Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Podobne dokumenty
Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Projektowanie i implementacja infrastruktury serwerów

Instalowanie i konfigurowanie Windows Server 2012 R2

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Microsoft Exchange Server 2013

Zabezpieczanie systemu Windows Server 2016

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Konfigurowanie Windows 8

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

Microsoft System Center Virtual Machine Manager 2012

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Laboratorium Systemów Operacyjnych

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP

2 Projektowanie usług domenowych w usłudze Active Directory Przed rozpoczęciem... 77

Projekt: MS i CISCO dla Śląska

pasja-informatyki.pl

Egzamin : MCTS: Konfigurowanie Active Directory w Windows Server 2008

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

1. Zakres modernizacji Active Directory

Spis treści Podziękowania Wprowadzenie 1 Instalacja, migracja lub uaktualnienie do systemu Windows 7 Lekcja 1: Instalacja systemu Windows 7

Wprowadzenie do Active Directory. Udostępnianie katalogów

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Spis treści. Tom I. Wstęp...xvii

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Część I Omówienie usługi Windows Server 2008 Active Directory

Praca w sieci z serwerem

Konfigurowanie infrastruktury sieciowej Windows Server 2008 R2 Training Kit

VMware View: Desktop Fast Track [v5.1] Dni: 5. Opis: Adresaci szkolenia

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

William R. Stanek. Vademecum Administratora. Microsoft 2012 R2. Windows Server. Przechowywanie danych, bezpieczeństwo i sieci. Przekład: Leszek Biolik

Konfiguracja dostępu do zasobów

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

1.1 Szablony zabezpieczeń ZABEZPIECZENIA ZAKRES PRAC

Materiały dla studentów Sieci Komputerowe. Aby zainstalować usługę Active Directory dla nowej domeny, należy wykonać następujące kroki:

Administrowanie Windows Server 2008 R2 Training Kit

Client Management Solutions i Mobile Printing Solutions

TEMAT SZKOLENIA: MS 6292 Installing and Configuring Windows 7 Client (szkolenie autoryzowane przez Producenta oprogramowania Microsoft)

Client Management Solutions i Universal Printing Solutions

Leonard G. Lobel Eric D. Boyd. Azure SQL Database Krok po kroku. Microsoft. Przekład: Marek Włodarz. APN Promise, Warszawa 2014

Client Management Solutions i Mobile Printing Solutions

Dni: 5. Opis: Adresaci szkolenia. Kurs jest przeznaczony dla:

Tomasz Greszata - Koszalin

Rozeznanie rynku w zakresie przeprowadzenia kursu Obsługa i administracja Microsoft Windows 2008 serwer Projekt Beskidzka Akademia Samorządowa

Podziękowania... xv. Wstęp... xvii

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

Rozwiązania oparte na chmurze

1 Powłoka programu Windows PowerShell Skrypty programu Windows PowerShell Zarządzanie dziennikami... 65

Instalacja Active Directory w Windows Server 2003

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

PRAKTYK SYSTEMÓW INFORMATYCZNYCH MICROSOFT

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Podziękowania... xiii Wstęp... xv 1 Przegląd funkcji administracyjnych programu Microsoft ISA Server

Budowa architektury podstawowych funkcji usług IIS Działanie witryny sieci Web Korzystanie z aplikacji sieci Web i katalogów

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

Proces dostępu do danych

VMware vsphere 5.5: Install, Configure, Manage

Administrowanie Sieciowymi Systemami Operacyjnymi

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

Wykonawcy biorący udział w postępowaniu ZMIANA TREŚCI SIWZ

William R. Stanek. Vademecum Administratora. Microsoft. Windows Server Przekład: Leszek Biolik

Windows Server Active Directory

Efektywne zarządzanie czasem

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Projekt: Kompetencje IT na miarę potrzeb wielkopolskich MMŚP Opis autoryzowanych szkoleń Microsoft planowanych do realizacji w ramach projektu

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Serwery LDAP w środowisku produktów w Oracle

Serwer SAMBA UDOSTĘPNIANIE UDZIAŁÓW SIECIOWYCH PIOTR KANIA

Spis treści. Podziękowania... xiii Wstęp... xv

Tomasz Greszata - Koszalin

ĆWICZENIE NR 6 Użytkownicy i grupy

Podręcznik komunikacji sieciowej Komputery Evo typu Desktop Stacje robocze Evo Stacje robocze Deskpro

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Win Admin Replikator Instrukcja Obsługi

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Administrowanie bazami danych Microsoft. SQL Server Training Kit. Egzamin Orin Thomas Peter Ward bob Taylor. Przekład: Marek Włodarz

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Centrum Innowacji ProLearning

Cel szkolenia. Konspekt. About this Course

Projekt: MICROSOFT i CISCO dla Zachodniopomorskich MŚP Opis autoryzowanych szkoleń Microsoft planowanych do realizacji w ramach projektu

Dni: 3. Opis: Adresaci szkolenia

Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk

INSTRUKCJA OBSŁUGI DLA SIECI

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

11. Autoryzacja użytkowników

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Zabezpieczanie platformy Windows Server 2003

Systemy operacyjne. Zarządzanie dostępem do zasobów przy wykorzystaniu grup

Instrukcja konfiguracji funkcji skanowania

Transkrypt:

Steve Suehring Egzamin 70-414 Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Przekład: Leszek Biolik APN Promise, Warszawa 2014

Egzamin 70-414: Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 2014 APN PROMISE SA Authorized Polish translation of the English edition Exam Ref 70-414: Implementing an Advanced Server Infrastructure, ISBN: 978-0-7356-7407-3 Copyright 2014 by Steve Suehring This translation is published and sold by permission of O Reilly Media, Inc., which owns or controls all rights to publish and sell the same. APN PROMISE SA, biuro: ul. Kryniczna 2, 03-934 Warszawa tel. +48 22 35 51 600, fax +48 22 35 51 699 e-mail: mspress@promise.pl Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana ani rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny), włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez pisemnej zgody wydawcy. Książka ta przedstawia poglądy i opinie autorów. Przykłady firm, produktów, osób i wydarzeń opisane w niniejszej książce są fikcyjne i nie odnoszą się do żadnych konkretnych firm, produktów, osób i wydarzeń, chyba że zostanie jednoznacznie stwierdzone, że jest inaczej. Ewentualne podobieństwo do jakiejkolwiek rzeczywistej firmy, organizacji, produktu, nazwy domeny, adresu poczty elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone. Nazwa Microsoft oraz znaki towarowe wymienione na stronie http://www.microsoft.com/ about/legal/en/us/intellectualproperty/trademarks/en-us.aspx są zastrzeżonymi znakami towarowymi grupy Microsoft. Wszystkie inne znaki towarowe są własnością ich odnośnych właścicieli. APN PROMISE SA dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji. APN PROMISE SA nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli APN PROMISE została powiadomiona o możliwości wystąpienia szkód. ISBN: 978-83-7541-114-0 Przekład: Leszek Biolik Redakcja: Marek Włodarz Korekta: Magdalena Swoboda Skład i łamanie: MAWart Marek Włodarz

