestru (KB )) Narzędzie wiersza poleceń do pracy z Rejestrem, polecenie reg, pozwala na wykonanie kopii zapasowej i odtworzenie części Rejestru. Ręczne kopiowanie plików Rejestru: należy skopiować pliki Rejestru znajdujące się w katalogu %systemroot%\system32\config. Ze wzgl. na to, że podczas działania systemu pliki te są cały czas otwarte i w użyciu co uniemożliwia ich skopiowanie, należy taką operację wykonać posługując się innym zainstalowanym systemem operacyjnym lub narzędziem/środowiskiem zewnętrznym (np. uruchamianym z CD-ROM środowiskiem typu Preinstalled Environment) oferującym dostęp do tego systemu plików gdzie przechowywane są pliki Rejestru. Ręczne odtworzenie Rejestru wymaga wtedy skorzystania z podobnej metody. Inne metody: a) zaawansowane opcje uruchamiania systemu (klawisz [F8] podczas startu) i wybranie Last Known Good Configuration daje ograniczone możliwości odtworzenia ustawień Rejestru tzn. ustawień tylko dla klucza HKLM\SYSTEM\CurrentControlSet związanego z konfiguracją sprzętową komputera. b) Mechanizm Automated System Recovery (ASR) odtwarzania działania całego systemu Dodatkowe narzędzia do pracy z Rejestrem Windows 2000 Resource Kit zawiera szereg dodatkowych narzędzi do obsługi Rejestru: - RegEntry.chm najbardziej kompletny opis (w formie pliku przeglądanego przez Help) kluczy i wartości Rejestru, także tych, które standardowo nie występują w Rejestrze - polecenia regback i regrest służące do robienia kopii zapasowej i odtwarzania Rejestru - polecenia scanreg do przeszukiwania oraz regfind do przeszukiwania i zastępowania łańcuchów w Rejestrze - polecenie regdmp służące do uzyskania zawartości Rejestru na ekranie, w pliku lub na drukarce - polecenie dureg do znajdowania rozmiaru Rejestru, kluczy głównych lub innych kluczy Wszystkie te polecenia działają w wierszu poleceń. W systemie Windows Server 2003 aspekty użytkowe poleceń regback, regrest, regdmp oraz regfind zostały zintegrowane z poleceniem reg (na podstawie: Windows Resource Kit Tools Read Me) Obszerna dokumentacja Microsoft Windows Server 2003 Deployment Kit (4000 stron, 6 tomów, 3 CD- ROM-y) obejmuje m.in. Registry Reference for Windows Server 2003 czyli techniczny podręcznik referencyjny (z możliwością przeszukiwania) zawierający drobiazgowy opis wybranych części Rejestru systemu Windows Server 2003 z uwzględnieniem wielu wartości (wpisów) Rejestru, które mogą być definiowane tylko za pomocą edytora Rejestru oraz opisuje metody wykonywania kopii zapasowych i odtwarzania Rejestru a także zalecenia dotyczące edycji Rejestru. Microsoft Windows Server 2003 Resource Kit wydany w maju 2005r. (5000 stron, 7 tomów, 1 CD-ROM) zawiera m.in. Microsoft Windows Registry Guide, sec. ed. Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 4

5 Wersja: 3.1, ZAJĘCIA 6 - ĆWICZENIA Ćwiczenie 1 (Przygotowania) 1. Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa. 2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku cały folder lab2006\zaj6 z zachowaniem jego nazwy zaj6. 3. Założyć konto użytkownika o nazwie ntrej, z hasłem ntrej, mającym katalog osobisty d:\ntrej. Zrezygnować z wymogu: User must change password at next logon. Użytkownik ntrej ma należeć do grupy Users. Zalogować się jako użytkownik ntrej, sprawdzić powstanie katalogu d:\ntrej, oraz upewnić się, że ten katalog ma zdefiniowane uprawnienie dostępu Full Control dla grupy Administrators oraz użytkownika ntrej oraz nie ma zdefiniowanych uprawnień dostępu dla grupy Everyone. Ćwiczenie 2 (Wyeksportowanie kluczy przed ich modyfikacją w dalszych ćwiczeniach) Domyślny sposób eksportowania kluczy z edytora regedit do plików tekstowych *.reg czyli eksport w standardzie Registry Editor Version 5.00 powoduje, że niektóre ważne narzędzia do przetwarzania plików tekstowych (np. findstr ) nie działają poprawnie. Przyczyną w/w problemu jest zapisywanie plików tekstowych w standardzie Unicode. Z taką postacią plików radzą sobie inne polecenia Windows Server 2003 tzn. find oraz fc (z opcją /U). 1. Zalogować się jako Administrator. Uruchomić edytor Rejestru, program regedit (Start Run lub w oknie wiersza poleceń). Wyeksportować do pliku klucz HKEY_LOCAL_MACHINE\SOFTWARE w następujący sposób: w oknie programu regedit zaznaczyć (podświetlić) w/w klucz, wybrać w menu File pozycję Export..., w polu Save in wybrać d:\ntrej, w polu File name wpisać nazwę szxxx.hklm.software, (gdzie szxxx oznacza używany komputer), w polu Save as type zostawić domyślną wartość Registration Files (*.reg), natomiast w rubryce Export range powinno być zaznaczone Selected branch oraz wpisane HKEY_LOCAL_MACHINE\SOFTWARE, nacisnąć przycisk Save. W efekcie powinien powstać plik d:\ntrej\szxxx.hklm.software.reg (zostanie automatycznie dołożone rozszerzenie.reg). Innym sposobem eksportowania kluczy jest ich zapisywanie w binarnych plikach, nazywanych plikami hive. W niektórych sytuacjach odtwarzanie zawartości Rejestru z takich plików jest skuteczniejsze niż odtwarzanie z plików tekstowych *.reg. 2. Wyeksportować do pliku binarnego d:\ntrej\szxxx.hku.default.hiv klucz HKEY_USERS\.DEFAULT, postępując jak w p. 1), za wyjątkiem określenia typu pliku, tzn. w polu Save as type wybrać Registry Hive Files (*.*) a w polu File name jawnie wpisać pełną nazwę pliku łącznie z rozszerzeniem.hiv. Zakończyć pracę z edytorem Rejestru regedit. Ćwiczenie 3 (Wyszukiwanie informacji w Rejestrze) 1. Pracując jako Administrator, uruchomić z okna wiersza poleceń edytor Rejestru regedit. Posługując się nim w sposób opisany niżej, odnaleźć klucz(-e) o nazwie CentralProcessor w poddrzewie Rejestru HKEY_LOCAL_MACHINE (w skrócie HKLM): W edytorze regedit zaznaczyć poddrzewo HKLM, wybrać menu Edit Find... (lub nacisnąć [Ctrl+F]), w polu Find what wpisać CentralProcessor, w rubryce Look at zaznaczyć tylko Keys, oraz zaznaczyć Match whole string only, po czym nacisnąć przycisk Find Next. Kolejne wystąpienia poszukiwane są po wybraniu Edit Find Next (lub naciśnięciu klawisza [F3]). 2. Używając regedit, w poddrzewie HKLM wykonać poszukiwanie wartości (wpisu) o nazwie Hostname (w polu Find what wpisać Hostname, w rubryce Look at zaznaczyć jedynie Values, zaznaczyć Match whole string Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 5

6 Wersja: 3.1, only, ponawiać poszukiwania klawiszem [F3]). Powtórzyć takie poszukiwania bez zaznaczania opcji Match whole string only (powinno być znalezionych więcej elementów). 3. Używając regedit odnaleźć w poddrzewie HKLM dane przypisane wartościom kluczy (czyli wartości przypisane wartościom kluczy) odpowiadające nazwie używanego komputera szxxx (w polu Find what wpisać szxxx, w rubryce Look at zaznaczyć jedynie Data, zaznaczyć Match whole string only, ponawiać poszukiwania klawiszem [F3]) Powtórzyć takie poszukiwania bez zaznaczania opcji Match whole string only. 4. Informacje przechowywane w Rejestrze mogą być zapisane do plików tekstowych, co pozwala m.in. na wykonanie poszukiwań poprzez przejrzenie takiego pliku. Pliki tekstowe utworzone przez regedit mogą także posłużyć do zmodyfikowania zawartości Rejestru dzięki użyciu operacji importowania (por. Ćw 5, 11, 15). a) Używając regedit, odpowiedni plik tekstowy tworzony jest poleceniem File Export... jak w p.1 Ćw.2. Wyeksportować klucz główny (poddrzewo) HKLM do pliku d:\ntrej\r.reg b) Używając regedit, można operacją eksportu utworzyć plik tekstowy zgodny z wymogami Rejestru starszych systemów Windows, czyli plik w tzw. standardzie REGEDIT4. Wyeksportować klucz główny (poddrzewo) HKLM do pliku d:\ntrej\r-nt4.reg w sposób jak w p. a) lecz w polu określającym typ pliku, tzn. w polu Save as type wybrać Win9x/NT4 Registration Files (*.reg). 5. Największe możliwości przeszukania plików tekstowych uzyskuje się w Windows Server 2003 za pomocą polecenia findstr (podpowiedź: findstr /?). Aby odnaleźć wiersze pliku tekstowego zawierające napis CentralProcessor lub Hostname lub szxxx należy wydać w oknie wiersza poleceń następujące polecenie: findstr /N "CentralProcessor Hostname szxxx" nazwa-pliku Wykonać to dla pliku tekstowego otrzymanego w p. 4b) po eksporcie w standardzie REGEDIT4 tzn. dla pliku d:\ntrej\r-nt4.reg Polecenie findstr nie obsługuje prawidłowo plików tekstowych Unicode. Dlatego, aby zastosować to polecenie do pliku eksportu d:\ntrej\r.reg otrzymanego w p. 4a) należy posłużyć się obejściem polegającym na użyciu potoku poleceń wykorzystującego polecenie type, które (przy domyślnych opcjach pracy interpretera CMD.EXE) dokonuje automatycznej konwersji pliku Unicode na plik ASCII np.: type d:\ntrej\r.reg findstr /N "CentralProcessor Hostname szxxx" Ćwiczenie 4 (Odnajdowanie zmian w Rejestrze) Jednym ze sposobów sprawdzania jakie zmiany zaszły w Rejestrze, jest porównywanie jego zawartości zapisanej w plikach tekstowych przed i po wprowadzeniu zmian. W ćwiczeniu odnajdowane będą modyfikacje klucza HKEY_USERS\.DEFAULT (w skrócie HKU\.DEFAULT) 1. Pracując jako Administrator uruchomić edytor regedit i posługując się nim zapisać do pliku d:\ntrej\a-przed.reg zawartość klucza HKU\.DEFAULT. 2. Używając edytora regedit przejść do podklucza HKU\.DEFAULT\Control Panel\Desktop. Zmienić w nim wartość o nazwie Wallpaper z (None) lub innej, aktualnie obowiązującej na d:\windows\greenstone.bmp (ta wartość określa tapetę wyświetlaną na ekranie zanim zaloguje się jakiś użytkownik) zaznaczając tę wartość w prawym okienku, po czym dwukrotnie klikając na niej lub wybierając Edit Modify, pojawi się wtedy okienko Edit string, wpisując nową wartość w polu Value data i naciskając przycisk OK. 3. Używając regedit zapisać klucz HKU\.DEFAULT w pliku d:\ntrej\a-po.reg. 4. Porównywanie plików tekstowych wykonuje się w Windows Server 2003 poleceniem fc (podpowiedź fc /?). Aby porównać dwa pliki tekstowe plik1 i plik2, zapisane w standardzie Unicode, wyświetlając różniące je wiersze wraz z numerami takich wierszy, trzeba wykonać w oknie wiersza poleceń polecenie: fc /U /L /N plik1 plik2 more Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 6

7 Wersja: 3.1, Porównać w ten sposób parę utworzonych w tym ćwiczeniu plików tzn.: d:\ntrej\a-przed.reg i d:\ntrej\apo.reg. Powinny być wyświetlone różnice w ustawieniu wartości Wallpaper. 5. [Dodatkowe] Do porównywania plików tekstowych można też wykorzystać okienkowe polecenie windiff dostępne w zestawie Windows Server 2003 Support Tools. Dla potrzeb tych zajęć zostało ono umieszczone w katalogu \zaj6\tools. Uruchomić to polecenie w celu porównania zawartości obydwu plików: \zaj6\tools\windiff d:\ntrej\a-przed.reg d:\ntrej\a-po.reg Powinny być wyświetlone różnice, sygnalizowane odpowiednimi kolorami, w ustawieniu wartości Wallpaper. Ćwiczenie 5 (Modyfikacja Rejestru w trybie wsadowym, z podglądem na bieżąco) Edytor regedit może być użyty do wprowadzania modyfikacji w Rejestrze na podstawie definicji umieszczonych w pliku tekstowym (*.reg), oraz obsługuje automatyczne odświeżanie wyświetlania wartości lokalnego Rejestru. 1. Pracując jako Administrator obejrzeć w Notepad zawartość pliku \zaj6\plainpassword.reg -- zawiera on definicję wartości o nazwie EnablePlainTextPassword w podkluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters, który decyduje o tym, czy Windows Server 2003 prześle (jeśli zażąda tego serwer SMB) w sieci hasło w formie czystego tekstu (gdy równe 1) czy jedynie w postaci zaszyfrowanej (gdy 0). Skopiować ten plik dwa razy: raz do d:\ntrej\pass0.reg drugi raz jako d:\ntrej\pass1.reg. Zmodyfikować za pomocą notepada plik pass0.reg, aby dana miała postać , natomiast pass1.reg ma zawierać daną w postaci Uruchomić edytor regedit, oraz ustawić się na wyświetlanie podanego wyżej podklucza. 3. Otworzyć okno wiersza poleceń tak, aby nie zasłaniać okna regedit. Wydać w nim polecenie regedit /s d:\ntrej\pass0.reg i zaobserwować w oknie edytora regedit zmianę danej dla wartości EnablePlainTextPassword. Wydać polecenie regedit /s d:\ntrej\pass1.reg i ponownie zaobserwować zmianę w oknie regedit. (Opcja /s w regedit powoduje, że nie jest wyświetlane okienko potwierdzające wprowadzenie informacji do Rejestru) Ćwiczenie 6 [Dodatkowe] (Modyfikacja Rejestru uzupełnianie nazw plików) 1. Zalogować się jako ntrej. Niżej opisana modyfikacja Rejestru daje taki sam efekt jak domyślnie obowiązujące zaznaczenie opcji AutoComplete w ustawieniach Defaults okna wiersza poleceń (zakładka Options, rubryka Edit Options). Jeśli jest zaznaczona opcja AutoComplete to wyłączyć ją. W systemie Windows 2000 nie ma opcji AutoComplete. Następnie używając edytora regedit, zmodyfikować w podkluczu HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor, wartość o nazwie CompletionChar, zmieniając daną przypisaną tej wartości z 0 (lub 20) na 9 (tzn. kod ASCII znaku tabulacji poziomej). Zamknąć edytor Rejestru. 2. Wylogować się i zalogować ponownie jako ntrej. Otworzyć okno wiersza poleceń i wydać w nim polecenie: cd \Win[TAB]\s[TAB]\dr[TAB], gdzie celem jest dotarcie do katalogu d:\windows\system32\drivers, zaś [TAB] oznacza naciśnięcie klawisza tabulacji. Czasami naciśnięcie klawisza [TAB] trzeba ponawiać, jeśli początek nazwy pliku czy katalogu pasuje do kilku nazw, np. s[tab] pasuje do system i system32. W podobny sposób wyświetlić zawartość katalogu d:\documents and Settings\ntrej, wydając polecenie dir \Do[TAB]\nt[TAB] Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 7

8 Wersja: 3.1, Ćwiczenie 7 (Modyfikacja Rejestru indywidualne komunikaty logowania) 1. Pracując jako Administrator, uruchomić regedit i w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, zmodyfikowac dwie wartości. Wartość LegalNoticeCaption określa tytuł dodatkowego okna (wpisujemy tu: Powitanie na szxxx) w którym będzie wyświetlony komunikat, natomiast LegalNoticeText określa treść tego komunikatu, czyli zawartość dodatkowego okna (wpisujemy tu np.: Ten komputer szkoleniowy nalezy do WSISIZ). 2. Zakończyć pracę z edytorem Rejestru, wylogować się z systemu, w razie potrzeby nacisnąć [Ctrl+Alt+Del] i przed wyświetleniem okna logowania powinno pojawić się dodatkowe okno ze zdefiniowanym uprzednio komunikatem. Ćwiczenie 8 (Zdalna praca z Rejestrem) Edytor Rejestru pozwala na oglądanie i modyfikowanie zawartości Rejestru na zdalnym komputerze. (Istnieje także możliwość ograniczenia zdalnego dostępu do Rejestru) Przykładowe modyfikacje w tym ćwiczeniu mają za zadanie wyświetlić w górnej części okna logowania przywitanie zawierające nazwę komputera. 1. Pracując jako Administrator, uruchomić edytor regedit. Standardowo w węźle o nazwie My Computer, wyświetla on zawartość lokalnego Rejestru. Do zdalnego Rejestru sięga się poprzez menu File Connect Network Registry... Wybrać komputer innego użytkownika na sali (uzgadniając to z nim) i w polu Enter the object name to select okienka Select Computer wpisać jego nazwę szyyy (można też w formie \\szyyy, lub naciskając przycisk Advanced... a potem Find Now wybrać ze spisu) i nacisnąć OK. W oknie edytora regedit powinien pojawić się węzeł o nazwie szyyy. 2. Modyfikacje wykonywane są na podkluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Podświetlić (zaznaczyć) ten klucz w Rejestrze zdalnego komputera. Dodać nową wartość (lub tylko zmodyfikować jeśli już istnieje) używając Edit New String Value, (czyli wartość o typie danych REG_SZ), o nazwie LogonPrompt. Zmodyfikować tę wartość podświetlając ją i wybierając Edit Modify lub dwukrotnie klikając. W rubryce Value data: wpisać daną w postaci napisu Welcome to szyyy.wsisiz.edu.pl. Odłączyć połączenie do Rejestru na zdalnym komputerze szyyy (File Disconnect Network Registry...). Zakończyć pracę z regedit. (Uwaga: dodawanie, usuwanie i modyfikację klucza lub wartości można także wykonywać po zaznaczeniu takiego elementu i wybraniu stosownej czynności z menu kontekstowego wyświetlanego po naciśnięciu prawego przycisku myszy.) 3. Poprosić użytkownika komputera szyyy aby zakończył sesję i wylogował się. Po naciśnięciu [Ctrl+Alt+Del] i wyświetleniu się okna logowania na szyyy, zaobserwować, że w górnej części pojawił się komunikat powitalny z nazwą komputera szyyy (czyli Welcome to...). Nie wszystkie modyfikacje wykonane na zdalnym (i lokalnym) Rejestrze odniosą bezpośredni skutek. Na przykład próba zmodyfikowania wpisów w Rejestrze odpowiadających za dostępność przycisku Shutdown... lub wyświetlanie nazwy ostatnio zalogowanego użytkownika nie odniesie skutku w Windows Server Wynika to z faktu, że aspektami bezpieczeństwa systemu rządzą tzw. Zasady Grup (Group Policy), które w systemie Windows Server 2003 są ustawiane m.in. przez Administrative Tools Local Security Policy. Ustawienia przyjęte w zasadach grup przesłaniają ustawienia zapisane w Rejestrze. Ćwiczenie 9 (Modyfikacja Rejestru zmiana używanego shella) Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 8

9 Wersja: 3.1, W momencie rozpoczynania sesji przez użytkownika, uruchamiany jest przydzielony mu shell (powłoka). Standardowo jest nim Explorer, łącznie z paskiem zadań i pulpitem z zawartością. Ten shell można jednak zmienić np. na shell wzorowany na graficznych środowiskach systemu UNIX (LiteStep naśladujący AfterStep, evwm naśladujący fvwm itd.) dostępny w Internecie (Replace the Shell, Można tez wykorzystać istniejące w Windows Server 2003 inne narzędzia do takiej podmiany. 1. (Zmiana globalna) Pracując jako Administrator zmienić w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, wartość o nazwie Shell, z Explorer.exe na pusty ciąg znaków. Wylogować się i zalogować kolejno jako ntrej i Administrator. Po rozpoczęciu sesji powinien zostać "pusty" ekran. Aby naprawić sytuację pracując jako Administrator nacisnąć [Ctrl+Alt+Del], wybrać Task Manager, kartę Applications, przycisk New Task... (lub w menu File, pozycję New task (Run..) ) i w polu Open wpisać regedit. Przywrócić ustawienie explorer.exe dla wartości Shell powyższego klucza. 2. (Zmiana indywidualna) Zalogować się jako ntrej, uruchomić regedit dodać nową wartość o nazwie Shell, typie danych REG_SZ (czyli String Value), i danej cmd.exe w kluczu HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Wylogować się i zalogowac ponownie jako ntrej uruchomionym programem startowym powinno być okno wiersza poleceń. Ćwiczenie 10 (Ograniczanie modyfikacji Rejestru i zmiana ustawień użytkownika w Rejestrze) 1. (Zabronienie użytkownikowi korzystania z narzędzi do obsługi Rejestru) Zalogować się jako Administrator. Uruchomić edytor regedit. Podświetlić klucz główny HKEY_USERS. W menu File wybrać Load Hive..., i jako plik podać ntuser.dat w d:\documents and Settings\ntrej oraz nacisnąć Open. W polu Key Name wpisać nazwę nowego klucza np. ntrej (może być inna, nie związana z użytkownikiem, np. nowy123). W powstałym kluczu ntrej, wyszukać podklucz \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies Jeśli nie istnieje w nim podklucz System, to należy go utworzyć (Edit New Key). W podkluczu System utworzyć (lub zmienić) wartość o nazwie DisableRegistryTools, typ REG_DWORD (Edit New DWORD Value) i ustawić ją na 1. Zaznaczyć klucz HKEY_USERS\ntrej i z menu File wykonać Unload Hive Zalogować się jako ntrej, powinno uruchomić się okno wiersza poleceń. Spróbować uruchomić regedit ta próba powinna być odrzucona, co jest sygnalizowane komunikatem Registry editing has been disabled by your administrator. (Uwaga: również próba użycia polecenia reg opisanego w Ćw. 12 nie powinna się udać) 3. Zalogować się jako Administrator, uruchomić regedit. Podświetlić poddrzewo HKEY_USERS, wykonać File Load Hive.. i załadować zawartość pliku D:\Documents and Settings\ntrej\NTUSER.DAT pod nazwę nowego klucza ntrej jak w punkcie 1 tego Ćwiczenia. Zmienić wartość Shell z cmd.exe na explorer.exe w podkluczu HKEY_USERS\ntrej\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Zaznaczyć klucz HKEY_USERS\ntrej, wykonać File Unload Hive.., zamknąć regedit. Po zalogowaniu jako ntrej, powinna wystartować standardowa sesja Windows Server 2003 z Explorerem. Ćwiczenie 11 [Dodatkowe] (Porządkowanie Rejestru program RegCleaner) 1. Zalogować się jako Administrator. Zainstalować program RegCleaner (wersja 4.3) używając pliku \zaj6\clean\regcleaner.exe, wybierając typ instalacji Normal oraz jako katalog instalacyjny domyślnie proponowany D:\Program Files\RegCleaner. Na pulpicie powinna pojawić się ikona skrótu do programu RegCleaner. Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 9

10 Wersja: 3.1, Uruchomić program RegCleaner. Oferuje on rozbudowane możliwości usuwania wpisów w Rejestrze w oparciu o zakładki Software, Startup List, Uninstall Menu, File Types, New File i Shell Extensions jeśli użytkownik wie co chciałby usunąć (ew. odinstalować). Jest tez możliwość automatycznego porządkowania Rejestru. W menu Tools wybrać Registry Cleanup Automatic Registry cleaner. Po chwili powinien być wyświetlony spis zbędnej zawartości Rejestru. Przejrzeć ten spis po czym zaznaczyć wszystkie jego pozycje i nacisnąć przycisk Remove Selected (w prawym dolnym rogu). Następnie nacisnąć przycisk Done. Ponownie wykonać operacje automatycznego porządkowania Rejestru (Tools Registry Cleanup Automatic Registry cleaner). Tym razem spis pozycji do usunięcia powinien być pusty. 3. W podkatalogu Backups katalogu instalacyjnego programu RegCleaner powinien pojawić się plik yyyy.mm.dd.hh.mm.ss.zzzz.reg, który umożliwia przywrócenie Rejestru do stanu sprzed przebiegu RegCleaner (nazwa pliku może mieć inną postać, ze wzgl. na sposób kodowania daty). Zajrzeć do tego pliku wybierając Edit z jego menu kontekstowego. Przywrócić poprzedni stan Rejestru zaznaczając w zakładce Backups programu RegCleaner plik utworzony w p.2 tego Ćwiczenia i naciskając przycisk Restore Backup (Inny sposób to: pracując w Explorerze, klikając dwukrotnie na tym pliku, można przywrócić poprzedni stan Rejestru.) 4. Odinstalować program RegCleaner wybierajac w zakładce Options RegCleaner pozycję Unistall RegCleaner. Ćwiczenie 12 (Polecenie reg praca z Rejestrem w wierszu polecenia) Celem ćwiczenia jest takie zmodyfkowanie Rejestru, aby w menu kontekstowym foldera przeglądanego za pomocą Explorera była dostępna opcja uruchamianie okna wiersza polecenia w tym folderze (taka możliwość jest znana zwykle pod nazwą CMD Here). Modyfikacje będą dotyczyć klucza HKEY_CLASSES_ROOT\Folder\shell (czyli w notacji polecenia reg klucza HKCR\Folder\shell). 1. Pracując jako Administrator otworzyć okno wiersza poleceń i przejść do katalogu d:\zaj6. Polecenie reg wyświetla podpowiedzi po użyciu opcji /?, np.: reg /? reg query /? Wyświetlić zawartość klucza HKCR\Folder\shell: reg query HKCR\Folder\shell (powinny w nim być m.in. podklucze open i explore) oraz ponownie ze wszystkimi podkluczami i wartościami: reg query HKCR\Folder\shell /s 2. Dodać nowy podklucz grupa\command (gdzie grupa to nazwa grupy studenckiej, np. id213): reg add HKCR\Folder\shell\grupa\command Dodać nową wartość (nie mającą nazwy) definiującą napis pojawiający się w menu kontekstowym: reg add HKCR\Folder\shell\grupa /ve /t REG_SZ /d CMD zrobiony przez grupa oraz zmodyfikować wartość (również nie mającą nazwy, dlatego używana jest opcja /ve) definiującą postać uruchamianego polecenia (akceptując komunikat ostrzegawczy o konieczności nadpisania istniejącej już wartości) : reg add HKCR\Folder\shell\grupa\command /ve /t REG_SZ /d d:\windows\system32\cmd.exe /k cd \ %l\ (Uwaga: l powyżej to litera 'el') Sprawdzić poprawność operacji wykonując: reg query HKCR\Folder\shell\grupa /s 3. Uruchomić Explorer, przejść do foldera D:\Documents and Settings, wyświetlić menu kontekstowe prawym przyciskiem myszy. Powinna być w nim pozycja CMD zrobiony przez... Po jej wybraniu powinno Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 10

11 Wersja: 3.1, uruchomić się okno wiersza poleceń z katalogiem bieżącym D:\Documents and Settings. 4. Pracując w oknie wiersza poleceń w katalogu d:\zaj6, wyeksportować zdefiniowany podklucz: reg export HKCR\Folder\shell\grupa grupa.reg 5. Usunąć zdefiniowany podklucz: reg delete HKCR\Folder\shell\grupa 6. Zaimportować zawartość pliku grupa.reg: reg import grupa.reg Sprawdzić poprawność operacji wykonując: reg query HKCR\Folder\shell\grupa /s 7. Ponownie usunąć klucz jak w p 5. Ćwiczenie 13 [Dodatkowe] (Inne możliwości polecenia reg ) Polecenie reg pozwala wykonać dwie operacje, których nie ma w edytorze regedit: porównanie kluczy oraz kopiowanie kluczy łącznie z ich zawartością. Te operacje mogą być wykonywane na lokalnym i zdalnym Rejestrze. 1. Pracując jako Administrator użyć edytora regedit aby dodać nową wartość o nazwie NAZWISKO i typie REG_SZ w kluczu HKEY_USERS\.DEFAULT\Environment (czyli HKU\.DEFAULT\Environment). Jako daną dla tej wartości przypisać swoje nazwisko. 2. Gdy partner pracujący na drugim komputerze w zespole (szyyy) wykona taką modyfikację, użyć polecenia reg do porównania postaci kluczy na lokalnej i zdalnej maszynie: reg compare \\szyyy\hku\.default\environment \\. /s Powinny być wyświetlone różnice w ustawieniach wartości NAZWISKO. 3. Skopiować klucz łącznie z całą zawartością do klucza HKEY_CURRENT_USER\Environment: reg copy \\szyyy\hku\.default\environment HKCU\Environment\grupa /s gdzie grupa to nazwa grupy studenckiej. Używając edytora regedit, obejrzeć zawartość klucza HKEY_CURRENT_USER\Environment, powinien pojawić się w nim podklucz grupa z zawartością pochodzącą z komputera szyyy. Usunąć podklucz grupa. Ćwiczenie 14 [Dodatkowe] (X-Setup Pro) 1. Używając pliku \zaj6\x-setup\xqdcxsp-setup-en-6.5.zip zainstalować bezpłatne narzędzie konfiguracyjne systemów Windows 95/98/Me oraz NT4/2000/XP/2003 czyli program X-Setup Pro (wersja 6.5). Jest to bardzo wygodne i rozbudowane narzędzie konfiguracyjne, którego działania przekładają się na modyfikowanie zawartości Rejestru. Po uruchomieniu programu X-Setup Pro w trybie Classic, upewnić się, ze w ustawieniach File Options Display Plug-ins jest zaznaczona pozycja Display only plug-ins that match the current Operating System. Jeśli tak jest, to program X-Setup Pro będzie prezentował tylko te wtyczki (plug-ins), które wg. jego twórców mają zastosowanie do systemu Windows Server 2003 (a niektóre z nich także do innych wersji Windows). (Identyfikacja wtyczek możliwych do wykorzystania w konkretnej odmianie systemu MS Windows jest wykonywana na podstawie parametru OSVERSION w pliku źródłowym wtyczki (pliki.xpl, przykładowy plik XQ AMD Win2k Check.xpl). Ten parametr ma postać siedmiu cyfr zero-jedynkowych. Jeśli na siódmym miejscu występuje jedynka, to znaczy, że wtyczka może być użyta w Windows Server Jeśli parametr OSVERSION nie jest zdefiniowany, to wtyczka może być użyta we wszystkich wersjach systemów MS Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 11

12 Wersja: 3.1, Windows) Zapoznać się z programem. Odinstalować ten program (Control Panel Add or Remove Programs ). 2. Nowsza wersja programu X-Setup Pro (wersja 7.0) umieszczona w pliku \zaj6\x-setup\xqdcxsp-setup-en-7.0.zip jest już wersją typu shareware. Jej możliwości zostały rozbudowane. Wtyczki zostały przepisane na język XML i są przechowywane w plikach.xppl (przykładowy plik XQ AMD Win2k Check.xppl). Identyfikacja wtyczek możliwych do wykorzystania w konkretnej odmianie systemu MS Windows jest wykonywana na podstawie znacznika <xspitem-osversion> w którym jawnie wymieniane są oznaczenia dopuszczalnych wersji systemów Windows np. <win2003>1</win2003>. Jeśli znacznik <xspitem-osversion> nie jest zdefiniowany, to wtyczka może być użyta we wszystkich wersjach systemów MS Windows. Ćwiczenie 15 (Porządki) 1. Pracując jako Administrator, zaimportować plik d:\ntrej\szxxx.hklm.software.reg (utworzony w punkcie 1 Ćwiczenia 2). Można to zrobić poleceniem regedit nazwa-pliku, albo uruchamiając regedit, wybierając w menu File polecenie Import... oraz podając ścieżkę i nazwę pliku, albo w Explorerze dwukrotnie klikając na nazwie pliku. 2. Używają edytora regedit zaimportować binarny plik hive (utworzony w punkcie 2 Ćwiczenia 2) w następujący sposób: podświetlić klucz HKEY_USERS\.DEFAULT, w menu File wybrać Import..., w rubryce Files of type wybrać Registry Hive Files (*.*), po czym wskazać plik d:\ntrej\szxxx.hku.default.hiv i zaakceptować. W okienku Confirm Restore Key zaakceptować komunikat ostrzegawczy: The key will be restored on top of key:.default. All value entries and subkeys of this key will be deleted. 3. Używając regedit usunąć wartość LogonPrompt w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon która mogła się tu pojawić po Ćwiczeniu Usunąć konto użytkownika ntrej. Usunąć katalog d:\ntrej. Usunąć wszystkie profile użytkownika o nazwie Account Unknown z zakładki Control Panel System Advanced ramka User Profiles przycisk Settings. Usunąć katalog d:\zaj6 łącznie z całą zawartością. Laboratorium Windows Server 2003 (P.Kowalski, A.Skirmunt) 12

13 Wersja 3.4, ZAJĘCIA 8 - ZAKRES PRAC I MATERIAŁY POMOCNICZE ZAKRES PRAC 1. Omówienie wyników Sprawdzianu 1 2. Wybrane aspekty pracy serwera autonomicznego Windows Server 2003 w sieci 2.1. Definiowanie i usuwanie roli serwera plików 2.2. Włączanie, konfigurowanie i wyłączanie Volume Shadow Copies polecenia vssadmin, schtasks 2.3. Konfiguracja systemu plików DFS 2.4. Udostępniania zasobów lokalnych w sieci i modyfikowanie uprawnień do udziałów przy użyciu menu kontekstowego foldera oraz przystawki Shared Folders 2.5. Ukrywanie przed niepowołanymi użytkownikami wybranego udziału sieciowego 2.6. Ukrywanie przed niepowołanymi użytkownikami wybranego komputera w sieci z grupami roboczymi polecenie net config 2.7. Ukrywanie przed niepowołanymi użytkownikami zawartości wybranego udziału w oparciu o uprawnienia i dodatek Access-based Enumeration ABE 2.8. Osiąganie dostępu do nie udostępnionych, w sposób jawny, zasobów zdalnego komputera z wykorzystaniem specjalnych, administracyjnych zasobów udostępnionych 2.9. Sprawdzenie możliwości uzyskania dostępu do udostępnionego w sieci zasobu z poziomu Command Prompt przy użyciu polecenia net view Udostępnianie zasobów lokalnych w sieci, udzielanie uprawnień oraz usuwanie udziału z poziomu Command Prompt przy użyciu polecenia net share Tworzenie połączenia ze zdalnym zasobem i odłączanie zamapowanego zasobu za pomocą polecenia net use Wyświetlanie listy procesów uruchomionych na zdalnym komputerze i ich zamykanie polecenia tasklist i taskkill Zdalne udostępnianie folderów oraz konfiguracja obsługi plików trybu offline przykład jednej z możliwości Wyświetlanie bieżących wartości konfiguracyjnych protokołu TCP/IP w sieci i ich zapis do pliku oraz manipulowanie dzierżawą DHCP Definiowanie parametrów IP w trybie wsadowym za pomocą narzędzia Netsh Tworzenie, kopiowanie i usuwanie profilu sprzętowego przypadek profilu bez karty sieciowej Szybkie odłączanie lokalnego komputera od lokalnej sieci i przywracanie tego połączenia Liczba ćwiczeń: 21 1