Spis treści Wstęp................................................................ ix 1 Zarządzanie i utrzymanie infrastruktury serwerów................. 1 Zagadnienie 1.1: Projektowanie modelu administracyjnego..................2 Analiza projektowa modelu administracyjnego............................ 2 Delegowanie w programie System Center 2012 R2........................ 15 Projekt portalu samoobsługowego przy użyciu programu Service Manager.. 24 Delegowanie praw dla chmury prywatnej................................ 25 Podsumowanie zagadnienia............................................ 27 Pytania kontrolne..................................................... 28 Zagadnienie 1.2: Projektowanie strategii monitorowania................... 29 Włączanie usług ACS (Audit Collection Services).......................... 29 Działanie programu Global Service Monitor.............................. 33 Implementowanie i optymalizowanie pakietów zarządzania programu Operations Manager....................................... 35 Planowanie monitorowania usługi Active Directory....................... 38 Podsumowanie zagadnienia............................................ 40 Pytania kontrolne..................................................... 40 Zagadnienie 1.3: Planowanie i implementowanie zautomatyzowanych korekt 42 Tworzenie podstawy aktualizacji w programie VMM....................... 42 Implementowanie linii bazowych aktualizacji DCM (Desired Configuration Management) i automatycznych korekt................... 46 Implementowanie integracji VMM z programem Operations Manager...... 49 Konfigurowanie programu VMM w celu dynamicznego przenoszenia maszyny wirtualnej w oparciu o zasady.................... 54 Projektowanie i implementowanie rozwiązania DSC (Desired State Configuration) programu Windows PowerShell......................... 55 Podsumowanie zagadnienia............................................ 58 Pytania kontrolne..................................................... 58 Odpowiedzi.......................................................... 59 Zagadnienie 1.1: Eksperyment myślowy................................. 59 Zagadnienie 1.1: Pytania kontrolne...................................... 59 Zagadnienie 1.2: Eksperyment myślowy................................. 60 Zagadnienie 1.2: Pytania kontrolne...................................... 60 Zagadnienie 1.3: Eksperyment myślowy................................. 61 Zagadnienie 1.3: Pytania kontrolne...................................... 61 iii

iv Spis treści 2 Planowanie i implementowanie infrastruktury o wysokim poziomie dostępności........................................... 63 Zagadnienie 2.1: Planowanie i implementowanie klastra pracy awaryjnej.... 64 Planowanie i implementowanie klastra pracy awaryjnej.................... 64 Analiza projektowa.................................................... 66 Podsumowanie zagadnienia............................................ 75 Pytania kontrolne..................................................... 76 Zagadnienie 2.2: Planowanie i implementowanie usług sieci o wysokim poziomie dostępności....................................... 77 Planowanie i konfigurowanie mechanizmu NLB (Network Load Balancing)... 77 Uwagi projektowe.................................................... 83 Podsumowanie zagadnienia............................................ 87 Pytania kontrolne..................................................... 87 Zagadnienie 2.3: Planowanie i implementowanie magazynu o wysokim poziomie dostępności....................................... 89 Planowanie i konfigurowanie funkcji obszarów magazynu i pul magazynu... 89 Projektowanie przestrzeni nazw DFS o wysokim poziomie dostępu i wielu replikach..................................................... 95 Planowanie i konfigurowanie funkcji MPIO (multi-path I/O)............... 102 Konfigurowanie obiektów docelowych iscsi i serwerów isns o wysokim poziomie dostępności.................................... 105 Planowanie i implementowanie magazynu za pomocą RDMA wielu kanałów SMB...................................................... 107 Podsumowanie zagadnienia........................................... 108 Pytania kontrolne.................................................... 109 Zagadnienie 2.4: Planowanie i implementowanie ról serwera o wysokim poziomie dostępności...................................... 110 Planowanie usług o wysokim poziomie dostępności...................... 110 Planowanie i implementowanie wysokiego poziomu dostępności aplikacji, usług i skryptów........................................... 114 Podsumowanie zagadnienia........................................... 115 Pytania kontrolne.................................................... 115 Zagadnienie 2.5: Planowanie i implementowanie ciągłości pracy i przywracania działania po awarii...................................... 117 Planowanie strategii wykonywania kopii zapasowych i przywracania....... 117 Tematyka analiz związanych z planowaniem............................. 118 Planowanie i implementowanie tworzenia kopii zapasowej i przywracania za pomocą narzędzia System Center Data Protection Manager (DPM).......................................... 121 Podsumowanie zagadnienia........................................... 128 Pytania kontrolne.................................................... 129

Spis treści v Odpowiedzi......................................................... 130 Zagadnienie 2.1: Eksperyment myślowy................................ 130 Zagadnienie 2.1: Pytania kontrolne..................................... 130 Zagadnienie 2.2: Eksperyment myślowy................................ 131 Zagadnienie 2.2: Pytania kontrolne..................................... 131 Zagadnienie 2.3: Eksperyment myślowy................................ 131 Zagadnienie 2.3: Pytania kontrolne..................................... 132 Zagadnienie 2.4: Eksperyment myślowy................................ 133 Zagadnienie 2.4: Pytania kontrolne..................................... 133 Zagadnienie 2.5: Eksperyment myślowy................................ 134 Zagadnienie 2.5: Pytania kontrolne..................................... 134 3 Planowanie i implementowanie infrastruktury wirtualizacji serwerów...................................................... 135 Zagadnienie 3.1: Planowanie i implementowanie wirtualizacji hostów...... 136 Planowanie i implementacja delegowania środowiska wirtualnego......... 136 Planowanie i implementowanie bibliotek wielu hostów................... 144 Planowanie i implementowanie optymalizacji zasobów hosta.............. 146 Integracja z niezależnymi platformami wirtualizacji...................... 148 Wdrażanie hostów Hyper-V bez zainstalowanego systemu operacyjnego... 149 Podsumowanie zagadnienia........................................... 150 Pytania kontrolne.................................................... 150 Zagadnienie 3.2: Planowanie i implementowanie maszyn wirtualnych...... 152 Planowanie i implementowanie maszyn wirtualnych o wysokim poziomie dostępu.................................................. 152 Planowanie i implementowanie optymalizacji zasobów systemu gościa..... 154 Konfigurowanie reguł umieszczania.................................... 157 Tworzenie szablonów programu Virtual Machine Manager................ 161 Podsumowanie zagadnienia........................................... 165 Pytania kontrolne.................................................... 166 Zagadnienie 3.3: Planowanie i implementowanie wirtualizacji sieci......... 167 Planowanie i konfigurowanie sieci logicznych programu VMM............ 167 Planowanie i konfigurowanie ustawień adresów IP i MAC na wielu hostach Hyper-V................................................... 171 Planowanie i konfigurowanie optymalizacji sieci......................... 179 Planowanie i implementowanie bramy serwera systemu Windows Server... 180 Podsumowanie zagadnienia........................................... 180 Pytania kontrolne.................................................... 181 Zagadnienie 3.4: Planowanie i implementowanie wirtualizacji magazynu.... 182 Planowanie i konfigurowanie magazynu klastra hostów Hyper-V........... 182 Planowanie i konfigurowanie magazynu systemu gościa Hyper-V.......... 185 Planowanie optymalizacji magazynu................................... 186 Podsumowanie zagadnienia........................................... 187 Pytania kontrolne.................................................... 188

vi Spis treści Zagadnienie 3.5: Planowanie i implementowanie przenoszenia maszyn wirtualnych.................................................. 189 Planowanie i konfigurowanie migracji na żywo i migracji magazynu pomiędzy hostami i chmurami Hyper-V............................... 189 Planowanie migracji P2V i V2V oraz zarządzanie nimi.................... 193 Podsumowanie zagadnienia........................................... 196 Pytania kontrolne.................................................... 196 Zagadnienie 3.6: Zarządzanie infrastrukturą i konserwacja infrastruktury wirtualizacji serwerów................................... 197 Zarządzanie optymalizacją dynamiczną i optymalizacją zasobów.......... 197 Integracja programu Operations Manager z VMM i Service Manager....... 200 Aktualizowanie obrazów maszyn wirtualnych w bibliotekach.............. 205 Planowanie i implementowanie tworzenia kopii zapasowych i przywracania infrastruktury wirtualizacji za pomocą programu DPM (System Center Data Protection Manager)........................ 206 Podsumowanie zagadnienia........................................... 208 Pytania kontrolne.................................................... 208 Odpowiedzi......................................................... 210 Zagadnienie 3.1: Eksperyment myślowy................................ 210 Zagadnienie 3.1: Pytania kontrolne..................................... 210 Zagadnienie 3.2: Eksperyment myślowy................................ 210 Zagadnienie 3.2: Pytania kontrolne..................................... 211 Zagadnienie 3.3: Eksperyment myślowy................................ 211 Zagadnienie 3.3: Pytania kontrolne..................................... 212 Zagadnienie 3.4: Eksperyment myślowy................................ 212 Zagadnienie 3.4: Pytania kontrolne..................................... 213 Zagadnienie 3.5: Eksperyment myślowy................................ 213 Zagadnienie 3.5: Pytania kontrolne..................................... 214 Zagadnienie 3.6: Eksperyment myślowy................................ 214 Zagadnienie 3.6: Pytania kontrolne..................................... 215 4 Projektowanie i implementowanie rozwiązań dotyczących tożsamości i dostępu........................................... 217 Zagadnienie 4.1: Projektowanie infrastruktury usług Certificate Services.... 218 Projektowanie wielowarstwowej hierarchii urzędów certyfikacji............ 218 Planowanie wdrożenia urzędów CA w organizacjach o wielu lasach i relacjach zaufania................................................. 220 Planowanie usług Certificate Enrollment Web Services.................... 221 Planowanie usług NDES (Network Device Enrollment Services)............ 222 Planowanie walidacji odwoływania certyfikatów......................... 222 Planowanie przywracania po awarii.................................... 223 Podsumowanie zagadnienia........................................... 224 Pytania kontrolne.................................................... 225

Spis treści vii Zagadnienie 4.2: Implementowanie infrastrukturą usług certyfikatów i zarządzanie tą infrastrukturą............................. 226 Konfigurowanie głównego urzędu CA trybu offline i zarządzanie tym urzędem...................................................... 226 Konfigurowanie usług Certificate Enrollment Web Services i Certificate Enrollment Policy Web Services oraz zarządzanie tymi usługami..................................................... 232 Konfigurowanie usług NDES (Network Device Enrollment Services) i zarządzanie tymi usługami......................................... 235 Konfigurowanie obiektów odpowiadających protokołu OCSP (Online Certificate Status Protocol)................................... 237 Migracja urzędów CA................................................ 241 Implementowanie separacji ról administratora........................... 242 Implementowanie i zarządzanie relacjami zaufania pomiędzy organizacjami 244 Monitorowanie kondycji urzędu CA.................................... 248 Podsumowanie zagadnienia........................................... 249 Pytania kontrolne.................................................... 250 Zagadnienie 4.3: Implementowanie certyfikatów i zarządzanie nimi........ 251 Zarządzanie szablonami certyfikatów................................... 251 Implementowanie wdrażania, walidacji, odnawiania i odwoływania certyfikatów oraz zarządzanie tymi procesami......................... 255 Zarządzanie odnawianiem certyfikatu.................................. 257 Konfigurowanie archiwizacji i przywracania kluczy oraz zarządzanie tymi procesami.................................................... 259 Podsumowanie zagadnienia........................................... 262 Pytania kontrolne.................................................... 262 Zagadnienie 4.4: Projektowanie i implementowanie rozwiązania tożsamości federacyjnych............................................. 263 Planowanie i implementowanie uwierzytelniania opartego na oświadczeniach................................................. 263 Planowanie i konfigurowanie reguł zaufania dostawcy oświadczeń i jednostki zależnej................................................. 267 Planowanie i konfigurowanie magazynów atrybutów..................... 270 Planowanie certyfikatów usług AD FS (Active Directory Federation Services) i zarządzanie nimi.......................................... 272 Planowanie i implementowanie usług integrowania tożsamości z usługami chmury................................................. 273 Integrowanie serwera Web Application Proxy z usługami AD FS........... 274 Podsumowanie zagadnienia........................................... 276 Pytania kontrolne.................................................... 277 Zagadnienie 4.5: Projektowanie i implementowanie usług AD RMS (Active Directory Rights Management Services).......................... 278 Planowanie wdrożenia usług AD RMS o wysokim poziomie dostępności.... 278

viii Spis treści Planowanie wdrożenia usług AD RMS w systemie klienckim i zarządzanie tym wdrożeniem....................................... 282 Zarządzanie zaufanymi domenami użytkowników........................ 284 Zarządzanie zaufanymi domenami publikacji............................ 286 Zarządzanie obsługą tożsamości federacyjnych.......................... 287 Przeprowadzanie aktualizacji, migracji i likwidacji usług AD RMS........... 292 Podsumowanie zagadnienia........................................... 294 Pytania kontrolne.................................................... 294 Odpowiedzi......................................................... 295 Zagadnienie 4.1: Eksperyment myślowy................................ 295 Zagadnienie 4.1: Pytania kontrolne..................................... 295 Zagadnienie 4.2: Eksperyment myślowy................................ 295 Zagadnienie 4.2: Pytania kontrolne..................................... 296 Zagadnienie 4.3: Eksperyment myślowy................................ 296 Zagadnienie 4.3: Pytania kontrolne..................................... 297 Zagadnienie 4.4: Eksperyment myślowy................................ 297 Zagadnienie 4.4: Pytania kontrolne..................................... 297 Zagadnienie 4.5: Eksperyment myślowy................................ 298 Zagadnienie 4.5: Pytania kontrolne..................................... 298