14 Wersja 3.4, MATERIAŁY POMOCNICZE 1 Wybrane informacje dotyczące zagadnień realizowanych podczas ćwiczeń 1.1 Serwer plików Serwery plików umożliwiają dostęp do plików i zarządzanie nimi. Planując wykorzystanie miejsca na dysku komputera do przechowywania i udostępniania takich informacji, jak pliki i aplikacje dostępne w sieci oraz zarządzania nimi, należy skonfigurować komputer jako serwer plików. Rola serwera plików jest automatycznie, lecz nie ze wszystkimi opcjami (m.in. nie jest tworzona w Administrative Tools konsola File Server Management), ustanawiana dla systemu Windows Server 2003 już podczas dokonania operacji udostępnienia jakiegokolwiek foldera. Po skonfigurowaniu roli serwera plików można wykonywać m. in. następujące czynności: Można korzystać z przydziałów dysku na woluminach sformatowanych w systemie plików NTFS, aby monitorować i ograniczać ilość miejsca na dysku dostępną dla poszczególnych użytkowników. Można także określić, czy zdarzenie ma być rejestrowane w dzienniku, gdy użytkownik przekroczy określony limit miejsca na dysku lub gdy przekroczy określony poziom ostrzegawczy miejsca na dysku (tj. punkt, w którym zbliża się do limitu przydziału). Aby szybko i bezpiecznie wyszukiwać informacje, lokalnie lub w sieci, należy używać usługi indeksowania. Zestaw zalecanych przez firmę Microsoft uprawnień (dla grupy Users) dotyczących określonych typów folderów udostępnionych dla serwera plików i inne ważne uwagi zamieszczono w pliku \zaj8\docs\zalecane_uprawnienia_do_serwera_plikow.doc. 1.2 Przystawka Foldery udostępnione (Shared Folders) Przystawka Shared Folders (Foldery udostępnione) występuje w systemie zarówno jako element samodzielny, jak i element składowy innych przystawek. Przykładem może być m. in. występowanie węzła Shared Folders w przystawce Computer Management, czy w zarządzaniu rolą Serwera Plików. Korzystając z Shared Folders, można wyświetlić podsumowanie dotyczące połączeń i wykorzystania zasobów dla komputerów lokalnych i zdalnych. Foldery udostępnione zastępują składniki związane z zasobami w Panelu sterowania systemu Microsoft Windows NT 4.0 Server. Za pomocą Shared Folders można m. in.: Tworzyć i wyświetlać zasoby udostępnione oraz ustawiać ich uprawnienia. Wyświetlić listę wszystkich użytkowników, którzy nawiązali połączenie z komputerem za pośrednictwem sieci i odłączyć jednego lub wszystkich użytkowników. Wyświetlić listę plików otwartych przez zdalnych użytkowników, a także zamknąć jeden lub wszystkie otwarte pliki. Aby korzystać z Shared Folders, użytkownik musi być zalogowany jako członek grupy Administrators, Server Operators, lub Power Users. Więcej informacji na temat Folderów udostępnionych znajduje się pliku \zaj8\docs\shared_folders.doc. 1.3 Zarządzanie folderami udostępnionymi z wiersza polecenia W celu zarządzania zasobami udostępnionymi, oprócz Shared Folders i Eksploratora Windows, można używać następujących narzędzi wiersza polecenia: Nazwa Zastosowanie net file Umożliwia wyświetlanie oraz kontrolę nad zasobami udostępnionymi w sieci. Aby można było korzystać z tego polecenia, musi być uruchomiona usługa Serwer. net config Umożliwia m. in. wyświetlanie maksymalnej liczby użytkowników, którzy mają dostęp do zasobu udostępnionego, oraz maksymalnej liczby plików otwartych podczas sesji. 2

15 Wersja 3.4, net use Umożliwia podłączanie komputera do zasobu udostępnionego i odłączanie go od takiego zasobu. net session Umożliwia zarządzanie połączeniami serwera. net share Umożliwia tworzenie, usuwanie, zarządzanie i wyświetlanie zasobów udostępnionych. Umożliwia wyświetlanie informacji o domenach, komputerach lub zasobach, które są net view udostępniane przez określony komputer, w tym informacji o ustawieniach buforowania klientów w trybie offline. net help Pozwala wyświetlić pomoc dla poleceń dotyczących sieci. 1.4 Uprawnienia udziału (Share permissions) Aby wykonać udostępniania udziału, użytkownik musi być zalogowany jako członek grupy Administrators, Server Operators lub Power Users. Jeśli komputer jest podłączony do sieci, wykonanie tej procedury mogą uniemożliwiać ustawienia zasad sieci. Zasób udostępniony (Shared resource) zapewnia dostęp do aplikacji i danych, w tym także danych osobistych użytkownika. W przypadku każdego zasobu udostępnionego można przypisać uprawnienia lub ich odmówić. Dostęp do udostępnianych zasobów można kontrolować za pomocą różnych metod. Można skorzystać z uprawnień udziału, które są najprostsze do stosowania i zarządzania. Można także zastosować kontrolę dostępu w ramach systemu plików NTFS, która zapewnia bardziej szczegółową kontrolę nad udostępnionym zasobem i jego zawartością. Można również posłużyć się kombinacją wymienionych metod. W przypadku użycia kombinacji metod zawsze będzie stosowana bardziej restrykcyjna interpretacja uprawnień. Na przykład jeśli uprawnienie udziału ma ustawienie Everyone = Read (czyli domyślne), a uprawnienie NFTS zezwala użytkownikom na wprowadzanie zmian w udostępnionym pliku, to obowiązuje uprawnienie udziału i użytkownikowi nie wolno zmienić pliku. Nie zawsze trzeba jawnie odmówić uprawnienia do zasobu udostępnionego. Zazwyczaj odmowa uprawnienia jest niezbędna tylko wtedy, gdy trzeba zastąpić konkretne i już przyznane uprawnienie. Ważne W systemach z rodziny Windows Server 2003 utworzenie nowego zasobu udostępnionego powoduje automatyczne przydzielenie grupie Everyone uprawnienia Read, które jest najbardziej restrykcyjne. Uprawnienia udziału: Są stosowane tylko wobec użytkowników uzyskujących dostęp do zasobu za pośrednictwem sieci. Nie dotyczą użytkowników logujących się lokalnie, np. na serwerze terminali. W takich wypadkach uprawnienia należy ustawić za pomocą kontroli dostępu w ramach systemu plików NTFS. Są stosowane do wszystkich plików i folderów w zasobie udostępnionym. Jeśli zachodzi konieczność bardziej szczegółowego zabezpieczenia podfolderów lub obiektów w folderze udostępnionym, należy użyć kontroli dostępu w ramach systemu plików NTFS. Stanowią jedyny sposób zabezpieczenia zasobów sieciowych na woluminach systemu plików FAT i FAT32, ponieważ uprawnienia systemu plików NTFS są na tych woluminach niedostępne. Określają maksymalną liczbę użytkowników, którzy mogą uzyskiwać dostęp do zasobu udostępnionego za pośrednictwem sieci. Jest to funkcja dodatkowa wobec zabezpieczeń systemu plików NTFS. Do udostępnionych folderów i stacji dysków można zastosować następujące typy uprawnień dostępu:, Read (Odczyt) Uprawnienie Read jest uprawnieniem domyślnym, które jest przypisywane grupie Everyone. Uprawnienie Read umożliwia: Przeglądanie nazw plików i podfolderów Przeglądanie danych w plikach Uruchamianie plików programów Change (Zmiana) Uprawnienie Change nie jest domyślne dla żadnej grupy. Uprawnienie Change umożliwia przeprowadzanie tych samych operacji, co uprawnienie Read, a ponadto: Dodawanie plików i podfolderów Zmienianie danych w plikach Usuwanie podfolderów i plików Full Control (Pełna kontrola) 3

16 Wersja 3.4, Uprawnienie Full Control jest przydzielane domyślnie grupie Administrators na komputerze lokalnym. Pełna kontrola umożliwia przeprowadzanie wszystkich operacji dozwolonych dla uprawnień Read i Change, a ponadto: Zmienianie uprawnień (tylko pliki i foldery systemu NTFS). 1.5 Ważne wskazówki dotyczące dostępu do zasobów Przypisywać uprawnienia do grup, a nie do kont użytkowników. Przypisywanie uprawnień do grup upraszcza zarządzanie zasobami udostępnionymi, ponieważ pozwala dodawać i usuwać użytkowników z grup, a nie zmusza do ponownego przypisywania uprawnień. Aby odmówić dostępu do zasobu udostępnionego, należy odmówić (Deny) uprawnienia Full Control. Przypisywać uprawnienia najbardziej restrykcyjne, umożliwiając jednak użytkownikom wykonywanie wymaganych zadań. Dla przykładu, jeżeli użytkownicy potrzebują jedynie odczytywać informacje w folderze, lecz nigdy nie będą usuwać, tworzyć ani zmieniać plików, należy przypisać im uprawnienie Read. Jeśli użytkownicy logują się lokalnie w celu uzyskiwania dostępu do zasobów udostępnionych, na przykład na serwerze terminali, ustawiać uprawnienia przy użyciu systemu plików NTFS lub kontroli dostępu. Uprawnienia udziału są stosowane tylko w przypadku tych użytkowników, którzy uzyskują dostęp do zasobów udostępnionych w sieci, nie są natomiast stosowane do użytkowników logujących się lokalnie. W takiej sytuacji należy użyć systemu plików NTFS i kontroli dostępu. Organizować zasoby tak, aby obiekty o tych samych wymaganiach zabezpieczeń były zlokalizowane w tym samym folderze. Na przykład, jeżeli użytkownicy wymagają uprawnienia Read do kilku folderów aplikacji, należy przechowywać te foldery aplikacji w tym samym folderze nadrzędnym. Następnie należy udostępnić folder nadrzędny zamiast każdego folderu aplikacji z osobna. Należy zauważyć, że w razie konieczności zmiany lokalizacji aplikacji może zaistnieć potrzeba jej ponownego zainstalowania. Udostępniając aplikacje, organizować wszystkie aplikacje udostępnione w jednym folderze. Organizowanie wszystkich aplikacji w jednym udostępnionym folderze upraszcza administrację, ponieważ instalowanie i uaktualnianie oprogramowania jest dokonywane z jednej lokalizacji. Aby zapobiec problemom z dostępem do zasobów sieciowych, nie odmawiać uprawnień grupie Everyone. Do grupy Everyone należy każdy użytkownik, który ma dostęp do zasobów sieciowych, w tym konto Guest. Wyjątek stanowią członkowie grupy Anonymous Logon. Unikać jawnego odmawiania uprawnień do zasobu udostępnionego. Zwykle jawna odmowa uprawnienia (Deny) jest niezbędna tylko wtedy, gdy trzeba zastąpić konkretne i już przyznane uprawnienie. Ograniczyć członkostwo w grupie Administrators i przypisać jej uprawnienie Full Control. Umożliwia to administratorom zarządzanie oprogramowaniem aplikacji oraz kontrolowanie praw użytkowników. W większości wypadków nie zmieniać domyślnego uprawnienia Read grupy Everyone. Do grupy Everyone należy każdy użytkownik mający dostęp do zasobów sieciowych, w tym konto Guest. W większości wypadków nie należy zmieniać tego ustawienia domyślnego, chyba że zamierza się pozwolić użytkownikom na wprowadzanie zmian w plikach i obiektach zasobu udostępnionego. Udzielać uprawnień dostępu za pośrednictwem kont użytkowników domeny. Na komputerach połączonych z domeną, należy udzielać dostępu do zasobów udostępnionych za pośrednictwem kont użytkowników domeny, a nie kont użytkowników lokalnych. Umożliwia to scentralizowanie administracji uprawnieniami udziału. Używać scentralizowanych folderów z danymi. Scentralizowane foldery z danymi ułatwiają zarządzanie zasobami i wykonywanie kopii zapasowych danych. Używać krótkich, intuicyjnych etykiet zasobów udostępnionych. Dzięki temu zasoby udostępnione będą łatwo rozpoznawane i dostępne dla użytkowników oraz wszystkich klienckich systemów operacyjnych. Używać zapory. Zapora chroni zasoby udostępnione przed dostępem za pośrednictwem Internetu. W systemie Windows XP i w systemach z rodziny Windows Server 2003 można korzystać z wielu nowych funkcji zapory. 1.6 Specjalne zasoby udostępnione (Special Shared Folders) Zależnie od konfiguracji komputera niektóre lub wszystkie z następujących specjalnych zasobów udostępnionych są tworzone automatycznie do użytku systemowego i administracyjnego. Te zasoby udostępnione są niewidoczne w 4

17 Wersja 3.4, oknie My Computer, ale można je przeglądać za pomocą np. przystawki Shared Folders (Foldery udostępnione). W większości przypadków specjalnych zasobów udostępnionych nie należy modyfikować ani usuwać. Aby ukryć inny zasób udostępniony przed użytkownikami, należy wpisać $ jako ostatni znak w jego nazwie (znak $ staje się częścią nazwy zasobu). Tego rodzaju foldery udostępnione są ukrywane w Eksploratorze Windows, podobnie jak specjalne zasoby udostępnione, ale w innych wypadkach nie są traktowane jak zasoby specjalne W przypadku zmiany uprawnień do specjalnych zasobów udostępnionych, takich jak ADMIN$, ustawienia domyślne można przywrócić, zatrzymując i ponownie uruchamiając usługi serwera oraz ponownie uruchamiając komputer. Należy zauważyć, że nie dotyczy to utworzonych przez użytkowników zasobów udostępnionych, których nazwa udziału kończy się znakiem $. W przystawce Shared Folders, w węźle Shares są widoczne niektóre lub wszystkie z opisanych niżej administracyjnych zasobów udostępnionych. Inne aplikacje mogą tworzyć dodatkowe specjalne zasoby udostępnione litera dysku$ Folder udostępniony, który pozwala administratorowi łączyć się z katalogiem głównym dysku. Folder taki jest wyświetlany jako np. C$, D$ itd. ADMIN$ Zasób wykorzystywany podczas zdalnego administrowania komputerem. Ścieżka tego zasobu jest zawsze ścieżką do katalogu głównego systemu (katalogu, w którym zainstalowano system operacyjny, na przykład C:\WINDOWS). IPC$ Zasób udostępniający tzw. potoki nazwane, które są niezbędne do komunikacji między programami. Zasobu IPC$ używa się podczas zdalnego administrowania komputerem i podczas przeglądania udostępnionych zasobów komputera. Nie można usunąć tego zasobu. PRINT$ Zasób wykorzystywany podczas zdalnego administrowania drukarką. NETLOGON Zasób wymagany, używany na kontrolerach domen. Usunięcie tego zasobu udostępnionego powoduje utratę funkcji wszystkich komputerów klienckich obsługiwanych przez kontroler domeny. FAX$ Folder udostępniony serwera, wykorzystywany przez klientów faksu podczas wysyłania faksów. Folder udostępniony jest wykorzystywany do tymczasowego buforowania plików i uzyskiwania dostępu do stron tytułowych przechowywanych na serwerze. SYSVOL Zasób wymagany, używany na kontrolerach domen. Usunięcie tego zasobu udostępnionego powoduje utratę funkcji wszystkich komputerów klienckich obsługiwanych przez kontroler domeny. UWAGA: Możliwe jest osiąganie dostępu do jawnie nie udostępnionych zasobów zdalnego komputera przez zastosowanie znaku $ w wydawanej w Start Run ścieżce dostępu, w notacji UNC, np.: \\nazwa_zdalnego_komputera/d$. W tym przypadku osiągana jest zawartość partycji D: zdalnego komputera. W uzasadnionych przypadkach, ze względów bezpieczeństwa, można uniemożliwić korzystanie z takiego dostępu np. wprowadzając stosowny wpis w Rejestrze zdalnego komputera patrz plik \zaj8\docs\no_udzialy_adm.txt. 1.7 Rozproszony system plików (DFS, Distributed File System) Dzięki rozproszonemu systemowi plików (DFS, Distributed File System) administratorzy systemów mogą ułatwiać użytkownikom dostęp do plików i zarządzanie plikami, które są fizycznie rozproszone po sieci. Dzięki systemowi DFS pliki rozmieszczone w wielu serwerach z punktu widzenia użytkowników wyglądają tak, jak gdyby znajdowały się w jednym miejscu w sieci. Użytkownicy nie muszą już znać ani podawać rzeczywistej fizycznej lokalizacji plików, aby uzyskać do nich dostęp. Jeśli, przykładowo, pewne materiały marketingowe znajdują się na różnych serwerach w domenie, to dzięki systemowi DFS można stworzyć wrażenie, jakby całość materiałów znajdowała się na jednym serwerze. Dzięki temu użytkownicy nie muszą już sięgać do różnych lokalizacji w sieci, aby uzyskać potrzebne informacje. Kiedy korzystać z systemu DFS Implementację systemu DFS należy rozważyć, jeśli: 5

18 Wersja 3.4, Przewidywane jest dodawanie serwerów plików lub modyfikowanie lokalizacji plików. Użytkownicy, którzy korzystają z dostępu do elementów docelowych (targets) są rozproszeni po wielu miejscach. Większość użytkowników potrzebuje dostępu do wielu elementów docelowych. Dzięki redystrybucji elementów docelowych można lepiej równoważyć obciążenia serwerów. Użytkownicy potrzebują nieprzerwanego dostępu do elementów docelowych. Firma ma witryny sieci Web do użytku wewnętrznego lub zewnętrznego. Typy systemów DFS Rozproszony system plików można zaimplementować na dwa sposoby: jako autonomiczny główny (Stand-alone Root) system plików lub jako system DFS oparty na domenie (Domain Root). Dostęp do elementów docelowych systemu DFS z innych komputerów W skład systemu Windows Server 2003 oprócz serwerowego składnika DFS wchodzi również kliencki składnik DFS. Klient DFS buforuje odwołania (referral) do katalogu głównego DFS (DFS Root) lub łącza systemu DFS (DFS Link) przez określony czas zdefiniowany przez Administratora. Systemem DFS można zarządzać przy użyciu konsoli Distributed File System lub polecenia dfscmd. Klient systemu DFS działa na wielu różnych platformach Windows. UWAGA: Za działanie systemu DFS odpowiedzialna jest usługa systemowa Distributed File System. W MS Windows Server 2003 SP1 jest ona domyślnie wyłączona. Więcej wybranych informacji na temat rozproszonego systemowi plików znajduje się w pliku \zaj8\docs\dfs.doc. 1.8 Funkcja/usługa kopiowania woluminów w tle (Volume Shadow Copy) Funkcja kopiowania w tle folderów udostępnionych (Shadow Copies of Shared Folders) umożliwia tworzenie bieżących kopii plików należących do zasobów udostępnionych, takich jak serwer plików. Dzięki tej funkcji można przeglądać udostępnione pliki i foldery w stanie, w jakim znajdowały się w określonym momencie w przeszłości. Uzyskanie dostępu do poprzednich wersji plików lub kopii w tle jest szczególnie przydatne w sytuacjach gdy należy: Odzyskać przypadkowo usunięte pliki. Jeżeli dany plik został przypadkowo usunięty, można otworzyć jego poprzednią wersję i skopiować ją do bezpiecznej lokalizacji. Odzyskać przypadkowo zastąpiony plik. Jeżeli dany plik został przypadkowo zastąpiony, można odzyskać jego poprzednią wersję (np. poprzez wybranie Save zamiast Save As...). Porównać wersje plików podczas pracy. Dzięki poprzednim wersjom można sprawdzić, jakie zmiany zaszły między dwoma wersjami pliku. Dostęp do części serwera funkcji kopiowania w tle folderów udostępnionych można uzyskać w oknie dialogowym Local Disk Properties (Właściwości dysku lokalnego) na karcie Shadow Copies (Kopie w tle). Oprogramowanie klienckie kopiowania w tle folderów udostępnionych znajduje się na serwerze i trzeba je wdrożyć na komputerach klienckich. Widok klienta kopii w tle jest dostępny w oknie dialogowym Properties (Właściwości) udostępnionego pliku lub folderu na karcie Previous Versions (Poprzednie wersje). Uwagi: Kopie w tle są dostępne jedynie na woluminach z systemem plików NTFS. Kopie w tle są dostępne jedynie w systemach, gdzie zainstalowano Dodatek dla klientów Usług kopiowania woluminów w tle (Twcli32.msi) (dla systemów Windows Server 2003 nie ma potrzeby jego instalacji). Dla systemu Windows XP Professional można instalować klienta usługi z lokalizacji \\%systemroot%\system32\clients\twclient w folderze instalacyjnym Windows Server Dla pozostałych systemów (tylko: Windows 2000 Professional, Windows 2000 Server, Windows 98) Dodatek jest dostępny na stronie firmy Microsoft wyszukując: ShadowCopyClient. Więcej wybranych informacji na temat funkcji kopiowania w tle znajduje się w pliku \zaj8\docs\kopie_w_tle.doc. 1.9 Program Pliki trybu offline Dla zwiększenia niezawodności i dostępności współdzielonych folderów, partycje NTFS umożliwiają tworzenie lokalnych kopii plików i folderów zawartych w sieciowym udziale. Wykorzystywana jest tu funkcja Client-Side Caching (CSC). Pliki obsługiwane przez tą funkcję są nazywane plikami odłączonymi, plikami offline (offline files). 6

19 Wersja 3.4, Według terminologii firmy Microsoft za realizację wspomnianej wyżej funkcji jest odpowiedzialny program Pliki trybu offline. Po utracie połączenia z siecią lub oddokowaniu przenośnego komputera udostępnione zasoby sieciowe (które zostały tak skonfigurowane, że są dostępne w trybie offline) są nadal widoczne, tak jak wtedy, gdy komputer był podłączony do sieci. Można kontynuować normalną pracę z tymi elementami. Ma się wtedy te same uprawnienia dostępu do tych plików i folderów, jakimi dysponuje się wtedy, gdy komputer jest podłączony do sieci. Kiedy stan połączenia sieciowego ulegnie zmianie, w obszarze powiadomień pojawia się ikona programu Pliki trybu offline, a nad nią może (w zależności od sposobu konfiguracji) zostać wyświetlany dymek informacyjny, który powiadamia użytkownika o zaistniałej zmianie. Kiedy łączność z siecią jest odzyskiwana lub komputer przenośny jest dokowany, wszystkie zmiany wprowadzone podczas pracy w trybie offline są domyślnie wprowadzane do sieci (możliwe są również inne tryby synchronizacji). Jeśli dwoje użytkowników w sieci wprowadzało zmiany do tego samego pliku, każdy z nich może zapisać w sieci swoją wersję pliku, może zachować tę drugą wersję lub może zapisać obie wersje. Więcej informacji na temat trybu offline dla zasobów udostępnionych znajduje się w pliku \zaj8\docs\offline.doc Ukrywanie przed niepowołanymi użytkownikami zawartości wybranego udziału w oparciu o uprawnienia i dodatek Access-based Enumeration (ABE) Dysponując systemem MS Windows Server 2003 SP1 można dodać rozszerzenie Access-based Enumeration (ABE). Jego zainstalowanie umożliwia, w udostępnionym udziale, ukrywanie jego zawartości dla użytkowników nie posiadających uprawnień do poszczególnych plików i folderów. Funkcję Access-based Enumeration można włączyć dla wybranego pojedynczego udostępnianego zasobu lub dla wszystkich udostępnianych folderów. Dodatek ABE można pobierać z witryny: B030AC442084&displaylang=en Korzystanie z ABE możliwe jest przy użyciu GUI lub narzędzia wiersza polecenia (ABEcmd.exe). Więcej informacji znajduje się w pliku \zaj8\docs\abewhitepaper.doc. Po zainstalowaniu ABE plik ten tworzy się w poniższej, domyślnej lokalizacji: \Program Files\Microsoft Corporation\Windows Server 2003 Access-based Enumeration\. 7

20 Wersja 3.4, ZAJĘCIA 8 - ĆWICZENIA Ćwiczenie 1 (Przygotowania) 1. Uwaga: Bieżące ćwiczenia winny być wykonywane w dwuosobowych zespołach i przy użyciu dwóch wersji instalacyjnych systemu Windows Server Jeden z członków zespołu winien uruchomić Windows Server 2003, Instalacja standardowa. Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). 3. Drugi członek zespołu winien uruchomić Windows Server 2003, Kontroler domeny i po zalogowaniu się jako Administrator wykonać poniższe czynności zmierzające przede wszystkim do zmiany sposobu uzyskiwania adresu IP i przynależności do grupy roboczej. W Properties dla Control Panel Network Connections Local Area Connection zaznaczyć Internet Protocol (TCP/IP) i użyć Properties. W pojawiającym się oknie zaznaczyć pole Obtain an IP address automatically i zatwierdzić. W Properties dla My Computer wybrać kartę Computer Name, przycisk Change... W pojawiającym się oknie użyć More..., usunąć (jeżeli istnieje) całą nazwę z pola Primary DNS suffix of this computer: i zatwierdzić. Wprowadzić właściwą nazwę komputera w polu Computer name:, dla pola Workgroup: wprowadzić WS2003LAB i zatwierdzić. 4. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnej partycji D: folder \\oceanic\staff\ws2003lab\lab2006\zaj8 z zachowaniem jego nazwy zaj8. 5. Dokonać synchronizacji lokalnego czasu systemowego z komputerem (szkkk) wskazanym przez prowadzącego zajęcia wprowadzając w Command Prompt: net time \\szkkk /set 6. Otworzyć Command Prompt i uruchomić skrypt d:\zaj8\konfiguracja8.cmd wydając polecenie: d:\zaj8\konfiguracja8.cmd nazwa_grupy_studenckiej nazwa_komputera W wyniku tej operacji winny zostać utworzone konta: bilbo-grupa (hasło: bilbo, grupa lokalna Users), cent-grupa (hasło: cent, grupa lokalna Users), admin-grupa (hasło: admin, dodatkowa grupa lokalna Administrators) oraz stosowne foldery i pliki. Wylogować się. 7. Zalogować się jako bilbo-grupa i sprawdzić czy istnieje możliwość udostępniania jakiegokolwiek foldera. Nie powinno się to udać. Wylogować się. 8. Zalogować się jako cent-grupa i wylogować się. 9. Zalogować się jako admin-grupa i otworzyć np. My Computer, wybrać Tools Foder Options View i odznaczyć opcję Hide protected operating system files (Recommended). 10. Dodać ikonę sygnalizacji istnienia połączenia sieciowego na pasku zadań wybierając np. Control Panel Network Connections Local Area Connection Properties i zaznaczając pole Show icon in notification area when connected. Ćwiczenie 2 (Wyświetlanie bieżących wartości konfiguracyjnych protokołu TCP/IP w sieci i ich zapis do pliku oraz manipulowanie dzierżawą DHCP) 1. Pracując jako admin-grupa z menu kontekstowego ikony Local Area Conection wybrać Status. W oknie Local Area Conection Status wybrać Properties a następnie zaznaczyć Internet Protocol (TCP/IP) i użyć Properties. W oknie Internet Protocol (TCP/IP) Properties zauważyć, że zaznaczone jest pole Obtain IP Address Automatically. Oznacza to, że komputer automatycznie uzyskuje wartości protokołu TCP/IP z serwera DHCP. Alternatywą tej metody jest przydzielanie parametrów protokołu w sposób statyczny ręczny. W dwóch ostatnio otwartych oknach użyć Cancel. 2. W oknie Local Area Conection Status wybrać kartę Support, a na niej użyć Details... W oknie Network Connection Details wyświetlane są wartości parametrów TCP/IP. Zamknąć wszystkie okna związane z ikoną Local Area Conection. 3. Zapoznać się, przy użyciu Command Prompt, ze składnią polecenia ipconfig wprowadzając: ipconfig /? 8

21 Wersja 3.4, Wyświetlić i zapisać do pliku d:\zaj8\config.txt informacje o bieżącej konfiguracji protokołu TCP/IP wydając polecenia: ipconfig /all ipconfig /all > d:\zaj8\config.txt 5. Zwolnić systemowy adres IP (lub adres odpowiadający określonej karcie sieciowej) wydając polecenie: ipconfig /release Podjąć próbę połączenia siecią. Próba nie powinna się udać. Sprawdzić parametry konfiguracyjne TCP/IP poleceniem ipconfig (jako adres IP otrzymuje się ). Uwaga: W sytuacji, gdy istnieją w systemie inne, poza TCP/IP, protokoły transmisji lub klienci Novell taka próba mogła by się udać. Po ponownym uruchomieniu komputera automatycznie zostaje przywrócony adres IP (nie restartować komputera). Można to również osiągnąć wybierając np. Control Panel Network Connections Local Area Connection Properties Repair. 6. Odnowić systemowy adres IP (lub adres odpowiadający określonej karcie sieciowej) wydając polecenie: ipconfig /renew Podjąć próbę połączenia z innym komputerem w sieci wykorzystując Start Run. Próba powinna się udać. Ćwiczenie 3 (Osiąganie dostępu do nie udostępnionych, w sposób jawny, zasobów zdalnego komputera z wykorzystaniem specjalnych, administracyjnych zasobów udostępnionych) 1. Będąc zalogowanym jako admin-grupa wprowadzić w Start Run \\szyyy\d$ gdzie szyyy jest nazwą zdalnego komputera. Winna być wyświetlona zawartość partycji D: zdalnego komputera. Ćwiczenie 4 (Rola serwera plików jej występowanie i definiowanie) Część 1: Udostępnienie lokalnego zasobu źródłem automatycznego uruchamiania roli serwera plików 1. Będąc zalogowanym jako admin-grupa. Wybrać Start Manage Your Server. W oknie Manage Your Server w sekcji Managing Your Server Roles winna być zamieszczona informacja: No roles have been added to this server. To add a role, click Add or remove a role. Jest to domyślne ustawienie dla systemów Windows Server Zamknąć okno Manage Your Server. 2. Wybrać np. w Explore (menu kontekstowe na Start) folder d:\temp i dokonać jego udostępnienia, przy zastosowaniu domyślnych ustawień, korzystając z jego menu kontekstowego oraz opcji Sharing and Security... (na karcie Sharing zaznaczyć pole Share this folder i użyć przycisku OK). Ponownie otworzyć okno Manage Your Server i zauważyć, że pojawiła się informacja o nowej roli systemu File Server. Wybrać hiperłącze Manage this file server i zapoznać się z zawartością okna File Server Management a następnie je zamknąć. Zamknąć okno Manage Your Server. 3. Przerwać udostępnianie foldera z punktu 2 tego ćwiczenia (korzystając z jego menu kontekstowego oraz opcji Sharing and Security... (na karcie Sharing zaznaczyć pole Do not share this folder i użyć przycisku OK). 4. Ponownie otworzyć okno Manage to Your Server i zauważyć brak zdefiniowanej roli serwera. Część 2: Definiowanie roli serwera plików File Server Uwaga: Sam fakt udostępnienia foldera uruchamia rolę serwera plików lecz w szczególności nie powoduje dodania do systemu wygodnej w użyciu konsoli File Server Management. 5. W otwartym oknie Manage Your Server użyć (w sekcji Adding Roles to Your Server) łącza Add or remove a role. 6. W pierwszym oknie (Preliminary Steps) kreatora zapoznać się z zaleceniami dotyczącymi wstępnych czynności przygotowawczych i użyć Next. 7. W oknie Server Role zaznaczyć rolę File Server i użyć Next. 8. W oknie File Server Disk Quotas pozostawić domyślne ustawienia (pole Set up default disk quotas for new users of this server nie powinno być zaznaczone) i użyć Next. 9

22 Wersja 3.4, W oknie File Server Indexing Service pozostawić domyślne ustawienia (zaznaczone pole No, leave Indexing Service turned off) i użyć Next. 10. W oknie Summary of Selections użyć Next. 11. W pojawiającym się kreatorze Share a Folder Wizard użyć Next, w nowym oknie Folder Path, w polu Folder path: wprowadzić ścieżkę d:\share1-grupa i użyć Next. 12. W oknie Name, Descriptions, and Settings poczynić następujące wpisy i ustalenia: Share name: share1-grupa-szxxx, gdzie szxxx jest nazwą komputera udostępniającego folder Description: dowolny tekst Offline settings: wybrać Change... i w oknie Offline Settings zaznaczyć pole Files or programs from the share will not be available offline., zatwierdzić a następnie użyć Next. 13. W oknie Permissions zaznaczyć pole Administrators have full access; other users have read and write access i użyć Finish. W oknie Sharing was Successful użyć Close. 14. W oknie kreatora (Configure Your Server Wizard) This Server Is Now a File Server użyć hiperłącza View the next steps for this role i zapoznać się z zawartością pojawiającego się okna. Użyć przycisku Finish. 15. Wybrać Start Administrative Tools i zauważyć fakt pojawienia się nowej konsoli File Server Management. Otworzyć tę konsolę i konsolę Computer Management. W konsoli File Server Management wskazać węzeł Shares (Local) a w konsoli Computer Management węzeł Shared Folders. Dokonać porównania formy i treści tych węzłów. Zwrócić uwagę m.in. na dodatkowe funkcje, w oknie szczegółów dla File Server Management dotyczące hiperłącza Backup File Server i wyeksponowanego łącza Configure Shadow Copies, nie występującego jawnie w Shared Folders. Zamknąć konsolę Computer Management i okno Manage Your Server. Ćwiczenie 5 (Włączanie i konfigurowanie Volume Shadow Copies (VSS) przykładowa droga realizacji polecenie vssadmin i narzędzie schatask) Włączanie i konfigurowanie funkcji Volume Shadow Copies można realizować różnymi sposobami. Oprócz przedstawionego poniżej można to osiągnąć np. operując właściwościami woluminu lub konsolą Computer Management. 1. W otwartym oknie File Server Management, dla zaznaczonego węzła Shares (Local) użyć (w oknie szczegółów) hiperłącza Configure Shadow Copies. 2. W oknie Shadow Copies, w polu Select a volume: wybrać pozycję D:\ i użyć Settings Ustalanie harmonogramu wykonywania kopii VSS Uwaga: Domyślne ustawienia harmonogramu VSS przewidują dokonanie 2 kopii w ciągu dnia. Nie zaleca się wykonywania takiego konfigurowania Volume Shadow Copies, by tworzone były kopie częściej niż raz na godzinę. W oknie Settings użyć przycisku Schedule W oknie Schedule dla pola Schedule Task: wybrać Daily (codzienie) a w polu Start time: wprowadzić bieżący czas systemowy i użyć przycisku Advanced... W oknie Advanced Schedule Options zaznaczyć pole Repeat task i w polu Every: ustalić warość 1 (pozostawiając domyślną jednostkę czasu minutes). Pozostawić domyślnie zaznaczone pole Duration: z wartością 1. Sprawdzić, czy dla pola Start Date: wpis dotyczy bieżącej daty (winien taki być) i użyć przycisku OK. W najwyżej położonym polu wyboru okna Schedule usunąć wpis At 12:00 every Mon, Tue,... odpowiedzialny za tworzenie kopii VSS w cyklu tygodniowym (Schedule Task: Weekly) za pomocą przycisku Delete. Zamknąć okno Schedule za pomocą przycisku OK. 4. W oknie Settings dla pola Use limit: wprowadzić 800 MB i użyć przycisku OK. 5. W oknie Shadow Copies użyć przycisku Create Now. Zauważyć zaistniałe zmiany w zawartości pól Select a volume: i Shadow copies of selected volume a następnie użyć OK. Zamknąć okno konsoli File Server Management. 6. Sprawdzenie terminu wykonywania następnej kopii VSS W Command Prompt wydać polecenie: schtasks /query 10