Wstęp Niniejsza książka przedstawia zagadnienia związane z egzaminem certyfikacyjnym 70-414 Implementowanie zaawansowanej infrastruktury serwerowej. Mówiąc dokładniej, książka omawia drugie wydanie, czyli wersję R2 zagadnień egzaminacyjnych. Książka jest przeznaczona dla profesjonalistów IT, którzy mają już doświadczenie w pracy z sieciami systemów Windows. Egzamin 70-414 obejmuje zaawansowane zagadnienia, z którymi spotykają się profesjonaliści IT w środowisku przedsiębiorstwa. W zagadnieniach egzaminacyjnych szczególnie uwzględnione zostały takie tematy, jak monitorowanie, wirtualizacja i zapewnianie wysokiego poziomu dostępności. Opracowując książkę, założono, że Czytelnik zna podstawy infrastruktury serwerów, które także można zaliczyć do wymagań wstępnych egzaminu 70-414. Egzamin 70-414 obejmuje cztery główne obszary zagadnień uwzględniane na różnym poziomie: Zarządzanie i konserwacja infrastruktury serwerów: 25 do 30 procent Planowanie i implementowanie infrastruktury przedsiębiorstwa o wysokim poziomie dostępności: 25 do 30 procent Planowanie i implementowanie infrastruktury wirtualizacji serwerów: 20 do 30 procent Projektowanie i implementowanie rozwiązań dotyczących tożsamości i dostępu: 20 do 25 procent Jak widzimy na podstawie tego szerokiego zakresu zagadnień, omawiane są tematy związane z planowaniem i implementacją, jak również z zarządzaniem i projektowaniem. Ten poziom prezentowania tematyki oznacza, że Czytelnik będzie musiał prawdopodobnie opanować sposoby dokonywania wyboru odpowiedniego rozwiązania dla podanego scenariusza lub wyboru zestawu technologii dla tego scenariusza, a następnie będzie musiał określić optymalną ścieżkę implementacji wybranego rozwiązania. Książka ta uwzględnia wszystkie zagadnienia egzaminacyjne, jednak nie jest zbiorem wszystkich pytań, które mogą pojawić się podczas zdawania egzaminu. Jedynie zespół firmy Microsoft opracowujący egzamin zna wszystkie pytania, a do tego zbioru pytań firma Microsoft stale dodaje nowe, co uniemożliwia opisanie wszystkich pytań. Czytelnik powinien książkę traktować jako uzupełnienie własnych umiejętności, doświadczeń i innych materiałów dodatkowych. Jeśli podczas czytania książki napotkamy mniej znaną tematykę, powinniśmy kontynuować analizę tych zagadnień, ix

x Wstęp korzystając z łączy umieszczonych w tekście, które wskazują na wartościowe źródła. Doskonałym źródłem takich informacji dodatkowych jest witryna MSDN, TechNet oraz bloki i fora tematyczne. Certyfikacje firmy Microsoft Zdobycie certyfikatów firmy Microsoft powoduje, że dana osoba uważana jest za eksperta oraz zaświadcza, że ma ona szeroki zakres umiejętności i doświadczeń w pracy z aktualnymi produktami i technologiami firmy Microsoft. Egzaminy i odpowiednie certyfikacje zostały tak opracowane, by sprawdzić nasze opanowanie krytycznych zagadnień związanych z projektowaniem, implementowaniem i obsługą rozwiązań przy użyciu produktów i technologii firmy Microsoft zarówno w przypadku rozwiązań stosowanych w siedzibie, jak i w chmurze. Oprócz tego, certyfikaty pozwalają także uzyskiwać wiele korzyści poszczególnym osobom, jak również pracodawcom i organizacjom. WSZYSTKIE CERTYFIKACJE FIRMY MICROSOFT Dodatkowe informacje na temat certyfikacji firmy Microsoft, a w tym pełną listę dostępnych certyfikacji, znaleźć można pod adresem: http://www.microsoft.com/learning/en/us/certification/cert-default.aspx. Podziękowania Pragnę podziękować Karen Szall i zespołowi Microsoft Press, a także Jeffowi Riley. Jak zawsze, z wielką przyjemnością pracowałem z Wami wszystkimi. Darmowe książki elektroniczne wydawnictwa Microsoft Press Darmowe książki elektroniczne wydawnictwa Microsoft Press obejmują bardzo szeroką tematykę, od technicznych przeglądów po głębokie analizy tematów specjalnych. Te książki elektroniczne dostępne są w formatach PDF, EPUB i Mobi i można je pobrać pod adresem: http://aka.ms/mspressfree Sprawdzajcie często, czy nie pojawiły się nowości!

Errata, aktualizacje i wsparcie techniczne xi Errata, aktualizacje i wsparcie techniczne Podjęliśmy wszelkie starania w celu zapewnienia poprawności tej książki. Aktualizacje książki w postaci listy dostrzeżonych błędów i wprowadzonych poprawek dostępne są pod adresem: http://aka.ms/er414r2 Za pośrednictwem tej strony prosimy też o przesyłanie informacji o wszelkich błędach, które nie zostały jeszcze znalezione*. Jeśli zachodzi potrzeba uzyskania dodatkowego wsparcia, prosimy kontaktować się poprzez e-mail z działem Microsoft Press Book Support (mspinput@microsoft.com). Prosimy zwrócić uwagę, że wsparcie dla produktu oprogramowania firmy Microsoft czy stosowanych urządzeń nie jest oferowane za pośrednictwem podanych powyżej adresów. Aby uzyskać pomoc dotyczącą programów lub sprzętu firmy Microsoft, prosimy skierować się pod adres http://support.microsoft.com. Kontakt z Czytelnikami jest dla nas bardzo ważny Dla firmy Microsoft Press zadowolenie Czytelników jest najwyższym priorytetem i Państwa ocena jest dla nas najcenniejszą informacją. Wszelkie uwagi dotyczące książki prosimy kierować pod adresem: http://aka.ms/tellpress Szybko przeglądamy wszelkie komentarze czy pomysły i dziękujemy za poświęcony czas! Pozostań w kontakcie Warto stale rozmawiać! Jesteśmy dostępni na Twitterze pod adresem: http://twitter.com/microsoftpress. * Strona erraty dotyczy angielskiego wydania książki. Błędy zgłoszone tam w czasie przygotowywania polskiego wydania zostały już uwzględnione. Ewentualne nowe błędy odkryte w polskim wydaniu prosimy zgłaszać na adres mspress@promise.pl (przyp. red.).

Przygotowanie do egzaminu Egzaminy certyfikacyjne Microsoft są wspaniałym sposobem na rozbudowanie Twojego CV i pokazanie światu poziomu Twoich umiejętności. Egzaminy te potwierdzają Twoje doświadczenie i wiedzę na temat danego produktu. Choć nic nie jest w stanie zastąpić doświadczenia zdobytego w codziennej pracy, przygotowywanie się w oparciu o samodzielną naukę i wykonywanie ćwiczeń praktycznych pomoże Ci przygotować się do egzaminu. Zalecamy Ci, byś uzupełnił swój plan nauki o kombinację dostępnych materiałów szkoleniowych i kursów. Możesz na przykład przygotowywać się z pomocą podręcznika Training Guide i innego podręcznika do samodzielnej nauki w domu, jak również odbyć kurs Microsoft Official Curriculum w sali szkoleniowej. Wybierz kombinację, która Twoim zdaniem będzie dla Ciebie najlepsza.

ROZDZIAŁ 1 Zarządzanie i utrzymanie infrastruktury serwerów Egzamin 70-414 obejmuje i sprawdza zrozumienie zagadnień planowania, implementowania i zarządzania dotyczących zaawansowanej infrastruktury bazującej na produktach firmy Microsoft. Narzędzia i produkty uwzględniane w pytaniach egzaminacyjnych są używane w sieciach przedsiębiorstw i w szczególności związane są z automatyzacją, wysoką dostępnością i samoobsługą. W pierwszym rozdziale książki omówiono zagadnienia odnoszące się do zarządzania infrastrukturą. W tym rozdziale, a w zasadzie w całej książce, znajdziemy przydatne przykłady, które bezpośrednio wiążą się z zagadnieniami egzaminacyjnymi oraz szereg łączy do dodatkowych informacji zamieszczonych w witrynie TechNet. Zagadnienia egzaminacyjne omawiane w tym rozdziale: Zagadnienie 1.1: Projektowanie modelu administracyjnego 2 Zagadnienie 1.2: Projektowanie strategii monitorowania 29 Zagadnienie 1.3: Planowanie i implementowanie zautomatyzowanych korekt 42 Odpowiedzi 59 1

2 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów Zagadnienie 1.1: Projektowanie modelu administracyjnego Projektowanie modelu administracyjnego sieci przedsiębiorstwa wiąże się z dużym nakładem pracy dotyczącym planowania, w szczególności w przypadku złożonych przedsiębiorstw lub przedsiębiorstw o skomplikowanych strukturach. Prawidłowy model administracyjny umożliwia delegowanie odpowiedzialności, a jednocześnie wymusza zasadę stosowania minimalnych uprawnień. Wiele organizacji ma swoje specyficzne potrzeby, jednak ogólny model administracyjny jest zgodny z typowym wzorcem. Na przykład, organizacja, która jest rozproszona geograficznie może zezwalać personelowi w lokacjach zdalnych zmieniać hasła użytkowników w tej lokacji zdalnej. Niniejsze zagadnienie obejmuje następującą tematykę: Poznanie analiz projektowych, wliczając w to prawa użytkowników i grupy wbudowane Projektowanie delegowania struktur administracji w programie System Center 2012 R2 Projekt portalu samoobsługowego przy użyciu programu System Center 2012 Service Manager Delegowanie praw do zarządzania prywatnymi chmurami za pomocą programu System Center 2012 App Controller i Virtual Machine Manager Analiza projektowa modelu administracyjnego Typowe modele administracyjne i uprawnień przedsiębiorstwa korzystają z grup do przypisywania i delegowania uprawnień. Dzięki grupom można zaoszczędzić czas i nakład pracy administracyjnej przez łączenie podobnych użytkowników i komputerów w pojedynczej jednostce, do której można następnie przypisywać uprawnienia. DODATKOWE INFORMACJE Projektowanie strategii dla usług AD DS (Active Directory Domain Services) W tym podrozdziale omówimy prawa użytkowników i grup wbudowanych. Jeśli Czytelnik nie zna strategii projektowych dla usług AD DS (Active Directory Domain Services), dodatkowe informacje na ten temat znaleźć można w poradniku AD DS Design Guide pod adresem http://technet.microsoft.com/library/cc754678.aspx. Grupy mogą zawierać użytkowników lub komputery oraz są tworzone jako grupy zabezpieczeń lub grupy dystrybucji. W tym rozdziale omawiane są grupy zabezpieczeń; grupy dystrybucji są zazwyczaj używane do tworzenia list dystrybucji poczty elektronicznej i w tej książce nie będziemy się nimi zajmować. Dla grup określane

Zagadnienie 1.1: Projektowanie modelu administracyjnego 3 są zakresy, co oznacza, że grupa może odnosić się lokalnie do komputera, do domeny lub do całego lasu. W tabeli 1-1 opisano trzy typy zakresów grupy dostępnych w usługach AD DS. TABELA 1-1 Zakresy grup usług Active Directory Domain Services Zakres grupy Domain Local (Lokalny w domenie) Global (Globalny) Universal (Uniwersalny) Opis Członkowie grupy o zakresie Domain Local mogą mieć uprawnienia w tej samej domenie, gdzie znajduje się grupa o zakresie Domain Local i mogą tworzyć dowolne połączenie grup o zakresie lokalnym w domenie, globalnym lub uniwersalnym. Członkowie grup o zakresie Global mogą mieć uprawnienia w dowolnej domenie lasu, jednak członkowie takiej grupy mogą pochodzić tylko z domeny, wewnątrz której grupa została zdefiniowana. Członkowie grup o zakresie Universal mogą mieć uprawnienia w dowolnej domenie lub dowolnym lesie oraz mogą pochodzić z dowolnej domeny i dowolnego lasu. Prawa użytkowników Zanim przyjrzymy się prawom użytkowników, istotne jest ustalenie definicji prawa użytkownika. Definicję znajdziemy, cofając się do systemu Windows NT Server 4.0 w podręczniku NT Server 4.0 Concepts and Planning Manual w witrynie TechNet, gdzie prawo jest zdefiniowane jako coś, co autoryzuje użytkownika do wykonania pewnych działań w systemie komputera. Dokładniejsze omówienie definicji znaleźć można pod adresem http://technet.microsoft.com/en-us/library/cc751446.aspx. Istotne jest zdawanie sobie sprawy z różnicy między prawem a uprawnieniem. Prawo definiuje, co użytkownik może zrobić w systemie komputera, natomiast uprawnienia stosowne są do obiektów. W niektórych przypadkach prawa mogą zastępować uprawnienia. Na przykład, jeśli użytkownik należy do grupy, która ma prawo tworzenia kopii zapasowej komputera, czyli ma prawo Back Up Files and Directories (Wykonuj kopie zapasowe plików i katalogów), użytkownik ten z natury rzeczy uzyskuje dostęp do odczytu plików na komputerze, nawet jeśli uprawnienia będą odmawiały takiego dostępu. Mówiąc bardziej szczegółowo, prawo Back Up Files and Directories zawiera następujące uprawnienia: Traverse Folder/Execute File (Przechodzenie przez folder/wykonywanie pliku) List Folder/Read Data (Wyświetlanie zawartości folderu/odczyt danych) Read Attributes (Odczyt atrybutów) Read Extended Attributes (Odczyt atrybutów rozszerzonych) Read Permissions (Odczyt uprawnień)