23 Wersja 3.4, Wyświetlenie wykazu istniejących kopii VSS W Command Prompt wydać kolejno polecenia: vssadmin /? vssadmin list shadows /? vssadmin list shadows more 8. Uruchomić Explore, otworzyć D:\System Volume Information i zauważyć zaistnienie dodatkowych plików o nazwach zawartych w nawiasach {*}. To one są odpowiedzialne za przechowywanie danych o Shadow Copies. 9. Po skonfigurowaniu przez partnera z zespołu kopii w tle połączyć się z jego komputerem wydając w Start Run \\szyyy\share1-grupa-szyyy, gdzie szyyy jest nazwą komputera udostępniającego folder, czyli komputerem partnera. Usunąć plik s1.txt (nie usuwać pliku s3.doc) i utworzyć nowy folder. Zamknąć okno połączenia ze zdalnym komputerem. 10. Połączyć się z komputerem partnera wydając w Run \\szyyy i wybrać z menu kontekstowego udziału share1-grupa-szyyy Properties Previous Versions. W polu Folder versions winny znajdować się pozycje share1-grupa-szyyy opisane dzisiejszą datą i stosowną godziną. Wybrać najstarszą pozycję i użyć przycisku View. Zauważyć, że w otwierającym się oknie Eksplorera, w polu Adress, oprócz informacji o ścieżce do zasobu zamieszczona jest również informacja o dacie i godzinie utworzenia poprzedniej wersji zasobu. Nie zamykać Eksplorera. 11. Ponownie połączyć się z komputerem partnera wydając w Run: \\szyyy\share1-grupa-szyyy. Otwiera się nowe okno Eksplorera. Porównać zawartość tego okna i okna otwartego w punkcie 10 bieżącego ćwiczenia. Ich zawartość winna się różnić. Nie zamykać okna share1-grupa-szyyy on szyyy Properties. Zamknąć wszystkie okna Eksplorera. 12. W oknie share1-grupa-szyyy on szyyy Properties (na karcie Previous Versions) zaznaczyć najstarszą pozycję i użyć przycisku Restore. W pojawiającym się oknie Previous Versions, po zapoznaniu się z zawartymi w nim informacjami użyć Yes a następnie OK. Zamknąć, przyciskiem OK, okno share1-grupa-szyyy on szyyy Properties. 13. Ponownie połączyć się z komputerem partnera wydając w Run: \\szyyy\share1-szyyy. Zauważyć, że przywrócony został plik s1.txt usunięty podczas realizacji punktu 9 bieżącego ćwiczenia. Zamknąć połączenie ze zdalnym komputerem. Ćwiczenie 6 (Wyłączanie funkcji Volume Shadow Copies) 1. Uzgodnić wykonywanie z partnerem. W Properties dla woluminu Local Disk (D:) wybrać kartę Shadow Copies, przy zaznaczonej pozycji D:\ wybrać przycisk Disable i w oknie Disable Shadow Copies użyć Yes. Zamknąć okno Local Disk (D:) Properties przyciskiem OK. Ćwiczenie 7 (Usuwanie roli serwera plików) 1. Wybrać Start Manage Your Server. W oknie Manage Your Server w sekcji Managing Your Server Roles wybrać przycisk Add or remove a role. 2. W pierwszym oknie kreatora użyć Next, w oknie Server Role zaznaczyć pozycję File server i użyć przycisku Next. 3. W oknie Role Removal Confirmation przeczytać informację o konsekwencjach usunięcia roli serwera (usunięcie udostępnienia wszystkich folderów i konsoli File Server Management). Zaznaczyć pole Remove the file server role i użyć Next. 4. W oknie File Server Role Removed użyć Finish. Zamknąć okno Manage Your Server. Ćwiczenie 8 (Udostępnianie zasobów lokalnych w sieci i nadawanie uprawnień do udziałów przy użyciu menu kontekstowego foldera oraz przystawki Shared Folders) Część 1: Wykorzystanie przystawki Shared Folders 1. Dodać do konsoli MMC (Start Run mmc) przystawkę Shared Folders dla lokalnego komputera i zapisać ją w domyślnej lokalizacji jako grupa.msc, gdzie grupa jest nazwą grupy odbywającej ćwiczenia. 11

24 Wersja 3.4, Rozwinąć węzeł Shared Folders (Local). Z menu kontekstowego Shares wybrać New Share... i w pierwszym oknie kreatora użyć Next. 3. W oknie Folder Path, wprowadzić w polu Folder path: d:\share1-grupa i użyć Next. 4. W oknie Name, Descriptions, and Settings poczynić następujące wpisy i ustalenia: Share name: share1-grupa-szxxx, gdzie szxxx jest nazwą komputera udostępniającego folder Description: dowolny tekst Offline settings: pozostawić domyślne ustawienie Selected files and programs available offline a następnie użyć Next. W oknie Permissions zaznaczyć pole Administrators have full access; other users have read and write access i użyć Finish. W oknie Sharing was Successful użyć Close. Część 2: Wykorzystanie menu kontekstowego foldera 5. Z menu kontekstowego foldera d:\off2-grupa wybrać Sharing and Security W oknie off2-grupa Properties zaznaczyć pole Share this folder i wprowadzić: Share name: off2-grupa-szxxx, gdzie szxxx jest nawą lokalnego komputera Description: dowolny komentarz Wybrać przycisk Permissions. W oknie Permissions for off2-grupa-szxxx dodać grupie Everyone dodatkowe uprawnienie Change (kolumna Allow) i użyć przycisku Add 7. W oknie Select Users or Groups użyć przycisku Advanced (potem Find Now) i dodać grupę Administrators. 8. W oknie Permissions for off2-grupa-szxxx dodać grupie Administrators dodatkowo uprawnienie Full Control (kolumna Allow) i zatwierdzić. Zamknąć, potwierdzając okno Permissions for off2-grupa-szxxx. 9. Poprosić partnera z zespołu, by podłączył się do udostępnionego zasobu share1-grupa-szxxx i otworzył plik s3.doc. 10. Obejrzeć okna szczegółów w otwartej konsoli grupa.msc dla kolejno Sessions i Open Files. Winny pojawić się stosowne zapisy wskazujące na nawiązanie sesji i korzystanie z pliku udostępnionego zasobu w sesji otwartej przez użytkownika admin-grupa pracującego na komputerze szyyy (te informacje można również uzyskiwać wydając w Command Prompt równoważne polecenia net sessions i net file). Zamknąć okno konsoli MMC. Poprosić partnera o zamknięcie pliku i odłączenie się od zasobu. Ćwiczenie 9 (Ukrywanie przed niepowołanymi użytkownikami wybranego udziału) 1. Z menu kontekstowego foldera d:\off2-grupa wybrać Sharing and Security W oknie off2-grupa Properties zaznaczyć pole Do not share this folder i użyć Apply. 3. W oknie off2-grupa Properties zaznaczyć pole Share this folder, w polu Share name: na końcu proponowanej nazwy umieścić znak $ (ustaloną nazwą winno być off2-grupa$), inne ustawienia pozostawić domyślne i użyć OK. 4. Poprosić partnera by za pomocą np. Run \\szyyy lub My Network Places zobaczył udostępniony zasób. Próba nie powinna się udać. Powiadomić partnera o właściwej nazwie udziału i poprosić, by za pomocą Run wprowadził pełną ścieżkę do zasobu tzn. \\szyyy\off2-grupa$. Partner powinien zobaczyć zawartość udostępnionego zasobu. Ćwiczenie 10 [Dodatkowe] (Ukrywanie przed niepowołanymi użytkownikami wybranego komputera w sieci z grupami roboczymi) UWAGA: Punkty 3 i 6 tego Ćwiczenia będą wykonane na komputerze wskazanym przez prowadzącego zajęcia. Nie należy ich wykonywać na komputerze lokalnym!!! Jest to spowodowane długim okresem oczekiwania na rezultat wydawanych poleceń i utrudnieniami w przeprowadzaniu dalszych ćwiczeń. 1. Będąc zalogowanym jako admin-grupa, w otwartym oknie Command Prompt zapoznać się ze składnią poleceń net config i net config server wprowadzając kolejno: net config /? net config server /help 12

25 Wersja 3.4, Wyświetlić aktualne parametry usługi Server poleceniem: net config server 3. (!!! UWAGA: Nie wykonywać na lokalnym komputerze!!!) Ukryć komputer w sieci wydając polecenie: net config server /HIDDEN:YES 4. Po okresie oczekiwania (nawet kilkadziesiąt minut) sprawdzić czy w wykazie komputerów grupy roboczej znajduje się ukryty komputer poleceniami: net view net view \\szqqq gdzie szqqq jest nazwą ukrywanego komputera W wykazie komputerów nie powinien się znajdować. Po pewnym czasie (opóźnienie może być spowodowane m.in. brakiem w sieci serwera WINS Windows Internet Name Service) zniknie on również w My Network Places. Od tej chwili zasoby ukrytego komputera staną się widoczne wyłącznie dla użytkownika, który zna dokładną nazwę tego komputera. 5. Sprawdzić dostępność zasobów za pomocą np. Run \\szqqq. Powinny być dostępne (za wyjątkiem potencjalnie istniejących udziałów ukrytych znakiem $). 6. (!!! UWAGA: Nie wykonywać na lokalnym komputerze!!!) Przywrócić widoczność komputera w otoczeniu sieciowym poleceniem: net config server /HIDDEN:NO Ćwiczenie 11 (Wyświetlanie listy procesów uruchomionych na zdalnym komputerze i ich zamykanie polecenia tasklist i taskkill) 1. Poprosić partnera z zespołu by uruchomił Inernet Explorer. 2. Zapoznać się ze składnią polecenia tasklist poleceniem: tasklist /? 3. Wyświetlić listę uruchomionych procesów w komputerze partnera poleceniem: tasklist /s szyyy gdzie szyyy jest nazwą komputera partnera. Zauważyć, że przy wykazie uruchomionych procesów znajduje się unikatowy identyfikator w kolumnie PID. Uruchomiona przez partnera aplikacja wyspecyfikowana jest jako IEXPLORE.EXE. 4. Zapoznać się ze składnią polecenia taskkill poleceniem: taskkill /? 5. Zamknąć zdalnie uruchomiony proces IEXPLORE.EXE poleceniem: taskkill /s szyyy /PID identyfikator procesu /T 6. Sprawdzić skuteczność operacji poleceniem: tasklist /s szyyy Ćwiczenie 12 (Sprawdzenie możliwości uzyskania dostępu do udostępnionego w sieci zasobu z poziomu Command Prompt przy użyciu polecenia net view) 1. Zapoznać się ze składnią polecenia net view wydając polecenie net view /help 2. Dokonać sprawdzenia, czy partner z zespołu dokonał udostępnienia swoich folderów wydając polecenie: net view \\szyyy gdzie szyyy jest nazwą komputera zdalnego. Winna się pojawić na liście zasobów pozycja share1-grupa-szyyy. Jeżeli partner prawidłowo wykonał ćwiczenie 9 nie powinien być widoczny wpis off2-grupa$. Ćwiczenie 13 (Udostępnianie zasobów lokalnych w sieci, udzielanie uprawnień oraz usuwanie udziału z poziomu Command Prompt przy użyciu polecenia net share) 1. Zapoznać się ze składnią polecenia net share wydając polecenie: net share /help more 13

26 Wersja 3.4, Wyświetlić listę udostępnionych w systemie zasobów wydając polecenie: net share 3. Usunąć z listy udostępnianych przez siebie zasobów udział off2-grupa$ poleceniem: net share off2-grupa$ /delete 3. Sprawdzić skuteczność operacji wydając polecenie: net share Na wyświetlonej liście nie powinno być informacji o udziale off2-grupa$. 4. Udostępnić folder d:\share2-grupa z nazwą nowego udziału share2-grupa-szxxx z uprawnieniami do udziału Full Control dla grupy Administrators i Change dla grupy Everyone oraz komentarzem dowolny text poleceniem (w jednym ciągu): net share share2-grupa-szxxx=d:\share2-grupa /grant:administrators,full /grant:everyone,change /remark:"dowolny text" 5. Sprawdzić skuteczność operacji wydając polecenie (pkt 2) lub np. w My Computer (winien być przy ikonie foldera symbol udostępniania). 6. Sprawdzić dodatkowe informacje o udziale wydając polecenie: net share share2-grupa-szxxx 7. Poprosić partnera z zespołu o sprawdzenie dostępności zasobu przez wprowadzenie w Start Run polecenia \\szyyy gdzie szyyy jest nazwą komputera udostępniającego zasób lub przy użyciu polecenia net view \\szyyy Ćwiczenie 14 (Tworzenie połączenia ze zdalnym zasobem i odłączanie zamapowanego zasobu za pomocą polecenia net use) 1. Będąc zalogowanym jako admin-grupa dokonać mapowania jako dysk M: udziału share1-grupa-szyyy z komputera szyyy swojego partnera w następujący sposób. W Start Run wprowadzić \\szyyy. W oknie \\szyyy wybrać z menu kontekstowego udziału share1-grupa-szyyy Map Network Drive... W oknie Map Network Drive w polu Drive: wprowadzić M:, wyczyścić pole Reconect at logon i użyć przycisku Finish. Otworzyć My Computer i zauważyć pojawienie się nowej sekcji Network Drives z ikoną dysku sieciowego opatrzonego literą (M:). 2. Zapoznać się ze składnią polecenia net use wydając polecenie net use /help more 3. Wyświetlić za pomocą polecenia: net use listę połączeń sieciowych. 4. Odłączyć udział share1-grupa-szyyy od swojego komputera poleceniem: net use m: /delete Jeżeli zasób jest w użyciu pojawia się stosowny komunikat. Należy potwierdzić go wprowadzając y. 5. Sprawdzić skuteczność operacji wydając polecenie net use lub oglądając zawartość okna My Computer. 6. Dokonać trwałego połączenia (wznawianego podczas następnego logowania w systemie) z udziałem share1-grupa-szyyy z komputera partnera szyyy, mapując udział jako dysk P: poleceniem: net use p: \\szyyy\share1-grupa-szyyy /persistent:yes 7. Sprawdzić skuteczność wydanego polecenia jak w punkcie 3 oraz wylogowując się i ponownie logując się jako admin-grupa. Odłączyć się od wszystkich zasobów do których jest podłączony własny komputer wykonując: net use * /delete potwierdzając komunikat (y). Ćwiczenie 15 (Konfiguracja systemu plików DFS) 1. Uruchomić usługę Distributed File System (odpowiedzialną za funkcjonowanie systemu DFS) przy użyciu Administrative Tools Services lub wydając polecenie: net start "Distributed File System" 2. W Administrative Tools uruchomić konsolę Distributed File System i utworzyć katalog główny systemu DFS wybierając z menu Action New Root... W powitalnym oknie kreatora użyć Next. 14

27 Wersja 3.4, W oknie Root Type zaznaczyć pole Stand-alone root i użyć Next. 4. W oknie Host Server wprowadzić w polu Server name: szxxx, gdzie szxxx jest nazwą komputera lokalnego i użyć Next. 5. W oknie Root Name wprowadzić następujące wpisy: Root name: Nazwisko, tu należy wprowadzić swoje nazwisko Comments: dowolny komentarz i użyć Next. 6. W oknie Root Share użyć przycisku Browse 7. Woknie Browse For Folder zaznaczyć Local Disk (D:), użyć przycisku Make New Folder i wprowadzić dla nowego foldera nazwę dfs-szxxx (gdzie szxxx jest nazwą lokalnego komputera) a następnie zatwierdzić. 8. W oknie Root Share użyć Next, a w oknie Completing the New Root Wizard przycisku Finish. Po tej operacji w lokalnym komputerze pojawia się, jeszcze pusty, folder dfs-szxxx z nazwą udziału Nazwisko. 9. W drzewie konsoli Distributed File System, z menu kontekstowego katalogu głównego \\szxxx\nazwisko wybrać Check Status. W oknie szczegółów winna się pojawić informacja o odwołaniu do systemu DFS (DFS Referal Enabled) i stanie połączenia (Status Online). 10. Z menu kontekstowego katalogu głównego \\szxxx\nazwisko wybrać New Link... i w oknie New Link wprowadzić: Link name: link1 Comment: dowolny komentarz 1 Amount of time clients cache this referal in seconds: (Czas, w sekundach, przez który klienci buforują to odwołanie:) pozostawić wartość domyślną Użyć przycisku Browse... i w oknie Browse for Folder, po rozwinięciu stosownych gałęzi, wskazać dla komputera partnera szyyy udział share2-grupa-szyyy a następnie zatwierdzić. Zamknąć, zatwierdzając okno New Link. 11. Z menu kontekstowego katalogu głównego \\szxxx\nazwisko wybrać New Link... i w oknie New Link wprowadzić: Link name: link2 Comment: dowolny komentarz 2 Amount of time clients cache this referal in seconds: pozostawić wartość domyślną Użyć przycisku Browse... i w oknie Browse for Folder, po rozwinięciu stosownych gałęzi, wskazać dla swojego (tzn. lokalnego) komputera udział share1-grupa-szxxx a następnie zatwierdzić. Zamknąć, zatwierdzając okno New Link. 12. Wydać w Run \\szxxx, gdzie szxxx jest nazwą komputera lokalnego, otworzyć udział Nazwisko i zauważyć, że zaistniały dwa foldery link1, link2, z których każdy pochodzi z innego serwera plików. Sprawdzić to wyświetlając Properties dla tych nazw i przeglądając zakładkę DFS. Poprosić partnera by połączył się z udziałem Nazwisko i potwierdził ten fakt. Ćwiczenie 16 (Usuwanie elementów systemu plików DFS) 1. W otwartej konsoli Distributed File System zaznaczyć łącze link1 i w oknie szczegółów z menu kontekstowego elementu docelowego wybrać Remove Target. W oknie komunikatu Distributed File System pojawia się informacja m.in. o tym, że jeżeli jest to jedyny element docelowy dla łącza (tzn. dla link1) zostanie również usunięte to łącze. Zatwierdzić ostrzeżenie. 2. W drzewie konsoli z menu kontekstowego dla łącza link2 wybrać Delete Link. W oknie komunikatu pojawia się informacja, że operacja nie spowoduje utraty danych w elemencie docelowym usuwanego łącza. Zatwierdzić. 3. Usunąć katalog główny DFS wybierając Action Delete Root i zatwierdzając ostrzeżenie. 4. Poprosić partnera by sprawdził zawartość udziału Nazwisko. Udział nie powinien zawierać folderów. 5. Zamknąć konsolę Distributed File System. 6. Usunąć udostępnienie foldera dfs-szxxx a następnie sam folder. Ćwiczenie 17 (Ukrywanie przed niepowołanymi użytkownikami zawartości wybranego udziału w oparciu o uprawnienia i dodatek Access-based Enumeration (ABE)) Część I: Instalacja dodatku Access-based Enumeration (ABE) 15

28 Wersja 3.4, Będąc zalogowanym jako admin-grupa z menu kontekstowego pliku d:\zaj8\abeui.msi wybrać opcję Install. 2. W oknie dialogowym instalatora pozostawiać domyślne ustawienia. Część II: Udostępnienie foldera i sprawdzenie stanu wyjściowego 3. Z menu kontekstowego foldera d:\enum wybrać Sharing and Security... i dokonać, na karcie Sharing, udostępnienia zasobu z domyślnymi ustawieniami. 4. Poprosić partnera by zalogował się jako cent-grupa (hasło: cent) i otworzył udostępniony zasób \\szyyy\enum. Winny tu występować foldery cent, dolar i zloty. Partner winien się odłączyć się od zasobu. Część III: Modyfikacja uprawnień NTFS uniemożliwiających użytkownikowi dostęp do wybranych folderów 5. Z menu kontekstowego foldera d:\enum\dolar wybrać Sharing and Security... i na karcie Security wybrać przycisk Add. 6. W oknie Select Users or Groups, w polu Enter the object names to select wprowadzić cent-grupa i zatwierdzić. 7. Na karcie Security, przy wybranej pozycji dla konta cent-grupa zaznaczyć w polu Permissions for cent, w kolumnie Deny pole Read. Użyć przycisku Apply i zatwierdzić okno komunikatu Security. 8. Zamknąć okno dolar Properties przyciskiem OK. 9. Poprosić partnera by ponownie podłączył się do zasobu \\szyyy\enum. Sytuacja nie uległa zmianie. Użytkownik cent-grupa nadal widzi folder dolar mimo, że nie posiada do niego uprawnień. Odłączyć się od zasobu. Część IV: Włączenie funkcji Access-based Enumeration 10. Z menu kontekstowego foldera d:\enum wybrać Properties a następnie kartę Access-based Enumeration i zaznaczyć pole Enable access-based enumeration on this shared folder. Zamknąć okno enum Properties przyciskiem OK. Część V: Sprawdzenie działania funkcji ABE 11. Poprosić partnera by ponownie podłączył się do zasobu \\szyyy\enum. Sytuacja uległa zmianie. Użytkownik cent-grupa nie widzi już foldera dolar. Odłączyć się od zasobu. Część VI: Wyłączenie funkcji Access-based Enumeration 12. Z menu kontekstowego foldera d:\enum wybrać Properties a następnie kartę Access-based Enumeration i odznaczyć pole Enable access-based enumeration on this shared folder. Zamknąć okno enum Properties przyciskiem OK. Część VII: Deinstalacja dodatku ABE 13. Z menu kontekstowego pliku d:\zaj8\abeui.msi wybrać opcję Uninstall. Ćwiczenie 18 (Zdalne udostępnianie folderów oraz konfiguracja obsługi plików trybu offline przykład jednej z możliwości) Uwaga: Ćwiczenie wymaga precyzyjnej koordynacji działań partnerów Część 1: Konfiguracja plików trybu offline po stronie serwera plików przykład zdalnej procedury Funkcja plików trybu offline służy do buforowania plików i folderów sieciowych na dysku twardym lokalnego komputera. Po stronie serwera plików należy udostępnić folder i określić właściwości buforowania dotyczące tego foldera oraz znajdujących się w nim podfolderów i plików. W większości przypadków proces udostępniania i określania właściwości buforowania odbywa się lokalnie na serwerze plików. Dla potrzeb tego ćwiczenia zademonstrowano zdalną procedurę przeprowadzenia tego procesu. 1. Będąc zalogowanym jako admin-grupa dodać do konsoli grupa.msc przystawkę Shared Folders dla komputera partnera z zespołu (szyyy). Dla przypomnienia, należy w procesie dodawania snap-in, w oknie Shared Folders, zaznaczyć opcję Another Computer: i wprowadzić szyyy i kolejno zatwierdzać. 2. Rozwinąć węzeł Shared Folders (\\szyyy) i z menu kontekstowego Shares wybrać New Share... i w oknie kreatora użyć Next. W oknie Folder Path użyć przycisku Browse. W oknie Browse For Folder rozwinąć węzeł D$, zaznaczyć folder off1-grupa, zatwierdzić i użyć Next. 16

29 Wersja 3.4, W oknie Name, Descriptions, and Settings wprowadzić, w polu Share name: off1-grupa-szyyy, gdzie szyyy jest nazwą komputera partnera z zespołu (grupa numer grupy). Pozostawić bez zmian ustawienie dla pola Offline settings: Selected files and programs available offline i użyć przycisku Next. 3. W oknie Permissions zaznaczyć opcję Administrators have full access; other users have read and write access i użyć Finish. W pojawiającym się oknie Sharing was Successful wybrać Close. Zamknąć konsolę. Część 2: Konfiguracja plików trybu offline po stronie komputera klienta przypadek ręcznego buforowania 4. Otworzyć Explore i wybrać z menu Tools Folder Options... Offline Files. Na karcie Offline Files zaznaczyć pole Enable Offline Files. Pola Synchronize all offline files when loggin on, Synchronize all offline files before loggin off powinny być odznaczone a pole Display a reminder every: winno być zaznaczone. Pozostałe opcje pozostawić domyślne ustawienia. Wybrać przycisk Advanced i sprawdzić, czy w oknie Offline Files Advanced Settings wybrana jest opcja Notify me and begin working offline (jeżeli nie jest, należy ją zaznaczyć) i użyć przycisku OK. Zamknąć okno Folder Options przyciskiem OK. 5. Uwaga: Przy pierwszym użyciu plików trybu offline pojawia się kreator pozwalający na początkowe skonfigurowanie systemu. Przy następnym użyciu nie pojawia się ponownie, jednak wszelkie konfiguracje oferowane przez kreator są dostępne z poziomu Folder Options. Dla potrzeb tego ćwiczenia w przypadku pojawienia się kreatora należy potwierdzać domyślne ustawienia. Przy użyciu Start Run podłączyć się do komputera partnera z zespołu i otworzyć udział off1-grupa-szyyy. Z menu kontekstowego pliku off1-szyyy.txt wybrać Make Available Offline. W pierwszym oknie kreatora użyć Next, w pozostałych oknach użyć ustawień domyślnych. Na ikonie pliku pojawiają się dwie strzałki symbolizujące korzystanie z trybu offline. Nie zamykać okna \\szyyy\off1-grupa-szyyy. 6. Otworzyć plik off1-szyyy.txt i wprowadzić tekst: teraz jest on-line. Nie dokonywać zapisu. Nie zamykać Notepad. 7. Przerwać połączenia z siecią wybierając z menu kontekstowego ikony Local Area Connection opcję Disable. Ikona znika z paska zadań. Wprowadzić do otwartego pliku tekst: teraz pracuje bez sieci!!!. Wybrać z menu Tools Folder Options... Offline Files i użyć przycisku View Files. Pojawia się okno Offline Files Folder a w nim informacja o statusie pliku (Server Status Offline). Zamknąć to okno i okno Folder Options.!!! Dokonać zapisu pliku off1-szyyy.txt i zamknąć Notepad. Zamknąć okno połączenia z komputerem partnera. Przywrócić łączność z siecią używając w menu kontekstowym Control Panel Network Connections Local Area Connection opcji Enable. Część 3: Synchronizacja plików 8. Ponownie dokonać połączenia z komputerem partnera i w oknie \\szyyy\off1-grupa-szyyy otworzyć plik off1-szyyy.txt. Zauważyć, że w dokumencie znalazła się treść wprowadzana podczas sesji offline. Poprosić partnera z zespołu, by też otworzył ten plik (plik powinien zawierać treść sprzed modyfikacji dokonanych w punktach 6, 7 bieżącego ćwiczenia) a następnie zamknął plik. 9. Ręczna synchronizacja plików offline. W oknie \\szyyy\off1-grupa-szyyy z menu kontekstowego pliku off1-szyyy.txt wybrać Synchronize. Zauważyć krótkie zaistnienie okna synchronizacji (może pojawić się okno Close Open Files z komunikatem, który po przeczytaniu należy zatwierdzić). Poprosić partnera z zespołu, by otworzył ten plik i sprawdził skuteczność synchronizacji a następnie zamknął plik. 10. Otworzyć, w oknie \\szyyy\off1-grupa-szyyy, plik off1-szyyy.txt. Przerwać połączenia z siecią, jak w punkcie 7 tego ćwiczenia. Wprowadzić treść: bedzie konflikt przy synchronizacji z szyyy. Dokonać zapisu i zamknąć Notepad. Poprosić partnera z zespołu, by otworzył ten plik, wprowadził tekst: na pewno bedzie konflikt przy synchronizacji z szxxx, dokonał zapisu i zamknął Notepad. 11. Zmiana sposobu synchronizacji plików. Otworzyć My Computer i z menu wybrać Tools Synchronize... W oknie Items to Synchronize użyć przycisku Setup... W oknie Synchronization Settings zaznaczyć pozycję dotyczącą komputera partnera i odznaczyć pola When I 17

30 Wersja 3.4, log on my computer i When I log off my computer. Użyć przycisku OK a w oknie Items to Synchronize przycisku Close. 12. Przywrócić łączność z siecią używając w menu kontekstowym Control Panel Network Connections Local Area Connection opcji Enable. Część 4: Rozwiązywanie konfliktu plików 13. Połączyć się z komputerem partnera i w oknie \\szyyy\off1-grupa-szyyy z menu kontekstowego pliku off1-szyyy.txt wybrać Synchronize. Może pojawić się okno Close Open Files należy je zatwierdzić. W oknie Resolve File Conflicts wyświetlić zawartość pliku lokalnie zbuforowanego (przycisk View przy Local Version Modified by...) i pliku na serwerze (przycisk View przy Network Version Modified...). Zauważyć różnice wynikające z realizacji punktu 10 tego ćwiczenia. Zamknąć obydwa pliki. 14. W oknie Resolve File Conflicts wybrać opcję Keep only the version on my computer. Replace the network version i użyć przycisku OK. Poprosić partnera z zespołu, by otworzył plik off1-szyyy.txt i sprawdził skuteczność synchronizacji a następnie zamknął plik. Część 5: Wyłączanie trybu offline dla sieciowego zasobu 15. W oknie \\szyyy\off-grupa-szyyy z menu kontekstowego pliku off1-szyyy.txt odznaczyć Make Available Offline. Znika oznaczenie trybu offline z ikony tego pliku. 16. Otworzyć Explore i wybrać z menu Tools Folder Options... Offline Files. Na karcie Offline Files odznaczyć pole Enable Offline Files i zatwierdzić. Ćwiczenie 19 [Dodatkowe] (Definiowanie parametrów IP w trybie wsadowym za pomocą netsh) Polecenie netsh działające w oknie wiersza poleceń jest bardzo rozbudowanym narzędziem Windows Server 2003 służącym do konfiguracji parametrów i usług sieciowych,. Jego wybrane możliwości zostaną zaprezentowane na przykładzie konfiguracji parametrów IP (dla połączenia sieciowego Local Area Connection) takich jak adres IP, maska sieci, domyślna brama oraz serwery DNS i WINS. Zmiany tych ustawień nie wymagają restartu systemu. 1. Będąc zalogowanym jako admin-grupa wykonać polecenie ipconfig /all i odnotować na kartce adres IP związany z połączeniem Local Area Connection, maskę sieci, adres domyślnego gateway a oraz adresy IP pierwszego serwera DNS oraz pierwszego serwera WINS (obszerniejsze informacje znajdują się w pliku d:\zaj8\config.txt). 2. W pliku \zaj8\wsisiz-static.cmd znajduje się przykładowy skrypt interpretera poleceń, wykorzystujący polecenie netsh do ręcznego (statycznego) skonfigurowania połączenia sieciowego. Posługując się edytorem Notepad zapoznać się z jego treścią po czym dopasować występujące w nim parametry do danych zapisanych w poprzednim punkcie bieżącego ćwiczenia (przede wszystkim adres IP). 3. Wykonać ten skrypt w oknie wiersza poleceń. Sprawdzić za pomocą polecenia ping łączność z innym komputerem na sali oraz komputerem poza siecią WSISIZ, np. z (powinna być). 4. Aktualnie zdefiniowaną konfigurację IP połączenia (uzyskaną np. za pomocą narzędzi omówionych w poprzednim ćwiczeniu lub za pomocą netsh) można zapamiętać w pliku tekstowym używając polecenia: netsh interface dump > d:\zaj8\netsh-conf.txt gdzie d:\zaj8\netsh-conf.txt jest tutaj przykładową nazwą pliku. Jedną z zalet takiego postępowania jest uzyskanie w ten sposób dokumentacji ustawień sieciowych IP danego komputera. Kolejna zaleta wynika z faktu, że w razie potrzeby można zapamiętaną konfigurację przywrócić później poleceniem: netsh f d:\zaj8\netsh-conf.txt Dysponując plikami tekstowymi odpowiadającymi różnym konfiguracjom IP używanego komputera, można dzięki tej metodzie łatwo przełączać się między różnymi ustawieniami. Dodatkowym ułatwieniem jest też to, że zmiana ustawień IP nie wymaga restartu systemu. 18

31 Wersja 3.4, W pliku \zaj8\wsisiz-dhcp.cmd znajduje się przykładowy skrypt interpretera poleceń, wykorzystujący polecenie netsh do dynamicznego (za pomocą protokołu DHCP) skonfigurowania połączenia sieciowego. Zapoznać się z jego treścią. 6. Wykonać ten skrypt w oknie wiersza poleceń. Sprawdzić za pomocą polecenia ping łączność z innym komputerem na sali oraz komputerem poza siecią WSISIZ, np. z (powinna być). Ćwiczenie 20 [Dodatkowe] (Tworzenie, kopiowanie i usuwanie profilu sprzętowego przypadek profilu bez karty sieciowej) Część 1: Kopiowanie oryginalnego profilu sprzętowego 1. Będąc zalogowanym jako admin-grupa wybrać Properties z menu kontekstowego My Computer. W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles. 2. W oknie Hardware Profiles wybrać przycisk Copy. W oknie Copy Profile, w poly To: wprowadzić Profil bez karty i zatwierdzić. W oknie Hardware Profiles sprawdzić, czy wybrany jest Profil bez karty i użyć przycisku ze strzałką do góry, aby ten profil znalazł się na pierwszym miejscu listy. Pole Select the first profile listed if I don t select a profile in winno być zaznaczone a czas oczekiwania winien być 30 sekund. Wybrać przycisk OK by zamknąć okna Hardware Profiles i System Properties. 3. Uruchomić ponownie komputer. Podczas uruchamiania komputera w pojawiającym się menu Hardware Profile/Configuration Recovery Menu użyć klawisza Enter, by wybrać profil Profil bez karty. Zalogować się jako admin-grupa. Część 2: Tworzenie własnego profilu sprzętowego w oparciu o kopię profilu oryginalnego 4. Wybrać Properties z menu kontekstowego My Computer. 5. W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles. 6. W oknie Hardware Profiles sprawdzić, czy wybrany jest Profil bez karty. W polu Select the first profile listed if I don t select a profile in ustawić ilość sekund na 0 i użyć przycisku OK. 7. Na karcie Hardware użyć przycisku Device Manager. W oknie Device Manager rozwinąć Network adapters i z menu kontekstowego karty sieciowej wybrać Properties. W oknie karta sieciowa Properties, na karcie General, w sekcji Device Usage: wybrać Do not use this device in the current hardware profile (disable) i zatwierdzić. Zauważyć, że ikona karty sieciowej otrzymała znak przekreślenia. W podobny sposób można dla aktualnie tworzonego profilu uniemożliwić korzystanie z np. napędów CD, FDD. 8. Zamknąć okna Device Manager i System Properties (przycisk OK). 9. Ponownie uruchomić komputer. Zauważyć, że podczas uruchamiania się komputera nie pojawiło się menu Hardware Profile/Configuration Recovery Menu!!!. A zatem uzyskana konfiguracja startowa systemu obowiązuje dla wszystkich jego użytkowników. 10. Zalogować się jako bilbo-grupa. Sprawdzić możliwość uzyskania połączenia z siecią np. przy użyciu My Network Places. Zapoznać się z rezultatem wydania polecenia ipconfig /all. Podjąć próbę usunięcia profilu sprzętowego (próba nie powinna się udać, ponieważ użytkownik bilbo-grupa może wyłącznie stwierdzić fakt istnienia różnych profili sprzętowych lecz nie posiada uprawnień do takiej operacji). Wylogować się. Część 3: Usuwanie utworzonego profilu sprzętowego 11. Zalogować się jako admin-grupa. Wybrać Properties z menu kontekstowego My Computer. W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles. Sprawdzić, czy w oknie Hardware Profiles wybrany jest profil Profil bez karty (Current) i użyć przycisku ze strzałką w dół. 19

32 Wersja 3.4, !!! W polu Select the first profile listed if I don t select a profile in ustawić ilość sekund na 30. Używając przycisku OK zamknąć okna Hardware Profiles i System Properties. Ponownie uruchomić komputer. Podczas uruchamiania powinien być wybrany profil Profile Zalogować się jako admin-grupa. Zauważyć, że dostępne są już połączenia sieciowe. Wybrać Properties z menu kontekstowego My Computer. W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles. W oknie Hardware Profiles zaznaczyć profil Profil bez karty i użyć przycisków Delete a następnie Yes i OK. Używając przycisku OK zamknąć okno System Properties. Ćwiczenie 21 (Porządki) Zalogować się jako Administrator: 1. Otworzyć Command Prompt i uruchomić skrypt d:\zaj8\dekonfiguracja8.cmd wydając polecenie: d:\zaj8\dekonfiguracja8.cmd nazwa_grupy_studenckiej 2. Zamknąć system. 20