4 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów Uprawnienie Back Up Files and Directories jest jednym z przykładów tej koncepcji. W tabeli 1-2 pokazano szereg innych praw użytkowników odnoszących się do zabezpieczeń dostępnych w systemie Windows Server 2012. Skrócona nazwa stała stosowana jest do każdego prawa opisanego w tabeli 1-2. Nazwy stałe są używane do rejestrowania i mogą być także używane w powłoce Windows PowerShell, co zostało omówione w dalszej części podrozdziału. TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Access Credential Manager as a trusted caller (Uzyskaj dostęp do Menedżera poświadczeń jako zaufany obiekt wywołujący) Access this computer from the network (Uzyskiwanie dostępu do tego komputera z sieci) Act as part of the operating system (Działanie jako część systemu operacyjnego) Add workstations to domain (Dodaj stacje robocze do domeny) Adjust memory quotas for a proces (Dostosuj przydziały pamięci dla procesów) Allow logon locally (Zezwalaj na logowanie lokalne) Stosowane do Credential Manager w trakcie procesów związanych z kopiami zapasowymi. Uprawnienie to jest przypisywane tylko do usługi Winlogon i nie powinno być przypisywane do konta. Określa, czy użytkownik może wykorzystywać protokoły odnoszące się do uzyskiwania dostępu do danego komputera, takie jak Service Message Block (SMB), NetBIOS, Common Internet File System (CIFS) czy Component Object Model Plus (COM+). Stosowane do procesów, by określić, czy mogą one używać tożsamości użytkownika do uzyskania dostępu do uprawnień przydzielonych temu użytkownikowi. Umożliwia użytkownikowi dodawanie komputera do domeny. Umożliwia użytkownikowi zmianę pamięci używaną przez proces. Umożliwia użytkownikowi rozpoczynanie sesji interaktywnej. SeTrustedCredManAccessPrivilege SeNetworkLogonRight SeTcbPrivilege SeMachineAccountPrivilege SeIncreaseQuotaPrivilege SeInteractiveLogonRight

Zagadnienie 1.1: Projektowanie modelu administracyjnego 5 TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Allow logon through Remote Desktop Services (Zezwalaj na logowanie za pośrednictwem usług Pulpitu zdalnego) Back up files and directories (Wykonuj kopie zapasowe plików i katalogów) Bypass traverse checking (Obejdź sprawdzanie przy przechodzeniu) Change the system time (Zmień czas systemowy) Change the time zone (Zmień strefę czasową) Create a pagefile (Utwórz plik stronicowania) Create a token object (Utwórz token obiektu) Create global objects (Utwórz obiekty globalne) Create permanent shared objects (Utwórz trwałe obiekty udostępnione) Create symbolic links (Utwórz łącza symboliczne) Debug programs (Debuguj programy) Umożliwia użytkownikowi logowanie za pomocą Remote Desktop Services. Pozwala kontu pomijać uprawnienia w celu wykonania kopii zapasowej. Umożliwia kontu przechodzenie w systemie plików NTFS bez konieczności sprawdzania uprawnienia Traverse Folder. Umożliwia użytkownikowi zmianę czasu na komputerze lokalnym. Umożliwia użytkownikowi zmianę strefy czasowej na komputerze lokalnym. Umożliwia użytkownikowi zmianę ustawień dotyczących pliku stronicowania, wliczając w to jego rozmiar. Umożliwia procesowi tworzenie tokenu obiektu za pomocą uprawnionego konta. Umożliwia tworzenie obiektów globalnych. Umożliwia tworzenie obiektów katalogu. Umożliwia kontu tworzenie łącza symbolicznego systemu plików. Umożliwia użytkownikowi dołączanie się do procesu w celu debugowania. SeRemoteInteractiveLogonRight SeBackupPrivilege SeChangeNotifyPrivilege SeSystemtimePrivilege SeTimeZonePrivilege SeCreatePagefilePrivilege SeCreateTokenPrivilege SeCreateGlobalPrivilege SeCreatePermanentPrivilege SeCreateSymbolicLinkPrivilege SeDebugPrivilege

6 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Deny access to this computer from the network (Odmowa dostępu do tego komputera z sieci) Deny logon as a batch job (Odmowa logowania w trybie wsadowym) Deny logon as a service (Odmowa logowania w trybie usługi) Deny logon locally (Odmowa logowania lokalnego) Deny logon through Remote Desktop Services (Odmowa logowania za pośrednictwem usług pulpitu zdalnego) Enable computer and user accounts to be trusted for delegation (Określ konta komputerów i użytkowników jako zaufane w kwestii delegowania) Force shutdown from a remote system (Wymuszaj zamknięcie systemu zdalnego) Generate security audits (Generuj inspekcje zabezpieczeń) Impersonate a client after authentication (Personifikuj klienta po uwierzytelnieniu) Uniemożliwia użytkownikowi uzyskanie dostępu do komputera. Uniemożliwia kontu logowanie za pomocą metod wsadowych. Uniemożliwia kontu logowanie w trybie usługi. Uniemożliwia kontu logowanie lokalne na konsoli komputera. Uniemożliwia użytkownikom logowanie na komputerze za pomocą usług pulpitu zdalnego. Umożliwia użytkownikom definiowanie ustawienia Trusted for Delegation. Pozwala użytkownikowi zamykać komputer, z którym połączony jest zdalnie. Umożliwia kontu generować rekordy inspekcji w dzienniku zabezpieczeń. Umożliwia programowi personifikować użytkownika lub konto oraz działać w imieniu tego użytkownika lub konta. SeDenyNetworkLogonRight SeDenyBatchLogonRight SeDenyServiceLogonRight SeDenyInteractiveLogonRight SeDenyRemoteInteractiveLogonRight SeEnableDelegationPrivilege SeRemoteShutdownPrivilege SeAuditPrivilege SeImpersonatePrivilege

Zagadnienie 1.1: Projektowanie modelu administracyjnego 7 TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Increase a process working set (Zwiększ zestaw roboczy procesu) Increase scheduling priority (Zwiększ priorytet planowania) Load and unload device drivers (Ładuj i zwalniaj sterowniki urządzeń Lock pages in memory (Blokuj strony pamięci) Log on as a batch job (Logowanie w trybie wsadowym) Log on as a service (Logowanie w trybie usługi) Manage auditing and security log (Zarządzaj dziennikami inspekcji i zabezpieczeń) Modify an object label (Modyfikuj etykietę obiektu) Modify firmware environment values (Modyfikuj wartości środowiskowe oprogramowania układowego) Perform volume maintenance tasks (Wykonuj zadania konserwacji woluminów) Umożliwia użytkownikowi zwiększanie rozmiaru zestawu roboczego procesu. Umożliwia użytkownikowi zwiększanie podstawowego priorytetu procesu. Umożliwia użytkownikowi dynamiczne ładowanie i zwalnianie sterowników urządzeń. Umożliwia kontu zachowywanie danych przed procesem w pamięci fizycznej. Umożliwia kontu logowanie za pomocą metod wsadowych, a w tym programu Harmonogram zadań. Umożliwia kontu usługi rejestrowania procesu. Umożliwia użytkownikom korzystanie z dzienników inspekcji i zabezpieczeń. Umożliwia kontu modyfikowanie etykiet integralności używanych przez WIC (Windows Integrity Controls). Umożliwia użytkownikowi modyfikowanie ustawień pamięci nieulotnej (NVRAM). Umożliwia użytkownikowi wykonywanie zadań powiązanych z zarządzaniem woluminami i dyskami. SeIncreaseWorkingSetPrivilege SeIncreaseBasePriorityPrivilege SeLoadDriverPackage SeLockMemoryPrivilege SeBatchLogonRight SeServiceLogonRight SeSecurityPrivilege SeRelabelPrivilege SeSystemEnvironmentPrivilege SeManageVolumePrivilege

8 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-2 Dodatkowe prawa użytkownika dotyczące zabezpieczeń Prawo użytkownika Opis Nazwa stała Profile single proces (Profiluj pojedynczy proces) Profile system performance (Profiluj wydajność systemu) Remove computer from docking station (Usuń komputer ze stacji dokującej) Replace a process level token (Zamień token na poziomie procesu) Restore files and directories (Przywracaj pliki i katalogi) Shut down the system (Zamknij system) Synchronize directory service data (Synchronizuj dane usługi katalogowej) Take ownership of files or other objects (Przejmij na własność pliki lub inne obiekty) Umożliwia użytkownikowi przeglądanie aspektów dotyczących wydajności procesu. Umożliwia użytkownikowi używanie narzędzi Windows Performance Monitor. Umożliwia użytkownikowi usuwanie komputera ze stacji dokującej bez zalogowania się. Umożliwia procesowi zastępowanie tokenu dostępu do procesu podrzędnego. Umożliwia użytkownikowi omijanie normalnego procesu sprawdzania uprawnień podczas przywracania. Umożliwia użytkownikowi lokalnemu zamykanie systemu. Umożliwia użytkownikowi synchronizowanie danych usługi, takich jak katalog LDAP. Umożliwia kontu przejmowanie na własność obiektów komputera. SeProfileSingleProcessPrivilege SeSystemProfilePrivilege SeUndockPrivilege SeAssignPrimaryTokenPrivilege SeRestorePrivilege SeShutdownPrivilege SeSyncAgentPrivilege SeTakeOwnershipPrivilege Nazwa stała opisana w tabeli 1-2 może być używana w poleceniach cmdlet powłoki Windows PowerShell, odnoszących się do uprawnień: Get-Privilege Grant-Privilege Revoke-Privilege Test-Privilege Zgodnie z opisem w tabeli 1-2, prawa użytkownika zasadniczo nie powinny być stosowane bezpośrednio do kont, a raczej powinny być przydzielane za pośrednictwem grup.

Zagadnienie 1.1: Projektowanie modelu administracyjnego 9 DODATKOWE INFORMACJE Przypisywanie praw użytkowników Dodatkowe informacje na temat przypisywania praw użytkowników znaleźć można pod adresem http://technet.microsoft.com/library/dn221963. Wbudowane grupy Grupy wbudowane, nazywane również grupami domyślnymi, są dodawane razem z systemem operacyjnym. Wiele grup domyślnych ma już przypisane prawa użytkowników. Niektóre prawa stosowane są również w zależności od typu komputera, na którym prawo jest realizowane. Na przykład, prawo Allow Logon Locally jest przydzielane do następujących grup w celu logowania się na stacjach roboczych i serwerach: Administrators Backup Operators Users Dla porównania, poniższe grupy mają prawo Allow Logon Locally dla kontrolerów domeny: Account Operators Administrators Backup Operators Print Operators Server Operators W tabeli 1-3 wymieniono grupy lokalne komputera i prawa użytkownika przydzielone domyślnie tym grupom. TABELA 1-3 Prawa użytkownika dla grup lokalnych Grupa Administrators (Administratorzy) Prawa użytkownika Access this computer from the network Adjust memory quotas for a process Allow logon locally Allow logon through Remote Desktop Services Back up files and directories Bypass traverse checking Change the system time Change the time zone Create a page file Create global objects Create symbolic links Debug programs

10 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-3 Prawa użytkownika dla grup lokalnych Grupa Backup Operators (Operatorzy kopii zapasowych) Cryptographic Operators (Operatorzy kryptograficzni) Distributed COM Users (Użytkownicy DCOM) Guests (Goście) IIS_IUSRS Network Configuration Operators (Operatorzy konfiguracji sieci) Performance Log Users (Użytkownicy dzienników wydajności) Performance Monitor Users (Użytkownicy monitora wydajności) Power Users (Użytkownicy zaawansowani) Remote Desktop Users (Użytkownicy pulpitu zdalnego) Replicators (Replikatorzy) Prawa użytkownika Force shutdown from a remote system Impersonate a client after authentication Increase scheduling priority Load and unload device drivers Log on as a batch job Manage auditing and security log Modify firmware environment variables Perform volume maintenance tasks Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects Access this computer from the network Allow logon locally Back up files and directories Bypass traverse checking Log on as a batch job Restore file and directories Shut down the system Allow logon through Remote Desktop Services

Zagadnienie 1.1: Projektowanie modelu administracyjnego 11 TABELA 1-3 Prawa użytkownika dla grup lokalnych Grupa Users (Użytkownicy) Offer Remote Assistance Helpers (Pomocnicy oferujący Pomoc zdalną) Prawa użytkownika Access this computer from the network Allow logon locally Bypass traverse checking Change the time zone Increase a process working set Remove the computer from a docking station Shut down the system DODATKOWE INFORMACJE Domyślne grupy lokalne Dodatkowe informacje na temat domyślnych grup lokalnych znaleźć można pod adresem http://technet.microsoft.com/library/cc771990.aspx. Usługi AD DS również zawierają grupy domyślne. Grupy te znajdują się w kontenerze Builtin lub Users. W tabeli 1-4 opisano grupy w kontenerze Builtin. TABELA 1-4 Grupy w kontenerze Builtin Grupa Account Operators (Operatorzy kont) Administrator Prawa użytkownika Allow logon locally Shut down the system Access this computer from the network Adjust memory quotas for a process Back up files and directories Bypass traverse checking Change the system time Create a pagefile Debug programs Enable computer and user accounts to be trusted for delegation Force a shutdown from a remote system Increase scheduling priority Load and unload device drivers Allow logon locally Manage auditing and security log Modify firmware environment values Profile single process

12 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-4 Grupy w kontenerze Builtin Grupa Backup Operators Guests Incoming Forest Trust Builders (Konstruktorzy przychodzących zaufań lasu) Network Configuration Operators Performance Monitor Users Performance Log Users Pre-Windows 2000 Compatible Access (Dostęp zgodny z systemami starszymi niż Windows 2000) Print Operators (Operatorzy drukowania) Remote Desktop Users Replicator Server Operators (Operatorzy serwera) Users Prawa użytkownika Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects Back up files and directories Allow logon locally Restore files and directories Shut down the system ; stosowane tylko do domeny głównej lasu Access this computer from the network Bypass traverse checking Allow logon locally Shut down the system Back up files and directories Change the system time Force shutdown from a remote system Allow logon locally Restore files and directories Shut down the system W tabeli 1-5 opisano grupy w kontenerze Users. TABELA 1-5 Grupy w kontenerze Users Grupa Cert Publishers (Wydawcy certyfikatów) Prawa użytkownika