33 Wersja 3.2, ZAJĘCIA 9 - ZAKRES PRAC I MATERIAŁY POMOCNICZE ZAKRES PRAC 1. Zdalna praca z systemem Windows Server Mechanizmy identyfikacji używane podczas podłączania się do zdalnych zasobów 1.2. Wbudowane możliwości zdalnej pracy w narzędziach Windows Server Serwer usługi Telnet 1.4. Usługa zdalnego pulpitu (Remote Desktop) i usługi terminalowe (Terminal Services) Remote Desktop for Administration konfiguracja i narzędzia na serwerze Remote Desktop Connection klient usługi zdalnego pulpitu Remote Desktops konsola MMC do obsługi wielu sesji Remote Desktop Web Connection klient w przeglądarce Liczba ćwiczeń: 11 MATERIAŁY POMOCNICZE 1 Zdalna praca z systemem Windows Server 2003 Mechanizmy sieciowe wykorzystywane przez system Windows Server 2003 pozwalają na zdalny dostęp do zasobów, zdalne administrowanie i pracę z systemem Windows Server Mechanizmy identyfikacji używane podczas podłączania się do zdalnych zasobów Podczas podłączania się do zasobów udostępnianych z serwera sieciowego czyli nawiązywaniu sesji z takim serwerem, z komputera klienckiego wysyłane są poświadczenia (ang. credentials), nazywane też parametrami uwierzytelnienia, obejmujące nazwę konta i hasło (oraz w razie potrzeby nazwę domeny). Na ich podstawie serwer zezwala (lub nie zezwala) na nawiązanie sesji i dostęp do zasobów. System Windows Server 2003 (podobnie jak Windows NT 4.0 i Windows 2000) nie pozwala na nawiązanie z danego komputera wielu sesji do tego samego serwera sieciowego z wykorzystaniem różnych parametrów uwierzytelnienia. Przy próbie nawiązania dwóch lub więcej połączeń do tego samego serwera w oparciu o dwa lub więcej zestawy poświadczeń generowany jest poniższy błąd systemowy o numerze 1219: Multiple connections to a server or shared resource by the same user, using more than one user name, are not allowed. Disconnect all previous connections to the server or shared resource and try again. (W systemie Windows 2000 ten sam błąd 1219 jest wyświetlany z innym opisem: The credentials supplied conflict with an existing set of credentials ) Aby nawiązać sesję posługując się parametrami innego konta należy najpierw zamknąć wszystkie dotychczasowe połączenia do tego serwera, w efekcie zamykając też sesję z tym komputerem. Jest to opisane w bazie wiedzy Microsofta (Microsoft Knowledge Base) jako problem Konsekwencją powyższego mechanizmu nie jest brak możliwości podłączenia się do wielu różnych zasobów udostępnionych z danego serwera. Można podłączać się do wielu udostępnionych zasobów, ale zawsze będzie wykorzystywany ten sam zestaw poświadczeń identyfikujących użytkownika jak w pierwszym nawiązanym połączeniu. Inaczej mówiąc, z określonego komputera można nawiązać jedną sesję ze zdalnym serwerem udostępniającym zasoby, ale w oparciu o parametry tak nawiązanej sesji można podłączyć się do wielu różnych zasobów udostępnianych z tego serwera. 1

34 Wersja 3.2, Domyślnie wysyłanymi poświadczeniami są dane dotyczące bieżąco zalogowanego użytkownika. Jeśli takie parametry nie mogą być zaakceptowane przez serwer udostępniający zasób, pojawia się zwykle okno dialogowe pozwalające wprowadzić inne poświadczenia. Niektóre polecenia i narzędzia systemu takie jak: net use, czy Map Network Drive pozwalają na jawne określenie parametrów innego konta jeszcze przed próbą nawiązania połączenia. W systemie Windows Server 2003 można szukać obejścia sytuacji sygnalizowanej błędem 1219 przy użyciu mechanizmu Secondary Logon czyli Run As. 1.2 Wbudowane możliwości zdalnej pracy w narzędziach Windows Server 2003 Wiele standardowych narzędzi oferowanych w Windows Server 2003 pozwala na wykonywanie czynności na zdalnym komputerze. Podczas podłączania się do zdalnego komputera wysyłane są poświadczenia odpowiadające bieżąco zalogowanemu użytkownikowi. Większość narzędzi do administrowania systemem wymaga aby użytkownicy logujący się zdalnie należeli do jednej z systemowych grup, najczęściej do grupy Administrators. Narzędzia takie można generalnie podzielić na: przeznaczone do wykonywania specjalizowanych czynności (m.in. konsole MMC, Administrative Tools, Backup, polecenie netsh) narzędzia dzięki którym może być wykonany szereg potencjalnie nie związanych ze sobą czynności na zdalnym komputerze (m.in. edytor Rejestru, polecenie at i schtasks, serwer i klient usługi Telnet, Remote Desktop i Terminal Services) Konsole MMC predefiniowane w Windows Server 2003 (np. konsola Computer Management) pozwalają objąć zakresem swojego zdalnego oddziaływania inne komputery. Niektóre przystawki (snap-ins) dodawane do budowanej konsoli MMC posiadają aspekt konfiguracji określający na jakim komputerze (domyślnie: lokalnym) mają być uruchamiane. Specjalizowane polecenie netsh działające w wierszu poleceń pozwala na konfigurację parametrów i wybranych usług sieciowych (DNS, WINS, RAS i in.) na lokalnym i zdalnym komputerze. Edytory Rejestru regedit umożliwia podłączenie się do zdalnego Rejestru. Polecenie reg pozwala przy specyfikacji klucza lub wartości użyć odwołania do zdalnego komputera w notacji UNC (\\nazwa). Polecenie at nominalnie służące do planowania wykonania poleceń o zadanej porze może posłużyć do zlecenia wykonania określonej czynności lub zestawu czynności opisanych np. w pliku wsadowym także na zdalnym komputerze. Takie same możliwości oferuje polecenie schtasks. Serwer usługi Telnet pozwala administratorowi lub użytkownikowi na zdalne zalogowanie się na komputer z Windows Server 2003 i pracę interakcyjną z narzędziami nie korzystającymi z interfejsu GUI. Usługa zdalnego pulpitu (Remote Desktop for Administration) oraz usługi Terminalowe (Terminal Services) oferują pełnię możliwości zdalnej pracy na serwerach Windows Server 2003 zarówno dla użytkowników jak i administratorów, korzystających z narzędzi z interfejsem GUI oraz interfejsem znakowym. 1.3 Serwer usługi Telnet System Windows Server 2003 oferuje standardowo serwer usługi Telnet czyli możliwość zdalnego logowania się do systemu i pracy interakcyjnej w trybie wiersza poleceń. (Pierwszym systemem Microsoftu, który posiadał standardowo tę możliwość był Windows 2000). Cechą wyróżniającą serwer Telneta w systemie Windows Server 2003 jest możliwość stosowania uwierzytelniania NTLM, które nie wymaga od użytkownika podawania nazwy konta i hasła (te informacje są przesyłane samoczynnie, w formie zaszyfrowanej) zamiast standardowego zachowania usługi Telnet wymagającego przesłania nazwy konta i hasła czystym tekstem. Klient usługi Telnet w systemie Windows Server 2003 potrafi wykorzystać 2

35 Wersja 3.2, ten mechanizm uwierzytelniania. Klienci usługi Telnet dostępni w innych systemach operacyjnych (np. UNIX/Linux) wymagają zazwyczaj uwierzytelniania drugim z podanych sposobów. Usługa Telnet jest standardowo wyłączona (ang. disabled) w systemie Windows Server Po włączeniu tej usługi, narzędziem używanym do zarządzania nią jest tlntadmn.exe. Jest to narzędzie działające w wierszu poleceń. Zakres dostępnych czynności obejmuje: wyświetlanie informacji o sesjach, rozłączanie sesji, wysyłanie komunikatów do sesji, wyświetlanie i zmianę parametrów pracy serwera Telnet, zatrzymanie i uruchomienie tej usługi. Za pomocą tlntadmn.exe można wykonywać również konfigurację serwera Telnet na zdalnym komputerze. Domyślnie tylko użytkownicy z grupy Administrators mogą zalogować się korzystając z uruchomionej już usługi Telnet. Jeśli inni użytkownicy mają uzyskać taką samą możliwość, to należy dodać ich konta do grupy TelnetClients, która domyślnie jest pusta. Konfiguracja usługi Telnet obejmuje szereg parametrów i jest wykonywana przy pomocy polecenia tlntadmn config parametr_konfiguracji, gdzie jako parametr_konfiguracji najczęściej wykorzystywane są: maxconn maksymalna liczba równoczesnych połączeń do serwera Telnet (def. 2) maxfail maksymalna liczba dopuszczalnych nieudanych prób logowania przed zakończeniem połączenia (def. 3) sec rodzaj uwierzytelniania (def. NTLM, potem Passwd) Bardziej szczegółowe informacje dotyczące konfiguracji można znaleźć w Help and Support Center wybierając Administration and Scripting Tools Command-line reference Command-line reference A-Z Telnet commands. Klient usługi Telnet w systemie Windows Server 2003 (oraz Windows 2000) został zmieniony w porównaniu do Windows NT 4.0 w następujących głównych aspektach: jest programem znakowym, działającym w wierszu polecenia (w Windows NT 4.0 działał w trybie graficznym) obsługuje uwierzytelnianie NTLM 1.4 Usługa zdalnego pulpitu (Remote Desktop) i usługi terminalowe (Terminal Services) Usługi terminalowe systemu Windows Server 2003 pozwalają wielu użytkownikom na równoczesną pracę interakcyjną w graficznym środowisku systemu Windows. Dzięki usługom terminalowym system Windows Server 2003 staje się systemem wielodostępnym (ang. multiuser). Usługi terminalowe Windows Server 2003 są rozwinięciem usług terminalowych oferowanych przez serwery Windows 2000 a wcześniej przez specjalizowaną wersję Windows NT 4.0 Terminal Server. Rolę klienta usług terminalowych Windows Server 2003 mogą spełniać systemy: Windows Server 2003 Windows XP Windows NT 4.0/2000 Windows 95/98/Me Windows for Workgroups 3.11 (z 32-bitowym stosem TCP/IP) Komputery typu palmtop z systemem Windows CE Terminale systemu Windows Inne systemy po zainstalowaniu dodatkowych produktów komercyjnych Citrix MetaFrame Systemy UNIX/Linux korzystające z oprogramowania takiego jak rdesktop czy tsclient. W charakterze oprogramowania klienckiego wykorzystywany jest najczęściej klient Remote Desktop Connection, standardowo dostępny w systemach Windows Server 2003 oraz Windows XP. W systemach Windows 95/98/Me oraz Windows NT4/2000 należy go zainstalować posługując się np. pakietem msrdpcli.exe dostępnym na stronach Internetowych Microsoftu. Windows Server 2003 dysponuje również drugim oprogramowaniem klienckim, konsolą MMC o nazwie Remote Desktops przydatną do obsługi połączeń w wielu sesjach. Ponadto po zainstalowaniu serwera IIS, który w swojej 3

36 Wersja 3.2, konfiguracji uwzględni oprogramowanie Remote Desktop Web Connection, użytkownicy przeglądarki Internet Explorer mogą uzyskać połączenia do usług terminalowych w ramach tej przeglądarki. Aktualną wersję oprogramowania potrzebną do zainstalowania na serwerze IIS (pakiet tswebsetup.exe) można pobrać ze stron Internetowych Microsofta. Komunikacja między klientem a serwerem usług terminalowych jest wykonywana z wykorzystaniem protokołu aplikacyjnego RDP (Remote Desktop Protocol) na bazie zestawu protokołów TCP/IP (w oparciu o port tcp/3389). Mechanizm komunikacji uwzględnia szyfrowanie. Windows Server 2003 wykorzystuje protokół RDP w wersji 5.2. Usługi terminalowe Windows Server 2003 mogą pracować w jednym z dwóch trybów: Remote Desktop for Administration tryb przeznaczony do zdalnego administrowania serwerem, nie wymagający licencji klienckich dla usług terminalowych (Terminal Services CAL), możliwe jest uruchomienie dwóch sesji terminalowych (odpowiednik Remote administration mode w usługach terminalowych systemów serwerowych Windows 2000). Usługa Remote Desktop for Administration jest standardowo zainstalowana w Windows Server 2003, lecz korzystanie z niej wymaga jej włączenia. Terminal Services tryb aplikacyjny, wielu użytkowników pracujących równocześnie (odpowiednik Application server mode w usługach terminalowych systemów serwerowych Windows 2000), wymagane jest posiadanie licencji klienckich dla usług terminalowych nadzorowanych przez Terminal Services Licensing. W sieci musi działać co najmniej jeden serwer licencji klienckich. Bez wykupienia licencji klienckich na usługi terminalowe ten rodzaj pracy będzie obsługiwany tylko przez 120 dni. Usługi terminalowe w pełnej wersji wymagają doinstalowania z nośników instalacyjnych systemu. Aplikacje uruchamiane w sesjach terminalowych powinny być 32-bitowymi aplikacjami Windows. Aplikacje 16- bitowych systemów Windows mogą być uruchamiane, ale korzystanie z nich powoduje znaczne obniżenie wydajności serwera. Aplikacje starszego typu (MS-DOS), wymagające środowiska jednoużytkownikowego lub specjalnego dostępu do urządzeń nie są obsługiwane przez usługi terminalowe. Większość aplikacji systemu Windows Server 2003 powinna działać prawidłowo w środowisku terminalowym. Niektóre z nich wymagają jednak do poprawnej pracy uruchomienia tzw. skryptów zgodności aplikacji. Instalowanie aplikacji w systemie serwera Windows Server 2003 z zainstalowanymi usługami terminalowymi jest wykonywane tylko przez Administratora przy użyciu Add or Remove Programs. Na serwerze terminalowym, parametry kont użytkowników są rozszerzone o szereg atrybutów definiowanych w dodatkowych zakładkach narzędzi Local Users and Groups lub Active Directory Users and Computers obejmujących m.in. możliwość zdefiniowania oddzielnych profili i katalogów osobistych wykorzystywanych tylko podczas sesji terminalowych. Usługi terminalowe mogą być zainstalowane na serwerach Windows Server 2003 będących kontrolerami domeny lub na serwerach członkowskich i samodzielnych (ten drugi wariant jest zalecany, ze wzgl. na wydajność pracy serwera). 4

37 Wersja 3.2, ZAJĘCIA 9 - ĆWICZENIA Ćwiczenie 1 (Przygotowania) 1. Zalogować się jako Administrator w Windows Server 2003, Instalacja standardowa. 2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku D: cały folder lab2006\zaj9 z zachowaniem jego nazwy zaj9. 3. Otworzyć okno Command Prompt i uruchomić skrypt konfiguracja9.cmd wydając polecenie: d:\zaj9\konfiguracja9.cmd W wyniku tej operacji powinny zostać zdefiniowane trzy lokalne konta użytkowników należących do grupy Users: konto1 (z hasłem konto1), konto2 (z hasłem konto2), tsuser (z hasłem tsuser). Użytkownik konto2 należy także do lokalnej grupy TelnetClients. 4. Dla potrzeb bieżących zajęć utworzyć dwuosobowe zespoły. Komputer partnera w zespole będzie oznaczany jako szyyy, natomiast własny komputer jako szxxx. Ćwiczenie 2 (Poświadczenia (credentials) podczas podłączania się do zasobów) Podczas podłączania się do zasobów udostępnianych z serwera sieciowego czyli nawiązywania sesji z takim serwerem, z komputera klienckiego wysyłane są poświadczenia (ang. credentials) nazywane też parametrami uwierzytelnienia obejmujące nazwę konta i hasło (oraz w razie potrzeby nazwę domeny). System Windows Server 2003 nie pozwala na nawiązanie z danego komputera wielu sesji do tego samego serwera sieciowego z wykorzystaniem różnych parametrów uwierzytelnienia. Odstępstwo od tej cechy systemu oferowane jest przez mechanizm Secondary Logon (Run As). 1. Pracując jako Administrator w systemie Windows Server 2003 udostępnić katalog d:\zaj9 jako zajecia (z uprawnieniami udostępniania Full Control dla grupy Everyone) oraz utworzyć (w razie potrzeby) katalog d:\temp i udostępnić go jako temp z domyślnymi uprawnieniami udostępniania. 2. Zalogować się jako tsuser. Uruchomić okno wiersza poleceń (Command Prompt) i podłączyć się do dwóch zasobów udostępnionych z komputera szyyy wykonując: net use p: \\szyyy\zajecia net use q: \\szyyy\temp Obydwa podłączenia powinny wykonać się prawidłowo. Powyższa sytuacja dotyczy przypadku podłączenia się do różnych zasobów tego samego serwera sieciowego z wykorzystaniem tego samego zestawu poświadczeń tutaj domyślnie wysyłanych parametrów bieżąco pracującego użytkownika tsuser. Przy pierwszym podłączeniu została nawiązana sesja, drugie podłączenie wykorzystuje taki sam zestaw poświadczeń. 3. Wykonać: net use r: \\szyyy\zajecia /user:konto1 * (i podać odpowiednie hasło użytkownika konto1) W tym przypadku powinien być wygenerowany błąd systemowy numer 1219: Multiple connections to a server or shared resource by the same user, using more than one user name, are not allowed. Disconnect all previous connections to the server or shared resource and try again. gdyż była podjęta próba podłączenia się z wykorzystaniem innego zestawu poświadczeń (tutaj: parametrów użytkownika konto1) niż ten, który został użyty do otwarcia sesji z komputerem szyyy. 4. Można w takiej sytuacji usunąć wszystkie podłączenia nawiązane w ramach sesji w imieniu użytkownika tsuser: net use p: /delete net use q: /delete i nawiązać sesję w imieniu innego użytkownika, np. konto1: net use r: \\szyyy\zajecia /user:konto1 * (i podać odpowiednie hasło użytkownika konto1) net use s: \\szyyy\temp 5

38 Wersja 3.2, (tutaj wykorzystywane są już poświadczenia użytkownika konto1) Jeśli na komputerze szyyy (czyli serwerze, do którego są wykonane podłączenia) zostałyby teraz wykonane przez użytkownika z uprawnieniami administracyjnymi polecenia: net session oraz net session \\szxxx (lub jeśli powyższe polecenie generuje błąd, to zamiast niego polecenie: net session \\adres_ip_komputera_szxxx ) to powinno dać się zauważyć, że z komputera szxxx została nawiązana jedna sesja, w ramach której uzyskano podłączenia do dwóch różnych zasobów. Próba podłączenia się (z szxxx ) do zasobu komputera szyyy jako inny użytkownik niż konto1 powinna być wtedy odrzucona z sygnalizacją błędu numer 1219: net use t: \\szyyy\temp /user:konto2 * (i podać odpowiednie hasło użytkownika konto2) Nie zamykać okna wiersza poleceń. 5. W systemie Windows Server 2003 można wykorzystać mechanizm Run As (inaczej: Secondary Logon) do podłączenia się z innymi parametrami uwierzytelniania. Wyświetlić Start All Programs Accessories, użyć sekwencji [Shift + prawy przycisk myszy] na aplikacji Command Prompt, z wyświetlonego menu wybrać Run As... W oknie Run As, zaznaczyć The following user: oraz wpisać nazwę konta Administrator i jego hasło, potwierdzając to przyciskiem OK. (Inny sposób to pracując jako tsuser uruchomić okno wiersza poleceń w imieniu użytkownika Administrator: runas /user:szxxx\administrator "cmd.exe" ) Następnie wykonać w tym oknie: net use t: \\szyyy\zajecia /user:konto2 * (i podać odpowiednie hasło użytkownika konto2) co powinno zakończyć się powodzeniem zostanie nawiązana oddzielna sesja. Wykonanie z uprawnieniami administracyjnymi na szyyy polecenia: net session powinno pokazać, że są nawiązane dwie sesje z komputera szxxx: jedna w imieniu użytkownika konto1 i druga w imieniu użytkownika konto2. W razie potrzeby można byłoby kolejny raz użyć mechanizmu Secondary Logon, uzyskując uprawnienia innego (a nawet tego samego) użytkownika w oddzielnie otwartym oknie wiersza polecenia i nawiązywać kolejną sesję z serwerem udostępniającym zasoby sieciowe. 6. (Weryfikacja identyfikacji użytkownika podłączonego do zasobu sieciowego) Po wykonaniu poprzednich etapów tego ćwiczenia sytuacja powinna być następująca: W jednym oknie wiersza polecenia, użytkownik tsuser (nazwę użytkownika można wyświetlić poleceniem whoami) jest podłączony z wykorzystaniem litery r: do zasobu \\szyyy\zajecia w imieniu użytkownika konto1. W drugim oknie wiersza polecenia, użytkownik Administrator jest podłączony z wykorzystaniem litery t: do tego samego zasobu \\szyyy\zajecia w imieniu użytkownika konto2. W oknie użytkownika tsuser wykonać polecenie: echo tekst > r:\plik-konto1 W oknie użytkownika Administrator wykonać polecenie: echo tekst > t:\plik-konto2 Utworzone w ten sposób pliki znajdują się na szyyy w katalogu udostępnionym jako zajecia, czyli katalogu d:\zaj9. Jeśli na szyyy zostanie następnie wykonane polecenie: dir /q d:\zaj9\plik-konto1 d:\zaj9\plik-konto2 (użycie opcji /q powoduje wyświetlenie właściciela pliku) 6

39 Wersja 3.2, to powinno się okazać, że właścicielem pliku plik-konto1 jest użytkownik szyyy\konto1, natomiast właścicielem pliku plik-konto2 jest użytkownik szyyy\konto2 (Uwaga: w systemie Windows 2000 można to sprawdzić prościej, wykonując polecenie dir na komputerze szxxx, czyli wykonać w odpowiednich oknach: dir /q r:\plik-konto1 dir /q t:\plik-konto2 Jednak w systemie Windows Server 2003 zamiast nazwy konta pojawia się wtedy oznaczenie składające się z trzech kropek (...)) 7. Usunąć wszystkie podłączenia (i sesje) nawiązane do szyyy wykonując w obydwu oknach wierszy poleceń (tzn. jako tsuser oraz Administrator): net use * /delete Zamknąć obydwa okna wiersza polecenia. Ćwiczenie 3 [Dodatkowe] (Przykłady zdalnej pracy wbudowanych narzędzi Windows Server 2003) 1. Zalogować się jako Administrator i uruchomić pustą konsolę MMC. Następnie użyć File Add/Remove Snap-in... W zakładce Standalone okna Add/Remove Snap-in użyć przycisku Add... W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in, zaznaczyć przystawkę Services oraz nacisnąć przycisk Add. W oknie Services charakteryzującym pracę tej przystawki, wybrać w rubryce This snap-in will always manage: pole Another computer oraz wpisać nazwę komputera partnera szyyy. Nacisnąć przycisk Finish potem Close i OK. (Można też zaznaczyć rubrykę Allow the selected computer to be changed..., co pozwala wywołać później konsolę MMC zapamiętaną w pliku *.msc z parametrem /computer:nazwa_komputera określającym inny komputer niż wprowadzony podczas definiowania przystawki). Powinien być uzyskany dostęp do zarządzania usługami na komputerze partnera. Zakończyć pracę z tą konsolą. 2. Uruchomić konsolę Administrative Tools Computer Management. Zaznaczyć węzeł Computer Mangement (Local) i z menu Action wybrać Connect to another computer... po czym w rubryce Another computer wpisać nazwę komputera partnera szyyy i zaakceptować. Powinien być uzyskany dostęp do zarządzania komputerem partnera. Warto zwrócić uwagę na to, że zdalny dostęp nie zawsze daje możliwość wykonywania wszystkich zmian na docelowym komputerze. Aby się o tym przekonać, wybrać węzeł System Tools Device Manager w konsoli Computer Management operującej na zdalnym komputerze. Powinien pojawić się komunikat: Device Manager is running in read-only mode because you are running it on a remote computer... wskazujący, że zmiany w konfiguracji urządzeń muszą być wykonywane lokalnie. Zakończyć pracę z tą konsolą. 3. Polecenie netsh jest przeznaczone do zarządzania wybranymi usługami sieciowymi i może być uruchomione w odniesieniu do zdalnego komputera. W oknie wiersza poleceń wykonać dwa równoważne pod względem efektu zestawy poleceń powodujące wyświetlenie informacje dotyczących użytkowników Remote Access Server (RAS) na zdalnym komputerze: A) netsh r szyyy c ras show user B) netsh r szyyy (Pojawi się zgłoszenie gotowości do pracy: [szyyy] netsh> ) [szyyy] netsh> ras [szyyy] netsh ras> show user 7

40 Wersja 3.2, [szyyy] netsh ras> quit 4. Edytor Rejestru regedit pozwala podłączyć się do zdalnego Rejestru dzięki File Connect Network Registry... Polecenie reg używa notacji UNC do odwoływania się do zdalnego Rejestru np. reg query \\szyyy\hklm\system\currentcontrolset\services\cdrom /v AutoRun (Zdalne korzystanie z Rejestru dotyczy wyłącznie kluczy głównych HKEY_LOCAL_MACHINE lub HKEY_USERS) 5. Polecenie at oraz schtasks pozwalają odwoływać się do zdalnego komputera: at \\szyyy 23:59 /interactive cmd /t:1e schtasks /create /tn zad /sc once /s szyyy /u Administrator /p /st 23:59 /it /tr "cmd /t:1e" Ćwiczenie 4 (Serwer i klient usługi Telnet) W bieżącym ćwiczeniu rolę serwera i klienta usługi Telnet będzie (zwykle) spełniał własny komputer. Dzięki temu będzie można łatwiej wypróbować różne ustawienia konfiguracyjne. W warunkach normalnej pracy klient i serwer usługi Telnet mogą być oczywiście uruchomione na różnych komputerach. 1. Usługa Telnet jest standardowo wyłączona (ang. disabled) w systemie Windows Server Są następujące sposoby zarządzania tą usługą: A) Administrative Tools Services (lub węzeł Services w konsoli Computer Management) umożliwia uruchomienie, zatrzymanie, wstrzymanie, wznowienie oraz określenie sposobu uruchamiania usługi podczas startu systemu (Automatic, Manual, Disabled) (Ponieważ konsola Computer Management może być uruchomiona zdalnie, więc również zdalnie można np. wystartować usługę Telnet, a potem z niej skorzystać.) B) W wierszu poleceń, należy najpierw ustawić inny niż disabled tryb uruchamiania: sc getkeyname telnet (uzyskanie nazwy usługi akceptowanej przez polecenie sc) sc config tlntsvr start= demand (demand jest odpowiednikiem Manual, można też zmienić na auto) Uruchomienie usługi można uzyskać wtedy różnymi metodami: sc start tlntsvr (odpowiednio sc stop tlntsvr jej zatrzymanie) albo net start telnet (odpowiednio net stop telnet jej zatrzymanie) albo tlntadmn start (odpowiednio tlntadmn stop jej zatrzymanie) Po zatrzymaniu usługi można zmienić jej tryb uruchamiania na wyłączony poleceniem: sc config tlntsvr start= disabled (Polecenia sc oraz tlntadmn mogą być również uruchamiane zdalnie. Nazwa zdalnego komputera podawana jest wtedy jako pierwszy parametr w notacji \\komputer). 2. Pracując jako Administrator uruchomić usługę Telnet na swoim komputerze, jednym z wyżej opisanych sposobów. 3. Narzędziem do zarządzania usługą Telnet jest polecenie tlntadmn działające w wierszu poleceń. Zakres dostępnych czynności obejmuje: wyświetlanie informacji o sesjach, rozłączanie sesji, wysyłanie komunikatów do sesji, wyświetlanie i zmianę parametrów pracy serwera Telnet, zatrzymanie i uruchomienie tej 8

41 Wersja 3.2, usługi. Podpowiedzi dotyczące polecenia tlntadmn: tlntadmn /? Uruchomienie polecenia bez parametrów powoduje wyświetlenie aktualnych ustawień pracy serwera Telnet: tlntadmn Jako atrybut State powinno być wyświetlone Running. Domyślne ustawienia obejmują m.in.: maksymalną liczbę połączeń (2) oraz mechanizm uwierzytelniania (NTLM, Password). Mechanizm uwierzytelniania jest definiowany poprzez użycie opcji sec z wartościami ntlm oraz passwd poprzedzonych oznaczeniem + (używać) lub (nie używać), gdzie: uwierzytelnianie NTLM: szyfrowane, bez jawnego podawania nazwy konta i hasła uwierzytelnianie Password: jawne podawanie nazwy konta i hasła czystym tekstem. Najpierw brane jest pod uwagę uwierzytelnianie NTLM (jeśli przewidziano jego użycie) potem Password. Dla przykładu, domyślną postać uwierzytelniania uzyskuje się poleceniem: tlntadmn config sec=+ntlm+passwd Otworzyć inne okno wiersza polecenia, z którego będzie uruchamiany klient usługi Telnet. Następnie w narzędziu do konfiguracji usługi Telnet wypróbować wszystkie trzy wartości uwierzytelniania, dla każdego z nich logując się do własnego komputera poleceniem telnet szxxx (Polecenie exit kończy nawiązaną sesję telnetową) Zaobserwować, że tylko w wariancie sec= ntlm+passwd pojawia się pytanie o nazwę konta i hasło, dzięki czemu można łatwo wybrać parametry logującego się użytkownika, w tym dopuszczalne jest podanie parametrów konta Administratora. 4. Domyślna konfiguracja serwera Telnet w Windows Server 2003 dopuszcza maksymalnie dwa równoczesne połączenia. Można zmienić to ustawienie stosując parametr maxconn. Zwiększyć maksymalną liczbę połączeń telnetowych do własnego serwera z 2 do 3: tlntadmn config maxconn=3 Wypróbować to ustawienie, otwierając trzy równoczesne sesje telneta (np. wykonując kolejno polecenie telnet szxxx w okienku Start Run ) przedstawiając się jako użytkownik Administrator lub konto2. Informacje o sesjach telnetowych jest wyświetlana na serwerze po wykonaniu polecenia: tlntadmn s Zakończyć trzy otwarte sesje telnetowe. 5. W uzgodnieniu z partnerem otworzyć sesję telnetową do komputera szyyy (usługa Telnet musi być na tym komputerze uruchomiona), jako Administrator i wykonać polecenia: hostname ipconfig /all more net user konto3 konto3 /add (założenie nowego konta) net user konto3 * (zmiana hasła istniejącego konta) net user konto3 /delete (usunięcie konta) Spróbować także uruchomić polecenie wymagające interfejsu graficznego Windows np.: notepad Jaki jest tego skutek? (Wskazówka: Poprosić partnera o uruchomienie Task Manager Processes na szyyy) Zamknąć sesje telnetową na komputerze partnera. 6. Klient usługi Telnet dostępny w Windows Server 2003 jest aplikacją wiersza poleceń. Obsługiwane są przez niego cztery typy terminali: ANSI, VT100, VT52 oraz VTNT Zmiana typu terminala jest wykonywana poleceniem set np. D:> telnet Microsoft Telnet> set? Microsoft Telnet> set term vt100 9

42 Wersja 3.2, Microsoft Telnet> open szyyy Ustawienie typu terminala VT100 lub ANSI może być szczególnie przydatne podczas nawiązywania sesji telnetowych z komputerami działającymi pod kontrolą innych systemów operacyjnych niż Windows Server Innym przydatnym ustawieniem klienta może być włączenie odnotowywania zapisu sesji w pliku (logowania sesji) dzięki użyciu opcji set logging oraz set logfile. Niektóre z tych ustawień można podać w formie opcji dla polecenia telnet (por. telnet /?). Zakończyć wszystkie otwarte w tym ćwiczeniu sesje telnetowe. Ćwiczenie 5 (Remote Desktop for Administration konfiguracja serwera) W systemie Windows Server 2003 praca w trybie Remote Desktop for Administration jest odpowiednikiem trybu Remote administration mode usług terminalowych w systemach serwerowych Windows Taki tryb pracy jest przeznaczony do zdalnego administrowania serwerem, nie wymaga posiadania licencji klienckich dla usług terminalowych oraz ogranicza liczbę równoczesnych sesji do dwóch. Udogodnieniem serwera Windows 2003 jest to, że usługa Remote Desktop for Administration jest standardowo zainstalowana na każdym serwerze, należy tylko włączyć możliwość jej użycia. Włączenie/wyłączenie takiej usługi jest wykonywana w zakładce System Properites Remote. Konfiguracja usług terminalowych jest wykonywana za pomocą narzędzia Terminal Services Configuration. Parametry kont użytkowników związane z korzystaniem z usług terminalowych są definiowane w węźle Local Users and Groups Users. Zarządzanie sesjami nawiązanymi z serwerem jest wykonywane poprzez Terminal Services Manager oraz (w nieco węższym zakresie) w zakładce Task Manager Users. 1. (Umożliwienie dostępu do usługi) Będąc zalogowanym jako Administrator, w System Properties Remote w rubryce Remote Desktop zaznaczyć pole Enable Remote Desktop on this computer. Zaakceptować informacje wyświetlone w okienku Remote Sessions dotyczące m.in. konieczności posiadania hasła przez użytkowników korzystających ze zdalnego pulpitu. Następnie wybrać przycisk Select Remote Users... Wszyscy użytkownicy należący do grupy Administrators maja domyślnie prawo korzystania z takich połączeń. Używając przycisku Add... dodać do spisu uprawnionych użytkowników konto tsuser. Dodatkowi użytkownicy zdefiniowani w ten sposób są automatycznie zaliczani do grupy Remote Desktop Users, co można sprawdzić w oknie wiersza poleceń np. wpisując: net localgroup "Remote Desktop Users" Zamknąć okna Remote Desktop Users oraz System Properties używając przycisku OK. 2. (Konfiguracja usług terminalowych) Uruchomić Administrative Tools Terminal Services Configuration. Zaznaczyć węzeł Connections, po czym w oknie szczegółów wyświetlić właściwości połączenia RDP-Tcp Powinny być wyświetlone zakładki: General, Logon Settings, Sessions, Environment, Remote Control, Client Settings, Network Adapter i Permissions. Przejrzeć wybrane zakładki: m.in. General (wersja używanego protokołu (RDP 5.2, tcp), ustawienie poziomu szyfrowania połączeń terminalowych), Logon Settings (opcja wymagania podawania hasła), Sessions (limity czasowe i mechanizmy kończenia sesji odłączonych, aktywnych i jałowych), Network Adapter (maksymalna liczba połączeń terminalowych do serwera), Permissions (uprawnienia jakie posiadają określone grupy użytkowników w odniesieniu do pracy terminalowej). 10

43 Wersja 3.2, Spróbować zwiększyć maksymalną liczbę połączeń terminalowych do serwera z dwóch do trzech (nie powinno się udać, zwrócić uwagę na ostrzeżenie wyświetlone w dolnej części zakładki Network Adapter). W zakładce Permissions zapoznać się ze szczegółowymi uprawnieniami dostępu dla grupy Remote Desktop Users, wybierając przycisk Advanced. W drzewie konsoli zaznaczyć węzeł Server Settings, przejrzeć wyświetlone ustawienia np. Licensing czy też Restrict each user to one session. Zakończyć pracę z tym narzędziem. 3. (Konfiguracja kont użytkowników korzystających z usług terminalowych) Utworzyć katalogi d:\tsprofiles oraz d:\tshomes. Uruchomić Computer Management Local Users and Groups Users Wyświetlić właściwości konta tsuser. Zakładki Environment, Sessions, Remote Control, Terminal Services Profile są związanych z usługami terminalowymi. Dla przykładu, w zakładce Terminal Services Profile dla użytkownika tsuser zdefiniować oddzielnie używany profil i katalog osobisty podczas korzystania z usług terminalowych tzn. w rubryce Terminal Services User Profile w polu Profile Path: wprowadzić d:\tsprofiles\tsuser natomiast w rubryce Terminal Services Home Folder w polu Local path: wprowadzić d:\tshomes\tsuser. Zwrócić uwagę, że zaznaczając pole Deny this user permissions to log on to any Terminal server można zabronić użytkownikowi korzystania z usług terminalowych (nie ma to wpływu na zwykły sposób pracy użytkownika bez korzystania z sesji terminalowych). Nie zaznaczać tego pola. Zakończyć pracę z tym narzędziem przyciskiem OK.. Ćwiczenie 6 (Remote Desktop Connection praca klienta ) W systemie Windows Server 2003 są standardowo zainstalowane dwa narzędzia klienckie do realizacji połączeń z serwerami usług zdalnego pulpitu (i usług terminalowych). Pierwszym z nich jest klient Remote Desktop Connection, którego odpowiednikiem w systemie Windows 2000 (wymagającym zainstalowania przy pomocy dodatkowego pakietu) jest Terminal Services Advanced Client (TSAC). 1. Pracując jako Administrator, uruchomić klienta usług zdalnego pulpitu Remote Desktop Connection. (wybierajac All programs Accessories Communications Remote Desktop Connection). W rubryce Computer wpisać nazwę szyyy lub adres IP komputera partnera z zespołu. Nacisnąć przycisk Connect. W pojawiającym się oknie logowania Windows Server 2003 pochodzącym z komputera szyyy (nazwa komputera wyświetlana jest u góry ekranu) wprowadzić parametry użytkownika konto1 i spróbować się zalogować w systemie. Próba nie powinna się udać, wyświetlany jest komunikat: To log on to this remote computer, you must be granted the Allow log on through Terminal Services right. By default, members of the Remote Desktop Users group have this right Podjąć próbę zalogowania się jako użytkownik tsuser. Ta próba powinna zakończyć się powodzeniem, gdyż użytkownik tsuser został dodany do grupy Remote Desktop Users na zdalnym komputerze. Użycie sekwencji [Ctrl + Alt + End] w sesji terminalowej daje taki sam efekt jak użycie sekwencji [Ctrl + Alt + Delete] podczas zwykłej pracy w Windows Server 2003 tzn. wyświetlane jest okno Windows Security, z którego m.in. można odczytać nazwę bieżąco pracującego użytkownika w takiej sesji oraz wykonać operację zamknięcia sesji terminalowej. 11

44 Wersja 3.2, Zmniejszyć okno zajmowane przez zdalne połączenie (np. drugim przyciskiem w prawym górnym rogu) Na własnym komputerze (nie w sesji terminalowej do szyyy) uruchomić Administrative Tools Terminal Services Manager Używając Actions Connect to Computer.., podłączyć się do komputera partnera z zespołu aby obejrzeć informacje o nawiązanych przez siebie sesjach. Przejrzeć informacje dotyczące zdalnych sesji otwartych na wszystkich serwerach (All Listed Servers) i na serwerze partnera (WS2003LAB szyyy) posługując się zakładkami Users, Sessions, Processes. Następnie obejrzeć informacje dotyczące konkretnych zdalnych sesji (te sesje są oznaczane jako RDP- Tcp#numer (nazwa_użytkownika) ) rozwijając odpowiedni węzeł i używając zakładek Processes, Information. Zaznaczyć sesję otwartą przez użytkownika tsuser (RDP-Tcp#numer(tsuser)) czyli własną, wcześniej nawiązana sesję terminalową i wysłać komunikat do użytkownika tej sesji (Send Message). 3. Zamknięcie sesji terminalowej może być wykonane na dwa sposoby: Log off (całkowite zakończenie pracy wszystkich aplikacji i całej sesji) Disconnect (odłączenie się od sesji, aplikacje uruchomione w tej sesji nadal działają na serwerze, można się ponownie podłączyć do takiej sesji) Zamknięcie sesji przez Disconnect pozostawia na serwerze (przez pewien czas) sesję, do której można się ponownie podłączyć. W sesji terminalowej otwartej jako tsuser, otworzyć okno Command Prompt. Uruchomić w nim skrypt \zaj9\miernik.cmd Efektem jego działania jest wyświetlanie w regularnych odstępach czasu (ok. 5 sekund) kolejnych liczb. Zapamiętać ostatnią wyświetloną liczbę. Następnie rozłączyć się, wybierając (w sesji terminalowej) Start Shut Down Disconnect. W Terminal Services Manager zaobserwować zmianę informacji o tej sesji. Odczekać ok. 1 minuty i ponownie nawiązać sesję terminalową jako użytkownik tsuser. Powinno być nadal otwarte okno wiersza polecenia z uruchomionym skryptem miernik.cmd i widoczna różnica w zawartości tego okna w porównaniu do sytuacji przed rozłączeniem sesji. Przerwać działanie skryptu miernik.cmd używając [Ctrl+C]. Uwaga: Zwykłe zamknięcie okna zawierającego sesję terminalową jest równoważne wykonaniu operacji Disconnect. Zakończyć sesję terminalową użytkownika tsuser, wybierając Start Shut Down Log off tsuser W Terminal Services Manager zaobserwować zmianę informacji o tej sesji. Zakończyć pracę Terminal Services Manager. 4. Innym sposobem uruchomienia klienta Remote Desktop Connection jest skorzystanie z polecenia mstsc. Otworzyć okno Command Prompt i wykonać polecenia: mstsc /? mstsc v:szyyy (zalogować się jako tsuser) Zakończyć tę sesję wykonując [Ctrl+Alt+End], potem wybierając przycisk Log off... Uruchomienie polecenie mstsc bez parametrów powoduje wyświetlenie okna Remote Desktop Connection. W wyświetlonym oknie nacisnąć przycisk Options>>, co spowoduje wyświetlenie sześciu zakładek konfiguracyjnych: General, Display, Local Resources, Programs, Experience, Security. W zakładce Local Resources, w rubryce Local Devices zaznaczyć pozycję Disk Drives (domyślnie jest ona wyłączona). 12

45 Wersja 3.2, W zakładce Experience w polu Choose your connection speed to optimize performance, zmienić domyślną wartość Modem (56Kbps) na LAN (10Mbps or higher). Użyć przycisku Connect. Zatwierdzić okno komunikatu Remote Desktop Connection Security Warning. Nawiązać nową sesję z komputerem szyyy przedstawiając się jako tsuser. W nawiązanej sesji sprawdzić za pomocą Explorera (lub My Computer), że są dostępne zasoby dyskowe z własnego komputera oznaczane jako A on szxxx, C on szxxx itd. Zakończyć sesję terminalową, przywrócić ustawienia domyślne w zakładkach Local Resources oraz Experience. 5. (Praca terminalowa w trybie konsoli) Uzgodnić wykonanie tego elementu ćwiczeń z partnerem, pracującym jako Administrator na swoim komputerze szyyy W oknie wiersza poleceń wykonać: mstsc /v:szyyy /console i zalogować się jako Administrator do zdalnego komputera. Efektem takiego podłączenia powinno być wylogowanie i zablokowanie (Computer Locked) lokalnej sesji Administratora na komputerze szyyy, gdyż nastąpiło przejęcie sesji związanej z Administratorem pracującym na lokalnej konsoli zdalnego komputera. Jeśli Administrator komputera szyyy ponownie zaloguje się do systemu, sesja terminalowa zostanie odłączona z komunikatem: The remote session was disconnected because another user has connected to the session. W systemie może być uruchomiona tylko jedna sesja związana z lokalną konsolą. Innym sposobem podłączenia się do sesji lokalnej konsoli jest uruchomienie narzędzia Remote Desktop Connection i wpisanie w rubryce Computer nazwy zdalnego komputera oraz opcji /console za nią (np. szyyy /console). Ćwiczenie 8 [Dodatkowe] (Remote Desktops praca klienta ) W systemie Windows Server 2003 drugim standardowo dostępnym narzędziem do realizacji połączeń z serwerami usług zdalnego pulpitu (i usług terminalowych) jest konsola MMC Remote Desktops której odpowiednikiem w systemie Windows 2000 (wymagającym zainstalowania przy pomocy dodatkowego pakietu) jest konsola Terminal Services Connections. 1. Uruchomić Administrative Tools Remote Desktops (Innym sposobem jest wykonanie np. w Start Run polecenia tsmmc.msc) Zmaksymalizować wewnętrzne okienko konsoli MMC. Po zaznaczeniu Remote Desktops i wybraniu z menu kontekstowego Add new connection... zdefiniować trzy różne sesje terminalowe do tego samego serwera szyyy o przytoczonej dalej charakterystyce. Nadać sesjom różne nazwy w rubryce Connection name. W pierwszych dwóch wyłączyć korzystanie z opcji Connect to console, natomiast w trzeciej zostawić zaznaczoną tę opcje. W pierwszej wpisać konto i hasło użytkownika tsuser, w pozostałych dwóch, konto i hasło użytkownika Administrator. We wszystkich zaznaczyć opcję Save password. Obejrzeć Properites zdefiniowanych sesji. 2. Klikajac na nich kolejno (w oknie drzewa konsoli) uaktywnić te sesje (jeśli podczas pracy sesja zostanie odłączona, można ją ponownie uaktywnić wybierając z menu kontekstowego pozycję Connect) 13

46 Wersja 3.2, W sesji użytkownika tsuser otworzyć okno wiersza poleceń, aby przekonać się, że katalogiem osobistym tego użytkownika jest d:\tshomes\tsuser zdefiniowany we wcześniejszym ćwiczeniu. Sesja trzecia (Administrator, podłączenie do konsoli) powinna spowodować zablokowanie sesji lokalnej konsoli na komputerze szyyy Wypróbować przełączanie się miedzy otwartymi sesjami w ramach tego pojedynczego narzędzia. Zakończyć wszystkie sesje terminalowe otwarte przy pomocy Remote Desktops. 3. Usunąć wszystkie definicje połączeń zdefiniowane wcześniej w Remote Desktops. Ćwiczenie 9 (Remote Control dla sesji terminalowej wspólne malowanie i pisanie) Zdalne sterowanie i przejmowanie kontroli nad sesja terminalową jest możliwe po uruchomieniu Terminal Services Manager z sesji terminalowej otwartej przez Administratora ale nie jest możliwe po uruchomieniu Terminal Services Manager z konsoli Windows Server W tym ćwiczeniu jeden z komputerów w zespole będzie pełnił rolę serwera usług terminalowych, natomiast drugi rolę klienta korzystającego z takich usług. Poszczególne etapy ćwiczenia powinny być wykonywane wspólnie. Etapy ćwiczeń przeznaczone do wykonania tylko na serwerze będą oznaczane jako (Serwer), natomiast przeznaczone do wykonania tylko na kliencie jako (Klient). 1. (Serwer) Pracując jako Administrator otworzyć zwykłą (bez parametru /console) sesję terminalową do swojego własnego serwera i zalogować się jako Administrator Uruchomić w tej sesji Terminal Services Manager. 2. (Klient) Pracując jako Administrator otworzyć sesję terminalową na serwerze, logując się jako tsuser. Uruchomić program graficzny Paint (Accessories Paint). (Windows Server 2003 nie ma w zestawie instalacyjnym gier komputerowych, więc nie można cech tego ćwiczenia zaprezentować np. na grze w pasjansa, jak w systemie Windows 2000). 3. (Serwer) Zaznaczyć sesję otwartą przez partnera jako tsuser, z właściwości tej sesji wybrać Remote Control. Zaakceptować domyślną postać sekwencji klawiszowej powodującej odłączenie od sterowania sesją (sekwencja [Ctrl + klawisz_*_na_klaw_numerycznej] 4. (Klient) Powinien być wyświetlony komunikat (Remote Control Request) informujący o chęci zdalnego sterowania sesją, wymagający zatwierdzenia po stronie klienta. Zaakceptować go. 5. (Klient i Serwer) Od tego momentu w obu sesjach terminalowych wyświetlana jest ta sama informacja, przenoszone są zmiany postaci obrazu, skutki ruchów myszą oraz wpisywania znaków z klawiatury itd. Narysować wspólnie obrazek (np. wykonując na zmianę po kilka ruchów). Uruchomić okno wiersza poleceń oraz wpisać i wykonać wspólnymi siłami polecenie: dir d:\windows /p 6. (Serwer) Używając sekwencji [Ctrl+*] odłączyć się od zdalnego sterowania sesją partnera. Następnie zaznaczyć tę sesję w oknie Terminal Services Manager i z jej właściwości wybrać Connect. W oknie Connect Password Required wpisać hasło użytkownika tsuser. Powinno nastąpić przejęcie sesji (na komputerze klienta wyświetlany jest stosowny komunikat) Zakończyć tę sesję, wylogowując się. 14

47 Wersja 3.2, (Klient) Zakończyć wszystkie sesje terminalowe. 8. (Serwer) Sprawdzić w Terminal Services Manager czy nie pozostały jakieś sesje terminalowe otwarte lub odłączone z innych komputerów, w razie potrzeby wykonując dla nich operację Reset. Zakończyć pracę z Terminal Services Manager. Ćwiczenie 10 [Dodatkowe] (Remote Desktop Web Connection klient w przeglądarce) Remote Desktop Web Connection (RDWC) to wersja klienta usług terminalowych, który może być uruchomiony w oknie przeglądarki Internet Explorer 5.x lub nowszej (co oferuje wygodną możliwość korzystania z usług terminalowych poprzez WWW). Korzystanie z klienta usług terminalowych poprzez przeglądarkę (jest on tez czasami określany mianem TSWEB, od nazwy Terminal Services Web Client stosowanej w systemie Windows 2000), wymaga zainstalowania na serwerze WWW obsługującym Active Server Pages (np. IIS 4.0 lub nowszy) strony WWW, która pozwala na wybranie połączenia do jednego z dostępnych serwerów usług zdalnego pulpitu i usług terminalowych oraz zainstalowania kontrolki ActiveX, która przy pierwszym podłączeniu do takiej strony jest pobierana przez przeglądarkę Internet Explorer. Pakiet oprogramowania dla serwera IIS realizujący tę funkcje można znaleźć na stronach Internetowych Microsofta (pakiet tswebsetup.exe) albo w przypadku serwera Windows Server 2003 zainstalować go wraz z oprogramowaniem serwera IIS z nośnika instalacyjnego systemu. Serwery Windows Server 2003 używane na zajęciach nie mają zainstalowanego serwera Internetowego IIS. Rolę nośnika instalacyjnego będzie spełniał zasób sieciowy \\szkkk\install, gdzie szkkk to komputer wykładowcy. 1. Pracując jako Administrator zainstalować serwer Internetowy IIS 6.0, używając Control Panel Add or Remove Programs Add/Remove Windows Components w oparciu o podane niżej kroki: Podświetlić (nie zaznaczać) Application Server i nacisnąć przycisk Details.. Zaznaczyć Internet Information Services (IIS) po czym nacisnąć przycisk Details... Podświetlić World Wide Web Service i nacisnąć przycisk Details.. Zaznaczyć dodatkowo (oprócz World Wide Web Service) pozycję Remote Desktop Web Connection. Zaakceptować wprowadzone informacje naciskając trzykrotnie przycisk OK, po czy nacisnąć Next. Jako źródło instalacyjne w okienku Files needed (takie okienko może pojawić się dwukrotnie) wprowadzać nazwę udziału sieciowego \\szkkk\install\i Po zakończeniu instalacji IIS 6.0 wraz z obsługą klienta RDWC, sprawdzić informacje konfiguracyjne tego serwera uruchamiając Administrative Tools Internet Information Services (IIS) Manager. Rozwinąć węzeł szxxx (local computer) Web Sites Default Web Site tsweb aby obejrzeć zawartość strony związanej z obsługą połączeń terminalowych przez przeglądarkę. Wyświetlić Properties dla węzła tsweb. W zakładce Virtual Directory, w polu Local path podana jest ścieżka katalogu, gdzie znajdują się te pliki (\Windows\web\tsweb). Zakończyć pracę z Internet Information Services (IIS) Manager. 3. Posługując się Internet Explorer (wersja używana na zajęciach to 6.x) połączyć się ze stroną W pojawiającym się oknie Internet Enhanced Security Configuration użyć przycisku Add. W oknie Trusted Sites odznaczyć pole Require server verification ( for all sites in this zone i przyciskiem Add zaakceptować nazwę a następnie potwierdzić przyciskiem Close. Zamknąć okna Information bar oraz VBScript: Remote Desktop Connection. Podczas pierwszego podłączenia z użyciem danej przeglądarki pojawi się żądanie zainstalowania Remote 15

48 Wersja 3.2, Desktop ActiveX Control. Wykonać tę instalację, klikając na żółtym pasku z informacją (poniżej pola adresu). Podczas kolejnych prób łączenia się (z użyciem tej przeglądarki) z serwerami usług terminalowych, takie żądanie nie będzie ponawiane. Powinno pojawić się okno opisane jako Microsoft Windows Remote Desktop Web Connection. Jako Server wpisać w nim nazwę serwera terminalowego szyyy partnera z zespołu. Jako Size zostawić Full-Screen. Nacisnąć przycisk Connect. Następne kroki pracy będą przebiegały w analogiczny sposób jak w podstawowym narzędziu Remote Desktop Connection. Podłączyć się jako tsuser. Zakończyć sesję terminalową. Powinno pojawić się ponownie okno Microsoft Windows Remote Desktop Web Connection. Jako Server wpisać w nim nazwę serwera terminalowego szyyy partnera z zespołu. Jako Size wybrać 640 by 480 (zamiast Full-Screen). Nacisnąć przycisk Connect. Następnie zostanie wyświetlone, w obrębie okna przeglądarki, okno logowania do serwera Windows Server Zalogować się w nim jako użytkownik tsuser. Zakończyć sesję terminalową. Zamknąć przeglądarkę Internet Explorer. 4. Odinstalować serwer Internetowy IIS 6.0 używając Control Panel Add or Remove Programs Add/Remove Windows Components i odznaczając pozycję Application server. Ćwiczenie 11 (Porządki) Zalogować się jako Administrator. 1. Otworzyć okno Command Prompt i uruchomić skrypt dekonfiguracja9.cmd wydając polecenie: d:\zaj9\dekonfiguracja9.cmd 2. Usunąć z dysku lokalnego foldery D:\zaj9 i D:\temp wraz z całą zawartością. 3. Usunąć wszystkie profile użytkowników oznaczone jako Account Unknown 4. Wyłączyć dostęp do usługi Remote Desktop (w System Properties Remote). 5. Zatrzymać usługę Telnet oraz zmienić jej sposób uruchamiania na Disabled. 6. Zamknąć system. 16

49 Wersja 3.3, ZAJĘCIA 10 - ZAKRES PRAC I MATERIAŁY POMOCNICZE ZAKRES PRAC 1. Konfiguracja i zarządzanie dyskami 1.1. Narzędzie Disk Management (Zarządzanie dyskami) 1.2. Program DiskPart.exe 1.3. Wdrażanie woluminów odpornych na uszkodzenia 2. Konwersja partycji/woluminu z systemem plików FAT32 na system NTFS (polecenie convert) 3. Przydziały dyskowe (Disk Quota) zarządzanie przy użyciu interfejsu GUI i polecenia fsutil Liczba ćwiczeń: 20 MATERIAŁY POMOCNICZE 1 Wybrane informacje dotyczące zagadnień realizowanych podczas ćwiczeń (Zamieszczone poniżej informacje są, w przeważającej części, zmodyfikowanym wyciągiem ze stosownych, wybranych w Help and Support Center, tematów dla systemów Windows Server 2003 w wersji polskiej i angielskiej) 1.1 Narzędzie Zarządzanie dyskami (Disk Management) Uwaga: Wszystkie czynności związane z zarządzaniem dyskami mogą być prowadzone, na komputerze lokalnym, wyłącznie przez członków grupy Backup Operators (Operatorzy kopii zapasowych), grupy Administrators (Administratorzy) lub użytkowników mających udzielone odpowiednie pełnomocnictwo. Aby wykonać tę procedurę zdalnie, trzeba być członkiem grupy Backup Operators lub grupy Administrators na komputerze zdalnym. Jeśli komputer jest dołączony do domeny, członkowie grupy Domain Admins (Administratorzy domeny) mogą mieć możliwość wykonania tej procedury. Ze względów bezpieczeństwa procedurę tę najlepiej wykonać przy użyciu polecenia Run as. Narzędzia/przystawki Disk Management można używać w systemie Windows XP Professional oraz w systemach operacyjnych z rodziny Windows Server 2003 do wykonywania zadań związanych z dyskami, takich jak tworzenie i formatowanie partycji i woluminów oraz przypisywanie im liter dysków. Na komputerach z systemami operacyjnymi z rodziny Windows Server 2003 można używać przystawki Disk Management do wykonywania zaawansowanych zadań, takich jak tworzenie i naprawianie woluminów odpornych na uszkodzenia. Do wykonywania zadań zarządzania dyskami można również używać polecenia DiskPart oraz innych narzędzi wiersza polecenia. 1.2 Program DiskPart.exe Program DiskPart.exe jest interpreterem poleceń działającym w trybie tekstowym, którego można używać do zarządzania obiektami (dyskami, partycjami lub woluminami) przy użyciu skryptów lub informacji wprowadzanych bezpośrednio z wiersza polecenia. Przed użyciem poleceń programu DiskPart.exe, należy najpierw wyświetlić listę obiektów, a następnie wybrać odpowiedni obiekt, aby ustawić fokus na tym obiekcie. Wszystkie wpisane polecenia programu DiskPart.exe dotyczą obiektu, na którym ustawiono fokus. Korzystając z poleceń list disk, list volume i list partition, można wyświetlić listę dostępnych obiektów i określić numer obiektu lub literę dysku. Polecenia list disk i list volume wyświetlają wszystkie dyski i woluminy na Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 1

50 Wersja 3.3, komputerze. Polecenie list partition wyświetla natomiast tylko partycje na dysku, na którym ustawiono fokus. Podczas korzystania z poleceń list obok obiektu, na którym jest ustawiony fokus, pojawia się gwiazdka (*). Obiekt można zaznaczyć przy użyciu numeru obiektu lub litery dysku, na przykład dysk 0, partycja 1, wolumin 3 lub wolumin C. Fokus jest ustawiony na wybranym obiekcie do chwili, kiedy zostanie wybrany inny obiekt. Na przykład, jeżeli fokus ustawiono na dysku 0 i wybrano wolumin 8 na dysku 2, to fokus zostanie przeniesiony z dysku 0 na wolumin 8 dysku 2. Niektóre polecenia powodują automatyczną zmianę fokusu. Na przykład podczas tworzenia nowej partycji fokus jest automatycznie przełączany do nowej partycji. Fokus może być ustawiony tylko na partycji na wybranym dysku. Gdy fokus jest ustawiony na partycji, fokus jest również ustawiony na woluminie powiązanym z daną partycją (jeżeli jest taki wolumin). Gdy fokus jest ustawiony na woluminie, fokus jest również ustawiony na dysku i partycji powiązanych z danym woluminem, jeżeli wolumin jest mapowany na jedną określoną partycję. W przeciwnym razie fokus ustawiony na dysku i partycji zostanie utracony. Informacje dotyczące poleceń programu DiskPart.exe znajdują się w pliku \zaj10\docs\program_diskpart.doc 1.3 Mini-słownik terminów związanych z nazewnictwem dotyczącym zarządzaniem dyskami Mini-słownik terminów jest zawarty w tabeli pliku \zaj10\docs\tabela_terminow_pl_eng.doc. 1.4 Style partycji (Partition styles) Styl partycji jest związany ze sposobem, w jaki system Windows XP Professional oraz systemy operacyjne z rodziny Windows Server 2003 organizują partycje na dysku. Na wszystkich komputerach z procesorem x86 stosowany jest styl partycji nazywany głównym rekordem rozruchowym MBR (Master Boot Record) (master boot record (MBR)). W rekordzie MBR znajduje się tabela partycji, która opisuje miejsce partycji na dysku. Rekord MBR to jedyny styl partycji dostępny w przypadku komputerów z procesorem x86, nie trzeba go więc wybierać, bo jest używany automatycznie. Komputery z procesorem Itanium i systemem Windows XP 64-Bit Edition, 64-bitowej wersji systemu Windows Server 2003, Enterprise Edition lub 64-bitowej wersji systemu Windows Server 2003, Datacenter Edition używają nowego stylu partycji, nazywanego tabelą partycji GUID (GPT) (GUID partition table (GPT)). Style partycji GPT i MBR różnią się, ale większość zadań związanych z dyskami jest wykonywana tak samo. Dyski podstawowe i dynamiczne działają tak samo, jak w systemie Windows 2000, a wymienione typy magazynowania są dostępne bez względu na użyty styl partycji. Do uruchomienia komputera z zainstalowanym systemem Windows XP 64-Bit Edition, 64-bitową wersją systemu Windows Server 2003, Enterprise Edition, lub 64-bitową wersją systemu Windows Server 2003, Datacenter Edition potrzebny jest dysk GPT z partycją systemową EFI (Extensible Firmware Interface) i niezbędnymi plikami. W systemie opartym na procesorze Itanium można także instalować dyski z rekordem MBR, które jednak nie umożliwiają uruchomienia systemu. Aby ułatwić odróżnienie dysków z rekordem MBR od dysków z tabelą GPT, w przystawce Zarządzanie dyskami (Disk Management) dyski z głównym rekordem rozruchowym mają etykietę MBR, a dyski z tabelą partycji GUID etykietę GPT. W pliku \zaj10\docs\typy_magazynow_style_partycji.doc zamieszczono tabelę zestawiającą typy magazynów (storage types) i style partycji stosowane w systemach Windows XP Professional oraz systemach operacyjnych z rodziny Windows Server Dyski i woluminy podstawowe (Basic disks and volumes) Dysk podstawowy to dysk fizyczny, który zawiera partycje podstawowe (primary partitions), partycje rozszerzone (extended partitions) lub dyski logiczne (logical drives). Partycje i dyski logiczne na dyskach podstawowych nazywamy woluminami podstawowymi. Woluminy podstawowe można tworzyć tylko na dyskach podstawowych. Liczba partycji, którą można utworzyć na dysku podstawowym, zależy od metody partycjonowania: Na dyskach z głównym rekordem rozruchowym (MBR) (master boot record (MBR)) można utworzyć najwyżej cztery partycje podstawowe (primary partitions) na dysk albo trzy partycje podstawowe i jedną rozszerzoną (extended partition). Na partycji rozszerzonej można utworzyć dowolną (ograniczoną liczbą wolnych liter alfabetu) liczbę dysków logicznych (logical drives). Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 2

51 Wersja 3.3, Na dyskach z tabelą partycji GUID (GPT) (GUID partition table (GPT)) można utworzyć do 128 partycji podstawowych. Ze względu na to, że liczba partycji na dyskach GPT nie jest ograniczona do czterech, nie trzeba tworzyć na nich partycji rozszerzonych ani dysków logicznych. Do istniejących partycji podstawowych i dysków logicznych można dodać więcej miejsca, rozszerzając je o ciągły, nieprzydzielony obszar tego samego dysku (wyłącznie polecenie DiskPart.exe). Wolumin podstawowy można rozszerzyć tylko pod warunkiem, że został sformatowany w systemie plików NTFS. Dysk logiczny można rozszerzyć o ciągłe wolne miejsce partycji rozszerzonej, na której się znajduje. Jeżeli rozszerzony dysk logiczny przekroczy wolne miejsce dostępne na partycji rozszerzonej, to rozszerzy się ona do niezbędnego rozmiaru pod warunkiem, że istnieje odpowiedni ciągły, nieprzydzielony obszar Na komputerach z systemami MS-DOS, Windows 95, Windows 98, Windows Millennium Edition, Windows NT 4.0 lub Windows XP Home Edition, które są skonfigurowane do rozruchu również z systemami z rodziny Windows XP Professional lub Windows Server 2003, należy zawsze używać woluminów podstawowych zamiast woluminów dynamicznych. Powyższe systemy operacyjne nie mogą uzyskać dostępu do danych na woluminach dynamicznych. System Windows XP Professional oraz systemy operacyjne z rodziny Windows Server 2003 nie obsługują utworzonych w systemie Windows NT 4.0 lub starszym wielodyskowych woluminów podstawowych, takich jak zestawy woluminów, zestawy dublowania, zestawy rozłożenia i zestawy rozłożenia z parzystością. 1.6 Dyski i woluminy dynamiczne (Dynamic disks and volumes) Dyski dynamiczne zapewniają funkcje niedostępne na dyskach podstawowych, takie jak możliwość tworzenia woluminów obejmujących wiele dysków (woluminy łączone i rozłożone) czy odpornych na uszkodzenia (woluminy dublowane i RAID-5). Wszystkie woluminy na dyskach dynamicznych są nazywane woluminami dynamicznymi. Istnieje pięć typów woluminów dynamicznych: proste (simple), łączone (spanned), rozłożone (striped) RAID-0, dublowane (mirrored) RAID-1 i RAID-5. Woluminy dublowane i RAID-5 cechują się odpornością na uszkodzenia i są dostępne wyłącznie na komputerach z systemem Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server lub z systemami operacyjnymi z rodziny Windows Server Komputer z systemem Windows XP Professional można jednak wykorzystać do zdalnego utworzenia woluminów dublowanych i RAID-5 z myślą o wymienionych systemach operacyjnych. Bez względu na to, czy używanym stylem partycjonowania dysku dynamicznego jest główny rekord rozruchowy (MBR), czy tabela partycji GUID (GPT) można utworzyć do 2000 woluminów dynamicznych, ale zalecana liczba woluminów dynamicznych to 32 lub mniej. Uwagi dotyczące sytuacji, w których należy korzystać z dysków i woluminów dynamicznych zamieszczono w pliku \zaj10\docs\uwagi_dyski_woluminy_dynamiczne.doc Woluminy proste (Simple Volumes) Wolumin prosty to część dysku fizycznego, która działa jak jednostka oddzielna fizycznie (podobnie do partycji podstawowej). Wolumin prosty jest woluminem dynamicznym składającym się z obszaru w obrębie jednego dysku dynamicznego. Woluminy proste można tworzyć tylko na dyskach dynamicznych. Rozmiar istniejącego woluminu prostego można zwiększyć, rozszerzając go o nieprzydzielone miejsce na tym samym lub innym dysku. Rozszerzenie woluminu prostego jest możliwe, jeśli wolumin nie jest sformatowany lub jest sformatowany w wersji systemu plików NTFS, używanej w systemie Windows 2000 lub systemach operacyjnych z rodziny Windows Server Wolumin prosty, który rozszerzono na tym samym dysku, wciąż pozostaje woluminem prostym i nadal można go dublować. Wolumin prosty można także rozszerzyć o regiony znajdujące się na innych dyskach dynamicznych tego samego komputera. Wolumin prosty, który rozszerzono na wielu innych dyskach, staje się woluminem łączonym. Usunięcie dowolnej części rozszerzonego woluminu łączonego powoduje usunięcie go w całości Woluminy łączone (Spanned Volumes) Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 3

52 Wersja 3.3, Wolumin łączony to wolumin dynamiczny składający się z obszarów nieprzydzielonego miejsca na kilku dyskach połączonych w jeden wolumin logiczny. Do woluminu łączonego można w dowolnym momencie dodać więcej miejsca przez rozszerzenie woluminu. Woluminy łączone można tworzyć tylko na dyskach dynamicznych. Do utworzenia woluminu łączonego potrzeba przynajmniej dwóch dysków dynamicznych. Wolumin łączony można rozszerzyć maksymalnie na 32 dyski dynamiczne. Woluminów łączonych nie można dublować. Woluminy łączone nie są odporne na uszkodzenia. W systemie Windows NT w wersji 4.0 lub starszej wolumin łączony był nazywany zestawem woluminowym Woluminy rozłożone (Striped Volumes) Wolumin rozłożony to wolumin przechowujący dane w paskach na dwóch lub większej liczbie dysków fizycznych. Dane na woluminie rozłożonym są alokowane alternatywnie i równomiernie (w paskach) do tych dysków. Woluminy rozłożone oferują najlepszą wydajność ze wszystkich woluminów dostępnych w systemie Windows Server 2003, jednak nie są odporne na uszkodzenia. Jeżeli jeden z dysków woluminu rozłożonego ulegnie uszkodzeniu, dane w całym woluminie zostaną utracone. Do utworzenia woluminu rozłożonego potrzeba przynajmniej dwóch dysków dynamicznych. Wolumin rozłożony można utworzyć maksymalnie na 32 dyskach. Woluminy rozłożone nie są odporne na uszkodzenia i nie można ich rozszerzać ani dublować. W systemie Windows NT w wersji 4.0 lub starszej wolumin rozłożony nazywany był zestawem paskowym Uwarunkowania rozszerzania woluminu prostego (Simple Volume) i łączonego (Spanned Volume) Rozszerzyć można tylko wolumin pozbawiony systemu plików albo sformatowany przy użyciu systemu plików NTFS. Nie można rozszerzyć woluminów sformatowanych w systemie FAT lub FAT32. Nie można rozszerzyć woluminu systemowego, woluminu rozruchowego, woluminu rozłożonego, woluminu dublowanego ani woluminu RAID-5. Woluminy proste i łączone, które nie są woluminami systemowymi ani rozruchowymi, można rozszerzyć, o ile na dysku jest dostępne miejsce. Dotyczy to zarówno woluminów utworzonych od razu jako dynamiczne, jak i woluminów utworzonych jako podstawowe, a później przekonwertowanych na dynamiczne w systemie Windows XP Professional lub systemie operacyjnym z rodziny Windows Server Po uaktualnieniu systemu Windows 2000 do systemu Windows XP Professional lub systemu operacyjnego z rodziny Windows Server 2003 nie można rozszerzyć woluminu prostego ani łączonego utworzonego pierwotnie w systemie Windows 2000 jako wolumin podstawowy, który następnie został przekonwertowany na dynamiczny. Wolumin prosty można rozszerzyć na dodatkowe dyski dynamiczne, tworząc w ten sposób wolumin łączony. Woluminów łączonych nie można dublować. Po rozszerzeniu woluminu łączonego nie można usunąć żadnej jego części, nie usuwając go w całości Uwarunkowania związane z dublowaniem woluminy dublowane (Mirrored Volumes) Tworzenie dublowanych woluminów jest możliwe tylko na komputerach z systemem Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server lub systemem operacyjnym z rodziny Windows Server Do utworzenia woluminu dublowanego potrzebne są dwa dyski dynamiczne. Woluminy dublowane są odporne na uszkodzenia. Zastosowany w nich standard RAID-1 zapewnia nadmiarowość, tworząc dwie identyczne kopie woluminu. Woluminów dublowanych nie można rozszerzać. Obie kopie woluminu dublowanego współdzielą tę samą literę dysku. Gdy wolumin dublowany zostanie podzielony, dwie kopie woluminu, które tworzyły wolumin dublowany, stają się dwoma niezależnymi woluminami prostymi. Woluminy te nie są już odporne na uszkodzenia. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 4

53 Wersja 3.3, Po usunięciu dublowania z woluminu dublowanego, dublowanie to staje się miejscem nieprzydzielonym, a pozostałe dublowanie staje się woluminem prostym, który nie jest już odporny na uszkodzenia. Wszystkie dane znajdujące się na usuwanym dublowaniu zostają usunięte Wybrane uwarunkowania woluminu RAID-5 (RAID-5 Volume) Tworzenie woluminów RAID-5 jest możliwe tylko na komputerach z systemem Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server lub systemem operacyjnym z rodziny Windows Server Do utworzenia woluminu RAID-5 potrzeba przynajmniej trzech dysków dynamicznych (ale nie więcej niż 32). Woluminy RAID-5 zapewniają odporność na uszkodzenia za cenę tylko jednego dodatkowego dysku na wolumin (N-1). Na przykład pojemność woluminu RAID-5 utworzonego z trzech dysków o rozmiarze 10 GB każdy wyniesie 20 GB. Pozostałe 10 GB będzie używane na potrzeby parzystości. Woluminów RAID-5 nie można rozszerzać ani dublować Opisy stanu dysku (Disk Status Descriptions) Jeden z następujących opisów stanu dysku zawsze pojawia się w widoku graficznym dysku i w kolumnie Status (Stan) dysku w widoku listy (skrótowy opis możliwych stanów dysku znajduje się w pliku \zaj10\docs\opisy_stanow_dysku.doc): Audio CD (Audio CD) Foreign (Obcy) Initializing (Inicjowanie) Missing (Brak) No Media (Brak nośnika) Not Initialized (Nie zainicjowany) Online (Online) lub Online (Errors) (Online (błędy)) Offline (Offline) Unreadable (Nieodczytywalny) Opisy stanu woluminu (Volume status descriptions) Jeden z następujących opisów stanu woluminu zawsze pojawia się w widoku graficznym woluminu i w kolumnie Status (Stan) woluminu w widoku listy. Skrótowy opis stanu dysku znajduje się w pliku \zaj10\docs\opisy_stanow_woluminu.doc. Failed (Niepowodzenie) Failed Redundancy (Niepowodzenie nadmiarowości) wyróżnianych jest 5 podstanów Formatting (Formatowanie) Healthy (Zdrowy) wyróżnianych jest 11 podstanów Regenerating (Regeneracja) Resynching (Ponowne synchronizowanie) wyróżniane są 4 podstany Unknown (Nieznany) Data Incomplete (Dane niepełne) Data Not Redundant (Dane nienadmiarowe) Stale Data (Dane stare) 1.7 Dyski instalowane (Mounted drives) Dysk instalowany/montowany to dysk podłączony do pustego folderu na woluminie NTFS. Zainstalowane dyski działają podobnie jak inne dyski, jednak zamiast liter dysków są im przypisywane etykiety. Nazwa zainstalowanego dysku jest rozpoznawana jako pełna ścieżka systemu plików zamiast litera dysku. Dyski zainstalowane systemu NTFS stanowią łatwą metodę dodawania woluminów dodatkowych na komputerze, na którym nie ma już wolnych liter dysków. Można ponadto dodać więcej miejsca do woluminu bez konieczności ponownego tworzenia woluminu na innym, większym dysku przez zainstalowanie innych dysków jako folderów na woluminie. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 5

54 Wersja 3.3, Zwiększanie struktury folderów za pomocą dysków zainstalowanych zapewnia skalowalność woluminu i zwiększa jego pojemność. Przystawki Zarządzanie dyskami (Disk Management) można użyć do zainstalowania woluminu lokalnego w dowolnym pustym folderze na lokalnym woluminie NTFS. Dysk zainstalowany można sformatować w dowolnym systemie plików, obsługiwanym przez system Windows XP Professional lub systemy operacyjne z rodziny Windows Server Przystawka Zarządzanie dyskami przypisuje dyskowi lokalnemu, który zainstalowano w pustym folderze na woluminie NTFS, ścieżkę, a nie literę dysku. Liczba dysków zainstalowanych nie jest ograniczona do 26, ponieważ nie są im przypisywane oznaczenia literowe. Stosując dyski zainstalowane, można więc uzyskać dostęp do więcej niż 26 dysków na komputerze. Zachowanie skojarzenia ścieżek dysków z dyskami jest zapewniane przez system Windows, można więc dodawać urządzenia pamięci masowej i ponownie je rozmieszczać bez obawy o błędy ścieżek. Jeśli na przykład do dysku twardego jest przypisana litera dysku D, a woluminowi sformatowanemu w systemie plików NTFS litera C, to dysk twardy można zainstalować w pustym folderze, do którego prowadzi następująca ścieżka: C:\datadisk. Dostęp do tego dysku twardego można wówczas uzyskiwać bezpośrednio przy użyciu ścieżki C:\datadisk. Można też wybrać usunięcie litery dysku D z dysku twardego i dalszy dostęp do dysku za pomocą ścieżki dysku zainstalowanego. Dyski zainstalowane sprawiają, że dane są łatwiej dostępne oraz zapewniają odpowiednią do środowiska pracy i sposobu użytkowania systemu elastyczność zarządzania składowaniem danych. Na przykład można: Skonfigurować folder C:\Użytkownicy jako dysk zainstalowany z przydziałami dysku NTFS, co pozwala śledzić lub ograniczać wykorzystanie dysku, nie robiąc tego samego na całym dysku C. Skonfigurować folder C:\Temp jako dysk zainstalowany, aby zapewnić dodatkowe miejsce na pliki tymczasowe. Gdy brakuje miejsca na dysku C, przenieść zawartość folderu Moje dokumenty na inny, większy dysk i zainstalować go w folderze C:\Moje dokumenty. 1.8 Konwersja woluminu FAT16 i FAT32 do NTFS System Windows Server 2003 posiada wbudowany pogram Convert (convert.exe) do konwersji woluminów FAT oraz FAT32 na NTFS. Przy dokonywanej konwersji nie są tracone żadne dane. Odwrotna konwersja bez utraty danych jest niemożliwa. Jeżeli polecenie Convert nie może zablokować dysku (na przykład woluminu systemowego lub bieżącego dysku), to proponuje konwersję dysku przy ponownym uruchomieniu komputera. Jeżeli nie można ponownie uruchomić komputera natychmiast w celu zakończenia konwersji, należy zaplanować godzinę ponownego uruchomienia komputera i uwzględnić dodatkowy czas wymagany do ukończenia procesu konwersji. W przypadku woluminów konwertowanych z systemu plików FAT lub FAT32 na system plików NTFS, na skutek istniejącego użycia dysku, tabela MFT (Master File Table) jest tworzona w lokalizacji innej niż na woluminie formatowanym oryginalnie przy użyciu systemu plików NTFS, dlatego wydajność woluminu może być niższa niż w przypadku woluminów formatowanych oryginalnie przy użyciu systemu plików NTFS. Aby uzyskać optymalną wydajność, należy rozważyć możliwość ponownego utworzenia i sformatowania tych woluminów przy użyciu systemu plików NTFS. Woluminy konwertowane z systemu FAT do systemu NTFS pozostawiają pliki bez zmian, jednak wydajność woluminu jest niższa w porównaniu z woluminami formatowanymi oryginalnie przy użyciu systemu NTFS. Na przykład, tabela MFT może ulec fragmentacji na konwertowanych woluminach. Ponadto, na konwertowanych woluminach rozruchowych podczas konwersji stosowane są zabezpieczenia domyślne, które są stosowane podczas instalacji systemu Windows. Przed wykonaniem konwersji, program Convert sprawdza, czy dysk posiada wystarczającą ilość wolnego miejsca dla wykonywania operacji. Wymagany jest ciągły blok stanowiący około 25% całkowitej zajętej powierzchni dysku. Podczas trwania procesu konwersji nie wolno otwierać żadnego pliku na dysku. 1.9 Przydziały dyskowe (Disk Quota) Zarządzanie przydziałami dyskowymi może odbywać się za pomocą karty Quota w Properties dla wybranego dysku lub przy użyciu polecania fsutil.exe (fsutil quota). Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 6

55 Wersja 3.3, Przydziały dysku śledzą i kontrolują wykorzystanie miejsca na dysku przez woluminy NTFS. Członkowie grupy Administrators mogą konfigurować system Windows w celu: Zapobiegania dalszemu wykorzystaniu miejsca na dysku i rejestrowania zdarzenia w dzienniku, jeżeli użytkownik przekroczy określony limit miejsca na dysku, czyli dozwoloną ilość miejsca na dysku, z której może korzystać. Rejestrowania w dzienniku zdarzenia, jeśli użytkownik przekroczy określony poziom ostrzegania dotyczący miejsca na dysku, czyli punkt, w którym użytkownik zbliża się do limitu przydziału. Po włączeniu przydziałów dysku można ustawić dwie wartości: limit przydziału dysku i poziom ostrzegania o przydziale dysku. Na przykład można ustawić dla danego użytkownika limit przydziału dysku użytkownika na 500 megabajtów (MB), a poziom ostrzegania o przydziale dysku na 450 MB. W tym przypadku użytkownik może przechowywać na danym woluminie nie więcej niż 500 MB plików danych. Można tak skonfigurować system przydziałów dysku, aby po zapisaniu na woluminie plików o wielkości przekraczającej 450 MB było rejestrowane zdarzenie systemowe. Przydziałami na woluminie może administrować tylko członek grupy Administrators. Można określić, że użytkownicy mogą przekraczać swoje limity przydziałów dysku. Włączanie przydziałów bez określenia limitu miejsca na dysku jest użyteczne, jeśli nie trzeba odmawiać użytkownikom dostępu do woluminu, ale konieczne jest śledzenie wykorzystania miejsca na dysku przez poszczególnych użytkowników. Można również określić, czy w dzienniku będzie rejestrowane zdarzenie po przekroczeniu przez użytkowników limitu przydziału lub poziomu ostrzegania o przydziale. Po włączeniu dla woluminu przydziałów dysku wykorzystanie woluminu przez wszystkich użytkowników jest śledzone automatycznie. Przydziały można włączyć na woluminach lokalnych, woluminach sieciowych i dyskach wymiennych sformatowanych zgodnie z systemem plików NTFS. Ponadto woluminy sieciowe muszą być udostępniane z katalogu głównego woluminu, a dyski wymienne muszą być udostępnione. Woluminy sformatowane zgodnie z wersją systemu NTFS używaną w systemie Windows NT 4.0 są automatycznie uaktualniane przez Instalatora systemu Windows. Nie można używać skompresowanych plików, aby zapobiegać przekraczaniu przez użytkowników limitów przydziałów, ponieważ skompresowane pliki są śledzone zgodnie z ich rozmiarami po dekompresji. W przypadku pliku o rozmiarze 50 MB, którego rozmiar po kompresji wynosi 40 MB, system Windows porównuje z limitem przydziału oryginalny rozmiar 50 MB. Więcej informacji na temat przydziałów dyskowych zawarto w pliku \zaj10\docs\wybrane_zagadnienia_przydzialow_dyskowych.doc. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 7

56 Wersja 3.3, ZAJĘCIA 10 - ĆWICZENIA Ćwiczenie 1 (Przygotowania) 1. Zalogować się jako Administrator w Windows Server 2003, Instalacja standardowa. 2. Zmienić nazwę komputera na właściwą (opis na obudowie komputera). 3. Z zasobów WS2003Lab skopiować do katalogu głównego partycji d:\ cały folder \\oceanic\staff\ws2003lab\lab2006\zaj10 z zachowaniem jego nazwy zaj10. Skopiować również, do foldera d:\zaj10, z systemu UBI Szkoły pliki znajdujące się w folderze \ws2003lab\lab2006\zajecia Utworzyć nowe konto użytkownika bilbo-grupa z hasłem bilbo, gdzie grupa jest nazwą grupy odbywającej ćwiczenia np. bilbo-id213 dla grupy id213 (w Command Prompt): net user bilbo-grupa bilbo /add). Zalogować się jako bilbo-grupa i wylogować. Jest to konieczne dla prawidłowego przeprowadzenia Ćwiczenia Zalogować się jako Administrator i utworzyć konsolę MMC zawierającą przystawkę (snap-in) Disk Management dla lokalnego komputera. Zapisać, na Pulpicie, konsolę pod nazwą grupa.msc, gdzie grupa jest nazwą grupy aktualnie odbywającej ćwiczenia. Ćwiczenie 2 (Przydziały dyskowe (Disk Quota) zarządzanie przy użyciu interfejsu GUI) Część 1: Włączenie mechanizmu przydziałów dyskowych i prowadzenia inspekcji tych przydziałów 1. Wybrać, z menu kontekstowego lokalnego dysku D:, polecenie Properties. 2. Otworzyć kartę Quota i zaznaczyć pole Enable quota management. Pozostawić domyślnie zaznaczone pole Do not limit disk usage. Ponadto zaznaczyć pola Deny disk space to users exceeding quota limit, Log event when a user exceeds their quota limit, Log event when a user exceeds their warning level i użyć przycisku Apply. 3. W pojawiającym się oknie Disk Quota zaakceptować, przyciskiem OK, komunikat informujący, że po włączeniu systemu przydziałów dyskowych, wolumin będzie przeskanowany w celu aktualizacji statystyk użycia dysku. Po przeskanowaniu na ikonie sygnalizacji świetlnej pojawia się zielone światło. Użyć przycisku Quota Entries Po otwarciu się okna Quota Entries for Local Disk (D:) w kolumnie Name początkowo (po pierwszym uruchomieniu przydziałów dyskowych lub po dodaniu nowego konta) pojawiają się wpisy [Retrieving Name] a w kolumnie Logon Name występują nazwy w postaci niejawnej (odpowiadającej identyfikatorom SID). Po pewnym czasie pojawiają się nazwy w czytelnej postaci. Wszystkie występujące na liście konta mają status OK i oznaczone są zieloną strzałką (w kolumnie Quota Limit widnieją wpisy No Limit). Brak ograniczeń dla istniejących kont użytkowników jest stanem domyślnym po włączeniu mechanizmu przydziałów dyskowych. Zauważyć, że z samego faktu utworzenia nowego konta bilbo-grupa, jego skutecznego zalogowania i wylogowania się konto zajmuje na dysku ponad 3,5 MB (jest to wartość przykładowa zależna m.in. od konfiguracji systemu i zainstalowanego oprogramowania). Część 2: Ustalanie limitów dla wybranego, istniejącego konta użytkownika 5. W oknie Quota Entries for Local Disk (D:) z menu kontekstowego pozycji dla SZXXX\bilbo-grupa wybrać Properties. 6. W oknie Quota Settings for SZXXX\bilbo-grupa zaznaczyć pole Limit disk space to i ustalić ograniczenie na 3.0 MB, a dla pola Set warning level to na 2 MB. Użyć przycisku Apply. Pojawia się znak białego wykrzyknika na tle czerwonego koła. Wprowadzenie powyższych ustaleń praktycznie uniemożliwiłoby pracę użytkownika w systemie. 7. Zmienić ustalenia dla Limit disk space to i Set warning level to na odpowiednio 30 MB i 15 MB. Użyć przycisku Apply. Zauważyć, że znak ostrzegawczy zmienił się na zielony znak a następnie użyć OK. W oknie Quota Entries for Local Disk (D:), dla konta SZXXX\bilbo-grupa, w kolumnach Quota Limit, Warning Level i Percent Used pojawiły się stosowne wpisy. Zamknąć okno Quota Entries for Local Disk (D:). Zamknąć okno Local Disk (D:) Properties przyciskiem OK i wylogować się. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 8

57 Wersja 3.3, Część 3: Sprawdzenie skuteczności wprowadzonych ustawień 8. Zalogować jako bilbo-grupa. Zauważyć w Properties dysku D: na karcie General, że zalogowany użytkownik widzi pojemność tego dysku jako 30 MB. 9. Utworzyć folder d:\bilbo-grupa (gdzie grupa jest nazwą grupy odbywającej ćwiczenia np. d:\bilbo-id213 dla grupy id213) i skopiować do niego podfolder d:\windows\system32\drivers (ok. 20 MB). Podjąć próbę skopiowania do tego foldera podfoldera d:\windows\system32\wbem (ok. 18 MB). Operacja nie powinna się zakończyć sukcesem. Skopiowana została tylko część podfoldera i pojawia się okno Error Copying File or Folder z komunikatem m.in. o braku wolnego miejsca na dysku. Zatwierdzić komunikat i wylogować się. Ćwiczenie 3 (Zarządzanie przydziałami dyskowymi przy użyciu polecenia fsutil) Część 1: Uzyskiwanie informacji o istniejących przydziałach dyskowych 1. Zalogować się jako Administrator i zapoznać się z listą dostępnych podpoleceń polecenia fsutil wydając w Command Prompt: fsutil 2. Wyświetlić informację o istniejących przydziałach dyskowych na woluminie D: wydając polecenie: fsutil quota query d: Część 2: Dokonanie przeszukania dziennika systemu i aplikacji w celu wykrycia przypadków naruszenia przydziałów lub osiągnięcia przez użytkowników wartości progowych przydziałów lub limitów przydziałów (podobne informacje pojawiają się w Administrative Tools Event Viewer System, kolumna Source (Źródło) ntfs) 3. Przeszukać dziennik systemu i aplikacji wydając polecenie: fsutil quota violations Wyświetlone zostają wpisy dotyczące konta użytkownika bilbo-grupa. Dostarczają informacji o tym, że przekroczony został próg ostrzegawczy (A user hit their quota treshold!) i limit (A user hit their quota limit!) dotyczące stanu przydziałów dyskowych dla tego konta. Część 3: Zmiana wartości progowej przydziału i limitu przydziału dyskowego 4. Zmienić wartość progową przydziału (Warning Level) i limit przydziału (Quota Limit) (dla woluminu D:) dla konta bilbo-grupa odpowiednio na i bajtów poleceniem: fsutil quota modify d: bilbo-grupa Część 4: Tworzenie nowego przydziału dyskowego 5. Utworzyć nowe konto użytkownika elf-grupa z hasłem elf (gdzie grupa jest nazwą grupy odbywającej ćwiczenia np. bilbo-id213 dla grupy id213) poleceniem: net user elf-grupa elf /add 6. Utworzenie nowego konta nie powoduje automatycznego dodania wpisu do przydziałów dyskowych. Następuje to dopiero, gdy użytkownik zaloguje i wyloguje się z systemu. Sprawdzić to wybierając Properties dla dysku D: kartę Quota i przycisk Quota Entries... Nie powinno być wpisu o koncie elf-grupa w oknie Quota Entries for Local Disk (D:). By pojawił się wpis należałoby dodać użytkownika wybierając z menu Quota New Quota Entry... Nie dodawać wpisu!!!. Zamknąć okno Quota Entries for Local Disk (D:). Dodać konto użytkownika elf-grupa do listy wpisów przydziałów dyskowych, dodatkowo wprowadzając wartość progową przydziału i limit przydziału (dla woluminu D:), poleceniem fsutil quota modify d: elf-grupa 7. Ponownie użyć przycisku Quota Entries... Po pewnym czasie pojawia się wpis dotyczący konta elf-grupa. Zamknąć okno Quota Entries for Local Disk (D:). Część 5: Wyłączenie śledzenia i wymuszania przydziałów na woluminie 8. Wyłączyć przydziały dyskowe dla woluminu D: wydając polecenie: fsutil quota disable d: Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 9

58 Wersja 3.3, Ćwiczenie 4 [Dodatkowe] (Próby usuwania wpisów dotyczących przydziałów dyskowych) 1. Ponownie użyć przycisku Quota Entries... i podjąć próbę usunięcia (polecenie Delete z menu kontekstowe dla pozycji SZXXX\bilbo-grupa) wpisu, zatwierdzając pojawiające się komunikaty, dla konta bilbo-grupa. Po zamknięciu okna Disk Quota (przyciskiem Close) operacja winna się zakończyć niepowodzeniem z wygenerowaniem komunikatu Miejsce na dysku jest obciążone kontem wybranego użytkownika. Użytkownicy obciążeni miejscem na dysku nie mogą być usunięci (oryginalne brzmienie komunikatu z polskojęzycznej wersji systemu). 2. Wybrać pozycję dla konta elf-grupa. Zauważyć, że w kolumnie Amount Used widnieje dla tego konta wpis 0 bytes. Wynika to z faktu, że użytkownik nie logował się jeszcze do systemu. Z menu kontekstowego wpisu dla konta elf-grupa wybrać polecenie Delete. Po zatwierdzeniu komunikatu próba winna się udać. Ćwiczenie 5 (Tworzenie i usuwanie partycji podstawowej (primary partition) na dysku podstawowym) Standardowa konfiguracja dysku w komputerach wykorzystywanych na zajęciach jest przedstawiona poniżej. Pojedynczy dysk o wielkości 111,79 GB (Basic) jest podzielony na cztery partycje, traktowane przez system jako podstawowe (czyli wyczerpany jest limit podziału dysku na liczbę partycji). Ta konfiguracja, w Disk Management, prezentuje się następująco (różnić się mogą wielkości Free Space i %Free): Windows XP Partycja podstawowa Systemy Windows Server 2003 Partycja podstawowa Linux i naprawa Partycja podstawowa Linux swap Partycja podstawowa 1. Będąc zalogowanym jako Administrator otworzyć, w konsoli grupa.msc, węzeł Disk Management i sprawdzić, w oknie szczegółów, czy oglądana konfiguracja dysków jest podobna do wyżej prezentowanej (po dokonaniu naprawy obraz dysku może mieć dla poszczególnych partycji inne opisy). Jeżeli tak nie jest, należy przeprowadzić operację naprawy partycji, zgodnie z przebiegiem Ćwiczenia Zaznaczyć, używając prawego klawisza myszy, obszar 478 MB Healthy (Unknown Parition) i z jego menu kontekstowego wybrać Delete Partition Pojawia się okno Disk Management z komunikatem informującym o tym, że partycja nie została utworzona w systemie Windows. Należy zatwierdzić to ostrzeżenie przyciskiem Yes. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 10

59 Wersja 3.3, Po wykonaniu powyższej operacji obraz w konsoli winien być następujący: Partycja podstawowa Partycja podstawowa Partycja podstawowa Obszar nieprzydzielony 4. Z menu kontekstowego obszaru 478 MB Unallocated wybrać New Partition W pierwszym oknie kreatora New Partition Wizard użyć przycisku Next. 6. W następnym oknie kreatora Select Partition Type pozostawić domyślnie zaznaczone pole Primary partition i użyć przycisku Next. 7. W kolejnym oknie Specify Partition Size dla pola Partition size in MB: wprowadzić 50 MB. Zauważyć, że minimalną, teoretycznie możliwą do zadeklarowania, wartością wielkości partycji jest 8 MB. Użyć przycisku Next. 8. W oknie Assign Drive Letter or Path pozostawić zaznaczone pole Assign the following drive letter: i wybrać literę G, użyć przycisku Next. 9. W pojawiającym się oknie Format Partition kreatora istnieje możliwość wyboru wielu opcji. Należy zwrócić uwagę na możliwość podjęcia decyzji o kompresji danych na kreowanej partycji (Enable file and folder compression) już na etapie jej tworzenia nie zaznaczać tej opcji (jest to domyślne ustawienie). Opcja szybkiego formatowania (Perform a quick format) winna być stosowana wyłącznie wtedy, gdy istnieje pewność, że dysk nie zawiera błędów. Podczas szybkiego formatowania nie jest dokonywane sprawdzanie błędów na dysku. W oknie Format Partition kreatora, w polu Volume label: wprowadzić Part, a dla pola File system: wybrać FAT32. Zauważyć, że po wyborze systemu plików FAT32 opcja Enable file and folder compression stała się niedostępna. Ustawienie dla Allocation unit size: pozostawić domyślne (Default). Użyć przycisku Next, a w następnym oknie przycisku Finish. Po zakończeniu procesu formatowania na dysku podstawowym przybyła partycja podstawowa 55 MB FAT32, o literze G: i etykiecie PART. Uwaga: Zauważyć, że mimo deklarowanej wielkości partycji (50 MB) utworzona została partycja o wielkości 55 MB. Rozmiar partycji jest zaokrąglany (w górę) zgodnie z wielkością cylindrów dysku, do najbliższej granicy cylindra HDD. Aktualny widok w oknie szczegółów konsoli winien być, jak poniżej. Po dokonaniu porównania, osiągniętej z deklarowaną, konfiguracji zamknąć konsolę grupa.msc. Partycja podstawowa (NTFS) Partycja podstawowa (NTFS) Partycja podstawowa Partycja podstawowa (FAT32) Obszar nieprzydzielony Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 11

60 Wersja 3.3, Ćwiczenie 6 (Konwersja partycji/woluminu z systemem plików FAT32 na system NTFS i usuwanie partycji) Uwaga: Podczas trwania procesu konwersji dysku nie wolno otwierać żadnego pliku z tego dysku. Woluminy konwertowane na system plików NTFS nie mogą być konwertowane ponownie na system plików FAT lub FAT32 (bez użycia dodatkowych narzędzi). 1. Przekopiować na wolumin G: (wolumin na skutek ustaleń w punkcie 9 Ćwiczenia 2 posiada system plików FAT32) folder d:\zaj Sprawdzić ilość wolnego miejsca na woluminie G:. Przed wykonaniem konwersji, program Convert sprawdza, czy wolumin posiada wystarczającą ilość wolnego miejsca dla wykonywania operacji. Wymagany jest ciągły blok stanowiący około 25% całkowitej zajętej powierzchni woluminu. 3. W Command Prompt zapoznać się ze składnią polecenia convert wprowadzając: convert /? 4. Dokonać konwersji systemu plików dla partycji G: z systemu FAT32 na NTFS wprowadzając polecenie: convert g: /fs:ntfs /v W pojawiającym się wierszu Enter current volume label for drive G: wprowadzić etykietę napędu tzn. Part. Po zakończeniu operacji zamknąć okno Command Prompt. Po zakończeniu konwersji sprawdzić, że dane na partycji podstawowej G: nie zostały utracone i, że jej systemem plików stał się NTFS. Zamknąć wszystkie okna mające związek z partycją G:. 5. Otworzyć konsolę grupa.msc. Aktualny widok w oknie szczegółów konsoli winien być, jak poniżej: 6. Z menu kontekstowego obszaru partycji podstawowej PART (G:) 55 MB NTFS wybrać Delete Partition... W pojawiającym się oknie Delete primary partition użyć przycisku Yes. Ćwiczenie 7 (Tworzenie partycji podstawowej przy użyciu programu DiskPart.exe) 1. Tworzenie partycji podstawowej Tak rozmieścić okna konsoli grupa.msc i Command Prompt by jednocześnie była widoczna ich zawartość. W Command Prompt wprowadzić polecenie: diskpart Zapoznać się z listą dostępnych poleceń programu DiskPart.exe wprowadzając: DISKPART> help Wyświetlić listę dostępnych obiektów (dysków fizycznych) wprowadzając: DISKPART> list disk Zaznaczyć dysk (w przypadku laboratoryjnych komputerów jest tylko jeden dysk HDD) umieszczając fokus na tym dysku wprowadzając: DISKPART> select disk=0 Po ponownym wydaniu polecenia list disk przy wpisie dysku pojawia się symbol *. Utworzyć partycją podstawową o rozmiarze 100 MB wprowadzając: DISKPART> create partition primary size=100 Wyświetlić listę dostępnych partycji wprowadzając: DISKPART> list partition Zauważyć, że fokus (*) jest automatycznie ustawiany na utworzonej ostatnio partycji. 2. Nadawanie litery partycji Nadać literę P partycji podstawowej wprowadzając: DISKPART> assign letter=p Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 12

61 Wersja 3.3, i zamknąć sesję programu DiskPart.exe wprowadzając exit. 3. Formatowanie partycji P: W Command Prompt zapoznać się ze składnią polecenia format wprowadzając: format /? 4. Dokonać formatowania partycji P: z użyciem systemu plików NTFS wydając polecenie: format p: /fs:ntfs i zatwierdzając ostrzeżenie litera Y. Jako etykietę partycji wprowadzić podst. Powstała partycja podstawowa P: o rozmiarze 102 MB NTFS o etykiecie podst. Aktualna sytuacja w oknie szczegółów konsoli winna być następująca: Ćwiczenie 8 użyciu (Rozszerzanie, bez utraty danych, partycji podstawowej i jej usuwanie przy programu DiskPart.exe) UWAGA: Do istniejących partycji podstawowych i dysków logicznych można dodać więcej miejsca bez utraty istniejących tam danych rozszerzając je o ciągły, nieprzydzielony obszar tego samego dysku wyłącznie przy użyciu polecenia DiskPart.exe. Wolumin podstawowy można rozszerzyć tylko pod warunkiem, że został sformatowany w systemie plików NTFS. Dysk logiczny można rozszerzyć o ciągłe wolne miejsce partycji rozszerzonej, na której się znajduje. Nie można rozszerzyć bieżącej partycji systemowej ani rozruchowej. 1. Rozszerzanie partycji podstawowej Warunkiem powodzenia operacji rozszerzania partycji podstawowej jest dysponowanie, bezpośrednio za nią, odpowiednią wielkością przestrzeni nieprzydzielonej (Unallocated) na dysku. Operacji rozszerzania partycji podstawowej nie można przeprowadzić przy użyciu przystawki Disk Management. Przekopiować na partycję P: folder d:\zaj Uruchomić program DiskPart.exe. Wyświetlić listę dostępnych obiektów (dysków fizycznych) wprowadzając: DISKPART> list disk Zauważyć, że nie zostało zapamiętane ustawienie fokusa z poprzedniej sesji programu DiskPart.exe. Umieścić fokus na dysku wprowadzając: DISKPART> select disk=0 Wyświetlić listę dostępnych woluminów wprowadzając: DISKPART> list volume Umieścić fokus na woluminie podstawowym P: - numer woluminu 2 (numer w kolumnie ### obok litery P (w kolumnie Ltr) wprowadzając: DISKPART> select volume 2 Rozszerzyć istniejącą partycję P: (102 MB) o wielkość 100 MB, bez utraty danych umieszczonych na niej, wydając polecenie: DISKPART> extend size=100 Partycja po rozszerzeniu ma rozmiar 204 MB. Dane nie zostały utracone. Sprawdzić ten fakt. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 13

62 Wersja 3.3, Aktualna sytuacja w oknie szczegółów konsoli winna być następująca: 3. Usuwanie partycji podstawowej Usuwanie partycji podstawowej może się odbywać przy użyciu polecenia delete partition lub delete volume. W obydwu przypadkach należy zaznaczyć właściwy numer partycji lub woluminu. Usunąć partycję P:, uprzednio sprawdzając poleceniem list volume czy jest na niej umieszczony fokus, poleceniem: DISKPART> delete volume Sprawdzić skuteczność operacji poleceniem list volume. Zamknąć program DiskPart.exe poleceniem exit i zamknąć okno Command Prompt. Ćwiczenie 9 (Tworzenie partycji rozszerzonej i dysków logicznych) 1. Tworzenie partycji rozszerzonej (extended partition) W otwartym oknie konsoli grupa.msc z menu kontekstowego przestrzeni 478 MB Unallocated wybrać New Partition W oknie kreatora New Partition Wizard użyć przycisku Next. W następnym oknie kreatora Select Partition Type zaznaczyć pole Extended partition i użyć przycisku Next. W kolejnym oknie Specify Partition Size dla pola Partition size in MB: wprowadzić 200 MB i użyć przycisku Next, a w następnym oknie Finish. Na dysku podstawowym przybył obszar 204 MB oznaczony jako Free Space. 3. Tworzenie dysku logicznego (logical drive) Z menu kontekstowego obszaru Free Space wybrać New Logical Drive W oknie kreatora New Partition Wizard użyć przycisku Next. 5. Zauważyć, że w oknie kreatora Select Partition Type jedynym dostępnym polem jest pole Logical drive i użyć przycisku Next. 6. W kolejnym oknie Specify Partition Size dla pola Partition size in MB: wprowadzić 50 MB i użyć przycisku Next. 7. W oknie Assign Drive Letter or Path pozostawić domyślnie zaznaczone pole Assign the following drive letter: z wybraną literą E i użyć przycisku Next. 8. W oknie Format Partition kreatora, w polu Volume label: wprowadzić disklog, a pozostałe opcje pozostawić w ich ustawieniach domyślnych. Użyć przycisku Next, a w kolejnym oknie Finish. Rezultatem powyższej procedury jest utworzenie dysku logicznego 55 MB NTFS, o literze E:, z etykietą disklog, na partycji rozszerzonej. Na pozostałej przestrzeni Free Space można tworzyć następne dyski logiczne. Ćwiczenie 10 (Konwersja dysku podstawowego na dysk dynamiczny) Uwaga: Przed dokonaniem konwersji należy upewnić się, że nie będzie konieczności dysponowania w komputerze możliwością wyboru startowania różnych systemów operacyjnych. Możliwość ta, po dokonaniu operacji, może zostać utracona. Operacja konwersji wymaga obecności co najmniej 1 MB wolnej przestrzeni na dysku podstawowym podlegającym tej operacji. Jest to wymóg przystawki Disk Management. Przed uaktualnianiem dysku podstawowego do dynamicznego zawsze, dla bezpieczeństwa danych, należy Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 14

63 Wersja 3.3, sporządzić kopię zapasową konwertowanego dysku. Dla potrzeb bieżącego laboratorium ta zasada zostanie odrzucona!!! 1. W otwartej konsoli grupa.msc wybrać, z menu kontekstowego dla dysku fizycznego DISK 0, polecenie Convert to Dynamic Disk... i w pojawiającym się oknie Convert to Dynamic Disk pozostawić zaznaczony DISK 0 oraz użyć przycisku OK. 2. W oknie Disks to Convert wybrać przycisk Convert. 3. W wyświetlanym oknie Disk Management zaakceptować ostrzeżenie (nie będzie możliwości uruchamiania innych zainstalowanych systemów operacyjnych) przez użycie przycisku Yes. 4. W pojawiającym się oknie Convert Disk to Dynamic użyć przycisku Yes. 5. W nowym oknie Confirm użyć przycisku OK, co spowoduje powtórne uruchomienie komputera. 6. Po restarcie komputera ponownie zalogować się jako Administrator w Windows Server 2003, Instalacja standardowa i należy oczekiwać na pojawienie się komunikatu o znalezieniu nowego sprzętu. Po pojawieniu się komunikatu użyć przycisku Yes. System dokonuje ponownego uruchomienia. 7. Zalogować się jako Administrator i otworzyć konsolę grupa.msc. Sprawdzić, jaki jest typ dysku DISK 0. Winien być Dynamic. Stan partycji/woluminów na dysku przed konwersją (tzn. po wykonaniu Ćwiczenia 9) i po konwersji powinien być, jak poniżej. Partycja podstawowa Partycja podstawowa Partycja podstawowa Dysk logiczny na partycji rozszerzonej Wolna przestrzeń na partycji rozszerzonej Partycja rozszerzona Obszar nieprzydzielony Wolumin prosty Wolumin prosty - systemowy Wolumin prosty Wolumin prosty Obszar nieprzydzielony Zauważyć, że wszystkie partycje i dysk logiczny stały się woluminami prostymi (simple volume) (zmieniły swój układ (Layout) na woluminy proste (Simple)). Wolna przestrzeń na partycji rozszerzonej została przydzielona do obszaru Unallocated. Ćwiczenie 11 (Tworzenie woluminu prostego) 1. Z menu podręcznego dla przestrzeni 424 MB Unallocated dysku dynamicznego Disk 0 wybrać New Volume W oknie kreatora New Volume Wizard wybrać przycisk Next. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 15

64 Wersja 3.3, Zauważyć, że w wyświetlonym oknie Select Volume Type jedyną dostępną opcją jest wolumin prosty Simple i użyć przycisku Next. 4. W oknie Select Disks, w polu Select the amount of space in MB: wprowadzić 350 MB i wybrać przycisk Next. 5. W oknie Assign Drive Letter or Path winna być zaznaczona opcja Assign the following drive letter: z wybraną literą F i użyć przycisku Next. 6. W oknie Format Volume kreatora, w polu Volume label: wprowadzić prosty, zaznaczyć pole Perform a quick format, a pozostałe opcje pozostawić w ustawieniach domyślnych. Użyć przycisku Next, a w kolejnym oknie Finish. Rezultatem powyższej procedury jest utworzenie i sformatowanie nowego woluminu prostego 350 MB NTFS, z etykietą prosty o literze F:. Aktualna sytuacja w oknie szczegółów konsoli winna być następująca: Wolumin prosty Wolumin prosty - systemowy Wolumin prosty Wolumin prosty Wolumin prosty Obszar nieprzydzielony Ćwiczenie 12 (Rozszerzanie woluminu prostego) 1. Skopiować folder d:\zaj10 do woluminu F:. 2. Z menu kontekstowego woluminu prosty (F:) 350 MB wybrać polecenie Extend Volume W oknie kreatora Extend Volume Wizard wybrać przycisk Next. 4. W oknie Select Disks, w polu Select the amount of space in MB: wprowadzić 50 MB i wybrać przycisk Next. 5. W kolejnym oknie użyć przycisku Finish. Zauważyć, że wolumin prosty (F:) składa się teraz z dwóch części o pojemności 350 MB i 50 MB. Sprawdzić, że podczas rozszerzania woluminu prostego nie następuje utrata zawartych na nim danych. Aktualna sytuacja w oknie szczegółów konsoli winna być następująca: Wolumin prosty Wolumin prosty - systemowy Wolumin prosty Wolumin prosty Wolumin prosty po rozszerzeniu Obszar nieprzydzielony Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 16

65 Wersja 3.3, Ćwiczenie 13 (Tworzenie dysku zainstalowanego (zamontowanego) i usuwanie go przypadek wykorzystania przestrzeni nieprzydzielonej (unallocated) dysku) Część 1: Tworzenie dysku zainstalowanego 1. W otwartym oknie konsoli grupa.msc wybrać, z menu kontekstowego przestrzeni Unallocated, polecenie New Volume W oknie kreatora New Volume Wizard wybrać przycisk Next. 3. W wyświetlonym oknie Select Volume Type wybrać przycisk Next. 4. W oknie Select Disks, w polu Select the amount of space in MB: pozostawić domyślną wartość 23 MB i wybrać przycisk Next. 5. W oknie Assign Drive Letter or Path zaznaczyć pole Mount in the following empty NTFS folder: i użyć przycisku Browse 6. W oknie Browse for Drive Path zaznaczyć wolumin F:\ i użyć przycisku New Folder... Nazwać powstający folder jako punkt i wybrać przycisk OK. 7. W oknie Assign Drive Letter or Path wybrać przycisk Next. 8. W oknie Format Volume kreatora, w polu Volume label: wprowadzić montowany, zaznaczyć pole Perform a quick format, a pozostałe opcje pozostawić w ustawieniach domyślnych. Użyć przycisku Next, a w kolejnym oknie Finish. W wyniku przeprowadzonej procedury powstał wolumin 23 MB NTFS o etykiecie montowany. Należy zauważyć, że nie posiada on przypisanej litery. Aktualna sytuacja w oknie szczegółów konsoli winna być następująca: Wolumin prosty Wolumin prosty - systemowy Wolumin prosty Wolumin prosty Wolumin prosty po rozszerzeniu Wolumin zainstalowany w pustym folderze F:\punkt 9. Otworzyć My Computer lub Explore i obejrzeć zawartość woluminu F:. Zauważyć, że w tym woluminie widoczna jest ikona, charakterystyczna dla napędu dyskowego, o nazwie punkt. Jest to rezultatem utworzenia, sformatowania, a następnie zamontowania woluminu montowany w folderze punkt. Wybrać Properties dla punkt. Zauważyć specyficzny układ karty General np. nie występuje informacja o rozmiarze. Znajduje się tu pozycja Type: Mounted Volume oraz przycisk Properties, który odnosi się do woluminu montowany. W Command Prompt wydać polecenie dir f: Zauważyć, że w opisie dla punkt (w tym folderze był montowany wolumin) występuje określenie <JUNCTION> stosowane dla punktu montowania. Część 2: Usuwanie punktu montowania 10. Z menu kontekstowego woluminu montowany 23 MB wybrać polecenie Delete Volume... Zatwierdzić ostrzeżenie w oknie Delete simple volume przy użyciu przycisku Yes. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 17

66 Wersja 3.3, Otworzyć My Computer lub Explore i obejrzeć zawartość woluminu F:. Zauważyć, że na tym woluminie widoczna jest tylko ikona, charakterystyczna dla foldera o nazwie punkt. Aktualny stan woluminów po, prawidłowo przeprowadzonych dotychczas ćwiczeniach, winien wyglądać następująco: Ćwiczenie 14 [Dodatkowe] (Zdalne zarządzanie dyskami) Większość operacji zarządzania dyskami można prowadzić w sposób zdalny. (Przykładem może być nawet zmiana typu dysku z podstawowego na dynamiczny). 1. W otwartym oknie konsoli grupa.msc dodać przystawkę Disk Management dla komputera partnera z zespołu. W oknie Select Computer, pojawiającym się w trakcie dodawania przystawki, zaznaczyć pole Another computer: i wprowadzić szyyy, gdzie szyyy jest nazwą komputera partnera z zespołu. 2. Otworzyć Disk Management (SZyyy) dla zdalnego komputera. Po uzgodnieniu z partnerem, z menu kontekstowego woluminu disklog (E:) 55 MB wybrać polecenie Delete Volume... Zatwierdzić ostrzeżenie w oknie Delete simple volume przy użyciu przycisku Yes. 3. W wyniku operacji usunięty został wolumin prosty, a w jego miejscu powstał obszar nieprzydzielony 55 MB Unallocated. Aktualny stan woluminów (na zdalnym komputerze) po prawidłowo przeprowadzonych dotychczas ćwiczeniach winien wyglądać następująco. Wolumin prosty Wolumin prosty - systemowy 4. Zakończyć pracę z konsolą grupa.msc. Wolumin prosty Obszar nieprzydzielony Wolumin prosty po rozszerzeniu Obszar nieprzy - dzielon y Ćwiczenie 15 [Dodatkowe] (Tworzenie wirtualnego dysku polecenie subst) Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 18

67 Wersja 3.3, Uwaga: Dysk wirtualny można wykorzystywać zamiast podawania pełnej ścieżki do folderu. Aby uzyskać dostęp do tego folderu, po utworzeniu dysku wirtualnego wystarczy podać nadaną uprzednio literę dysku wirtualnego z dwukropkiem. Po restarcie systemu dyski wirtualne są usuwane. 1. W Command Prompt zapoznać się ze składnią polecenia subst wprowadzając: subst /? 2. Utworzyć dysk wirtualny o literze napędu V: wprowadzając polecenie: subst v: d:\zaj10 3. Sprawdzić fakt utworzenia dysku wirtualnego wprowadzając polecenie: subst Sprawdzić w Properties dla napędu V: możliwości dotyczące m.in. udostępniania, zabezpieczeń, kompresji. Zauważyć, w uruchomionej konsoli grupa.msc, fakt nieobecności tego napędu w Disk Management. Ćwiczenie 16 (Tworzenie, rozszerzanie i usuwanie woluminu łączonego Spanned Volume) 1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\spanned_volume.ppt. Ćwiczenie 17 (Tworzenie i usuwanie woluminu rozłożonego Striped Volume) 1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\striped_volume.ppt. Ćwiczenie 18 (Tworzenie woluminu dublowanego (Mirrored Volume) i przykład metody postępowania w przypadku awarii jednego z dysków) 1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\mirrored_volume.ppt. Ćwiczenie 19 (Tworzenie woluminu RAID-5 (RAID-5 Volume) i przykład metody postępowania w przypadku awarii jednego z dysków) 1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\raid5_volume.ppt. Ćwiczenie 20 (Porządki) 1. Będąc zalogowanym jako Administrator umieścić w napędzie dyskietkę naprawczą i dokonać restartu komputera.. 2. Po pojawieniu się LILO Boot Menu wybrać pozycję x64-newelska. Po zgłoszeniu się listy opcji napraw wprowadzić 1 ((1) Odtworzyc tablice partycji (szxxx)). Po zakończeniu procesu odtwarzania tablicy partycji wyjąć z napędu dyskietkę i ponownie uruchomić komputer (opcja 12) Koniec). 3. Podczas uruchamiania komputera na ekranie Welcome on the network wybrać pozycję naprawa i powiadomić prowadzącego. Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) 19

68 Wersja 3.2, ZAJĘCIA 11 - ZAKRES PRAC I MATERIAŁY POMOCNICZE ZAKRES PRAC 1. Usługa Active Directory i domeny Windows Active Directory ogólnie 1.2. Active Directory i DNS 1.3. Struktura logiczna domeny 1.4. Struktura logiczna jednostki organizacyjne 1.5. Struktura logiczna relacje zaufania 1.6. Struktura logiczna drzewa i lasy 1.7. Struktura logiczna schemat 1.8. Active Directory struktura fizyczna 1.9. Active Directory Konwencje nazewnicze obiektów Liczba ćwiczeń: 9 MATERIAŁY POMOCNICZE 1 Usługa Active Directory i domeny Windows 2003 Usługa Active Directory jest usługą katalogową systemu Windows Najważniejszym elementem logicznym w hierarchicznej strukturze jej obiektów jest domena. 1.1 Active Directory ogólnie Active Directory jest usługą katalogową (ang. directory service) w sieci opartej o system Windows Usługa katalogowa jest to usługa sieciowa, która przechowuje informacje o zasobach sieciowych i zapewnia ich dostępność użytkownikom i aplikacjom. Istotą usługi katalogowej jest zapewnienie spójnego podejścia do nazywania, opisu, odnajdywania, dostępu, zarządzania i ochrony informacji o tych zasobach. Działanie Active Directory sprawia, że fizyczna topologia sieci i używane protokoły są przezroczyste dla użytkownika sieci, który może uzyskać dostęp do odpowiedniego zasobu nie wiedząc gdzie ten zasób jest i jak jest on fizycznie podłączony. Active Directory przechowuje wszystkie obiekty, które składają się na sieć opartą o system Windows 2003 takie jak obiekty użytkowników, grup i komputerów. Active Directory zapewnia mechanizmy, które pozwalają użytkownikom i aplikacjom odnajdować i uzyskiwać dostęp do odpowiednich obiektów w sieci oraz zapewnia administratorom narzędzia, które są niezbędne do zarządzania siecią opartą o Windows Active Directory oferuje dużą elastyczność w podejściu do administrowania zasobami sieciowymi. Z jednej strony oferuje możliwość centralizowania administrowania, pozwalając na zarządzanie zasobami z dowolnych miejsc (lub z pojedynczego miejsca) w sieci korporacyjnej (ang. enterprise) przez niewielką grupę użytkowników. Z drugiej strony Active Directory pozwala na decentralizację administrowania poprzez wydzielenie w korporacji logicznych struktur takich jak domena, a w niej jednostki organizacyjne i upoważnienie godnych zaufania użytkowników do wykonywania części zadań administrowania siecią. 1.2 Active Directory i DNS Active Directory (AD) wykorzystuje DNS (Domain Name System) do trzech celów: rozwiązywania nazw (ang. name resolution): DNS zapewnia mechanizm tłumaczenia nazw hostów na odpowiadające im adresy IP 1

69 Wersja 3.2, zdefiniowania przestrzeni nazw (ang. namespace) AD wykorzystuje konwencje nazewnicze DNS do nazywania domen. Nazwy domen Windows 2003 są nazwami DNS-owymi. Dla przykładu, wsisiz.edu.pl jest poprawną nazwą domeny DNS i może wobec tego być także nazwą domeny Windows 2003 zlokalizowania fizycznych komponentów AD: Aby zalogować się do sieci i wydawać zapytania skierowane do AD, komputer należący do domeny Windows 2003 musi najpierw zlokalizować kontroler domeny lub serwer globalnego katalogu, aby mogła być uwierzytelniona procedura logowania lub zrealizowane zapytanie. Baza DNS-owa przechowuje informacje o tym, które komputery spełniają takie funkcje, dlatego stosowne żądanie może zostać skierowane bezpośrednio do odpowiedniego komputera 1.3 Struktura logiczna domeny Na strukturę logiczną Active Directory (AD) składają się następujące komponenty: domeny jednostki organizacyjne drzewa lasy schemat Domena jest podstawową jednostką struktury logicznej AD. Domena jest zbiorem komputerów, zdefiniowanym przez administratora, które korzystają ze wspólnej bazy katalogowej. W sieci Windows 2003, domena wyznacza granice bezpieczeństwa (ang. security boundary). Wyraża się to w tym, że administrator domeny ma odpowiednie prawa i uprawnienia do administrowania tylko w ramach tej domeny (chyba, że w jawny sposób zostanie mu nadane uprawnienie administrowania inną domeną). Każda domena ma swoje własne zasady bezpieczeństwa (ang. security policy) i relacje bezpieczeństwa z innymi domenami. Domeny są także jednostkami replikacji. Wszystkie kontrolery domeny w ramach domeny, biorą udział w procesie replikacji i zawierają komplet informacji katalogowych dla swojej domeny. Po zainstalowaniu AD i utworzeniu domeny, domena pracuje na poziomie funkcjonalnym (ang. functional level) Windows 2000 mixed dopuszczającym kontrolery domeny pracujące na serwerach Windows Server 2003, Windows 2000 lub Windows NT 4.0. W przypadku, gdy wszystkie kontrolery domeny pracują na serwerach Windows Server 2003 lub Windows 2000 można wykonać (w sposób nieodwracalny) podniesienie poziomu funkcjonalnego domeny do poziomu Windows 2000 native. Natomiast jeśli wszystkie kontrolery domeny pracują na serwerach Windows Server 2003 można wykonać (w sposób nieodwracalny) podniesienie poziomu funkcjonalnego domeny do poziomu Windows Server (Istnieje także poziom funkcjonalny domeny o nazwie Windows Server 2003 interim, dotyczący szczególnego przypadku aktualizacji domen z systemu Windows NT4 do Windows Server 2003) Na domenowym poziomie funkcjonalnym Windows 2000 native oraz Windows Server 2003, domena i AD pozwalają na korzystanie z nowych aspektów użytkowych takich jak grupy uniwersalne typu security, czy zagnieżdżanie grup. Najpełniejsze własności oferuje poziom Windows Server 2003, na którym dopuszczalne są jeszcze dalsze możliwości m.in. zmiana nazwy kontrolera domeny. Więcej informacji o tym zagadnieniu można przeczytać w Help and Support po wyszukaniu tematu Domain and forest functionality. Każda domena może mieć podniesiony poziom funkcjonalny, niezależnie od innych domen. 1.4 Struktura logiczna jednostki organizacyjne W ramach domeny można wydzielić tzw. jednostki organizacyjne (ang. Organizational Units, OU), które są obiektami typu kontener (pojemnik), służącymi do organizowania obiektów w ramach domeny. Jednostka organizacyjna może zawierać obiekty takie jak konta użytkowników, grupy czy komputery oraz może zawierać inne jednostki organizacyjne. Jednostki organizacyjne mogą tworzyć hierarchiczną, drzewiastą strukturę. Jednostki OU mogą być przenoszone w ramach domeny i zagnieżdżane w sobie. Każda domena może zdefiniować własną hierarchię jednostek organizacyjnych. 2

70 Wersja 3.2, AD przewiduje mechanizm delegowania administrowania (delegowania kontroli) jednostką OU tzn. nadania określonych uprawnień do OU i obiektów w niej zawartych wybranym użytkownikom lub grupom. Dla danej jednostki OU można delegować pełne możliwości administrowania (Full Control dla wszystkich obiektów w OU) lub ograniczone możliwości (np. zmianę haseł dla obiektów typu konto użytkownika). Active Directory może przechowywać miliony obiektów i dlatego nawet w przypadku dużych korporacji korzystających wcześniej z wielo-domenowego modelu pracy Windows NT, jest możliwość przejścia na model jedno-domenowy, z wewnętrzną, rozbudowaną, hierarchiczną strukturą jednostek organizacyjnych OU. Microsoft wręcz sugeruje korzystanie z modelu jedno-domenowego pracy sieci Windows 2003, tam gdzie jest to możliwe, ze wzgl. na uproszczenie mechanizmów zarządzania. 1.5 Struktura logiczna relacje zaufania Mechanizmem łączenia domen w sensie aspektów bezpieczeństwa jest relacja zaufania (ang. trust relationship). Jeśli domenaa ufa domenab (co jest oznaczane: domenaa domenab) to znaczy, że konta zdefiniowane w domenab będą akceptowane podczas logowania się na komputerach należących do domenaa. domenaa jest nazywana domeną ufającą (ang. trusting), natomiast domenab domeną zaufaną (ang. trusted). Active Directory obsługuje dwa rodzaje relacji zaufania: jednostronne, nieprzechodnie dwustronne, przechodnie Jednostronność oznacza, że jeśli domenaa domenab to nie wynika z tego automatycznie, że domenab domenaa Nieprzechodniość oznacza, że jeśli domenaa domenab i domenab domenac to nie zachodzi automatycznie domenaa domenac Dwustronność oznacza, że jeśli domenaa domenab to zachodzi automatycznie domenab domenaa Przechodniość oznacza, że jeśli domenaa domenab i domenab domenac to zachodzi automatycznie domenaa domenac Jeśli jest zdefiniowana dwustronna, przechodnia relacja zaufania miedzy domenami, można wtedy zdefiniować uprawnienia dostępu do zasobów znajdujących się w jednej domenie, dla użytkowników i grup należących do drugiej domeny i na odwrót. 1.6 Struktura logiczna drzewa i lasy W niektórych sytuacjach (zwłaszcza dla instalacji sieciowych dużych firm, rozmieszczonych w wielu odległych miejscach) zachodzi potrzeba korzystania z więcej niż jednej domeny. Może to wynikać np. z poniższych powodów: zróżnicowanych wymagań dotyczące haseł w różnych częściach sieci bardzo dużej liczby obiektów różnych nazw domen Internetowych (DNS) potrzeby decentralizacji administrowania Drzewo (ang. tree) jest hierarchicznie zorganizowanym zestawem domen Windows 2003, mających wspólną przestrzeń nazw DNS. Dodanie domeny do drzewa domenowego powoduje, że staje się ona domeną podrzędną (ang. child domain) względem domeny do której jest dołączana, nazywanej domeną nadrzędną dla niej (ang. parent domain). Dla przykładu, dodanie nowych domen podrzędnych dom1.wsisiz.edu.pl i dom2.wsisiz.edu.pl do istniejącej domeny Windows 2003 o nazwie wsisiz.edu.pl, spowoduje powstanie drzewa domenowego, którego węzłem głównym (ang. root) jest domena wsisiz.edu.pl. Wszystkie trzy domeny tworzą ciągłą przestrzeń nazw DNS (ang. contiguous namespace) z domena główną o nazwie wsisiz.edu.pl Domeny w drzewie domen są wzajemnie połączone dwustronną, przechodnią relacją zaufania. 3

71 Wersja 3.2, Las (ang. forest) jest grupą drzew domen, które nie współdzielą ciągłej przestrzeni nazw DNS. Każde drzewo domen w lesie ma własną, unikatową przestrzeń nazw. Dla przykładu, dwa drzewa domen, o węzłach głównych wsisiz.warszawa.edu.pl oraz wsisiz.lublin.edu.pl mogą być połączone w jeden las. Mechanizmem łączącym jest tu dwustronna, przechodnia relacja zaufania ustanowiona pomiędzy węzłami głównymi wszystkich drzew wchodzących w skład lasu. Drzewa w lesie współdzielą wspólną konfigurację, schemat i katalog globalny. Z definicji, pierwsza nowo tworzona domena Windows 2003, staje się domeną główną lasu (ang. forest root domain) i jest używana do oznaczenia całego lasu. Również lasy domen (podobnie jak poszczególne domeny) charakteryzuję się poziomem funkcjonalnym. Dla lasów domen uwzględniono trzy takie poziomy: Windows 2000 (dopuszczalne kontrolery domen to serwery Windows NT 4.0, Windows 2000 oraz Windows Server 2003), Windows Server 2003 interim (kontrolery: Windows NT 4.0 oraz Windows Server 2003) i Windows Server 2003 (tylko kontrolery Windows Server 2003). Domyślnym poziomem funkcjonalnym lasu jest Windows Można wykonać (nieodwracalną) operację podniesienia poziomu funkcjonalnego lasu. Poziom Windows Server 2003 oferuje najszersze możliwości w tym zwiększenie wydajność pracy AD poprzez usprawnienia mechanizmu replikacji oraz nowe cechy m.in. możliwość zmiany nazwy domeny lub definiowania relacji zaufania miedzy lasami. 1.7 Struktura logiczna schemat Schemat (ang. schema) usługi katalogowej AD zawiera definicje wszystkich obiektów przechowywanych w AD takich jak użytkownicy, komputery czy drukarki. W Schemacie znajdują się dwa rodzaje definicji: klasy (inaczej klasy obiektów) oraz atrybuty. Klasy są kolekcjami atrybutów opisującymi możliwe do utworzenia obiekty. Atrybuty są definiowane oddzielnie od klas. Każdy atrybut jest definiowany tylko raz i może być wykorzystany w definicji wielu różnych klas. W Windows 2003 jest jeden Schemat dla całego lasu, dlatego wszystkie obiekty tworzone w AD stosują się do tych samych reguł. Schemat jest przechowywany w bazie katalogowej. 1.8 Active Directory struktura fizyczna W Active Directory (AD) struktura fizyczna jest oddzielona od struktury logicznej opisanej wcześniej. Struktura fizyczna AD określa gdzie i kiedy wykonywana jest replikacja informacji oraz obsługa procesów logowania. Elementami struktury fizycznej są: lokacje kontrolery domen Lokacja (ang. site) składa się z jednej lub więcej podsieci IP połączonych szybkimi łączami. Celem tworzenia lokacji jest optymalizacja ruchu związanego z replikacją informacji pomiędzy kontrolerami domen oraz umożliwienie użytkownikom podłączanie się do kontrolerów domen z wykorzystaniem szybkich i niezawodnych połączeń. Lokacje stanowią odzwierciedlenie fizycznej struktury (topologii) sieci komputerowej, podczas gdy domeny stanowią odwzorowanie logicznej struktury firmy, która wykorzystuje tę sieć. Kontroler domeny (ang. domain controller) to komputer pracujący z systemem Windows Server 2003 w jednej z trzech odmian: Standard Edition, Enterprise Edition lub Datacenter Edition, który przechowuje replikę bazy katalogowej. Kontroler domeny zarządza również zmianami w informacjach katalogowych i replikuje te zmiany do innych kontrolerów w tej samej domenie. Kontrolery domeny przechowują dane katalogowe, zarządzają procesem logowania się użytkowników, uwierzytelnianiem oraz przeszukiwaniem danych katalogowych. AD wykorzystuje model replikacji określany jako multi-master, co oznacza, że wszystkie kontrolery domeny w określonej domenie mogą wprowadzać zmiany informacji w AD i replikować te zmiany do wszystkich pozostałych kontrolerów w domenie. 4

72 Wersja 3.2, Wybranym kontrolerom domeny przydzielane są dodatkowe funkcje, które nie podlegają replikacji w trybie multimaster. Najważniejszą z nich jest Global Catalog Server. Katalog globalny (ang. global catalog) jest składnicą informacji zawierającą podzbiór atrybutów dla wszystkich obiektów w AD, to znaczy tych które są najczęściej używane w zapytaniach kierowanych do AD (np. nazwa logowania dla konta użytkownika). Katalog globalny zawiera informacje niezbędne do zlokalizowania dowolnego obiektu. Serwerem globalnego katalogu jest kontroler domeny, który przechowuje kopię katalogu globalnego i obsługuje zapytania kierowane do katalogu globalnego. Domyślnie, pierwszy tworzony kontroler domeny w AD staje się serwerem globalnego katalogu. Katalog globalny spełnia dwie podstawowe funkcje: umożliwia użytkownikom zalogowanie się do sieci, dzięki dostarczaniu informacji o przynależności do tzw. grup uniwersalnych poszczególnym kontrolerom domeny, na których proces logowania został zainicjowany umożliwia użytkownikom odnajdowanie informacji w całym lesie, niezależnie od położenia tych danych 1.9 Active Directory Konwencje nazewnicze obiektów Aby zlokalizować zasoby sieciowe, użytkownicy i aplikacje muszą znać nazwę lub jakieś atrybuty zasobu. Distinguished Name (DN) Każdy obiekt w AD ma unikatową nazwę wyróżniającą (ang. distinguished name). Identyfikuje ona domenę, w której obiekt jest zlokalizowany, wraz z kompletna ścieżką dzięki której można się do niego dostać. Przykład: CN=Jan Student, OU=OurUsers, DC=wsisiz, DC=edu, DC=pl Identyfikuje obiekt użytkownika Jan Student, umieszczony w jednostce organizacyjnej OurUsers, znajdującej się na poziomie głównym w domenie Windows 2003 o nazwie wsisiz.edu.pl Skróty stosowane w nazwach wyróżniających: CN oznacza common name, OU oznacza organizational unit, natomiast DC oznacza domain component. Canonical name Nazwa potoczna (ang. canonical name) jest to nazwa DN zapisana w kolejności odwrotnej (nie dotyczy to nazwy domeny DNS) Przykład: wsisiz.edu.pl/ourusers/jan Student (Nazwa potoczna jest wyświetlana m.in. w zakładce Object właściwości obiektów) Relative Distinguished Name (RDN) Względna nazwa wyróżniająca (ang. relative distinguished name) jednoznacznie identyfikuje obiekt wewnątrz kontenera nadrzędnego. Przykład: RDN dla obiektu Jan Student ma postać CN=Jan Student RDN dla obiektu OurUsers ma postać OU=OurUsers User Principal Name (UPN) Główna nazwa użytkownika (ang. user principal name) dotyczy tylko obiektów kont użytkowników. Składa się z nazwy logowania użytkownika (ang. logon name), oraz sufiksu głównej nazwy użytkownika, którym domyślnie jest nazwa DNS-owa domeny, w której znajduje się obiekt użytkownika. Nazwa UPN może być użyta do zalogowania się do domeny albo w poleceniach takich jak runas czy net use 5

73 Wersja 3.2, Przykład: Jeśli nazwa logowania użytkownika Jan Student w domenie wsisiz.edu.pl ma postać JStudent, to UPN tego obiektu ma postać JStudent@wsisiz.edu.pl (Mimo możliwego podobieństwo UPN do adresu użytkownika, nie są one tym samym) Globally Unique Identifier (GUID) Globalnie unikatowe ID (ang. globally unique identifier) obiektu jest 128-bitową liczbą w notacji szesnastkowej, przypisywaną przez Windows 2003 obiektowi podczas jego utworzenia. Jest to unikatowa wartość jednoznacznie identyfikująca każdy obiekt. GUID obiektu nigdy nie ulega zmianie, nawet jeśli obiekt zostanie przeniesiony lub będzie miał zmienioną nazwę. Aplikacje mogą zapamiętać GUID obiektu i uzyskać wtedy dostęp do niego nawet gdy jego nazwa wyróżniająca (DN) ulegnie zmianie. GUID jest też używany wewnętrznie przez Active Directory. 6

74 Wersja 3.2, ZAJĘCIA 11 - ĆWICZENIA Ćwiczenie 1 (Przygotowania) 1. Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa. 2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku (D:\) cały folder lab2006\zaj11 z zachowaniem jego nazwy zaj Dla potrzeb bieżących zajęć utworzyć dwuosobowe zespoły. W kolejnych ćwiczeniach komputer partnera w zespole będzie oznaczany jako szyyy, natomiast własny komputer jako szxxx. 4. Każdy zespół otrzymuje numer, oznaczany w dalszej części ćwiczeń jako N, niezbędny do prawidłowego zdefiniowania adresów IP komputerów i nazw domen. Ćwiczenie 2 [Dodatkowe] (Prezentacja: Wprowadzenie do Active Directory) 1. Idea funkcjonowania oraz podstawowe pojęcia terminologiczne związane z usługą Active Directory wykorzystywaną w systemach Windows Server 2003 oraz Windows 2000 są przedstawione w krótkiej prezentacji, zaczerpniętej z materiałów szkoleniowych Microsofta. Pracując jako Administrator w systemie Windows Server 2003 otworzyć plik D:\zaj11\media\AD_Concepts.htm zawierający treść prezentacji: Concepts of Microsoft Windows 2000 Active Directory. Użycie klawisza funkcyjnego [F11] pozwala oglądać prezentację w trybie pełnoekranowym. W dolnej części ekranu powinny być wyświetlane komentarze, w razie potrzeby można włączyć lub wyłączyć ich wyświetlanie klikając na przycisku CC. (Dla prawidłowego wyświetlania prezentacji, może być konieczne wcześniejsze doinstalowanie obsługi Macromedia Flash Player np. z katalogu D:\zaj11\Flash oraz wyłączenie rozszerzonego trybu bezpieczeństwa przeglądarki czyli wyłączenie Internet Explorer Enhanced Security Configuration np. w Control Panel Add or Remove Programs Add/Remove Windows Components) Ćwiczenie 3 (Instalacja Active Directory na serwerze, utworzenie domeny) Celem pozostałych ćwiczeń jest: utworzenie domeny Windows 2003 (instalacja Active Directory) dołączenie do tej domeny jednego komputera (serwera członkowskiego) wypróbowanie niektórych cech pracy użytkowników w domenie wypróbowanie niektórych możliwości użycia jednostek organizacyjnych w domenie i na koniec: usunięcie komputera z domeny usunięcie domeny Jeden z komputerów w zespole będzie pełnił rolę kontrolera domeny (ang. domain controller), będzie pracował z systemem Windows Server 2003 Enterprise Edition wybieranym w instalacji szkolnej jako konfiguracja Kontroler domeny i nosił nazwę dcxxx. Drugi komputer w zespole będzie pełnił rolę komputera należącego do domeny, będzie pracował z systemem Windows Server 2003 Enterprise Edition wybieranym w instalacji szkolnej jako Instalacja standardowa i nosił nazwę memyyy. Poszczególne ćwiczenia powinny być wykonywane w uzgodnieniu i wspólnie. Części ćwiczeń przeznaczone do wykonania tylko na komputerze pełniącym rolę kontrolera domeny będą 7

75 Wersja 3.2, oznaczane jako (DC), natomiast przeznaczone do wykonania tylko na komputerze należącym do domeny będą oznaczane jako (Member). W ramach dwuosobowego zespołu (o numerze N przydzielonym przez prowadzącego zajęcia) wyznaczyć, który komputer będzie pełnił rolę kontrolera domeny dcxxx, a który serwera członkowskiego memyyy. Pierwszym etapem ćwiczeń jest zainstalowanie Active Directory i utworzenie domeny labn.wsisiz.edu.pl na serwerze. 1. (DC) Konfiguracja sieciowa przyszłego kontrolera domeny Wybierając konfigurację Kontroler domeny, uruchomić system Windows Server 2003 i zalogować się jako Administrator. Zmienić hasło Administratora na domena ([Ctrl+Alt+Del], Change Password...) Zdefiniować następujące parametry TCP/IP (Control Panel Network Connections Local Area Connection Properties Internet Protocol (TCP/IP) przycisk Properties) IP address: N.201 (gdzie N jest numerem zespołu) Subnet mask: Pozostałe rubryki nie mają być wypełnione. Zdefiniować następujące parametry identyfikacji sieciowej (System Properties Computer Name przycisk Change): Computer name: dcxxx (gdzie XXX to cyfry występujące w oryginalnej nazwie szxxx, np. dc615 dla sz615) przycisk More, rubryka Primary DNS suffix of this computer ma być pusta. Zrestartować system. Wybrać konfigurację Windows Server 2003 Kontroler domeny. Zalogować się jako Administrator. 2. (DC) Instalacja Active Directory łącznie z serwerem DNS, utworzenie domeny Uruchomić kreator Active Directory Installation Wizard jednym z dwóch sposobów: a) Administrative Tools Manage Your Server Add or remove a role Domain Controller (Active Directory) albo b) wprowadzając w rubryce Start Run nazwę polecenia dcpromo.exe Na ekranie Welcome to the Active Directory Installation Wizard nacisnąć przycisk Next. Na ekranie Operating System Compatibility informującym o niedostosowaniu starszych systemów Windows (Windows 95 oraz Windows NT4 SP3) do współpracy z domeną Windows 2003 nacisnąć Next. Na ekranie Domain Controller Type wybrać wariant Domain controller for a new domain. Na ekranie Create New Domain wybrać Domain in a new forest. Na ekranie Install or Configure DNS pojawi się informacja o braku konfiguracji DNS (Domain Naming Service lub Domain Name System) na używanym komputerze. Wybrać No, just install and configure DNS on this computer. Na ekranie New Domain Name wpisać w rubryce Full DNS name for new domain pełną nazwę kwalifikowaną domeny (FQDN) czyli labn.wsisiz.edu.pl (gdzie N oznacza numer zespołu). Po pewnej chwili, na kolejnym ekranie NetBIOS Domain Name zostanie wyświetlona skrócona nazwa domeny jako Domain NetBIOS name (wykorzystywana w niektórych sytuacjach). Zaakceptować proponowana nazwę LABN (gdzie N jest numerem zespołu). Na ekranie Database and Log Folders zaakceptować domyślną ścieżkę D:\WIN-DC\NTDS (druga instalacja Windows Server 2003 na komputerach Szkoły jest umieszczona w katalogu D:\WIN-DC). Na ekranie Shared System Volume zaakceptować domyślną ścieżkę D:\WIN-DC\SYSVOL Na ekranie Permissions wybrać Permissions Compatible only with Windows 2000 or Windows Server 2003 operating systems. 8

76 Wersja 3.2, Na ekranie Directory Services Restore Mode Administrator Password wpisać (dwukrotnie) hasło restore (To hasło jest wymagane, w sytuacji gdy zajdzie potrzeba odtworzenia zawartości Active Directory). Pojawi się ekran Summary zawierający podsumowanie podjętych decyzji (m.in. informujący o chęci zainstalowania pierwszego kontrolera domeny w nowym lesie drzew domen oraz planowanym zainstalowaniu usługi DNS na tym komputerze. Nazwa nowej domeny jest tutaj jednocześnie nazwą nowego lasu drzew domen). Nacisnąć przycisk Next akceptujący proponowaną instalację i konfigurację Active Directory. Przebieg instalacji i konfiguracji będzie sygnalizowany odpowiednimi komunikatami trwa to dłuższą chwilę. Może okazać się potrzebny dostęp do nośnika instalacyjnego. Jako źródło instalacyjne w okienku Files needed (takie okienko może pojawić się dwukrotnie) należy wprowadzać nazwę udziału sieciowego \\szkkk\install\i386, gdzie szkkk to komputer wykładowcy. UWAGA: Podczas instalacji usługi DNS na komputerach Szkoły używanych na zajęciach może pojawić się okienko komunikatu Optional Networking Components sygnalizujące (niepoprawnie), że system korzysta z co najmniej jednego dynamicznego adresu IP (This computer has at least one dynamically assigned IP address..). W takim przypadku należy zaakceptować ten komunikat, oraz zaakceptować wyświetlane po nim okienko konfiguracji Local Area Connection Properties a także końcowy komunikat o błędzie (You have chosen to continue using dynamically assigned IP address..). Na zakończenie pojawi się ekran Completing the Active Directory Installation Wizard. Nacisnąć przycisk Finish a potem przycisk Restart Now. Po restarcie systemu, który też trwa dłużej niż zwykle, wybrać uruchomienie systemu Windows Server 2003 w konfiguracji Kontroler domeny. 3. (DC) Sprawdzenie instalacji i dostosowanie konfiguracji. W oknie logowania (czyli oknie Log On to Windows) wybrać Options>> i zauważyć, że pojawiła się rubryka Log on to: zawierająca skrócona nazwę domeny (tutaj: LABN). Zalogować się jako Administrator. W oknie Configure Your Server Wizard wyświetlany jest komunikat informujący, że ten komputer pełni rolę kontrolera domeny (This Server is Now a Domain Controller). Nacisnąć przycisk Finish. W oknie My Network Places, potem Entire Network i Microsoft Windows Network powinna pojawić się domena LABN zawierająca komputer dcxxx. W Administrative Tools uruchomić Active Directory Users and Computers. Powinna być w nim nazwa zdefiniowanej domeny labn.wsisiz.edu.pl. Rozwinąć ten węzeł. W kontenerze Domain Controllers powinna być wymieniona nazwa kontrolera domeny dcxxx. Sprawdzenie poprawności pracy DNS-a można wykonać dzięki Administrative Tools DNS. Wskazać w drzewie konsoli nazwę serwera dcxxx, wyświetlić menu kontekstowe, potem Properties i przejść do zakładki Monitoring. Zaznaczyć pozycję A simple query against this DNS server i nacisnąć przycisk Test Now. Pomyślny przebieg testu jest sygnalizowany wartością PASS. Odznaczyć w/w pozycję. 4. (DC) Otworzyć okno Command Prompt. Wykonać polecenie ipconfig /all i sprawdzić parametry TCP/IP serwera dcxxx. Wykonać polecenia: nslookup dcxxx nslookup N.201 powinien być wyświetlony adres IP serwera dcxxx zwykle zostanie zasygnalizowany błąd Przyczyną sygnalizacji błędu w drugim przypadku, jest brak zdefiniowanej tzw. strefy odwrotnej DNS (ang. reverse lookup zone) służącej do tłumaczenia adresów IP na nazwy komputerów. 9

77 Wersja 3.2, Aby to skorygować należy zdefiniować strefę odwrotną i umieścić w niej adres IP serwera dcxxx. W tym celu uruchomić Administrative Tools DNS, rozwinąć węzeł dcxxx, zaznaczyć pozycję Reverse Lookup Zone i z jej menu kontekstowego wybrać New Zone... Zostanie uruchomiony kreator tworzenia nowej strefy, nacisnąć przycisk Next. Na ekranie Zone Type zaznaczyć wariant Primary Zone oraz zostawić zaznaczoną opcję Store the zone in Active Directory (available only if DNS server is a domain controller), po czym na ekranie Active Directory Zone Replication Scope zostawić zaznaczoną pozycję To all domain controllers in the Active Directory domain labn.wsisiz.edu.pl. Na ekranie Reverse Lookup Zone Name zaznaczyć Network ID i w wpisać numer sieci związany z komputerami zespołu czyli N (gdzie N jest numerem zespołu). Na ekranie Dynamic Update zostawić opcję Allow only secure dynamic updates (recommended for Active Directory). Na ekranie Completing the New Zone Wizard nacisnąć przycisk Finish. Powinien pojawić się węzeł N.x Subnet. Wskazać ten węzeł (ew. dwukrotnie kliknąć na nim). Z menu kontekstowego tej strefy odwrotnej wybrać pozycję New Pointer (PTR)..., w rubryce Host IP number wypełnionej częściowo przez adres sieci N dopisać 201, a w rubryce Host name pełną nazwę kwalifikowana serwera dcxxx, tj. dcxxx.labn.wsisiz.edu.pl. (łącznie z kropką końcową w nazwie) i nacisnąć OK. Zmodyfikować następujące parametry TCP/IP (Local Area Connection Properties Internet Protocol (TCP/IP) przycisk Properties) umieszczając w rubryce Preferred DNS server: adres N.201 (gdzie N jest numerem zespołu) tego serwera i zatwierdzić tą zmianę. Ponownie wykonać polecenie nslookup: nslookup dcxxx powinien być wyświetlony adres IP serwera dcxxx nslookup N.201 powinna być wyświetlona nazwa odpowiadająca IP= N.201 Ćwiczenie 4 (Definiowanie domenowego konta użytkownika) Konta użytkowników w domenie są zwykle definiowane w taki sposób, że konto wykorzystuje profil wędrujący (ang. roaming profile), katalog osobisty (ang. home folder) udostępniany z serwera sieciowego oraz (w razie potrzeby) udostępniany w sieci skrypt logowania (ang. logon script). 1. (DC) Udostępnienie katalogów przechowujących profile i katalogi osobiste Pracując jako Administrator na kontrolerze domeny dcxxx, sprawdzić czy jest i w razie potrzeby dodać do uprawnień dostępu dla foldera D:\Documents and Settings pozycję Full Control dla grupy Authenticated Users. Następnie udostępnić folder D:\Documents and Settings jako Profiles, definiując uprawnienia dostępu do zasobów współdzielonych jako Full Control dla grupy Authenticated Users i usuwając pozostałe. Utworzyć katalog D:\Home i udostępnić go pod nazwą Home. Zdefiniować uprawnienia dostępu do zasobów współdzielonych jako Full Control dla grupy Users i usuwając pozostałe. 2. (DC) Udostępnienie skryptu logowania W katalogu udostępnionym jako netlogon (sprawdzenie jego lokalizacji: net share netlogon) utworzyć przy pomocy edytora Notepad skrypt logon.cmd zawierajacy (przykładową) treść powodującą podłączenie się do zasobu sieciowego tzn. polecenie: net use I: \\dcxxx\zajecia Udostępnić katalog d:\zaj11 jako zajecia z domyślnymi uprawnieniami do zasobów współdzielonych. 3. (DC) Utworzenie konta użytkownika Zdefiniować w domenie konto użytkownika userdomn (gdzie N jest numerem zespołu) następująco: uruchomić Administrative Tools Active Directory Users and Computers, rozwinąć węzeł domeny labn.wsisiz.edu.pl, następnie kontener Users i z menu kontekstowego wybrać New, potem User. Jako First Name i Last name wpisać swoje imię i nazwisko, jako User logon name wpisać userdomn (gdzie N jest numerem zespołu), nacisnąć przycisk Next, odznaczyć pole User must change password at next logon, zdefiniować hasło user-domn dla tego konta, nacisnąć Next i Finish. 10

78 Wersja 3.2, Dwukrotnie kliknąć na nazwie utworzonego konta userdomn (reprezentowanego tutaj i dalej, przez wprowadzone wcześniej imię i nazwisko), wybrać zakładkę Profile i wpisać w polu Profile Path ścieżkę \\dcxxx\profiles\%username%, w polu Logon script wpisać nazwę logon.cmd (dla skryptów logowania nie podaje się pełnych ścieżek) oraz zdefiniować katalog osobisty zaznaczając w rubryce Home folder pole Connect, wybierając dysk logiczny H: i w rubryce To wpisując ścieżkę \\dcxxx\home\%username%, nacisnąć OK. W ten sposób zarówno profil użytkownika userdomn jak i jego katalog osobisty będą dostępne poprzez sieć, oraz użytkownik będzie korzystał zawsze z tego samego profilu i katalogu osobistego nawet gdy zaloguje się na innym komputerze w domenie. Taki profil nosi nazwę profilu wędrującego. Ponadto, użytkownik korzysta ze skryptu logowania zdefiniowanego w domenie. 4. (DC) Próba logowania zwykłego użytkownika na kontrolerze domeny Pracując na serwerze dcxxx podjąć próbę zalogowania się jako użytkownik userdomn. Ta próba nie powinna się udać. System Windows Server 2003 generuje komunikat (The local policy of this system does not permit you to logon interactively.) informujący, że użytkownik nie ma prawa zalogować się lokalnie na tym serwerze jest to domyślne zachowanie wobec zwykłych użytkowników logujących się na kontrolerach domeny Windows W razie potrzeby można to zmienić, przydzielając prawo (ang. user right) Log on locally odpowiedniej grupie użytkowników. Ćwiczenie 5 (Dołączenie komputera do domeny) Drugim etapem ćwiczeń jest dołączenie serwera członkowskiego memyyy do domeny labn.wsisiz.edu.pl. 1. (Member) Konfiguracja sieciowa przyszłego serwera członkowskiego w domenie Uruchomić system Windows Server 2003 Konfiguracja standardowa i zalogować się jako Administrator. Zdefiniować następujące parametry TCP/IP (Control Panel Network Connections Local Area Connection Properties Internet Protocol (TCP/IP) przycisk Properties) IP address: N.101 (gdzie N jest numerem zespołu) Subnet mask: Preferred DNS server: N.201 (czyli adres serwera dcxxx) Pozostałe rubryki nie mają być wypełnione. Zdefiniować następujące parametry identyfikacji sieciowej (System Properties Computer Name przycisk Change): Computer name: memyyy (gdzie YYY to cyfry występujące w oryginalnej nazwie szyyy, np. mem614 dla sz614) Zrestartować system. Wybrać konfigurację Windows Server 2003 Instalacja standardowa. Zalogować się jako Administrator. 2. (Member) Dołączenie komputera do domeny Usunąć komputer z grupy roboczej i przyłączyć do domeny, wybierając System Properties Computer Name przycisk Change, w rubryce Member of zaznaczając Domain i wpisując nazwę domeny labn.wsisiz.edu.pl (gdzie N jest numerem zespołu) oraz naciskając OK. W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie dodawania komputerów do tej domeny. Jako nazwę konta podać userdomn, jako hasło user-domn (gdzie N jest numerem zespołu) czyli parametry konta zwykłego użytkownika w domenie oczywiście można byłoby też podać konto Administrator, z hasłem domena. Po wyświetleniu komunikatu potwierdzającego udane dołączenie do domeny (Welcome to labn.wsisiz.edu.pl domain), zrestartować system (jego start trwa dłużej niż zwykle). 11

79 Wersja 3.2, (Member) Sprawdzenie efektów dołączenia do domeny W oknie logowania (czyli oknie Log On to Windows) wybrać Options>> i zauważyć, że pojawiła się rubryka Log on to: zawierająca dwie pozycje: nazwę serwera członkowskiego (tutaj: MEMYYY(this computer)) oraz skróconą nazwę domeny (tutaj: LABN). Wybranie pierwszej z tych pozycji pozwala na logowanie lokalne na serwerze członkowskim, natomiast wybranie drugiej pozwala na logowanie się do domeny. Zalogować się jako Administrator lokalnego serwera (czyli w rubryce Log on to powinna być nazwa komputera memyyy). Zainstalować dodatkowy pakiet narzędzi Windows Server 2003 Service Pack 1 Administration Tools Pack (z pliku D:\zaj11\software\adminpak.exe), dwukrotnie klikając na tym pliku. W menu Administrative Tools powinno pojawić się kilka dodatkowych narzędzi m.in. grupa poleceń związanych z Active Directory oraz narzędzie do administrowania DNS-em. Te dodatkowe narzędzia są przeznaczone do zdalnego administrowania serwerami Windows Server 2003, zarówno serwerami samodzielnymi, członkowskimi w domenie jak i kontrolerami domeny. Zalogować się jako userdomn (czyli posługując się kontem zdefiniowanym w domenie), podając hasło user-domn i w rubryce Log on to: wybierając nazwę domeny LABN. Otworzyć okno wiersza poleceń i zauważyć, że katalogiem bieżącym (tutaj jest nim katalog osobisty) jest katalog H:\, czyli zasób sieciowy. Następnie sprawdzić, że profil tego użytkownika jest profilem wędrującym (roaming), zaglądając do Control Panel System Advanced User Profiles Settings, gdzie w spisie powinna być pozycja LABN\userdomN Skutkiem wykonania się skryptu logowania powinno być podłączenie zasobu \\dcxxx\zajecia jako dysku I:, co można sprawdzić poleceniem net use Dane charakteryzujące konto userdomn można wyświetlić poleceniem: net user userdomn /domain Ponownie zalogować się jako userdomn, tym razem jednak wykorzystując nazwę UPN (user principal name), tzn. wpisując w rubryce User name: nazwę userdomn@labn.wsisiz.edu.pl oraz odpowiednie hasło (zwrócić uwagę, że podczas wpisywania UPN, rubryka Log on to: staje się nieaktywna). 4. (Member) Zalogować się jako administrator domeny, czyli użytkownik Administrator, z hasłem domena przy wybranej w rubryce Log on to: nazwie domeny LABN Sprawdzić poprawność informacji DNS dla serwera członkowskiego wykonując w oknie Command Prompt polecenia: nslookup memyyy nslookup N.101 Obydwa polecenia powinny wykonać się poprawnie. Skąd w DNS pojawiła się informacja o serwerze członkowskim? Uruchomić Administrative Tools DNS, w razie potrzeby zaznaczając rubrykę The following computer i wpisując w niej dcxxx oraz naciskając OK. Sprawdzić, że dla tego serwera zarówno w strefie Forward Lookup Zone (o nazwie labn.wsisiz.edu.pl) jak i Reverse Lookup Zone (o nazwie N.x Subnet) pojawiły się wpisy (tzw. rekordy zasobów) dotyczące komputera memyyy. Wykorzystana tu została własność tzw. dynamicznej aktualizacji serwera DNS. W oknie My Network Places, potem Entire Network i Microsoft Windows Network powinna pojawić się domena LABN zawierająca dwa komputery: dcxxx oraz memyyy. Uruchomić Administrative Tools Active Directory Users and Computers. Powinna być w nim nazwa zdefiniowanej domeny labn.wsisiz.edu.pl. Rozwinąć ten węzeł. W kontenerze Computers powinna być wymieniona nazwa: memyyy W oknie wiersza poleceń wykonać polecenia: net view powinien być widoczny skład komputerów własnej domeny net view /domain powinny być widoczne nazwy wszystkich dostępnych domen 12

80 Wersja 3.2, Ćwiczenie 6 (Praca w domenie rodzaje grup, tryb pracy domeny) W domenie Windows 2003 występują cztery rodzaje grup: globalne, domenowe lokalne, lokalne i uniwersalne. Domena Windows 2003 może pracować na jednym z czterech poziomów funkcjonalnych (ang. functional level), gdzie w nawiasach po nazwie poziomu są podane dopuszczalne rodzaje systemów operacyjnych pełniących rolę kontrolerów domen: Windows 2000 mixed (Windows NT4/2000/2003), Windows 2000 native (Windows 2000/2003), Windows Server 2003 Interim (Windows NT4/2003) oraz Windows Server 2003 (Windows 2003). Bezpośrednio po instalacji Active Directory i utworzeniu domeny, pracuje ona w trybie Windows 2000 mixed (chyba, że ustawienia poziomu funkcjonalnego lasu domen stanowią inaczej) i jest to najniższy z możliwych poziomów funkcjonalnych. Można wykonać (nieodwracalne) podniesienie poziomu funkcjonalnego domeny do wyższego poziomu. Grupy globalne spełniają rolę organizacyjną, służą do różnicowania zestawu kont. Grupy globalne są definiowane na kontrolerach domeny Windows Na poziomie funkcjonalnym Windows 2000 mixed grupy globalne mogą zawierać tylko konta z tej domeny i nie zawierają innych grup. Grupy domenowe lokalne są definiowane na kontrolerach domeny oraz są wykorzystywane przede wszystkim do przydzielania praw do wykonywania czynności systemowych (user rights) oraz uprawnień dostępu (permissions) do zasobów. Na poziomie funkcjonalnym Windows 2000 mixed grupy domenowe lokalne mogą zawierać konta i grupy globalne z każdej domeny w lesie oraz nie zawierają innych domenowych grup lokalnych. Grupy lokalne są definiowane na serwerach członkowskich i stacjach roboczych należących do domeny oraz mają podobne własności jak grupy domenowe lokalne na kontrolerach domeny, z tym że mogą jeszcze zawierać konta lokalne zdefiniowane tylko na danym komputerze. Ogólna strategia zalecana przez Microsoft do zarządzania dostępem użytkowników domeny Windows 2003 do zasobów jest czasami określana skrótem AGP: organize user Accounts into Groups to which suitable Permissions are assigned, czyli przydzielania użytkowników do grup, którym to grupom nadawane są odpowiednie uprawnienia dostępu. (Oznacza to też, że powinno się unikać definiowania praw i uprawnień dostępu dla indywidualnych kont użytkowników.) Podczas pracy domeny na poziomie funkcjonalnym Windows 2000 mixed, ta strategia rozwija się w bardziej szczegółowe zalecenia: przydzielanie użytkowników do grup globalnych, zaliczanie grup globalnych do grup domenowych lokalnych lub lokalnych na poszczególnych komputerach oraz definiowanie praw i uprawnień dostępu w oparciu o grupy domenowe lokalne lub lokalne. Czyli zwykle sugeruje się postępowanie: "użytkownik" "grupa globalna" "grupa (domenowa) lokalna" "zasób" Po podniesieniu poziomu funkcjonalnego domeny do Windows 2000 native (lub do poziomu Windows Server 2003), można zacząć korzystać z grup uniwersalnych typu Security oraz zwiększają się możliwości formowania składów poszczególnych rodzajów grup i wariantów ich zagnieżdżania. Wtedy też, jeśli wykorzystuje się grupy uniwersalne, ulegają zmianie szczegółowe zalecenia opisane powyżej. To ćwiczenie może być wykonywane na kontrolerze domeny lub na serwerze członkowskim (z zainstalowanym pakietem Adminpak) wybrać kontroler domeny. 1. (DC) Pracując jako Administrator na dcxxx uruchomić Administrative Tools Active Directory Domains and Trusts. Sprawdzić w Properties dla domeny labn.wsisiz.edu.pl, w zakładce General, że domena pracuje na poziomie funkcjonalnym (pole Domain functional level) Windows 2000 mixed. Uruchomić Administrative Tools Active Directory Users and Computers i zdefiniować w kontenerze Users dwie nowe grupy: globalną o nazwie grglob i domenową lokalną o nazwie grloc, w następujący sposób: z menu kontekstowego kontenera Users wybrać New Group, potem wpisać odpowiednią nazwę, następnie wybrać zakres: Global (dla grupy grglob) albo Domain Local (dla grupy grloc), zostawiając typ grupy jako Security. Zauważyć, ze zakres Universal nie jest dostępny. 13

81 Wersja 3.2, (DC) Wyświetlając Properties kolejno dla grup grglob oraz grloc, potem zakładkę Members i przycisk Add.. następnie Advanced.. oraz Find Now sprawdzić jakiego typu elementy mogą wchodzić w skład poszczególnych grup. (Powinno być: w skład grupy globalnej mogą wchodzić: konta w skład grupy domenowej lokalnej mogą wchodzić: konta lub grupy globalne.) 3. (DC) Podnieść poziom funkcjonalny domeny na poziom Windows Server 2003, używając Administrative Tools Active Directory Domains and Trusts. Z menu kontekstowego dla domeny labn.wsisiz.edu.pl, wybrać Raise Domain Functional Level.., w rubryce Select an available domain functional level wybrać Windows Server Zwrócić uwagę na ostrzeżenie wyświetlone w dolnej części okna o braku możliwości odwrócenia tej operacji. Nacisnąć przycisk Raise, zaakceptować komunikat ostrzegający o nieodwracalności tej operacji przyciskiem OK i potem komunikat informacyjny o dokonanej zmianie poziomu funkcjonalnego przyciskiem OK. Sprawdzić, jak w p. 1) tego Ćwiczenia, że poziom funkcjonalny domeny uległ zmianie. Używając Administrative Tools Active Directory Users and Computers utworzyć w kontenerze Users nową grupę uniwersalna gruniv (zakres: Universal, typ: Security). Następnie powtórzyć sprawdzanie możliwego składu każdego z trzech rodzajów grup. (Powinno być tym razem: grupa globalna: konta, grupy globalne grupa domenowa lokalna: konta, grupy globalne, grupy domenowe lokalne, grupy uniwersalne grupa uniwersalna: konta, grupy globalne, grupy uniwersalne.) 4. (Member) Sprawdzenie zalecanej strategii przydzielania praw i uprawnień do grup na serwerze członkowskim należącym do domeny Zalogować się jako Administrator domeny. Otworzyć okno Command Prompt. Sprawdzić, że w przypadku zdefiniowania, na komputerze należącym do domeny, uprawnień dostępu (np. do zasobów NTFS lub zasobów współdzielonych) lub praw do wykonywania czynności systemowych dla lokalnej grupy Users, będzie to również dotyczyło kont domenowych takich jak userdomn należących do grupy globalnej Domain Users: net localgroup Users net group Domain Users /domain net user userdomn /domain Ćwiczenie 7 [Dodatkowe] (Praca w domenie: Organizational Units oraz delegowanie kontroli) Jednym z aspektów pracy z Active Directory, jest możliwość definiowania jednostek organizacyjnych (ang. Organizational Units, OU), służących do hierarchicznego grupowania powiązanych ze sobą obiektów takich jak wybrani użytkownicy, grupy, komputery, drukarki itd., w celu łatwiejszego zarządzania nimi. Po zdefiniowaniu OU można przyznać godnym zaufania użytkownikom, uprawnienie do wykonywania operacji uprzywilejowanych na takiej jednostce organizacyjnej. Jest to określane mianem delegate of (administration) control. To ćwiczenie może być wykonywane na kontrolerze domeny lub na serwerze członkowskim (z zainstalowanym pakietem Adminpak) wybrać serwer członkowski. 1. (Member) Zdefiniowanie jednostek organizacyjnych (OU) Pracując jako administrator domeny uruchomić Administrative Tools Active Directory Users and Computers. Wybrać domenę labn.wsisiz.edu.pl. Z menu kontekstowego wybrać New, potem Organizational Unit, jako nazwę wprowadzić firma. W OU firma, wybrać z menu kontekstowego New, potem Organizational Unit, jako nazwę wprowadzić biuro1. Analogicznie zdefiniować OU biuro2. Dla OU firma/biuro1, z menu kontekstowego wybrać New, potem User i zdefiniować konto o nazwie konto1 z hasłem konto-1. 14

82 Wersja 3.2, Dla OU firma/biuro2, z menu kontekstowego wybrać New, potem User i zdefiniować konto o nazwie konto2 z hasłem konto (Member) Delegowanie kontroli Zdefiniować grupę globalną PasswdAdmins w następujący sposób: w kontenerze Users, wybrać z menu kontekstowego New, potem Group, wpisać nazwę PasswdAdmins, zostając przy domyślnych ustawieniach zakresu grupy (Global) i rodzaju (Security). Dołączyć do grupy PasswdAdmins użytkownika userdomn (reprezentowanego tutaj przez wprowadzone wcześniej imię i nazwisko) np. wybierając właściwości tej grupy, zakładkę Members, przycisk Add i dodając użytkownika userdomn. Grupie globalnej PasswdAdmins, będzie delegowana kontrola do częściowego administrowania OU firma/biuro1. Z menu kontekstowego OU firma/biuro1, wybrać Delegate Control..., co spowoduje uruchomienie kreatora. Na ekranie Users or Groups dodać (Add...) grupę PasswdAdmins, a na ekranie Tasks to Delegate, w spisie Delegate the following common tasks zaznaczyć Reset user passwords and force password change at next logon, potem nacisnąć Next i Finish. Takie delegowanie kontroli administracyjnej, powinno spowodować, że użytkownicy z grupy PasswdAdmins będą mogli zmieniać hasła użytkownikom, których konta są umieszczone w OU firma/biuro1 (i tylko im). 3. (Member) Sprawdzenie delegowania kontroli Zalogować się jako userdomn, uruchomić Control Panel Administrative Tools Active Directory Users and Computers, rozwinąć węzeł labn.wsisiz.edu.pl, wybrać kontener firma/biuro1, następnie z menu kontekstowego obiektu konto1 wybrać Reset Password..., wpisać dwukrotnie nowe hasło (np. zmiana-1234) i zaakceptować. Ta operacja powinna zakończyć się powodzeniem. Powtórzyć powyższą próbę dla OU firma/biuro2 i obiektu konto2. Ta operacja nie powinna się udać po dwukrotnym wprowadzeniu hasła dla obiektu konto2, powinien pojawić się komunikat: Windows cannot complete password change for konto2 because: Access is denied. 4. (Member) Usunięcie delegowania kontroli Zalogować się jako Administrator domeny, uruchomić Administrative Tools Active Directory Users and Computers, wskazać domenę, z menu kontekstowego wybrać View, potem zaznaczyć Advanced Features. Wyświetlić Properties dla OU firma/biuro1, powinny pojawić się dodatkowe zakładki, m.in. zakładka Security. Odnaleźć w zakładce Security wpis dotyczący grupy PasswdAdmins i usunąć go. Ćwiczenie 8 (Usunięcie komputera z domeny) 1. (Member) Zalogować się jako Administrator domeny. Usunąć komputer z domeny i przyłączyć do grupy roboczej, wybierając System Properties Computer Name przycisk Change, w rubryce Member of zaznaczając Workgroup i wpisując nazwę grupy roboczej WS2003LAB, naciskając OK. W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie usuwania komputerów z tej domeny. Jako nazwę konta podać userdomn, jako hasło user-domn (gdzie N jest numerem zespołu) czyli parametry konta zwykłego użytkownika w domenie oczywiście można byłoby też podać konto Administrator, z hasłem domena. Po wyświetleniu komunikatu potwierdzającego udane przyłączenie do grupy roboczej, zrestartować system. 15

83 Wersja 3.2, Ćwiczenie 9 (Usunięcie ostatniego kontrolera domeny, likwidacja domeny, usunięcie serwera DNS) W domenie Windows 2003 może pracować kilka kontrolerów domeny. Dopóki nie zostanie usunięty ostatni z nich domena spełnia swoje funkcje. 1. (DC) Pracując jako administrator domeny, uruchomić Active Directory Installation Wizard jednym z dwóch sposobów: a) wprowadzając w rubryce Start Run nazwę polecenia dcpromo.exe b) Administrative Tools Manage Your Server Add or remove a role zaznaczyć Domain Controller (Active Directory) i nacisnąć Next zaznaczyc rubrykę Remove the domain controller role i nacisnąć Next Na ekranie Welcome to the Active Directory Installation Wizard zostanie wyświetlona informacja, że ten komputer jest już kontrolerem domeny Active Directory i kreator zostanie użyty do usunięcia Active Directory z niego. Usunięcie Active Directory spowoduje, że komputer będzie pracował jako zwykły serwer samodzielny lub członkowski w domenie. Nacisnąć Next. Pojawi się ostrzeżenie, że ten kontroler domeny spełnia rolę serwera Global Catalog, służącego do obsługi procesu logowania się użytkowników. Potwierdzić ten komunikat przyciskiem OK. Na ekranie Remove Active Directory zaznaczyć rubrykę This server is the last domain controller in the domain. Na ekranie Application Directory Partitions pojawi się informacja, że ten kontroler domeny przechowuje ostatnią replikę aplikacyjnych partycji katalogowych. Zaakceptować ich usunięcie przyciskiem Next. Na ekranie Confirm Deletion zaznaczyc rubrykę Delete all application directory partitions on this domain controller i nacisnąć Next. Na ekranie Administrator Password wprowadzić dwukrotnie nowe hasło Administratora w postaci WS2003Lab będzie ono obowiązywać po usunięciu roli kontrolera domeny z tego systemu. Pojawi się podsumowanie Summary podjętych decyzji, zawierające stwierdzenie, że usunięcie Active Directory z tego komputera spowoduje, iż domena przestanie istnieć. Serwer stanie się zwykłym serwerem samodzielnym (należącym do grupy roboczej WS2003LAB). Nacisnąć przycisk Next akceptujący skutki tych decyzji. Przebieg usuwania będzie sygnalizowany odpowiednimi komunikatami trwa to dłuższą chwilę. Na zakończenie pojawi się ekran Completing the Active Directory Installation Wizard z informacją o usunięciu Active Directory. Nacisnąć przycisk Finish a potem przycisk Restart Now. Zalogować się jako Administrator (z hasłem WS2003Lab). W oknie Configure Your Server Wizard może być wyświetlony komunikat informujący, że ten komputer przestał pełnić rolę kontrolera domeny (Domain Controller Role Removed). Nacisnąć przycisk Finish. Używając Administrative Tools Manage Your Server Add or remove a role zaznaczyć DNS Server i nacisnąć Next zaznaczyc rubrykę Remove the DNS server role i nacisnąć Next W oknie Configure Your Server Wizard będzie wyświetlony komunikat informujący, że ten komputer przestał pełnić rolę serwera DNS (DNS server Role Removed). Nacisnąć przycisk Finish. 16

84 Wersja 3.2, Ćwiczenie 10 (Porządki) 1. (Member) Zalogować się jako Administrator do systemu Windows Server 2003 Instalacja standardowa Usunąć z dysku lokalnego folder D:\zaj11 wraz z całą zawartością. Posługując się Control Panel Add or Remove Programs, usunąć dodatkowe narzędzia Windows Server 2003 Service Pack 1 Administration Tools Pack Posługując się Control Panel System Advanced User Profiles Settings, usunąć wszystkie profile Account Unknown. Przywrócić standardowe parametry TCP/IP (Local Area Connection Properties Internet Protocol (TCP/IP) przycisk Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server address automatically Przywrócić następujące parametry identyfikacji sieciowej (System Properties Computer Name przycisk Change): Computer name: szyyy More Primary DNS suffix of this computer (jeśli jest zwartość, usunąć ją zostawiając to pole puste) Zrestartować system. 2. (DC) Będąc zalogowany jako Administrator do systemu Windows Server 2003 Kontroler domeny: Zmienić hasło użytkownika Administrator na używane w Szkole. Zlikwidować udostępnianie foldera D:\zaj11 jako zajecia Usunąć z dysku lokalnego folder D:\zaj11 wraz z całą zawartością. Zlikwidować udostępnianie foldera D:\Documents and Settings jako Profiles Zlikwidować udostępnianie foldera D:\Home jako Home. Usunąć katalog D:\Home. Posługując się Control Panel System Advanced User Profiles Settings, usunąć wszystkie profile Account Unknown. Zmienić parametry TCP/IP (Local Area Connection Properties Internet Protocol (TCP/IP) przycisk Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server address automatically Zmienić następujące parametry identyfikacji sieciowej (System Properties Computer Name przycisk Change): Computer name:szxxx More Primary DNS suffix of this computer (usunąć zwartość i pozostawić to pole puste) Zrestartować system. 17

85 Wersja 2.2, ZAJĘCIA 12 - ZAKRES PRAC I MATERIAŁY POMOCNICZE ZAKRES PRAC 1. Zasady Grup (Group Policy) w domenie Windows Zasady Grup ogólnie 1.2. Domyślne zasady grup w domenie 1.3. Obiekty GPO, ich dowiązania, blokowanie dziedziczenia, przesłanianie dziedziczenia, wymuszanie ustawień 1.4. Konsola GPMC (Group Policy Management Console) 1.5. Wynikowe ustawienia zasad grup, modelowanie zasad grup Liczba ćwiczeń: 14 MATERIAŁY POMOCNICZE 1 Zasady Grup (Group Policy) Zasady Grup (ang. Group Policy) są mechanizmem pozwalającym na definiowanie ustawień konfiguracyjnych komputerów i użytkowników. Zasady Grup są wykorzystywane przede wszystkim w powiązaniu z usługą katalogową Active Directory do scentralizowanego zarządzania takimi ustawieniami konfiguracyjnymi. (Nazwa zasady grup jest nieco myląca, gdyż w istocie zasady grup nie są zorientowane na grupy użytkowników czy komputerów ani nie mogą być one względem nich bezpośrednio zastosowane.) 1.1 Zasady Grup ogólnie Zasady grup pozwalają na konfigurację następujących rodzajów ustawień: Szablonów administracyjnych (ang. Administrative templates): wpisów Rejestru wykorzystywanych do konfiguracji aplikacji i środowiska pracy użytkowników Skryptów (ang. Scripts): określania kiedy i jaki skrypty mają być uruchamiane RIS (Remote Installation Services): ustawienia opcji pracy klientów podczas wykorzystywania mechanizmu zdalnej instalacji systemu Internet Explorer: ustawienia administrowania i dopasowania parametrów pracy przeglądarki Internetowej Przeadresowania folderów (ang. Folder redirection): dotyczące przechowywania wybranych folderów profilu użytkownika na serwerze sieciowym Bezpieczeństwa (ang. Security): konfiguracje bezpieczeństwa lokalnego komputera, domeny i sieci Instalacji oprogramowania (ang. Software installation): scentralizowane zarządzanie instalacjami, aktualizacjami i usuwaniem oprogramowania Zasady grup działają tylko na komputery z systemami Windows 2000, Windows XP oraz Windows Server Porcja ustawień zasad grup (inaczej, pojedyncza zasada grup) jest definiowana przy pomocy Obiektu Zasad Grup (Group Policy Object) czyli w skrócie: obiektu GPO. Zestaw obiektów GPO składa się na zasady grup. Ustawienia zawarte w obiekcie GPO mogą dotyczyć komputera (Computer Configuration) i/lub użytkownika (User Configuration). Ustawienia dotyczące komputera odnoszą się też do wszystkich użytkowników, którzy pracują na komputerze, którego dotyczy dany obiekt GPO. Ustawienia obiektu GPO dotyczące użytkownika, odnoszą się do użytkownika, niezależnie od tego na jakim komputerze pracuje. Niektóre ustawienia zasad grup występują zarówno w części dotyczącej komputera jak i użytkownika. Jeśli obydwa takie ustawienia są zdefiniowane, to ustawienia dotyczące użytkownika mają domyślnie wyższy priorytet niż ustawienia dotyczące komputera. Zasady grup mogą być definiowane i modyfikowane przy użyciu: 1

86 Wersja 2.2, konsoli MMC utworzonej w oparciu o przystawkę Group Policy Object Editor narzędzia Administrative Tools Active Directory Users and Computers lub Active Directory Sites and Services konsoli Group Policy Management Console (GPMC) W węższym zakresie, obejmującym tylko ustawienia bezpieczeństwa w zasadach grup można się też posłużyć: narzędziami Administrative Tools Domain Controller Security Policy oraz Administrative Tools Domain Security Policy (dostępnymi na kontrolerach domeny) narzędziem Administrative Tools Local Security Policy (dostępnym na serwerach członkowskich domeny lub serwerach samodzielnych) Obiekty GPO mogą być definiowane przez użytkowników należących do grup: Administrators oraz Group Policy Creator Owners, natomiast modyfikowane przez użytkowników z tych grup albo przez użytkowników posiadających uprawnienia dostępu Read i Write do obiektu GPO. Zmiana ustawień dotyczących komputera wykonywana jest normalnie podczas startu systemu, a ustawień dotyczących użytkownika podczas jego zalogowania. Oprócz tego, w dłuższych odstępach czasu tj. co kilkadziesiąt minut na komputerach członkowskich w domenie (domyślnie od 60 do 120 minut), oraz co kilka minut na kontrolerach domeny (domyślnie co 5 minut) następuje odświeżanie ustawień po wprowadzeniu zmian w zasadach grup dla domeny. Nie dotyczy to ustawień związanych z Przeadresowaniem folderów oraz Instalacją oprogramowania. Zamiast restartować system w celu zadziałania wprowadzonych zmian, można wymusić odświeżenie ustawień korzystając z polecenia gpupdate (narzędzia wiersza polecenia). 1.2 Domyślne zasady grup w domenie W każdej domenie Active Directory jest zdefiniowany obiekt GPO o nazwie Default Domain Policy, określający domyślne ustawienia zasad grup dla całej domeny. Te ustawienia przesłaniają lokalne ustawienia zasad grup (w tym niektóre ustawienia Rejestru) na komputerach należących do domeny. 2

87 Wersja 2.2, Dla kontrolerów domeny jest zdefiniowany obiekt GPO o nazwie Default Domain Controller Policy o analogicznej strukturze zawartości. Ten obiekt GPO jest dowiązany do jednostki organizacyjnej Domain Controllers. Ustawienia Zasad Grup dotyczące aspektów bezpieczeństwa pracy domeny można modyfikować przy pomocy narzędzia Domain Security Policy. Te ustawienia stanowią porcję Zasad Grup, zawartą w węźle Computer Configuration Windows Settings Security Settings. 1.3 Obiekty GPO, ich dowiązania oraz blokowanie dziedziczenia, przesłanianie dziedziczenia, wymuszanie ustawień Obiekt GPO sam w sobie nie wprowadza żadnych modyfikacji konfiguracyjnych, dopóki nie zostanie dowiązany (dołączony) (ang. linked) do określonego elementu Active Directory. Obiekt GPO może być dowiązany do lokacji (ang. site), domeny, lub jednostki organizacyjnej (ang. organizational unit). Ten sam obiekt GPO może być dowiązany do kilku różnych elementów. Ponadto, do tego samego elementu Active Directory może być dowiązanych kilka obiektów GPO. Ustawienia zasad grup podlegają dziedziczeniu (ang. inheritance). Jeśli np. obiekt GPO jest dowiązany do domeny, to jednostki organizacyjne zawarte w tej domenie dziedziczą ustawienia w nim zawarte. Można zablokować mechanizm dziedziczenia (ang. block inheritance). Blokada dziedziczenia zasad grup jest definiowana dla domeny lub jednostki organizacyjnej, a nie dla obiektu GPO lub jego dowiązania. Dziedziczenie ustawień z kontenera nadrzędnego Active Directory (którym jest np. jednostka organizacyjna OU1) może być przesłonięte poprzez dowiązanie obiektu GPO bezpośrednio do zawartego w nim kontenera podrzędnego, np. do zawartej w niej podrzędnej jednostki organizacyjnej OU1/OU2. Można dowiązać obiekt GPO w taki sposób, że dowiązanie wymusi zastosowanie ustawień dla wszystkich kontenerów podrzędnych, nawet takich, dla których jest zdefiniowana blokada dziedziczenia. Taka cecha dowiązania (a nie cecha obiektu GPO) jest określana jest jako Enforced (w konsoli GPMC) albo No Override w oryginalnych narzędziach systemu. 3