Zagadnienie 1.1: Projektowanie modelu administracyjnego 13 TABELA 1-5 Grupy w kontenerze Users Grupa DnsAdmins DnsUpdateProxy Domain Admins (Administratorzy domeny) Domain Computers (Komputery domeny) Domain Controllers (Kontrolery domeny) Domain Guests (Goście domeny) Domain Users (Użytkownicy domeny Prawa użytkownika ; instalowane jako część systemu DNS ; instalowane jako część systemu DNS Access this computer from the network Adjust memory quotas for a process Back up files and directories Bypass traverse checking Change the system time Create a pagefile Debug programs Enable computer and user accounts to be trusted for delegation Force a shutdown from a remote system Increase scheduling priority Load and unload device drivers Allow logon locally Manage auditing and security log Modify firmware environment values Profile single process Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects

14 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów TABELA 1-5 Grupy w kontenerze Users Grupa Enterprise Admins (Administratorzy przedsiębiorstwa) Group Policy Creator Owners (Twórcy- -właściciele zasad grupy) IIS_WPG RAS and IAS Servers (Serwery RAS i IAS) Schema Admins (Administratorzy schematu) Prawa użytkownika Uwaga: Uprawnienia są stosowane tylko do domeny głównej lasu Access this computer from the network Adjust memory quotas for a process Back up files and directories Bypass traverse checking Change the system time Create a pagefile Debug programs Enable computer and user accounts to be trusted for delegation Force a shutdown from a remote system Increase scheduling priority Load and unload device drivers Allow logon locally Manage auditing and security log Modify firmware environment values Profile single process Profile system performance Remove computer from docking station Restore files and directories Shut down the system Take ownership of files or other objects ; instalowane razem z usługami IIS ; stosowane tylko do domeny głównej lasu Grupy wbudowane różnią się od tożsamości specjalnych. Tożsamość specjalna jest grupą, której członkostwo nie może być modyfikowane, na przykład grupa Everyone (Wszyscy). W tabeli 1-6 wymieniono tożsamości specjalne.

Zagadnienie 1.1: Projektowanie modelu administracyjnego 15 TABELA 1-6 Tożsamości specjalne Tożsamość Anonymous Logon (Logowanie anonimowe) Everyone (Wszyscy) Interactive (Interakcyjny) Network (Sieć) Opis Używana do uzyskiwania dostępu anonimowego do usług i zasobów Wszyscy użytkownicy sieci, z wyjątkiem grupy Anonymous Logon Użytkownicy, którzy zalogowali się lokalnie na komputerze Użytkownicy, którzy uzyskali dostęp do zasobów komputera poprzez sieć DODATKOWE INFORMACJE Tożsamości specjalne Dodatkowe informacje na temat tożsamości specjalnych znaleźć można pod adresem http://technet.microsoft.com/en-us/library/cc733001. Delegowanie w programie System Center 2012 R2 Oprogramowanie Microsoft System Center 2012 R2 składa się z kilku produktów, wliczając w to Configuration Manager, Operations Manager, Data Protection Manager, Service Manager, AppController i Virtual Machine Manager (VMM). Produkty są używane w organizacji do określenia struktury delegowania. Na przykład, pewne role są właściwe tylko dla programu Virtual Machine Manager, a inne dla programu Configuration Manager. Jeśli organizacja nie używa programu VMM, role te nie będą używane. Jednakże koncepcja delegowania odpowiedzialności i administracji opartej na rolach jest słuszna, niezależnie od tego, jakie produkty zostaną zastosowane. W tym podrozdziale analizujemy delegowanie dla produktów Configuration Manager i Operations Manager. Inne produkty, takie jak Virtual Machine Manager i Data Protection Manager omówione zostały w innych zagadnieniach tego rozdziału. Administracja oparta na rolach Oprogramowanie System Center 2012 R2 wykorzystuje administrację opartą na rolach do ułatwienia skonstruowania struktury potrzebnej w wielu organizacjach. Dzięki administracji opartej na rolach możemy ograniczyć odpowiedzialności i zakresy uprawnień do postaci minimalnej, koniecznej do wykonania danego zadania. Na przykład, w organizacji może zachodzić potrzeba, by zmiany haseł zwykłych użytkowników przeprowadzali pracownicy pomocy technicznej. Taki scenariusz można zrealizować przez przydzielenie ograniczonych uprawnień do personelu działu pomocy technicznej. Ważnym pojęciem dotyczącym administracji opartej na rolach w programie System Center jest zakres administracyjny. Zakres administracyjny definiuje uprawnienia, jakie

16 Rozdział 1: Zarządzanie i utrzymanie infrastruktury serwerów ma dany użytkownik do obiektów objętych kontrolą zakresu. Zakresy administracyjne składają się z: Ról zabezpieczeń Kolekcji Zakresów zabezpieczeń DODATKOWE INFORMACJE Administracja oparta na rolach Dodatkowe informacje na temat planowania administracji opartej na rolach znaleźć można w artykule dostępnym pod adresem http://technet.microsoft.com/en-us/ library/65fffa65-5c09-4f6c-82bf-e01d567cda20#bkmk_planningforrba. Role zabezpieczeń Role zabezpieczeń, które możemy traktować jak grupy usługi Active Directory, są używane do przydzielania zestawów uprawnień użytkownikom w oparciu o pełnione przez nich role. Na przykład, roli Asset Analyst (Analityk zasobów) przydzielone są pewne uprawnienia przeglądania informacji dotyczących analizy zasobów (Asset Intelligence) i inwentaryzacji. Następnie, jeśli użytkownicy mają wykonywać takie zadania, można im przydzielić rolę Asset Analyst. Każdej roli zabezpieczeń przydzielane są określone uprawnienia, takie jak Approve, Create, Delete, Modify (Zatwierdzanie, Tworzenie, Usuwanie, Modyfikowanie) itp. Uprawnienia stosowane są do określonych obiektów w programie System Center. Program Configuration Manager i inne produkty System Center mają wbudowane różne role zabezpieczeń. Uprawnienia przydzielone do tych ról nie mogą być zmieniane. Istnieje jednak możliwość skopiowania roli i utworzenia nowej po wprowadzeniu odpowiednich modyfikacji. Procedura ogólna planowania ról zabezpieczeń jest następująca: 1. Identyfikowanie zadań. Analizowanie odpowiedzialności administratorów. Na przykład, niektórzy administratorzy mogą być odpowiedzialni za bezpieczeństwo systemów klienckich, a inni za aktualizacje oprogramowania. 2. Mapowanie zadań do ról. Określenie sposobu połączenia odpowiedzialności z wbudowanymi rolami zabezpieczeń. 3. Przypisywanie ról. Przypisanie ról użytkownikom. Jeśli odpowiedzialności użytkownika rozciągają się na wiele ról, przypisujemy tego użytkownika do wielu ról. 4. Tworzenie nowych ról (opcja). Tworzenie nowych ról, jeśli odpowiedzialności nie można zamapować do jednej lub kilku ról wbudowanych.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres