Mistrovství v Microsoft Windows Server 2003

Transkript

Instalujeme server
Tak jako se lidské tělo neobejde bez srdce či fotbalový zápas bez rozhodčího, neobejdou se větší počítačové sítě bez serveru
(nebo serverů). Server je tedy srdcem takové sítě. Jedná se o nejdůležitější počítač (počítače), který může mít různé úkoly od
řízení chodu celé sítě přes uchování dat, správu běhu aplikací až po správu tisku. Aby server pracoval tak, jak se od něj
očekává, je třeba jej správně nainstalovat a nakonfigurovat.
K instalaci serverového operačního systému nelze přistupovat jako k přibližně dvouhodinové záležitosti sestávající Z rotujícího
disku CD-ROM v počítači a několika klepnutí myší nebo stisknutí kláves na klávesnici. Je nutné si uvědomit, že právě server je
počítačem, jehož instalace by měla ze všech počítačů „vydržet" v provozu nejdéle. Nutným předpokladem úspěšné instalace je její
pečlivá příprava. Ta se skládá z několika důležitých kroků, které jsou blíže popsané v dalších odstavcích.
Co vlastně znamená „server”?
Nebo jinak. Kdy je možné o počítači říci, že je serverem? Podle nainstalovaného operačního systému? Podle hardwaru
počítače? Nebo podle účelu jeho používání?
Nejblíže ke správné odpovědi je poslední možnost. Definice serveru je velmi jednoduchá - jedná se o počítač, který v síti, k níž je
připojen, poskytuje služby (od slova „serve" - „sloužit"). Je úplně jedno, jakým operačním systémem daný počítač disponuje,
taktéž nezáleží ani na hard-warové výbavě. Dnes se koneckonců můžete velmi často setkal s běžnými uživatelskými počítači,
které jsou na tom / pohledu hardwarové výbavy (zejména typu a rychlosti procesoru a velikosti pevného disku) lépe než
servery. Na čem tedy záleží? Uveďme si krátký příklad.Právě jste se vrátili z dovolené, na které jste pořídili množství obrázků svým
digitálním fotoaparátem. Z fotoaparátu obrázky ihned po příchodu do práce zkopírujete do počítače, a protože se chcete o
zážitky podělit s kolegy, zapnete sdílení složky, do které jste fotografie uložili, a zpřístupníte ji tak v síti. V tuto chvíli je váš
počítač serverem. Kromě toho samozřejmě plní i roli klientského počítače, které se budeme věnovat v další kapitole.
Takovému typu serverů se říká souborové servery.
Váš počítač bude mít ale spoustu omezení. Jednak je možné a velmi pravděpodobné, že si vaše obrázky nebude moci
prohlížet více než 10 uživatelů najednou, jednak se také může velmi snadno stát, že zatímco se vaši kolegové a kolegyně
baví prohlížením obrázků, je počítač tak vytížen, že běžná práce s ním je velmi zdlouhavá, ne-li nemožná.
Aby se tato a ještě další omezení odstranila, byly pro servery vyvinuty serverové operační systémy. Ty se orientují na co
nejkvalitnější poskytování služeb v síti a s počítačem zpravidla nepracuje žádný uživatel přímo. I kdyby pracoval, nebyly by
odezvy grafického uživatelského rozhraní takové, jaké uživatel očekává a které jsou u běžných klientských počítačů.
Protože se v každé síti vyskytují požadavky na sdílení souborů, na tisk na síťové tiskárny a další, měl by v každé síti existovat
alespoň jeden server. Ten může samozřejmě dané služby kombinovat. Pokud to však jeho vytížení či nekompatibilita nedovolí, je
nutné přidat další servery, pochopitelně se serverovými operačními systémy.
Příprava instalace
Pojďme si na úvod položit několik důležitých otázek:
• Pro jaké účely se bude server používat?
• Jaký serverový operační systém by se měl na server nainstalovat?
• Jaká kapacita pevných disků bude pro používání serveru třeba?
• Jak by měla vypadat fyzická a logická struktura disků?
• Jaký typ instalace bude pro daný server nejrozumnější?
Odpovědi na tyto otázky jsou tím správným vodítkem pro budoucí úspěšné a dlouhodobé používání serveru. Některé věci lze
během používání upravit, jiné je však nutné nastavit hned na začátku. Jistě, nejsou zde zmíněné veškeré náležitosti, jako například
velikost paměti či rychlost a typ procesoru. Na druhou stranu — kolik správců v malých firmách má možnost si dopředu
jednoznačně nadiktovat své požadavky na server, když na finančních prostředcích „sedí" osoba, která není investicím do
výpočetní techniky nebo investicím vůbec příliš nakloněna?
Protože budeme dále v této knize pracovat se serverem s minimální konfigurací a s jedním pevným diskem, jsou z pohledu
hardwaru nejdůležitější výše uvedené otázky.
Příprava instalace sestává z dobrého naplánování funkcí a konfigurace serveru a ze shromáždění veškerých údajů, které jsou pro
instalaci nutné. Rozhodně není vhodné instalaci bezhlavě spustit a během ní teprve shromažďovat potřebné údaje a narychlo
vymýšlet konfiguraci.
1
Funkce serveru
Server je počítačem, který v síti nabízí služby. Které konkrétní služby jsou potřeba, zák-ži na konkrétní síti a na požadavcích
společnosti. Server může mít například následující rok1:
• Souborový server
• Databázový server
• Aplikační server
• Terminálový server
• Tiskový server
• Řadič domény
• Server DNS
• Server WINS
• Server DHCP
• Poštovní server
• Webový server
• Server FTP
• Server NNTP
• Server POP3 či IMAP4
• Server se službou vzdálené instalace (RIS)
• Server WINS
• Server pro vzdálené připojení
• Server POP3
• Server s certifikačním úřadem
• Server s certifikačním úřadem
a další.
Lze říci, že některé role jsou zastoupené ve všech sítích, zatímco ostatní jsou k dispozici pouze v některých. Je velmi důležité
zvážit, které role budou v dané síti třeba, neboť od toho se odvíjejí ostatní požadavky na instalaci. Dále je důležité vědět, které role
můžete později již nainstalovanému serveru doplnit bez nutnosti větších změn v konfiguraci, a pro jaké role bude nutné
vyčlenit samostatný server.
V naší síti budeme postupně pracovat s následujícími rolemi:
• Souborový server
• Tiskový server
• Řadič domény
• Server DNS
• Server DHCP
• Server se službou vzdálené instalace
Tylo role může zajistit jediný server, navíc je lze kdykoli odebrat a znovu přidal. Z toho to pohledu bude instalace bez potíží a
další informace nejsou v tuto chvíli potřeba.
Poznámka
Pokud všem uvedeným pojmům přesně nerozumíte, nic se neděje. Při plánování instalace se jim stejně nedá vyhnout a
podrobněji se některým z nich budeme věnovat dále.
2
Jaký operační systém nainstalovat?
Řada systémů Windows Server 2003 přichází v několika různých verzích (viz tabulka 1.1).
Verze systému
Popis
Windows Server 2003, Web Edition
Tato verze je určena k poskytování hostitelských služeb na
webu. Vzhledem k tomu, že je optimalizována pouze pro webové aplikace, postrádá některé důležité
služby a není proto určena pro běžné vnitropodnikové sítě.
Windows Server 2003, Standard Edition
Tato verze je určena pro sítě organizací všech velikostí.
Nabízí řešení pro veškeré běžné služby a stává se tak opravdu standardem.
Windows Server 2003, Enterprise Edition
Tato verze je určena pro větší prostředí, podporuje technologii clusterování a je velmi dobře škálovatelná.
Je určena pro prostředí s kritickými aplikacemi.
Windows Server 2003, Datacenter Edition
Tato verze je určena pro prostředí s vysokými požadavky
na bezpečnost, rychlost a škálovatelnost. Umožňuje konsolidovat více serverů na jeden hardware.
Tabulka 1.1 Přehled verzí systému Windows Server 2003
Každá verze má odlišné minimální požadavky na hardware (v tabulce níže jsou uvedeny požadavky 32bitových verzí systémů):
Verze systému
Minimální systémové požadavky
Windows Server 2003, Web Edition
CPU min. 133 MHz (doporučeno 550 MHz), 128 MB RAM
(doporučeno 256 MB), 1,5 GB místa na disku Systém podporuje maximálně 2 GB paměti RAM a nejvíce 2
procesory
Windows Server 2003, Standard Edition
procesoiy
Windows Server 2003, Enterprise Edition
procesorů
Windows Server 2003, Datacenter Edition CPU min. 400 MHz (doporučeno 733 MHz), 512 MB RAM
(doporučeno 1 GB), 1,5 GB místa na disku Systém podporuje maximálně 64 GB paměti RAM a vyžaduje
nejméně 8, nejvíce 32 procesorů
Tabulka 1.2 Systémové požadavky a možnosti systémů Windows Server 2003
Pro malou a středně velkou síť je určená verze Windows Server 2003, Standard Edition. Jednoduše proto, že splňuje požadavky na
zamýšlené služby a také proto, že verzi Windows Server 2003, Enterprise Edition bychom nebyli schopni plně využít.
Poznámka
Podrobné informace o využití jednotlivých služeb ve verzích systému Windows Server 2003 v českém jazyce naleznete na
webové stránce společnosti Microsoft na adrese
http://www.microsoft.com/cze/windowsserver2003/evaluation/choosing/.
Disková kapacita
Odpověď na otázku, kolik diskového prostoru bude pro funkce serveru třeba, je záležitostí správného odhadu a jednoduché
matematiky. Požadavek místa na disku pro samotný systém je dán přímo výrobcem -1,5 GB. Neznamená to, že po instalaci
bude na disku tato kapacita obsazená. Jistě nebudou nainstalované veškeré součásti operačního systému, navíc je nutné počítat
s místem pro stránkovací soubor systému a s místem pro budoucí aktualizace Service Pack. Je dobré mít pro tyto případy k
dispozici ještě přibližně 1 GB volného místa.
Další místo zaberou instalované aplikace. Ačkoli zatím neplánujeme roli aplikačního, da-labázového či poštovního serveru, je
nutné myslet na antivirové programy, zálohovací ná-stroje apod. Pro tyto účely a pro případné další rozšiřování serveru by
mělo postačovat 5 GB místa.
Největší prostor bude nutné ponechat pro samotné soubory, které budou k dispozici pro všechny uživatele (souborový server) a
pro soubory jednotlivých uživatelů. Pro tento účel platí známé pravidlo, že žádný disk není dost velký. To je ve většině případů
pravda, na druhou stranu se dá pomocí systémových prostředků zajistit omezení prostoru na disku pro jednotlivé uživatele.
Toto rozhodnutí však musí padnout na začátku a také je nutné je hned začít uplatňovat. Pro běžnou práci s počítačem by
každému uživateli měl postačovat 1 GB místa na disku. Existují samozřejmě výjimky, a to na obě strany, které je nutné vzít v
úvahu.
Nyní je vše ostatní otázka matematiky. Budeme-li počítat s prostředím 30 uživatelů, vyjde nám požadavek na celkem 38 GB
místa na disku, což již dnes není technologický ani vel ký finanční problém.
Pokud budete mít možnost vyjádřit se k nákupu nového serveru a váš názor někdo vez nic v úvahu, doporučuji zvolit hardware,
do kterého bude možné kdykoli později přidal další fyzický disk. Pouze tak si zajistíte možnost využití serveru i v rolích
databázové či aplikační.
3
Fyzická a logická struktura disků
Dostáváme se k jednomu ze zásadních kroků. I zde platí podobné pravidlo jako v před chozím odstavci: žádný počet fyzických
disků není dostatečným a případný rozumný po čet disků stejně není kam umístit. Zde jste více než v jiných oblastech velmi často
omezeni místem pro další disky a financemi. Pro fyzickou strukturu (tedy kolik mít fyzických dis ku) platí několik jednoduchých
a srozumitelných pravidel:
• Operační systém by měl být umístěn na jiném fyzickém disku než stránkovací soubor.
• Data aplikací by měla být oddělena od systému i aplikací, v případě databázových aplikací je třeba mít k dispozici ještě
další fyzické disky pro protokoly transakcí.
• Pro operační systém a další důležitá data je vhodné vytvořit diskové struktury odolné proti chybám (zrcadlené svazky,
svazky typu RAID-5).
Názory na logické uspořádání disků se velmi liší. Jsou případy, kdy se například jediný disk serveru rozdělí na 3 logické
jednotky - na prvním je nainstalován operační systém, na druhém data nainstalovaných aplikací a na třetím data uživatelů. Jako
důvod správci uvádějí zejména jednoduché přeinstalování systému bez nutnosti zálohování a následného obnovení dat a větší
přehled.
Tyto důvody se mohou na první pohled zdát jako smysluplné, skutečnost je však jiná. I když by v takovém případě došlo k
přeinstalování systému (tedy k nahrazení předchozího systému jeho novou instalací), ztratí se u dat důležité stavové informace sdílení složek, oprávnění přístupu ke složkám a souborům, případně omezení místa na disku (diskové kvóty). A o lepším
přehledu by se dalo hovořit snad pouze v případě, že by server používali běžní uživatelé - správcům musí stačit rozdělení
souborů do složek, nikoli na logické jednotky.
V takto nakonfigurovaném prostředí dochází navíc často k situaci, kdy je třeba na server
uložit větší objem dat, na žádné z jednotek však není pro tento celek dostatek místa,
i když v celkovém součtu by se dané místo našlo.
Řešení je jednoduché. Pokud nenaleznete zvláště závažné důvody (například nutnost formátovat každou jednotku jiným
systémem souborů nebo pro různé účely využít systémové kvóty), vytvářejte na každém disku pouze jedinou logickou
jednotku. Nepřipravíte se o žádnou rychlost přístupu (což je argument, který také někdy můžete slyšet od „správce", jenž zcela
nepochopil rozdíly mezi logickými a fyzickými disky), a pokud vše pečlivě naplánujete, nepřipravíte se ani o přehled na
disku. A pokud v budoucnu nebudete mít pro větší množství dat místo, je řešení jediné - přidat další disk.
V našem případě vyjdeme z toho nejjednoduššího řešení. Z hlediska výkonu není sice op
timální, ale je nejlevnější a pro malou síť postačující. V kapitolách, které se budou týkat
funkcí spojených s disky, budete upozorněni na další možné konfigurace, jež by pro da
nou funkci byly vhodné.
Použijeme jeden fyzický disk, který rozdělíme na dvě logické jednotky - C: a D:. Pracovat budeme zatím s jednotkou C:,
jednotku D: si ponecháme pro Službu vzdálené instalace (RIS).
Typ instalace
Ačkoli to na první pohled není u operačních systémů Microsoft patrné, možností instalace je několik. Od klasické, dobře známé
instalace z disku CD-ROM, až po automatickou instalaci či instalaci klonováním disků. Pokud však stojíte před otázkou instalace
servero-vého operačního systému do čistého počítače, nezbude nic jiného, než zvolit instalaci z disku CD-ROM. Je totiž
dobré si celý instalační proces projít (pro případné budoucí automatické instalace), navíc by například automatickou instalaci ani
nebylo kde připravit (potřebujete pro to počítač alespoň se systémem Windows XP Professional, pro systém Windows 2000
Server systém Windows 2000 Professional).
Další informace a nastavení
V průběhu samotné instalace budete nuceni zadat další informace, které je vhodné nul dopředu připravené. Některé
záležitosti jsou zcela banální a může je zadat jakýkoli kolemjdoucí, neboť na nich není činnost systému závislá. Některé
informace jsou však velmi podstatné, neboť na nich závisí činnost systému a není možné je později upravit. Připravte si tedy
následující informace:
• Jméno uživatele a název organizace, na kterou je produkt zaregistrován
• Typ licencování klientských přístupů
• Kód Product Key (ten zpravidla naleznete na zadní části krabičky od disku CD-ROM)
• Název počítače
• Heslo správce
• Název pracovní skupiny, ve které bude počítač zařazen
U některých z pojmů se ještě v průběhu instalace zastavíme a doplníme důležité informace.
4
Instalace serverového operačního systému
Tato kapitola obsahuje podrobný postup instalace včetně důležitých dialogových oken a doplňujících obrázků. Pro úspěšnou
instalaci budete potřebovat instalační disk CD-ROM se systémem Windows Server 2003, Standard Edition a „čistý" počítač.
1. V systému BIOS počítače je nutné nastavit následující posloupnost spouštěcích za
řízení:
• Jednotka CD-ROM
• Pevný disk
Samotné nastavení vždy záleží na typu systému BIOS, proto je není možné jednoduše a univerzálně popsat. Podrobné
informace naleznete v příručce dodané k počítači, případně k základní desce.
2. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows Server 2003 a restartujte nebo zapněte
počítač.
3. Instalace systému by se měla automaticky spustit. Pokud k tomu nedojde, ověřte znovu pořadí spouštěcích zařízení.
Pokud již byl v počítači dříve nainstalován nějaký operační systém, může se stát, že systém bude pro instalaci z disku CDROM vyžadovat stisk libovolné klávesy.
4. Spustí se textový režim instalace a zobrazí se obrazovka s nadpisem Instalace systému Windows.
5. Na obrazovce Vítá vás instalační program stiskněte klávesu Enter.
6. Na obrazovce Licenční smlouva systému Windows potvrďte stiskem klávesy F8 souhlas s uvedenými podmínkami.
Poznámka
Před stiskem klávesy F8 si licenční smlouvu dobře přečtěte. Pokud s ní nebudete souhlasit, stiskněte klávesu Esc a instalace se
přeruší.
7. Na další obrazovce je nutné vytvořit, případně upravit strukturu pevného disku. Stiskněte klávesu C, čímž budete moci
vytvořit oddíl pro instalaci operačního systému.
8. V části Vytvořit oddíl o velikosti (MB) je zobrazená maximální dostupná velikost pevného disku. Pokud máte v serveru
pouze jediný disk, snižte tuto hodnotu o 1 000 MB (tedy 1 GB). Zůstane tak místo nutné pro pozdější instalaci a konfigu
raci Služby vzdálené instalace (RIS, Remote Installation Service). Pokud máte v počítači více pevných disků, můžete
ponechat maximální uvedenou velikost. Poté stiskněte klávesu Enter.
9. V seznamu oddílů by měl být označen právě vytvořený oddíl jako C:. Pokud není, označte jej, a poté klepněte na klávesu
Enter.
10. V dalším dialogu můžete vybrat systém souborů, kterým bude oddíl naformátován. Pokud nemáte pochybnosti o kvalitě
povrchu disku, označte položku Zformátovat oddíl systémem souborů NTFS (Rychle) - ušetříte si čas. Pokud máte
pochybnosti, označte položku Zformátovat oddíl systémem souborů NTFS. V takovém případě dojde při formátování k
fyzické kontrole povrchu a případné vadné bloky se vyřadí z používání. Proběhne naformátování oddílu a poté začne ko
pírování souborů do instalační složky systému Windows Server 2003.
Poznámka
Systém Windows 2000 neumožňuje provést rychlé formátování oddílu při instalaci operačního systému. První možnost tedy
není k dispozici.
11. Po zkopírování souborů dojde k restartování systému a instalace bude pokračovatv grafickém režimu.
12. V dialogovém okně Místní a jazykové nastavení případně upravte nastavení národního prostředí a klávesnice a klepněte
na tlačítko Další.
13. V dialogovém okně Přizpůsobit software zadejte údaje, které jste shromáždili před spuštěním instalace, a poté klepněte
Poznámka
Jméno uživatele a název organizace lze kdykoli později změnit přímým zásahem do registru systému. Potřebné položky naleznete ve
větvi HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion.
14. V dialogovém okně Kód Produkt Key zadejte kód pro instalaci operačního systému a poté klepněte na tlačítko Další.
15. V dialogu Způsob správy licencí zaškrtněte políčko odpovídající typu licencování, které jste určili. Pokud ponecháte
zaškrtnutou možnost Na server, zadejte počet souběžných připojení a poté klepněte na tlačítko Další.
5
Obrázek 1.1
Dialogové okno Místní a jazykové nastavení
Obrázek 1.2
Dialogové okno Přizpůsobit software
Poznámka
Typ licencování Na server umožňuje současné připojení zadanému počtu klientských počítačů. Každý další pokus o připojení nad limit
je ze strany serveru odepřen. Při nastaveni licencování Na zařízení je maximální počet současně připojených zařízení dán zakoupenou
licencí, stejně tak při licencování
Na uživatele. Další informace o licencování produktů Microsoft naleznete na webové stránce na adrese
http://www.microsoft.com/cze/lndowsserver2003/howtobuy/licensing/.
6
Obrázek 1.3
Zadání kódu Product Key
Obrázek 1.4
Nastavení data a času
7
16. V dialogu Název počítače a heslo správce zadejte název počítače (například SRVR001) a heslo správce (například
K@f!cko - pozor, heslo je citlivé na velká a malá písmena). Pokračujte klepnutím na tlačítko Další.
Poznámka
Pokud vám zadané heslo připomíná slovo kafíčko, je to v pořádku. Náhradou některých znaků ale vzniklo poměrně bezpečné
heslo splňující tzv. požadavky na složitost, které pro případného útočníka není snadno uhádnutelné.
17. V dialogovém okně Nastavení data a času zadejte aktuální datum, čas a vyberte správné časové pásmo. Pokračujte
klepnutím na tlačítko Další.
18. V dialogu Nastavení sítě zaškrtněte políčko Vlastní nastavení a poté klepněte na tlačítko Další.
19. V dialogu Síťové součásti vyberte položku Protokol sítě Internet (TCP/IP) a poté klepněte na tlačítko Vlastnosti.
20. V dialogovém okně Protokol sítě Internet (TCP/IP) — vlastnosti zadejte adresu IP 192.168.10.2 a masku podsítě
255.255.255.0. Ostatní hodnoty nezadávejte a klepněte na tlačítko OK. Pokračujte klepnutím na tlačítko Další.
Poznámka
Můžete zadat i jinou adresu IP. Více informací o protokolu TCP/IP a adresování serverů a počítačů naleznete v kapitole 3,
„Učíme počítače komunikovat v síti".
21. V dialogovém okně ponechejte výchozí nastavení (tj. zaškrtnuté políčko Počítač není připojen k síti nebo je připojen
k síti bez domény a bude členem ná sledující skupiny SKUPINA) a klepněte na tlačítko Další.
22.
Obrázek 1.5
Vlastní nastavení sítě
Pruvodce instalací systému Windows Server 2003 má nyní dostatek informací k tomu, aby provedl úplnou instalaci samotného
systému. Nyní již nebude nutné zadávat žádné další informace a po dokončení instalace dojde k restartování počítače.
8
Obrázek 1.6
Konfigurace adresy a dalších parametrů protokolu IP
Úkony po instalaci
Ačkoli je systém Windows Server 2003 novým produktem obsahujícím stovky ovladačů pro současná hardwarová zařízení na
trhu, může se stát, že pro některé zařízení nebudou ovladače k dispozici. V takovém případě je nutné získat potřebné ovladače od
výrobce zařízení nebo je stáhnout z webové stránky HCL (Hardware Compatibility List) na adrese http://www.microsoft.com/hcl a
poté je nainstalovat do systému. Pokud dosáhnete stavu, kdy se v dialogovém okně Správce zařízení nebude vyskytovat žádný
otazník či vykřičník, lze říci, že instalace serverového operačního systému je úspěšně dokončena.
Je velkým omylem myslet si, že nyní lze server nasadit do ostrého provozu. Jak bylo uvedeno dříve, může server plnit různé
role, a je jasné, že pro každou z nich je nutné provést další konfiguraci. V této knize budeme další konfiguraci provádět
postupně tak, jak bude potřeba, ale v ostrém provozu není v některých případech záhodno příliš otálet.
Pokud však ponecháte systém tak, jak se nainstaloval, a chcete jej začít používat, můžete tak činit po dobu 30 dnů od instalace.
Do té doby je nutné provést aktivaci produktu.
Aktivace systému Windows
Systém Windows Server 2003 obsahuje funkci nazvanou Aktivace systému Windows (WPA, Windows Produkt Activation). Ta
je další zbraní společnosti Microsoft v boji proti krádežím softwaru a zabraňuje instalaci stejného systému do jiného počítače.
Při instalaci systému jste museli zadat 25místný kód Produkt Key. Systém Windows Server 2003 vygeneruje ještě další kód, který
reprezentuje hardwarové součásti počítače. Kód vzniklý sloučením těchto dvou je nutné odeslat do střediska Microsoft
Clearinghouse prostřednictvím Internetu nebo jej předat telefonicky. Pokud využijete Internet, neměla by re gistrace trvat déle než
několik sekund. Při telefonické aktivaci budete nuceni oznámit 50místný kód a poté do systému zadat 42místný potvrzovací
identifikátor získaný ze střediska Microsoft Clearinghouse. Teprve po úspěšné aktivaci bude systém funkční bez omezení.
Ve středisku Microsoft Clearinghouse dochází k ověření, zda společnost Microsoft produkt se zadaným kódem Produkt Key
vyrobila a zda tento systém nebyl ještě nainstalován. Aby byla aktivace úspěšná, musel být produkt vyroben a ještě nesmí být
nikde nainstalován (přesněji řečeno aktivován). V opačném případě se aktivace nezdaří a produkt přestane po vypršení lhůty
pro aktivaci fungovat.
9
Obrázek 1.7
Seznam hardwaru
Tip
S aktivací produktu zbytečně nespěchejte. Vždy nejdříve proveďte konfiguraci systému a všech hardwarových
zařízení a systém používejte nejméně týden, během kterého ověříte jejich správnou funkčnost. Teprve poté, co si
budete absolutně jisti správnou funkcí systému a zařízení, proveďte aktivaci. Vyhnete se tak případné nové aktivaci,
pokud byste byli nuceni nahradit některé zařízení za jiné.
Existují ještě další možnosti instalace?
Je velmi pravděpodobné, že většina správců si tuto otázku ještě nikdy nepoložila. A po-kud ano, začala zřejmě pátrat po nástrojích od
jiných výrobců, které by jiný typ instalace umožňovaly.
V případě systému Windows Server 2003, stejně jako u jeho předchůdce, se pro dalši možnosti nemusí chodit daleko - jsou
totiž podporované přímo v samotném systému. Mezi další možnosti instalace systému Windows Server 2003 patří:
Instalace po sítiInstalace po síti se nijak mc neliší od instalace z disku CD-ROM. Pokud obě instalace porovnáme, je třeba u
instalace po síti provést navíc následující kroky:
• V síti sdílet složku obsahující instalační soubory operačního systému.
• Mít připraveného síťového klienta pro spuštění v počítači, do kterého chcete sy
stém instalovat.
• V cílovém počítači před instalací vytvořit na disku oddíl o velikosti alespoň 1,5 GB.
10
Bezobslužná instalace (po síti i z disku CD-ROM)
Tento typ instalace je podrobně probrán v další kapitole. Veškeré odpovědi poskytované instalačnímu programu se seskupí do
textového souboru se speciálním formátem a instalačnímu programu se „vnutí" jako parametr. Výhodou takové instalace je
výrazná úspora času, neboť není nutné u počítače sedět a čekat na další dialogové okno k zadání informací.
Tento typ instalace se pro výraznou úsporu času používá spíše u klientských počítačů. U serverů je sice možná,
pravděpodobně se s ní však v praxi nesetkáte.
Instalace duplikací disků
Všechny předchozí instalace mají jednu nevýhodu. Téměř vůbec nebo jen velmi omezeně totiž neumožňují zároveň systém
nakonfigurovat, popřípadě nainstalovat a nakonfigurovat další aplikace. Instalace duplikací disků tedy vychází z myšlenky běžné
instalace operačního systému, případné instalace aplikací, konfigurace systému i aplikací a následného klonování takto
vytvořeného disku do jiného počítače. S výhodou lze tuto instalaci využívat u většího množství stejných pracovních stanic. Před
duplikací disku je však nutné spustit ve zdrojovém počítači nástroj SYSPREP (Příprava systému), který odebere jedinečné
identifikátory systému (například název počítače) a zajistí jejich vytvoření při dalším spuštění. U serverových operačních
systémů se tento způsob instalace nepoužívá. Navíc, společnost Microsoft nenabízí žádný nástroj pro převedení bitové kopie
disku na jiný. Je tedy nutné použít nástroje od jiných výrobců.
Vzdálená instalace
Vzdálená instalace je speciálním případem instalace, které je věnována kapitola 19, „Přibývají další uživatelé...". Systém Windows
Server 2003 je prvním serverovým systémem, který lze tímto způsobem instalovat. Služba vzdálené instalace v systému Windows
2000 Server umožňovala pouze instalaci operačního systému pro klientské počítače Windows 2000 Professional.
Závěr
Server je počítačem, který v síti nabízí své služby klientům. Počet serverů v síti není omezen, zpravidla však bývá o několik řádů
nižší než počet klientských počítačů.
Velmi důležitým krokem je výběr správné verze serverového operačního systému. Ve většině případů bude vyhovujícím systém
Windows Server 2003, Standard Edition. Velké sítě s náročnými aplikacemi mohou být vybaveny systémem Windows Server
2003, Enterprise Edition. Poskytovatelům webových služeb v Internetu nebo pro internetové prezen-tace je určen systém
Windows Server 2003, Web Edition.
Před instalací serverového operačního systému je třeba nejprve ověřit, zda počítač splňuj e minimální hardwarové požadavky a
zda je hardware s operačním systémem kompati bilní. Poté je potřeba připravit si další informace, které bude instalační program
požadovat (název počítače, jméno uživatele a název organizace, heslo správce a další) a navrhnout vyhovující počet fyzických
disků a jejich případné rozdělení na logické jednotky.
Poté lze přistoupit k samotné instalaci. Systém lze instalovat přímo z instalačního disku CD-ROM nebo lze využít i alternativní
metody - instalaci po síti, automatickou instalaci, případně instalaci duplikací disků. Nejčastějším případem je instalace z disku
CD-ROM.
Stav sítě
V tuto chvíli máme nainstalovaný první počítač v síti - server s názvem SRVR001.
11
Instalujeme klientské počítače
Klientské počítače jsou v počítačové síti základním pracovním prostředkem mnoha uživatelů. V sítích jich bývá nepoměrně více
než serverů a na jejich správné funkci záleží spokojenost a produktivita uživatelů. Počet klientských počítačů však může být
noční můrou správců, kteří do nich musí nainstalovat a nakonfigurovat operační systém a aplikace.
Pokud budete muset instalovat pouze několik počítačů, vyhradíte si na ně příslušný čas (jeden či více dnů) a instalaci za tuto
dobu bez potíží provedete. Instalace podobná předchozí instalaci serveru (tedy z disku CD-ROM) by měla trvat přibližně jednu
hodinu, další čas si vynutí konfigurace systému a instalace aplikací. Pokud před vámi bude úkol instalovat několik desítek
počítačů, začnou vás pravděpodobně zajímat případné další možnosti instalace, pokud možno automatické, které mohou čas
instalace výrazně zkrátit.
Optimálním případem je stav, kdy je konfigurace všech klientských počítačů jednotná. Nejen že tak lze instalaci provést za nejkratší
dobu, ale správce pak v případě potíží uživatelů přesně ví, jak konfigurace počítače vypadá, a nemělo by jej překvapit ze strany
uživatelů nic nečekaného.
V následujících odstavcích se podíváme na více možností instalace a provedeme instalaci klientských počítačů.
Kdo je klientským počítačem?
Klient je opakem serveru. Pokud tedy server nabízí v síti své služby, je klientem počítač, který je využívá. Příkladem používání
služeb serverů je přístup k dokumentům uloženým na serveru, tisk na tiskárny připojené k tiskovým ser-verum nebo třeba požadavek
na přidělení adresy IP od serveru DHCP. Podobně jako u serverů nelze ani zde jednoznačně určit klienta podle operačního
systému. Instalovaným operačním systémem na klienty ve firemním prostředí by měl být jednoznačně systém Windows XP
Professional (případně Windows 2000 Professional).
Klientský počítač se také může stát v síti serverem - to v případě, kdy například umožníte svým kolegům přistupovat na váš
disk za účelem stažení souborů nebo jim umožníte tisknout na tiskárnu, která je připojená a nainstalovaná ve vašem počítači.
Tyto případy jsou však spíše výjimkou pokud se je ale chystáte využít, mějte na paměti, že operační systém pro klientské
počítače umožní současné připojení nejvíce 10 počítačům. Pokud je nutné pro konkrétní účel tuto hodnotu navýšit, není jiné
řešení, než uvedené prostředky přenést na serverový operační systém.
Příprava instalace
Než se pustíte do instalace operačního systému do klientského počítače, měli byste mít připravené veškeré informace, které
budete během instalace potřebovat. Ještě předtím je ale potřeba, aby samotný počítač splňoval některé náležitosti:
Minimální požadavky na hardware
Typ a rychlost procesoru
Pro instalaci operačního systému Windows XP Professional potřebujete nejméně procesor Pentium II 233 MHz (doporučeno je
300 MHz). Systém Windows 2000 Professional vyžaduje alespoň procesor Pentium 133 MHz.
velikost operační paměti
Systém Windows XP Professional vyžaduje paměť RAM 64 MB (doporučeno je 128 MB). Systém Windows 2000 Professional
vyžaduje paměť RAM 32 MB, doporučená hodnota je 64 MB.
velikost pevného disku
Pro instalaci systému Windows XP Professional potřebujete nejméně 1,5 GB volného místa na pevném disku, pro instalaci
systému Windows 2000 Professional pak 1 GB. Tyto hodnoty však neznamenají, že po instalaci bude samotný systém na pevném
disku „okupovat" celé zmíněné místo. Je však nutné mít na paměti, že do operačního systému lze kdykoli později přidat další
součásti, a jednou za čas je nutné nainstalovat aktualizaci Service Pack, která obsahuje opravy chyb systému a přináší i nové
funkce, a jež samozřejmě vyžaduje určité volné místo na disku.
Kompatibilita hardwaru
Co je platné, když máte počítač s nejnovější grafickou kartou, pokud pro ni neexistují ovladače pro daný systém? Kromě
minimálních požadavků na hardware je tedy dobré mít ještě jistotu, že použitý hardware počítače je kompatibilní s operačním
systémem, který budete instalovat. O kompatibilitě se můžete přesvědčit na webové stránce se seznamem kompatibilního
hardwaru HCL (Hardware Compatibility List) na adrese http://www.microsoft.com/hcl. Zde naleznete seznam jednotlivých
hardwarových součástí, případně ce lých počítačů. V některých případech jsou zde ke stažení i otestované ovladače.
Pokud máte nový model počítače či některé hardwarové součásti, může se stát, že v uvedeném seznamu potřebný hardware
nenajdete. Není se co divit, pečlivé otestovaní hardwaru nějaký čas trvá. V takovém případě nezbývá, než požádat o pomoc
výrobce, případně si z jeho webové stránky stáhnout potřebné ovladače.
12
Kapacita disků
O minimálním požadovaném volném místě na disku již byla řeč výše. Jaká je ale maximální velikost disků? Nemá cenu
spekulovat o nejoptimálnější velikosti, neboť požadavky firem a uživatelů se liší, a navíc je třeba se přizpůsobit trhu.
Obecně platí, že data uživatelů by měla být uložena na serverech. Jsou tak lépe zabezpečena, neboť servery se pravidelně
zálohují, a navíc je mají uživatelé k dispozici z jakéhokoli počítače v síti. Pokud se tedy řeší otázka, jaký objem dat potřebují
uživatelé ke své práci, měla by být výsledkem velikost pevného disku na serveru, nikoli na stanici. V klientském počítači tedy
potřebujete velikost, která bude postačovat pro instalaci operačního systému, aplikací, případně dalších doplňků, umožní
uživatelům přihlásit se (je tedy nutné mít na disku místo pro vytvoření profilu uživatele) a dále umožní uživatelům ukládat jistý
objem dat, případně využívat funkci Soubory offline pro automatické ukládání dat ze serverů.
U živatele je však potřeba upozornit na skutečnost, že za místně uložená data nelze z pohledu správce převzít odpovědnost, a
že v případě havárie počítače a ně mohou přijít.
Poznámka
Další informace o funkci Soubory offline naleznete v kapitole 21, „Firma se rozhodla nakoupit přenosné počítače".
Fyzická a logická struktura disků
V drtivé většině případů by měl v klientském počítači k běžné práci postačovat jediný fyzický disk. Výjimku mohou tvořit
případy, kdy uživatel potřebuje vysoký výkon diskové ho podsystému (například u počítače pro zpracování grafiky), a kdy se
sestavuje více fyzických disků do polí RAID.
Logická struktura disku určuje možnosti uživatele při práci s diskem - jednoduše řečeno, zda bude mít uživatel k dispozici
pouze jednotku C: nebo i další. Pokud nemáte na k l i entské počítače žádné další požadavky (týkající se například omezení
místa na disku pro uživatele, kteří počítač využívají jako souborový server), bude zcela jistě stačit jednotka C: a disk tak
nebude nutné dělit na oddíly. Argument, že je nutné či vhodné oddělil ulo lená data od operačního systému, zde neobstojí vzhledem k ukládání dat na server ne bo do upřednostňované složky Dokumenty, kterou lze z pohledu správce domény také
automaticky přesměrovat na server, pro to není žádný důvod. Spíše naopak - někteří uživatelé by mohli být zmateni, pokud budou
mít k dispozici více jednotek.
Systém souborů
Během instalace operačního systému budete muset zformátovat pevný disk některým ze systémových souborů FAT, FAT32 či NTFS.
Volba příslušného systému závisí na:
•
•
•
•
Způsobu využití systému
Pokud bude v počítači více operačních systémů (v tzv. konfiguraci multi-boot), je nutné
u jednotek s daty, ke kterým se přistupu je ze všech systémů, použít systém souborů, který je pro všechny systémy společ
ný. Navíc musí být každý systém nainstalován na jednotce se systémem souborů, který je pro daný systém určen
(například systém MS-DOS nelze nainstalovat na systémy souborů FAT32 či NTFS).
Počtu a velikosti nainstalovaných pevných disků Spolu se zvyšováním kapacity systémů se možnost výběru
systému souborů omezuje. Například svazky větší než 32 GB nelze formátovat jiným systémem než NTFS. Systémy
Windows XP Professional i Windows 2000 Professional umí pracovat se svazkem větším než 32 GB zformátovaným
systémem souborů FAT32, ale neumí jej vytvořit. V takovém případě by bylo nutné nejprve svazek zformátovat například
v systému Windows 98.
Požadavcích zabezpečení Jediný systém souborů, který je schopen zabezpečit soubory či složky na pevném disku, je
systém NTFS. Žádný ze systémů FAT tuto vlastnost nemá.
Požadavcích na využití dalších možností systémů souborů Pokud budete chtít využívat funkce, jako jsou diskové
kvóty, kompresi dat, šifrování či připojené jednotky, je nutné zvolit systém NTFS.
Kromě uvedených a většinou již dobře známých výhod či nevýhod jednotlivých systémů jsou zajímavé i následující informace
uvedené v tabulce:
Tabulka 2.1 Omezení systémů souborů v systémech Windows XP Professional a Windows 2000 Professional
Z uvedených informací vyplývá, že pokud bude v počítači nainstalován pouze systém Windows XP Professional (nebo Windows
2000 Professional), bude vhodné disk zformátoval systémem souborů NTFS.
13
Ostatní náležitosti
Před spuštěním instalace si připravte následující informace:
♦ Jméno uživatele a název organizace, na kterou je produkt zaregistrován
Jedná se o informace, které se zobrazí v dialogovém okně Systém. Tyto informace lze později kdykoli změnit, pouze však
přímo v registru systému.
Poznámka
Při instalaci systému Windows XP Professional není možné zadat jako jméno uživatele Administrátor.
• Kód Product Key (ten zpravidla naleznete na zadní části krabičky od disku CD-ROM) Pokud budete provádět
instalaci z média získaného v rámci multilicenčního programu společnosti Microsoft, získáte tento kód od správce licencí
vaší organizace.
• Název počítače Název počítače musí být v síti jedinečný. Je velmi vhodné připravit si řadu názvů počítačů, která
bude zároveň nezávislá na jménech uživatelů.
• Heslo místního správce (účtu Administrátor) Jedná se o jeden ze dvou místních účtů, které po instalaci existují.
Zároveň se jedná o správce počítače, a heslo by tak mělo být „silné".
• Název pracovní skupiny, ve které bude počítač zařazen
Nyní máte k dispozici všechny informace, které jsou nutné k úspěšné instalaci systému Windows XP Professional. Nic tedy
nestojí v cestě se do instalace pustit.
Instalace z disku CD-ROM
Tato kapitola obsahuje podrpbný postup instalace včetně důležitých dialogových oken a doplňujících obrázků. Pro úspěšnou
instalaci budete potřebovat instalační disk CD-ROM Se systémem Windows XP Professional a „čistý" počítač.
1. V systému BIOS počítače je nutné nastavit následující posloupnost spouštěcích za řízení:
• Jednotka CD-ROM
• Pevný disk
Samotné nastavení vždy záleží na typu systému BIOS, proto je není možné jednoduše a univerzálně popsat. Podrobné
informace naleznete v příručce dodané k počítači, případně k základní desce.
2. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows XP Professional a restartujte nebo zapněte
počítač.
3. Instalace systému by se měla automaticky spustit. Pokud k tomu nedojde, ověřte znovu pořadí spouštěcích zařízení.
Pokud již byl v počítači dříve nainstalován nějaký operační systém, může se stát, že bude systém pro instalaci z disku CDROM vyžadovat stisk libovolné klávesy.
4. Spustí se textový režim instalace a zobrazí se obrazovka s nadpisem Instalační program systému Windows XP
Professional.
5. Na obrazovce Vítá vás instalační program stiskněte klávesu Enter.
6. Na obrazovce Licenční smlouva systému Windows XP potvrďte stiskem klávesy F8 souhlas s uvedenými
podmínkami.
Poznámka
Před stiskem klávesy F8 si licenční smlouvu dobře přečtěte. Pokud s ní nebudete souhlasit, stiskněte klávesu Esc a instalace se
přeruší.
14
Obrázek 2.1 Dialogové okno Instalační program systému Windows XP Professional
Obrázek 2.3 Vytvoření oddílů na pevném disku během instalace
15
Obrázek 2.2 Licenční smlouva systému Windows XP
7. Na další obrazovce je nutné vytvořit, případně upravit strukturu pevného disku. Stiskněte klávesu C. Budete tak moci
vytvořit oddíl pro instalaci operačního systému.
8. V části Vytvořit oddíl o velikosti (MB) je zobrazená maximální dostupná velikost pevného disku. Tuto hodnotu
ponechejte a stisknutím klávesy Enter pokračujte v instalaci.
Obrázek 2.4 Definice velikosti vytváření oddílu na pevném disku
9. V seznamu oddílů by měl být označen právě vytvořený oddíl jako C:. Pokud ne-n i , označte jej, a poté klepněte na
klávesu Enter.
16
Obrázek 2.5 Oddíl, do kterého
proběhne instalace systému
Windows XP Professional
17
10. V dalším dialogu můžete vybrat systém souborů, kterým bude oddíl naformátován. Pokud nemáte pochybnosti o kvalitě
povrchu disku, označte položku Zformátovat oddíl systémem souborů NTFS (Rychle) - ušetříte si čas. Pokud máte
po chybnosti, označte položku Zformátovat oddíl systémem souborů NTFS. V takovém případě dojde při formátování k
fyzické kontrole povrchu a případné vadné bloky se vyřadí z používání. Proběhne naformátování oddílu a poté začne ko
pírování souborů do instalační složky systému Windows XP Professional.
Poznámka
Systém Windows 2000 Professional neumožňuje při instalaci systému provést rychlé formátování oddílu. První možnost tedy
není k dispozici.
11. Po zkopírování souborů dojde k restartování systému a instalace bude pokračovat v grafickém režimu.
12. V dialogovém okně Místní a jazykové nastavení v případě nutnosti upravte na stavení národního prostředí a klávesnice
a klepněte na tlačítko Další.
13. V dialogovém okně Kód Product Key zadejte kód pro instalaci operačního systému a poté klepněte na tlačítko Další.
14. V dialogovém okně Přizpůsobit software zadejte jméno uživatele a název organizace, která operační systém licencuje.
15. V dialogovém okně Název počítače a heslo správce zadejte název počítače (například PC001) a heslo správce
(například K@f!cko). Pokračujte klepnutím natlačítko Další.
Obrázek 2.6 Grafický režim instalace systému Windows
XP Professional
Obrázek 2.7 Konfigurace místního a jazykového
nastavení
18
Obrázek 2.8 Zaclání kódu Product Key při instalaci systému
Obrázek 2.9 Dialogové okno přizpůsobení softwaru
19
Poznámka
Počítačům nikdy nedávejte názvy podle jmen lidí, kteří s nimi pracují. Dříve či později se stane, že někteří pracovníci odejdou,
jiní do firmy přijdou nebo si prostě jen vymění pracovní místa mezi sebou. V takovém případě mohou být názvy počítačů
matoucí. Je optimální připravit si řadu názvů počítačů a postupovat podle ní.
Obrázek 2.10 Zadání názvu počítače a hesla správce
16. V dialogovém okně Nastavení data a času zadejte aktuální datum, čas a vyberte správné časové pásmo. Pokračujte
17. V dialogu Nastavení sítě zaškrtněte políčko Vlastní nastavení a poté klepněte na tlačítko Další.
1 8 . V dialogu Síťové součásti vyberte položku Protokol sítě Internet (TCP/IP) a poté klepněte na tlačítko
Vlastnosti.
19. V dialogovém okně Protokol sítě Internet (TCP/IP) —vlastnosti zadejte adresu IP 192.168.10.17 a masku podsítě
255.255.255.0. Ostatní hodnoty nezadávejte a klepněte na tlačítko OK. Pokračujte klepnutím na tlačítko Další.
Poznámka
Můžete zadat i jinou adresu IP. Informace o použití právě této adresy a další informace o protokolu TCP/IP a adresování
serverů a počítačů naleznete v kapitole 3, „Učíme počítače komunikovat v síti".
20. V dialogovém okně Pracovní skupina nebo doména počítače ponechejte vý-chozí nastavení (tj. zaškrtnuté políčko
Počítač není připojen k síti nebo je připojen k síti bez domény a bude členem následující skupiny
SKUPINA)
a klepněte na tlačítko Další.
20
Obrázek 2.11 Nastavení protokolu IP
Průvodce instalací systému Windows XP Professional má nyní dostatek informací k tomu, aby provedl úplnou instalaci
samotného systému. Nyní již nebude nutné zadávat žádné další informace a po dokončení instalace dojde k restartování
počítače.
Instalace ovladačů zařízení
l'o prvním přihlášení k systému Windows XP Professional pod účtem Administrátor klepněte v Nabídce Start pravým tlačítkem
myši na položku Tento počítač a poté v místní nabídce na položku Vlastnosti. V dialogovém okně Vlastnosti systému
přejděte na kar tu Hardware a klepněte na tlačítko Správce zařízení. Zobrazí se dialogové okno Správce zařízení se seznamem
nainstalovaného hardwaru.
Obrázek 2.13
Správce zařízení se seznamem hardwarových zařízení
Pokud budou některá zařízení zobrazena s otazníkem či vykřičníkem, není jejich instalace v pořádku. Pravděpodobně nebyl v
systému k dispozici správný ovladač. Na takto označené zařízení klepněte pravým tlačítkem myši a zvolte příkaz Aktualizovat
ovladač. Spustí se Průvodce aktualizací hardwaru, jemuž je nutné poskytnout správný ovladač. Po správné instalaci ovladače
by měl otazník u zařízení zmizet.
Ověření správné funkce systému
Při základním ověření správné instalace a funkcí systému postačuje náhled na události po-mocí nástroje Prohlížeč událostí. V
Nabídce Start klepněte na položku Ovládací pa-nely, poté na kategorii Výkon a údržba, dále na ikonu Nástroje pro správu a
poté poklepejte na ikonu Prohlížeč událostí. Projděte všechny uvedené protokoly a zjistěte, zda neobsahují závažné chyby
související s funkcí systému.
Ověření připojení k síti
Vnabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz CMD. Spus-tí se příkazový řádek systému Windows
XP Professional. Na příkazovém řádku zadejte příkaz PING na adresu IP serveru nainstalovaného v předchozí kapitole (tedy
PING 192.168.10.2). Pokud bude test úspěšný, zadejte příkaz PING SRVR001, tedy test PING na název počítače. I ten by měl být
úspěšný.
21
Obrázek 2.12 Konečná fáze instalace systému Windows XP Professional
Uvedené tři jednoduché testy by měly postačovat k ověření správné funkce počítače předtím, než spustíte instalaci aplikací.
Pokud se během nich vyskytnou jakékoli chyby či nejasnosti, nepokračujte dále, dokud je neodstraníte.
Automatická instalace systému
Řekněme, že předchozí instalace operačního systému Windows XP Professional trvala přibližně 45 minut. Během instalace bylo
nutné zadat několik důležitých informací, bez kterých by instalace nemohla pokračovat, včetně například souhlasu s licencí.
Zamysleli jste se někdy nad tím, proč trávit u instalace počítače zbytečný čas, když čas nutný pro poskytnutí informací lze
vyčíslit jednotkami minut? Samotnou instalaci zřejmě nezkrátíme, ale své odpovědi bychom mohli poskytnout instalačnímu
programu a průvodci instalací systému Windows XP Professional najednou. Půjde to?
Odpověď je naštěstí pozitivní. Ano, půjde to. Veškeré odpovědi a informace zapíšeme do jednoduchého textového souboru, který
poté vnutíme instalačnímu programu jako parametr. U počítače tak bude nutná pouze chvilková přítomnost při spuštění instalace
systému. Poté lze zbývající čas využít rozumněji než pouhým sledováním nic neříkajícího průběhu instalace.
Jak má ale takový textový soubor vypadat? Takzvaný soubor odpovědí má přesně definovaný formát sestávající z oddílů, klíčů
a jejich hodnot. Všechny oddíly, příslušné klíče a možné hodnoty jsou popsané v souborech nápovědy na instalačním disku
CD-ROM se systémem Windows XP Professional. To je sice v pořádku, ale začít vytvářet soubor na zelené louce, byť podle
této nápovědy, není jednoduchá ani rychlá věc. V tomto ohledu na správce společnost Microsoft myslí již od systému
Windows 2000 Professional a nabízí pro tento účel nástroj Správce instalace.
Příprava souboru odpovědí
Soubor odpovědí, který po vytvoření použijeme k instalaci zbývajícího počtu klientských počítačů, vytvoříme podle
následujícího postupu. Upozorňuji, že příprava souboru může proběhnout v počítači, který nemusí mít nutně nainstalován systém
Windows XP Professional.
1. Na jednotce C: vytvořte složku s názvem DEPLOY.
2. Do jednotky CD-ROM vložte disk CD-ROM se systémem Windows XP Professio
nal. Přejděte do složky Support\Tools a poklepejte na soubor DEPLOY. Zobrazí
se jeho obsah - celkem 10 souborů.
Poznámka
Soubor DEPLOY má úplný název DEPLOY.CAB. Známé přípony jsou však v systému Windows XP Professional (i v systémech
Windows 2000) skryté. Pokud je chcete zobrazovat, klepněte v nabídce Nástroje okna aplikace Průzkumník Windows na
položku Možnosti složky a na kartě Zobrazení zrušte zaškrtnutí políčka Skrýt příponu souborů známých typů.
22
Obrázek 2.14
Dialogové okno Možnosti složky
3. Stiskem kombinace kláves Ctrl+A označte všech 10 souborů a v nabídce Soubor klepněte na příkaz Extrahovat.
4. V dialogovém okně Vyberte místo určení, rozbalte položky Tento počítač a Místní disk C: a klepněte na složku
DEPLOY vytvořenou v prvním kroku.
5. Extrakci provedete klepnutím na tlačítko Extrahovat.
6. Ve složce DEPLOY na jednotce C: poklepejte na soubor Setupmgr (nebo Setupmgr.exe, pokud jste zapnuli
zobrazování přípon).
Spustí se nástroj Správce instalace systému Windows, jehož první fází je Průvodce Správcem instalace systému
Windows. Průvodce spustíte klepnutím na tlačítko Další.
Obrázek 2.15
Úvodní dialogové okno Průvodce Správcem instalace systému
Windows
23
7. V dialogovém okně Nový nebo existující soubor odpovědí ponechte zaškrtnuté políčko Vytvořit nový soubor
odpovědí a klepněte na tlačítko Další.
8. V dialogovém okně Produkty určené k instalaci ponechte zaškrtnuté políčko Bezobslužná instalace systému
Windows a klepněte na tlačítko Další.
9. V dialogovém okně Platforma ponechte zaškrtnuté políčko Systém Windows XP Professional a klepněte na tlačítko
Další.
10. V dialogovém okně Úroveň interakce s uživatelem zaškrtněte políčko Plně automatická instalace a klepněte na
tlačítko Další
Obrázek 2.16
Dialogové okno Úroveň interakce s uživatelem
11. V dialogovém okně Distribuční složka klepněte na políčko Tento soubor bude použit k instalaci z disku CD-ROM a
poté klepněte na tlačítko Další.
12. Nyní již začínají odpovědi a poskytování informací instalačnímu programu. V dialogovém okně Licenční smlouva
zaškrtněte políčko Souhlasím s podmínkami licenční smlouvy a poté klepněte na tlačítko Další.
Poznámka
Tento krok bude při instalaci systému Windows XP Professional simulovat stisk klávesy F8 jako souhlas s licencí.
13. V části Upravovat software zadejte jméno uživatele a název organizace, která produkt licencuje. Můžete zadat jména jako
v předchozí instalaci (Jaroslav Hluboký a Studny s.r.o.). Pokračujte klepnutím na tlačítko Další.
Poznámka
Vyvarujte se zadání jména uživatele Administrátor. Systém Windows XP Professional toto jméno neuznává a jeho automatická
instalace by se tak zastavila.
14. V části Nastavení monitoru zadejte počet barev, velikost obrazu a horizontální frekvenci monitoru cílového počítače. Pozor
- aby se tato nastavení uplatnila, musí mít Správce instalace systému Windows XP Professional k dispozici ovladač pro grafický
adaptér instalovaného počítače! Pokračujte klepnutím na tlačítko Další.
15. V části Časové pásmo zadejte správné časové pásmo (GMT + 01:00) Praha, Bratislava, Budapešť, Bělehrad, Lublaň.
Pokračujte klepnutím na tlačítko Další.
16. V části Podskytování kódu Produkt Key (zde je chybička v systému) zadejte kód Produkt Key ze zadní strany obalu disku
CD-ROM se systémem Windows XP Pro fessional a klepněte na tlačítko Další.
17. V části Názvy počítačů zadejte název počítače, který budete instalovat (PC002) a klepněte na tlačítko Přidat.
Pokračujte klepnutím na tlačítko Další.
18. V části Heslo správce zadejte dvakrát heslo K@f!cko a zaškrtněte políčko Zašifrovat heslo správce v souboru
odpovědí. Pokračujte klepnutím na tlačítko Další.
19. V části Síťové součásti zaškrtněte políčko Vlastní nastavení, poté klepněte na položku Protokol sítě Internet
(TCP/IP) a dále klepněte na tlačítko Vlastnosti. Zaškrtněte políčko Použít adresu IP a zadejte adresu 192.168.10.18
a masku podsítě 255.255.255.0. Ostatní položky ponechte ve výchozím nastavení. Klepnutím na tlačítko OK
zavřete dialogové okno Vlastnosti protokolu sítě
Internet (TCP/IP) a pokračujte klepnutím na tlačítko Další.
20. V části Pracovní skupina nebo doména ponechte výchozí nastavení s názvem SKUPINA a klepněte na tlačítko Další.
21. V části Telefonní subsystém ponechte výchozí nastavení a klepněte na tlačítko Další.
22. V části Místní nastavení ponechte výchozí nastavení a klepněte na tlačítko Další.
23. V části Jazyky klepněte na položku Středoevropské jazyky a poté klepněte na tlačítko Další.
24. V části nastavení prohlížeče a prostředí použijte nastavení odpovídající svému prostředí. Pokud si nejste nastavením
jisti, zaškrtněte položku Použít výchozí nastavení aplikace Internet Explorer. Poté klepněte na tlačítko Další.
25. V části Instalační složka zaškrtněte políčko Následující složka a zadejte název složky Windows. Zajistíte tak
konzistenci s dříve nainstalovaným počítačem. Pokračujte klepnutím na tlačítko Další.
26. V části Instalovat tiskárny klepněte na tlačítko Další.
27. V části Spustit jednou klepněte na tlačítko Další.
24
28. V části Další příkazy klepněte na tlačítko Dokončit a v dialogovém okně Správce instalace systému Windows
zadejte, případně upravte, cestu a název složky, ve které bude soubor odpovědí vytvořen. Můžete ponechat výchozí
na stavení směrované do složky C:\DEPLOY s názvem unattend.txt. Poté klepněte na tlačítko OK.
29. Nyní je soubor vytvořen a uložen. Průvodce ukončíte klepnutím na křížek v pravé horní části okna.
V aplikaci Průzkumník Windows nyní přejděte do složky DEPLOY na jednotce C: a ote řete soubor unattend.txt. Projděte si
seznam vygenerovaných oddílů, klíčů a jejich hod-not, Pokud naleznete překlep či jinou nepřesnost, můžete ji přímo v souboru
opravil. Pře klepy bývají častou chybou, která mívá za následek zastavení instalace a čekání na zadá ní správné hodnoty.
Spolu se souborem unattend.txt se také vytvořil soubor unattend.bat. Ten můžete s čis-ty m svědomím odstranit, neboť jej
nebudeme k ničemu potřebovat.
Použití souboru odpovědí pro automatickou Instalaci dalšího počítače
V předchozí části jsme vytvořili soubor odpovědí, který plně postačuje pro úplnou automatickou instalaci systému Windows XP
Professional do jednoho počítače. Otázkou zůstává, jak tento soubor vnutit jako parametr instalačnímu programu.
Jak jste se mohli přesvědčit při instalaci předchozího počítače, není v žádném místě možné instalaci přerušit a poté ji pomocí
nějakého příkazu zase znovu spustit. Při instalaci Z disku CD-ROM to tedy nebude nijak jednoduché. Ani v případě, kdy ke
spuštění instalace použijete takzvané spouštěcí diskety, nebude situace jiná. Spouštěcí diskety, které je v případě systému
Windows XP Professional nutné stáhnout z Internetu, nahrazují pouze nemožnost spouštění počítače z jednotky CD-ROM, ale
jinak mají průběh naprosto stejný se spuštěním a instalací z disku CD-ROM.
Nástroj pro vytvoření spouštěcích disket pro systém Windows XP Professional (jazykové verze CZ a EN) naleznete na
přiloženém disku CD-ROM.
Pro úspěch zamýšlené akce je nutné znát menší trik:
1. V systému BIOS nového počítače nastavte následující pořadí zařízení pro spuštění počítače:
• Jednotka CD-ROM
• Pevný disk
• Disketa (nebo jiné zařízení)
2. Soubor unattend.txt přejmenujte na WINNT.SIF a uložte jej na prázdnou disketu. Pokud disketa obsahuje soubory či
složky, je možné ji použít, soubor WINNT.SIF však musí být vždy uložen v její kořenové složce.
3. Disketu vložte do disketové jednotky, do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows XP
Professional a spusťte nebo restartujte počítač.
Při spuštění počítače z instalačního disku CD-ROM se instalační program „podívá" do disketové jednotky, zda je v ní disketa se
souborem WINNT.SIF. Pokud ano, soubor načte a bude se jím při instalaci řídit. Pokud ne, proběhne běžná instalace systému.
Po dokončení instalace vyjměte disketu z disketové jednotky.
Poznámka
U systému Windows 2000 Professional lze postupovat identicky, s tím rozdílem, že soubor odpovědí vytvořený Správcem
instalace neobsahuje klíč ProductID s kódem Product Key. Pokud tedy chcete, aby byla instalace plně automatická, je nutné
soubor odpovědí upravit následujícím způsobem:
1.
Soubor odpovědí otevřete v aplikaci Poznámkový blok.
Do oddílu [UserData] obsahujícího jméno uživatele a název organizace a počítače
přidejte položku ProductID=12345-12345-12345-12345-12345 (uvedený příklad kó
du je z pochopitelných důvodů neplatný).
Poznámka
Úplný popis všech oddílů, klíčů a dalších parametrů naleznete v souboru Deploy.chm v části Odkaz a je pouze v angličtině.
25
Instalace systému ve větších sítích
Pokud jste si pečlivě prošli, případně vyzkoušeli, postup automatické instalace systému Windows XP Professional, možná vás
napadla otázka, jak by se vše dalo využít při instalaci více počítačů, když je soubor odpovědí určen pro jediný počítač
(obsahuje jedinečné parametry, jako je název počítače, kód Product Key či adresu IP). Jistě, jedním řešením je připravit tolik
souborů odpovědí, kolik se bude instalovat počítačů. To je však ve větších prostředích záležitost velmi nesystémová, u které navíc
může dojít k omylům či nepřesnostem, jež se projeví v tu nejnevhodnější dobu - tedy při instalaci. Pojďme se na „jedinečné"
parametry podívat podrobněji.
Kód Product Key
Pokud provádíte automatickou instalaci z „krabicových" médií se systémem Windows XP Professional, je opravdu nutné zajistit,
aby každý počítač měl jedinečný kód Product Key. V opačném případě se nejdéle po 30 dnech od instalace setkáte s potížemi při
aktivaci produktu. V takovém případě je tedy kód Product Key nutné považovat za jedinečný pani metr.
Pokud jste získali instalační média se systémem Windows XP Professional v rámci některého z multilicenčních programů
společnosti Microsoft, musíte k nim mít i jediný univerzální kód Product Key. V takovém případě se tento kód použije k
instalaci všech počítačů a není jej tedy nutné považovat za jedinečný parametr.
Název počítače
Název počítače je zcela jasně jedinečným parametrem, který musí být při každé instalaci jiný. To je nutné při automatické
instalaci vždy zohlednit.
Adresa IP
Adresa IP je na tom stejně jako název. Jedná se o jedinečný parametr instalace, který se nemůže v síti vyskytovat více než
jedenkrát. Výjimku tvoří případ, kdy by počítače již bě-hem instalace získávaly adresu IP od serveru DHCP.
Ostatní parametry
Parametrů, které se mohou (ale nutně nemusí) lišit, je celá řada. Například adresy IP ser-veru DNS, jiné nastavení serveru proxy
pro aplikaci Internet Explorer, jiné nastavení ve-likosti obrazu, počtu barev či horizontální frekvence monitoru a další. K těmto
parame trum se tedy dá přistupovat podobně jako k názvu či adrese IP počítače.
Jakým způsobem se tedy toto všechno dá zohlednit v automatické instalaci? Odpovědí je soubor UDF.
Jedinečný databázový soubor UDF
Na úvod jedna důležitá informace. Následující postup nelze použít při automatické instalaci z disku CD-ROM. V takovém
případě opravdu nelze jedinečnost parametrů zajistit jinak než vytvořením souboru odpovědí pro každý počítač. Soubor UDF lze
použít pro automatickou instalaci operačního systému po síti nebo obecně tam, kde lze spustit instalační program spolu s
parametry na příkazovém řádku.
Při instalaci po síti je nutné se vyrovnat s několika změnami oproti instalaci z disku CD-ROM. Patří sem:
• Nutnost vytvořit v síti sdílenou složku s instalačními soubory systému Windows XP
Professional (tedy s obsahem složky i386 z instalačního disku CD-ROM). Počítači
s touto složkou se říká distribuční server.
• Spustit cílový počítač ze spouštěcí diskety systému MS-DOS.
• Vytvořit a naformátovat v cílovém počítači oddíl o velikosti alespoň 1 GB.
• Spustit v cílovém počítači síťového klienta pro systém MS-DOS a pomocí příkazu
net u s e se připojit ke sdílené složce s instalačními soubory.
Poznámka
Síťový klient pro systém MS-DOS je k dispozici na instalačním disku CD-ROM se systémem Windows NT 4.0 Server.
Pokud všechny kroky úspěšně překlenete, přichází na řadu spuštění instalace s jedním či dvěma parametry (nejčastější případy).
Tím prvním parametrem je pochopitelně soubor odpovědí, druhým (volitelným) parametrem je jedinečný databázový soubor
UDF (Uni-queness Database File).
Soubor UDF má stejnou strukturu jako běžný soubor odpovědí. Navíc obsahuje oddíl [ U n i q u e l D s ] s jedinečnými identifikátory
instalovaných počítačů, a dále obsahuje pro každý počítač (tedy pro každé jedinečné ID) pouze ty parametry, které se oproti
souboru odpovědí musí změnit.
Příklad souboru UDF pro počítač PC003, který bude mít jiný název, jinou adresu IP, jinou horizontální frekvenci monitoru (70 Hz)
a jinou barevnou hloubku (32bitovou) a pro počítač PC004, který bude mít oproti počítači PC002 pouze jiný název a adresu IP:
[UniquelDs]
PC003=UserDat a , Display, p a r a m s . M S _ T C P I P . Adapter 1
PC004=UserData,params.MS_TCPIP.Adapterl
[ P C 0 0 3 : U s e r D a t a ] ComputerName=PC003
26
[PC03:Display]
Vrefresh=70
BitsPerPel=32
[ PC003:params.MS_TCPI P . Adapter 1] IPAddress=192.168.10.19
[ PC004: U s e r O a t a ] ComputerName=PC004
[ I P C00 4: pa ra ms. MS _ TCPI P.A dap te rl] [ l P A d d r e s s = 1 9 2 . 1 6 8 . 1 0 . 2 0 ]
Použití souboru UDF je jednoduché. V případě instalace počítače PC003 či PC004 se použijí všechny informace uvedené v
souboru odpovědí s výjimkou těch, které jsou pro počítač PC003 definované v souboru UDF (neboli parametry uvedené v souboru
UDF mají prioritu nad parametry v souboru odpovědí).
Syntaxe instalačního programu WINNT.EXE bude se všemi parametry v případě instalace počítače PC003 následující
(předpokládejme, že soubor odpovědí má název unattend.txt a soubor UDF název unattend.udf a že jsou oba uložené na
disketě):
WINNT.EXE
/u:a:\unattend.txt
/ u d f :pc003,a:\unattend.udf
Při instalaci počítače PC004 bude syntaxe velmi podobná:
W INNT.EXE
/ u: a:\unattend.t xt
/ udf: pc 004,a:\unattend.udf
Shrnuto a podtrženo budete například pro instalaci 100 počítačů po síti potřebovat pou-Ze 2 textové soubory — první s
odpověďmi, druhý s výjimkami pro jednotlivé počítače. Pro automatickou instalaci z disku CD-ROM ale budete potřebovat 100
souborů odpovědí.
I'o/orným správcům nyní ještě může hlavou vrtat jedna věc - jak bylo uvedeno dříve, je při instalaci v síti nutné nejprve spustit
počítač ze spouštěcí diskety systému MS-DOS, pole vytvořit a naformátovat oddíl o velikosti alespoň 1 GB, a teprve potom je
možné spustit instalaci. V takovém případě je ale jisté, že vytvořený oddíl bude naformátován systémem FAT. Znamená to, že
po dokončení instalace budou v počítači dva oddíly C: a D: stím, že oddíl C: bude zabírat 1 GB místa na disku a bude
zformátován systémem FAT, zatím co dalším oddílem až do konce disku bude oddíl D: zformátovaný NTFS?
V souladu s dříve uvedenými informacemi by bylo ideálním řešením, aby po dokončení Instalace na disku existoval jediný oddíl C:
zabírající celou kapacitu disku a zformátovaný lystémem NTFS. Ačkoli se to zdá téměř nemožné, lze to zajistit. A to poměrně
jednoduše. Do oddílu [Unattended] souboru odpovědí stačí pouze přidat následující dva řádky:
FileSystem=ConvertNTFS Extend0EMPartition=1
První z nich zajistí převedení vytvořeného oddílu na systém souborů NTFS, druhý z nich jej rozšíří na velikost celého fyzického
disku.
Aktivace systému
Samozřejmě ani u klientských operačních systémů Windows XP Professional nelze vynechat nutnost aktivace. Ta se však
vztahuje pouze na „krabicové" verze systému. Pokud tedy chcete instalovat více počítačů najednou, nelze použít stejný kód
Product Key, neboť by to při aktivaci produktu vypadalo jako jediný systém nainstalovaný ve více počítačítačích, což je v rozporu s
licenční smlouvou, se kterou musíte před spuštěním instalace souhlasit.
Aktivaci naopak nevyžadují verze systému Windows XP Professional zakoupené prostřed nictvím multilicenčního programu nebo
programu Select. V těchto případech má každá společnost či organizace pro všechny instalace jediný kód Product Key.
Systém lze aktivovat pomocí Internetu (což je nejrychlejší a nejjednodušší řešení) nebo pomocí telefonu. Pokud chcete provést
aktivaci automaticky již během instalace systému, je nutné na to pamatovat na několika úrovních:
1. Systém musí mít během instalace přístup k Internetu. Zejména pokud pro přístup k Internetu používáte server proxy, je
nutné jej zadat do souboru odpovědí.
2. Soubor odpovědí musí obsahovat záznam, který zajistí automatickou aktivaci systému.
3. Soubor odpovědí musí obsahovat klíč UnattendSwitch.
První případ lze vyřešit přidáním klíčů HTTP_Proxy_Server = http: //proxyserver: port, kde proxyserver je názvem počítače
plnícího roli serveru proxy a port je číslo portu serveru proxy, Proxy_Enable = 1 a Proxy_Override = l o c a l do oddílu
[Proxy].
Druhý případ lze vyřešit přidáním klíče A u t o A c t i v a t e = Yes do oddílu [ U n a t t e n d e d ] , ve třetím případě se do oddílu [ U n a t t e n d ]
přidá klíč UnattendSwitch = Y e s .
Poznámka
Přidání zmíněných klíčů ještě nezajistí, že aktivace opravdu proběhne. Zabránit aktivaci mohou například potíže počítače s
připojením k Internetu nebo chybné nastavení sítě.
Závěr
Klientem je v síti počítač využívající služeb serverů. Postup instalace klientských počítačů je až na operační systém velmi
27
podobný postupu u serverů podle předchozí kapitoly. Navíc, vzhledem k tomu, že se u klientských počítačů dá předpokládat
téměř stejná konfigurace, je možné s výhodou využívat automatické instalace, a tam, kde je to výhodné, instalace duplikováním
disků.
Pokud chcete použít automatickou instalaci z disku CD-ROM, je nutné, aby měl soubor odpovědí název winnt.sif a byl uložen v
kořenové složce diskety, která bude v okamžiku spouštění počítače v disketové jednotce.
Při automatické instalaci většího počtu počítačů po síti je vhodné použít jedinečný databázový soubor. Vyhnete se tak nutnosti
vytvářet pro každý počítač vlastní soubor odpovědí. Jedinečný databázový soubor UDF obsahuje klíče a hodnoty, které se liší
od klíčů a hodnot uvedených v souboru odpovědí, a jež mají při instalaci přednost.
Do 30 dnů po instalaci systému je nutné provést aktivaci produktu (v případě instalace systému z „krabicového" média). V
opačném případě nebudete moci systém používat.
Stav sítě
V síti jsou nyní nainstalované všechny klientské počítače a pomocí nástroje PING je vyzkoušena síťová komunikace mezi nimi a
serverem.
28
Učíme počítače komunikovat v síti
l'ři nákupu počítačů pro potřeby společnosti se dnes již automaticky předpokládá, že bude nutné, aby komunikovaly v síti. Tento
předpoklad má samozřejmě svůj důvod - je nutné mít přístup k prostředkům v síti, ať se jedná o
složky s firemními
dokumenty, obrázky či jinými důležitými informacemi nebo například o tisk na síťové tiskárny.
Do standardní výbavy každého nového počítače tak dnes j iž patří hardwarové zařízení, které počítač nutně potřebu je ke
správné komunikaci. To se týká dokonce i přenos ných počítačů.
Toto zařízení - síťový adaptér - je ale pouze nutnou podmínkou pro připojení počítače k síti, samotný však k plné spokojenosti
nestačí. Zajišťuje fyzické připojení počítače a přenos elektrických signálů. Vedle toho ještě musí exis-tovat další součásti, které
poskytuje pouze tzv. síťový operační systém. Tím je z dílny společnosti Microsoft každý operační systém Windows od verze
Windows 3.11 for Workgroups. Jednou z nejdůležitějších softwarových součástí je tzv. protokol.
Co je to protokol?
Pokud půjdete po ulici a osloví vás například turista hovořící pro vás zcela neznámou řečí, budete jistě v první chvíli překvapeni
a poté ze sebe možná dostanete pár slov či posunků, které pro něj budou znamenat, že jeho řeči nerozumíte a nejste mu tedy
schopni nijak pomoci. Aby taková komunikace proběhla úspěšně, museli byste jeho ře-či jednak rozumět a jednak se také v jeho
řeči vyjádřit, aby i on porozuměl vám. Případně byste mohli oba začít hovořit česky, což se zase na druhou stranu od cizích
turistů v Čechách očekávat nedá. Zkrátka - oba byste museli mluvil stejným jazykem.
Komunikace počítačů probíhá velmi podobným způsobem. Jazyku, který počítače mezi sebou používají, se v jejich případě říká
komunikační protokol, zkráceně protokol. Pokud si mají dva počítače povídat a navzájem si rozumět, je nutné, aby používaly
stejný protokol. Ten je tak další nezbytnou součástí pro úspěšnou komunikaci v síti.
Héliem doby, po kterou se počítače a sítě vyvíjejí, se objevilo více komunikačních protokolů. Některé společnosti definovaly ve
svých operačních systémech vlastní protokol, jiné použily takzvaný otevřený protokol. V operačních systémech Windows je od
jejich počátku k dispozici protokolů několik. Ne každý se však hodí pro každé prostředí, některé zase mohou být pro určité sítě
nutností. První otázkou při implementaci sítě tedy je, který protokol je pro dané prostředí nejvhodnější. Při takovém
rozhodování je nutné vzít v úvahu několik náležitostí. Jedná se zejména o odpovědi na následující otázky:
• Jak složitá je topologie sítě?
• Kolik počítačů bude v síti pracovat?
• Bude síť připojena k Internetu?
• Jaké operační systémy se v síti vyskytují?
Jaký protokol zvolit?
V síťových operačních systémech Windows XP Professional a Windows Server 2003 je k dispozici několik protokolů. Ty se
mezi sebou velmi liší (ani by nebylo moudré mít k dispozici více velmi podobných protokolů) a ne všechny lze vždy používat
ke stejným účelům. Jednoduše se dá říci, že každý z nich je vhodný pro konkrétní typ sítě společnosti.
Na první pohled se může zdát, že nejrozumnějším řešením v případě, že si nejste jisti, který protokol bude pro konkrétní síť
nejlepší, je nainstalovat všechny protokoly a v souladu s názorem „ony se už nějak dohodnou" ponechat správnou volbu
protokolu a celou komunikaci na počítačích. Rád bych na tomto místě před podobnou úvahou varoval. Pokud byste totiž toto
řešení prakticky použili, vystavili byste se zbytečným problémům při odstraňování potíží v případě, že by komunikace v síti
neprobíhala podle předpokladů. O zbytečném zatížení sítě ani nemluvě.
Předtím, než se pustíte do implementace jakékoli sítě, je nutné vše dobře a s rozmyslem naplánovat. Součástí procesu plánování
je samozřejmě i volba vhodného (a pokud možno jediného) protokolu. Dále se podrobněji podíváme na některé protokoly
systémů Windows 2000 a vyšších.
29
NetBEUI
Protokol NetBEUI (NetBIOS Extended User Interface) je velmi jednoduchým protokolem, který společnost Microsoft začlenila do
svého prvního síťového operačního systému v ro-ce 1993. V té době byly počítačové sítě relativně malé a vždy se jednalo o místní
sítě LAN (Local Area Network). Taková síť je pro nasazení protokolu NetBEUI optimálním prostředím. Instalace protokolu je
velmi rychlá a funkce sítě spolehlivé.
Obrovskou výhodou protokolu NetBEUI je možnost používat jej bez jakékoli konfigura-ce. Znamená to, že po jeho instalaci
mohou počítače mezi sebou okamžitě komunikovat, a n i ž by bylo potřeba nastavovat jakékoli další parametry. To bylo v
počátcích sítí optimální, neboť z pohledu správců byla tehdy síť zcela novou technologií, kterou byli schopni nakonfigurovat
velmi rychle bez téměř jakýchkoli znalostí. Navíc se protokol NetBEUI instaloval spolu s operačním systémem Windows jako
výchozí protokol a nebylo nutné jej instalovat zvlášť.
Postup instalace protokolu NetBEUI se v systému Windows XP Professional oproti předchozím systémům změnil. Protokol již
nenajdete na „typickém" místě spolu s ostatními (viz obrázek 3-1). Důvodem této změny je současné prostředí — protokol
NetBEUI se již téměř nepoužívá, takže není důvod jej v systému ponechávat. Je k dispozici na instalačním disku CD-ROM se
systémem Windows XP Professional.
Obrázek 3.1
Protokol NetBEUI mezi nabízenými protokoly k instalaci chybí
Instalace protokolu NetBEUI
Postup jeho instalace je v systému Windows XP následující:
1. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows XP
Professional a přejděte do složky D:\VAULEADD\MSFT\NET\NETBEUI (písme
no D zde vyžaduje označení jednotky CD-ROM, které může být ve vašem počíta
či jiné).
2. Soubor NBF.SYS zkopírujte do složky %systemroot%:\system32\drivers\
a soubor NETNBF.EVF do složky %systemroot%\inf\.
3. Otevřete okno Připojení k místní síti — vlastnosti a k přidání protokolu NetBEt JI
použijte tlačítko „Nainstalovat...". Mezi nabízenými protokoly nyní bude zobra
zena položka Protokol NetBEUI.
Poznámka
Pokud nejsou zobrazené přípony souborů, resp. ve složce WINDOWS nevidíte složku INF, klepněte v okně Průzkumník Windows
v nabídce Nástroje na položku Možnosti složky. Na kartě Zobrazení poté zrušte zaškrtnutí políčka Skrýt příponu
souborů známých typů, resp. zaškrtněte políčko Zobrazovat skryté soubory a složky.
Podstatnou nevýhodou protokolu NetBEUI je z dnešního pohledu nemožnost směroval jej mezi sítěmi. Znamená to, že pokud
má vaše společnost větší síť (řádově stovky počí-taču nebo více poboček), nebude možné protokol NetBEUI používat, neboť
nemusíte mu přístu p ke všem počítačům. Ještě větší praktickou a „viditelnou" nevýhodou je však v sou-ladu s nesměrovatelností
protokolu nemožnost připojit síť založenou na protokolu NetBEUI k Internetu. Proto se v praxi s protokolem NetBEUI setkáte
již jen výjimečně a pokud zvažujete, který protokol v síti používat, protokolu NetBEUI se z těchto důvodů raději vyhněte.
Nevýhody zde již dnes výrazně převažují nad výhodami.
30
TCP/IP
Protokol TCP/IP byl vyvinut v roce 1970 pro testovací síť amerického ministerstva obrany známou jako ARPANET, která se
později rozrostla do dnes známého Internetu. Protokol TCP/IP používaly již od svého uvedení také operační systémy UNIX.
Přetrvání protokolu TCP/IP v roli dominantního a jediného protokolu sítě Internet je dodnes dostatečně silnou známkou jeho
spolehlivosti a funkčnosti. Další výhodou je jeho navržení pro jakékoli počítačové platformy.
I systémy řady Windows 2000 a vyšší již používají protokol TCP/IP jako výchozí. To výrazně urychluje instalaci nového systému,
neboť po dokončení instalace operačního systému vás již nečekají žádná další restartování počítače, na která bylo nutné si
zvykat v předchozích systémech po jakékoli změně v síťových součástech. V porovnání s protokolem NetBEUI je ale nutné
protokol TCP/IP nakonfigurovat. To lze provést již během instalace systému nebo kdykoli poté. V praxi se spíše využívá druhá
varianta, tedy pozdější instalace. Jednak během instalace nemusí být jasno o konkrétních parametrech, případně nemusí být jasno
o přesné roli počítače. Navíc instalaci operačního systému ve většině případů provádí externí společnost nebo pracovník, který
nemá o konfiguraci protokolu žádné informace.
Správná konfigurace vyžaduje znalosti adresování protokolu IP, vytváření podsítí, znalosti dalších služeb v síti, které s
protokolem TCP/IP spolupracují, případně znalost nástrojů pro odstraňování potíží. Jedná se o velice rozsáhlé téma, které by
vydalo na samostatnou knihu (mnoho jich již také vyšlo). Znamená to, že návrh konfigurace protokolu TCP/IP pro konkrétní
síť by měl provést odborník, u kterého máte jistotu, že na nic nezapomene a že jeho návrh bude odpovídat standardům. Další
informace pro konfiguraci našeho prostředí naleznete dále v této kapitole.
Nespornou výhodou protokolu TCP/IP je jeho směrovatelnost, což v praxi znamená, že se s jeho pomocí můžete dostat do
libovolné vzdálené sítě (za předpokladu, že jste k ní připojeni). Síť založená na protokolu TCP/IP tedy není ve svém růstu
protokolem nijak omezena. Dostatečným důkazem tohoto tvrzení budiž každodenní práce s Internetem.
Velmi často se o pojmu TCP/IP mluví jako o jednom protokolu. Pravdou však je, že TCP/IP je celá sada protokolů, která se
skládá z několika vrstev. Pro běžnou práci správce však není znalost těchto podrobností nutně důležitá. Jako příklad protokolů,
jež jsou Součástí sady TCP/IP, z nichž s některými jste se již setkali; lze uvést protokoly ICMP, [GMP, IP, TCP, UDP, HTTP,
FTP, SMTP, SNMP, POP3, IMAP4 či NNTP.
Protokol TCP/IP je jednoznačně fenoménem dnešní doby mezi síťovými protokoly a lze jej jedině doporučit. I v malé síti je pro
případ dalšího růstu (se kterým musí z principu počítat každá společnost) vhodné nasadit ihned protokol TCP/IP i za cenu nutné
konfigurace.
NWLink
Když společnost Novell vyvinula svůj operační systém Novell NetWare, opatřila jej pro komunikaci v síti vlastním protokolem
IPX/SPX (Internetwork Packet Exchange/Sequen-ced Packet Exchange). Ten vyvinula sama pouze pro své systémy, nikdy
nezveřejnila jeho podrobnosti a navždy zůstal pouze jejím vlastnictvím.
Při vývoji síťových operačních systémů Windows kladla společnost Microsoft mj. důraz na spolupráci svých síťových klientů se
systémy NetWare společnosti Novell. Původně se obě společnosti dohodly, že klienta pro přístup k prostředkům systému
NetWare, který bude součástí systému Windows, vytvoří společnost Novell. Poté, co k naplnění tohoto záměru nedošlo, stál
před společností Microsoft problém: Jak vyřešit komunikaci vlastních klientů s protokolem NetBEUI nebo TCP/IP s klienty se
systémem NetWare s protokolem IPX/SPX? Výsledkem je vlastní implementace protokolu IPX/SPX, kterou společnost Microsoft
nazvala v systémech Windows 2000 a vyšších NWLink.
Nové verze systémů Novell NetWare již obsahují protokol TCP/IP. V takovém případě padá nutnost zabývat se nasazením
protokolu NWLink po boku protokolu IPX/SPX, což si-tuaci výrazně usnadňuje a zejména činí přehlednější.
()dpověď na otázku, jaký protokol zvolit, se tedy zdá jednoznačná. Pokud chcete mít spolehlivou síť, používáte systémy
Windows, nechcete zbytečně ztrácet čas při případném odstraňování potíží a chcete být připojeni k Internetu, zvolte protokol
TCP/IP. Zajistíte si l a k prostředí, které bude rychlé, jednoduše škálovatelné, postavené na stabilních a ověřených technologiích,
připravené pro připojení k Internetu a mimo jiné také připravené prozabezpečení komunikace. Jakým způsobem se protokol
TCP/IP konfiguruje, jaké nástroje jsou pro konfiguraci k dispozici a jak odstraňovat potíže, je vysvětleno dále.
31
Adresování protokolu TCP/IP
Pokud vesvých serverech i klientských počítačích ponecháte protokol TCP/IP ve výchoz í m stavu po instalaci, existuje poměrně
velká pravděpodobnost, že komunikace mezi po-čítači bude funkční. Na to se však nelze spolehnout a v prostředí domény stav
„dou-fání, že to vyjde" ani nelze doporučit. Konfiguraci protokolu TCP/IP se tedy v žádném případě nevyhnete, na druhou stranu
se v malé síti obsahující řádově desítky počítačů ne jedná o nic extrémně složitého. Každý počítač musí mít přiřazenu jedinečnou
adresu IP masku podsítě, případně další konfigurační parametry, které jsou popsané dále.
Adresa IP
Aby počítač pomocí protokolu TCP/IP komunikoval v síti, musí mít přiřazenu správnou adresu IP, která spadá do zvolené sítě
nebo tzv. podsítě. Adresa IP je 32bitové číslo, k l e té se rozděluje na čtyři části po 8 bitech oddělené tečkou (tzv. oktety). Příklady
adresy IP:
1. 1.2.3.4
2. 102.13.16.237
3. 216.254.1.18
Pro adresu IP platí následující obecná pravidla:
1. Počítači nelze přiřadit první adresu z vybrané sítě Taková adresa IP neurču
je konkrétní počítač, ale označuje síť.
2. Počítači nelze přiřadit poslední adresu z vybrané sítě Tato adresa se použí
vá pro tzv. všesměrové vysílání (broadcasting) ve vybrané síti.
3. Každý z oktetů může nabývat hodnoty 0 až 255 Větší číslo se pomocí 8 bitů
ani nedá vyjádřit a 0 je také číslo.
4. Adresa IP každého počítače musí být v síti jedinečná Pokud se v síti objeví
2 stejné adresy IP, vznikne konflikt adres. V lepším případě se to uživatel či správ
ce počítače dozví ze zobrazeného okna či zapsané události. Oba počítače jsou
však vyřazené z činnosti, dokud nebude sjednána náprava.
.
Pokud vyjdete z uvedených pravidel, lze velmi jednoduše spočítat, pro kolik počítačů je v jedné síti s protokolem TCP/IP
místo. Adresa IP může být teoreticky jakákoli adresa z rozsahu 0.0.0.0 až 255.255.255.255. Možností je tedy celkem 232 - 2 =
4 294 967 294.
V praxi však existují další omezení, takže výsledný počet počítačů by byl ještě nižší. Najdou se tedy pro vaši síť ještě některé
volné adresy IP nebo je nutné věřit internetovým skeptikům, kteří tvrdí, že obor adres IP je již téměř vyčerpán? Odpověď je
jednoduchá, i když může vypadat poněkud vyhýbavě, a lze ji uhrát na obě strany - adresy IP pro vaši síť se zcela jistě najdou, i
když je celý obor internetových adres IP již téměř vyčerpán. Dalo by se říci, že přesně zde platí pravidlo o vlku, který se nažral
a koza zůstala celá.
Neveřejné adresy IP
Na stav, aby v interních sítích byl vždy k dispozici dostatek adres IP, se myslelo mnohem dříve, než byla nainstalovaná první síť
se systémem Windows 2000. Protože se vždy jedná o interní síť, která není propojená s žádnou jinou sítí, lze pro adresování
počítačů opakovaně využít stejný rozsah adres IP. Pro různé velikosti interních sítí jsou k dispozici následující neveřejné rozsahy
adres IP určené organizací IANA, která odpovídá za přidělování adres IP v Internetu:
1. 10.0.0.0-10.255.255.255
2. 172.16.0.0-172.31.255.255
3. 192.168.0.0-192.168.255.255
Tyto možnosti jsou dostatečné i pro sítě s několika tisíci počítači a zároveň poskytují do-slatečný výběr. Je tedy pouze na vás,
kterou podsíť si z nabízených vyberete. Ať si však vyberete jakoukoli, máte téměř stoprocentní jistotu, že už ji někdo někde
používá. Protože však nejste s touto „neznámou" sítí propojeni, nemusíte mít žádné obavy.
Dokonce se nemusíte obávat ani pozdějšího připojení své sítě využívající nabízené neveřejné rozsahy k Internetu. Pomocí
technologií známých jako server proxy nebo překlad síťových adres (Network Address Translation, NAT) to lze poměrně snadno
zajistit. Síť zů-Stává v takovém případě před internetovým světem skrytá, přesto s počítači v Internetu komunikují všechny interní
počítače, kterým to povolíte.
Protože je drtivá většina sítí malých, tj. obsahujících řádově desítky počítačů, bude nejčastější volbou podsíť ze třetího rozsahu.
Třetí rozsah nabízí celkem 256 podsítí, přičemž v každé z nich lze adresovat maximálně 254 počítačů (připomínám, že první a
poslední adresu IP z daného rozsahu nelze pro adresování počítačů použít).
Volba podsítě pro malou síť připomíná ve většině případů loterii. Nevyhneme se jí ani led a pro adresování počítačů zvolíme
například podsíť 192.168.10.0/24. Použitelný rozsah adres IP bude tedy 192.168.10.1 až 192.168.10.254.
Veřejné adresy IP
Velmi zjednodušeně lze říci, že veřejnými adresami IP můžeme nazývat jakékoli adresy, které nejsou neveřejnými, to znamená
adresy nespadající do sítí uvedených v předchozím odstavci. Příkladem je adresa 111.112.113.114 nebo 170.180.190.200.
Rozhodně to ale není tak, že by se každá neveřejná adresa musela nutně v Internetu používat. Spousta společností má k dispozici
32
dostatečný počet adres IP, ale zatím je nepoužívají. Pokud tedy zjistíte, že se konkrétní adresa v Internetu ještě nepoužívá,
neznamená to, že tento stav bude trvat věčně. Nikdy v takovém případě nevíte dne ani hodiny, kdy k jejímu použití může dojít.
Z podstaty tvorby adres IP vyplývá, že veřejných adres IP je nesrovnatelně více než neveřejných. To je samozřejmě v pořádku,
neboť to odpovídá i reálnému prostředí - Inter-net přece tvoří na celém světě více počítačů než jakoukoli interní síť.
Poznámka
Pokud budete později připojovat síť k Internetu, nemůžete si veřejné adresy zvolit náhodně podobně, jako jsme to udělali výše s
adresami pro naši síť. 0 tyto adresy požádejte svého poskytovatele služeb sítě Internet, který vám jistě vyhoví (při požadavku na
malý počet adres zpravidla zdarma).
Neveřejné adresy IP a internet
Jak již bylo výše uvedeno, nemusíte se v případě použití neveřejných adres obávat toho, že síť nebude možné připojit k
Internetu. Díky technologiím, jako je například překlad sílových adres (NAT), je interní síť před Internetem skrytá, přesněji řečeno
skryté jsou používané interní adresy. Taková síť by ani beze změny adresování nešla Internetu otevřít, neboť internetové
směrovače neumějí s neveřejnými adresami IP pracovat, a pokud by k n i m dorazil paket IP obsahující jako cílovou adresu
některou z neveřejných adres IP ( l e d y například paket vracející se z webového serveru společnosti Microsoft), bez upozornění by
jej zahodily a přenos by se nezdařil.
Někdo by nyní mohl položit jednoduchou otázku: Když je interní síť před Internetem sk r yt a , není úplně jedno, jakou podsíť si
pro její adresování vybereme?
Odpověď je v takovém případě jednoduchá. Záleží na tom, zda síť je nebo ji plánujete později připojit k Internetu. Pokud ne,
můžete si teoreticky zvolit jakoukoli podsíť. Pokud
ano, vyberte si určitě neveřejnou podsíť. V opačném případě síť bude pracovat spolehlivě, a l e nebudete mít v Internetu přístup k serverům, které používají adresy IP kryjící se vašimi vybranými adresami. A co když
to budou právě některé důležité servery?
Maska podsítě
Maska podsítě je také 32bitové číslo, které se podobně jako adresa IP rozděluje do čtyř oktetu po 8 bitech. Její role je v
adresování IP velmi důležitá, neboť maska podsítě nim je, zda jsou počítače ve stejné síti a budou spolu komunikovat přímo bez
dalších zařízení nebo zda je pro jejich komunikaci nutné přidat směrovač.
Uvedeme si jednoduchý příklad. Výchozí maskou podsítě pro zvolenou neveřejnou podsíť je 255.255.255.0 (tak zní definice).
Ve dvojkovém zápisu vypadá maska takto: 11111111.11111111.1111111.00000000. Pokud budeme během adresování počítačů
měnit část adresy IP, která se vyskytuje nad nulami masky podsítě, budou spolu počítače komunikovat přímo. To odpovídá
adresování počítačů 192.168.10.1, 192.168.10.2, 192.168.10.3 atd. Pokud bychom při adresování změnili část adresy IP
vyskytující se nad jedničkami masky podsítě, zařazujeme počítač do jiné sítě a pro komunikaci bude nutné použít směrovač.
Tomuto případu odpovídá adresování 192.168.10.1, 192.168.11.1, 192.168.12.1 atd.
V části „Neveřejné adresy IP" výše jsme pro síť vybrali adresování 192.168.10.0/24. Co znamená zápis /24? Pokud si napíšete
výchozí masku této podsítě ve dvojkové soustavě, získáte číslo 11111111.11111111.11111111.00000000. Nyní spočítejte jedničky
- je jich 24. Zápis /24 je tedy pouze jiným vyjádřením masky podsítě 255.255.255.0. Jedná se o tzv. notaci CIDR (Classless
InterDomain Routing).
Ještě jednou je tedy nutné dodat, že maska podsítě plní velmi důležitou roli, a proto je nutné s ní zacházet velmi obezřetně.
Poznámka
Jednotlivé oktety masky podsítě nemusí vždy nabývat pouze hodnot 0 nebo 255, ale je důležité, aby při zápisu masky ve
dvojkové soustavě byla řada jedniček zleva spojitá. V praxi, zejména ve větších sítích, se můžete setkat například s
maskou podsítě 255.252.0.0. Rozbor těchto případů je však mimo možnosti této knihy.
Instalace protokolu TCP/IP
Instalace protokolu TCP/IP probíhá v systémech Windows 2000 a vyšších automaticky během instalace systému. Protokol TCP/IP
je tak při ponechání typické instalace jediným nainstalovaným protokolem (viz obrázek 3.2).
Samotný protokol sice umožňuje počítačům komunikovat, z pohledu uživatele však musí být v systému nainstalované ještě
další služby a klienti.
Klient sítě Microsoft
Klient sítě Microsoft je síťovou součástí, pomocí které je počítač schopen využívat prostředky, jež mu síť se systémy Microsoft
nabízí. Pokud by tento klient v počítači chyběl, nebylo by možné přistupovat ke sdíleným složkám, tisknout na síťové tiskárny
apod. Komunikace by tak byla z pohledu uživatele nepoužitelná. Jak název napovídá, je tento klient určen pouze pro sítě se
systémy Microsoft. Pokud byste chtěli využívat prostředky operačních systémů Novell NetWare, bylo by nutné kromě protokolu
NWLink nainstaloval i klienta systému NetWare.
Klienta sítě Microsoft není nutné konfigurovat. Jedinou konfigurovatelnou položkou, která se zobrazí po klepnutí na tlačítko
Vlastnosti, je Služba vzdáleného volání procedur (Re-mote Procedure Call). Tuto funkci plní v systému Windows XP Professional
ve výchozím nastavení Lokátor systému Windows, což je pro naše účely vyhovující.
33
Obrázek 3.2
Dialogové okno vlastností Připojení k místní síti v systému Windows
XP Professional
Obrázek 3.3
Instalace Klienta systému NetWare
Sdílení souborů a tiskáren v sítích Microsoft
Služba Sdílení souborů a tiskáren v sítích Microsoft je „protipólem" klienta sítě Microsoft, fedná se o službu, která zajišťuje, že
sdílené složky nebo tiskárny v daném počítači budou k dispozici vzdáleným klientům, kteří tyto prostředky chtějí v síti využívat.
Pro úplné po-chopení situace lze jednoduše říci, že klient sítě Microsoft v místním počítači komuniku je se službou Sdílení
souborů a tiskáren v sítích Microsoft v jiném počítači a obdobné že klient sítě Microsoft v jiném počítači komunikuje se službou
Sdílení souborů a tiskáren v sítích Microsoft v místním počítači.
V počítači se systémem Windows XP Professional nelze službu Sdílení souborů a ti s k á r e n v sítích Microsoft vůbec konfigurovat.
Všechny tři uvedené součásti - Protokol sítě Internet (TCP/IP), Klient sítě Microsoft a Sdílení souborů a tiskáren v sítích
Microsoft - jsou nezbytnými součástmi pro plnohodnotnou funkci počítače se systémem Windows XP Professional v síti.
34
Konfigurace protokolu TCP/IP
Na instalaci protokolu TCP/IP je nutné se dobře připravit. Je nutné určit následující náležitosti:
1. Jakou podsíť použít pro adresování sítě.
2. Jaké adresy IP použít pro servery.
3. Jaké adresy IP použít pro tiskárny, případně další zařízení.
4. Jaké adresy IP použít pro klientské počítače.
5. Jaká bude adresa IP výchozí brány.
6. Jaké budou další parametry protokolu IP (servery DNS, WINS, název domény apod.).
7. Jaký druh adresování zvolit.
Jakou podsíť použít pro adresování sítě
Tato otázka již byla zodpovězená výše. Pro adresování sítě s řádově desítkami počítačů byla vybrána síť 192.168.10.0/24. V síti
lze tedy adresovat až 254 zařízení, masku podsítě budou mít všechna zařízení 255.255.255.0.
Poznámka
Pokud byste věděli, že během relativně krátké doby (tj. během až jednoho roku) síť poroste a začnou přibývat počítače, bylo by
rozumné zvolit podsíť, která může obsahovat více zařízení než zmíněných 254.
Jaké adresy použít pro servery
V závislosti na počtu serverů (stávajícím i předpokládaném) je vhodné vymezit určité rozmezí adres IP pouze pro ně. V naší síti
máme jediný server, i s předpokládaným nárůstem během dalších let by počet serverů neměl přesáhnout 10. Pro servery tedy
vyhradíme rozsah adres IP 192.168.10.2 až 192.168.10.11.
Jaké adresy použít pro tiskárny, případně další zařízení
Vzhledem k velikosti sítě je rozumným odhadem ponechat pro tiskárny, případně další síťová zařízení, celkem 5 adres IP.
Vyhradíme pro ně adresy IP 192.168.10.12 až 192.168.10.16.
Jaké adresy použít pro klientské počítače
Pokud jsou klientské počítače tím posledním, co je třeba adresovat, potom nám pro ně zbyly adresy IP v rozsahu 192.168.10.17
až 192.168.10.254. V síti tak může být nejvíce 238 počítačů.
Jaká bude adresa výchozí brány
Výchozí brána je adresa IP zařízení, kterému počítače předávají veškeré pakety, jež nejsou určené pro vnitřní síť (například
pakety pro komunikaci v Internetu, komunikace mezi pobočkami apod.). Vzhledem k tomu, že naše síť bude zatím samostatná a
nebude připojena ani k Internetu ani k žádné jiné síti, nebudeme výchozí bránu v tuto chvíli potřebovat. Je však nutné pro ni do
budoucna rezervovat adresu IP. Bývá dobrým zvykem vyhradit pro výchozí bránu (někdy označovanou také jako „směrovač")
první použitelnou adresu IP z dané sítě. Tou je v našem případě adresa 192.168.10.1.
Jaké budou další parametry protokolu IP
Na tomto místě je nutné shromáždit další konfigurační parametry protokolu IP. Patří sem adresy IP serveru (či serverů) DNS,
serveru (či serverů WINS), typ uzlu počítače, název domény apod. Podrobně se budeme některým zmíněným parametrům
věnovat v dalších kapitolách.
Jaký druh adresování zvolit
Celý vybraný rozsah adres IP umožňuje adresovat až 254 zařízení. Adresa 192.168.10.0 označuje vybranou síť a nelze ji použít pro
adresování zařízení, adresa 192.168.10.255 je adresou, která bude v naší síti určena pro všesměrové vysílání (broadcast). To je
standardní nastavení protokolu TCP/IP v systému Windows, které není nutné dále konfigurovat. Po vyhrazení adres IP pro
servery, tiskárny a jiná zařízení nám pro klientské počítače zbylo 238 adres. Tyto informace je nutné pečlivě zvážit a určit, zda
budeme adresy přiřazovat zařízením ručně nebo využijeme protokol DHCP, který může tuto práci udělat automaticky Za nás.
Obě možnosti mají své výhody i nevýhody, v některých případech navíc automa-tické adresování použít nelze. V dalších
odstavcích je popsaná ruční konfigurace parame-tru protokolu TCP/IP. Neznamená to, že je pro danou síť nejvhodnější, v tuto
chvíli je však pro základní vysvětlení a konfiguraci nejjednodušší. Další informace o možnostech adresování naleznete v kapitole 8,
„Potřebujeme v síti využívat další služby?".
V liv na výběr adres IP mohou mít i další okolnosti. Je nutné vždy zvážit všechny náležitosti a okolnosti spojené s daným
síťovým prostředím a dobře se na adresování protokolu TCP/IP připravit. Pozdější změna adresování může být pro uživatele i
správce bolestnou záležitostí.
35
Konfigurace serveru
Server je v síti proto, aby poskytoval požadované služby. Může být takzvaným souboro-vým serverem (tedy serverem, na
kterém jsou uložené firemní dokumenty, případně další materiály ve sdílených složkách), aplikačním serverem (například
serverem s nainstalova nyní informačním systémem), webovým serverem (serverem s webovými službami, jako je například
WWW, FTP či NNTP), poštovním serverem (serverem určeným k přenosu a příjmu elektronické pošty a ke správě
poštovních schránek) nebo například tiskovým serverem, to znamená serverem, jenž zpracovává tiskové úlohy a odesílá je
místním tis kárnám. Kromě uvedených služeb může server zajišťovat i služby týkající se síťové i n f r a s t r u k t u r y (například
DHCP, DNS, WINS nebo může být certifikačním úřadem).
V drtivé většině případů plní server služby, na které se odkazujeme buď přímo adresou IPnebo pomocí názvu, jenž je v jiném
místě v síti spojen s adresou IP podobně, jako je v telefonním seznamu spojen název společnosti s telefonním číslem. Tehdy je
nutné za-jistit, aby měl server stále stejnou adresu IP, neboť její změna by mohla vyvolal potíže s komunikací mezi klientskými
počítači a serverem. Navíc, pokud bude server zajišťovat zmíněné služby DHCP či DNS, je trvalá adresa IP nutností.
Serverům tedy přidělujte adresy IP a další konfigurační parametry protokolu IP vždy ručně. Budete tak mít jistotu, že adresa IP se
v žádném případě nezmění, a zároveň budete kdykoli schopni říci, jakou adresu IP má daný server přidělenu. To se hodí i v
případě, kdy potřebujete odstraňovat potíže s komunikací. Zkrátka, adresy IP serverů nosí správci sítí v hlavě.
Nastavení parametrů protokolu IP serveru
1. V Nabídce Start přejděte na položku Ovládací panely, poté na Síťová připoje
ní a klepněte na položku Připojení k místní síti.
2. V dialogovém okně Připojení k místní síti - stav klepněte na tlačítko Vlastnos
ti. Zobrazí se dialogové okno Připojení k místní síti — vlastnosti.
3. Klepněte na položku Protokol sítě Internet (TCP/IP) a poté klepněte na tlačít
ko Vlastnosti.
4. V dialogovém okně Protokol sítě Internet (TCP/IP) - vlastnosti zaškrtněte po
líčko Použít následující adresu IP a zadejte adresu 192.168.10.2.
5. Do pole Maska podsítě zadejte hodnotu 255.255.255.0.
6. Ve spodní části zaškrtněte políčko Použít následující adresy serverů DNS a za
dejte adresu 192.168.10.2 (server je zároveň serverem DNS a je tedy sám sobě kli
entem). Poté klepněte na tlačítko Upřesnit. Další informace o konfiguraci služby
DNS naleznete v kapitole 6, „Proč a jak se v síti překládají názvy".
Obrázek 3.4
Dialogové okno s nastavením protokolu TCP/IP serveru
Poznámka
Adresu serveru DNS je nutné nastavit správně. V opačném případě nebude funkční doména a uživatelé mohou mít například
potíže se vůbec přihlásit.
36
7. Na kartě DNS ověřte zaškrtnutí políček Připojit přípony DNS primární domé
ny a specifické domény připojení, Připojit příponu DNS domény nadřaze
né primární doméně a Zaregistrovat adresy tohoto připojení v systému
DNS. Klepněte na tlačítko OK.
8. Klepnutím na tlačítko OK zavřete dialogové okno Protokol sítě Internet
(TCP/IP) - vlastnosti.
9. Zaškrtněte políčko Po připojení zobrazit ikonu v oznamovací oblasti a poté
klepněte na tlačítko Zavřít.
10. Klepnutím na tlačítko Zavřít zavřete dialogové okno Připojení k místní síti - stav. V oznamovací oblasti se poté zobrazí
ikona právě nakonfigurovaného připojení.
Poznámka
Pokud zaškrtnete poličko Použít následující adresy serverů DNS a nezadáte žádnou adresu IP, potom pokud je počítač se
serverovým systémem Windows 2000 zároveň serverem DNS, doplní si automaticky adresu 127.0.0.1, která představuje zpětnou
smyčku operačního systému. Klient DNS je i v takovém případě plně funkční. Zajímavostí je, že tuto adresu není možné zadat
ručně.
Konfigurace klientských počítačů
Klientské počítače v síti využívají síťové služby. Proto, aby mohly pomocí protokolu TCP/IP komunikovat, musí být správně
nakonfigurované. Obecně lze říci, že není až tak podstatné, aby byla funkční komunikace mezi klienty (pomineme-li například
sdílení důležitých „dokumentů", jako jsou soubory MP3 mezi dvěma spolupracovníky). Mnohem důležitější je komunikace mezi
nimi a servery. Klient potřebuje také komunikovat s řadičem domény, který ověří přihlášení uživatele, se serverem DNS, jenž
provede překlad potulovaných názvů na adresy IP, se souborovým serverem s firemními dokumenty, s tiskovým serverem, kam
odesílá tiskové úlohy apod. Pokud je nastavení protokolu TCP/IP správné, měla by být funkční komunikace mezi jakýmikoli
počítači v síti (pokud nejsou nakonfigurovaná další omezení).
Protože není důležité, aby měl klientský počítač vždy stejnou adresu IP, otevírá se kromě ruční konfigurace i možnost konfigurace
automatické. Tou se však budeme zabývat v dal-ších kapitolách, neboť vyžaduje další konfiguraci na serveru. Nyní se podíváme na
ruční konfiguraci.
Nastavení parametrů protokolu IP klientských počítačů
1. V Nabídce Start přejděte na položku Ovládací panely, poté na Síťová připojení a klepněte na položku Připojení k
místní síti.
2. V dialogovém okně Připojení k místní síti - stav klepněte na tlačítko Vlastnosti. Zobrazí se dialogové okno Připojení
k místní síti - vlastnosti.
3. Klepněte na položku P r o t o k o l s í t ě I n t e r n e t ( T C P / I P ) a poté klepněte na tlačítko Vlastnosti. 4. V dialogovém okně
Protokol sítě Internet (TCP/IP) vlastnosti zaškrtněte políčko Použít následující adresu IP a zadejte adresu
192.168.10.17. 5. Do pole Maska podsítě zadejte hodnotu 255.255.255.0.
4.
Ve spodní části zaškrtněte políčko Použít následující adresy serverů DNS a zadejte adresu 192.168.10.2 (serverem
DNS je pro všechny klientské počítače dříve nakonfigurovaný server). Poté klepněte na tlačítko Upřesnit.
Obrázek 3.5
Dialogové okno
s nastavením protokolu
TCP/IP klientského počítače
37
Poznámka
Adresu serveru DNS je nutné nastavit správně. V opačném případě nebude funkční doména a uživatelé mohou mít například
potíže se vůbec přihlásit.
5. Na kartě DNS ověřte zaškrtnutí políček Připojit přípony DNS primární domény a specifické domény připojení,
Připojit příponu DNS domény nadřazené primární doméně a Zaregistrovat adresy tohoto připojení
v systému DNS. Klepněte na tlačítko OK.
6. Klepnutím na tlačítko OK zavřete dialogové okno Protokol sítě Internet (TCP/IP) - vlastnosti.
7. Zaškrtněte políčko Po připojení zobrazit ikonu v oznamovací oblasti a poté klepněte na tlačítko Zavřít.
8. Klepnutím na tlačítko Zavřít zavřete dialogové okno Připojení k místní síti - stav. V oznamovací oblasti se poté zobrazí
ikona právě nakonfigurovaného připojení.
U dalších počítačů postupujte obdobně, podle bodu 4 ale zadejte adresu IP v posledním oktetu vždy o 1 vyšší (192.168.10.18,
192.168.10.19...).
Ověření instalace a funkčnosti protokolu TCP/IP
Po instalaci a úspěšné konfiguraci protokolu TCP/IP je vhodné ověřit správnou komunikaci daného počítače. Případné potíže tak
můžete odhalit a odstranit ještě dříve, než se naplno projeví v síti. Nesprávná nebo vůbec žádná komunikace pomocí protokolu
TCP/IP muže mít mnoho příčin. Mezi nejčastější patří chybná instalace protokolu, fyzicky přerušené spojení počítače se sítí,
nesprávně nastavená adresa IP či hybějící vazba mezi protokolem a síťovým adaptérem. Dále se podíváme, jak lze případné
potíže detekovat a odstranit.
Nástroje pro odstraňování potíží s protokolem TCP/IP
Systémy Windows 2000 a vyšší přicházejí s celou řadou nástrojů určených ke konfigura-ci, ale zejména k odstraňování potíží s
protokolem TCP/IP. Na využití dvou nejpoužívanějších se podíváme nyní.
Nástroj IPCONFIC
Nástroj IPCONFIG není v systémech Windows 2000 a vyšších žádnou novinkou, přibyly zde však další možnosti pro
konfiguraci protokolu TCP/IP. My se podíváme na způsob jeho nejčastějšího využití.
Představte si situaci, kdy počítač přestane nebo vůbec nezačne komunikovat se serverem. Pokud ostatní počítače se serverem
komunikují, budeme pravděpodobně hledat příčinu v počítači, který přestal komunikovat, nikoli na serveru. Nejprve by nás
mělo zajímat, zda má počítač přiřazenu správnou adresu IP:
1. Na příkazovém řádku zadejte příkaz ipconfig (okno příkazového řádku otevřete zadáním příkazu cmd v nabídce
Spustit). Zobrazí se základní konfigurační informace protokolu TCP/IP - adresa IP a maska podsítě.
nebo
2. Na příkazovém řádku zadejte příkaz ipconfig /all. Zobrazí se podrobnější konfigurační informace protokolu TCP/IP.
Pokud se zobrazí očekávaná adresa IP (to znamená adresa IP z rozsahu 192.168.10.17 až 192.168.10.254) a maska podsítě
255.255.255.0, je adresa IP v pořádku. Pokud se zobrazí jiná adresa IP, opravte konfiguraci protokolu TCP/IP počítače podle
informací uvedených výše.
Poznámka
Pomocí nástroje IPCONFIC lze informace o adrese IP, masce podsítě a dalších parametrech pouze zobrazovat, nikoli konfigurovat.
Nástroj PING
Nástroj PING také není žádným nováčkem. Pro svou činnost využívá protokol ICMP, po-mocí kterého získává přenosový protokol
IP informace o tom, zda se přenos paketů do cí-le zdařil či nikoli. Pomocí vhodného postupu lze nástroj PING využít k detekci
místa, kde komunikace pomocí protokolu TCP/IP končí. Následující postup je tedy nutné dodržet:
1. Na příkazovém řádku zadejte příkaz ping 127.0.0.1.
Tento příkaz provede otestování funkčnosti zpětné smyčky v systému. Netyká se vu-bec síťového adaptéru ani jeho
konfigurace, a pokud byste si jej představili jako „sondu do systému", tak se v operačním systému otočí, aniž by se „dotkl"
adaptéru, Pokud bude na zadaný příkaz pozitivní odezva, je v systému vše v pořádku a je možné pokračoval dalším
krokem. Pokud se nezobrazí správná odezva, je problém jednoznačně ve špatné instalaci protokolu TCP/IP. Protože se
ale tento protokol instaluje spolu se systémem, můžeme říci, že je poškozená instalace operačního systému.
2. Na příkazovém řádku zadejte příkaz ping adresalP (adresa IP zobrazená příkazem IPCONFIG, například 192.168.10.17).
Tento příkaz postoupí v testování protokolu TCP/IP o krok dále. Nyní pomyslná „sonda" prochází mimo jiné i síťovým
adaptérem, její cesta je tedy o krok delší. V operačním systému se „zadrhnout" nemůže - to jsme ověřili v předchozím
kroku. Pokud se tedy nedočkáte pozitivní odpovědi, hledejte chybu v síťovém adaptéru. Příčiny neúspěšného provedení
zadaného příkazu mohou být dvě. První z nich je přerušené fyzické spojení mezi síťovým adaptérem testovaného počítače
a rozbočovačem (případně přepínačem) - tedy situace stejná, jako když ze síťového adaptéru vytáhnete kabel. Jedná se o
nejčastější příčinu. Druhou příčinou je zrušení vazby mezi protokolem TCP/IP a síťovým adaptérem. V takovém případě
je sice protokol TCP/IP v systému správně nainstalován, ale nepoužívá se. K takovému stavu však může dojít pouze
ručním zásahem. Rozhodně se nejedná o automatické nastavení. Ukázka přerušené vazby je na obrázku 3.6.
38
Obrázek 3.6
Protokol TCP/IP nemá vazbu se síťovým adaptérem
Řešením této chyby je obnovení vazby (zaškrtnutí políčka u protokolu
TCP/IP), případně ověření správně připojeného konektoru kabelu na obou koncích. 3. Na příkazovém řádku zadejte
příkaz ping adresaIPjinéhopočítače (například ping 192.168.10.20).
Tímto příkazem ověříte komunikaci s jiným počítačem ve stejné síti. Pokud má počítač potíže s komunikací se serverem,
zatímco ostatní počítače se serverem běžně komunikují, objeví se pravděpodobně chyba v předchozích krocích. Pokud by
nyní testovaný počítač komunikoval s jiným počítačem, ale se serverem nikoli, bude potřeba hledat chybu v zařízení
zajišťujícím fyzické propojení počítačů (rozbo-čovač, přepínač). Při ověřování komunikace či odstraňování potíží
nepoužívejte příkaz PING spolu s názvem počítače. Tím byste si do cesty hledání potíží přidali další krok, který by byl v tuto
chvíli zbytečný. Nejprve by totiž muselo dojít k překladu názvu na adresu IP a teprve poté by proběhl příkaz zadaný v kroku
2. Pokud by název nebyl správně přeložen, nemusí se příkaz PING úspěšně provést, a to by mohlo vyvolat domněnku, že
komunikace pomocí protokolu TCP/IP nefunguje. Opak může být v takové situaci pravdou - komunikace mezi počítači
funguje, nefunguje pouze služba, která překládá názvy.
Výstupy nástroje PING
Pokud není odezva na použití nástroje PING s adresou IP pozitivní, zobrazí se jedna ze dvou možných negativních odpovědí.
Pojďme se na ně podívat:
1. Vypršel časový limit žádosti Příkaz PING je směrován na adresu IP, se kterou je schopen testující počítač běžně
komunikovat, ale počítač s touto adresou IP neodpovídá. Příčinou je nesprávná funkce počítače, od kterého se odpověď
očekává (případně není vůbec spuštěn) nebo je v cestě mezi dvěma počítači zablokován protokol ICMP, který nástroj
PING využívá.
2. Cílový hostitel není dostupný Příkaz PING je směrován na adresu IP, ke které z výchozího počítače neexistuje
směrování (tedy žádná cesta). Příčinou je v takovém případě chyba v konfiguraci protokolu IP výchozího počítače.
Nejběžnější je absence adresy IP jako výchozí brány, v některých případech se jedná o absenci přidaného směrování nad
rámec výchozí brány (například chybějící parametr -p v příkazu ROUTE ADD).
39
Síťový adaptér a více protokolů
Pokud má některý počítač nainstalováno více protokolů (ať již z historického důvodu, zvědavosti správce či testování), neboli v
jiné řeči, pokud počítač mluví více jazyky, může taková konfigurace zbytečně zatěžovat vaši síť. Pro optimální vytížení sítě a
stoprocentní funkčnost síťových služeb je vhodné a doporučené používat pouze nutné protokoly. V drtivé většině případů by
měl postačovat protokol TCP/IP.
Případ použití více protokolů si ukážeme na příkladu použití protokolů TCP/IP a NWLink ve dvou počítačích. V naší síti sice
protokol NWLink v tuto chvíli nainstalován není, příklad však ukazuje, co by se v případě, pokud by byl nainstalován, stalo.
Při instalaci jakéhokoli protokolu do systému Windows 2000 a vyšších dojde k automa-tickému vytvoření vazby se všemi
přítomnými síťovými adaptéry. Navíc ve vazbách ještě existuje hierarchie neboli pořadí. Toto pořadí můžete zobrazit
následujícím způsobem,:
1. V Nabídce Start přejděte na položku Ovládací panely a poté klepněte pravým
tlačítkem myši na položku Síťová připojení. Otevře se okno Síťová připojení se
zobrazenými připojeními.
2. V nabídce Upřesnit klepněte na položku Upřesnit nastavení. Otevře se dialogo
vé okno Upřesnit nastavení obsahující informace o vazbách a pořadí protokolu
Z obrázku je zřejmé, že prvním v pořadí vazeb je protokol NWLink. Pokud tedy první po-čítač chce komunikovat se svým kolegou
(druhým počítačem), odešle do sítě stejnou in-formaci pomocí obou protokolů. Druhý z počítačů přijme obě informace; protože
má ale stejné pořadí vazeb protokolů, zpracuje pouze informace odeslané pomocí protokolu
Obrázek 3.7 Vazby mezi protokoly a síťovým adaptérem a jejich pořadí
Obrázek 3.8 Změna pořadí protokolu TCP/IP
40
NWLink. Z toho vyplývá, že počítače vždy komunikují tím prvním protokolem v pořadí vazeb, na kterém se shodnou. Ačkoli se
to může zdát zvláštní, budou tyto dva počítače komunikovat pomocí protokolu NWLink, zatímco s ostatními počítači v síti budou
komunikovat pomocí protokolu TCP/IP.
Pokud je v takové situaci použití protokolu NWLink odůvodněné, nelze proti tomu nic namítat a musíte se s tím smířit. Pokud
však protokol NWLink zůstal v počítači a už se nevyužívá, je třeba jej odebrat. V opačném případě se bude síť zbytečně zahlcovat
nevyužitelnými informacemi.
V případě, že se rozhodnete protokol NWLink v síti ponechat, zvažte možnost změnit pořadí vazeb. Komunikace mezi počítači
tak může být rychlejší. Změnu pořadí vazeb provedete následujícím způsobem:
1. V dialogovém okně Upřesnit nastavení klepněte na položku Protokol sítě
Internet (TCP/IP) a poté klepnutím na příslušnou šipku v pravé části dialogového okna posuňte protokol nahoru či
dolů. Postup můžete opakovat i pro další službu či klienta.
Pokud si na tomto místě stále ještě říkáte, že vaše síť je dost malá na to, abyste museli řešit takové podrobnosti, zvažte situaci
ještě jednou. Pokud trochu nahlédnete do funkce sítí, zjistíte, že v sítích může odesílat informace v daný okamžik pouze jediný
počítač. Pokud se ve stejnou dobu snaží komunikovat více počítačů najednou, dojde v síti Ethernet ke konfliktu a počítače
komunikaci po náhodném čase opakují. Při zbytečné konfiguraci více protokolů se tak může i v malých sítích vyskytovat větší
počet kolizí, neboť v síti se může pohybovat až několikrát více paketů než při použití pouze jediného protokolu.
Protokol IP v budoucnu
Již delší dobu je jasné, že brzo dojde k vyčerpání veškerých adres IP použitelných v Internetu. Tyto obavy jsou vzhledem k
neustálému rustu Internetu pochopitelné a jistě přijde doba, kdy je bude nutné řešit a úspěšně vyřešit. Jedním z nových návrhů,
který by v tom měl pomoci, je nová tvář protokolu IP - IPv6.
Protokol TCP/IP verze 6 (IPV6)
Protokol IP se od svého vzniku v roce 1981 ani jednou nezměnil. Velmi se však změnilo prostředí, ve kterém se protokol používá
nyní od tehdejšího prostředí. Návrh protokolu IP tehdy nepočítal s následujícími situacemi:
1. Rychlý exponenciální růst Internetu a s ním postupné vyčerpání adres pro
tokolu IP Počet adres IP je relativně nedostatečný a nutí organizace používat me
tody, jako je například NAT. Pokud dojde ke spojení větších organizací, může být
nedostatečný i rozsah neveřejných adres IP.
2. Rychlý růst Internetu a nutnost, aby jeho směrovače pracovaly s velkými
směrovacími tabulkami Hlavní směrovače v Internetu dnes musí spravovat ví
ce než 85 000 položek ve směrovací tabulce.
3. Potřeby jednodušší konfigurace Ačkoli lze protokol IP konfigurovat ručně
i pomocí protokolu DHCP, je dnes velký tlak na to, aby se proces konfigurace dá
le zjednodušil.
4. Požadavek na zabezpečení na úrovni vrstvy protokolu IP Soukromá komu
nikace v Internetu vyžaduje zabezpečení dat. Pro tento účel již existuje standard protokol IPSec, ten je však volitelný, nikoli povinný.
Protokol IPv6 tyto nedostatky odstraňuje pomocí nových vlastností. 2 těch nejzajímavějších je to délka adresy 128 bitů (16 bajtů),
což je několikanásobně větší rozsah oproti současnému protokolu IP, automatická konfigurace adresy IP pomocí serveru DHCP
i bez něj, vestavěné zabezpečení IPSec a další rozšiřitelnost protokolu.
Protokol IPv6 není s dnešním protokolem IP (IPv4) kompatibilní. Pokud byste tedy chtěli v síti protokol IPv6 nasadit a poté
byste ji připojili k Internetu, bylo by nutné použít mechanismus, který bude schopen převádět informace protokolu IPv6 na
informace protokolu IPv4. Možností je v takovém případě více, například použití směrovače IPv6/IPv4.
Protokol IPv6 je součástí systémů Windows XP a řady systémů Windows 2003. Jeho instalace se v jednotlivých systémech liší.
Zatímco například v systému Windows Server 2003 je možné jej přidat obdobně, jako kterýkoli jiný protokol (viz obrázek 3-9),
do systému Windows XP je nutné jej nainstalovat pomocí příkazu ipv6 install spuštěného na příkazovém řádku.
41
Obrázek 3.9 Instalace protokolu IPv6 v systému Windows Server 2003
Popis protokolu IPv6 je téma na samostatnou knihu a další podrobnosti jsou mimo rámec této kapitoly. Nemusíte jej tedy
instalovat, neboť se jím dále v síti ani nebudeme zabývat. Může se ale hodit v budoucnu; proto je dobré vědět, že systémy řady
Windows XP a Windows Server 2003 jej podporují.
Závěr
V této kapitole jste nejprve vybrali protokol pro prostředí sítě a provedli konfiguraci protokolu TCP/IP serveru i klientských
počítačů. Nejprve jste pro síť vybrali rozsah adres IP (tzv. podsíť) 192.168.10.0/24, provedli přípravu rozdělení adres pro různá
zařízení a nakonec provedli konkrétní konfiguraci. Konfigurace proběhla ve všech případech ručně a byla náhodně otestovaná s
využitím nástroje PING.
Pokud by se v síti vyskytly s protokolem TCP/IP potíže, máte k dispozici nástroje a postup, pomocí kterého lze najít místo, jež
potíže způsobuje, a můžete je následně odstranit.
Pokud by kdykoli v síti přibyl systém Novell NetWare, máte informace, co je třeba nainstalovat a jakým způsobem provést
konfiguraci protokolu NWLink a příslušného klien ta. Pokud bude nutné instalovat další protokol do klientských počítačů, kteří již
mají pro-tokol TCP/IP, víte, kde se dá zjistit a hlavně upravit pořadí vazeb protokolů s konkrétními službami.
Pokud bude v budoucnu nevyhnutelné přejít na protokol TCP/IP verze 6, víte, že to u systémů řady Windows XP a Windows
Server 2003 nebude problém, a znáte postup jeho instalace.
42
Prostředí pracovní skupiny
Po úspěšné instalaci máme nyní k dispozici jeden server a několik pracovních stanic. Jedná se prakticky o výchozí instalaci
malé sítě, která do konce knihy ještě projde výraznými změnami. Ty budou jednak reprezentovat její přizpůsobení konkrétním
potřebám a možnostem organizace a jednak bude k dispozici uživatelům. Tato kapitole se za-bývá zpřístupněním sítě uživatelům
tak, aby s počítači mohl začít pracovat i někdo jiný než jenom správce.
Uživatelské účty
Aby mohl uživatel s počítačem vůbec začít pracovat, po-třebuje se přihlásit pomocí existujícího účtu. Zároveň je vhodné, aby měl
každý z uživatelů v počítači zajištěno alespoň základní soukromí, tedy aby si každý z nich mohl své prostředí upravit v rámci
možností podle svých před-stav, případně aby měl výhradní přístup k vlastním doku-mentům. Pro tyto účely není rozhodně
nejlepším nápadem sdílet jediný účet a už vůbec ne účet uživatele Administra-tor. Každý z uživatelů tedy bude mít svůj vlastní
účet, který je nutné vytvořit.
Vytvoření uživatelského účtu
1. Přihlaste se k běžnému klientskému počítači pomocí účtu Administrátor.
2. V Nabídce Start klepněte na položku Ovládací panely. Zobrazí se okno Ovládací panely. Pokud je v pravé části
okna zobrazen nadpis Vyberte kategorii úkolů, klepněte v levém podokně na položku Přepnout do klasického
zobrazení. Poté v pravé části poklepejte na položku Nástroje prosprávu.
3. Poklepáním na položku Správa počítače spustíte konzolu Správa počítače.
4. Rozbalte položku Místní uživatelé a skupiny a poté pravým tlačítkem myši klepněte na položku Uživatelé.
5. Klepněte na položku Nový uživatel. Zobrazí se dialogové okno Nový uživatel (viz obrázek 4.1).
Obrázek 4.1
Dialogové okno Nový uživatel
6. Do pole Uživatelské jméno zadejte jméno, které bude uživatel používat při při
hlašování (například jarosla.vh).
7. Do pole Jméno a příjmení zadejte celé jméno a příjmení uživatele. Jedná se o po
ložku, která bude zobrazena v konzole Správa počítače po klepnutí na položku
uživatelé (například Jaroslav Hluboký).
Tip
Prohoďte v tomto případě jméno s příjmením. Při hledání účtu tak budete moci účty seřadit podle příjmení.
8. Do pole Popis můžete zadat charakteristiku uživatele (například Vedoucí ob
chodního oddělení).
9. Do polí Heslo a Potvrzení hesla zadejte heslo, pomocí kterého se musí uživatel
poprvé přihlásit.
43
10. Poté, co nové heslo pro přihlášení oznámíte uživateli Jaroslav Hluboký, budete dva, kteří je budou znát. Proto je nutné
ponechat zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo. Zajistíte tak, že uživatelé budou nuceni
heslo změnit, a že to budou pouze oni, kdo budou své heslo znát.
Poznámka
Dokud uživatel nezmění své heslo, nebude moci začít pracovat s počítačem. Přestože tedy máte jistotu, že ke změně hesla
dojde, definujte ihned na úvod uživatelům „silná" hesla, tj. hesla skládající se z rozumného počtu znaků (velkých a malých
písmen, případně číslic či speciálních znaků). Vytvoříte tím nepřímo u uživatelů představu, že jejich nové heslo musí být
podobně složité, a více tak zabezpečíte přístup k počítači.
11. Klepnutím na tlačítko Vytvořit účet vytvoříte. Poté klepněte na tlačítko Zavřít.
Nastavení dalších vlastností účtů
Vytvoření účtu je pouze základním krokem. Podobně jako nestačí operační systém jen nainstalovat, ale je nutné provést jeho
další konfiguraci, je vhodné nakonfigurovat i další vlastnosti účtu.
1. Pravým tlačítkem myši klepněte na vytvořený účet a poté v místní nabídce klep
něte na položku Vlastnosti. Zobrazí se okno vlastností účtu.
2. Na kartě Je členem ověřte, že uživatelský účet je členem skupiny Users. Jedná se
o místní skupinu zabezpečení, která má předdefinované přístupy k potřebným in
formacím v systému.
Nyní to vypadá, že kromě možností konfigurace na kartě Profil již není co konfigurovat. Opak je pravdou. Je možné konfigurovat
i další vlastnosti, pro které však není v systému Windows XP Professional k dispozici grafické rozhraní.
Zobrazení informací o účtu
Protože ne všechny informace, které mohou pomoci orientaci správce v místních účtech, jsou k dispozici v grafickém rozhraní
systému Windows XP Professional, lze je zobrazit pomocí příkazu net user.
Při zadání samotného příkazu net user se zobrazí seznam všech místních účtů daného počítače. Pokud například chcete zjistit
všechny vlastnosti právě vytvořeného účtu, zadejte na příkazovém řádku příkaz-.
net u s e r j a r o s l a v h
Výpis informací tohoto příkazu může vypadat následovně:
U ž i v a t e l s k é jméno
J mé n o a p ř í j me n í
Komentář
Komentář u ž i v a t e l e
Směrové č í s l o země
Účet je a k t i v n í
Účet vypršel
jaroslavh
Hluboký J a r o s l a v
Vedoucí o b c h o d n í h o o d d ě l e n i
000 (Výchozí
Ano
Nikdy
systémové n a s t a v e n i )
Hesl o bylo naposledy n asta ven o
H e s l o vyprší
N e s l o l z e měnit
H e s l o je v y ž a d o v á n o
Uživatel smí m ě n i t h e s l o
4 / 1 / 2 0 0 3 1 : 4 5 PM
5/14/2003 12:33 PM
4 / 1 / 2 0 0 3 1 : 4 5 PM
Ano
Ano
Pracovní s t a n i c e b y l a p o v o l e n a
Přihlašovací skript
Profil uživatele
Domovský adresář
Naposledy přihlášen
Vše
Povolené p ř i h l a š o v a c í h o d i n y
Členství v m í s t n í c h s k u p i n á c h
Členství v g l o b á l n í c h s k u p i n á c h
Vše
* Us ers
*None
Nikdy
Příkaz byl úspěšně dokončen.
44
Nastavení platnosti účtu .
Pokud vytvoříte účet pro uživatele, u kterého dopředu víte, že s ním bude pracovat pouze omezenou dobu (například účet pro
dočasného zaměstnance či brigádníka), je možné určit, kdy platnost účtu automaticky vyprší:
1. Spusťte příkazový řádek systému Windows XP Professional
2. Na příkazovém řádku zadejte příkaz
net u s e r j a r o s l a v h /Expires:30.4.2003
V takovém případě vyprší účet na začátku dne 30. dubna 2003- Datum vypršení je nutné zadávat ve zkráceném formátu tak, jak
je to uvedeno v dialogovém okně Místní a jazyková nastavení na kartě Místní nastavení.
Provedené nastavení se projeví ve výpisu příkazu net user jaroslavh na řádku
Účet vypršel
4/30/2003 12:00 AM
Nastavení doby, po kterou se uživatel může přihlásit
Pokud má uživatel pracovní dobu každý den od 9 do 17 hodin a neshledáte žádný důvod, proč by měl mít přístup k datům v
počítači i mimo tuto dobu, můžete omezit čas přihlašování pouze na pracovní dobu:
1, Spusťte příkazový řádek systému Windows XP Professional
2. Na příkazovém řádku zadejte příkaz
net user jaroslavh /Times : Ponděli - Pátek ,9-1/
Ve v ýpisu p říkazu net u s e r j a r o s l a v h se p rov edené n as tavení zob razí n ás led ovn ě:
Povolené přihlašovací hodiny
P o n d ě l í 9 : 0 0 A M - 5 : 0 0 PM
Úterý 9 : 0 0 AM - 5 : 0 0 PM
Stře d a 9 : 0 0 AM - 5 : 0 0 P M
Čtvrtek 9 : 0 0 AM - 5 : 0 0 PM
Pá te k 9 : 0 0 AM - 5 : 0 0 PM
Pokud se uživatel pokusí o přihlášení mimo povolenou dobu, zobrazí se informace na obrázku 4.2.
Obrázek 4.2
Informace o časovém omezeni účtu při přihlášení uživatele
Pokud se chcete vrátit k časově neomezené možnosti přihlašování uživatele, zadejte na příkazovém řádku následující příkaz
net use r j a r o s l a v h
/Times:all
Další nastavení uživatelských účtů
Možnosti dalšího nastavení účtů získáte po zadání příkazu net h e l p u s e r na příkazovém řádku systému Windows XP
Professional.
45
Použití uživatelských účtů
Uživatelské účty vytvořené v místním počítači jsou uložené v místní databázi SAM (Secu rity Accounts Manager). Vzhledem k
tomu, že se jedná o místní účty, je možné se pomocí nich přihlásit pouze k počítači, ve kterém jsou vytvořené, což může
uživatele značně omezovat. Bohužel, v tomto režimu práce není jiné řešení. Pokud budou uživatelé nutně potřebovat přihlásit se
k jinému počítači, je nutné vytvořit další místní uživatelský účet v daném počítači. Pokud si představíte například čtyři počítače
a čtyři uživatele, kteří se potřebují přihlašovat ke všem počítačům, čeká vás práce s vytvořením celkem 16 účtů.
Přihlašování uživatelů a způsob jejich práce
Po spuštění počítače se systémem Windows XP Professional zařazeným v pracovní skupině se zobrazí Úvodní obrazovka,
která umožňuje přihlášení uživatelů.
Obrázek 4.3 Úvodní obrazovka systému Windows XP Professional
Po klepnutí na vlastní jméno je nutné zadat heslo. Teprve poté se spustí přihlašovací pro ces uživatele, na jehož konci se
uživateli zobrazí pracovní plocha. Tento stav představuje bezpečnostní riziko. Každý uživatel, který zapne konkrétní počí-tač,
vidí veškeré účty, jež jsou pro přihlášení k počítači k dispozici, a pokud se chce přih l á s i l , stačí mu zadat pouze heslo (pokud je
zná nebo pokud vyzkouší heslo uhádnout). Řešením tohoto stavu je následující postup:
1. Přihlaste se jako správce počítače.
2. V Nabídce Start klepněte na položku Ovládací panely a poté na položku Uživatelské účty.
3. Zobrazí se dialogové okno Uživatelské účty. Klepněte na položku Změnit způsob přihlašování a odhlašování
uživatelů a zrušte zaškrtnutí políčka Používat úvodní obrazovku. Poté klepněte na tlačítko Použít.
4. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz secpol.msc. Zobrazí se konzola Místní
nastavení zabezpečení.
5. Rozbalte část Místní zásady a klepněte na položku Možnosti zabezpečení.
6. V pravé části konzoly poklepejte na položku Interaktivní přihlašování: nezobrazovat naposledy použité
uživatelské jméno a zaškrtněte políčko Povolit. Poté klepněte na tlačítko OK.
Nyní se již nebude zobrazovat Úvodní obrazovka, ale standardní přihlašovací dialog znaný z předchozích systémů řady Windows
NT. Přihlašovací proces ještě dále zabezpečte vynucením použití kombinace kláves Ctrl+Alt+Del. Zabráníte tak možnostem
spuštění tzv. trojských koňů, které by se snažily uhádnout jméno a heslo uživatele:
Poznámka
Jako trojský kůň se v oblasti počítačů označuje program, který simuluje například přihlašovací dialogové okno pro to, aby v
uživateli vyvolal pocit, že systém nyní potřebuje zadat jméno a heslo uživatele. Protože uživatel dané okno zná, jméno a heslo
bez potíží zadá a trojský kůň tak příslušná pověření získá. Následně pod nimi může začít v počítači škodit.
1. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz secpol.msc. Zobrazí se konzola Místní
nastavení zabezpečení.
2. Rozbalte část Místní zásady a klepněte na položku Možnosti zabezpečení.
3. V pravé části konzoly poklepejte na položku Interaktivní přihlašování: nevyžadovat stisknutí kláves Ctrl+Alt+Del a
zaškrtněte políčko Zakázáno. Poté klepněte na tlačítko OK.
46
Přihlašovací proces je nyní zabezpečen. Kdykoli dojde ke stisku uvedené kombinace kláves, může mít uživatel jistotu, že řízení se
předalo přímo operačnímu systému, nikoli některé „nastrčené" aplikaci.
Po přihlášení může uživatel využívat prostředky operačního systému či spouštět aplikace. Nemůže samozřejmě provádět úplnou
konfiguraci, neboť není členem skupiny Admi-nistrators.
Uživatelé mohou v tuto chvíli používat místní počítač téměř bez omezení, pro běžnou práci jim to ale nestačí. Dříve či později
budou uživatelé potřebovat soubory od kolegů z ostatních počítačů. Mohou si je vyměnit na disketě nebo jiném podobném
vyměni-telném médiu, takový stav je ale značně nepohodlný a vyžaduje součinnost dvou uživa-telu. Mnohem jednodušší je
zajistit přístup do sdílených složek v jiném počítači, kam mů-že uživatel soubor určený pro ostatní uložit. Jak to bude vypadat s
přístupem k těmto sdíleným prostředkům v ostatních počítačích? K dispozici jsou dvě možnosti, které si dále nakonfigurujeme.
Přístup ke sdíleným složkám na serveru (méně bezpečný)
1. Přihlaste se k serveru SRVR001 pomocí účtu Administrátor.
2. Na jednotce C: vytvořte složku s názvem ABCD a v ní vytvořte textový soubor. Na složku klepněte pravým tlačítkem myši
a v místní nabídce poté klepněte na položku Sdílení a zabezpečení.
3. Na kartě Sdílení zaškrtněte políčko Sdílet tuto složku a ponechte výchozí název sdílení (ABCD).
4. Klepněte na tlačítko Oprávnění a ověřte, zda je pro skupinu Everyone definováno oprávnění Číst.
5. Dialogové okno oprávnění zavřete klepnutím na tlačítko OK a poté klepněte na kartu Zabezpečení.
6. Klepněte na tlačítko Přidat, do pole Zadejte názvy objektů k výběru zadejte text Everyone a poté klepněte na tlačítko
Kontrola názvů. Poté klepněte na tlačítko OK.
7. Klepnutím na tlačítko OK zavřete dialog vlastností složky ABCD.
8. Spusťte konzolu Správa počítače, rozbalte položku Místní uživatelé a skupiny a klepněte na položku Uživatelé.
9. V pravém podokně poklepejte na účet Guest a v dialogovém okně vlastností zrušte zaškrtnutí políčka Účet je
zablokován. Poté klepněte na tlačítko OK.
10. Nyní se přihlaste jako běžný uživatel k počítači se systémem Windows XP Professional.
11. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte cestu \\SRVR001\ABCD. Zobrazí se obsah
složky ABCD.
Přístup ke sdíleným složkám na serveru (více bezpečný)
•
•
•
•
•
•
•
•
Přihlaste se k serveru SRVR001 pomocí účtu Administrátor a Spusťte konzolu Správa počítače, rozbalte položku
Místní uživatelé a skupiny a pravým tlačítkem myši klepněte na položku Uživatelé.
Klepněte na položku Nový uživatel a vytvořte identický účet se stávajícím (včetně stejného hesla) pro uživatele, jemuž
chcete přístup do složky povolit. Zrušte za škrtnutí políčka Při dalším přihlášení musí uživatel změnit heslo.
Na jednotce C: vytvořte složku s názvem BCDE a v ní vytvořte textový soubor. Na složku klepněte pravým tlačítkem myši a
v místní nabídce poté klepněte na polož ku Sdílení a zabezpečení.
Na kartě Sdílení zaškrtněte políčko Sdílet tuto složku a ponechte výchozí název sdílení.
Klepněte na tlačítko Oprávnění a ověřte, zda je pro skupinu Everyone definováno oprávnění Číst.
Dialogové okno oprávnění zavřete klepnutím na tlačítko OK a poté klepněte na kartu Zabezpečení.
Ověřte, zda je v seznamu řízení přístupu místní skupina Users (SRVROOlAUsers). Pokud ne, klepněte na tlačítko Přidat a do
pole Zadejte názvy objektů k výběru zadejte přihlašovací jméno uživatele a poté postupně klepněte na tlačítka Kontrola
názvů a OK.
Dialogové okno vlastností složky zavřete klepnutím na tlačítko OK.
Porovnání zabezpečení obou možností
Jak to bývá v běžném životě, platí i zde „něco za něco". Abychom si rozšířili obzor, podívejme se na výsledek obou případů: Je
nutné zajistit přístup ke sdíleným složkám pro více uživatelů (nikoli pro jediného jako v uvedených případech).
První řešení tedy bude v takovém případě mnohem jednodušší, bohužel však za něj zaplatíte méně zabezpečeným prostředím.
Každý vzdáleně přistupující uživatel je zde zosobněn účtem Guest, který je pro tento účel nutné povolit. Není tedy nutné
definovat další účty. Na druhou stranu je otevřená možnost (pro kohokoli) využití účtu Guest k místnímu přihlášení k
serveru. Další nevýhodou tohoto řešení je stejná úroveň přístupu pro všechny uživatele. V našem případě mohou všichni
uživatelé pouze číst obsah složky a jednotlivé položky.
Druhé řešení je o poznání bezpečnější a využívá mechanismu tzv. mapování účtů. Pokud jste ve svém počítači přihlášeni
stejným přihlašovacím jménem a heslem, jako má účet s potřebnými oprávněními v cílovém počítači, proběhne při
přístupu mapování účtu a přístup je povolen. Nevýhodou tohoto řešení je nutnost vytvořit místní účet pro každého uživatele.
Výhodou je pak ale možnost definovat pro každého uživatele jinou úroveň přístupu (čtení, zápis a další).
Poznámka
Při používání vlastnosti mapování účtu je nutné udržet účty na všech místech, kam uživatel přistupuje, ve stejném stavu. To
47
znamená, že pokud uživatel například změní heslo v jednom počítači, měl by to postupně provést ve všech, v opačném případě
přestane tato metoda fungovat (viz informace dále).
Tisk na vzdálené tiskárny
Pro tisk na síťové tiskárny (tedy tiskárny nainstalované na tiskovém serveru (nikoli v místním počítači)) platí to samé, co pro
přístup ke sdíleným složkám. Znovu jsou použitelné obě možnosti, přičemž první z nich lze doporučit pouze v prostředí, kde se
nevyžaduje téměř žádné zabezpečení. Skupina Everyone (v prvním případě), případně jednotlivé uživatelské účty (či skupina
SRVROOlAUsers) musí mít k tiskárně oprávnění Tisk.
Práce s dalšími počítači
Pokud chce uživatel pracovat s dalším počítačem, je bezpodmínečně nutné, aby měl v takovém počítači vytvořen vlastní účet. Z
pohledu správce tedy jednoduše řečeno - co počítač, to účet. Téměř neřešitelným problémem je však v takovém prostředí
otázka synchronizace hesel.
Pokud v síti pracují zodpovědní uživatelé, kteří používají silná hesla, budou si je pravděpodobně také jednou za čas měnit. Je ale
nutné si uvědomit, že pokud uživatel změní své heslo, stane se tak pouze v počítači, ke kterému je uživatel právě místně neboli
interak-ti v n ě přihlášen (místně = pomocí kombinace kláves Ctrl+Alt+Delete). Pak se ale velmi jednoduše může stát, že přístup k
prostředkům v jiných počítačích nebude povolen (jednoduše nebude fungovat mapování účtů). Uživatel tedy musí obejít
všechny počítače, přihlásit se ke každému z nich a provést změnu hesla. A zde je kámen úrazu. Při větším počtu počítačů tak
bude uživatel zbytečně ztrácet čas změnou hesla, navíc si během přechodného období (než heslo všude změní) bude muset
pamatovat hesel více.
Nastavení prostředí uživatelem
Při prvním přihlášení každého uživatele se vytvoří uživatelský profil. Ten obsahuje mimo jiné následující data a nastavení:
•
•
•
•
•
Data aplikací Nastavení aplikací, jako je poštovní profil, konfigurace prostředí aplikace apod. O informacích, které se
zde budou ukládat, rozhodují výrobci aplikací.
Plocha Všechny položky umístěné na pracovní ploše, tedy to, co uživatel stále vidí před sebou.
Oblíbené položky Odkazy na oblíbené webové stránky.
Dokumenty Obsah složky Dokumenty dostupné v nabídce Start. Výchozí místo pro ukládání dokumentů.
Nabídka Start Položky podnabídky Všechny programy v Nabídce Start.
Pokud vytvoříte v počítači uživatelský účet bez další konfigurace, vytvoří se automaticky při pivním přihlášení uživatele profil
na místním disku v cestě %systemroot%\Documents and Settings\%username%. Veškeré změny, které se do profilu
zaznamenávají, se tak ukládají na místní disk. Pokud se uživatel přihlásí pomocí dalšího svého místního účtu v jiném počítači,
vytvoří se znovu nový profil ve stejné cestě. Pokud chce mít uživatel stej-né nastavení prostředí jako v předchozím případě, musí
vše nakonfigurovat znovu.
Aby se činnost uživatelů zjednodušila, obsahuje systém Windows XP Professional mož-nost nakonfigurovat takzvaný cestovní
(roaming) profil. Uživatel potom nemusí konfigu-rovat v každém počítači profil zvlášť, neboť profil, jejž si již jednou vytvořil,
„cestuje" v po-čitačích, ke kterým se uživatel přihlašuje, s ním. Aby vše fungovalo, musí být profil k dispozici uživateli při každém
přihlášení, a je tedy vhodné (téměř nutné) jej uložit na server, který je stále k dispozici.
Konfigurace cestovních uživatelských profilů není v našem stávajícím prostředí zdaleka triviální záležitostí. Jedná se o dosti
nestandardní situaci, která je prakticky v systémech Windows XP Professional novinkou, a pro úplnou konfiguraci vyžaduje
poměrně dost práce. Navíc mohu potvrdit, že se i po správné konfiguraci (viz další postup) mohou oblevil potíže, a to naprosto
náhodně v různých počítačích.
V kapitole 13, „Profily uživatelů", je popsána práce s cestovními profily uživatelů podrobné, konfigurace prostředí se však do té
doby změní směrem ke standardu, kde s cestovními profily potíže nebývají.
Vylvoření funkčního cestovního profilu v našem prostředí sestává z několika fází.
• Vytvoření sdílené složky pro ukládání profilů (na serveru, který je stále k dispozici).
• Konfigurace uživatelských účtů.
• Vytvoření cestovního profilu.
Vytvoření sdílené složky pro ukládání profilů
1. Přihlaste se k serveru SRVR001 jako správci.
2. Na jednotce C: vytvořte složku Profily. Tuto složku sdílejte a pro skupinu Everyone nastavte oprávnění Úplné řízení.
Do oprávnění NTFS (karta Zabezpečení v dialogovém okně vlastností složky Profily) přidejte skupinu Everyone s
oprávněními Úplné řízení.
48
Obrázek 4.4
Sdílení složky Profily a nastavení oprávnění ke sdílení
Konfigurace uživatelských účtů
Účet uživatele používajícího cestovní profil musí existovat v každém počítači, ke kterému se uživatel zamýšlí přihlašovat. Dále
je nutné účet v každém počítači nakonfigurovat takto:
1. V konzole Správa počítače rozbalte položku Místní uživatelé a skupiny a poté
přejděte na položku Uživatelé.
2. U každého uživatele zadejte ve vlastnostech účtu na kartě Profil do pole Cesta
k profilu cestu \\SRVR001\Profily\%usernanie%. Dialogové okno vlastností
účtu zavřete klepnutím na tlačítko OK.
Poznámka
Systémová proměnná %username% zde nahrazuje přihlašovací jméno uživatele. To můžete samozřejmě zadat také přímo.
Proměnnou využijete v případě, kdy provádíte změnu konfigurace u více uživatelů, případně provádíte-li změnu pomocí skriptu.
Vytvoření cestovního profilu
1. Vyberte si libovolný počítač se systémem Windows XP Professional, ve kterém budete později profil konfigurovat a
přihlaste se k němu jako uživatel Administrátor.
2. V tomto počítači vytvořte dočasný uživatelský účet, který bude sloužit pouze provytvoření referenčního profilu. Pro
tento účet nekonfigurujte cestovní profil.
3. Odhlaste se a přihlaste se pomocí dočasného uživatelského účtu.
4. Vytvoří se místní uživatelský profil. Ten nakonfigurujte podle potřeby (můžete například doplnit zástupce na pracovní
plochu, nainstalovat síťové tiskárny či nakonfigurovat Nabídku Start) a poté se odhlaste. Tím je vytvořen referenční
profil pro nové uživatele.
5. Přihlaste se jako uživatel Administrátor. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a
poté v místní nabídce klepněte na položku Vlastnosti.
6. Na kartě Upřesnit klepněte v části Profily uživatelů na tlačítko Nastavení. V dialogovém okně Profily uživatelů
klepněte na profil dočasného uživatele a poté klepněte na tlačítko Kopírovat.
7. Do pole Zkopírovat profil do zadejte úplnou cestu do síťové složky s profilem (například \
\SRVR001\Profily\jaroslavh).
8. V části Povoleno používat uživatelem klepněte na tlačítko Změnit, poté vyberte správný účet a udělte mu oprávnění
Úplné řízení. Poté klepněte na tlačítko OK.
49
Systém Windows XP Professional vytvoří v cestě \\SRVR00l\Profily složku jaroslavh a přiřadí k ní příslušná oprávnění
skupině Administrátore, uživateli zadanému v kroku 8 a účtu SYSTEM. Pokud je cílová složka v jiném počítači, než ve kterém
byl profil vy-tvořen, bude namísto účtu uživatele jaroslavh zobrazen identifikátor zabezpečení. Ten je nutné odebrat, místo něj
přidat správného uživatele (mapovaný uživatelský účet, tedy SRVR001\jaroslavh) a udělit mu oprávnění Úplné řízení.
Pokud budete chtít vytvořit cestovní profil pro již existujícího uživatele, postupujte ob-dob n ě s tím rozdílem, že nebudete
vytvářet dočasného uživatele a jeho profil, ale do cílové složky na serveru zkopírujete aktuální profil uživatele z počítače, se
kterým uživatel pracuje.
Další informace o profilech naleznete v kapitole 13, „Profily uživatelů".
Poznámka
Postup s konfigurací cestovního profilu nedoporučuji používat v prostředí se systémy ryze Windows 2000.
Dostupnost dokumentů uživatelů
Možná se vám bude zdát, že vytváření a správa cestovních uživatelských profilů jsou v tomto prostředí opravdu zbytečně
složité, a rozhodnete se podobné vlastnosti nekonfi-gurovat. V takovém případě by ale bylo vhodné zpřístupnit uživatelům alespoň
jejich dokumenty v každém počítači, ke kterému se přihlásí. A tady je čas na menší změnu opro-n předchozímu doporučení pro
ukládání soukromých dokumentů.
Pokud budou totiž uživatelé používat místní profily a dokumenty budou ukládal do upřednostňované složky Dokumenty,
zůstanou uložené pouze v místním počítači. Ne jen že není jisté, zda se k nim uživatel kdykoli dostane, protože počítač nemusí
hýl vždy zapnut ale data v klientském počítači navíc obvykle nebývají zabezpečena proti haváriím systému. Proto je vhodnější
ukládat citlivá data namísto klientských počítačů na serveru, neboť servery se pravidelně zálohují, a data tak mají alespoň jistý
stupeň zabezpečeni.
Zpřístupnění dokumentů v každém počítači se systémem Windows XP Professional lze zajistit následujícími kroky:
V každém počítači (včetně serveru, na kterém jsou data uložena) vytvořte uživa-telský účet se stejným přihlašovacím jménem i
heslem.
Na serveru SRVR001 vytvořte na jednotce C: složku Dokumenty. Složku sdílejte a skupině Everyone udělte oprávnění pro
sdílení Změnit.
Ve vlastnostech každého účtu v každém počítači je nutné na kartě Profil zaškrtnout v části Domovská složka políčko
Připojit, dále vybrat písmeno jednotky (doporučuji ponechat písmeno Z:) a do pole k: zadat cestu \\SRVR001\Dokumenty\%username% (viz obrázek 4.5). Po klepnutí na tlačítko OK nebo Použít se na serveru SRVR001 ve složce
Dokumenty vytvoří podložka podle přihlašovacího jména uživatele. Není nutné upravovat žádná oprávnění.
Obrázek 4.5
Karta Profil s nakonfigurovanou Domovskou složkou
50
Po přihlášení k počítači se systémem Windows XP Professional bude mít uživatel k dispozici navíc disk Z:. Aby toto nastavení
našlo své využití, je nyní nutné naučit uživatele ukládat důležité dokumenty právě na tuto jednotku. To může být jedna z
nejtěžších fází celého postupu, neboť zvyk je železná košile a u méně vzdělaných uživatelů se takové zvyky mění velmi
obtížně.
Nevýhodou tohoto poměrně jednoduchého řešení je přístup všech uživatelů k dokumentům jiných uživatelů na serveru
SRVR001 ve složce Dokumenty. I to však lze omezit, a to udělením příslušných oprávnění NTFS přímo na serveru:
1. Zobrazte vlastnosti příslušné podsložky %username% (složky s dokumenty konkrétního uživatele), kterou chcete
zabezpečit.
2. Na kartě Zabezpečení klepněte na tlačítko Upřesnit, zrušte zaškrtnutí políčka definujícího dědičnost, klepněte na
tlačítko Kopírovat a poté na tlačítko OK.
3. Ze seznamu účtů odeberte skupinu SRVROOlAUsers a do seznamu přidejte příslušného uživatele, kterému udělíte
oprávnění Měnit.
4. Dialogové okno vlastností složky zavřete klepnutím na tlačítko OK.
Nyní je možné ověřit, že jako jeden uživatel se nedostanete k dokumentům ostatních uživatelů. Vytvořili jsme tak řešení pro
bezpečný přístup k dokumentům z jakéhokoli počí-tače v, se kterým může uživatel pracovat.
Závěr
Pokud se chce uživatel přihlásit k počítači, který je členem pracovní skupiny, musí nul v počítači vytvořen účet. Grafické
uživatelské rozhraní pro správu místních účtů ale nenabízí všechny možnosti nastavení. Pokud tedy chcete například uživatele
omezit v přihlašování pouze v omezenou dobu nebo chcete nakonfigurovat účet tak, aby se automaticky zakázal k některému
datu, je nutné provést to pomocí příkazu net u s e r spuštěného na příkazovém řádku.
Uživatelé by měli v každém počítači vždy začít stiskem klávesové kombinace Ctrl+Alt+Del. Pokud není tato možnost
nakonfigurovaná (například se používá Úvodní obrazovka), není proces přihlašování bezpečný, neboť jakýkoli uživatel vidí
přihlašovací jména všech uživatelů, kteří mají v počítači účet, a pokud by se chtěl přihlásit, zbývá mu uhádnout pouze heslo.
Navíc se můžete stát obětí tzv. trojského koně, který se tváří jako součást systému a jenom čeká na zadání vašeho jména a hesla,
jež je poté schopen zneužít.
Pokud mají mít uživatelé přístup k dokumentům ostatních uživatelů, je možné vytvořit na serveru, který je pro tyto účely neustále
zapnut, sdílenou složku, do níž bude možné dokumenty ukládat a číst. Existují dvě možnosti konfigurace oprávnění. Ta méně
bezpečná (využití účtu Guest) má jednodušší konfiguraci a správu, ta více bezpečená klade vyšší nároky jak na správce, tak i na
uživatele. Obdobně je možné zajistit přístup k síťovým tiskárnám.
P ři prvním přihlášení uživatele k počítači se vytvoří profil. Jedná se o soubor nastavení a dat příslušných konkrétnímu
uživateli, který nemá vliv na práci ostatních uživatelů. Každý l a k může mít své vlastní prostředí (které si může kdykoli upravit)
bez ohledu na ostatní uživatele. Součástí profilu je také složka Dokumenty, což je doporučená složka pro ukládání soukromých
dokumentů. Pokud je disk v počítači zformátován systémem sou-boru NTFS, je profil standardně zabezpečen tak, že do něj má
přístup pouze konkrétní Uživatel a správce počítače. Dokumenty jsou tak standardně zabezpečeny proti neopráv-nénému přístupu.
Nevýhodou je, že profil zůstává uložen v místním počítači i po odhlá-šení uživatele.
Pokud se uživatel přihlašuje k více počítačům, je možné zajistit, že bude mít stále stejný a jediný profil. Tomuto typu profilu se
říká cestovní a jeho vytvoření a konfigurace byly výše popsány. Obrovskou výhodou takového typu profilu je dostupnost
dokumentů ve všech počítačích. Pokud ale uznáte, že vytváření a správa cestovních profilů je v prostře dí pracovní skupiny
zbytečně náročnou záležitostí, můžete od ní ustoupit a zůstat u míst-ních profilů. Dokumenty uživatelů můžete ve všech
počítačích zpřístupnit vytvořením a zabezpečením domovské složky na serveru. Uživatelé budou mít v každém počílači po
přihlášení navíc další jednotku, ve které budou tyto dokumenty k dispozici. Musí ale změ-nit své zvyky, a to ukládat dokumenty
na tuto jednotku namísto původní složky Doku menty.
51
Stav sítě
Model sítě, který v tuto chvíli provozujeme, se nazývá pracovní skupina. Každý uživatel má místní účet v počítači, který
používá pro svou práci. Úplnou konfiguraci účtu jsme provedli pomocí řádkového příkazu net user. Pokud používá více
počítačů, má vytvořen v každém počítači stejný účet (použití účtu Guest nelze z bezpečnostního hlediska doporučit). Pro práci s
dokumenty jste pro uživatele vybrali jeden z následujících modelů:
Cestovní profily
Místní profily a domovské složky
•
•
Protože správa a vytváření cestovních profilů je v prostředí pracovní skupiny náročnou záležitostí (a ne vždy spolehlivou),
doporučuji využívat druhou možnost. Na serveru mohou existovat sdílené složky Profily a Dokumenty.
52
Jak růst s firmou?
Dosud se toho v naší fiktivní síti moc nepřihodilo. Došlo k instalaci serverového operačního systému Windows Server 2003 a
operačního systému Windows XP Professional do několika klientských počítačů. Uživatelé mají díky exi-stenci účtů možnost
přihlásit se a pracovat s téměř všemi počítači (možná úplně všemi, pokud jste opravdu vytvořili účty uživatelů všude) a v každém
počítači mají k dispozici své dokumenty, případně celý profil.
Možná si ale současně jako správci začínáte klást otázku, zda to všechno není nějak moc složité - jak z pohledu správce, tak i pro
uživatele. Pokud dříve či později dojde-te k závěru, že takto to už dál prostě nepůjde, budete mít pravdu. Vytvořené prostředí je
při zvyšujícím se počtu uži-vatelu z pohledu správce skutečně neudržitelné, navíc vy-žaduje poměrně velké znalosti uživatelů.
Protože jsou různé typy správců a různá prostředí, má kaž-dý své možnosti posunuty trochu jinak. Některý ze správní je ledy
schopen takové prostředí udržet pouze při po-čtu řádově jednotek počítačů, některý je schopen toto bří-mě táhnout i pro desítky
stanic. Pokud by se tito správci potkali, zřejmě nebudou chápat pozici druhého a bude málo věcí, na kterých se dokážou
shodnout. Oba však dojdou k prahu, kdy si řeknou, že už to takto dál nejde.
V dalších odstavcích se podíváme na další možnosti sprá-V rostoucího prostředí a provedeme jejich porovnání.
Pracovní skupina
Během instalace systému jste v dialogovém okně Pracovní skupina nebo doména počítače ponechali výchozí na-stavení tledy
pracovní skupinu s názvem SKUPINA.
Základní charakteristiky pracovní skupiny (také označova-né jako sítě peer-to-peer neboli sítě rovnocenných počíta-ču) vyjádřit v
následujících bodech:
•
•
•
•
•
•
•
Pracovní skupina je jednoduchým a levným řešením připojení malého počtu uživatelů k prostředkům v síti.
V prostředí pracovní skupiny jsou všechny počítače na stejné úrovni. Počítače spolu nemohou účinně spolupracovat a nelze
je žádným způsobem jednoduše a jednotně spravovat.
Uživatel musí mít vytvořený účet v každém počítači, se kterým potřebuje pracovat (ke kterému se potřebuje přihlásit).
Uživatelské účty jsou uloženy vždy v databázi zabezpečení (SAM, Security Account Manager) v místním počítači.
Pokud chce uživatel využívat prostředky v jiném počítači, musí mít v takovém počítači účet se stejným přihlašovacím
jménem a heslem. V opačném případě bude muset vždy při přístupu k síťovým prostředkům zadávat jméno a heslo.
Pokud chce uživatel změnit své heslo, měl by tak učinit ve všech počítačích, neboť pouze tak dosáhne konzistence všech
svých účtů a bude mít i nadále přístup ke sdíleným prostředkům v ostatních počítačích.
Jakékoli nastavení zabezpečení nastavené pomocí konzoly Místní zásady zabezpečení platí pouze pro místní počítač.
Pracovní skupina je primárně určena pro malé sítě s dvěma až deseti uživateli, kdy uživatel potřebuje pracovat více než s jedním
počítačem a mít přístup ke sdíleným prostředkům, jako jsou sdílené složky a síťové tiskárny.
Ačkoli to vypadá spíše na samé nevýhody, něco pozitivního zde přece jen najdeme. Pořízení celého prostředí a následná správa
je relativně levnou záležitostí (pokud samozřejmě nepřekročí rozumnou hranici počtu počítačů). Největší výhodou tohoto
prostředí jsou minimální nároky na správu a znalosti správců.
Pro větší a rozvíjející se prostředí je tedy nutné najít lepší model, který bude umožňovat jednodušší správu uživatelských účtů i
ostatních prvků sítě a nebude závislý na růstu prostředí (je jedno, zda prostředí obsahuje desítky či stovky počítačů). Takovým
modelem je doména.
53
Doména
Doménu lze definovat jako logické seskupení prostředků v síti. Prostředky se rozumí počítače, uživatelské účty, skupiny
uživatelů atd. Jak se bude doména tvářit v porovnání s pracovní skupinou?
• V doméně existuje částečné hierarchické uspořádání počítačů. Na vrcholu hiearchie je počítač, který udržuje doménovou
databázi, tzv. řadič domény. Nejedná se tedy o síť typu peer-to-peer, ve které jsou si všechny počítače rovny.
• Uživatel má pouze jediný, takzvaný doménový účet. Ten může standardně použít k přihlášení ke každému počítači v
doméně.
• Účet uživatele je uložen v doménové databázi. Doménovou databázi udržuje řadič domény. Pokud je řadičů domény více,
vyměňují si repliku doménové databáze (pro případ, že by některý z nich vypadl nebo pokud je v síti velký počet
uživatelu a jeden řadič by takový počet nezvládal).
• Přístup k prostředkům v jiných počítačích v doméně může být řízen doménovým účtem uživatele. Místní účty v daných
počítačích nejsou nutné.
• Pokud uživatel mění heslo, týká se to jeho doménového účtu. Se změněným heslem je tedy schopen se ihned poté
přihlásit k jinému počítači.
• Počítače v doméně lze zabezpečit pomocí nastavení Zásad skupiny definovaných pouze jednou pro celou doménu.
Doménové prostředí je jedinou rozumnou volbou pro střední až velká prostředí. Umožňuje mnohem efektivnější správu,
poskytuje větší zabezpečení prostředí a ve svém důsledku snižuje celkové náklady na výpočetní techniku.
Správa doménového prostředí
V porovnání s pracovní skupinou je správa domény na první pohled mnohem složitější záležitost. Doména totiž v porovnání s
pracovní skupinou nabízí mnohem více funkcí. Samozřejmě správcem domény se nelze stát přes noc, neboť každé funkci je
třeba dostatečně porozumět a naučit se ji používat na správném místě a ve správné situaci.
Hned na začátku je tedy nutné podotknout, že stát se dobrým správcem domény vyžaduje hodiny a hodiny studia a samozřejmě
a hlavně praxi. Každá doménová funkce vyžaduje úplné pochopení, k němuž bývá mnohdy nutné vše pečlivě prověřit v
laboratorn í m prostředí. Na druhou stranu je nutné podotknout, že i v původní literatuře se lze občas setkat s chybami, které
ovšem odhalí pouze praxe.
Pokud budete znát možnosti doménového prostředí a budete je umět nakonfigurovat a využívat, bude vaše práce mnohem
jednodušší a efektivnější.
V praxi se lze také setkat dosti často s opačnou situací. S nainstalovaným doménovým prostředím, jehož správci doméně
dobře nerozumí, neznají její vlastnosti a funkce, a po kud je znají, neumějí je používat. Tak lze dosti často vidět i prostředí,
kde se některé funkce, které jsou v doménových prostředích běžně k dispozici, řeší nákupem a konfiguraci dalších produktů.
Pochopitelně se jedná o zbytečně vynaložené prostředky, navíc to znamená přítomnost dalšího softwaru v počítači, se kterým
je nutné se naučit pracovat, je nutné řešit jeho zálohování, případně přenesení do jiného systému v případě havárie
počítače atd. atd. Náklady na správu prostředí tím zbytečně rostou.
Závěr
Doména je jediným prostředím, které lze efektivně spravovat během jeho změn, růstu i nasazování dalších technologií.
Jednoduchým vodítkem pro posouzení, zda je doména spravována optimálně, jsou reakce správců na růst prostředí (to znamená
na zvyšováni počtu uživatelů, pracovních stanic či obdobných požadavků). Správce, který drží svou do ménu pevně v rukou,
nemusí mít žádné obavy před růstem spravovaného prostředí. Na opak, má pro tyto změny připravené postupy, případně
upravené nástroje pro správu pro své kolegy či kolegyně, kteří nejsou plnohodnotnými správci domény, ale odpovídají a mají
oprávnění k provádění dílčích činností. Pokud se správci růstu prostředí bojí, ne mají buď dostatečné znalosti nebo správu
prostředí zanedbali.
54
Proč a jak se v síti překládají názvy
Na začátek si vše ukažme na příkladu. Pokud chcete ze svého telefonu zavolat spolupracovníkům, pravděpodobně si jejich
jméno vyhledáte v telefonním seznamu svého mobilního přístroje. Co když ale takový záznam v telefonu nemáte? V takovém
případě pravděpodobně požádáte někoho jiného, aby vám telefonní číslo na kolegu či kolegyni poskytl, a hned poté, pokud
předpokládáte, že jim nebudete volat naposledy, je zavedete do svého telefonního seznamu.
Všichni tuto činnost již provádějí jaksi automaticky, přičemž na podstatu věci vůbec nemyslí. Koneckonců to ani není třeba. Na
pozadí se v takovém případě odehrává proces překladu jmen spolupracovníků na jejich telefonní čísla. Proč? Jednoduše proto,
protože lidé si lépe pamatují jména než konkrétní čísla. Právě proto existují telefonní seznamy v mobilních telefonech, v
elektronické nebo papírové podobě.
Síť mobilních i pevných telefonů je na tom z tohoto pohledu velmi podobně jako počítačová síť. Telefony, stejně jako počítače,
mezi sebou komunikují pomocí čísel (u počítačů se jedná o adresy IP, u telefonů o telefonní čísla), uživatelé naproti tomu
používají raději názvy. Každý tedy používá to, co je mu bližší. A aby se uživatelé s přístroji dohodli, je nutné, aby mezi nimi a
počítači (nebo telefony) existovala služba, která bude umět potřebné údaje oběma stranám přizpůsobit. Této službě se říká
„Překlad názvů".
Názvy počítačů
V kapitole 2, „Instalujeme klientské počítače", jste provedli Instalaci několika pracovních stanic. Každý počítač během Instalace
získal svůj název (PC001, PC002, v případě serveru SRVR001). Kolik má takový počítač vlastně názvů?
Odpověď je jednoduchá. Každý počítač má dva názvy. Zajímavější bude, když si názvy počítače PC001 napíšeme pod sebe:
1. název PC001
2. název PC001
Vypadá to divně, že? Ano, máte pravdu. Ale pouze do té míry, že to tak „vypadá". Každý název je totiž určen pro něco úplně
jiného.
První z názvů (vzhledem k jejich rovnosti si tady můžete vybrat) je takzvaný hostitelský název (host name) počítače (nebo
jiného zařízení).
Obrázek 6.1
V poli Název počítače je uveden hostitelský název počítače
Druhý z názvů je takzvaným názvem rozhraní NetBIOS (Network Basic Input/Output System).
Obrázek 6.2
Název rozhraní NetBIOS počítače
55
Nyní jste se opravdu přesvědčili o tom, že jsou oba názvy stejné. V čem se liší, si řekneme dále.
Název rozhraní NetBIOS
Název rozhraní NetBIOS je identifikátorem, který používají služby NetBIOS spuštěné v počítači. Jeho délka je nejvíce 16
znaků. Prvních 15 znaků jsou běžné znaky a 16. znak je speciální - určuje funkci počítače (viz tabulka 6.1).
Název NetBIOS
16. znak
Služba
SRVR001
00
Workstation
SRVR001
20
Server
SRVR001
01
Messenger
Tabulka 6.1 Příklady názvů NetBIOS
Názvy NetBIOS se používají k identifikaci prostředků v sítích NetBIOS. Obor názvů rozhraní NetBIOS je plochý (není
hierarchický). To znamená, že název se používá samostatné a nikdy nemá žádnou příponu. Tím je však omezena jeho
použitelnost - pokud by byl na názvech NetBIOS založen Internet, mohl by v celém Internetu existovat jediný po-čítač s názvem
WWW. Z toho dále vyplývá, že žádné dva názvy spolu nemají nijakou souvislost a název NetBIOS tedy musí být v síti jedinečný.
Následuje souhrn charakteristických vlastností názvů rozhraní NetBIOS:
• Názvy NetBIOS se používají pro služby vyžadující rozhraní NetBIOS. Systémy Win
dows XP Professional a Windows 2000 Professional toto rozhraní nepotřebují, po
kud se však v síti vyskytují počítače s předchozími operačními systémy Windows,
musí v síti existovat služba překladu názvů NetBIOS.
• Název NetBIOS nemusí být nutně shodný s hostitelským názvem počítače.
• Název NetBIOS musí být v síti jedinečný.
Jediný počítač může být v síti reprezentován více názvy NetBIOS, neboť může plnit více různých služeb. Všechny místní názvy
NetBIOS zobrazíte zadáním příkazu nbtstat -n na příkazovém řádku:
C:\>nbtstat -n
Pripojení k místni siti :
Adredsa IP u z l u : 192.168.10.17 ID o b o r u : []
T a b u l k a m í s t n í c h n á z v ů systému NetBIOS
Název
PC001
SKUPINA
PCOOl
PCOO1
SKUPINA
SKUPINA
MSBROWSE
<00>
<00>
<20>
<03>
<1E>
<1D>
<01>
Typ
Stav
JEDINEČNÉ
SKUPINA
JEDINEČNÉ
JEDINEČNÉ
SKUPINA
JEDINEČNÉ
SKUPINA
Registrovaný
Registrovaný
Registrovaný
Registrovaný
Registrovaný
Registrovaný
Registrovaný
Hostitelský název
H o s t i t c l s k ý název je jednoznačnou identifikací počítače nebo zařízení, pomocí které je Lze v síti nalézt Hostitelské názvy jsou
standardem v Internetu. V porovnání s názvy NetBios mají větší použitelnost, neboť hostitelský název je částí úplného názvu v doméně
(FQDN, Fully Qualified Domain Name), který představuje hierarchický obor názvů. To znamení, že více počítačů v síti může mít
stejný hostitelský název, přičemž se od sebe odlišují příponou DNS (Domain Name System).
56
Obrázek 6.3
Hostitelský název
a úplný název v doméně
Například úplný název v doméně (FQDN) SRVR001.studny.local má dvě části. SRVR001 je hostitelským názvem a studny.local
je příponou. Možná, že byste se například v Internetu mohli setkat s názvem SRVR001.jinadomena.cz. V takovém případě je
hostitelský název počítače, ke kterému byste se takto připojili, stejný jako náš - SRVR001, ale úplný název v doméně se liší
příponou (v tomto připadě jinadomena.cz).
Pravděpodobnost, že byste se v Internetu setkali s hostitelským názvem SRVR001, je asi velmi malá, ale pokud si místo názvu
SRVR001 dosadíte název WWW, budete jistě souhlasit, že s tímto výskytem není v Internetu problém.
Hostitelský název se při instalaci počítače odvozuje od zadaného názvu při instalaci. Přípona názvu se buď doplní automaticky
(pokud je počítač členem domény), nebo ji lze zadat později. Následuje souhrn charakteristických vlastností hostitelských
názvů:
• Hostitelský název se používá k určení počítače nebo jiného zařízení v sítích s pro tokolem TCP/IP.
• Hostitelský název nemusí být nutně stejný s názvem rozhraní NetBIOS.
• Maximální délka hostitelského názvu je 63 znaků.
• Jediný hostitel může být v síti znám pod více hostitelskými názvy.
Hostitelský název počítače se systémem Windows XP Professional (nebo Windows 2000 Professional) lze zobrazit pomocí
nástroje HOSTNAME zadaného na příkazovém řádku:
C: \>hostname pcOOl
Systémy Windows 2000 a vyšší používají primárně hostitelské názvy. Mohlo by se tedy zdát, že na názvy rozhraní NetBIOS
není nutné brát ohled. Ačkoli by to bylo z pohledu Správy domény žádoucí, málokdy se však stane, že v celé síti se nevyskytuje
ani jeden počítač s předchozím z operačních systémů Windows. Sítě tedy nejsou homogenní a na názvy NetBIOS a jejich
překlad je nutné neustále myslet.
Překlad názvů
Protože je v sítích žádoucí, aby se pracovalo s názvy počítačů, je nutné zajistit jejich překlad na adresy IP. Proto je velmi
důležité dobře pochopit všechny metody překladu hos-t ilelských názvů i názvů rozhraní NetBIOS a znát přesně postupy, ve
kterých se uplatňují.
V následujících odstavcích se podíváme na různé typy přístupů k překladu názvů a poté si vše vyzkoušíme.
Statické řešení překladu názvů
Statické řešení je velmi podobné tištěnému telefonnímu seznamu. Prostě do něj nahlédnete, vyhledáte konkrétní osobu a její
telefonní číslo. Aby vše pracovalo, musí mít takový seznam po ruce každý, kdo jej potřebuje.
Přcvedeno do prostředí počítačů:
Každý počítač, který chce komunikovat s ostatními pomocí názvů, jež přijal od uživatele nebo aplikací, musí mít po ruce tabulku,
ve které je k dispozici konkrétní název a odpovídající adresa IP.
Ne výhody statického překladu
Nevýhoda takového řešení může být zřejmá ihned - pokud je záznam chybný (adresa IP je uvedena chybně), ke komunikaci
nedojde. Taková situace se ale může vyskytnout velmi často - změna adresy IP není v sítích s protokolem TCP/IP žádným
ojedinělým procesem. Sami si položte otázku, v jak velkém prostředí (tady jde pouze o počet počítačů a způsob adresování
protokolu IP) budete schopni statický překlad názvů udržet funkční. Výhody statického překladu
57
Na druhou stranu má tento způsob i své výhody - není například nutno konfigurovat v síti další služby, které by řešily překlad
adres jiným způsobem. A nejen konfigurovat. Spra-vovat je, zálohovat, řešit případné potíže.
Kde tedy naleznete využití pro statický překlad názvů? V sítích, které obsahují malý počet klientských počítačů se statickým
adresováním protokolu TCP/IP, v sítích, kde není m o ž n é k o n f i g u r o v a t d a l š í sl u ž b y p r o d y n a m i c k ý p ř e k la d n á z v ů n e b o u
k o n k ré t n íc h p o č í ta č u , j e ž s e n a p ř í k l a d k s í t i p ř i h l a š u j í v z d á l e n ě a k t e r é p o t ř e b u j í k o m u n i k o v a t p o u z e s konkrétními počítači.
Statické řešení překladu názvů NetBIOS
Pro tyto účely je v operačních systémech Windows vyhrazen soubor s názvem LMHOSTS. Má-li se tento soubor účastnit procesu
překladu názvů, musí být splněné následující podmínky:
• Název souboru musí být LMHOSTS (bez přípony).
• Soubor musí být uložen ve složce %systernroot%\system32\drivers\etc.
• Soubor musí obsahovat potřebné položky.
• Na kartě WINS v dialogu vlastností připojení k síti musí být zaškrtnutá položka Po
volil hledání v souboru LMHOSTS.
Obrázek 6.4
Povoleni souboru LMHOSTS
Příklad obsahu souboru LMHOSTS:
192.168.10.2
192.168.10.17
192 .1 68 .10 .18
SRVR001
PC001
PC002
Každý řádek souboru LMHOSTS může obsahovat pouze jednu adresu IP a jediný název rozhraní NetBIOS.
Statické řešení překladu hostitelských názvů
Pro tyto účely je v operačních systémech Windows vyhrazen soubor s názvem HOSTS. Má-li se tento soubor účastnit procesu
překladu názvů, musí být splněné následující podmínky:
• Název souboru musí být HOSTS (bez přípony).
• Soubor musí být uložen ve složce %systemroot%\system32\drivers\etc.
• Soubor musí obsahovat potřebné položky.
Příklad obsahu souboru HOSTS:
192.168.10.2
192.168.10.17
192.168.10.18
SRVR001 S R V R 0 0 1 . n a s e f i r m a . c z
PC001
PC001.nasefirma.cz
PC002
PC002.nasefirtna.cz
SRVR001.studny. 1ocal
PC001. studny. 1 ocal
Rozdíl mezi souborem HOSTS a LMHOSTS je vidět na první pohled. Každý řádek souboru HOSTS může obsahovat pouze jednu
adresu IP, ale více hostitelských či úplných názvů v doméně.
58
Dynamické řešení překladu názvů
V každé firmě existuje telefonní seznam. Jsou dvě možnosti, jak jej zpřístupnit všem, kteří jej potřebují. Buďto jej vytisknout
na papír a předat všem zaměstnancům k používání (v lepším případě odeslat jako přílohu elektronickou poštou) nebo jej
udržovat centrálně a toto místo zpřístupnit (například pomocí webového prohlížeče).
Druhý způsob má samozřejmě výhodu — dojde-li v seznamu ke změně, bude ihned po jediné úpravě k dispozici všem
uživatelům. První případ by znamenal úpravu potřebného dokumentu a nové rozeslání všem zaměstnancům. To je jistě
složitější, navíc není jis-té, že jej všichni začnou ihned používat nebo že si všichni ve své poštovní schránce (byl-li tímto
způsobem odeslán) najdou ten správný dokument.
Dynamický překlad názvů je velmi podobný druhému způsobu - udržování jediné databáze, k níž mají přístup všichni, kdo ji
potřebují.
Dynamické řešení překladu názvů NetBIOS
Názvy NetBIOS a korespondující adresy IP jsou pro tento případ uložené v databázi služby WINS (Windows Internet Name
Service). Databáze WINS musí být uložená na serveru WINS a server WINS je možné nainstalovat jako součást operačního
systému Windows Server 2003 nebo Windows 2000 Server. To znamená, že v síti musí být alespoň jeden počítač se serverovým
operačním systémem, jinak jsou jakékoli úvahy nad zavedením dynamického překladu názvů NetBIOS scestné.
Jak se příslušné názvy a adresy IP do databáze dostanou?
Každý počítač, který je klientem WINS (to znamená, že má definovánu adresu IP serveru WINS), provede při spuštění registraci
všech svých názvů NetBIOS u daného serveru. Ten je zapíše do databáze a zpřístupní je tak ostatním počítačům či jiným
zařízením v síti.
Co když se počítač registrovat neumí?
Potom je vždy k dispozici možnost zadat jeho názvy NetBIOS a příslušnou adresu IP ruč-ně. Vytvoří se tím statický záznam, který
není možné odstranit jinak než opět ručně. Zároveň je u statických záznamů nutné kontrolovat jejich správnost a v případě
nesouladu vše napravit.
Jak se udrží informace aktuální?
Při každém vypnutí počítač odešle serveru WINS požadavek na uvolnění záznamů. Při dal š í m spuštění počítače se situace
opakuje a počítač registruje znovu své názvy NeBios do databáze WINS. Pokud má v tu dobu jinou adresu IP, zaregistruje názvy spolu
s touto adresou.
Co když se ale počítač nevypne korektně a nestačí tedy zaslat serveru WINS požadavek na uvolnění registrovaných
názvů? Nebo co když server WINS není v oka-mžiku vypnutí počítače k dispozici?
Nevadí. Pokud server WINS zaznamená požadavek na registraci aktivních názvů NetBios ve své databázi, vyzkouší pomocí
nástroje PING, zda jsou aktivní záznamy funkční, Po-kud ne, přeregistruje je novými. Pokud ano, nový požadavek na registraci od
klienta odmítne.
Jak již bylo předesláno, systémy Windows 2000 a vyšší pracují primárně s hostitelskými n.ázvy.
Dynamické řešení překladu hostitelských názvů
Hostitelské názvy a příslušné adresy IP jsou pro tento účel uložené v databázi služby DNS (Domain Name System). Služba DNS
představuje hierarchický prostor názvů a ukládá informace v takzvaných zónách. Zóny DNS je možné ukládat několika
způsoby - buď jsou uložené v souborech na serverech se službou DNS nebo jsou součástí doménové databáze. Důležité je
pamatovat si, že co zóna, to jeden soubor (v případě uložení ve formě souboru). Službu DNS je možné instalovat jako součást
serverového operačního systému Windows 2000 Server nebo Windows Server 2003.
Jak se hostitelské názvy a adresy IP do databáze dostanou?
Počítače se systémem Windows XP Professional nebo Windows 2000 Professional mají schopnost zaregistrovat automaticky svůj
hostitelský název a adresu IP do databáze služby DNS. Po zápisu jsou záznamy k dispozici všem ostatním klientům v síti.
Co když jsou v síti počítače, které se zaregistrovat neumí?
V takovém případě existují dvě možnosti. Příslušný záznam (nebo záznamy, pokud má počítač více adres IP) je možné vytvořit
ručně. Pokud se pro adresování IP počítačů používá v síti server DHCP (který je součástí systému Windows 2000 Server nebo
Windows Server 2003), lze jej nakonfigurovat tak, aby tuto registraci prováděl za klienty. To se vyplatí zejména v případě,
pokud se v síti vyskytují klientské počítače se systémy Windows 95, 98, NT 4.0 apod.
Jak se udrží informace aktuální?
Při vypínání klientský počítač neodesílá serveru DNS žádné informace ani požadavky na odstranění svých záznamů. O jejich
odstranění se musí postarat server DNS sám. Tato možnost však nemusí být vždy nakonfigurovaná. Ani v takovém případě se
ale nic neděje. Při spuštění počítače se provede nová registrace s novou adresou IP a nový záznam je znovu aktuální. V zóně
DNS poté budou dva záznamy se stejným názvem počítače, ale S jinou adresou IP. Na překlad názvů však tato situace nemá
žádný vliv.
Protože systémy řady Windows 2000 a vyšší pracují s hostitelskými názvy, je vhodné přemýšlet o nasazení služby DNS jako
59
prostředku pro jejich překlad.
Překlad názvů v naší síti
Při instalaci serveru neproběhla instalace služby WINS ani DNS. Při instalaci klientských počítačů byly jedinými parametry
protokolu TCP/IP adresa IP a maska podsítě. Žádné adresy IP serveru WINS, žádné adresy IP serverů DNS.
Pojďme se tedy podívat na překlad názvů v naší síti.
Hostitelské názvy
Překlad hostitelských názvů nejlépe vyzkoušíme pomocí nástroje PING.
1. Přihlaste se k počítači PC001 jako správci.
2. Na příkazovém řádku zadejte příkaz PING SRVR001.
3. Výsleďek by měl být podobný následujícímu:
C:\>ping srvrOOl
P ř í k a z PING na srvrOOl
[192.168.10.2]
Odpověď
Odpověď
Odpověď
Odpověď
bajty=32
bajty=32
bajty=32
bajty=32
od
od
od
od
192.168.10.2:
192.168.10.2:
192.168.10.2:
192.168.10.2:
s délkou 32 bajtů:
čas=2ms TTL=128
č a s < 1ms TTL=128
S t a t i s t i k a p i n g pro 1 9 2 . 1 6 8 . 1 0 . 2 :
Pakety: O d e s l a n é = 4, P ř i j a t é = 4, Ztracené = 0 ( z t r á t a 0%), P ř i b l i ž n á doba do p ř i j e t í
m i l i s e k u n d á c h : M i n i m u m = 0ms, M a x i m u m = 2ms, Průměr = 0ms
odezvy v
4. Nyní se přihlaste k serveru SRVR001 jako správci.
5. Na příkazovém řádku zadejte příkaz PING PC001.
6. Výsledek by měl být podobný následujícímu:
C : \ > p i n g pc001
P ř í k a z P I N G na pc001 [ 1 9 2 . 1 6 8 . 1 0 . 1 7 ] s 32 b a j t ů d a t :
Odpověď
Odpověď
Odpověď
Odpověď
od
od
od
od
192.168.10.17:
192.168.10.17:
192.168.10.17:
192.168.10.17:
bajty=32
bajty=32
bajty=32
bajty=32
čas=1ms TTL=128
S t a t i s t i k a p i n g pro 1 9 2 . 1 6 8 . 1 0 . 1 7 :
P a k e t y : O d e s l a n é = 4 , P ř i j a t é = 4 , Z t r a c e n é = 0 ( z t r á t a 0%) , P ř i b l i ž n á doba do p ř i j e t í
m i l i s e k u n d á c h : M i n i m u m = 0m s , Maximum = l m s , Průměr = 0ms
odezvy v
Názvy NetBIOS
Překlad názvů NetBIOS prověříme pomocí cest UNC.
2. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte cestu
UNC WSRVR001.
Mělo by se zobrazit okno se sdílenými prostředky počítače SRVR001 (viz obrázek 6.5).
3. Nyní se přihlaste k serveru SRVR001 jako správci.
4. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte cestu UNC
WPC001.
Pokud se zobrazí dialogové okno s požadavkem na zadání hesla pro účet Guest v počítači PC001, spusťte v počítači
PC001 program Průzkumník Windows a v nabídce Nástroje klepněte na položku Možnosti složky. Poté na kartě
Zobrazení zrušte zaškrtnutí políčka Použít zjednodušené sdílení souborů (Doporučeno).
Mělo by se zobrazit okno se sdílenými prostředky počítače PC001 (viz obrázek 6.6).
60
Obrázek 6.5
Sdílené prostředky počítače SRVR001
Obrázek 6.6
Sdílené prostředky počítače PC001
Jak to tedy vlastně všechno je? Neinstalovali jsme žádnou ze služeb WINS ani DNS, nekonfigurovali jsme žádný ze souborů
HOSTS ani LMHOSTS v žádném počítači, a přesto jsme pomocí názvů počítačů mohli komunikovat. Pro pochopení tohoto
procesu je nutné znát postupy uplatňování jednotlivých možností překladu názvů. Nebo se lze zeptat obecně. Pokud se v síti
používá služba WINS a v počítači je nakonfigurován také soubor LMHOSTS, co se uplatní? Co má přednost? Platí to samé pro
službu DNS a soubory HOSTS? Udělejme si v tom tedy jasno. Znalost správné posloupnosti při překladu názvů vám ve
složitějších sítích umožní nakonfigurovat co nejjednodušší řešení, o nutnosti znát tyto postupy pro odstraňování potíží ani
nemluvě.
Postupy při překladu názvů
Postupy pro překlad názvů jsou pevně dané a lze je modifikovat jen částečně.
Hostitelské názvy
K počítači PC001 se přihlásíte jako Administrátor a na příkazovém řádku zadáte příkaz PING SRVR001. Co se stane dále?
Proběhne následující proces:
1. Počítač se zeptá sám sebe, zda se nejmenuje SRVR001. Odpověď je pochopitelně
negativní, a přejde se tedy k dalšímu kroku.
2. Počítač se podívá do své mezipaměti DNS, zda se v ní nenachází záznam s mapo
váním názvu SRVR001 na adresu IP. Pokud zde požadovaný záznam nebude, pře
jde se k dalšímu kroku.
3. Počítač předá požadavek na překlad názvu serveru DNS. Náš počítač PC001 jej
však nemá komu předat, neboť nemá definovánu adresu IP. Zde překlad hostitel
ských názvů končí.
Pravděpodobně vás nyní napadají další otázky. Jak je možné, že v předchozím případu došlo k překladu hostitelského názvu?
Jaká je role souboru HOSTS? S odpovědí na první otázku ještě chvíli počkejme, odpověď na druhou otázku je následující:
61
Pokud soubor HOSTS obsahuje položky s hostitelskými názvy a adresami IP zařízení, potom se tyto položky ihned po uložení
souboru HOSTS na pevný disk načtou do mezipaměti DNS počítače. To znamená, že takové záznamy se přeloží v kroku 2.
Mezipaměť DNS
Mezipaměť DNS je součástí všech systémů Windows 2000 a vyšších. Slouží k tomu, aby K při častých požadavcích na překlad
stejných názvů zbytečně nezatěžoval server DNS a požadavek se vyřešil místně. Zde jsou příkazy zadávané na příkazovém
řádku pro prá-ci s mezipaměti DNS:
Ipconfig /displaydns zobrazí obsah mezipaměti DNS.
Ipconfig /flushdns vyprázdní obsah mezipaměti (samozřejmě poté ihned načte obsah souboru HOSTS). Tento příkaz se
používá v případě, kdy je mapování názvu na adresu IP v mezipaměti neaktuální a je nutné obnovit
komunikaci.
Názvy NetBIOS
Pokud například v počítači SRVR001 zadáte v dialogovém okně Spustit do pole Otevřít cestu DNC WPC001 a poté stisknete
klávesu Enter, proběhne následující proces překla du názvu NetBIOS:
1. Počítač se zeptá sám sebe, zda právě on není tím, který je uveden v cestě UNC Pokud ne, přejde k dalšímu kroku.
2. Počítač se podívá do své mezipaměti NetBIOS a vyhledá mapování názvu na adresu IP. Pokud mapování nenalezne,
pokračuje dalším krokem.
3. Počítač odešle žádost o překlad názvu prvnímu funkčnímu serveru WINS, jeho/adresa IP je uvedena v parametrech
protokolu TCP/IP. Pokud není adresa IP za dána nebo server WINS nemá informaci o mapování požadovaného názvu
na adresu IP, pokračuje se následujícím krokem.
4. Počítač do sítě odešle pomocí všesměrového vysílání (broadcasting) dotaz, zda v místní síti existuje počítač s daným
názvem. Pokud počítač v místní síti neexistuje nebo existuje ve vzdálené síti, přejde se k dalšímu kroku. Všesměrové
vysílání totiž neprochází přes směrovače.
5. Počítač bude hledat mapování názvu NetBIOS na adresu IP v souboru LMHOSTS. Zde překlad názvů NetBIOS končí.
V souboru LMHOSTS lze u jednotlivých položek definovat poněkud odlišné chování. Pokud za ně připojíte řetězec #PRE, dojde
při obnovení mezipaměti NetBIOS k načtení takového záznamu do mezipaměti NetBIOS a dotazy na tyto názvy jsou tak
vyřizovány v prvním kroku a velmi rychle.
Soubor LMHOSTS se vždy prochází sekvenčně. Pokud byste jej potřebovali v síti nasadit, zajistěte, že nejčastěji volané názvy
budou uvedené mezi prvními.
Mezipaměť NetBIOS
Mezipaměť NetBIOS je součástí operačních systémů Windows (i nižších než Windows 2000).
Časté příkazy pro práci s mezipaměti NetBIOS:
nbtstat -c
nbtstat -r
vypíše názvy vzdálených počítačů z mezipaměti (zde se například zobrazí položky ze souboru LMHOSTS
následované řetězcem #PRE)
vypíše přeložené názvy vzdálených počítačů (pomocí služby WINS nebo všesměrovým vysíláním)
Nyní odpověď na otázku, jak to bylo s překladem názvu počítače SRVR001, když překlad skončil u souboru HOSTS. Ona to totiž
není až tak pravda. Lépe řečeno, společnost Microsoft ve svých produktech poněkud upravila postup překladu hostitelských
názvů v tom smyslu, že pokud se název nepodaří přeložit standardním postupem, postupuje se dále tak, jako by se jednalo o
název rozhraní NetBIOS. Pokud je však název delší než 15 znaků, překlad názvů se ukončí s negativním výsledkem.
Jak to tedy poté s překladem vypadalo?
Poté, co nebyl záznam SRVR001 nalezen v souboru HOSTS, proběhla kontrola jeho přítomnosti v mezipaměti NetBIOS. Tam
samozřejmě nalezen také nebyl, takže se přešlo k dotazu na server WINS. Jenže počítač PC001 nemá žádný server WINS ve
vlastnostech protokolu TCP/IP definován, takže ani tudy cesta nevedla. Přešlo se tedy k všesměrovému vysílání (broadcasting) a
vzhledem k tomu, že se oba počítače nacházejí ve stejné síti (192.168.10.0/24), pomocí tohoto vysílání se zjistila adresa IP a
překlad byl vyřešen.
62
Proč ve vnitřní síti používat službu DNS
Jak bylo na příkladu překladu názvu serveru SRVR001 ukázáno výše, přesto, že se jednalo o hostitelský název, byl nakonec
přeložen pomocí jedné z metod používaných pro názvy NetBIOS. Pokud by bylo možné přeložit název některou z metod pro
překlad hostitelských názvů, bylo by jistě vše rychlejší.
Klientské počítače se systémem Windows 2000 a vyšším používají v doméně se systémem Windows 2000 a vyšším (tedy v doméně
Active Directory) výhradně službu DNS. Kromě překladu názvů totiž tato služba zajišťuje jednu velmi zásadní věc, kterou je
informace o umístění služeb v síti. Převedeno do jednoduché řeči se jedná o následující problematiku: Jako běžný uživatel
přijdete k počítači se systémem Windows XP Professional, zapnete jej, vyčkáte na přihlašovací okno a poté zadáte svá pověření
(tedy uživatelské jméno a heslo k doménovému účtu). Nyní je na klientském počítači, aby zajistil vyhledání řadiče domény (tedy
počítače, který má jako jediný informaci o vašem účtu), jenž je schopen ověřil vaše přihlášení. Podle čeho to má ale klient
zjistit? Nebo má snad tuto informaci zapsanou někde uvnitř v systému?
Tyto informace u sebe klienti nenosí. Ani by to nemělo význam. Představte si situaci, kdybyste vypnuli svůj počítač po dobu
l4denní dovolené a mezitím by v síti proběhlo přidání dalšího řadiče domény a hned poté odebrání původního. Nový řadič
domény by měl jistě jiný název než jeho předchůdce a váš přihlašovací proces by se nezdařil. Tak to tedy není.
Systémy Windows 2000 a vyšší se v doménách se stejným systémem orientují výhradně podle informací od služby DNS. Služba
DNS tedy poskytuje informace o tom, který z po-čítačů je řadičem domény, případně i o dalších rolích. Klientské počítače ani
nemají jinou cestu, jak tyto informace získat. Přítomnost služby DNS je tak v doménovém prostředí nevyhnutelná.
Instalace a konfigurace služby DNS
Službu DNS lze instalovat pouze jako součást serverového operačního systému. Službu
DNS nainstalujete podle následujících pokynů.
1.
2.
3.
4.
5.
6.
Přihlaste se k počítači SRVR001 jako správci.
V Nabídce Start přejděte na položku Ovládací panely a poté klepněte na položku Přidat nebo odebrat programy.
V levé části okna Přidat nebo odebrat programy klepněte na příkaz Přidat nebo odebrat součásti systému.
V okně Průvodce součástmi systému Windows klepněte na položku Síťové služby a poté klepněte na tlačítko
Podrobnosti.
V okně Síťové služby zaškrtněte položku Domain Name System (DNS) a poté klepněte na tlačítko OK.
Klepnutím na tlačítko Další spustíte instalaci služby DNS. Během instalace můžete být požádáni o vložení instalačního
disku CD-ROM se systémem Windows Server 2003.
Proběhne instalace služby DNS, která nebude vyžadovat restartování systému.
Konfigurace služby DNS
Nyní je tŕeba server DNS nakonfigurovat. Mapování názvů prostředků s adresami IP se na ser ver u DNS ukládá v takzvaných
zónách. Formát názvů zón je již poměrně známy ze jména z Internetu. Někdy se lze také setkat s názvem doména, což ale není
úplně přesné označení (zóna totiž může obsahovat prostředky pro více domén). Nadále tedy budeme používat výhradně termín
zóna.
Další otázkou v pořadí je název zóny. Tady je hlavním vodítkem použití zóny. Pokud bude sloužit k překladu názvů zařízení na
adresy IP ve vnitřní síti, můžete si vymyslet název, jaký chcete. Pokud má sloužit pro překlad názvů na adresy IP v Internetu, je
nutné zvolit takový název, který se ještě v Internetu nevyskytuje a jenž je v Internetu platný. Zároveň je nutné tento název
zaregistrovat u odpovědné organizace (v Čechách je to od října 2003 kromě NIC několik dalších organizací).
Obrázek 6.7
Výběr součástí operačního systému Windows
63
Obrázek 6.8
Síťové služby systému Windows Server 2003
Vzhledem k tomu, že naše zóna bude sloužit výhradně ve vnitřní síti, nazveme ji stud-ny.local. Zónu vytvoříte podle
následujících pokynů.
1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku DNS. Zobrazí se konzola s
názvem serveru SRVR001.
2. V levém podokně rozbalte položku serveru, poté klepněte pravým tlačítkem myši na položku Zóny dopředného
vyhledávání a zvolte položku Nová zóna. V Průvodci vytvořením zóny klepněte na tlačítko Další.
3. V dialogovém okně Typ zóny ponechte zaškrtnutou položku Primární zóna a klepněte na tlačítko Další.
4. Do pole Název zóny zadejte text studny.local. Pokračujte klepnutím na tlačítko Další
5. V dialogovém okně Soubor zóny ponechte zaškrtnuté políčko Vytvořit nový soubor s následujícím názvem i
název souboru studny.local.dns. Klepněte na tlačítko Další.
6. V části dynamická aktualizace zaškrtněte políčko Povolit nezabezpečené a zabezpečené dynamické aktualizace a
Obrázek 6.9
Povolení dynamické aktualizace zóny
Poznámka
Označení nezabezpečené je zde plně v právu. U vnitřní sítě se však nejedná o žádný velký problém, proto nás tato situace
nemusí moc pálit. Navíc nebude trvat dlouho a zónu si řádně zabezpečíme.
7. Průvodce vytvořením zóny dokončíte klepnutím na tlačítko Dokončit.
Posledním krokem je konfigurace stávajících počítačů tak, aby mohly informace v zóně využívat. Týká se to konfigurace
protokolu TCP/IP a zón DNS ve všech počítačích. Vzhledem k lomu, že jsme nakonfigurovali dynamické aktualizace informací v
zóně DNS, ne bude nutné žádné další informace do zóny přidávat.
Konfigurace serveru SRVR001
1. V Nabídce Start přejděte postupně na položky Ovládací panely, Síťová připojení a poté klepněte pravým tlačítkem
myši na položku Připojení k místní síti.
2. V místní nabídce klepněte na položku Vlastnosti.
64
65
Obrázek 6.10
Čerstvě vytvořená zóna DNS studny.local
3. V okně vlastností připojení k místní síti klepněte na položku Protokol sítě Internet (TCP/IP) a poté na tlačítko
Vlastnosti. Otevře se okno vlastností protokolu TCP/IP.
4. Do pole Upřednostňovaný server DNS zadejte adresu IP serveru SRVR001 192.168.10.2. Server tedy bude sám
sobě klientem DNS.
Poznámka
Pokud je počítač serverem DNS, musí mít jako adresu IP serveru DNS svou vlastní adresu. Pouze tak se vyhnete potížím a
chybovým zprávám v protokolu DNS.
5. Postupným klepnutím na tlačítko OK zavřete všechna okna.
6. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce klepněte na
položku Vlastnosti.
7. V dialogovém okně Vlastnosti systému klepněte na kartu Název počítače a poté na tlačítko Změnit.
8. V dialogovém okně Změnit název počítače klepněte na tlačítko Další.
9. V dialogovém okně Přípona DNS a název počítače pro rozhraní NetBIOS zadejte do pole Primární přípona DNS
tohoto počítače název zóny studny.local. Klepnutím na tlačítko OK zavřete okno.
10. V dialogovém okně Změny názvu počítače nyní v části Úplný název počítače vidíte název srvr00l.studny.local,
tedy název sestávající z hostitelského názvu a přípony DNS. Tento název musí být v síti jedinečný. Dialogové okno
zavřete klepnutím na tlačítko OK.
Tato změna vyžaduje restartování počítače.
11. Po restartování počítače spusťte znovu konzolu DNS a v levém podokně klepněte na zónu studny.local. V pravé části
okna si poté všimněte vytvořeného záznamu A (Hostitel) serveru SRVR001.
2. V Nabídce Start klepněte na položku Ovládací panely. V okně Ovládací panely poté poklepejte na panel Síťová
připojení.
3. V pravé části okna Síťová připojení klepněte pravým tlačítkem myši na položku Připojení k místní síti a poté v
místní nabídce na položku Vlastnosti.
4. V dialogovém okně Připojení k místní síti — vlastnosti klepněte na položku Protokol sítě Internet a poté na
tlačítko Vlastnosti.
5. Do pole Upřednostňovaný server DNS zadejte adresu IP počítače SRVR001 - 192.168.10.2. Poté klepněte na tlačítko
OK. Dialogové okno vlastností připojeni zavřete klepnutím na tlačítko Zavřít.
6. Dále postupujte podle výše uvedených bodů 6 až 10. Změna bude vyžadovat restartování počítače. Zavřete všechna
okna a klepnutím na tlačítko Ano restartujte počítač.
Po restartování počítače PC001 spusťte v počítači SRVR001 konzolu DNS a zobrazte obsah zóny studny.local. Mezi položkami
se objevila nová — hostitelský záznam počítače PC001 a příslušná adresa IP. Pokud položku nevidíte a vše jste nastavili
správně, ještě chvilku počkejte. Zřejmě se v počítači PC001 ještě nespustily služby sítě.
Poznámka
Systém Windows XP Professional je navržen tak, že umožní přihlášení uživateli ještě před spuštěním síťových služeb. Pro většinu
domácích uživatelů je to naprosto vyhovující záležitost, neboť spuštění počítače je tak oproti předchozím verzím rychlejší. V
našem prostředí to však není úplně optimální. Ještě později se k této záležitosti vrátíme.
V konzole DNS poklepejte na položku Záznam Start of Authority a všimněte si hodno-ty v poli Sériové číslo. Nyní má
hodnotu 3. Toto číslo vždy začíná hodnotou 1 a zvedá se o jedničku při každé změně. Dosud proběhly dvě změny, proto má
nyní hodnotu 3. Tuto hodnotu můžete upravit, v našem prostředí to však nebude mít žádný efekt. V praxi dávejte na editaci
této hodnoty pozor - zejména v případech, kdy se setkáte s více servery DNS.
Nyní se přihlaste k serveru SRVR001 jako správci a na příkazovém řádku zadejte příkaz PING PC001. Odpověď by měla být
podobná následující:
C:\>ping pc001
Příkaz PING na pc00l.studny.1ocal [192.168.10.17] s délkou 32 bajtů:
66
Odpověď
Odpověď
Odpověď
Odpověď
od
od
od
od
192.168.10.17:
192.168.10.17:
192.168.10.17:
192.168.10.17:
bajty=32
bajty=32
bajty=32
bajty=32
čas
čas
čas
čas
<
<
<
<
lms
lms
lms
lms
TTL=128
TTL=128
TTL=128
TTL=128
Statistika ping pro 192.168.10.17:
Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%), Přibližná doba do přijeti odezvy
v milisekundách: Minimum = Oms, Maximum = Oms, Průměr = Oms
Nyní porovnejte tento výstup s výstupem příkazu PING PC001 z části Překlad názvů v naší síťi výše. Našli jste rozdíl?
Ačkoli rozdíl nemusí být na první pohled postřehnutelný, je velmi podstatný. V prvním přépadě bylo ve výstupu zobrazeno
Příkaz PING na pc00l, zatímco ve druhém případě Příkaz PING na pc00l.studny.1ocal .
Závěr
Zatímco uživatelé používají pro komunikaci s ostatními počítači v síti názvy, počítače mezi sebou komunikují pomocí adres IP.
Adresy IP jsou však pro uživatele nezapamatova-telné, a pro úspěšnou komunikaci uživatel <-> počítač je tak nutné používat
službu, která tuto komunikaci zjednoduší.
Každý počítač vystupuje v síti pod dvěma názvy (hostitelský název a název rozhraní NetBIOS). Zatímco systémy Windows
2000 a vyšší používají primárně hostitelské názvy, starší operační systémy komunikují pomocí názvů rozhraní NetBIOS.
Pro překlad každého názvu na adresu IP existují jiné metody, které lze navíc rozdělit na statické a dynamické. Pro překlad
hostitelských názvů se používá statický soubor HOSTS nebo dynamická služba DNS, pro překlad názvů NetBIOS se
používá statický soubor LMHOSTS či dynamická služba WINS. Dále existují jednoznačné postupy, které říkají, kdy se která
možnost uplatní.
Zatímco služba WINS umožňuje dynamickou aktualizaci záznamů již od svého vzniku, služba DNS je schopna akceptovat
dynamické aktualizace až od systému Windows 2000 Server. Mezi klienty, kteří jsou schopni své jméno registrovat, patří
operační systémy Windows 2000/XP/2003, pro starší operační systémy to může provádět server DHCP v systému Windows
2000/2003.
Služba DNS se instaluje jako součást operačního systému a její instalace nevyžaduje re-startování počítače. Poté je nutné
nakonfigurovat zónu (či zóny), za niž bude server DNS odpovědný, tedy pro kterou bude provádět překlad názvů na adresy
IP. Pokud je počítač zároveň serverem DNS, je třeba, aby byl sám sobě klientem, to znamená, že jako upřednostňovaný server
DNS musí mít nastavenu vlastní adresu IP.
Ačkoli se konfigurace služby DNS může zdát komplikovaná, není tomu tak. Oproti systému Windows NT 4.0 Server je výrazně
jednodušší, navíc umožňuje dynamickou aktualizaci klientů.
Stav sítě
V síti přibyla instalace služby DNS a server i klienti jsou nyní nakonfigurováni pro její používání. Dále byla u klientských počítačů
změněna primární přípona DNS, pomocí které klienti vědí, ve které doméně DNS mají záznamy vyhledávat.
67
Instalujeme Doménu
V kapitole 5, Jak růst s firmou?", jsme provedli krátké porovnání prostředí pracovní skupiny a domény. Zároveň jsme uvedli, že
prostředí domény je rozumné pro střední a velké sítě, ve kterých by správa uživatelských účtů v pracovní skupině již byla nikdy
nekončící a vyčerpávající dřina.
Kromě jednodušší správy účtů nabízí doména ještě další a další funkce týkající se správy ostatních objektů, které se v síti
běžně vyskytují. Umožňuje provádět jednoduchou a automatickou instalaci operačního systému dalších klientských počítačů,
jejich aplikací, určovat úroveň zabezpečení počítačů a například i určit, jak který klientský po-čítač bude pracovat a co bude či
nebude konkrétní uživa-te l smět provádět. To vše lze provádět z jediného místa a samozřejmě pouze s patřičnými znalostmi.
Co to vlastně doména je, jak vypadá v prostředí systému Windows Server 2003 a jak se instaluje, si uvedeme v dal-ších částech
této kapitoly.
Co je to Active Directory?
Doména je vlastně databází, která by měla obsahovat všechny objekty v síti (správná doména tyto objekty obsahuje). To
znamená, že v doméně by se měly objevit na-příklad veškeré účty uživatelů, skupiny uživatelů, účty počítaču, informace o
tiskárnách a informace o dalších ob-jektech. Tyto další objekty sice nebývají pro správce tak „viditelné", jako jsou například
uživatelské účty, ale jsou reprezentací některých prvků sítě, a měly by tedy rozhodne součástí domény být.
Domény tedy lze představit jako logické seskupení objektu v síti. U drtivé většiny objektů totiž vůbec není podstat-né, na jakém
fyzickém místě v síti se nacházejí, některé objekty takový atribut ani nemají.
Doména neboli doménová databáze však není jen seskupeni objektů. Této databáze se také lze dotazovat na různé věci
(například v jakém oddělení pracuje uživatel Jaroslav Hluboký). A protože databáze na položené dotazy odpovídá (a odpovídá na ně dobře), plní roli i jakési služby (služby
doménové databáze jsou mnohem rozsáhlejší, pro tuto kapitolu to však není podstatné). Doménu tedy můžeme nazvat
databázovou službou a pokud si za slovo „databázovou" dosadíte častěji používané slovo „adresářovou", dostáváte označení
„adresářová služba". A názvem adresářové služby se systémem Windows Server 2003 (stejně jako Windows 2000 Server) je
Active Directory.
Active Directory (AD) je tedy hierarchické úložiště, které zároveň nabízí snadný přístup k uloženým informacím o veškerých
prostředcích v síti. Pomáhá uživatelům a aplikacím tyto prostředky nalézt a přistupovat k nim, navíc zajišťuje, že se k
informacím dostane pouze oprávněná osoba, tedy taková, která má potřebné oprávnění. I tato oprávnění jsou uložena v databázi
Active Directory.
Řadič domény
Počítač, který plní roli serveru s adresářovou službou, se nazývá řadič domény. Jinými slovy - řadič domény je počítačem, ve
kterém je uložena celá databáze Active Directory. Všechny dotazy na adresářovou službu nebo obecně všechny požadavky na
přístup k informacím uloženým v doméně vyřizuje právě takový počítač.
Role řadiče domény je tak v síti velmi důležitou rolí, na které velmi výrazně závisí správná funkce sítě. Proto se i k počítačům
plnícím roli řadiče domény (DC, Domain Controller) přistupuje opatrněji než k ostatním počítačům. Proto mívají tyto počítače
vyšší stupeň zabezpečení (jak z pohledu domény, tak i fyzického), instalují se na spolehlivý a dostatečně vybavený hardware.
Navíc se málokdy (to platí zejména pro větší prostředí) využívají jako servery plnící další role, například aplikační, databázové,
souborové či tiskové servery.
Každá společnost s doménovým modelem začne vždy instalací prvního řadiče domény. Žádný řadič domény však není vždy
stoprocentní, a může se stát, že za nějaký čas používání odejde jeho hardwarová (například paměť nebo pevný disk) nebo jiná
důležitá součást. Co se v takovém případě může stát?
Protože je řadič domény jediným počítačem, který udržuje databázi Active Directory, nebude v případě jeho výpadku tato databáze
k dispozici. Znamená to, že uživatelé se nebudou moci přihlašovat pomocí svých doménových účtů, nebudou moci získat
přístup k prostředkům v síti a podobně. Protože se však výpadku řadiče domény předejít nedá, je nutné tuto situaci vyřešit již
při plánování domény. Řešením je v takovém případě více řadičů domény.
Více řadičů domény
Každému uživateli stačí k práci v prostředí domény jediný uživatelský účet. Pokud je však v doméně více řadičů domény, nebude
to s jediným uživatelským účtem v rozporu? Nebude! Při instalaci dalšího řadiče domény nedochází k vytvoření nové databáze
Active Directory, ale vytvoří se takzvaná replika stávající. Každý řadič domény tak bude udržovat stejné adresářové informace
(včetně uživatelských účtů).
Pokud v takovémto prostředí přestane jeden z řadičů domény pracovat, začnou se klienti automaticky obracet na jiný, a jejich
práce tak nebude přerušena ani ztížena..
68
Co když doména nestačí?
Otázku Co když doména nestačí? nelze chápat tak, že existuje ještě lepší model správy prostředí sítě než je doménový. Je
třeba se na ni podívat z pohledu síťového prostředí, které nelze do jedné domény vměstnat (možná by tedy bylo lepší napsat
„Co když jedna doména nestačí?"). Nejde o to, že by doména Active Directory byla omezena počtem objektů. Ona tedy je
omezena počtem několika milionů objektů, ale to nás jistě trápit nemusí. Je to však výrazný pokrok oproti doméně se
systémem Windows NT 4.0, která byla omezena počtem 40 tisíc objektů (i když i toto omezení bylo v našich zeměpisných
šířkách nedosažitelné).
V praxi se skutečně může někdy stát, že jediná doména nebude pro správu celého prostředí postačovat. Uveďme si situace,
kdy k takovému stavu může dojít.
• Politické rozhodnutí Tedy rozhodnutí vedení společnosti. Správci sice tato rozhodnutí nijak nevítají, nicméně ve
většině případů je musí respektovat.
• Jedinečné zásady Pokud bude mít organizace například požadavek, že hesla uživatelů z oddělení vývoje musí být
dlouhá nejméně 10 znaků, zatímco hesla ostatních uživatelů musí být dlouhá „pouhých" 8 znaků, je to důvod pro
vytvoření další domény. Dva či více různých požadavků na tuto zásadu nelze v prostředí jediné domény aplikovat.
• Vytížení síťových linek Když se v doméně vytvoří nový uživatelský účet (nebo jiný objekt), dochází k jeho replikaci
na všechny řadiče domény. Pokud bude mít organizace například dvě pobočky, které budou spojeny nespolehlivou a
pomalou linkou, nebude možná chtít, aby byla tato linka zatěžována replikacemi adresářové služby. Řešení takového
požadavku je ve vytvoření další domény.
• Požadavky na názvy domén Název stávající domény nemusí organizaci vyhovovat například pro uživatele z nového
oddělení nebo nové pobočky. Vzhledem, k tomu, že doména nemůže mít více názvů, je řešením instalace další
domény.
V praxi se v našich zeměpisných šířkách lze setkat s prostředími, která mají více domén. Jedná se však spíše o pobočky
zahraničních společností nebo o velmi velká prostředí. Pokud se vaší organizace nebude týkat žádná z výše uvedených
poznámek, jistě vystačítes jedinou doménou.
Stromy Active Directory
Pokud má jedna organizace více domén, má dvě možnosti, jak je logicky uspořádal. Prv-ní z možností je takzvaný
doménový strom.
Doménový strom se vyznačuje tím, že všechny jeho domény sdílejí souvislý obor názvu Znamená to, že název domény v nejvyšší
úrovni (tzv. kořenové domény) se vyskytuje na Konci názvu každé podřízené domény. V uvedeném příkladu se název podřízené
domény skládá ze slova europe a z názvu kořenové domény (microsoft.com).
Mezi všemi doménami stromu Active Directory (a jejich počet není omezen) existuji takzvané vztahy důvěryhodnosti. V
praxi to znamená, že například uživatelé, kleří mají svéúčty v doméně microsoft.com, mohou získat prostřednictvím svého
doménového účtu přistup ke sdílené složce v doméně europe.microsoft.com, samozřejmě za předpokladu, že jim jej správce
domény europe.microsoft.com udělí. Tyto vztahy důvěryhodností se vy tvářejí automaticky během instalace nových domén a
nesou si s sebou dvě významné vlastnosti:
• jeden les
• jeden strom
• dvě domény
Obrázek 7.1
Příklad stromu Active Directory
• jeden les
• dva stromy
• dvě domény
Obrázek 7.2
Les Active Directory se dvěma stromy
69
• Vztahy důvěryhodnosti jsou obousměrné V uvedeném příkladu to znamená, že uživatelé z domény microsoft.com
mohou přistupovat k prostředkům v doméně europe.microsoft.com a naopak, uživatelé z domény europe.microsoft.com
mohou přistupovat k prostředkům v doméně microsoft.com.
• Vztahy důvěryhodnosti jsou přenosné (tranzitivní) Pokud si mezi sebou navzájem důvěřují domény microsoft.com
a europe.microsoft.com a microsoft.com a asia.microsoft.com, znamená to, že si automaticky důvěřují také domény
europe.microsoft.com a asia.microsoft.com. Není tedy nutné vytvářet mezi posledními dvěma jmenovanými
doménami ručně vztah důvěryhodnosti.
Lesy Active Directory
Organizace, která má jednu doménu (tedy jeden strom) nebo více domén (stále jeden strom), může například koupit jinou
zavedenou společnost. Například řekněme, že organizace Studny, s.r.o. koupí společnost Výškové budovy, a.s.
Organizace Studny, s.r.o. může mít svou doménu Active Directory s názvem studny.local a společnost Výškové budovy, a.s.
může mít také svou doménu s názvem vyskovebudovy.cz. Cílem spojení společností bude jistě mimo jiné propojit i svou
síťovou infrastrukturu a správu domén. Řešením takové situace je spojit dvě domény do jedné struktury, požadavek však může
znít tak, že obě domény si musí ponechat své názvy (důvodem takového rozhodnutí mohou být například požadavky
používaných aplikací nebo zvyklosti uživatelů).
Vzhledem k naprosto odlišným (tedy nesouvislým) názvům již nelze zvažovat jako výslednou strukturu jediný strom Active
Directory, ale stromy dva. Protože je však nutné tyto domény z pohledu jejich správy spojit, je řešením vytvořit dva stromy, oba
v jediném lese Active Directory.
I mezi dvěma doménami z různých stromů v rámci stejného lesa existují automaticky obousměrné a přenosné vztahy
důvěryhodnosti. Proto lze toto prostředí spravovat mnohem efektivněji než kdyby domény zůstaly naprosto oddělené.
Nyní jsme se přenesli do poněkud jiných prostředí, než které je naším cílem v této knize pochopit a naučit se spravovat, pro
hrubou představu o možných strukturách Active Di-rectory je ale dobré mít o těchto modelech alespoň základní informace. Zde
totiž možnosti logických struktur Active Directory končí. Nutno dodat, že stejně jako počet domén ve stromu není omezen ani
počet stromů v lese.
Dovedete si nyní představit prostředí se dvěma lesy Active Directory? Pokud ano, je vše v pořádku, pokud ne, zde je řešení:
představte si například strukturu Active Directory společnosti Microsoft (uvedenou jako příklad na obrázku 7.1) a k tomu doménu
Active Di-rectory své společnosti. Ano, pokud se mluví o více lesech, jedná se o naprosto nezávis-lá prostředí, a ve většině
případů tedy o naprosto nezávislé společnosti.
Otázka na závěr: Pokud nainstalujete jedinou doménu Active Directory, kolik existuje stromů a kolik lesů Active Directory?
Na jaké místo doménu logicky zařadit?
Odpověď na tuto otázku je tím jednodušší, čím menší prostředí budeme instalovat. Vzhledem k tomu, že každé prostředí má
jedinou kořenovou doménu Active Directory (to je doména, která byla nainstalovaná jako první), je v případě instalace jediné
domény situ-ace naprosto jednoznačná. Zajímavější to začíná být v případě, kdy má mít společnost více domén. Pojďme se
podívat na několik případů.
Prostředí s více doménami, pokud již doména Active Directory existuje
Příkladem takové situace může být společnost se sídlem v Praze s již nainstalovanou do ménou Active Directory. Kořenová
doména tedy již existuje, a pokud musí dojít k instala-ci i další domény (například pro pobočku v Plzni), musí to být buďto
podřízená do ména té stávající (výsledkem buďe jeďiný strom) nebo první doména nového stromu. Zde je však nutné
připomenout, že důvodem pro vytvoření dalšího stromu je čistě jen udrže-ni původního názvu, což je u nově instalované
domény bezpředmětné. Výsledná struktura domén Active Directory by mohla být podobná té na obrázku 7.3.
70
• jeden les
• jeden strom
• dvě domény
Obrázek 7.3
Výsledná struktura domén Active Directory
prostředí s více doménami, pokud žádná doména neexistuje
Příkladem této situace může být podobná firma, která se chystá nainstalovat prostředí Active Directory a již v tuto chvíli ví,
že bude potřebovat více domén. Výsledný model může být stejný jako v předchozím případě, může však také vypadat úplně
jinak. Z hlediska správy je mnohem přehlednější vědět, že uživatelé v sídle společnosti v Praze budou členy domény s názvem
praha.firma.cz a uživatelé v pobočce Plzeň budou členy domény plzen.firma.cz. Další rozšiřování firmy by tak bylo z pohledu
správy prostředí konzistentní a všechny domény by byly na stejné úrovni.
Jak ale v takovém případě celý model vyřešit? Vždyť dříve bylo uvedeno, že vždy musí existovat pouze jediná kořenová doména,
od které se odvíjejí názvy podřízených domén. |ak to může dopadnout, ukazuje obrázek 7.4.
Obrázek 7.4
Výsledná struktura domén Active Directory
Prostředí s jedinou doménou
V tomto případě není z pohledu návrhu doménového modelu co řešit. Výsledné prostředí bude sestávat z jediného lesa o
jednom stromu obsahujícím jedinou doménu Active Di-rectory. Mimochodem, všimli jste si, že zde je uvedena odpověď na
otázku z odstavce Lesy Active Directory?
71
Obrázek 7.5
Výsledná struktura Active Directory
Jaký má mít doména název?
Názvy domén Active Directory se v porovnání s doménami se systémem Windows NT 4.0 změnily. Nyní odpovídají názvům, na
které jsme zvyklí z Internetu. Zatímco například dříve by se doména jmenovala FIRMA, nyní má navíc ještě příponu (například
FIRMA.CZ). Samostatný název FIRMA je názvem rozhraní NetBIOS, zatímco název FIRMA.CZ je názvem DNS. Názvy
NetBIOS využívají systémy starší než Windows 2000, názvy DNS využívají primárně systémy Windows 2000, Windows XP a řada
systémů Windows Server 2003. Z důvodu zpětné kompatibility je tedy nutné definovat stále názvy oba a doména Active
Directory tak i nadále vystupuje. Pro klientské počítače se systémem Windows NT <í ,0 Workstation tak bude vystupovat pod
názvem FIRMA, zatímco pro klienty se systémem Windows XP Professional pod názvem FIRMA.CZ.
Pokud se rozhodnete nainstalovat doménu Active Directory se systémem Windows 2000 Server, je nutné velmi pečlivě zvolit její
název, neboť ten později není možné změnit. Název kořenové domény určuje „elektronickou identitu" společnosti. Od něj se
odvíjejí názvy případných dalších domén ve stejném stromu. Při jeho volbě je nutné dbát na požadavky vedení společnosti, na
znalosti uživatelů, na existenci či neexistenci názvu domény v Internetu a na způsob vedení záznamů zóny DNS internetové
domény.
Volba přípony názvu domény
Nedílnou součástí názvu domény je její přípona. Při plánování nasazení domény Active Directory stojí většina firem před
rozhodnutím, zda použít:
• Příponu, kterou lze použít v Internetu Pokud má například společnost prezentaci v Internetu pod názvem
firma.cz, může tuto příponu použít i v názvu domény Active Directory. Pokud společnost prezentaci nemá, může
tento název samozřejmě použít také a v Internetu se prezentovat později.
• Příponu, kterou nelze v Internetu použít Bez ohledu na internetovou prezentaci může společnost použít v názvu
domény Active Directory příponu, která se v Internetu nemůže objevit (například local).
Každá volba má své výhody i nevýhody a záleží na konkrétním případu, co bude pro společnost výhodnější. Obecně
platí, pokud společnost má nebo plánuje prezentaci v Internetu (například firma.cz), měl by být název interní domény Active
Directory j i n ý a t a k o v , který se v Internetu nemůže objevit (například firma.local). Takové řešeni je pro správce přehlednější,
pokud si navíc společnost sama vede zónu DNS pro svou in-ternetovou prezentaci, je možné správu této zóny oddělit od správy
zóny DNS pro potřeby domény Active Directory.
Protože naše společnost Studny, s.r.o. jistě bude mít v budoucnu vlastní internetovou pre-zentaci, zvolíme název domény podle
výše uvedeného doporučení na studny.local.
Pokud budete instalovat doménu se systémem Windows 2000 Server, je třeba věnovat jejímu názvu pečlivou pozornost, neboť
později nelze rozhodnutí změnit. Doména Active Directory se systémy Windows Server 2003 umožňuje změnu názvu, pouze
však za použití speciálního nástroje Domain Rename Tool, který je k dispozici na instalačním disku CD-ROM se systémem
Windows Server 2003 nebo jejž lze stáhnout z webových stránek společnosti Microsoft.
72
Co musí být před instalací domény
připraveno?
Stejně jako na jakoukoli jinou instalaci je nutné se připravit také na instalaci domény Active Directory. Dále je uveden seznam
všech náležitostí, které je vhodné (a ve většině případů nezbytné) dopředu připravit. Vše se týká instalace kořenové domény
Active Directory, která bude později provedena.
• Operační systém Roli řadiče domény lze nainstalovat pouze v serverovém operačním systému. Budeme tedy potřebovat
některý ze systémů řady Windows Server 2003.
• Potřebná oprávnění V případě instalace prvního řadiče kořenové domény jenutné přihlásit se jako místní správce
počítače.
• Název DNS domény Pro naši doménu jsme určili název DNS studny.local. Další informace k názvům domén jsou
uvedené výše.
• Název NetBIOS domény Tento název je určený pro klientské operační systémy nižší než Windows 2000, které primárně
využívají názvy NetBIOS. Instalační program standardně nabízí jako název NetBIOS první část názvu DNS (v našem pří
padě studny). Ve většině případů jej můžete ponechat.
• Umístění důležitých souborů domény Během instalace je nutné určit umístění databáze Active Directory a protokolů
transakcí a složky SYSVOL. Databázi a protokoly transakcí lze kdykoli později přesunout na jiné místo, složky SYSVOL
nikoli.
• Kompatibilita oprávnění s nižšími systémy Pokud budou v síti pouze servery se systémy řady Windows Server 2003
nebo Windows 2000 Server, není nutné zachovávat oprávnění kompatibilní s nižšími systémy. Toto nastavení se netýká
operačních systémů klientských počítačů.
• Heslo pro obnovení adresářové služby Pokud byste v budoucnu potřebovali provést obnovení domény Active
Directory ze zálohy, je nutné řadič domény spustit v režimu obnovení adresářové služby a přihlásit se pomocí účtu
Administrátor a hesla zadaného v tomto kroku instalace domény.
Poznámka
•
Toto heslo je jedno z nejdůležitějších. Není nic horšího, než po dvou letech, kdy se náhle vyskytne nutnost obnovit doménu
Active Directory, zjistit, že toto heslo neznáte. V takovém případě samozřejmě máte smůlu (kterou jste si ale zavinili sami) a
doménu Active Directory neobnovíte.
Síťové součásti Server, který se stane řadičem domény, musí mít správně nakonfigurované síťové součásti a jeho síťové
připojení musí být aktivní (síťový adaptér musí být připojen k síti).
Služba DNS
Adresářová služba Active Directory je úzce spjata se službou DNS. Tak úzce, že se bez ní neobejde. Využívá ji k vyhledávání
informací v síti, stejně tak ji využívají klientské počí-tače při vyhledávání důležitých služeb v síti. Služba DNS je tedy dalším
nutným předpokladem pro správnou funkci domény Active Directory.
V naší síti jsme službu DNS nainstalovali již dříve a vytvořili jsme zónu DNS s názvemodpovídajícím zamýšlenému názvu
domény Active Directory studny.local. Vzhledem k tomu, že služba DNS je skutečně nedílnou součástí domény Active
Directory, nabízív případě její nepřítomnosti průvodce instalací domény její automatickou instalaci a konfiguraci.
Tohoto průvodce a tento postup lze doporučit v případech, kdy počítač, do kterého se právě instaluje role řadiče domény, bude
zároveň serverem DNS. Pokud je v síti více po-čitačů a řadič domény nebude stejný se serverem DNS, je nutné nainstalovat a
nakonfigurovat službu DNS před instalací domény.
73
Instalace domény Active Directory
V další části provedeme instalaci domény Active Directory do počítače SRVR001. Poté provedeme kontrolu instalace a do domény
vložíme všechny klientské počítače (PC001...).
Na závěr provedeme několik konfiguračních úkonů důležitých pro zabezpečení domény a zejména zóny DNS.
Instalace domény
1. Přihlaste se k serveru SRVR001 jako správci. V nabídce Spustit zadejte příkaz cmd a poté na příkazovém řádku zadejte
příkaz dcpromo. Spustí se Průvodce instalací služby Active Directory. Klepněte na tlačítko Další.
2. V dialogovém okně Kompatibilita s operačními systémy si přečtěte uvedené informace a poté klepněte na tlačítko
Další.
Poznámka
Uvedené informace se týkají operačních systémů Windows 95 a Windows NT 4.0 s aktualizací SP3 nebo nižší. Protože tyto
operační systémy v síti nebudou, nemusejí nás tyto informace zajímat. Pokud by v síti tyto systémy byly, není v tuto chvíli
možné dělat nic jiného, než pokračovat klepnutím na tlačítko Další.
3. V dialogovém okně Typ řadiče domény ponechte zaškrtnuté políčko Řadič domény pro novou doménu a poté
klepněte na tlačítko Další.
3. V dialogovém okně Vytvořit novou doménu ponechte zaškrtnuté políčko Doména v nové doménové struktuře a
Obrázek 7.6
Vytvoření nové domény Active Directory
Obrázek 7.7
Vytvoření nového lesa Active Directory
74
Poznámka
Pojem Podřízená doména v existující větvi odpovídá instalaci podřízené domény do stávajícího stromu. Pojem Větev v existující
doménové struktuře odpovídá vytvoření nového stromu.
5. V dialogovém okně Název nové domény zadejte do pole Úplný název DNS nové domény řetězec studny.local a poté
6. V dialogovém okně Název domény v systému NetBIOS ponechte v poli Název domény pro rozhraní NetBIOS název
STUDNY a pokračujte klepnutím na tlačitk o Další.
7. V dialogovém okně Umístění databáze a protokolu ponechte výchozí cesty C:\WINDOWS\NTDS pro databázi a
C:\WINDOWS\NTDS pro soubory protokolů transakcí. Poté klepněte na tlačítko Další.
Poznámka
Z hlediska optimalizace a výkonu řadiče domény je optimální umístit soubory protokolů transakcí na jiný fyzický disk, než na
kterém je umístěna databáze Active Directory. V našem případě nemáme jiný disk k dispozici, takže ponecháme navržené umístění.
Obrázek 7.8
Uložení databáze
domény
Active Directory
a protokolů transakcí
8. V dialogovém okně Sdílený systémový svazek ponechte výchozí cestu C:\WINDOWS\SYSVOL a poté klepněte na
tlačítko Další.
Poznámka
Svazek SYSVOL není možné později přesunout. Zde je nutné zajistit, aby byl v jednotce, která má dostatek volného místa. Jak
uvidíme později, bude obsahovat objekty zásad skupiny, které jeho velikost zvětšují, a pokud by na disku nebyl dostatek místa,
můžete mít s funkčností domény problémy.
9. Nyní server provede vyhledání zóny DNS s názvem odpovídajícím zadanému názvu domény. Pokud zónu nalezne,
zobrazí informaci o úspěšně provedené diagnostice. Pokud zónu nenalezne, nabídne její automatickou instalaci a
konfiguraci. Po přečtení informací klepněte na tlačítko Další.
10. V dialogovém okně Oprávnění ponechte zaškrtnuté políčko Oprávnění kompatibilní pouze s operačními systémy
řady Windows 2000 Server nebo Windows Server 2003 a poté klepněte na tlačítko Další.
11. V dialogovém okně Heslo správce režimu obnovení adresářových služeb zadejte do pole Heslo pro režim obnovení a
clo pole Potvrzení hesla heslo, kleré použijete při případném obnovení databáze Active Directory ze zálohy. Poté
75
Obrázek 7.9
Uložení sdílené replikované složky SYSVOL
Obrázek 7.10
Výsledky pokusu o vyhledání zóny DNS studny.local
Poznámka
Nepoužívejte stejné heslo, jako je heslo běžného účtu správce. Heslo správce domény by se totiž mělo pravidelně měnit, zatímco
toto heslo zůstává stejné. V praxi by se poté mohlo stát, že například po dvou letech činnosti bude nutné obnovit doménu Acti-ve
Directory a na heslo pro tento režim si nevzpomenete. Proto je dobré zadané heslo ihned po zadání zaznamenat a uložit na
bezpečné místo.
Pokud byste v budoucnu instalovali další řadič domény, nemusí být toto heslo stejné. Znovu je dobré si heslo zaznamenat, samozřejmě i
s názvem počítače, ke kterému se váže.
12. V dialogovém okně Souhrn prověřte správnost konfigurace všech parametrů domény Active Directory. V případě
nepřesností se opakovaným klepnutím na tlačítko Zpět vraťte k danému dialogovému oknu a hodnotu opravte. Pokud
souhlasíte, klepněte na tlačítko Další. Tím se spustí instalace řadiče domény.
13. Po dokončení Průvodce instalací služby Active Directory je nutné počítač restartovat.
76
Ověření správné instalace řadiče domény
Server SRVR001 je nyní řadičem domény Active Directoiy studny.local. Po instalaci každého řadiče domény je vhodné provést
kontrolu správné instalace:
1. K počítači SRVR001 se přihlaste jako správci. Účet Administrátor je nyní jediný účet s nejvyššími oprávněními v
doméně studny.local.
2. Spusťte aplikaci Průzkumník Windows a ověřte, zda existuje složka C:\WINDOWS\NTDS se soubory NTDS.DIT
(databáze Active Directory) a EDB.LOG (soubor protokolů transakcí). Dále ověřte existenci složky
C:\WINDOWS\SYSVOL.
3. V Nabídce Start přejděte na položku Nástroje pro správu a ověřte, zda mezi nástroji přibyly nástroje týkající se
správy domény - například nástroje Uživatelé a počítače služby Active Directory, Sítě a služby Active Directory či
Zásady zabezpečení domény. Poté klepněte na nástroj Prohlížeč událostí a ověřte, že zde přibyly položky
Adresářová služba a Služba replikace souborů. Klepněte na položku Služba replikace souborů a vyhledejte událost
13516. Ta oznamuje, že řadič domény plní svoje funkce.
Obrázek 7.11
Událost 13516 v protokolu Služby replikace souborů
4. Spusťte konzolu DNS a ověřte, že v zóně studny.local došlo k vytvoření podedo-mén _msdcs, _sites, __tcp, „udp,
DomainDnsZones a ForestDnsZones. První čtyři poddomény jsou z hlediska funkčnosti domény Active Directory velmi
d ů l e ž ité. Obsahují totiž takzvané záznamy SRV (Umístění služby - Service locatlon), podle kterých se orientují
všechny počítače se systémy Windows 2000/XP/2003 v sítí při hledání důležitých služeb.
5. Na příkazovém řádku zadejte příkaz net share. Zobrazí se sdílené složky počítače včetně položky NETLOGON směrované
do složky C:\WINDOWS\SYSVOL\stud-ny.local\ SCRIPTS.
Poznámka
Složka NETLOGON je důležitá pro systémy nižší než Windows 2000. Obsahuje například skripty, které se spouštějí při
přihlašování uživatele. V systémech Windows 2000/XP/2003 se přihlašovací skripty používají poněkud jiným způsobem
a jsou uložené v jiné složce.
77
Konfigurace služby DNS na řadiči domény
Služba DNS nyní obsahuje jedinou zónu studny.local. Ta je primární zónou s povolenými dynamickými aktualizacemi (viz
obrázek 7.12).
Obrázek 7.12
Vlastnosti zóny studny.local
Povolení dynamických aktualizací je z pohledu zabezpečení funkce sítě nebezpečné. Teoreticky by se totiž mohlo stát, že by
například některý uživatel přejmenoval svůj počítač na SRVR001 a restartoval jej. Po jeho spuštění by došlo k dynamické
aktualizaci záznamu SRVR001 na adresu IP onoho klientského počítače, a protože počítač SRVR001 plní v síti celou řadu úloh,
byly by všechny úlohy směrované jinam a doména by přestala pracovat. Je tedy nutné tuto zónu zabezpečit tak, aby se podobné
chování zcela vyloučilo nebo alespoň velmi omezilo. Proto postupujte podle následujících pokynů:
1. K počítači SRVR001 se přihlaste jako správci a spusťte konzolu DNS.
Poznámka
Správu služby DNS může provádět také uživatel, který není správcem, ale je členem skupiny DnsAdmins. Tato možnost se
vyskytuje ve větších prostředích s decentralizovanou správou.
2. Rozbalte položku Zóny dopředného vyhledávání, pravým tlačítkem myši klepněte na zónu studny.local a z místní
nabídky vyberte položku Vlastnosti.
3. Na kartě Obecné klepněte na tlačítko Změnit a poté zaškrtněte políčko Uložit zónu do adresáře Active Directory
(dostupné pouze pokud je server DNS řadičem domény). Klepněte na tlačítko OK a v dalším dialogovém okně
klepněte na tlačítko Ano.
4. V rozevíracím seznamu Dynamické aktualizace vyberte položku Pouze zabezpečené a poté klepněte na tlačítko OK.
5. Spusťte aplikaci Průzkumník Windows a ve složce C:\WINDOWS\SYSTEM32\DNS ověřte, že neexistuje soubor
studny.local.dns. Informace ze souboru studny.local.dns se po změně typu zóny staly součástí doménové databáze
Active Directory a soubor se z uvedené cesty přesunul do podsložky BACKUP.
Všechny nainstalované klientské počítače je nyní třeba vložit do domény. Postupujte podle následujících pokynů:
1. K počítači PC001 se přihlaste jako správci.
2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce na položku
Vlastnosti.
3. Na kartě Název počítače klepněte na tlačítko Změnit a poté v části Je členem zaškrtněte políčko Domény a zadejte
název studny.local. Poté klepněte na tlačítko OK.
4. V dialogovém okně Změny názvu počítače zadejte jméno Administrátor a heslo (K@f!cko) a klepněte na tlačítko OK.
V doméně dojde k vytvoření účtu počítače PC001 a v počítači se zobrazí dialogové okno se zprávou Vítejte v doméně
studny.local.
5. Postupným klepnutím na všechna tlačítka OK a Ano provedete restartování počítače.
Postup podle bodů 1 až 5 opakujte pro ostatní stanice.
78
Poznámka
Pokud nebude možné vytvořit účet počítače v doméně, bude pravděpodobně problém se službou DNS. V takovém případě
postupujte podle následujících pokynů.
1.
V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a po té v místní nabídce klepněte na položku
Vlastnosti. Na kartě Název počítače by měl být v části Úplný název počítače zobrazen název pc00x.studny.local,
kde pcOOx je název konkrétního počítače. Pokud přípona studny.local chybí, tnúzclc1 ji klepnutím na tlačítko Změnit
a poté Další doplnit do pole Primární přípona DNS tohoto počítače. Tento zásah vyžaduje restartování počítače. V
Nabídce Start klepněte na položku Ovládací panely, poté na položku Připojení k síti a Internetu a ještě na ikonu
Síťová připojení. Pravým tlačítkem myši klepněte na položku Připojení k místní síti a v místní nabídce zvolte
2. Klepněte na položku Protokol sítě Internet (TCP/IP) a poté na tlačítko Vlastnosti.
3. Na kartě vlastností protokolu TCP/IP klepněte na tlačítko Upřesnit a poté klepněte na kartu DNS. Zde ověřte, zda je
správně zadaná adresa IP serveru DNS (192.168.10.2) a zda je zaškrtnuté políčko Připojit přípony DNS primární
domény a specifické domény připojení. Pokud ne, zaškrtněte je. Dialogová okna zavřete postupným klepnutím na
tlačítko OK.
Obrázek 7.13
Správná konfigurace karty DNS
5. Spusťte příkazový řádek a zadejte příkaz P I N G studny.local. Pokud se zobrazí odpovědi, je konektivita počítače do sítě v
pořádku a služba DNS pracuje správně.
6. Pokud ani poté nelze přidat počítač do domény, ověřte správnou funkci řadiče domény, případně funkci protokolu TCP/IP
pomocí postupů popsaných v kapitole 3, „Učíme počítače komunikovat v síti".
Ověření existence účtů počítačů v doméně
1.
K počítači SRVR001 se přihlaste jako správci.
2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na nástroj Uživatelé a počítače služby
Active Directory.
3. V levém podokně tohoto nástroje klepněte na kontejner Computers. V pravém podokně by měly být zobrazeny účty
počítačů.
4. V levém podokně klepněte na položku Domain Controllers a v pravém podokně ověřte existenci účtu řadiče domény
SRVR001.
Poznámka
Účty řadičů domén jsou v databázi Active Directory z důvodu zabezpečení umístěné ve zvláštní organizační jednotce. Účty
z tohoto umístění nepřesunujte!
79
Konfigurace přihlášení k počítači
Systémy Windows XP i serverové operační systémy řady Windows Server 2003 se spouštějí rychleji než předchůdci Windows
2000. To není dáno tím, že by jádro systému bylo výrazně pozměněno a spuštění počítače bylo opravdu rychlejší. Jednoduše se
pro přihlášení uživatele nečeká na spuštění sítě.
Takový stav jistě mnoha milionům zejména domácích uživatelů na světě vyhovuje, neboť své počítače v síti nemají (a společnosti
Microsoft tiše děkují, že systémy Windows XP Professional a Windows Server 2003 obsahují konečně vylepšení viditelné na
první pohled). V prostředí organizace, která síť používá, to však není úplně nejlepší nastavení, protože naopak někdy může
zbrzdit přenesení informací k uživateli až na druhé přihlášení.
Tuto funkci lze vypnout a vzhledem k tomu, že v prostředí domény je žádoucí, aby síť pracovala ještě před přihlášením uživatele
k počítači, doporučuji tuto vlastnost zakázat podle následujícího postupu:
1.. Přihlaste se k serveru SRVR001 jako správci.
2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku Uživatelé a počítače služby
Active Directory.
3. Pravým tlačítkem myši klepněte na položku domény (studny.local) a v místní nabídce klepněte na položku Vlastnosti.
Zobrazí se dialogové okno vlastností domény.
4. Na kartě Zásady skupiny poklepejte na položku Default Domain Policy. Zobrazí se konzola Editor objektů zásad
skupiny.
5. V levém podokně konzoly v části Konfigurace počítače rozbalte položku Šablony pro správu, poté položku Systém
a klepněte na položku Přihlášení.
6. V pravém okně poklepejte na položku Při spouštění a přihlašování počítače vždy počkat na síť a zaškrtněte
políčko Povoleno. Poté klepněte na tlačítko OK.
Obrázek 7.14
Zásada
v objektu na
úrovni domény
Poznámka
Uvedené nastavení se týká pouze počítačů se systémy Windows XP Professional a systémů řady Windows Server 2003. Systémy
Windows 2000 se standardně chovají tak, jako by toto nastavení bylo vždy povolené (vždy čekají nejprve na síť).
80
Závěr
Doména Active Directory přišla v porovnání se svým předchůdcem, doménou SAM se systémem Windows NT 4.0 Server, s
mnoha vylepšeními. Ta se týkají možnosti uložení řádově většího množství objektů (uživatelské účty, účty počítačů, skupiny
apod.), možností delegování správy pro větší prostředí s více správci nebo například zabezpečení. Přesto se vyskytují prostředí,
pro která je jediná doména nedostatečná. Jde spíše o větší společnosti s pobočkami po celém světě nebo například o společnosti,
které se nedávno spojily s jinou organizací. V jejich doménové struktuře můžete najít více domén, které mohou být uspořádané ve
formě stromu či lesa Active Directory.
Strom Active Directory sdružuje jednu či více domén, jejichž názvy jsou souvislé. Stromová struktura je hierarchická, tato
hierarchie se však týká pouze názvů. Rozhodně to tedy neznamená, že správci nadřazené domény mohou automaticky spravovat
podřízené domény. Nejvyšší privilegia má sice ta doména, která byla nainstalovaná jako první, všechny ostatní domény jsou si
z pohledu správy rovny.
Někdy je však nutné (například při splynutí dvou organizací) ponechat každé původní doméně vlastní název. Řešením jsou v
takovém případě dva stromy (jinak nelze zajistit nesouvislost názvů domén) sdružené v jednom lese.
Při instalaci domény je nutné dobře zvolit její název, neboť od něj se odvíjí názvy případných dalších domén. Dále instalace
domény vyžaduje službu DNS. Pokud v síti existuje, vytvoří se v zóně se stejným názvem, jako má doména, nové záznamy SRV
určující umístění jednotlivých doménových služeb. Pokud zóna se stejným názvem neexistuje nebo pokud v síti vůbec
neexistuje služba DNS, nabídne Průvodce instalací domény konfiguraci služby DNS. V takovém případě dojde k instalaci služby
DNS a její konfiguraci na řadič domény.
Instalace domény znamená úplnou změnu prostředí sítě. Proto je třeba se na tuto situaci dobře připravit, neboť pozdější změny v
doméně mohou mít vliv na všechny počítače v síti.
Stav sítě
V této kapitole došlo k největší změně v naší síti. Model pracovní skupiny byl změněn na doménu Active Directory. Počítač
SRVR001 se stal řadičem domény a všechny klientské počítače členy domény. Na závěr jsme nakonfigurovali zásadu, která
zakáže všem uživa-telum v doméně možnost přihlásit se dříve, než dojde ke spuštění síťových součástí. To-to chování, které je
nyní stejné jako u systémů Windows 2000, je vhodné do doménových prostředí, neboť správci mají jistotu, že vše v doméně
pracuje ihned tak, jak určili.
81
Potřebujeme v síti využívat další
služby?
Cílem každého rozumného správce sítě je provádět svou práci co nejefektivněji, to znamená pomocí co nejmenšího úsilí zvládat
co nejvíce úkolů. Logicky se dá předpokládat, že čím homogennější prostředí spravujete, tím méně práce máte. Příkladem ze
zatím probraných oblastí je překlad názvů.
Zatímco systémy Windows 2000 Professional a vyšší pracují primárně s hostitelskými názvy zařízení a budou k je-jich překladu na
adresu IP pravděpodobně využívat službu DNS, systémy předchozí (například Windows 9x či NT 4.0) pracují s názvy rozhraní
NetBIOS a potřebují pro přek la d názvů služby jiné.
Výskyt smíšených prostředí, tedy prostředí, ve kterých jsou jak systémy Windows 2000 a vyšší, tak i systémy předchoz í , je ještě
dnes poměrně častý, a proto je pro správce ne-vyhnutelné konfigurovat další služby pro jejich správnou funkci. Tedy pokud vše
nechtějí provádět ručně.
Jiným příkladem týkajícím se i homogenních prostředí je adresování zařízení adresami IP. Pokud počet počítačů a dalších
zařízení přesáhne únosnou mez, může být vhod-né nasadit další službu, která bude zajišťovat automatické přiřazování adres IP a
dalších parametrů. Příkladů lze uvádět více a více. V této kapitole se seznámíme s dalšími službami pro překlad názvů a pro
adresování zaŕízení, jako jsou počítače, tiskárny a další, protokolem IP.
Kompatibilita
s předchozími systémy
Protože jsme j i ž nainstalovali službu DNS i doménu Active Directory, můžeme si na konkrétním příkladu ukázat rozdil mezi systémy
Windows XP Professional a Windows NT 4.0 Workstation.
V kapitole 6, „Proč a jak se v síti překládají názvy?", padla zmínka o procesu vyhledání řadičů domény v doméně Active
Directory. Pojďme se na tento postup nyní podívat trochu podrobněji a přitom srozumitelně.
Počítač se systémem Windows XP Professional a doména Active Directory
Systém Windows XP Professional využívá při přihlašování službu DNS a postup nalezení řadiče domény vypadá následovně.
1. Poté, co uživatel zadá své přihlašovací informace, převezme řízení procesu služba Přihlašování k síti (Netlogon). Této
službě klientský počítač dodá veškeré informace, které jsou k nalezení řadičů domény třeba (například vlastní adresu
IP, primární příponu DNS a další).
2. Služba Netlogon se následně dotáže služby DNS na záznamy typu SRV ve formátu
_ldap._tcp.dc._msdcs.názevdomény - vnašem případě tedy na _ldap._tcp.dc._msdcs.studny.local (viz obrázek 8.1).
Obrázek 8.1
Záznam typu SRV v zóně studny.local
82
3. V části Hostitel nabízející tuto službu je uveden počítač srvr00l.studny.local.
Jedná se o informaci o řadiči domény. Aby s ním však klient mohl komunikovat, musí služba Netlogon provést ještě
druhý dotaz - vyhledat příslušný záznam typu A (viz obrázek 8.2).
4. Klientský počítač je nyní schopen se pomocí nalezené adresy IP spojit s řadičemdomény a získat tak přístup do
databáze Active Directory.
Uvedený postup je pro lepší pochopení maximálně zjednodušen a popisuje postup nalezení řadiče domény. Znovu je dobré
zopakovat, že správná funkce domény závisí mimo j i n é na správné funkci služby DNS.
Počítač se systémem Windows NT 4.0 a doména Active Directory
Systém Microsoft Windows NT 4.0 Workstation využívá pro nalezení řadiče domény službu Windows NT Locator. Ta pracuje
primárně s názvy NetBIOS.
Obrázek 8.2 Záznam typu A v zóně studny.local
1. Po zadání uživatelského jména a hesla se předají potřebné informace pro přihlášení službě Netlogon.
2. Služba Netlogon požádá službu Windows NT Locator o nalezení řadiče domény. Ta v celém procesu používá názvy
NetBIOS a hledá záznam řadiče domény.
3. Pokud je k dispozici služba WINS, mělo by dojít k nalezení typu záznamu řadič domény zde, pokud k dispozici není,
pokračuje se pomocí všesměrového vysílání, případně pomocí souboru LMHOSTS.
4 . Nalezený záznam se předá službě Netlogon, která poté provede další činnosti.
Z uvedených informací je zřejmé, že pokud bude v síti počítač se systémem nižším než Windows 2000 Professional, je vhodné do
sítě doplnit službu WINS pro překlad názvů NetBios. Pouze tak, při její správné funkčnosti, budete mít jistotu, že veškeré
procesy v síti poběží bez potíží.
Vzhledem k postupu při překladu názvů NetBIOS však lze namítnout, že služba WINS ne-ni v síti nutná, neboť dojde k
vyhledání záznamu pomocí všesměrového vysílání (broad-casting). To je sice pravda, ale pouze částečná. Všesměrové
vysílání neprojde přes směrovače a nebude tak funkční například v síti, která má řadiče domény pouze v cen-trále a je třeba
ověřit uživatele přihlašujícího se k počítači na pobočce.
Překlad názvů s využitím služby WINS
Protože se lze v praxi ještě velmi často setkat s případem, kdy se v sítích kromě systémů Windows XP Professional nebo Windows
2000 Professional vyskytují operační systémy Win-dows 9x či Windows NT 4.0, je nanejvýše vhodné nainstalovat do takové sítě službu
WINS.
Službu WINS lze nainstalovat pouze do serverového operačního systému a poté je nutné nakonfigurovat další parametry v
klientských počítačích.
Pokud v síti nemáte žádný starší systém než Windows 2000, nemusíte službu WINS instalovat. Do naší sítě však její instalaci
provedeme, neboť ukáže postup pro případ, kdy byste ji opravdu v síti potřebovali.
83
Instalace služby WINS
1.
2.
3.
4.
K serveru SRVR001 se přihlaste jako správci.
V Nabídce Start přejděte na položku Ovládací panely a poté poklepejte na položku Přidat nebo odebrat programy.
V levé části okna Přidat nebo odebrat programy klepněte na položku Přidat nebo odebrat součásti systému.
V okně Průvodce součástmi systému Windows klepněte na položku Síťové služby a poté klepněte na tlačítko
Podrobnosti.
5. Zaškrtněte políčko Služba Windows Internet Name Service (WINS) a poté postupně klepněte na tlačítko OK a Další.
6. Během instalace služby WINS budete pravděpodobně muset vložit instalační disk CD-ROM se systémem Windows
Server 2003- Instalaci ukončíte klepnutím na tlačítko Dokončit.
Konfigurace služby WINS
Součástí instalace služby WINS je také konzola pro její správu s výjimečným názvem -WINS. Pokud je v síti jediný server
WINS, nevyžaduje po instalaci žádnou konfiguraci. Můžeme se tedy podívat na nástroj, pomocí něhož se provádí jeho správa a
na data, která jsou v databázi WINS po instalaci k dispozici. Předtím je ale nutné nakonfigurovat samotný server WINS jako
svého klienta.
Konfigurace serveru jako klienta služby WINS
1. Zobrazte vlastnosti Připojení k místní síti a poté vlastnosti protokolu sítě Internet (TCP/IP).
2. V dialogovém okně Protokol sítě Internet (TCP/IP) - vlastnosti klepněte na tlačítko Upřesnit a poté na kartě WINS
klepněte na tlačítko Přidat.
3. Zadejte adresu IP serveru SRVR001 (192.168.10.2) a klepnutím na tlačítko Přidat ji přidejte. Dialogové okno zavřete
klepnutím na tlačítko OK.
4. Zavřete všechna dialogová okna.
V tuto chvíli se server SRVR001 stal svým vlastním klientem služby WINS. Tím má nyní možnost vyhledávat v databázi WINS
názvy NetBIOS a zároveň do této databáze registruje všechny své záznamy. O jejich existenci se přesvědčíme za chvíli.
Práce s konzolou a zobrazení obsahu databáze WINS
1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku WINS. Spustí se konzola
WINS.
2. V levém podokně klepněte na položku Stav serveru. V pravém podokně potéuvidíte stav serveru. Pokud je vše v
pořádku, je ve sloupci Stav zobrazena informace Odpovídá (viz obrázek 8.3).
Obrázek 8.3
Konzola pro správu serveru WINS
3. Dále v levém podokně rozbalte položku s názvem serveru (SRVR001) a klepněte na složku Aktivní registrace. V levé
části okna se zobrazí informace o možnosti použití této položky.
4. Na položku Aktivní registrace klepněte pravým tlačítkem myši a v místní nabídce vyberte příkaz Zobrazit záznamy.
5. V dialogovém okně Zobrazit záznamy lze zadat filtr, které záznamy se zobrazí. My chceme zobrazit všechny
záznamy, proto klepněte na tlačítko Najít.
Poznámka
Na kartě Mapování záznamů lze zadat filtr týkající se názvů záznamů. Zde lze používat zástupné znaky (například *). Na
kartě Vlastníci záznamů lze filtrovat záznamy podle toho, na kterém serveru WINS došlo k jejich registraci a na kartě
Typy záznamů lze definovat zobrazení pouze určitých typů záznamů (Pracovní stanice, Řadič domény, Souborový server
a dalších).
84
Obrázek 8.4 Záznamy zaregistrované serverem SRVR001 v databázi WINS
Na obrázku 8.4 si všimněte záznamu typu [1Ch] Řadič domény. Jedná se přesně o záznam, který vyhledává služba Windows
NT Locator při přihlášení uživatele.
Databáze WINS nyní obsahuje 7 záznamů, které zaregistroval server SRVR001 ihned po té co jste z něj udělali klienta WINS (tedy po
zadání adresy IP na kartě WINS).
Jak by to dopadlo nyní, pokud by tyto informace potřeboval některý z klientských počí taču (například se systémem Windows
NT 4.0 Workstation)? Aby mohl počítač požádat službu WINS o potřebné informace, musí být klientem WINS. To však žádný z
našich počítačů není, neboť v homogenních sítích se systémy Windows 2000 a vyššími ne ní služba WINS třeba. Navíc v
okamžiku, kdy se z počítače stane klient služby WINS, provede registraci svých záznamů do databáze a následně provádí
registraci při každém dalším spuštění. Služba WINS je dynamickým řešením překladu názvů, proto není nutné zadávat žádné
informace ručně.
Nyní by tedy bylo vhodné obejít všechny klientské počítače a nakonfigurovat je jako klienty WINS. S touto činností ale ještě
počkáme na nasazení další služby do sítě, která poté udělá vše za nás.
Na závěr pamatujte - službu WINS budete potřebovat v okamžiku, kdy budou v síti počítače s jinými operačními systémy než se
systémem Windows 2000 nebo vyšším. V opačném případě se jedná o zbytečnou službu, která navíc vyžaduje instalaci,
konfiguraci a správu a jež bude zatěžovat síť.
Centrála, pobočky a služba WINS
Ne vždy musí být nutné službu WINS instalovat. Představme si společnost, která má své sídlo a vzdálený sklad. Veškeré počítače
včetně serverů jsou v sídle společnosti (vše systémy Windows Server 2003 a Windows XP Professional), ve vzdáleném skladu je
jediný klientský počítač (se systémem Windows NT 4.0 Workstation). Sklad je připojen k síti pronajatou linkou o rychlosti
například 64 kbps.
V takovéto topologii se pro adresování počítačů v sídle společnosti použije jiná podsíť než pro adresování počítače ve skladu. Pro
praxi to znamená, že mezi skladem a sídlem společnosti je z pohledu topologie sítě pro správnou komunikaci umístěn
směrovač.
Představme si nyní proces přihlašování uživatele do domény. Po přihlášení je na službě Windows NT Locator, aby pomocí
záznamů rozhraní NetBIOS nalezla řadič domény (z výše uvedených informací již víme, že bude hledat šestnáctkový
záznam 1C). Pokud v síti neexistuje server WINS nebo počítač ve skladu není klientem WINS, použije pro nalezení potřebného
záznamu druhou metodu, kterou je všesměrové vysílání. To ale neprojde přes směrovač, a dojde tedy na další krok - soubor
LMHOSTS. A protože není soubor LMHOSTS v počítači nadefinován, nalezení domény se nezdaří a uživatel se do domény
nepřihlásí.
Jakým způsobem lze tento problém vyřešit? Řešení existuje několik, z těch nejjednodušších uveďme dvě:
Řešení A V centrále se nakonfiguruje server WINS a všechny počítače se nakonfigurují jako klienti WINS (včetně počítače ve
skladu). Toto řešení bude funkční s tím, že počítač bude zatěžovat linku 64 kB/s registrací vlastních záznamů při spouštění a
svými dotazy na službu WINS během dne. Samozřejmě, že linku 64 kB/s nemůže provoz jednoho počítače nijak ohrozit, při
zvyšování počtu počítačů (na řádově desítky až stovky) se však mohou vyskytnout potíže. Vždy ale záleží na tom, jak je linka
běžně vytížena kritickými obchodními aplikacemi (kvůli kterým vlastně existuje).
U tohoto řešení je dále nutné myslet na to, že kvůli jednomu počítači je nutné instalovat do sítě další službu, jejíž konfigurace,
správa a řešení případných potíží bude jistě tvořit další náklady společnosti, nehledě na případný výpadek serveru.
Řešení B Počítač ve skladu jistě nepotřebuje komunikovat se všemi počítači v sídle společnosti. Kritické pro něj zřejmě budou
pouze servery, výjimečně někteří klienti. Vzniká tedy otázka, zda celou záležitost nevyřešit jednodušeji. V takovém případě může
být řešen í m konfigurace souboru LMHOSTS. Ten musí obsahovat záznamy všech počítačů, se kterými bude vzdálený počítač
komunikovat, a záznamy o doméně. Jak může takový sou bor vypadat ukazuje následující výpis:
1 9 2 .1 6 8 .1 0 .2
1 9 2 .1 6 8 .1 0 .1 7
SRVR001
#PRE
PC001 192.168.10.18
PC002
#DOM:STUDNY
85
V tomto konkrétním případě bude počítač ve skladu komunikovat pouze s počítači SRVR001, PC001 a PC002 a bude schopen
nechat ověřit přihlášení uživatele řadiči domény SRVR001 do domény s názvem NetBIOS STUDNY (záznam #DOM). Záznam
označení jako #PRE se při spuštění počítače načte do mezipaměti rozhraní NetBIOS, takže komunikace s počítačem SRVR001
bude rychlejší.
Porovnání nákladnosti a pracnosti jednotlivých řešení ponechám na vás. K prvnímu řešení lze snad ještě doplnit, že pokud má
počítač ve skladu komunikovat pouze s vyjmenovanými počítači v sídle společnosti, je nutné pouze tyto počítače nakonfigurovat
jako klienty služby WINS nebo je nekonfigurovat vůbec, ale jejich záznamy přidat do databáze WINS ručně.
U druhého řešení je nutné připomenout, že název souboru LMHOSTS nesmí obsahovat žádnou příponu a jeho umístění musí být
ve složce %systemroot%\system32\drivers\etc.
Další informace o službě WINS a formátu souboru LMHOSTS naleznete v kapitole 6, „Proč a jak se v síti překládají názvy?" a v
nápovědě příslušného systému.
Síť se rozrůstá - co s tím?
Každá síť fungující společnosti se začne jednou rozrůstat. Mohou pro to existovat různé důvody. Tím nejpříjemnějším jsou jistě
lepší a lepší obchodní výsledky a s tím spojené požadavky na další zaměstnance nebo třeba jen více serverů. Tím horším
důvodem jsou i nožná neznalosti či neschopnost správců vedoucí k vyššímu počtu serverů, než by bylo třeba. Cílem této kapitoly
není řešit konkrétní příčiny, ale spíše v dané oblasti ukázat, že z pohledu správce se není třeba růstu sítě bát, a ukázat řešení
pro adresování velkého počtu počítačů protokolem IP.
První otázka týkající se sítě (konfigurace parametrů protokolu TCP/IP) se řeší během in-stalace každého počítače. V systémech
Windows 2000 a vyšších je během instalace nutné zvolil typické nastavení nebo je nutné zadat konkrétní služby, protokoly a
jejich nastaveni (vlastní nastavení). To znamená, že konfigurace parametrů protokolu IP jakéhokoli po-čítače jistě „projde"
alespoň jednou rukama některého ze správců. Slovo „projde" je v uvo-zovkách uvedené proto, že konfigurace veškerých parametrů
sítě může proběhnout i au-tomaticky například pomocí souboru odpovědí, který zase ale na druhou stranu musí ně-kdo dopředu
připravit. Této práci tedy málokterý správce unikne.
Typy adresování protokolu IP
Pokud ponecháte při instalaci síťových součástí zaškrtnutou položku Typické nastaveni, nainstalují se základní tři součásti sítě Sdílení souborů a tiskáren v sítích Microsoft, K l í e n t sítě Microsoft a Protokol sítě Internet (TCP/IP) - který bude adresován
dynamicky. Pokud chcete jakékoli nastavení v porovnání s typickým nastavením změnit (to se týká i konfigurace adresy IP), je
nutné zvolit položku Vlastní nastavení a potřebné parametry nakonfigurovat ručně.
Ruční (statické) adresování
Ruční adresování je určené pro menší prostředí. Na otázku, pro kolik počítačů je vhodné jej ještě použít, ale neexistuje
jednoznačná odpověď. Zde spíše záleží na rozložení sítě, počtu, případně i znalostech správců - jinými slovy na době, za kterou
jsou schopni provést změnu v konfiguraci u všech počítačů, pokud je změna nutná. Pro některého správce může být oříškem
obejít 10 počítačů a potřebné parametry změnit, u některých správců nemusí být žádný problém to samé provést u 50
počítačů.
V naší síti jsme zatím prováděli právě ruční adresování počítačů, konkrétně adresy IP, masky podsítě, adresy IP serveru DNS a
v této kapitole i serveru WINS. Nyní si představte situaci, kdy se naše síť rozroste na 150 počítačů a následně vznikne pobočka
společnosti s několika počítači.
Pokud v takovém případě budete chtít, aby mezi sebou byly všechny počítače schopné komunikovat, bude nutné nakonfigurovat
další parametr protokolu IP, kterým je výchozí brána. Pak tedy bude nutné všechny počítače obejít (včetně počítačů na
pobočce) a nakonfigurovat tento parametr ručně. U systémů Windows 2000 a vyšších (plus Windows NT 4.0) je nutné dodat, že
změnu síťových součástí může provádět pouze správce počítače (u systémů Windows XP Professional a Windows Server 2003 to
může navíc provádět člen skupiny Network Configuration Operators). Nelze tedy přijít k počítači a změnit parametry protokolu
IP, aniž by se uživatel musel odhlásit a vy jste se museli přihlásit jako správce, a toto zdržení bude mít jistě vliv na celkovou
produktivitu práce jednotlivých uživatelů.
Možná se nyní zdá, že ruční adresování a konfigurace dalších parametrů protokolu IP je spíše na obtíž a nemá žádné výhody.
Lze říci, že čím větší prostředí spravujete, tím náročnější práci s ručním adresováním budete mít. Výhodu však tento způsob má
- v síti nemusí být k dispozici žádná další služba, a tedy ani žádný další počítač, který by tuto službu plnil. Proto se ruční
adresování používá opravdu spíše v malých sítích. Ve větších sítích je nutné a nevyhnutelné si celý proces zjednodušit.
86
Dynamické (automatické) adresování
Pokud potřebujete najednou přidat či změnit například adresu IP sekundárního serveru DNS u všech počítačů, čeká vás při
ručním adresování spousta práce. Kromě toho, že budete muset všechny počítače obejít, „vyhnat" od nich uživatele, přihlásit se
jako správci, upravit parametry, odhlásit se, a poté umožnit uživatelům znovu se přihlásit a pokračovat v práci, je velmi
pravděpodobné, že u některého počítače se překlepnete, některý parametr zapomenete vyplnit nebo velmi jednoduše
nakonfigurujete například již používanou adresu IP znovu.
To jsou jen základní věci, se kterými se můžete setkat. Pokud máte na starosti správu velké sítě, nastávají ještě potíže s fyzickou
nedostupností některých počítačů a někdy se dokonce může stát, že ačkoli počítač v síti je a lze s ním komunikovat, jeho
fyzické umístění je pro správce oříškem. Většině správců proto bohatě stačí, když musí všechny počítače obejít pouze jednou a
vše ostatní se již děje automaticky.
Aby automatická konfigurace parametrů protokolu IP pracovala, musí být v síti k dispozici server DHCP (Dynamic Host
Configuration Protocol). DHCP se někdy označuje jako služba i jako protokol a obecně lze říci, že obě označení jsou správná.
Služba DHCP
Služba DHCP „naslouchá" v síti speciálnímu vysílání klientských počítačů, které jsou nakonfigurované pro automatické
adresování, a reaguje na ně nabídkou konfiguračních parametrů protokolu IP. Ve většině případů jde o konfiguraci všech
parametrů, v některých případech postačuje pouze souhlas s pokračováním používání již aktuálních parametrů.
Server DHCP si veškeré „zapůjčené" parametry ukládá do vlastní databáze a zároveň dbá o to, aby již jednou zapůjčenou adresu
IP nezapůjčil některému z dalších počítačů. Aby se však nakonfigurovaný obor adres IP k zapůjčení během několika dnů v
síti nevyčer-pal, vrací klientské počítače zapůjčené parametry při vypínání serveru DHCP (pokud je samozřejmě v tu chvíli server
DHCP k dispozici).
Přítomnost serveru DHCP v síti vylučuje riziko překlepnutí v některém z parametrů jednotlivých počítačů, neboť všechny
parametry se definují pouze jednou, a zároveň vyluču-je duplikaci adres IP v síti. Je tedy velmi vítaným pomocníkem všech
správců sítě.
Nasazení služby DHCP do existujícího prostředí je, podobně jako u ostatních služeb, vhodnédné dobře naplánovat. Pokud
se podíváme na naši síť, nebude implementace služby DHCP sestávat pouze z její instalace a konfigurace, ale také z nutnosti
zajistit vhodný pře-chod ze statického adresování na dynamické. Na jednotlivé kroky se nyní podíváme po-drobně a postupně
službu DHCP nakonfigurujeme a začneme využívat.
Instalace služby DHCP
Služba DHCP je součástí operačního systému Windows Server 2003. Pro její instalaci te-dy musíme nutně využít stávající server
SRVR001. Druhým řešením by jistě bylo nainsta-lovat další server a nakonfigurovat službu DHCP na něm, v naší relativně malé síti
to však není nutné. Instalaci služby DHCP provedete podle následujících pokynů:
V Nabídce Start přejděte na položku Ovládací panely a poté klepněte na položku Přidat nebo odebrat programy. V
levé části okna Přidat nebo odebrat programy klepněte na položku Přidat nebo odebrat součásti systému. V okně
Průvodce součástmi systému Windows klepněte na položku Síťové služby a poté klepněte na tlačítko Podrobnosti.
V seznamu síťových služeb zaškrtněte políčko Pomocí protokolu DHCP a poté klepněte na tlačítko OK.
Klepněte na tlačítko Další a vyčkejte instalace služby DHCP. Možná, že budete po-žádání o vložení instalačního disku CDROM se systémem Windows Server 2003. Klepnutím na tlačítko Dokončit dokončíte instalaci.
Ověření správné instalace služby DHCP
1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku DHCP. Spustí se konzola
MMC.
2. V konzole DHCP by měl být uveden server srvrOOl.studny.local spolu s adresou IP. Po klepnutí na server a zpět na
položku DHCP by se měl v pravém okně zobrazit stav Neověřeno (viz obrázek 8.5).
Obrázek 8.5
Konzola MMC se serverem DHCP srvr001.studny local
87
V tuto chvíli je služba DHCP úspěšně nainstalovaná, nicméně žádnou adresu IP ještě není schopna zapůjčit. Proto je nutné ji
dále nakonfigurovat.
Konfigurace služby DHCP
Při konfiguraci služby DHCP je nutné určit obor (rozsah) adres, který bude klientům protokolu IP zapůjčovat adresu IP, masku
podsítě, případně další konfigurační parametry (výchozí bránu, servery DNS, servery WINS). Tyto informace však nelze zadávat
„slepě", ale je potřeba se nad některými z nich před konfigurací serveru DHCP dobře zamyslet. Například pro adresování naší sítě
jsme vybrali podsíť IP 192.168.10.0/24. Pro servery jsme vyhradili adresy IP 192.168.10.2 až 192.168.10.11, další adresy IP
(192.168.10.12 až 192.l68.10.l6) jsou připravené pro tiskárny či další zařízení a zbytek (192.168.10.17 až 192.168.10.254) je
určen pro klientské počítače. Z uvedeného vyplývá, že pokud zadáme na serveru DHCP obor adres IP v rozmezí 192.168.10.1 až
192.168.10.254, nedopadne to v naší síti dobře. Server DHCP je sice schopen určit, zda je adresa IP, kterou má v úmyslu
zapůjčit klientovi, v síti aktivní, nám však toto řešení nemůže stačit (tato funkce navíc není ve výchozím stavu povolena). Stačí
si představit stav, kdy počítač s adresou IP 192.168.10.17 bude nějakou dobu vypnut a server DHCP poté tuto adresu zapůjčí
jinému počítači. Po zapnutí původního počítače dojde nutně ke konfliktu adres IP a oba počítače se stejnou adresou nebudou
v síti pracovat. Je tedy nutné najít jiné, lepší řešení.
Řešení 1
Změnu adresování IP lze ponechat na večerní či víkendovou dobu, kdy konflikt adres IP neohrozí práci žádného uživatele v síti,
a poté provést všechny činnosti najednou. Celý proces by mohl vypadat například takto:
1. Konfigurace serveru DHCP - obor adres IP 192.168.10.17 až 192.168.10.254, masky podsítě a dalších parametrů.
2. Aktivace oboru a ověření serveru DHCP v doméně Active Directory (tyto pojmy budou vysvětleny dále).
3. Změna adresování protokolu IP ve stávajících klientských počítačích.
Pokud by se během tohoto procesu přidaly do sítě další počítače s výchozí konfiguraci sítě, začal by server DHCP zapůjčovat
adresy IP od nejnižší a mohlo by se stát, že něja-kou dobu budou v síti dva počítače se stejnou adresou IP. Po provedení
bodu 3 by se však síť „vyčistila" a konflikt adres IP by nenastal.
Tento postup se hodí pro malé sítě, kde jsou například všechny počítače v jedné či více místnostech poblíž sebe a pro organizace,
které si mohou výpadek klientských počítačů dovolit.
Řešení 2
Změnu adresování IP lze provést během pracovní doby, přičemž nesmí dojít ke konfliktu adres IP. Celý proces by mohl
vypadat například takto:
1. Konfigurace serveru DHCP - obor adres IP 192.168.10..% až 192.168.10.254, kde %, aktuálně nejnižší volná adresa IP v
síti, masky podsítě a dalších parametrů.
2. Aktivace oboru a ověření serveru DHCP v doméně Active Directory (tyto pojmy budou vysvětleny dále).
3. Změna adresování protokolu IP ve stávajících klientských počítačích a postupné rozšiřování oboru směrem dolů (k
nižším adresám IP) až na adresu 192.168.10.17.
Pokud by se během tohoto procesu přidal do sítě nový počítač, server DHCP by mu za-půjčil první zadanou adresu IP - například
192.168.10.84. Poté byste například u klient-ikého počítače PC001 změnili adresování protokolu IP z ručního na automatické,
a počítač PC001 by následně získal adresu IP 192.168.10.85. Jeho původní adresa 192.168.10.17 by byla na přechodnou
dobu „nezapůjčitelná" až do chvíle, kdy by došlo k rozšíření oboru DHCP na tuto adresu.
Po tomto postupu je nutné mít na paměti několik věcí:
• Bod 3 je nutné provádět v blocích počítačů, které mají souvislé adresy IP, a to od nejvyšších adres IP směrem k nižším.
Nejprve tedy změnit adresování u počítačů s ručně přidělenými adresami IP 192.168.10.83, 192.168.10.82,
192.168.10.81, 192.168.10.80 a 192.168.10.79 a následně rozšířit obor DHCP na 192.168.10.79 až 192.168.10.254.
• Pokud budete postupovat například v blocích po 5 počítačích, je nutné myslet nato, že po nějakou dobu tyto počítače
„zaberou" 10 adres IP. Čím je tedy síť větší, tim menší bloky počítačů musí být.
toto řešení je vhodné pro sítě, které si nemohou dovolit výpadky klientských počítačů vinou kolizních adres IP v síti. Je
vhodné pro všechny velikosti sítí.
Existují i další řešení, která spíše postupují podle řešení 2, ale využívají k tomu další možnosti serveru DHCP, jako jsou například
rozsahy vyloučených adres IP. Volba konkrétní postupu je na správci, který musí zvážit výhody či nevýhody všech řešení a vybral
nejméně
bolestnou cestu. Samozřejmě existuje i řešení další, již od počátku používat v síti službu DHCP. Potom stačí pouze správně
nakonfigurovat službu DHCP a přechod z ručního na automatické adresování není nutno řešit. Dalším extrémním případem je
přejít souvislosti s dynamickým adresováním na jinou podsíť. Takové řešení je sice také moźné, ale změna typu adresování
nebývá pro jeho volbu jediným důvodem.
88
V naší síti vyjdeme z řešení 2 a provedeme výchozí konfigurací serveru DHCP:
1. Spusťte konzolu DHCP.
2. Pravým tlačítkem myši klepněte na položku serveru (srvr001.studny.local) a v místní nabídce vyberte položku
Nový obor. Spustí se Průvodce vytvořením oboru. Pokračujte klepnutím na tlačítko Další.
3. V dialogovém okně Název oboru zadejte název (například Centrála společnosti) a popis (Adresování klientských
počítačů v centrále). Poté klepněte na tlačítko Další.
4. V dialogovém okně Rozsah adres IP zadejte do pole Počáteční adresa adresu 192.168.10.x, kde x je první
volná adresa ve vaší podsíti (například 192.168.10.26), do pole Koncová adresa EP zadejte adresu
192.168.10.254. Pole Délka a Maska podsítě se vyplní automaticky výchozí maskou dané podsítě
(v našem případě 24/255.255.255.0). Prověřte správnost masky podsítě, neboť ji není možné změnit bez odebrání a nového
vytvoření oboru. Poté klepněte na tlačítko Další.
5. V dialogovém okně Přidat vyloučení ponechte všechny hodnoty prázdné a klepněte na tlačítko Další.
6. V dialogovém okně Doba trvání zápůjčky ponechte výchozí nastavení a klepněte na tlačítko Další.
7. V dialogovém okně Konfigurovat možnosti serveru DHCP zaškrtněte políčko Ano, chci tyto možnosti změnit a
pokračujte klepnutím na tlačítko Další.
8. V dialogovém okně Směrovač (Výchozí brána) nezadávejte žádnou hodnotu a klepněte na tlačítko Další.
9. V dialogovém okně Název domény a servery DNS ponechte pole Nadřazená doména prázdné a do pole Adresa IP
zadejte adresu 192.168.10.2. Poté klepně te na tlačítko Přidat a pokračujte klepnutím na tlačítko Další.
10. V dialogovém okně Servery WINS zadejte do pole Adresa IP adresu 192.168.10.2, poté klepněte na
tlačítko Přidat a dále klepněte na tlačítko Další.
Poznámka
Bod 10 proveďte pouze v případě, pokud je v síti nakonfigurován server WINS.
11. V dialogovém okně Aktivovat obor zaškrtněte políčko Ne a poté klepněte na tlačítko Další.
12. Průvodce ukončíte klepnutím na tlačítko Dokončit.
Poznámka
Ačkoli by se zdálo výhodné v dialogovém okně Aktivovat obor ponechat zaškrtnuté políčko Ano, nedělejte to. Po
konfiguraci oboru je totiž dobré si veškerá nastavení zkontrolovat, a teprve poté obor aktivovat.
Nyní v konzole DHCP zkontrolujte nakonfigurované informace:
• V položce Fond adres byste měli vidět nakonfigurovaný rozsah adres IP (192.168.10.26 až 192.168.10.254).
• Položky Zapůjčení a Rezervace by neměly obsahovat žádné hodnoty.
• Položka Možnosti oboru by měla obsahovat tři položky (006 Servery DNS, 044 Servery WINS/NBNS a 046 Typ uzlu
WINS/NetBIOS nad protokolem TCP/IP).
Obrázek 8.6 Možnosti oboru Centrála
společnosti serveru DHCP
89
Poznámka
Možnost 046 Typ uzlu WINS/NetBIOS nad protokolem TCP/IP je rozhodující pro určeni, jaká bude posloupnost používaných služeb
pro překlad názvů rozhraní NetBIOS. Hodnota 0x8 je nejčastější a v takovém případě se počítači z pohledu rozhraní NetBIOS
říká uzel H. Překlad názvů NetBIOS potom proběhne přesně podle postupu uvedeného v kapitole 6, „Proč a jak se v síti překládají
názvy?".
Pokud je vše v pořádku, je možné provést aktivaci oboru:
•
Pravým tlačítkem myši klepněte na obor Centrála společnosti a v místní nabídce zvolte příkaz Aktivovat. Z názvu
oboru zmizí červená šipka, což znamená, že obor byl bez potíží aktivován.
Nyní je vše nakonfigurováno, server DHCP přesto ještě nebude pracovat. Ještě je nutné provést jeho ověření v doméně Active
Directory.
Ověření serveru DHCP v Active Directory
Server DHCP zanedlouho spustíme a začneme v síti využívat jeho služeb. Co se ale sta-ne, pokud server z nějakého důvodu nepoběží
(nebo v krajním případě nepoběží pouze služba Server DHCP)? Je možné mít v síti více serverů DHCP? Pokud ano, mohou být na
konfigurované stejně?
Opověď na tyto otázky je následující. V síti může být více serverů DHCP, nikoli však se stejnoukonfigurací. Proč tomu tak
je, není složité vysvětlit. Server DHCP nemá po svém spuštění žádné informace ani žádnou možnost, jak získat informace o
adresách IP, kteréjsou v síti aktivní, pokud je sám nezapůjčil. Znamená to, že pokud byste do sítě přidali další server DHCP
se stejnou konfigurací, velmi brzo by se objevil konflikt adres IP, neboť nový server by začal zapůjčovat adresy IP, které jsou
v síti aktivní.
Otázka instalace serveru DHCP a konfigurace oboru není nijak složitou záležitostí - o tom jsme se přesvědčili před chvílí. Postačují k
tomu oprávnění správce daného serveru, a po-kud je služba DHCP nainstalovaná, potom stačí ke konfiguraci členství v doménové
skupině DHCP Administrátors. A právě v tom je problém. Pokud totiž některý ze správcu konkrétního serveru nainstaluje službu
DHCP a provede konfiguraci a aktivaci oboru, může v celé síti způsobit pořádný chaos. Takové případy se opravdu stávají, ve
většině z nich ale nejde o úmysl, ale spíše jen o obyčejné vyzkoušení zamýšlené konfigurace bez domyšlení všech následků.
Máme možnost se jako správci domény proti těmto problémům nějak bránit? Ano, máme. Nestačí k tomu ale oprávnění správce
domény (členství ve skupině Domain Admins), ale musíte být členy skupiny Enterprise Admins. Pouze tak můžete provést
takzvané ověření serveru v doméně Active Directory.
Poznámka
V systému Windows Server 2003 se vám může povést ověřit server i s oprávněními člena skupiny Domain Admins. To je však
možné pouze v případě, kdy les Active Directory obsahuje jedinou doménu.
Ověřením se vytvoří v doméně Active Directory záznam, který server DHCP při svém spuštění kontroluje. Pokud záznam existuje,
služba DHCP se spustí a začne pronajímat adresy IP. Pokud záznam neexistuje, server DHCP nebude pracovat přesto, že obor
je aktivní.
Postup pro ověření serveru DHCP v doméně Active Directory
1. Přihlaste se jako člen skupiny Enterprise Admins (náš účet Administrátor toto právo má) k serveru SRVR001 a
spusťte konzolu DHCP.
2. Pravým tlačítkem myši klepněte na položku serveru srvr00l.studny.local a v místní nabídce poté klepněte na
příkaz Ověřit (viz obrázek 8.7)
Obrázek 8.7
Ověření serveru DHCP v doméně Active Directory
90
Po obnovení zobrazení v konzole DHCP by se měla červená šipka u serveru změnit na zelenou.
Poznámka
Pokud chcete zjistit, které servery DHCP jsou ověřené, klepněte v konzole DHCP pravým tlačítkem myši na položku DHCP a poté
v místní nabídce klepněte na příkaz Spravovat ověřené servery. V dialogovém okně uvidíte všechny ověřené servery a
zároveň máte možnost zde ověřit další server nebo některý z ověřených serveru odbrat (pokud máte uvedený postup a nutnost
ověřit servery DHCP nemusí být vždy 100 procentní jistotou, že se do sítě „nenabourá" jiný server DHCP a nezačne vytvářet v
síti chaos. Abyste měli jistotu, že vše bude pracovat tak jak má, musí být splněny následující předpoklady:
•
•
Musí se jednat o doménu Active Directory (tedy o doménu se systémem Windows
2000 Server nebo Windows Server 2003).
Server DHCP musí být nainstalován v systému Windows Server 2003 nebo Win
dows 2000 Server a počítač musí být členem domény.
Kontrola ověřením tedy nebude pracovat, pokud například:
• Nainstalujete službu DHCP do systému Windows NT 4.0 Server, který je členem domény.
• Nainstalujete službu DHCP do systému Windows 2000 Server, který nebude členem domény.
• Připojíte do sítě počítač s operačním systémem UNIX s nainstalovanou službou DHCP.
• Nainstalujete službu DHCP do systému Windows Server 2003, který bude členem domény Windows NT 4.0.
• Dva nezávislé lesy Active Directory budou ve stejné podsíti IP a v každém z nich bude k dispozici ověřený server DHCP.
Pokud je v počítači nainstalovaná služba DHCP a server DHCP není ověřen v doméně Active Directory, bude se v protokolu
systému zobrazovat událost ID 1046 se stavem Chyba. Popis události může být podobný tomu uvedenému na obrázku 8.8.
Obrázek 8.8
Událost informující o neověřeném serveru DHCP
Ověření serveru DHCP se v systémovém protokolu také projeví. Jedná se o událosl ID 1044typu Informace a její popis může být
podobný tomu na obrázku 8.9.
91
Obrázek 8.9
Událost informující o ověření serveru DHCP
Nyní je možné již zapojovat do sítě počítače s nainstalovaným výchozím nastavením sítě. První takový počítač získá v našem
případě adresu IP 192.168.10.26.
Změna adresování protokolu IP u stávajících počítačů
1. K počítači, který byl do sítě přidán naposled (například počítač PC025 s adresou IP 192.l68.10.25), se přihlaste jako
správce a změňte adresování protokolu IP na automatické a poté zavřete všechna okna.
Obrázek 8.10
Změna adresování protokolu IP na automatické
2 . Spusťte okno příkazového řádku a pomocí příkazu ipconfig /all ověřte, zda po čítač získal novou adresu IP od serveru
DHCP. Výpis příkazu by měl být podod-ný následujícímu:
C: \Documents and Settings\Administrator .STUDNY>ipconfig /all Konfigurace protokolu IP
systému Windows
Název hostitele ............................ : pc025
Primární přípona DNS .............. : studny.local
Typ uzlu ...................................... : neznámý
Povoleno směrování IP.............. : Ne
WINS Proxy povoleno................ : Ne
Prohledávací seznam přípon DNS. : studny.local
Adaptér sítě Ethernet Připojení k místní síti:
Přípona DNS podle připojení
Popis .........................................
Fyzická Adresa............................
Protokol DHCP povolen ............
:
:
:
:
setká.local
AMD PCNET Family PCI Ethernet Adapter
00-50-56-40-00-CB
Ano
92
Automatická konfigurace povolena
Adresa IP ................................. :
Maska podsítě ........................... :
Výchozí brána ......................... :
Server DHCP ............................ :
Servery DNS ............................ :
Zapůjčeno ................................. :
Zápůjčka vyprší ........................ :
:
Ano
192.168.10.26
255.255.255.0
192.168.10.2
192.168.10.2
8. května 2003 16:44:15
16. května 2003 16:44:15
Pokud adresa IP 0.0.0.0 a některé ze zobrazených informací budou ve výpisu chybět, znamená to, že neproběhla komunikace mezi
počítačem a serverem DHCP, kterou bude třeba vynutit ručně (neboť v takovém případě je zbytečné restartovat počítač). V
takovém případě zadejte na příkazovém řádku počítače PC025 příkaz ipconfig/renew a poté opa-kujte krok 2. Nyní by již vše
mělo být v pořádku.
3. Na serveru SRVR001 spusťte nyní konzolu DHCP. Rozbalte položku serveru, poté rozbalte nakonfigurovaný obor a
klepněte na položku Zapůjčení adresy. V pravé části okna by měla být zobrazena aktuální zápůjčka počítači
pc025.snul-ny.local.
4 . Nyní bude třeba rozšířit obor DHCP o uvolněnou adresu IP směrem dolů. Pravým tlačítkem myši klepněte na obor Centrála
společnosti a v místní nabídce pole klepněte na položku Vlastnosti.
5. V poli Počáteční adresa IP změňte poslední část z 26 na 25 a klepněte na tlačít-
ko OK.
Pomoci uvedeného postupu lze postupně přejít na automatické adresování všech klient-ských počítačů v síti. Body 1 až 5
nemusíte provádět pro každý počítač zvlášť, ale můžete vždy konligurovat několik počítačů najednou. Jak velký počet, to bude
záležet na mož nostech vaší sítě - čím více počítačů v síti nyní existuje, tím bude počet menší.
Adresování serverů
Vzhledem ke specifickým rolím serverů je nutné je adresovat ručně. Ačkoli je protokol DHCP navržen tak, aby počítači zapůjčil
pokud možno vždy stejnou adresu, nemusí se to vždy povést a v síti se poté mohou vyskytovat potíže.
Vzhledem k tomu, že servery již nyní mají ručně přidělené adresy IP, není co měnit a můžeme se s takovým stavem spokojit.
Obecně je důležité, aby se adresy IP určené pro servery neobjevily v oboru serveru DHCP určeného pro adresování dalších
zařízení.
Adresování dalších zařízení (tiskáren apod.)
Tiskárny, které jsou připojené přímo k síti (nikoli k počítačům pomocí paralelních kabelů nebo kabelů USB), jsou typickými
představiteli zařízení, u nichž je vhodné zajistit adresování stejnou adresou IP (podobně jako u serverů), ale zároveň spravovat
tuto adresu centrálně (tedy na serveru DHCP). Pro tyto účely má protokol DHCP vyhrazené takzvané rezervace.
Tiskárnám se věnujeme v kapitole 14, „Potřebujeme tisknout", adresování pomocí rezervace serveru DHCP si však ukážeme již
nyní. Rezervaci může využít jakýkoli klient protokolu IP, tedy i běžný počítač, u kterého je nutné zajistit, že bude mít vždy a za
všech okolností stejnou adresu IP.
Pokud vytváříme rezervaci, spojujeme adresu IP s fyzickou adresou klienta (adresa MAC, Media Access Control). Rezervaci
adresy IP 192.168.10.16 pro tiskárnu s adresou MAC 00-00-12-cc-b9-a0 provedete podle následujících pokynů:
1. K serveru SRVR001 se přihlaste jako správci a spusťte konzolu DHCP.
2. Rozbalte položku serveru srvrOOl.studny.local, poté rozbalte položku oboru pravým tlačítkem myši klepněte na
položku Rezervace.
3. V místní nabídce klepněte na položku Nová rezervace. Zobrazí se dialogové okno Nová rezervace.
4. Do pole Název rezervace zadejte popisný název pro rezervaci, do pole Adresa IP zadejte adresu 192.168.10.16 a do pole
Adresa MAC zadejte řetězec 000012ccb9a0. Do pole Popis zadejte popis rezervace.
5. V části Podporované typy ponechte zaškrtnuté výchozí nastavení (Oba) a klepněte na tlačítko Přidat.
Pokud nyní znovu zobrazíte obsah položky Zapůjčení adresy, bude mezi zapůjčeními uvedena i rezervace (pravděpodobně se
stavem Neaktivní rezervace). Přesto, že rezervovaná adresa nespadá do oboru adres IP určených k zapůjčení, bude v případě
žádosti konkrétního zařízení zapůjčena. Musí však spadat do stejné podsítě jako obor.
Výpadek služby DHCP
Výpadek služby DHCP může nastat úplně stejně, jako výpadek čehokoli jiného. Jedná se tedy o celkem běžnou situaci, a je třeba
vědět, co si v takovém případě můžete a nemůžete jako správci dovolit, případně jakými způsoby se na výpadek služby DHCP
připravit.
Jak bylo již dříve v této kapitole uvedeno, nemohou být v síti dva servery DHCP, které by měly nakonfigurovaný stejný obor.
Jak ale zajistit bezchybný stav, pokud server DHCP
93
Obrázek 8.11
Rezervace adresy IP v oboru serveru DHCP
vypadne? Nejprve je nutné podívat se na to, jak výpadek serveru DHCP zasáhne klientské počítače.
Adresování klientů při výpadku serveru DHCP
Pokud má klient nastavenu automatickou konfiguraci protokolu IP, bude se po spuštění ( a poté v pravidelných intervalech)
snažit komunikovat se serverem DHCP. Tato komunikace probíhá formou všesměrového vysílání (jinak by to ani nešlo, když
nemá klient adresu IP, a přesto potřebuje v síti komunikovat). Pokud se žádný server DHCP na vysí-lání „neozve", bude klientský
počítač reagovat sám. Jak, to záleží na konkrétním operačním systému.
Systémy řady Windows 9x a Windows NT
Pokud počítač s operačním systémem nižším než Windows 2000 (s výjimkou systému Windows 98 SE a Windows ME) neobdrží
při spouštění od serveru DHCP žádnou ode-zvu, zůstane bez adresy IP. Pokud zadáte na příkazovém řádku příkaz ipconfig,
zobrazí se adresa IP 0.0.0.0. Počítač je tak vyřazen z komunikace v síti pomocí protokolu TCP/IP.
Systémy řady Windows 2000
Systémy řady Windows 2000 (a systém Windows 98 SE a Windows ME) použijí v přípa-dě nedostupnosti serveru DHCP funkci
APIPA (Automatic Private IP Addressing). V tako-vém případě si konkrétní počítač přidělí náhodně vybranou adresu IP z
podsítě 169.254.0.0/16. V této podsíti je k dispozici 65 534 adres IP, takže riziko, že si dva počí-tače přidělí stejnou adresu, by
mělo být minimální. Aby se však úplně vyloučilo, odešle klient po přidělení vybranou adresu IP pomocí všesměrového vysílání
do sítě, kterým zjistí zda je vybraná adresa volná. Pokud ano, ponechá si ji, pokud ne, vybere si jinou a celý postup opakuje.
Systémy Windows XP a Windows Server 2003
Systémy Windows XP a řady Windows Server 2003 mají v této oblasti oproti systémům Windows 2000 další rozšíření. Pokud
nakonfigurujete klienta s tímto operačním systémem na automatické získávání adresy IP od serveru DHCP, zobrazí se ve
vlastnostech pro-tokolu TCP/IP navíc karta Alternativní konfigurace. Na této kartě jsou k dispozici dvě volby:
•
•
APIPA Funguje stejně jako u systému Windows 2000 (viz popis výše).
Uživatelem definovaná konfigurace Zde je možné zadat adresu IP, masku
podsítě, výchozí bránu, dvě adresy IP serverů DNS a dvě adresy IP serverů WINS.
Jak by to vypadalo v naší síti?
Pokud by v naší síti vypadla služba DHCP, přiřadily by si počítače se systémem Windows XP Professional při spuštění adresu z
podsítě 169.254.0.0/16. Server SRVR001 je adresován ručně, takže se ho výpadek serveru DHCP netýká. Ostatní systémy
nepodporující funkci APIPA, případně tiskárny, by zůstaly bez adresy IP.
V síti by tak mezi sebou komunikovaly pouze klientské počítače (překlad názvů by v takovém případě nevyužíval službu DNS, ale
řešil by se všesměrovým vysíláním), komunikace klientský počítač <- -> server by ale funkční nebyla (počítač je v jiné podsíti
než server)!
Vzhledem k tomu, že sítě jsou založené převážně na komunikaci klientský počítač <- -> server, vzniká otázka, k čemu je
funkce APIPA vůbec dobrá. Pravdou je, že v běžných sítích nenalezne žádné využití, velké využití však má v sítích typu peer-topeer, kde nejsou žádné staticky nakonfigurované počítače.
Pokud například nainstalujete malou síť sestávající ze čtyř počítačů se systémem Windows XP Professional, můžete při instalaci
systému ponechat výchozí konfiguraci sítě (tj. automatická konfigurace protokolu TCP/IP). Počítače tak budou očekávat, že jim
adresu IP, případně další parametry, zapůjčí server DHCP. Ten ale v síti chybí, takže si klienti přiřadí vlastní adresy IP. Všichni
ze stejné podsítě tak budou moci komunikovat mezi sebou.
94
A rozšíření o uživatelem definovanou konfiguraci v systému Windows XP Professional? To je odpověď pro uživatele vlastnící
přenosný počítač, kteří se pohybují mezi dvěma sítěmi, z nichž jedna používá server DHCP, a druhá nikoli. Takovému uživateli je
třeba nakonfigurovat automatické adresování protokolu IP a na kartě Alternativní konfigurace zaškrtnout políčko Uživatelem
definovaná konfigurace a zadat adresu IP a další parametry odpovídající síti nevyužívající služby DHCP.
Řešení výpadku služby DHCP Naše (malá) sít
Pro zajištění výpadku serveru DHCP je nutné mít v první řadě k dispozici další server. To je velmi omezujícím faktorem pro celou
řadu společností, na kterém jakékoli pokusy o zajištění výpadku ve většině případů končí. Ani v naší síti neplánujeme další server,
takže otázka zálohy serveru DHCP je pro nás neřešitelná.
Větší sítě
Pokud mají společnosti další server, lze na něj nainstalovat službu DHCP a nakonfigurovat „doplňkový" rozsah adres IP.
Společnost Microsoft pro tento případ doporučuje rozdělit celý rozsah adres IP v poměru 80/20. Pro naši síť by to znamenalo, že
první server DHCP by zapůjčoval adresy 192.168.10.17 až 192.168.10.207 a druhý server DHCP adresy 192.168.10.208 až
192.168.10.254. 20 procent by jako záloha mělo postačovat, neboť se předpokládá, že když dojde k výpadku služby DHCP, budou
mít některé počítače již pronajaté adresy IP. Rezervace lze nakonfigurovat na oba servery, neboť v takovém případě nemůže
nastat případ, kdy by stejnou adresu získaly dva počítače.
Závěr
Pokud máte síť homogenní (za tímto pojmem se dá představit síť se systémy Windows 2000/XP/2003), je otázka překladu názvů
vyřešena sužbou DNS. Pokud se v síti vyskytuji' systémy starší než Windows 2000, které pro svou komunikaci používají primárně
názvy rozhraní NetBIOS, mohou se vyskytnout situace, kdy bude nutné zajistit i překlad těchto názvů.
Systémovým řešením je v takovém případě instalace a konfigurace služby WINS, ve speciálních případech (například několik
málo počítačů na pobočce) může postačovat pouze konfigurace souboru LMHOSTS.
Výrazným zjednodušením adresování protokolu IP je služba (protokol) DHCP. Jedná se o službu, jež je součástí systémů
Windows Server 2003 (Windows 2000 Server), a která zajišťuje automatické adresování všech zařízení využívajících protokol IP
(tedy například i tiskáren).
Předtím, než začne server DHCP pracovat, je třeba jej ověřit v doméně Active Directory. Tento krok může provést pouze uživatel,
který je členem skupiny Enterprise Admins (členství ve skupině Domain Admins na to svými právy nestačí).
Do sítí, ve kterých se používá ruční adresování, je při nasazování služby DHCP nutno po-slupovat opatrně. Protože služba DHCP
není schopna zjistit, jaké adresy se již v síti po-užívají (pokud je sama nepronajala), může při neopatrném postupu dojít k
výskytu kolize adres IP v síti. Existuje tak několik variant, podle kterých lze při nasazování služby DHCP postupovat.
Pokud jsou klientské počítače se systémy Windows 2000/XP adresované automaticky, do-jde při výpadku serveru DHCP k
přiřazení adresy z podsítě 169.254.0.0/16. Výsledkem je, že klienti mohou komunikovat mezi sebou, komunikace server <- ->
klient ale možná není. Proto je třeba věnovat pozornost i výpadkům služby DHCP. V menších sítích může byl v systémech
Windows XP Professional konfigurace nastavení na kartě Alternativní konfigurace (systém Windows 2000 touto možností
nedisponuje), ztrácí se tím ale znovu Výhoda používání serveru DHCP. Ve větších sítích je řešením mít více serverů DHCP, kte-ré
mají nakonfigurovány obory pro stejné podsítě, ale s rozdělenými adresami IP v po-měru přibližně 80/20 %.
Stav sítě
V síti přibyly služby WINS a DHCP. Obě jsou nainstalované na serveru SRVR001. Server DHCP je ověřen v doméně Active
Directory a nakonfigurován pro poskytování adres IP klientským počítačům v síti. Klientské počítače se zároveň staly klienty
služby WINS.
95
Uživatelé chtějí pracovat
V tuto chvíli byste měli mít před sebou prostředí domény s nainstalovanými a nakonfigurovanými službami, které jsou pro
její správnou funkci třeba. Cílem tohoto prostředí je, pohledu správce samozřejmě co nejjednodušší správa, z pohledu
společnosti je však cílem něco trochu jiného jeho maximální využití uživateli.
Protože jsme tedy již postavili základní a stabilní kostru, můžeme do sítě „vpustit" uživatele. Každému uživateli vytvoříme účet, který
bude pro činnost v síti potřebovat. Probereme si možnosti konfigurace účtů a provedeme je. Zá-roveň se tak seznámíme s nástroji,
které slouží ke správě Uživatelů v doméně a nahlédneme i na základní mechanismy zabezpečení účtů uživatelů.
K čemu slouží uživatelský účet
Pokud chce uživatel pracovat v síti, je nutné, aby se nejprve k síti přihlásil. K tomu potřebuje aktivní uživatelský účet a znalost
takzvaných pověření - přihlašovacího jmé-na a hesla. Účet je však velmi důležitý ještě k dalším věcem. Patří sem sledování
činnosti uživatele a zejména možnost určovat, kde všude v doméně či počítači může nul uživatel přístup a které úlohy může či
nemůže provádět. Mnoho správců si „druhou tvář" uživatelských účtů neuvědomuje, přitom ji však automaticky využívá a pracuje
s ní. Obecně platí, že s uživatelskými účty je třeba nakládat velmi opatrně, neboť v základním pohledu je to jediná věc, přes
kterou musí případný útočník projít, aby se dostal do systému. Pro tyto důvody je nevhodné vytvořit pro celou skupinu uživatelů
jediný účet, který by uživatelé sdíleli. Každý musí mít svůj vlastní! Vprostředích domény se systémy Windows lze pracovat se
dvěma typy uživatelských účtů: místními a doménovými Rozdíly mezi nimi a práci s místními účty jsme probrali v kapitole 4,
„Prostředí pracovní skupiny", v této kapitole se podíváme podrobně na správu doménových účtů.
Vytváříme a konfigurujeme uživatelské účty
Pokud si představíte prostředí s několika sty uživatelů, potom jistě pomyšlení na to, že bude nutné vytvořit několik set
uživatelských účtů, může výrazně zhoršit náladu. Na dru-hou stranu je pravda, že každé prostředí se vyvíjí, a tak je velmi
pravděpodobné, že tyto uživatelské účty vznikaly postupně.
Pokud před námi stojí úkol vytvořit „jenom" 20 uživatelských účtů, neměli bychom se ukvapovat a začít je ihned vytvářet, ale
spíše si dopředu promyslet strategii, kterou bude možné uplatnit i do budoucna. Vytvoření jednoho účtu může trvat i několik
minut, ale také jen několik sekund. A pokud byste v budoucnu potřebovali vytvářet několik desítek účtů denně, jistě bude lepší
strávit u této činnosti co nejkratší dobu.
Zkrátka jde o to řešit i vytváření nových účtů systémově, to znamená tak, aby byly používané postupy použitelné i v budoucnu,
pokud potřeby organizace narostou.
Účty je možné vytvářet různými způsoby - od grafického nástroje, který je pro tyto účely připraven, až po skripty, které budou
číst informace z připraveného souboru a zapisovat je přímo do doménové databáze Active Directory. V každé z možností vždy
existují lepší a horší postupy. My se budeme snažit používat ty lepší.
Vytvoření prvního účtu
Až dosud jsme pracovali s účtem Administrátor. Jedná se o vestavěný účet, který je v doméně po její instalaci jako jediný k
dispozici pro přihlášení a okamžitou práci. Protože práce s tímto účtem není z pohledu zabezpečení počítačů a sítě příliš
optimální, postupně přejdeme k používání jiného účtu a tento účet si ponecháme pouze pro zásadní úkoly správy, které nelze
řešit jiným způsobem.
Nyní vytvoříme první doménový uživatelský účet a ověříme jeho funkčnost.
1. K počítači SRVR001 se přihlaste jako Administrátor.
2. Spusťte konzolu Uživatelé a počítače služby Active Directory.
3. Pravým tlačítkem myši klepněte na položku Users, dále přejděte na položku Nový a poté klepněte na položku
Uživatel.
4. V dialogovém okně Nový objekt — Uživatel zadejte do příslušných polí jméno a příjmení uživatele (protože se jedná
o zkušebního uživatele, lze použít například První Uživatel).
96
Poznámka
Všimněte si, že v poli Jméno a příjmení se automaticky generuje celé jméno uživatele. Takto bude poté uživatel
zobrazen v nástroji Uživatelé a počítače služby Active Directory. Pokud vám řazení ve formátu jméno a příjmení
nevyhovuje, je možné to během vytváření uživatele ručně měnit. Jedná se o výchozí nastavení služby Active Directory, které
lze změnit pouze přímým zásahem do její interní struktury. Z pohledu přehlednosti uživatelů by jistě bylo vhodné toto
nastavení změnit, na druhou stranu má nástroj uživatelé a počítače služby Active Directory velké možnosti vyhledávání
uživatelů, a řazení podle příjmení tak není podstatné.
5. Do pole Přihlašovací uživatelské jméno zadejte například řetězec „uživatel1"
(bez uvozovek). V tomto případě se doporučuje vyhnout diakritice, neboť ne každý počítač musí mít pro přihlášení
aktivovánu českou klávesnici. Přihlašovací jméno se automaticky zapsalo i do pole Přihlašovací uživatelské jméno (pro
systémy starší než Windows 2000). Je možné mít tato dvě jména jiná, obecně se to však nedoporučuje, neboť to klade
velké nároky na uživatele. Klepněte na tlačítko Další.
Obrázek 9.1
Vytváření nového uživatele
6. Do pole Heslo a Potvrzení hesla zadejte heslo, které bude použito pro první přihlášení pomocí vytvářeného účtu.
Doporučuji nepoužívat diakritiku ani písmena Z či Y. Výchozí nastavení domény se systémem Windows Server 2003 je
na hesla poměrně přísné. Stanovuje délku nejméně 7 znaků a hesla musí být složitá (heslo musí obsahovat nejméně 3
prvky z následujících: velké písmeno, malé písmeno, číslice, speciální znak).
7. Ponechte zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo. Zajistíte tak, že uživatel bude muset
předtím, než začne jakkoli pracovat, změnit své heslo, a bude tak jediným, kdo je bude znát. Tím pádem se jako správci
zbavujete odpovědnosti za potíže způsobené cizím uživatelským účtem. Ostatní políčka ponechte nezaškrtnutá, tedy ve
výchozím nastavení. Poté klepněte na tlačitko Další.
8. Zobrazí se souhrnné informace o novém uživatelském účtu. Po jejich ověření klep-něte na tlačítko Dokončit. Teprve nyní
se účet vytvoří.
9 V konzole nyní zobrazte vlastnosti nově vytvořeného účtu a projděte všechny kar-ly (zejména karty Adresa, Účet, Profil,
Telefony, Organizace), abyste získali přehled o dalších informacích, které by měly být součástí uživatelského účtu.
Je důležité si uvědomit, že některé z informací (typicky adresa či telefonní čísla) nejsou určené pro vás jako správce prostředí (na
co by taky správce potřeboval telefon na všechny uživatele?), ale jsou určené pro samotné uživatele, kteří mohou tyto
informace vyhledávat nebo naopak - podle telefonního čísla mohou hledat uživatele. Proto je vhodné ty-to informace zadávat
ihned a průběžně je udržovat aktuální.
Ověření nového účtu
Po vytvoření nového účtu se pokuste pomocí jeho pověření přihlásit k některému z klientských počítačů. Ještě než se zobrazí
pracovní plocha, budete nuceni změnit své heslo. V dialogovém okně Změnit heslo je nutné zadat znovu původní heslo (tedy
to, které jste použili k prvnímu přihlášení) a poté dvakrát heslo nové. Úspěšná změna hesla bude potvrzená zprávou na
obrazovce a nové heslo se tak okamžitě stává aktivním. Zároveň budete přihlášení k počítači a zobrazí se pracovní plocha.
Nyní se na klientském počítači odhlaste a pokuste se pomocí stejného účtu (ale již nového hesla) přihlásit k počítači SRVR001.
Pokud se vám zobrazují informace „Místní zásady tohoto systému neumožňují interaktivní přihlašování", je to v pořádku. Účet
reprezentuje běžného doménového uživatele, který nemá na řadiči domény co dělat. Výchozí nastavení zabezpečení tak
umožňuje přihlásit se k řadiči domény pouze vyjmenovaným skupinám uživatelů, do kterých běžní uživatelé nepatří.
97
Vytvoření dalších účtů
Pokud budete u každého z uživatelských účtů vyplňovat všechny atributy, dojdete k závěru, že některé z nich se u skupiny
uživatelů opakují (například uživatelé obchodního oddělení budou mít pravděpodobně v poli Oddělení na kartě Organizace
uvedeno „Obchodní"), zatímco jiné jsou pro každého uživatelé jedinečné (například telefonní číslo nebo přihlašovací jméno).
Abychom si práci co nejvíce ulehčili a nemuseli zadávat všechny údaje (zejména ty, které budou shodné), je vhodné vytvořit
šablony účtů, z nichž se budou účty pro nové uživatele vytvářet kopírováním.
Firma STUDNY
Nyní je na čase připravit si pro účely této knihy personální strukturu naší fiktivní společnosti STUDNY. Společnost bude mít 3
členy vedení, 5 zaměstnanců v obchodním oddělení, 3 zaměstnance v oddělení marketingu, 3 zaměstnance ve skladu a jednoho
správce domény. Čas od času se bude ve firmě vyskytovat brigádník, což může být pokaždé jiná osoba, vždy bude ale provádět
přibližně stejnou práci.
Pracovní doba společnosti bude Po-Pá 8.00-16.00 hodin, sklad bude v provozu nonstop.
Pro účely této knihy budou mít jednotliví zaměstnanci jména ve formátu Název oddělení + pořadové číslo (například Obchodí,
Sklad3 atd.). Pokud budete vytvářet účty pro reálné uživatele, používejte samozřejmě jejich plná jména a nebojte se používat
diakritiku (vyjma přihlašovacího jména a hesla).
Pro vytváření uživatelských účtů si připravíme 4 šablony — každou pro oddělení s více než jedním pracovníkem. Aby byly
šablony na první pohled v nástroji Uživatelé a počítače služby Active Directory rozpoznatelné, bude vhodné je pojmenovat
podle oddělení (například Obchod, Marketing, Sklad a Vedení), a aby se v konzole dobře hledaly, bude vhodné vložit před daný
název stejný znak - například podtržítko „_" (bez uvozovek). Tím zajistíte jejich zobrazení pohromadě. Šablona jinak není nic
jiného než běžný uživa-lelský účet.
Vytvoření šablon
1. K počítači SRVR001 se přihlaste jako Administrátor a spusťte konzolu Uživatelé a počítače služby Active Directory.
2. Odstraňte zkušební uživatelský účet První Uživatel.
3. V kontejneru Users spusťte proces vytvoření nového uživatele. Do pole Jméno zadejte slovo Obchod, pole Příjmení
ponechte prázdné a do pole Jméno a příjmení přidejte před slovo Obchod znak _.
4. Do pole Přihlašovací uživatelské jméno zadejte řetězec obchod a klepněte na tlačítko Další.
5. Do pole Heslo a Potvrzení hesla zadejte složité heslo (minimální délka 8 znaků, kombinace velkých, malých písmen a
číslic nebo speciálních znaků), ponechte zaškrtnuté políčko Při dalším přihlášení musí uživatel změnit heslo a
pokračujte klepnutím na tlačítko Další.
6. Zkontrolujte zobrazené informace a účet vytvořte klepnutím na tlačítko Dokončit.
7. V konzole Uživatelé a počítače služby Active Directory poté zobrazte vlastnosti právě vytvořeného účtu a vyplňte
všechna potřebná pole na kartách Adresa a Organizace.
8. Na kartě Účet klepněte na tlačítko Přihlašovací hodiny a modře ponechte pouze dobu mezi 8. a 16. hodinou.
Klepnutím na tlačítko OK zavřete dialogové okno vlastností účtu (šablony).
9. Na účet klepněte pravým tlačítkem myši a poté v místní nabídce zvolte příkaz Zakázat účet.
Poznámka
Aby se předešlo možnosti zneužití účtu sloužícího jako šablona, je dobré jej zakázat. Pokud by kdokoli věděl heslo k tomuto
účtu, nebude schopen jej použít.
•
•
Body 3 až 9 opakujte i pro šablony účtů oddělení Marketing, Sklad a Vedení.
U šablony pro účty pracovníků skladu ponechte Přihlašovací hodiny na nonstop (výchozí nastavení nového účtu).
Po vytvoření šablon účtů by mělo být zobrazení v konzole Uživatelé a počítače služby Active Directory podobné tomu na
obrázku 9.2.
98
Obrázek 9.2 Šablony (zakázané uživatelské účty) pro uživatele firmy STUDNY
Vytvoření účtů ze šablon
Příklad vytvoření účtu uživatele si ukážeme na uživateli z obchodního oddělení. Na šablonu _Obchod klepněte pravým
tlačítkem myši a poté v místní nabídce klepněte na příkaz Kopírovat. Zobrazí se dialogové okno nového uživatelského účtu.
1. Zadejte jméno a příjmení uživatele (pro účely knihy zadáme pouze křestní jméno Obchod1) a přihlašovací jméno
(taktéž obchod1). Poté klepněte na tlačítko Další.
2. Do pole heslo a potvrzení hesla zadejte heslo, které uživatel poprvé použije pro přihlášení. Ponechte zaškrtnuté
políčko Při dalším přihlášení musí uživatel změnit heslo a zrušte zaškrtnutí políčka Účet je zablokován.
Poznámka
Nikdy nepoužívejte heslo shodné s přihlašovacím jménem. Správně s ohledem na zabezpečení tohoto procesu byste měli
postupovat tak, že vymyslíte (necháte si vygenerovat) náhodné heslo o minimální délce 10 znaků, které poté spolu s
přihlašovacím jménem napíšete na papír, a ten následně předáte v zapečetěné obálce příslušnému uživateli. Tak zajistíte, že
pokud bude nových uživatelů více, nebudou se moci přihlásit pomocí účtu jiného uživatele.
Pokud byste například měli za úkol vytvořit větší počet účtů a čas na předání potřebných přihlašovacích informací uživatelům
odhadnete na několik dní, je vhodné ponechat účty zakázané a povolit je těsně před předáním informací.
Přihlašovací jméno uživatele by mělo být stanoveno interním předpisem společnosti tak, aby i ve větších sítích existovala
jednotnost. S ohledem na budoucí rozvoj sítě tak lze například určit, že přihlašovací jméno uživatele bude obsahovat první tři
písmena křestního jména, dvě písmena příjmení a následně dvojciferné číslo označující pořadí uživatele se stejným přihlašovacím
jménem. Dále by mělo být dáno, že přihlašovací jméno nebude obsahovat písmena s háčky či čárkami ani jiné speciální znaky.
Uživatel Karel Láznička by tak měl přihlašovací jméno karlaOl.
Po vytvoření účtu zobrazte jeho vlastnosti a doplňte potřebné údaje na kartu Adresa a Organizace. Zároveň náhodně
ověřte, že přihlašovací hodiny odpovídají zařazení uživatele do konkrétního oddělení.
Obdobně postupujte při vyváření ostatních účtů.
Účet pro brigádníky
Protože bude ve firmě najednou maximálně jediný brigádník, je možné, aby všichni brigádníci postupně používali stejný účet.
Jeho vytvoření provedete podle kroků uvedených výše s tím rozdílem, že pro něj neexistuje šablona.
U tohoto účtu dodržujte následující pravidla:
• Při nástupu brigádníka vždy změňte heslo účtu (na účet klepněte pravým tlačítkem myši a v místní nabídce zvolte příkaz
Vytvořit nové heslo). Poté zadejte dvakrát nové heslo a zaškrtněte políčko Při dalším přihlášení musí uživatel změnit
heslo.
• Protože by u brigádníka mělo být jasné, dokdy bude pro firmu pracovat, nastavte ihned po vytvoření nového hesla
termín Vypršení platnosti účtu (na kartě Účet).
Pokud nastavíte například datum 21. června 2003, vyprší platnost tohoto účtu 21. června o půlnoci, takže celý první letní
den bude moci brigádník ještě pracoval. Po vypršení se účet zakáže.
Poznámka
Vypršení platnosti účtu můžete používat také u běžných uživatelských účtů pro případ odchodu pracovníka ze společnosti nebo
při plánované dovolené. Účet znovu zpřístupníte tak, že jej povolíte.
U systémů řady Windows 2000 se názvy některých příkazů mohou lišit. Účet Administrátor a Guest
99
Každý uživatel (o správcích nemluvě), který zná alespoň něco málo o systémech Windows řady NT, ví, že standardně obsahují
vestavěné účty Administrátor a Guest. Pro případné napadení těchto dvou účtů tedy stačí uhodnout pouze jejich heslo. Zatímco
u účtu Guest by případný útočník žádné velké škody pravděpodobně nenapáchal, pomocí doménového účtu Administrátor si
může v doméně doslova dělat co chce.
Protože těmto pokusům je třeba čelit, je řešením (samozřejmě částečným) přejmenovat Účty Administrátor i Guest a účet Guest
je navíc vhodné zakázat. Je to výchozí nastavení. Účet Guest se používá pouze v prostředích, která nevyžadují téměř žádné
zabezpečení. My jsme si na začátku knihy ukázali využití tohoto účtu pro přístup z jiného počítače v prostředí pracovní
skupiny, nyní je čas jej opravdu zakázat (nebo se alespoň znovu přesvědčit o tom, že se tak již stalo).
Přejmenování účtu Administrátor
Nejprve je vhodné najít jméno, které je téměř nemožné uhádnout. Příkladem budiž jmé-no Ton!&check. Dále postupujte podle
následujících pokynů:
1. V konzole Uživatelé a počítače služby Active Directory klepněte na kontejner Users a poté v pravém okně pravým
tlačítkem myši na účet Administrátor.
2. V místní nabídce klepněte na příkaz Přejmenovat a poté zadejte připravené jméno. Pokud se zobrazí upozornění na
nutnost odhlásit se a znovu přihlásit, pokračujte klepnutím na tlačítko Ano. Zobrazí se dialogové okno Přejmenovat
uživatele, kde bude v poli Jméno a příjmení zobrazeno zadané jméno. Ostatní pole vyplňte podle obrázku 9.3.
Obrázek 9.3
Přejmenování účtu Administrátor
Přejmenování účtu Guest
Přestože je účet Guest ve většině prostředí vždy zakázaný, rozhodně se vyplatí přejmenovat i jej. Postup je shodný s postupem
přejmenování účtu Administrátor. Pro účely knihy vybereme název a přihlašovací jméno N_vstevn!k.
Pro přejmenování těchto dvou účtů existují v systému Windows Server 2003 a Windows 2000 Server jiné, lepší možnosti. Nyní
jsme totiž přejmenovali pouze doménové účty Administrátor a Guest. Tyto účty však existují v každém klientském počítači a
provádět změnu ručně je velmi neefektivní. Na tyto další možnosti se podíváme v kapitole 22, „Zabezpečení serveru a sítě".
Členství ve skupinách
Každý nově vytvořený účet je standardně členem skupiny Domain Users (jedná se o výchozí nastavení domény). Tato skupina
je v každém klientském počítači členem místní skupiny Users, což uživatelům uděluje základní oprávnění a práva pro práci s
daným počítačem. V principu není nutné s členstvím v této skupině manipulovat, spíše se uživatelský účet přidává do dalších
skupin.
Informace o členství ve skupinách jsou k dispozici na kartě Je členem v dialogovém okně vlastností uživatelského účtu,
případně na kartě Členové v dialogovém okně vlastností konkrétní skupiny.
Další informace o práci se skupinami naleznete v kapitole 11, „Není to vše příliš složité?".
Ostatní atributy uživatelských účtů
U uživatelského účtu máte možnost definovat další atributy. Ty základní, které budeme jako správci nebo uživatelé potřebovat
pro většinu práce, jsme již definovali. Ostatní atributy probereme postupně v dalších kapitolách této knihy.
100
Zabezpečení účtů
Samotný účet je chráněn pouze přihlašovacím jménem a heslem. Co je však platné jakkoli dlouhé a složité heslo, pokud dojde
k jeho prozrazení či zachycení při přenosu v síti? Odpověď na možnosti zneužití účtu je jednoduchá - protože se obecně nedá
nikdy stoprocentně zamezit neoprávněnému získání hesla k některému účtu, je nutné nastavit takové zásady, které uživatele
donutí pravidelně svá hesla měnit.
Jediná taková zásada by však zdaleka účet nezabezpečila. I když si uživatel mění heslo v pravidelných intervalech, může se
stát, že jej napadne zadat třeba heslo o velikosti dva znaky. To je samozřejmě krátké, neboť pokud budete chtít heslo uhádnout
pomocí útoku, při kterém zkoušíte různé kombinace možných znaků, jistě se vám to dříve či později povede. Je tedy vhodné
uživatelům „nařídit", že heslo musí mít minimální délku například 8 znaků. S každým dalším znakem roste exponenciálně počet
možných kombinací pro uhádnutí hesla, a celý proces se tak prodlužuje.
Mezi další zásady, které lze uživatelům „nařídit", patří například nemožnost znovu použít heslo, které již uživatel v historii
několika hesel nazpět použil, dále používat hesla sestávající z různých druhů znaků (tzv. složitá hesla) nebo nutnost používat nově
změněné heslo nejméně několik dnů.
Další informace k zásadám zabezpečení hesel naleznete v kapitole 22, „Zabezpečení serveru a sítě".
Jiný způsob vytváření uživatelských účtů
Systém Windows Server 2003 jako jediný umožňuje použít k vytvoření uživatelského účtu příkaz DSADD USER spuštěný na
příkazovém řádku. Příkaz pro vytvoření účtu pro uži-vatele Franta v kontejneru Users může vypadat třeba takto:
dsadd user CN=Franta,CN=Users,DC=studny,DC=local
-upn f r a n t a @ s t u d n y . l o c a l -mustchpwd Yes
Vytvořený uživatelský účet bude automaticky zakázán, což je z pohledu správy a zabezpečení prostředí v pořádku. Nemá totiž
definované žádné heslo.
Poznámka
Příkaz DSADD umí vytvářet mnohem více objektů, Další podrobnosti a možnosti tohoto příkazu získáte po zaclání příkazu
DSADD /? na příkazovém řádku. Podrobnosti k vytváření uživatelských účtů získáte po zadání příkazu DSADD USER /?.
Kam zmizely místní účty?
Pokud je klientský počítač členem domény, je možné se na něm přihlásit pomocí doménového účtu (to umožňuje výchozí
nastavení uživatelského účtu) nebo pomocí místního účtu. Druhá možnost není v doménovém prostředí standardní, neboť je
nutné pro ni vy-tvořit místní účet v daném počítači, v praxi je však někdy rozumným řešením nestan-dardních požadavků.
Chcete-li se k počítači přihlásit pomocí místního účtu, je nutné v poli Přihlásit se k vy-bral položku Názevpočtače
(místnípočítač). V případě počítače PC001 tedy PC001 (míst-ní počítač). Přihlášení poté neověřuje řadič domény, ale místní
počítač proti své databázi SAM, ve které jsou informace o uživatelských účtech a heslech.
Pojďme se podívat na server SRVR001. Zde je v poli Přihlásit se k pouze jediná položka STUDNY(tedy název domény).
Znamená to, že v počítači SRVR001 neexistují žádné místní účty a pro přihlášení je nutné použít pouze doménový účet.
Obecně se tento stav vyskytuje pouze na řadičích domény se systémy řady Windows 2000 a Windows Server 2003. Velmi
jednoduše - pokud dojde k povýšení členského serveru v doméně na řadič domény, dojde k odstranění veškerých místních
uživatelských účtů a účtů místních skupin. Výjimku tvoří pouze první řadič domény, u kterého se všechny místní účty
převedou na doménové. Pokud je počítač řadičem domény, nelze nové místní účty ani vytvářet.
Na potvrzení výše uvedeného se můžeme podívat přímo do systému:
1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na položku Správa počítače.
2. Dobře si prohlédněte levé podokno konzoly. Není zde uvedena položka Místní uživatelé a skupiny, která je běžnou
součástí stejného nástroje, pokud je server pouze členským nebo samostatným serverem.
Poznámka
Na řadiči domény se serverovým systémem řady Windows 2000 je v levém podokně této konzoly uvedena mimo jiné položka
Místní uživatelé a skupiny s červeným křížkem značícím, že daná volba není k dispozici.
Stav, kdy na řadiči domény neexistují místní účty uživatelů ani skupin, je nový v porovnání s řadiči domény Windows NT 4.0.
Na dokreslení celé záležitosti je nutné dodat, že pokud se rozhodnete na členský server nainstalovat roli řadiče domény, o
veškeré místní účty s definitivní platností přijdete. Pokud kdykoli později roli řadiče domény odinstalujete, místní účty se
neobnoví (opravdu nejsou nikde ukryté). Jediný účet, který se automaticky během procesu odinstalace domény konfiguruje, je
místní účet Administrátor, kterému je třeba zadat heslo.
Jedna výjimka však u řadičů domény se systémy Windows 2000 Server nebo vyššími existuje. Jedná se o místní účet uživatele
Administrátor, pomocí kterého je možné se k serveru přihlásit pouze v režimu obnovení adresářové služby. Heslo tohoto účtu se
definuje během instalace role řadiče domény, a je proto nutné si je dobře pamatovat. Pokud byste toto heslo chtěli kdykoli
později změnit, je pro řadič domény se systémem Windows 2000 postup následující:
1. Během spouštění počítače stiskněte klávesu F8 a pro spuštění počítače zvolte režim obnovení adresářové služby. Tím
101
zajistíte, že se nespustí služba Active Directory.
2. Přihlaste se pomocí účtu Administrátor pro tyto účely. Stiskněte kombinaci kláves Ctrl+Alt+Del a poté klepněte na
tlačítko Změnit heslo.
3. Zadejte aktuální a dvakrát nové heslo.
4. Restartujte počítač.
Na řadiči domény se systémem Windows Server 2003 můžete heslo účtu Administrátor pro obnovení adresářové služby změnit
ještě snadněji:
1. K počítači se přihlaste jako správce domény a spusťte příkazový řádek.
2. Na příkazovém řádku zadejte příkaz ntdsutil a stiskněte klávesu Enter.
3. Zadejte příkaz reset dsrm password a stiskněte klávesu Enter. Zobrazí se informace Vytvořit nové heslo správce pro
režim obnovení adresářových služeb:
4. Zadejte příkaz reset password on server null a stiskněte klávesu Enter. Zobrazí se příkaz Zadejte heslo pro účet
správce režimu obnovení adresářové služby:
5. Zadejte nové heslo účtu Administrátor pro obnovení adresářové služby a v dalším kroku toto heslo znovu potvrďte.
Pokud proběhlo vytvoření hesla úspěšně, zobrazí se informace Heslo bylo úspěšně nastaveno. Server není nutné restartovat.
Heslo pro režim obnovení adresářové služby lze změnit také ve vzdáleném řadiči domény (zadáním příkazu reset password on
server na-zevserveru.domena.cz). Vzdálený počítač ale musí být spuštěn v normálním režimu (nikoli v režimu obnovení
adresářové služby) a musí mít systém Windows Server 2003.
Pokud byste po nějaké době funkčnosti domény zjistili, že neznáte heslo účtu Administra tor pro obnovení adresářové služby
daného řadiče domény se systémem Windows 2000 (jedná se o místní účet, takže na každém řadiči domény může být jiné
heslo), máte následující možnost, jak je zpětně získat pro svou kontrolu. Tento postup však předpokládá, že v doméně existuje
více řadičů a že na daném řadiči domény neběží žádný další software, který na místní přítomnosti role řadiče domény závisí.
Postupujte následovně:
1. K dotčenému řadiči domény se přihlaste jako správci.
2. Na příkazovém řádku zadejte příkaz dcpromo a odeberte roli řadiče domény. Tento krok vyžaduje restartování
počítače.
3. Na příkazovém řádku zadejte příkaz dcpromo a nainstalujte znovu roli řadiče do mény. Během instalace zadáte heslo
pro obnovení adresářové služby, které si již dobře zapamatujte.
Závěr
V prostředí domény má každý uživatel k dispozici vlastní doménový účet. Ten může ve výchozím nastavení použít k
přihlášení k jakémukoli počítači v doméně s výjimkou řadičů domény.
Při vytváření většího množství uživatelských účtů můžete vyjít ze šablon, které jste si před-tím připravili. Každá z nich má totiž
vyplněné všechny vlastnosti, takže při vytváření účtu nemusíte stejné atributy (například Oddělení) znovu a znovu vyplňovat, Při
vytváření každého účtu je vhodné jej opatřit řádně dlouhým a bezpečným heslem a také zajistit, aby si heslo musel uživatel při
prvním přihlášení změnit. Každý uživatel by měl mít svůj vlastní účet, sdílení jediného účtu můžete využít jako vý-jímku
například u brigádníků, kteří se ve vaší společnosti střídají. U takovýchto účtů mů-žete vždy při jeho předávání uživateli již
nakonfigurovat jeho vypršení. Nebudete jej tak muset hlídat a účet se na konci dne vypršení automaticky zakáže.
Potřebujete-li vytvářet najednou opravdu velké množství účtů, můžete v doméně Active Directory se systémem Windows
Server 2003 využít příkaz DSADD s příslušnými parametry. Ten mimo jiné umožňuje vytvářet či měnit vlastnosti také u dalších
objektů v doméně.
Z hlediska zabezpečení domény se jako základní krok doporučuje přejmenovat uživatel-ské účty, které se vyskytují v každé
doméně - Administrátor a Guest. Případným útočníkum tak ztížíte možnost jejich napadení.
Uživatelský účet přináší uživatelům možnost přihlásit se a pracovat v prostředí domény, správcum navíc možnost
definovat pomocí nich oprávnění přístupu a práva v doméně.
Stav sítě
V síti vznikly uživatelské účty pro všechny pracovníky společnosti Studny s.r.o. Pro jejich jednoduš š í a rychlejší vytváření jsou k
dispozici šablony, každá pro jedno oddělení. Z h l e - d i s k a z a bezpečení domény došlo k přejmenování účtů Administrátor a
Guest.
102
Zabezpečení přístupu
Operační systémy řady Windows 2000 a vyšší jsou systémy určené pro nasazení do prostředí vyžadujících stabilit u , rychlost a
zejména zabezpečení. Organizace pracující s těmito systémy chtějí mít přehled a kontrolovat stav, kdo se vůbec může dostat do
jejich prostředí, s jakými daty muže pracovat a jakou úroveň přístupu k datům má.
Obecně to neznamená, že každý uživatel, který je schopen se k síti organizace přihlásit, má automaticky přístup ke všem datům. I
uvnitř organizace je nutné tyto druhy pří-stupů rozlišovat a mít o nich přehled. S tím bývá spojen další požadavek - vědět, zda
se například k citlivým datum nepokouší dostat neoprávněný uživatel, tyto pokusy zaznamenávat a vyhodnocovat.
K lomu, aby se uživatel dostal do systému, potřebuje znalost přihlašovacího jména a hesla platného účtu. K tomu, aby se poté
dostal k dokumentům, o které má zájem, však potřebuje ještě něco navíc - oprávnění přístupu k souborům. Tato kapitola je
úvodem do jednotlivých typů oprávnění a způsobů práce s nimi.
Oprávnění přístupu
Uživatelský účet má dvě funkce. První, kterou jsme si již dostatečně probrali a vyzkoušeli, je možnost přihlásit se k místnímu
počítači nebo k doméně. Druhou, neméně důležitou funkcí je možnost nakonfigurovat požadovanou úroveň oprávnění k
prostředku v síti. Takovým prostředkem může být tiskárna, soubor, složka, uživatelský účet a další.
Oprávnění ke zmíněným objektům ale nemusí být možné konfigurovat vždy. Pokud chcete řídit přístup k objektům typu soubor
či složka, musí být daný prostředek uložen v oddílu zformátovaném systémem souborů NTFS. Oprávnění k uživatelskému účtu
je například možné konfigurovat pouze u doménového účtu, nikoli místního atd. Udělování oprávnění je velmi důležitým
procesem. Stačí například malá chybička, překlep či menší neznalost a důležitý dokument si může zobrazit každý z uživatelů;
v horším případě zjistíte, že jej někdo odstranil. V takovém případě je třeba mít u velmi důležitých prostředků
nakonfigurovanou i funkci auditu, abyste mohli alespoň určit uživatele, který danou operaci provedl. Další informace o auditu
naleznete v kapitole 22, „Zabezpečení serveru a sítě".
Oprávnění NTFS
Oprávnění NTFS slouží k zabezpečení přístupu k prostředkům v oddílech zformátovaných systémem NTFS. O takovém
oprávnění se tedy dá hovořit pouze u operačních systémů, které umožňují formátování tímto systémem souborů. Systémy
Windows 2000 a vyšší tuto možnost samozřejmě mají s jediným omezením - systém Windows XP Home Edition sice systém
NTFS má, ale možnost konfigurovat oprávnění je výrazně omezena. Oprávnění NTFS je možné udělovat na úrovni složky nebo
jednotlivých souborů. Protože je v systémech Windows standardně povolena dědičnost z nadřazených objektů, znamená to, že
pokud udělíte uživateli oprávnění na úrovni složky, bude se automaticky týkat podřízených souborů, tedy všech souborů ve
složce. Vše si ověříme následujícím postupem.
Ověření dědičnosti
1.
2.
Přihlaste se k počítači PC001 jako správci domény (Ton!&check). Pokud máte potíže se zadáním znaku &, použijte
klávesovou kombinaci Alt+38. Spusťte aplikaci Průzkumník Windows a na jednotce C: vytvořte složku s názvem
Smlouvy.
V této složce vytvořte dva textové soubory smlouval.txt a smlouva2.txt (soubory mohou být
prázdné). Pravým tlačítkem myši klepněte na složku Smlouvy a v místní nabídce poté klepněte na položku Vlastnosti.
V dialogovém okně Smlouvy — Vlastnosti klepněte na kartu Zabezpečení.
Poznámka
V části Název skupiny nebo Jméno uživatele jsou zobrazeny uživatelské účty nebo účty skupin, po klepnutí na každou položku se
ve spodní části Oprávnění zobrazí příslušná oprávnění.
5. V horní části klepněte na položku Users (PC00l\Users) a poté klepněte na tlačítko Odebrat. Zobrazí se informace, že tuto
položku nelze odstranit, neboť dědí oprávnění od nadřazené položky.
6. Klepnutím na tlačítko OK zprávu zavřete a v dialogovém okně vlastností složky
7. Smlouvy poté klepněte na tlačítko Upřesnit.
8. V dialogovém okně Upřesnit nastavení zabezpečení Smlouvy zrušte zaškrtnutí políčka Zdědit po nadřazeném
objektu položky oprávnění platné... a poté klepněte na tlačítko Odebrat.
9. Dialogové okno zavřete klepnutím na tlačítko OK. Zobrazí se zpráva o tom, že jste odepřeli všem uživatelům přístup k
objektu Smlouvy s dotazem, zda chcete pokračovat. Klepněte na tlačítko Ano.
Nyní je třeba ke složce Smlouvy zajistit úplný přístup skupině správců. Na tento krok nezapomínejte, neboť v případě
potíží se složkou se rychle dostanete ke konfiguraci oprávnění, kde můžete chybu vyhledat a opravit. Poté nakonfigurujeme
103
oprávnění přístupu pro uživatele Obchodí.
9. Klepněte na tlačítko Přidat. Zobrazí se dialogové okno Vyberte uživatele, počítače nebo skupiny. Pokud je v poli
Umístění zobrazen název DNS domény (studny.local), klepněte na tlačítko Umístění a poté vyberte položku
PC001 a klepněte na tlačítko OK.
10. V části Zadejte názvy objektů k výběru zadejte text Administrators a poté klepněte na tlačítko Kontrola názvů. Pokud
je vše v pořádku, zadaný text by se měl změnit na podtržený text PC00l\Administrators. Poté klepněte na tlačítko OK.
11. V části Oprávnění pro Administrators jsou nyní zaškrtnuta tři políčka. Ve sloupci Povolit zaškrtněte políčko Úplné
řízení.
Poznámka
Nyní jsme zajistili úplný přístup ke složce Smlouvy pro místní skupinu Administrators. Jistě by bylo možné nadefinovat pouze
doménovou skupinu Domain Admins, místní skupina je však systémovějším řešením, neboť skupina Domain Admins je v
doméně automaticky jejím členem. Pokud byste navíc později počítač odebrali z domény, zůstane nejvyšší oprávnění místní
skupině (skupina Domain Admins by v takovém případě z vlastností objektu zmizela).
12. V dialogovém okně vlastností složky Smlouvy nyní klepněte na tlačítko Přidat. V poli Umístění změňte řetězec PC001
na studny.local a v okně Zadejte názvy objektů k výběru zadejte text Obchodí. Poté klepněte na tlačítko Kontrola
názvů.
13. Klepněte na tlačítko OK a všimněte si automaticky udělených oprávnění. Ve sloupci Povolit zaškrtněte navíc položku
Zapisovat a klepněte na tlačítko OK.
Obrázek 10.1
Výběr uživatele Obchod1
Udělená oprávnění by měla být nyní automaticky zděděna na podřízené objekty. Tuto skutečnost ověříme.
•
Jako správce počítače PC001 přejděte do složky Smlouvy a zobrazte vlastnosti souboru smlouva1.txt. Klepněte na
kartu Zabezpečení a všimněte si, že obsahuje pouze dva objekty.
•
Klepněte na uživatele Obchod1 a ověřte, jaká oprávnění má tento uživatel udělena. Oprávnění by měla být shodná s
oprávněními na úrovni složky Smlouvy s jedinou výjimkou - oprávnění Zobrazovat obsah složky je logicky k
dispozici pouze ve vlastnostech složky.
•
Pokuste se některá z oprávnění na úrovni souboai smlouval.txt odebrat. Byli jste úspěšní?
Poznámka
Pokud jsou oprávnění zděděna z nadřazeného objektu, není možné je odebírat, aniž byste předtím nezrušili dědičnost. Stav, kdy
jsou oprávnění zděděna, zjistíte na první pohled, neboť oprávnění jsou označena světle šedou barvou.
Nyní je třeba udělená oprávnění ověřit. Uživatel Obchod1 má ke složce i k souborům oprávnění Číst, Číst a spouštět a
Zapisovat. Měl by tedy být schopen soubor otevřít, prohlédnout si jeho obsah, ten případně změnit a soubor uložit.
Ověření oprávnění
1.
2.
3.
4.
K počítači PC001 se přihlaste jako uživatel Obchod1.
Přejděte do složky Smlouvy a poklepáním otevřete soubor smlouval.txt Zobrazí se obsah souboru.
Změňte nebo spíše doplňte obsah souboru a uložte jej.
Nyní se pokuste odstranit soubor smlouva2.txt. Tento krok se vám nepodaří, neboť nemáte potřebná oprávnění. Proto
se zobrazí chybová zpráva
V krátkosti jsme se seznámili se základními oprávněními NTFS a s principem dědičnosti, který je v systémech Windows standardně
povolen. Následující tabulka uvádí význam jednotlivých oprávnění NTFS.
Oprávnění _______ Význam________________________ Poznámka_________________
Číst
Umožňuje číst obsah souboru
a jeho atributy
Číst a spouštět
To samé co Číst; pokud se jedná
o spustitelný soubor (například EXE),
umožňuje jeho spuštění
Umožňuje zobrazit obsah složky
Zobrazovat
Je k dispozici pouze ve vlastnostech
104
obsah složky
(ukáže soubory)
složky
Oprávnění
Význam
Poznámka
Zapisovat
Umožňuje vytvářet nové soubory
a provádět změny ve stávajících
Měnit
Umožňuje měnit název souboru
a odstraňovat existující soubory
Úplné řízení
Zvláštní oprávnění
Umožňuje měnit seznam řízení přístupu
Nejedná se o žádné konkrétní oprávnění. Jeli toto políčko zaškrtnuto, znamená to, že
existují tzv. speciální oprávnění
Tabulka 10.1 Přehled základních oprávnění NTFS
Uživateli Obchod1 jsme udělili oprávnění Číst, Číst a spouštět, Zobrazovat obsah složky a Zapisovat. Při zobrazení souborů se
využilo oprávnění Zobrazovat obsah složky, při ote-vření souboru oprávnění Číst a při zápisu oprávnění Zapisovat. Nevyužité
zůstalo oprávnění Spouštět, neboť soubor TXT není spustitelným souborem.
Oprávnění Zapisovat ale umožňuje také vytváření nových souborů. Ověřte to tak, že ve složce Smlouvy vytvoříte nový textový
soubor. Pokud se však pokusíte změnit jeho název, zobrazí se chybová zpráva značící, že nemáte dostatečná oprávnění (nemáte
oprávněni Měnit). Název souboru tak zůstane Nový textový dokument.txt.
„Specialitky" oprávnění Číst
Co přesněji znamená oprávnění Číst? Je možné s oprávněním Číst zobrazit vlastnosti souboru a podívat se například na datum jeho
vytvoření a poslední změny? Jaká oprávnění jsou třeba k zobrazení seznamu řízení přístupu?
Pokud chcete vědět odpovědi na tyto otázky (a v těch by mělo být opravdu jasno), je možné se podívat na tzv. zvláštní
oprávnění (někdy také nazývaná speciální oprávnění). Z mého pohledu je nutné dodat, že označení „zvláštní" či „speciální"
oprávnění je velmi zavádějící neboť se o žádná taková oprávnění nejedná. Jde pouze o to, že oprávnění Číst je jakýmsi
souhrnem několika dílčích oprávnění. Kterých, to lze velmi jednoduše zjistit.
1. K počítači PC001 se přihlaste jako uživatel Obchod1 nebo jako správce.
2. Zobrazte vlastnosti souboru smlouval.txt a klepněte na kartu Zabezpečení.
3. Prohlédněte si oprávnění uživatele Obchod1 a poté klepněte na tlačítko Upřesnit.
4. Označte uživatele Obchod1 a poté klepněte na tlačítko Upravit. Zobrazí se dia-logové okno s dílčími oprávněními, která
si pozorně prohlédněte.
Nyní jste získali odpovědi na výše uvedené otázky - oprávnění Číst postačuje k tomu, aby se uživatel mohl podívat na atributy
souboru (oprávnění Číst atributy) a také k tomu, aby se podíval na seznam řízení přístupu (Číst oprávnění).
Někdy však tato oprávnění nebývá vhodné ponechávat. Může být například žádoucí, aby s i u ž i v a t e l mohl zobrazit obsah
souboru, ale již není žádoucí, aby viděl jakékoli informa-ce na kartě zabezpečení. Pokud by takové oprávnění měl, mohlo by se
stát, že namísto práce by obtěžoval své kolegy, kteří by byli uvedeni na kartě Zabezpečení s vyššími oprávněními a chtěl by po
nich, aby provedli v souborech některé změny. Produktivita práce by v takovém případě byla tatam a změny v souborech by
nepocházely od správné-ho uživatele.
Pokud tedy chcete zakázat uživateli náhled na seznam řízení přístupu, je třeba na kartě Upřesnit nastavení zabezpečení označit
uživatele Obchod1, poté klepnout na tlačítko Upravit a v dialogovém okně Položka oprávnění pro zrušit ve sloupci Povolit
zaškrtnutí políčka Číst oprávnění.
Karta Zabezpečení dialogového okna vlastností souboru bude poté vypadat podobně, jako na obrázku 10.2.
Obrázek 10.2
Zaškrtnuté políčko Zvláštní oprávnění . znamená, že existují
speciální oprávnění
105
Pokud jste dosud zkoumali, k čemu je na kartě Zabezpečení sloupec Odepřít, vyčkejte do kapitoly 11, „Není to vše příliš
složité?", kde si uvedeme jediný příklad, kdy se tento sloupeček používá.
Vlastnictví souboru
Úvodem příklad.
Přihlaste se k počítači jako uživatel Obchod1 a pokuste se přejmenovat soubor Nový textový dokument.txt, který jste
vytvořili dříve ve složce Smlouvy. Jistě to nepůjde, neboť nemáte dostatečná oprávnění.
1. Nyní zobrazte dialogové okno vlastností tohoto souboru a klepněte na kartu Zabezpečení.
2. Klepněte na položku svého účtu a ve sloupci Povolit zaškrtněte políčko Změnit. Poté klepněte na tlačítko OK.
3. Nyní změňte název souboru na smlouva3.txt.
Položme si nyní otázku: Jak je možné, že jste byli schopni změnit oprávnění týkající se vlastního účtu přesto, že jste neměli
uděleno oprávnění Úplné řízení? Pokud se o stejný postup pokusíte například u souboru smlouval.txt, nebudete schopni svá
oprávněni upravit.
Odpovědí je informace o takzvaném vlastníkovi. Každý soubor uložený v oddílu zformá-tovaném systémem souborů NTFS má
svého vlastníka. Vlastnit soubor je stejně dobrá vymoženost, jako vlastnit cokoli jiného. Také zde totiž mimo jiné platí, že vlastník
si může se svým majetkem dělat, co chce. Převedeno do řeči operačního systému Windows XP Professional to znamená, že
můžete měnit seznam řízení přístupu daného objektu, a to nejen u vlastního účtu.
Možná vás napadne následující myšlenka. Pokud jste vlastníky souborů, jistě bude možné odebrat třeba všechna oprávnění
přístupu skupině Administrators, a tak této skupině zamezit v přístupu k vašim souborům. Myšlenka to není špatná a tento
úkon je jistě možný. Skupina Administrators, ale zůstane „mimo hru" jen do té doby, než si to zpět uspořádá takovým
způsobem, že vy už takový postup nebudete moci zopakovat, neboť budete zbaveni vlastnictví souboru.
Nejlepší bude takovou situaci nasimulovat.
1. Přihlaste se k počítači PC001 jako uživatel Obchod1.
2. Na kartě Zabezpečení v dialogovém okně vlastností souboru smlouva3.txt odeberte skupinu Administrators a svému
účtu udělte oprávnění Úplné řízení. Poté klepněte na tlačítko OK.
Poznámka
Pokud nebudete schopni změnit seznam řízení přístupu vinou povolené dědičnosti, dědičnost nejprve zakažte a opakujte
krok číslo 2.
4.
Odhlaste se a přihlaste se znovu k počítači PC001 jako správci,
5.
Poklepáním se pokuste otevřít soubor smlouva3.txt. Protože k souboru nemáte žádné oprávnění, nebudete při
otevření úspěšní.
6.
Nyní máte jako správci jedinou možnost - stát se vlastníkem souboru a upravit si oprávnění. Jiná možnost (za
předpokladu, že vám oprávnění neudělí uživatel Obchod1) neexistuje. V řeči systému Windows XP Professional se
tomuto postupu říká převzetí vlastnictví.
7. Na kartě Zabezpečení v dialogovém okně vlastností souboru smlouva3.txt klepněte na tlačítko Upřesnit a poté
klepněte na kartu Vlastník. Na řádku Aktuální vlastník této položky není vlastník uveden — ne snad proto, že by
žádný neexistoval, ale proto, že nemáte oprávnění jej zobrazit. V části Změnit vlastníka nalez nete svůj účet
(Ton!&check).
Poznámka
Pokud jste členem skupiny Administrators nebo Domain Admins, bude zde uvedena i tato skupina. Jedná se o jedinou
výjimku, kdy může být vlastníkem objektu skupina.
8.
Nyní bude systémové označit skupinu Administrators (nikoli vlastní účet) a po té klepněte dvakrát za sebou na
tlačítko OK.
Poznámka
Pokud byste přebírali vlastnictví složky, je vhodné v dialogovém okně Upřesnit nastavení zabezpečení zaškrtnout políčko
Nahradit vlastníka v podřízených kontejnerech a objektech.
9. V dialogovém okně vlastností souboru smlouva3.txt znovu zobrazte kartu Zabezpečení a do seznamu řízení přístupu
přidejte místní skupinu Administrators s oprávněními Úplné řízení.
10. Skupině Obchod1 případně upravte oprávnění (alespoň byste měli odebrat oprávnění Úplné řízení) a poté klepněte
na tlačítko OK.
Poznámka
Další možností „ovládnutí" souboru je znovu povolit dědičnost.
Kdo se může stát vlastníkem
106
Jak jsme si právě ukázali, vlastnictví souboru je velmi silným prostředkem k neomezenému nakládání. Z pohledu správce
domény je proto velmi důležité vědět, kdo se může stát vlastníkem souboru a jaká k tomu potřebuje oprávnění či práva.
Možnosti stát se vlastníkem souboru jsou následující:
• Vlastníkem je ten, kdo daný soubor vytvořil.
• Vlastníkem je ten, kdo převezme vlastnictví.
• Převzít vlastnictví může uživatel, který má buď uděleno oprávnění Úplné řízení nebo oprávnění Převzít vlastnictví
nebo uživatel s právem Převzít vlastnictví souborů nebo jiných objektů.
• Skupina Administrators má ve výchozí konfiguraci systému právo Převzít vlastnictví souborů nebo jiných objektů.
Poznámka
Právo Převzít vlastnictví souborů nebo jiných objektů se definuje v zásadách zabezpečení místního počítače nebo domény.
Vlastnictví nelze v systémech Windows XP Professional a nižších z pozice oprávněného uživatele přidělit jinému uživateli. Je
možné mu pouze definovat potřebná oprávnění a vyzvat jej, aby si převzal vlastnictví. Výjimku tvoří vůbec poprvé v historii
operačních systémů Windows systém Windows Server 2003, kde to možné je.
Pozor na správné pochopení oprávnění
Správné pochopení konfigurace oprávnění a procesu dědičnosti vyžaduje nějaký čas studia a zejména praxi. Uveďme si příklad,
který ukáže, že vše nemusí být tak jasné, jak se může na první pohled zdát.
V počítači existuje složka s názvem Smlouvy. K této složce bude mít uživatel Obchodí Oprávnění Úplné řízení. Vzhledem k
procesu dědičnosti bude mít toto oprávnění ke všem souborům v této složce.
Situace se však náhle změní a bude třeba omezit přístup uživatele Obchoďl k souboru smlouval.txt tak, aby nyní k tomuto
souboru žádný přístup neměl, zatímco ostatní oprávnění zůstanou platná. Rozhoďnete se pro následující řešení:
Smlouvy - Úplné řízení pro Obchod1 smlouval.txt — žádná oprávnění pro Obchod1 smlouva2.txt - oprávnění
Úplné řízení (zděděno)
Pro to, abyste mohli oprávnění na soubor smlouval.txt odebrat, bude nutné nejprve zru-šit dědičnost a teprve poté upravit
oprávnění.
Uživatel Obchod1 se po výše uvedeném nastavení přihlásí k počítači a přejde do složky Smlouvy. Při pokusu o zobrazení
obsahu souboru smlouval.txt se zobrazí zpráva in-formující o odepření přístupu. Důvodem jsou pochopitelně nedostatečná
(žádná) opráv-nění. Do takového souboru pochopitelně nebude možné nic zapsat, nelze změnit opráv-nění ani se podívat
například na atributy.
Co když se ale uživatel Obchod1 pokusí o odstranění souboru smlouval.txt? Podaří se mu soubor odstranit? Na úrovni
Smlouvy toto oprávnění má (Úplné řízení je více než Změnit), na úrovni samotného souboru ale o všechna oprávnění přišel.
Výsledek je ten, že uživatel Obchod1 soubor smlouval.txt odstraní, ačkoli k němu nemá žádná oprávnění! Možná je to pro
vás překvapení, neboť jste dosud předpokládali, že oprávnění na úrovni souboru jsou silnější než oprávnění na úrovni
nadřazeného objektu (složky). Pro tento stav však existuje velmi jednoduché vysvětlení:
1. Přihlaste se k počítači se složkou Smlouvy jako správce.
2. V dialogovém okně vlastností složky Smlouvy klepněte na kartu Zabezpečení a poté klepněte na tlačítko Upřesnit.
3. V dialogovém okně Upřesnit nastavení zabezpečení Smlouvy klepněte na položku Obchod1 a poté na tlačítko
Upravit.
4. Zobrazí se dialogové okno Položka oprávnění pro Smlouvy, které poskytuje jednoznačnou odpověď na otázku, proč
uživatel Obchod1 soubor smlouval.txt odstranil.
Obrázek 10.3
Uživatel Obchod1 má -oprávnění odstraňovat podsložky a
soubory
107
Zobrazené dialogové okno říká, že uživatel Obchod1 má ve složce Smlouvy a v jejích podsložkách oprávnění Odstraňovat
podsložky a soubory.
Pokud byste chtěli mít jistotu, že nic podobného se nemůže stát, je rada jednoduchá. Zrušte oprávnění Úplné řízení uživateli
Obchodí nebo v zobrazeném dialogovém okně zrušte zaškrtnutí políčka u zmíněného oprávnění.
I v této oblasti tedy platí známé přísloví „dvakrát měř, jednou řež". Je mnohem lepší zamýšlenou konfiguraci nejdříve pečlivě
prověřit, než ji uvedete do provozního prostředí. Na závěr části týkající se oprávnění NTFS je nutné dodat, že veškerá
oprávnění se týkají uživatelů přihlášených k počítači místně (pomocí kombinace kláves Ctrl+Alt+Del). Oprávnění nutná k
přístupu po síti jsou probrána dále v této kapitole.
Obrázek 10.4
Pomocí tlačítka Další uživatelé a skupiny je v systému Windows
Server 2003 možné předat vlastnictví jinému uživateli nebo
skupině
Oprávnění přístupu ke sdílené složce
Pokud chtějí uživatelé přistupovat k souborům či složkám v jiném počítači v síti ze svého počítače, musí být tyto složky
sdílené. Obsah každé sdílené složky je samozřejmě chráněn oprávněními přístupu. Ta jdou tak ruku v ruce spolu se sdílením,
pokud je navíc složka v oddílu zformátovaném systémem souborů NTFS, potom i s oprávněními NTFS.
Oprávnění sdílet složku
Prvním krokem ke zpřístupnění obsahu složky v síti je její sdílení. Jedná se o krok, který může provést pouze oprávněný uživatel.
Tím je v systémech Windows 2000 a vyšších člen skupiny Administrators, v doméně je to navíc člen skupiny Server Operators.
Před sdíle-n í m složky je nutné podrobně znát výchozí oprávnění pro sdílení, neboť v případě ne-opatrného postupu může dojít
ke zpřístupnění citlivých dat nepovolaným osobám.
Možnosti sdílení
K dispozici jsou dva nástroje, pomocí kterých lze složku sdílet. Prvním z nich je aplikace Průzkumník Windows, druhým je
konzola MMC Správa počítače, přesněji její část Sdílené složky. Pro vytvoření sdílené složky lze obecně v místním počítači
použít kterýkoli z nich, při sdílení vzdálených složek je však nevyhnutelné použít konzolu Správa počítače.
Oprávnění ke sdíleni
Na kartě Sdílení v dialogovém okně vlastností složky, kterou chcete sdílet, je tlačítko Oprávnění. Zde je nutné nakonfigurovat
příslušné uživatele nebo skupiny a jejich úroveň oprávnění pro sdílení. Velmi důležitá je ale znalost výchozích nastavení těchto
opráv-nění. V systému Windows Server 2003 je to pro skupinu Everyone oprávnění Read na roz-díl od systémů řady Windows
2000 a Windows XP Professional, u kterých se jedná pro skupinu Everyone o oprávnění Úplné řízení. Lze tedy říci, že nastavení v
nových serve-rových systémech je bezpečnější než dříve.
108
Obrázek 10.5
Výchozí oprávnění ke sdílení v systému Windows Server
2003
Co vlastně jednotlivá oprávnění ke sdílení znamenají? Oprávnění Číst umožňuje uživateli či skupině číst obsah složky a souborů.
Oprávnění Změnit je na stejné úrovni s oprávněním Měnit v systému NTFS a oprávnění Úplné řízení je na stejné úrovni
s oprávněním Úplné řízení v systému NTFS.
Která oprávnění vlastně platí?
Pokud bude sdílená složka uložená v oddílu se systémem souborů NTFS, je nutné vědět, jaký je vztah oprávnění ke sdílení s
oprávněními NTFS. Existují dvě pravidla:
♦ Pokud bude uživatel přistupovat k souborům ve složce místně (pomocí interaktivního přihlášení), platí pouze oprávnění
NTFS.
♦ Pokud bude uživatel přistupovat k souborům ve sdílené složce po síti, oba typy oprávnění se kombinují. Skutečná
oprávnění budou v takovém případě tvořena „průnikem" obou typů oprávnění.
Příklady a skutečná oprávnění jsou uvedeny v následující tabulce.
Skutečná oprávnění Oprávnění NTFS
Oprávnění ke sdílení
Obchod1 - Číst
Obchod1
- Úplné řízení
Everyone - Číst
Administrátore
- Úplné řízení
Číst
Žádný přístup
Obchod1
- Číst, Zapisovat
Everyone - Číst
Číst
Obchod1 - Číst
Obchod1 - Úplné řízení
Číst
Obchod1
- Úplné řízení
Obchod1 - Číst
Číst
pro uživatele Obchodí
Poznámka
Uživatel Obchod1
není členem skupiny Administrators
Tabulka 10.2 Příklady oprávnění NTFS a ke sdílení a skutečná oprávnění
Zastavme se u posledních dvou příkladů. Z pohledu přístupu po síti bude výsledek vždy stejný. Rozdíl ale bude u přístupu k
souborům při interaktivním přihlášení. Pokud by tedy uživatel Obchod1 občas pracoval přímo na serveru, na kterém je sdílená
složka uložena, měl by v souladu s posledním příkladem k souborům oprávnění Úplné řízení, s předposledním příkladem
oprávnění Číst.
Praktické využití a konfiguraci oprávnění NTFS a sdílených oprávnění si ukážeme v kapitole 12, „Vytváříme firemní knihovnu
dokumentů".
Kam ukládat soukromé dokumenty?
Z pohledu každého uživatele zasluhují právě soukromé dokumenty nejvyšší stupeň zabezpečení. Proto by cílem každého z
nich bylo zabezpečit své dokumenty tak, aby se k nim nedostal žádný jiný uživatel, ale ani žádný správce.
Tento požadavek je samozřejmě dobře splnitelný udělením správných oprávnění. Potíž je však v tom, že běžný uživatel většinou
není schopen s konfigurací oprávnění manipulovat, vyjma případů, kdy je vlastníkem souborů či složek. I tak, jak jsme v
předchozím odstavci viděli, může o vlastní konfiguraci oprávnění i vlastnictví kdykoli přijít.
Uživatelé se tedy musí spolehnout na správce a správci by měli dobře znát všechny možnosti, které jsou schopni uživatelům
109
poskytnout.
Pokud nyní trochu pomineme zabezpečení dat ve smyslu jejich zálohování, je nejjednodušším místem pro ukládání dokumentů
uživatelů v systémech Windows 2000 Professio-nal i Windows XP Professional složka Dokumenty (My Documents). Jedná se o
složku, která je součástí profilu uživatele, a systém v klientském počítači uživatele se tak sám poslaní o to, aby zabezpečil přístup k
datům v ní pouze pro konkrétního uživatele. Běžný uživatel tak nemá vůbec možnost dostat se k profilu jiného uživatele, natož ke
složce Do-kumenty, která je jednou z jeho složek.
Oprávnění k celému profilu konfiguruje operační systém v klientském počítači sám. Kro-mě oprávnění Úplné řízení pro uživatele
přidá ještě stejnou úroveň oprávnění místní sku-pině Administrators a skupině SYSTEM (vestavěná systémová skupina).
Uživatel má možnost přístup správcům odebrat (odebráním oprávnění u složky %system drive%\Documents and
Settings\%username%), v praxi se s tímto postupem však často nesetkáte. Na jednu stranu zde hraje významnou roli neznalost
samotných uživatelů, na druhou stranu jistě možnost z pohledu správce si kdykoli přístup obnovit.
Ukládání dokumentů uživatelů do složky Dokumenty je doporučeno, neboť ze systémo-vého hlediska je práce s touto složkou
velmi jednoduchá, a s jejím obsahem se dá z po-hled u správce domény jednoduše manipulovat. Týká se to však pouze
soukromých dokumentů, ke kterým by měl mít přístup pouze konkrétní uživatel. Pokud je třeba někte-né dokumenty sdílet
mezi více uživateli, je nutné pro ně vytvořit samostatnou strukturu a oprávnění nakonfigurovat ručně.
Závěr
Oprávnění přístupu slouží k zabezpečení souborů a složek pouze pro vymezené uživatele či skupinu uživatelů. Lze je konfigurovat
pouze v oddílech zformátovaných systémem souborů NTFS.
Na úrovni souboru se vyskytuje celkem 5 oprávnění, na úrovni složky celkem 6 oprávnění (zde je navíc oprávnění Zobrazit
obsah složky). Uvedená oprávnění jsou však pou-ze skupinou dílčích oprávnění, kterých je v systému Windows XP
Professional mnohem více. Znamená to, že uživatel s oprávněním Číst má například možnost číst obsah soubo-ru, ale dále také
jeho atributy a dokonce i přístupová oprávnění.
Vyjímečné postavení má v oblasti oprávnění NTFS takzvaný vlastník objektu. Je to ten uži-vatel, který daný objekt vytvořil.
Takový uživatel má k souboru plný přístup, nikoli však nastanými oprávněními, ale možností kdykoli si oprávnění upravit. O
vlastnictví objek-tu muže uživatele připravit pouze člen místní skupiny administrators, který má definicí v sytému mu právo
kdykoli převzít vlastnictví. V systémech starších než systém Windows Server 2003 nebylo možné uživateli vlastnictví přidělit
a vždy si uživatel musel toto vlast-nictví převzít. Systém Windows Server 2003 je prvním systémem, kde může oprávněný
uživatel definovat, kdo bude vlastníkem objektu.
Oprávnění NTFS se ve struktuře souborů standardně dědí. Pokud chcete upravovat opráv-nění souboru ve složce, je nejprve nutné
zrušit dědičnost a poté můžete oprávnění upravit.
Pokud chtějí uživatelé přistupovat k souborům po síti, je nutné nejprve sdílet složku se soubory a poté definovat oprávnění
sdílení. Při přístupu k souborům po síti se oprávně-ní ke sdílení kombinují s oprávněními NTFS a platí jejich „průnik". Na to je
nutné myslet a oprávnění ke sdílení navrhnout tak, aby uživatelé získali správnou úroveň přístupu. Při-tom se nevyplatí zapomínat na
skupinu Administrators, která by měla mít vždy Úplné řízení Uživaltelé by si měli své soukromé dokumenty ukládat do složky
Dokumenty. Protože se jedná o část profilu uživatele, potom, je-li profil uživatele na disku zformátovaném systémem NTFS, budou
jeho dokumenty chráněné před přístupem ostatních uživatelů. Další výhodou z pohledu správy je jednoduchá manipulace
se složkou Dokumenty, kterou můžete velmi jednoduše pro všechny uživatele přesunout například na server.
Stav sítě
Stav naší sítě se v této kapitole nijak nezměnil. Pro ověření oprávnění byly vytvořeny některé dočasné složky a dokumenty, jež
můžete nyní odstranit.
110
Není to vše příliš složité?
V předchozí kapitole jsme si vysvětlili oprávnění NTFS při přístupu k souborům a složkám v místním počítači a sdílená oprávnění
k prostředkům při přístupu přes síť. Někte-rá oprávnění jsme nakonfigurovali a ověřili.
Každé prostředí však není tak ideální, jako je (zatím) nade, Jsou prostředí, ve kterých se vyskytují stovky či tisíce Uživatelů a
tisíce složek, k nimž je nutné oprávnění přístupu definovat. Konfigurovat v takovém prostředí oprávněni pro jednotlivé
uživatele je práce, o které rozumný správce ani nemůže přemýšlet. Možná, že by se našli správci, již o podobném postupu
uvažují ve svém, relativně malém prostředí, a jistě se najdou situace, ve kterých je udělování oprávnění přímo uživatelským účtům
nevyhnutelné nebo v nichž je toto řešení v danou chvíli nejjedno-dušší
Takový stav však vydrží pouze do určité velikosti prostře-dí, poté je nutné vše předělat. Rozhodně lze takový stav označit od
počátku za nesystémový. Systémovým řešením je udělování oprávnění skupinám, ve kterých jsou uživatelé
č leny.
Zjednodušení přístupu pomocí skupin
V každé organizaci existují skupiny uživatelů s podobnými zájmy. To znamená, že naleznete různé uživatele, kteří ale potřebují
přistupovat do stejných složek, tisknout na stejné tiskárny nebo mít stejně (ne)omezený přístup k internetu.
Členové vedení společnosti budou například potřebovat přístup do složek obsahujících zápisy ze svých porad či zápisy
valné hromady, obchodníci budou potřebovat přístup ke smlouvám, které jsou uložené v příslušných s l o ž k á c h , a
zákazníci společnosti by měli mít přístup ke složkám obsahujícím veřejné dokumenty.
Otiskem takové organizační struktury jsou z pohledu doménového prostředí doménové skupiny uživatelů. Oprávnění je v
takovém případě možné udělovat skupinám, a přístup do dané složky tak získá každý z členů příslušné skupiny. Výhody
takového řešení (nutno znovu připomenout, že se jedná o jediné systémové) se nejvíce projeví v již nakonfigurovaných
prostředích v okamžiku, kdy je například nutné vytvořit účet pro nového obchodníka a udělit mu potřebná oprávnění do všech
složek, které mají co společného s obchodním oddělením (a jež mohou být „rozházené" po celé organizaci). Pokud by se v
takovém prostředí udělovala oprávnění přímo jednotlivým uživatelům, bylo by nutné projít celou strukturu složek s dokumenty, a
udělit novému účtu potřebná oprávnění. Nutno dodat, že vzhledem k tomu, že většina správců nemá své prostředí
zdokumentované, se může jednat o skutečný oříšek; v každém případě je to spousta zbytečné práce. Pokud se udělují oprávnění
výhradně skupinám, stačí nový účet přidat do správné skupiny (skupin) a přístupy jsou vyřešeny.
V doménovém prostředí lze pracovat s několika rozsahy skupin - globálními, místními doménovými či univerzálními. Tyto
rozsahy vyjadřují oblast, ve které lze skupinám udělovat oprávnění - více domén nebo jediná doména. V místních počítačích se
navíc vysky tují místní skupiny, které jistě své využití také najdou, v prostředí domény se však využívají spíše výjimečně, neboť
jejich správu nelze centralizovat.
Typy skupin v doméně
V doméně Active Directory se lze setkat s následujícími typy skupin:
♦
♦
Skupiny se zabezpečením Tomuto typu skupiny se udělují práva a oprávnění. Práva určují, co může člen takové
skupiny (uživatel nebo počítač) provádět v do méně za činnosti, zatímco oprávnění určují, ke kterým prostředkům v
místním po čítači či v síti mají uživatelé přístup.
Skupiny zabezpečení lze obecně využívat také k distribuci e-mailových zpráv více uživatelům. Zprávu je možné odeslat
jednou, přičemž ji obdrží každý ze členů skupiny. K využití skupin zabezpečení pro tento účel je však nutné mít v prostředí
domény nainstalovaný produkt Exchange Server 2003- Skupiny zabezpečení se pak chovají jako distribuční skupiny.
Distribuční skupiny Ve spolupráci s produktem Exchange Server 2003 jsou ty to skupiny určeny pouze k odesílání emailových zpráv uživatelům. Nemohou získávat oprávnění přístupu, ani na to nejsou přizpůsobeny. Pokud tedy
potřebujete skupině udělit oprávnění, použijte typ skupiny se zabezpečením.
Skupiny se zabezpečením mají schopnosti distribučních skupin, opačně to však již neplatí. Možná je tak namístě otázka,
proč distribuční skupiny vůbec existují. Existují proto, neboť některé aplikace umí pracovat pouze s nimi, nikoli se
skupinami se zabezpečením.
111
Úrovně funkčnosti domény
Na úvod vysvětlení této oblasti si uvedeme krátký příklad.
1. Přihlaste se k počítači SRVR001 jako správci.
2. Spusťte nástroj Uživatelé a počítače služby Active Directory a v kontejneru
Users se pokuste vytvořit novou skupinu. Zobrazí se dialogové okno jako na ob rázku 11.1
Obrázek 11.1
Vytvoření nové skupiny
3. Všimněte si, že ve sloupci Rozsah skupiny nelze zaškrtnout položku Univerzální.
Tento stav souvisí s pojmem úroveň funkčnosti domény. Existují 3 úrovně funkčnosti do mény Active Directory se systémem
Windows Server 2003. Úroveň určuje, jaké operační
systémy je možné mít na řadičích domény, a podle toho mají případně i omezení funkcí. Typy operačních systémů na řadičích
domény a povolené skupiny shrnuje následující tabulka
Windows 2000 mixed Windows 2000 native
Možnéne operační
systémy na řadičem domény
Windows NT 4.0 Server,
Windows 2000,
Windows Server 2003
Povolené rozsahy Globální,
místní doménové
Windows server 2003
Windows 2000,
Windows Server 2003
Globální,
místní doménové,
univerzální
Windows Server 2003
Globální,
místní doménové,
univerzální
Tabulka 11.1 Úrovně funkčnosti domény
Vysvětlení uvedených omezení je vcelku logické. Protože mohou například v režimu Win dows 2000 mixed pracovat i řadiče
domény se systémy Windows NT 4.0 Server, které o univerzálních skupinách neměly ani tušení, nelze univerzální
skupiny používat, proto že pro ně jednoduše není v systémech NT 4.0 místo (není je kam replikovat). Pochopitelné se
nejedná o jediné omezení v tomto režimu domény, ta ostatní se však vyskytují v jiných oblastech.
Doména Active Directory se systémem Windows Server 2003 je standardně po instalaci v režimu Windows 2000 mixed.
Znamená to, že v případě potřeby je možné přidal řadiče domény systémem Windows NT 4.0. To sice nebude náš případ, ale
informaci je to duležitá. Úroveň funkčnosti domény lze kdykoli povýšit, nikoli však vrátit zpět. Jedná se o jedno-cestný a
nevratný krok. Proto se nedoporučuje úroveň měnit, pokud pro to není konkrétní důvod.
zobrazení úrovně funkčnosti domény v systému Windows Server 2003
2. Spusťte nástroj Uživatelé a počítače služby Active Directory.
3. Pravým tlačítkem myši klepněte na položku domény (studny.local) a v místní na bídce klepněte na příkaz Zvýšit
úroveň funkčnosti domény. Zobrazí se dialogové okno (viz obrázek 11.2), ve kterém je vidět stávající úroveň a
zároveň možnost přepnout doménu do vyšší úrovně.
112
Obrázek 11.2
Úrovně funkčnosti domény Active Directory se systémem Windows
Server 2003
Zobrazení úrovně funkčnosti domény se systémy Windows Server 2000
1. Přihlaste se k řadiči domény jako správci.
3. Pravým tlačítkem myši klepněte na položku domény a zobrazte její vlastnosti. V dialogovém okně vlastností bude
zobrazena úroveň. Pokud se bude jednat o Smí
šený režim, bude možné pomocí tlačítka Změnit přepnout doménu do Nativního režimu.
Pro správnou představu o účelu jednotlivých rozsahů skupin je vhodné mít prostředí s více doménami. V prostředí s jedinou
doménou nelze některé vlastnosti uplatnit, a rozdíly se tak mohou zdát bezvýznamné. Protože ale nikdy není jisté, že se
prostředí sítě s jednou doménou nemůže v budoucnu rozšířit na více domén, je nutné vlastnostem jednotlivých skupin dobře
porozumět.
Globální skupiny
Globální skupina může obsahovat uživatelské účty, účty počítačů či skupiny vytvořené ve Stejné doméně, ve které byla
vytvořena i ona. Globální skupině je možné, ačkoli to není ve většině případů doporučeno, udělovat oprávnění a práva k
prostředkům v jakékoli doméně lesa Active Directory (odtud v názvu slovo „globální"). Vlastnosti globálních skupin lze
shrnout v následujících bodech:
Členové
V doméně s úrovní funkčnosti Windows 2000 mixed může globální skupina obsahoval účty uživatelů, počítačů ze stejné
domény, jako je ona sama. V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může globální
skupina obsahoval Účty uživatelů, počítačů či globální skupiny, stále však ze stejné domény.
Skupina může být členem
V doméně s úrovní funkčnosti Windows 2000 mixed může být členem pouze místních doménových skupin. V doméně s
úrovní funkčnosti Windows 2000 native či Windows Server 2003 může být členem místních doménových a univerzálních
skupin z jakékoli domény lesa a členem globálních skupin ze stejné domény.
Rozsah skupiny
Globální skupina je „viditelná" ve vlastní doméně i ve všech důvěryhodných doménách (odtud název „globální"). Mezi
důvěryhodné domény samozřejmě patří všechny ostatní domény v lese Active Directory.
Oprávnění
Globální skupina může získávat oprávnění v jakékoli doméně lesa Active Directory.
Použití globálních skupin
Vzhledem k tomu, že globální skupiny jsou viditelné v jakékoli doméně lesa Active Di-directory nepoužívají se primárně pro
udělování přístupu k prostředkům ve své doméně. Jejich hlavním účelem je seskupení uživatelů s podobnými zájmy v
síti (tisk na stejné tiskárny, přístup do stejných složek apod.).
113
Místní doménové skupiny
Místní doménová skupina může obsahovat globální skupiny, univerzální skupiny, uživa-telské účty či účty počítačů z jakékoli
domény lesa Active Directory a jiné místní domé-nové skupiny z vlastní domény. Primárním účelem doménových skupin je
udělování oprávnění není a práv k prostředkům pouze v rámci vlastní domény.
Vlastnosti i místních doménových skupin lze shrnout v následujících bodech:
Členové
V dpméňě s úrovní funkčnosti Windows 2000 mixed může místní doménová skupina obsahovat účty uživatelů a globální skupiny z
jakékoli domény. Členské servery však v tom-to režimu nemohou místní doménové skupiny využívat. V doméně s úrovní
funkčnosti Windows 2000 native či Windows Server 2003 může místní doménová skupina obsahu vat účty uživatelů, globální
skupiny či univerzální skupiny z jakékoli domény v lese a místní doménové skupiny ze stejné domény.
V doméně úrovní funkčnosti Windows 2000 mixed nemůže být místní doménová skupina členem žádné jiné skupiny. V doméně
s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může být členem místních doménových skupin ze stejné
domény.
Rozsah skupiny
Místní doménová skupina je „viditelná" pouze v doméně, ve které byla vytvořena (odtud název „místní").
Oprávnění
Místní doménová skupina může získávat oprávnění pouze v doméně, ve které byla vytvořena.
Použití místních doménových skupin
Místní doménové skupiny jsou určené k udělování oprávnění přístupu k prostředkům, které se nacházejí ve stejné doméně.
Univerzální skupiny
Univerzální skupiny mohou obsahovat uživatelské účty, účty počítačů nebo skupiny z jakékoli domény lesa Active Directory.
Univerzálním skupinám se zabezpečením je možné udělovat oprávnění přístupu k prostředkům v jakékoli doméně lesa.
Vlastnosti univerzálních skupin lze shrnout v následujících bodech:
Členové
V doméně s úrovní funkčnosti Windows 2000 mixed nelze univerzální skupiny vytvářet.
V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může univerzální skupina obsahovat účty
uživatelů, globální skupiny či univerzální skupiny z jakékoli domény v lese.
V doméně s úrovní funkčnosti Windows 2000 native či Windows Server 2003 může být členem místních doménových skupin
a univerzálních skupin z jakékoli domény.
Rozsah skupiny
Univerzální skupina je „viditelná" v jakékoli doméně v lese.
Oprávnění
Univerzální skupina může získávat oprávnění v jakékoli doméně v lese Active Directory.
Použití univerzálních skupin
Univerzální skupiny slouží ke sloučení globálních skupin pro zjednodušení přístupu k prostředkům ve větších prostředích
s více doménami v rámci lesa Active Directory. Vzhledem k jednoduchosti našeho prostředí není nutné univerzální skupiny
používat, proto zatím ani není důvod měnit úroveň funkčnosti domény.
114
Doporučené strategie pro používání skupin
Možná máte nyní z toho celkového počtu a různých možností, která skupina může být kde členem a kde může získávat
oprávnění, trochu zmatek v hlavě. Typů a rozsahů skupin je opravdu celá řada, což by mohlo svádět k bezhlavému nasazování
různých typů skupin a k následnému většímu a většímu chaosu v doméně.
Proto je dobré nechat si poradit a seznámit se s doporučenými strategiemi pro používáni skupin. Tyto strategie jsou navržené tak,
aby co nejvíce usnadňovaly práci správcům, a aby přitom celá konfigurace zůstala přehledná a co možná nejjednodušší.
Označení
Pro účely vysvětlení strategií je nutné označit si dotčené objekty konkrétními písmeny. Je vhodné zůstat u původních označení
vycházejících z angličtiny z důvodu zachování kom-patíbility s ostatní odbornou literaturou. Jednotlivé objekty označíme
následovně:
A
uživatelské účty (user Accounts)
G
globální skupiny (Global groups)
DL
místní doménové skupiny (Domain Local groups)
U
univerzální skupiny (Universal groups)
P
oprávnění přístupu k prostředku (Permissions)
Doporučená strategie (nejčastější)
Tuto strategii lze jednoduše označit jako A G DL P. Znamená to, že účty uživatelů se sta-nou členy globální skupiny a místní
doménové skupině se udělí oprávnění přístupu k da-nému prostředku (např. složka souborů). Aby tedy měli uživatelé k tomuto
prostředku pflMup, zbývá jediný krok - globální skupinu vložit do místní doménové skupiny. Celý proces lze jednoduše
zobrazit takto:
A -> G -> DL <- P
Pro příklad uveďme aplikaci této strategie v prostředí naší domény studny.local.
Uživatelé obchodního oddělení potřebují přístup do složky Smlouvy (pro jednoduchost se budeme zabývat pouze
oprávněními NTFS). Budeme-li se držet zásady, že oprávnění by se neměla udělovat jednotlivým uživatelským účtům, ale
skupinám, vypadala by situ-ace následovně (účty obchodníků již existují):
•
•
•
•
•
Vytvoření globální skupiny se zabezpečením.
Vložení účtů obchodníků do této skupiny (seskupení uživatelů s podobnými zájmy).
Vytvoření místní doménové skupiny se zabezpečením.
U dělení oprávnění (například Změnit) místní doménové skupině.
Vložení globální skupiny do místní doménové skupiny.
Nyní se již mohou začít ozývat názory, že by bylo jednodušší to nakonfigurovat jinak, pří-padně že místní doménová skupina je v
celém tomto procesu zbytečná. Pojďme se poku sit 3 nejčastější názory vyvrátit.
Názor: Skupiny jsou zbytečné, uživatelským účtům udělím oprávnění přímo.
Jak bylo dříve uvedeno, tato strategie se dá uplatnit ve velmi malých prostředích, jejichž konfiguraci nosí správce v hlavě.
Neúnosnou se stane v okamžiku, kdy velikost prostřed-dí přesáhne možnosti paměti správce a chybí dokumentace. A pokud
dokumentace exis-tuje, začne být tento postup velmi pracný. Například ve vlastnostech složky může být na kartě zabezpečení
místo jediné položky (místní doménová skupina) uvedeno 5 účtů (počet členů obchodního oddělení).
Názor 2: Místní doménová skupina je zbytečná, udělím oprávnění přímo globální skupině.
Jedná se o možnost vynechání skupiny DL. Tuto strategii lze používat ve velmi malých prostředích, kde je nanejvýše jasné, že v
daném lese Active Directory nikdy nevznikne další doména.
Opačnou situaci lze uvést na příkladu: společnost Studny s.r.o. založí zahraniční pobočku a z hlediska domény Active Directory
pro ni vytvoří další doménu (například eu.stud-ny.local), která bude podřízenou doménou domény studny.local. Podobně jako
v doméně studny.local budou také v doméně eu.studny.local existovat účty obchodníků, kteří by rádi získali přístup do existující
složky Smlouvy. Pro ně by tedy bylo vhodné vytvořit v doméně eu.studny.local globální skupinu, které by se poté udělila
oprávnění přístupu ke složce Smlouvy. Znovu skončíme tím, že na kartě Zabezpečení ve vlastnostech složky Smlouvy bude více
položek, než v případě použití místní doménové skupiny.
115
Názor 3: Mám jediného uživatele, kterému potřebuji udělit oprávnění přístupu ke konkrétní složce. Vytvářet kvůli
tomu dvě další skupiny mi přijde jako obrovské zdržení.
Je pravda, že udělit oprávnění přístupu jedinému účtu trvá mnohem kratší dobu než vytvořit dvě skupiny, do globální vložit
uživatelský účet, globální skupinu vložit do místní doménové a té udělit oprávnění. Pokud však dojde jednoho dne k požadavku
udělit stejný přístup dalším osobám nebo dojde k instalaci další domény, budou mít správci plno práce s tím, aby celou
strukturu zjednodušili a zároveň během zjednodušování nenarušili práci dotčených uživatelů. Jinými slovy - aplikace strategie A
-> G -> DL <-P je v porovnání s názorem o něco pracnější, nicméně tato strategie je jednoduše škálovatelná a investice se vrátí
během růstu prostředí.
Ostatní strategie
Strategie AGP
Tato strategie odpovídá výše uvedenému názoru 2. Strategii A -> G <- P je tedy vhodné použít pouze ve velmi malých
prostředích a pouze za předpokladu, že nikdy nebude v lese Active Directory více než jedna doména. V opačném případě se
správce, který tuto strategii nasadil, žene do záhuby.
Strategie AGUDLP
V této strategii přichází vůbec poprvé do hry univerzální skupina. Univerzální skupiny vypadají na první pohled velmi použitelně,
neboť mají výhody a nemají nevýhody místních doménových i globálních skupin. Obecně přispívají ke zjednodušení prostředí,
tedy k větší přehlednosti.
Prostředí s jedinou doménou Active Directory však nikdy není tak nepřehledné (při dodržení strategie A G DL P), aby bylo nutné
univerzální skupiny nasadit. Univerzální skupiny se tedy nasazují v prostředích, která sestávají z více domén Active Directory.
Oproti místním doménovým i globálním skupinám se však univerzální skupiny liší v jed-né důležité věci, kterou je místo, na
němž je uložená informace o tom, kdo je v dané skupině členem. Zatímco u obou předchozích typů skupin je členství uloženo
na všech řa-dičích domény, ve které jsou skupiny vytvořené, členství univerzální skupiny je uloženo na serverech globálního
katalogu v celém lese Active Directory.
Pokud se změní členství například v místní doménové skupině, dojde k replikaci této in-formace mezi všemi řadiči domény v
rámci domény. Pokud dojde ke změně členství v univerzální skupině, dojde k replikaci této informace nikoli mezi řadiči
domény, ale mezi servery globálního katalogu, které se mohou nacházet (a je to tak i doporučeno) v každé doméně. Svým
zásahem tedy můžete ovlivnit zatížení linek v doméně, kterou vy-učívá třeba vaše mateřská společnost.
Univerzální skupiny se právě z tohoto důvodu používají velmi málo, a to pouze v případech, kdy je skutečně nutné celé prostředí
zjednodušit a zprůhlednit. V našem prostředí jedné domény tedy s univerzálními skupinami rozhodně pracovat nebudeme.
Poznámka
V doméně Active Directory se systémy Windows 2000 Server se mezi servery globálního katalogu replikovaly při změně členství
univerzální skupiny všechny položky členství. I při Jediné změně se tak mohlo replikovat velké množství informací. V doméně
Active Directory se systémy Windows Server 2003 se replikují pouze změněné informace. I tak je dobrým zvykem udržet
členství v univerzálních skupinách co nejvíce neměnné.
Strategie A C L P (L = místní skupina)
Tato strategie byla doporučena v doménách se systémem Windows NT 4.0 Server. V těch-to doménách totiž neexistovaly místní
doménové skupiny. Nevýhody tohoto řešení v sou-časné doméně Active Directory jsou zřejmé. Místní skupiny nelze spravovat
centrálně, což může způsobit značné potíže v případě, kdy jich budete používat velké množství. Další nevýhodou je
nemožnost použít místní skupinu pro přístup k prostředkům v jiném počítači. Pokud byste například měli v jednom počítači
vytvořenu místní skupinu pro přístup do složky Smlouvy a v druhém počítači měli další složku obchodního oddělení, musíte
vytvořit další místní skupinu a udělit jí oprávnění. V porovnání se strategií A G DL P, kde další skupinu vytvářet nemusíte, se tak
jedná o práci navíc.
116
Správa skupin
Za předpokladu, že se nadále budeme v našem prostředí řídit doporučenou strategii A-> G -> DL <- P, se začíná rýsovat
struktura skupin. Ještě není jasné, kolik místních do-ménových skupin bude nutné vytvořit, neboť to závisí na počtu sdílených
složek, tiská-ren požadavků na různé úrovně přístupu atd. Téměř jistý by však měl být počet globálních skupin. Vzhledem k
tomu, že jejich primární účel je seskupení uživatelů s podobnými zájmy, dá se předpokládat, že jako základ bude existovat
jedna globální skupina pro každdělení:
1. Vedení
2. Obchodní oddělení
3. Marketing
4. Sklad
5. IT
6. Brigádnici
Přesto, že předpokládáme, že ve společnosti bude působit najednou nejvýše jeden brigádník, vytvoříme globální skupinu pro
brigádníky, abychom dostáli doporučené strategii. Předpoklad, že brigádník bude vždy pouze jediný, platí nyní s výhledem
například na půl roku dopředu, ale poté se situace může změnit a my na ni budeme dopředu připraveni.
Názvy skupin
Názvy skupin v doméně Active Directory by měly být dostatečně popisné, konzistentní a jednoduché. Ačkoli mohou jít
některé z těchto požadavků proti sobě, lze dostát všem třem. Názvy skupin tvořte podle následujících pravidel:
1. Jako první písmeno názvu skupiny použijte označení pro její rozsah (G, D nebo U) Rozsah skupiny je
sice v doméně Active Directory, přesněji v nástroji Uživatelé a počítače služby Active Directory vidět, pro jednodušší
správu je však vhodné označit rozsah skupiny v názvu.
2. V názvu globální skupiny uveďte název oddělení (skupiny uživatelů), prokteré (kterou) skupinu vytváříte
Například Obchod, Marketing, Sklad, Vedení
apod.
3. V názvu místní doménové skupiny uvedte účel skupiny, případně maximální oprávnění Protože se místní
doménové skupiny používají k udělování opráv
nění přístupu k různým prostředkům, je třeba tuto skutečnost pro lepší orientaci zohlednit v názvu skupiny.
Jako příklad názvu místní doménové skupiny, které se bude udělovat oprávnění k tisku na tiskárny, lze uvést D Tiskárny
Tisk. Příkladem názvu globální skupiny pro brigádníky je G Brigádníci. Příkladem názvu místní doménové skupiny pro
zajištění Úplného řízení jakékoli složky skupině správců je D Admins Úplné řízení. V doméně Active Directory nejsou žádné
potíže s názvy obsahujícími interpunkční znaménka.
Poznámka
Konkrétní konfiguraci skupin včetně názvů naleznete v kapitole 12, „Vytváříme firemní knihovnu dokumentů".
Správa členství
Členství v doménových skupinách může ve výchozím nastavení domény měnit pouze člen skupiny Domain Admins. Jedná se
o vestavěnou skupinu s nejvyššími oprávněními ve své doméně. Pokud se doménové prostředí vyvíjí a dosáhne velikost
několika set uživatelů, je dosti pravděpodobné, že správci domény již budou mít dostatek zkušeností, a správu členství ve
skupinách budou považovat za běžnou úlohu, kterou by mohl zvládnout i někdo méně zkušený.
Doména Active Directory umožňuje takovou myšlenku převést poměrně jednoduše do praxe. Z „politického" hlediska je však
nutné dodat, že v již „rozjeté" a fungující síti se hledají argumenty na předání takové práce někomu jinému velmi těžko. Možná
by tak bylo vhodnější dobře naplánovat správu skupin a tuto činnost předat těm správným osobám ihned při konfiguraci
domény.
117
Členství ve skupinách a ověření uživatelů
Při vytváření uživatelského účtu v doméně dojde automaticky k jeho zařazení do skupi n.y Domain Users. Jedná se o takzvanou
primární skupinu, a začlenění každého uživatel ského účtu do ní provádí automaticky operační systém. V prostředích, ve
kterých se nevyskytují jiné operační systémy než Windows, není důvod primární skupinu měnit. Tatéž nelze uživatele z
primární skupiny odebrat.
Poznámka
Primární skupinou pro účty počítačů je skupina Domain Computers.
Uživatelský účet (účet počítače) může být členem kterékoli skupiny. Protože se skupiny nerozdělují podle typu svých členů,
může být členem stejné skupiny jak uživatelský účet, tak i účet počítače (viz například systémové skupiny Everyone a
Authenticated Users).
Správa doménových skupin, tedy manipulace se členy a konfigurace jejich vlastností, spa-dá do správy členů skupiny Domain
Admins. Tato skupina má obecně odpovědnost za s p r á v u celého doménového prostředí vyjma konfigurací, které mohou
například ovlivnit i počítače z jiné domény stejného lesa Active Directory (například vytváření sítí apod.).
Správci domény by tedy měli mimo jiné odpovídat za vytváření a tvorbu přístupové strategie. skupin. Samotné členství
jednotlivých uživatelů ve skupinách potom může být z po-hledu správce domény záležitostí, která spadá spíše do oblasti
poloautomatické práce po-dle přesně zadaných nařízení jednotlivých oddělení (lidských zdrojů, obchodního). Proč tedy nesvěřit
správu členství ve skupině některému z uživatelů konkrétního oddělení, jenž by tak za členství plně odpovídal? Proč hnát
sebemenší požadavek (v případě změny členství skupiny i velmi jednoduchý) až na nejvyšší mety oddělení IT? V tomto ohledu
nám doména Active Directory se systémem Windows Server 2003 velmi nahrává, neboť umožňuje systémový krok, kterým je
předání správy členství konkrétnímu uživateli, velmi jednoduše provést.
Konfigurace správy členství doménové skupiny
1.
Přihlaste se k počítači SRVR001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. Zobrazte
vlastnosti libovolné doménové skupiny (nezáleží ani na typu, ani na rozsahu skupiny) a klepněte na kartu Správce objektu.
2.
Po klepnutí na tlačítko Změnit můžete zadat či vybrat uživatele (nikoli skupinu uživatelů), který bude za skupinu
odpovídat. Pokud má uživatel vyplněné atributy Ulice, Město, PSČ apod., obrazí se poté tyto v konkrétních polích. Nyní
je ve vlastnostech skupiny pouze informace o tom, kdo je správcem skupi ny, ale tento uživatel stále nemá potřebná
oprávnění.
Pokud chcete uživateli umožňovat konfigurovat členství skupiny, zaškrtněte polic ko Nadřízený může aktualizovat
seznam členství.
Klepnutím na tlačítko OK zavřete dialogové okno vlastností skupiny.
3.
4.
U doménových skupin v doméně Active Directory se systémem Windows 2000 políčko Nadřízený může aktualizovat
seznam členství není. Již dříve jsme ale uvedli, že v doméňe mohou vedle sebe existovat řadiče domény se systémem Windows Server 2003 i Windows 2000. Je tedy jisté, že tato
informace musí na řadiči domény se systémem Windows 2000 být uložena. Opravdu tam je.
Obrázek 11.3
Konfigurace správce skupiny s možností změny členství
Pokud udělíte uživateli možnost manipulovat se členstvím, udělujete prakticky oprávnění Zapisovat Členové v doméně Active
Directory. Tato oprávnění lze definovat také přímo na kartě Zabezpečení v dialogovém okně vlastností skupiny a tato karta je k
dispozici v obou doménách. Rozdíl mezi systémy je pouze v tom, že systém Windows Server 2003 obsahuje pro toto oprávnění
118
navíc položku v grafickém uživatelském rozhraní.
Udělené oprávnění nyní ověřte (pokud jste výše uvedený postup vyzkoušeli):
1. Přihlaste se k počítači SRVR001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory. Zobrazte
vlastnosti příslušné doménové skupiny a klepněte na kartu Zabezpečení. Zobrazí se seznam řízení přístupu.
2. Klepněte na tlačítko Upřesnit, poté v části Oprávnění dialogového okna Upřesnit nastavení zabezpečení klepněte na
uživatelský účet správce skupiny a dále klepněte na tlačítko Upravit.
3. Zobrazí se dialogové okno Položka oprávnění pro, ve kterém bude ve sloupci Povolit zaškrtnuté políčko Zapisovat
Členové.
Poznámka
Pokud přímo v dialogovém okně Položka oprávnění pro oprávnění odeberete a poté klepnutím na tlačítko OK postupně
zavřete všechna dialogová okna, automaticky se zruší zaškrtnutí políčka. Nadřízený může aktualizovat seznam členství.
Vliv změny členství ve skupině na práci uživatele
Uživatel může získávat oprávnění přístupu k prostředkům buď přímo (udělením oprávnění jeho uživatelskému účtu) nebo
prostřednictvím členství ve skupině (udělení oprávnění skupině). První případ není systémovým řešením a správci by jej měli
používat pouze v ojedinělých případech. Udělování oprávnění skupinám vede ke zjednodušení správy a přehlednějšímu
prostředí. Nyní předpokládejme, že pro obchodní oddělení vytvoříme globální doménovou skupi-nu s názvem G Obchod.
Mezitím se již přihlásil ke svému počítači uživatel Obchod1, kterého po vytvoření do skupiny přidáme. Důležité je zdůraznit, že k
jeho přidání do sku piny došlo až po jeho přihlášení. V dalším kroku udělíme skupině G Obchod oprávnění přístupu (například
Číst a Zapisovat) do nově vytvořené složky s důležitými dokumenty obchodního oddělení.
Poznámka
Jedná se o strategii A -> G <- P, která není zcela optimální (viz informace dříve v této kapitole), pro další vysvětlení však plně
postačuje.
Poté, co uživatelům oznámíte, že jste vytvořili novou složku a udělili do ní přístup sku-pině obchodníků, uživatel Obchod1 jistě
ihned tento přístup vyzkouší. Podaří se mu do složky nahlédnout a pracovat s dokumenty?
Ačkoli se může na první pohled zdát, že uživateli Obchod1 v přístupu do složky nic ne-brání ( j e členem skupiny, která má
udělena potřebná oprávnění), do složky se tento uži-vatel nedostane. Při pokusu o přístup se mu zobrazí zpráva o odepření
přístupu.
Jak je to možné? Pro vysvětlení se musíme podívat na proces, ke kterému dochází při při-hlaśování uživatelů do domény.
Proces přihlášení uživatele
Při přihašování uživatele k počítači se vytváří takzvaný přístupový token. Jedná se o in-terní strukturu operačního systému,
která se tvoří následujícím způsobem:
1. Řadič domény, který přihlašování ověřuje, dodá první část - přihlašovací jméno uživatele a jeho příslušný kód SID.
2. Poté se do přístupového tokenu zapíše seznam skupin, v nichž je přihlášený uživatelský účet členem. Seznam
globálních a místních doménových skupin, ve kterých je účet členem, dodá řadič domény, seznam univerzálních
skupin dodá server globálního katalogu.
3. Třetí část přístupového tokenu tvoří seznam práv uživatelského účtu v doméně (příkladem takového práva je změnit
systémový čas). Seznam poskytne řadič domény.
Poznámka
Doména Active Directory pouze se systémy Windows 2000 může mít dva režimy -smíšený a nativní. V nativním režimu je
pro dokončení vytvoření přístupového tokenu důležitý server globálního katalogu. Pokud není tento server k dispozici,
nedojde k vytvoření přístupového tokenu a uživatel se nepřihlásí. Pokud však již byl na daném počítači dříve přihlášen,
přihlašovací proces se dokončí, ale použijí se k němu informace z mezipaměti (pokud není přihlášení z mezipaměti v doméně
zakázáno).
Vraťme se nyní k uživateli Obchod1. Při jeho přístupu k zabezpečené složce si lze pří-stupový token představit jako vstupenku. Jeho
obsah se porovná se seznamem řízení při stupu a pokud se budou údaje shodovat, bude přístup povolen. V opačném případě bude
přístup odpřen.
Uživatel Obchod1se přihlásil do domény dříve, než jsme vytvořili novou skupinu, které jsme udělili oprávnění přístupu. Na
přístupovém tokenu byste tedy informace o člen ství v této nové skupině hledali zbytečně. Poté při jeho porovnání se seznamem
řízení přístupu ke složce systém přístup odepře.
Jaké je řešení? Jednodušší, než se zdá. Uživatel se musí odhlásit a znovu přihlásit. Rozhodně není nutné jeho počítač restartovat.
Při dalším přihlášení bude nová skupina uvedena v přístupovém tokenu a vše začne pracovat podle předpokladů. Existuje však
ještě jedna možnost. Sice nesystémová, ale je. Totiž udělit přístup přímo uživatelskému účtu. Ten je na přístupovém tokenu
uveden vždy (token jím přímo začíná), takže uživatel by v takovém případě získal přístup okamžitě.
Pokud jste nyní správně pochopili proces vytváření přístupového tokenu, budete mít nadále jednodušší práci se sdílenými
složkami a přístupy uživatelů. Někdo sice může namítnout, že případy, kdy je nutné okamžitě udělit přihlášeným uživatelům
přístup k nově vytvořené složce, ke které jsou udělena oprávnění pouze skupinám, nepotřebuje podrobně znát, neboť takové
případy se jednoduše v jeho síti nevyskytují. Ano, možná, že to tak je. Vezměte si ale opačný případ, kdy uživatelé běžně přistupují
119
k obsahu sdílené složky a je nutné jim tento přístup okamžitě odebrat a zajistit, aby se k prostředkům opravdu nedostali.
Možná, že se jedná o častější případy než povolování přístupu.
Pokud chcete uživateli, který získal přístup k obsahu sdílené složky jako člen některé skupiny se zabezpečením, tento přístup
odebrat, máte dvě možnosti:
1. Odepření přístupu
2. Odebrání uživatele ze skupiny
Obě možnosti mají své výhody a nevýhody, na které se nyní podíváme.
Odepření přístupu
Odepření přístupu je v systému záležitostí velmi silnou. Když se při přístupu uživatele k obsahu složky či k souboru
vyhodnocuje, zda má či nemá přístup, procházejí se v seznamu přístupu nejprve položky s odepřeným přístupem. Pokud je
taková položka nalezena, prohledávání končí a uživatel se k potřebným informacím nedostane. A to přesto, že může existovat
další položka, která mu oprávnění přístupu uděluje.
Jednoduše řečeno - jakékoli odepření má přednost před všemi možnými povoleními. Uživatel má tedy přístup k obsahu složky
nebo k souboru pouze v případě, že jej má udělen a zároveň jej nemá odepřen.
Na kartě Zabezpečení v dialogovém okně vlastností složky či souboru existuje v části Oprávnění pro také sloupeček Odepřít.
Pokud bude tedy uživatel Obchod! členem některé skupiny, jež má buď přímo (A->G <- P) nebo zprostředkovaně (A-> G > DL -> P) udělen přístup, bude mít přístup také on. Pokud však na kartě Zabezpečení přidáte jeho účet do seznamu řízení
přístupu a zaškrtnete políčko Úplné řízení ve sloupci Odepřít, uživatel Obchod1 okamžitě o přístup přijde.
Výhodou tohoto postupu je okamžité vyřešení požadavku omezení přístupu bez nutnos-li provádět další kroky na straně
uživatele. Nevýhoda je podobná jako u udělování přístupu přímo uživatelským účtům - správci postupně ztrácejí přehled v
prostředí a jeho správa začíná být složitější.
Poznámka
Jediným případem pro konfiguraci odepření přístupu k obsahu složky či dokumentu Je nutnost odepřít přístup jedinému
uživateli, který je zároveň členem skupiny, jenž má přístup povolen. Pokud se setkáte s jiným použitím sloupce Odepřít,
vypovídá to zcela jisté o chybě či neznalosti správců týkající se oprávnění NTFS.
Jedna rada na konec. V drtivé většině případů se odepírá přístup zaškrtnutím políčka Odepřít u položky Úplné řízení.
Odebrání uživatele ze skupiny
Odebrání uživatele ze skupiny si můžete dovolit v případě, kdy jako člen této skupiny nemá přístup k dalším prostředkům
systému, které potřebuje i nadále. Pro jednoduchost si uveďme příklad.
Všichni obchodníci budou seskupeni do globální skupiny se zabezpečením s názvem Obchod. Tato skupina získá svým
členstvím v místní doménové skupině XXX přístup ke složce se smlouvami a členstvím v místní doménové skupině YYY
oprávnění k tisku na barevné tiskárně.
Jednoho dne se vedoucí obchodního oddělení rozhodne okamžitě rozvázat pracovní po-měr s jedním ze svých podřízených.
Bude vyžadovat, aby tento zaměstnanec okamžitě přišel o přístup ke smlouvám, ale zároveň bude chtít, aby mu vytiskl
například přehledy o své práci za uplynulý týden. Požádá vás jako správce o zajištění.
Pokud v takové situaci odeberete uživatele Obchod1 ze skupiny Obchod a tento uživa-tel se následně odhlásí a znovu přihlásí
k počítači, nebude mít přístup ke smlouvám, ale ani nebude moci tisknout. Zřejmě se tedy nejedná o optimální řešení a o
odebrání uživatele ze skupiny může být řeč pouze v případě, kdy je nutné odebrat veškeré přístupy týkající se dané skupiny.
Pokud tento postup shledáte jako optimální, je nutné mít na paměti, že i po odebrání uži-vatel ze skupiny zůstávají informace o
skupině v jeho přístupovém tokenu, který se změní až při dalším přihlášení uživatele.
Pokud tedy chcete mít jistotu, že uživatel přijde okamžitě o oprávnění k danému prostřed ku, zatímco k ostatním mu oprávnění
přístupu zůstane, a nemáte možnost přímo ovlivnit a ověřit jeho odhlášení, je nutné použít metodu Odepření přístupu (viz výše).
Závěr
Oprávnéní NTFS je třeba udělovat skupinám namísto uživatelským účtům. Prostředí sítě se tak zprůhlední a jeho správa bude
jednodušší.
V prostředí domény existují dva typy skupin: se zabezpečením a distribuční. Skupinám se zabezpečením lze udělovat
oprávnění přístupu, případně je lze využít pro distribuci e-mailových zpráv (pomocí dalších produktů). Distribuční skupiny jsou
určené výhradně k distribuci e-mailových zpráv.
120
co členství v globálních a místních doménových skupinách se udržuje na řadičích domény, ve kterých skupiny existují, členství
v univerzálních skupinách se udržuje výhradně na všech serverech globálního katalogu v celém lese Active Directory.
Skupiny mohou být členy dalších skupin, přesné možnosti však záleží na takzvané úrovni funkčnosti domény.
Při udělování oprávnění je třeba dodržovat doporučené strategie, neboť pouze tak lze udržet v tomto procesu přehled i ve
velmi velkých sítích. Nejčastější strategií je A -> G -> DL <- P.
Správu skupin může standardně provádět pouze správce domény a člen skupiny Account Operators. Explicitně lze však
nakonfigurovat uživatele (Správce objektu), který bude mít právo měnit členství konkrétní skupiny. V systému Windows Server
2003 je pro toto nastavení k dispozici políčko v dialogovém okně vlastností skupiny, v systému Windows 2000 Server je nutné
tuto možnost nakonfigurovat na kartě Zabezpečení.
Přístup založený na členství uživatele v dané skupině se projeví až po prvním přihlášení po přidání uživatele do skupiny. Tento
proces souvisí s vytvářením přístupového tokenu, který obsahuje název a kód SID uživatelského účtu, seznam skupin, v nichž je
uživatel členem a seznam práv v doméně (případně v místním počítači). Pokud se přístupový to-ken během přihlašovacího
procesu nevytvoří, přihlášení uživatele k počítači se nedokončí. Vzhledem k tomu, že přístupový token musí obsahovat
všechny skupiny, ve kterých je uživatel členem, může se v případech, kdy je uživatel členem několika desítek skupin, stát, že
přihlášení uživatele bude nějakou chvilku trvat. Proto je vhodné členství ve skupinách dobře plánovat a využívat členství skupin
v jiných skupinách.
Pokud chcete okamžitě odepřít přístup uživateli, který jej získal zprostředkovaně jako člen skupiny uvedené na seznamu řízení
přístupu, je nejjednodušší a nejrychlejší cestou odepření přístupu konkrétnímu uživatelskému účtu.
Pokud chcete uživatelům udělovat oprávnění či práva, která již v systému jsou definovaná pro konkrétní skupiny (například
zálohování může provádět skupina Backup Operators), přidejte uživatele do takové konkrétní skupiny. Uživatelům nikdy
neudělujte oprávnění, která nepotřebují a o veškerých oprávněních veďte dokumentaci.
Stav sítě
V naší síti nedošlo v této kapitole k žádným změnám. Za účelem ověření konkrétních postupů jste možná vytvořili některé nové
objekty (skupiny), jež můžete nyní odstranit.
121
Vytváříme firemní knihovnu
dokumentů
Každá organizace se vyvíjí a s vývojem dochází ke shromažďování informací. Obchodníci například shromažďují smlouvy s
partnery, vystavené faktury či záznamy o zápůjčkách vzorků zákazníkům, členové veďení shromažďují smlouvy společnosti či
zápisy ze zasedání, skladníci zase dodací listy a tak dále. Jedná se o přirozený proces, kte-rý by ale měl dříve či později dostat
řáď.
Jistě by bylo velmi vhodné uchovávat všechny důležité do-kumenty v elektronické podobě. I když to není vžďy sto-procentně
možné, existují dokumenty, které je v této for-mě možné ukláďat; někďy je to i nutné. Místu, kam se ukládají dokumenty v
elektronické podobě, říkejme elek-tronické úložiště. Elektronické úložiště může mít různé formy. Nejde pouze
o to někam dokumenty ukládat. Velmi časté jsou požadavky na vyhleďávání, za kterými musí stát jednak přehledná struktura a
jednak nástroje pro vyhleďávání. Velmi častým místem pro dokumenty jsou obecné databáze, veřejné složky na serverech
Microsoft Exchange nebo lze využít i nástroj, který je schopen pro správu dokumentů poskytni ml i uživatelské rozhraní Microsoft SharePoint Portál Server.
Misi o, kam se budou dokumenty ukládat, se podobně jako ostatní věci vyvíjí. Ne každá organizace si může dovol i t hned na
začátku své činnosti investovat peníze do tech-nologií pro práci s dokumenty, když ještě téměř žádné dokumenty nemá, některá zase
vystačí s tím nejjednodušším řešením, neboť nemá jiné informační systémy, které by s těmito technologiemi uměly
spolupracovat. Protože většina organizací využije na začátku své činnosti pro ukládání dokumentů ten nejjednodušší způsob běžné složky v systému souborů, podíváme se na toto řešení v této kapitole podrobněji a celé jej kompletně připravíme.
Při práci s dokumenty je dobré vždy pamatovat na to, že obsahují informace, jejichž hodnota může být velmi vysoká. Je třeba je
tedy dobře „uskladnit", přístup k informacím povolit pouze těm, kteří je potřebují, a pokusit se zajistit informace proti odcizení
a ztrátě při poruše softwaru či hardwaru.
Jak navrhnout strukturu
Struktura elektronického úložiště je velmi důležitou záležitostí. Je nutné ji navrhnout tak, aby odrážela následující požadavky:
• Jednoduchost Elektronické úložiště musí jít jednoduše vytvořit a z pohledu uživatelů musí být jednoduše použitelné.
• Přehlednost Úložiště musí být přehledné jak pro správce, tak pro uživatele. Na první pohled by měl uživatel
rozpoznat, jaký typ informací se v jaké části úložiště nalézá.
• Bezpečnost Kdykoli se může objevit požadavek na zabezpečení obsahu konkrétní části úložiště. Na tento stav je
třeba myslet při zvažování možností operačního systému či dalšího produktu.
• Hierarchická struktura Úložiště by mělo být přizpůsobeno pro vytváření a rozšiřování hierarchické struktury, neboť se
dá předpokládat její využití.
• Škálovatelnost Správci musí být schopni přizpůsobovat úložiště chodu organizace včetně růstu objemu dokumentů,
nových činností organizace či jejího země pisného rozšiřování.
• Zálohování Ačkoli tento pojem souvisí se slovem „Bezpečnost", je velmi vhodné jej zdůraznit samostatně, aby
nezůstalo přehlédnuto. Při návrhu je nutné zvážit, zda bude možné navrženou strukturu jednoduše zálohovat jak celou
najednou, tak i její části.
Při návrhu elektronického úložiště je dále velmi důležité nezapomenout na uživatele, pro které to vlastně vše připravujete. Je
velmi špatné navrhnout strukturu během velmi krátké doby, vytvořit ji a nakonfigurovat a po týdnu práce zjistit, že uživatelům
taková struktura nevyhovuje a žádají její přepracování. Nejen že v takovou chvíli budete velmi těžko hledat alternativní řešení,
ale ještě budete nuceni provést vše tak, abyste uživatele neomezili.
Naše firma
Na tomto místě by bylo vhodné připomenout strukturu naší firmy, která by měla výsledné úložiště používat.
Společnost bude mít 3 členy vedení, 5 zaměstnanců v obchodním oddělení, 3 zaměstnance v oddělení marketingu, 3 zaměstnance
ve skladu a jednoho správce domény. Čas od času se bude ve firmě vyskytovat brigádník, což může být pokaždé jiná osoba,
vždy bude ale provádět přibližně stejnou práci.
Pracovní doba společnosti bude Po-Pá 8.00-16.00 hodin, sklad bude v provozu nonstop.
122
Technologické řešení úložiště
Vzhledem k absenci produktů primárně zaměřených na práci s dokumenty zvolíme nejjednodušší cestu - uložení dokumentů ve
složkách systému souborů. Pojďme se podívat j a k bude toto řešení vyhovovat požadavkům uvedeným výše:
• Jednoduchost Vytvoření složky je pro správce velmi jednoduchou záležitostí, uživatelé budou mít k těmto složkám
přístupy v síti pomocí cest UNC (\\server\složka\podsložka), případně je budou mít připojené jako jednotky.
• Přehlednost Názvy složek budou odpovídat názvům oddělení, případně typum uložených dokumentů.
• Bezpečnost Složky bude nutné umístit na jednotku zformátovanou systémem souborů NTFS. Pouze tak lze zajistit
jejich zabezpečení proti přístupu neoprávněných uživatelů.
• Hierarchická struktura Pokud by jedna ze složek nejvyšší úrovně měla například název Obchod, potom by mohly
existovat například podřízené složky Šablony dokumentů, Smlouvy nebo Faktury. Prostor pro hierarchickou strukturu
tady tedy rozhodně je, navíc by bylo případně možné nakonfigurovat oprávnění přístupu tak, aby si tuto hierarchii
mohli vytvářet sami uživatelé jednotlivých oddělení.
• Škálovatelnost Počet složek na disku zformátovaném systémem NTFS je sice omezen, ale tak velkým číslem, které
stejně v naší organizaci nebude možné do sáhnout.
• Zálohování Zálohování systému souborů je možné řešit standardním systémovým nástrojem a lze využít všech jeho
možností pro razné typy záloh nebo jenom pro zálohování určitých částí. Veškeré úlohy zálohování je možné spouštět
pravidelně automaticky.
Je vidět, že i tak jednoduché řešení, kterým umístění v běžných složkách je, pokryje dostatečně veškeré požadavky na ukládání
dokumentů. Nejdůležitějším krokem nyní bude navrhnout škálovatelnou strukturu.
Struktura úložiště
Při vytváření struktury hierarchického úložiště je nejdůležitějším krokem vytvoření nejvyš-ší úrovně. Jaké jsou možnosti?
Podle typu souborů
Složky v nejvyšší úrovni by obsahovaly různé typy souborů - například Smlouvy, Faktury, Zápisy ze zasedání, Dodací listy atd.
Případné složky v drahé úrovni by byly pojme-novány podle oddělení.
Výhodou tohoto řešení je jednoznačné rozdělení dokumentů a seskupení podobných do-kumentu. Nevýhodou je špatná možnost
konfigurace zabezpečení přístupu, neboť v takovém případě by nebylo možné využívat například procesu dědičnosti.
Podle zeměpisného rozložení
V nejvyšší úrovni by podle tohoto návrhu existovaly složky s názvem místa pobočky či centrály organizace (například PLZEŇ,
BRNO, OSTRAVA).
Výhodou takového řešení je jednodušší orientace pracovníků na jednotlivých pobočkách. Nevýhodou je však složitější správa.
Navíc, pokud je síť organizace správně nakonfigurovaná, uživatelé by téměř neměli poznat, na jaké pobočce právě pracují. Vše by
z jakéhokoli místa mělo vypadat stejně. Potom se toto řešení zdá zbytečně složité.
Podle organizační struktury
Názvy složek v nejvyšší úrovni by měly podle tohoto způsobu odpovídat názvům jednotlivých oddělení či dalších složek
organizace.
Výhodou takového řešení je obrovská škálovatelnost, jednoduchost pro uživatele a možnost využívat vlastností operačního
systému při zabezpečení přístupu.
Nevýhodou je velmi složitá restrukturalizace pro případ, že by toto řešení přestalo uživatelům organizace vyhovovat.
Kdo by se měl na návrhu podílet?
Z pohledu správce infrastruktury IT je důležité, aby se podílel na návrhu struktury elektronického úložiště. Je to právě on, kdo
bude výslednou strukturu konfigurovat, zabezpečovat, spravovat a rozšiřovat. Samozřejmě že by si své měli říci i vedoucí
jednotlivých oddělení, pro které je práce s informacemi denním chlebem.
Rozhodně se tedy jako správci účastněte podobných jednání o návrzích struktur. Je na vás, abyste rozhodli, který z návrhů
bude jednodušší - zálohovat, zabezpečovat nebo jenom rozšiřovat.
123
Výsledná navržená struktura
Nejjednodušším řešením bude pro naši společnost STUDNY úložiště kopírující organizační strukturu. Jeho výhody již byly
vysvětleny výše.
Struktura nejvyšší úrovně by tedy mohla být následující:
• Vedení
• Obchod
• Marketing
• Sklad
• IT
• Ostatní
Aby příslušní uživatelé měli přístup k dokumentům z uvedených složek, musí se složky sdílet. Pokud bude v první úrovni celkem
šest složek, bude nutné nakonfigurovat šest sdílení. S tím dále souvisí šestkrát definovaná oprávnění ke sdílení či případná
šestinásobná změna oprávnění v budoucnu (pokud se bude jednat o změnu ovlivňující všechny složky). Obecně řešeno — co se
sdílení týká, bude nutné vše konfigurovat a spravovat šestkrát. Navržený model je tedy z pohledu použitelný, nicméně konfigurovat
tolik sdílení je zbytečné. A to jsme se ještě nedotkli pocitu uživatelů, kteří pokud zadají v okně aplikace Průzkumník Windows
cestu WSRVR001, uvidí vedle sebe několik sdílených složek.
Existuje jednodušší možnost? Ano, existuje. Uvedené složky nebudou v první úrovni, ale až ve druhé. V první úrovni bude
jediná složka s dostatečně popisným názvem. Přestože lze definovat název pro sdílení odlišný od názvu složky, doporučuji v
tomto případě zachovat v rámci přehlednosti pro správce (uživatelé název složky stejně neuvidí) jednotnost. Navržená
struktura by tedy mohla vypadat například takto:
• Dokumenty
• Vedení
• Obchod
• Marketing
• Sklad
• IT
• Ostatní
Jednoduchost takového návrhu je v tom, že sdílet se bude pouze složka Dokumenty. Pod-složky už budou poté uživatelům k
dispozici automaticky. Pokud tak uživatel zadá cestu \\SRVROOl\Dokumenty, zobrazí se v okně aplikace Průzkumník Windows
jediná sdílená složka namísto předchozích šesti.
Pozor!
Na tomto místě je nutné připomenout, že každé prostředí se vyvíjí a týká se to i počtu sdílených složek. Je tedy velmi důležité
rozhodnout o strategii sdílení ihned na začátku, neboť jak složky později přibývají, je problém situaci konsolidovat. Pokud k
rozumnému a hlavně systémovému rozhodnutí nedojde včas (ať již z důvodů zaneprázdněnosti, neznalosti, nedostatku nápadů či
jiného), můžete se později setkat například s tisíci sdílenými složkami (každý uživatel má svou složku pro vlastní dokumenty). Jistě
si dovedete představit, kolik zbytečné práce musí poté správce provést, pokud vytváří nového uživatele a chce pro něj
definovat a zabezpečit sdílenou složku, do které si bude uživatel ukládat své dokumenty. Navíc, takový správce se poté ještě obává
spustit konzolu pro vytváření sdílených složek nebo jen jednoduše zadat cestu \\server, neboť se „bojí" počtu sdílených složek,
které se zobrazí. A to ještě nebyla řeč o případném přesunu takových složek na jiný server (informace o tom, že je složka sdílená a
oprávnění jsou uložena v registru).
Pokud se do takové situace správce dostane (převezme například práci po méně vzděla-ném kolegovi), nezbývá mu v rámci
přehlednosti nic jiného, než některé sdílené složky ukrýt.
Skryté sdílení
P o k u d b u d e t e m í t n a s e r v e r u v e l k é m n o ž s t v í s d í l e n ý c h s l o ž e k a z a č n e t e v n ě m z t r á c e l p ř e h l e d , může pro vás být řešením
takzvané skryté sdílení. Jedná se o běžné sdílení kon-krétní slo ž k y , k t e r é v ša k p o z a d á n í c e sty \ \ s e r v e r n e b u d e v i d ě t.
Duvodem pro skrytí sdílení ale nemusí být jen velký počet složek. Někteří správci soubo-r o v ý c h s e r v e r ů ( v p o sle d n í d o b ě b y se
d a l o ř í c i i „ f i l m o v ý c h " č i „ h u d e b n í c h " se r v e r ů ) c h tě jí, aby byl obsah některých sdílených složek k dispozici jejich kolegům,
zatímco uži-vatelé by neměli mít o takovém obsahu ani tušení. Potom se lze v praxi setkat se Stavem,
kdy má například složka obsahující spousty hudby název sdílení „AdminTools" nebo „Sy-stemInfo". V takovém případě jde jenom
o to odradit uživatele samotným názvem. Pokud
se však ke sdílené složce pomocí cesty \\server vůbec dostane. Je až neuvěřitelné, j a k m á l o uživatelů (dokonce jak málo
správců) zná možnost zobrazit si veškeré sdílené slož-ky ko nkrétn ího serv eru p omo cí z á pisu ce sty \\se rver.
124
Při takovém řešení se však jistě setkáte s problémy. V dobře fungující společnosti se vás kontrolor či auditor dříve či později
zeptá, proč daná sdílená složka existuje, jaký je její účel, případně vás požádá o předání dokumentace ke kontrole. V ostatních
případech se za čas můžete setkat se zvídavými otázkami uživatelů, kteří sice přístup do složky mít nemusí, zato však od kolegů,
již přístup mají (a kterým jste důvěřovali, že si informace o obsahu nechají pro sebe), získali zajímavé informace. V každém
případě se jedná o nepříjemnou situaci.
Pokud sdílení skryjete, dostane se k obsahu složky pouze ten uživatel, který zná přesně její název pro sdílení. A jistě budete
souhlasit, že uhádnout bez jakýchkoli informací název pro sdílení je téměř nemožné.
Předpokládejme, že chcete sdílet složku se smlouvami. Její stávající název je Smlouvy, sdílený název byste si přáli zachovat a
zároveň byste sdílení této složky chtěli před uživateli utajit. Postup takového nastavení je velmi jednoduchý. Vše se odehrává
stejným způsobem jako u běžného sdílení, jediným rozdílem je přidání znaku „$" na konec názvu pro sdílení (tedy Smlouvy$).
Pokud chce poté uživatel nahlédnout do složky, musí zadat celou cestu \\ser-ver\smlouvy$ (cesta není citlivá na velká či
malá písmena). Pokud zadá pouze cestu \\ server, složka Smlouvy$ se nezobrazí. Konfigurace oprávnění, případně dalších
atributů se poté nijak neliší od běžného sdílení.
Vraťme se k druhému návrhu. Název složky Dokumenty nemusí být vždy optimální. Protože se obecně jedná o velmi používaný
název, který je navíc součástí profilu každého uživatele, je vhodné zvážit jeho použití pro tuto roli. Navíc, dříve či později může
přijít požadavek na vytvoření jiné, paralelní struktury dokumentů týkajících se například služebních cest. Takovou strukturu
zřejmě nebude možné zahrnout do již vytvořených složek, ale bude nutné vytvořit novou (možná i na stejné úrovni). A problém
s názvem složky nejvyšší úrovně může být na světě.
Před nasazením sdílených složek tedy dobře zvažte, kde a jak začít. Místo názvu Dokumenty můžete uvažovat například o
názvech Knihovna, Organizace, Struktura apod. Pro konečnou konfiguraci tedy vyjdeme z druhého návrhu s tím rozdílem, že
složku nejvyšší úrovně pojmenujeme Knihovna.
Vytvoření struktury složek
Uživatelé zadávají ve svém systému při přístupu ke sdílené složce cestu UNC ve tvaru \\server\složka. Z jejich pohledu je tak
jedno, na jaké jednotce se sdílená složka vyskytuje (C:, D: atd.). Vzhledem k našemu případu, kdy máme na serveru SRVR001
k dispozici pouze jednotku C:, je to bezpředmětné, v jiných případech však může jít o cennou informaci.
Další zajímavou informací může být ta, že je jedno, ve které úrovni se sdílená složka nachází. Po zadání cesty \\server\složka
budou všechny sdílené složky na stejné úrovni.
Nyní vytvoříme základní kostru knihovny dokumentů.
1. Přihlaste se k počítači SRVR001 jako správce.
2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte napoložku Správa počítače.
3. V konzole Správa počítače rozbalte v části Systémové nástroje položku Sdílené složky a klepněte na položku Sdílené
položky (viz obrázek 12.1). V pravé části konzoly si prohlédněte vytvořené sdílené složky.
Obrázek 12.1
Sdílené složky a konzola Správa počítače
4 . Pravým tlačítkem myši klepněte na položku Sdílené položky a poté v místní nabídce klepněte na příkaz Nová sdílená
položka. Spustí se Průvodce sdílením složky.
5. Klepněte na tlačítko Další a do pole Cesta ke složce zadejte cestu C:\Knihovna. Po klepnutí na tlačítko Další se zobrazí
informace o nenalezení zadané složky s dotazem na její vytvoření. Klepnutím na tlačítko Ano potvrďte její vytvoření,
6. V okně Název, popis a nastavení ponechte všechna pole ve výchozích hodno-tách (viz obrázek 12.2) a klepněte na
tlačítko Další.
125
Obrázek 12.2
Část průvodce sdílením složky
7. V okně Oprávnění ponechte zaškrtnuté políčko Všichni uživatelé mají přístup
jen pro čtení a klepněte na tlačítko Dokončit.
Poznámka
Toto oprávnění odpovídá výchozímu oprávnění pro sdílení (Everyone = Číst) systému Windows Server 2003 na rozdíl od
systémů Windows 2000 a Windows XP, kde je výchozím oprávněním Everyone = Úplné řízení.
8. V souhrnném okně si prohlédněte veškerou konfiguraci sdílené složky a poté
klepněte na tlačítko Zavřít.
Ověření sdílené složky
1. Na serveru SRVR001 klepněte v Nabídce Start na příkaz Spustit a v dialogovém okně Spustit zadejte cestu UNC ve
tvaru WSRVR001 a poté klepněte na tlačítko OK.
2. Pokud je vše v pořádku, zobrazí se okno aplikace Průzkumník Windows obsahující mimo jiné sdílenou složku
Knihovna.
Poznámka
U systémů Windows 2000 a Windows XP Professional se postup vytvoření sdílené složky poněkud liší. Pro tento účel se
nespouští Průvodce sdílením složky, ale sdílení se konfiguruje pouze pomocí dvou dialogových oken.
3. Nyní přejděte do složky Knihovna a pokuste se v ní vytvořit jakýkoli objekt (podsložku či soubor). Pokud je vše
nakonfigurováno správně, vytvoření objektu se nezdaří (viz informace o kombinaci oprávnění NTFS a sdílených
oprávnění v kapitole 10, „Zabezpečení přístupu").
Pro vytváření sdílených složek lze použít i jiné postupy a vše lze provést přímo v okně aplikace Průzkumník Windows. Ačkoli se
může zdát postup s využitím konzoly Správa počítače poněkud zdlouhavý, doporučuji tento nástroj využívat, neboť se jedná o
jediný možný způsob v případě vytvoření sdílené složky v jiném počítači.
Nyní máme tedy vytvořenu nejvyšší úroveň knihovny dokumentů, o které lze zároveň říci, že je v danou chvíli zabezpečena,
neboť žádné dokumenty pro čtení neobsahuje a nikdo není schopen v ní žádný dokument vytvořit. Další kroky provedeme
přímo v okně aplikace Průzkumník Windows.
1. V počítači SRVR001 spusťte okno aplikace Průzkumník Windows a přejděte do složky Knihovna (u složky
Knihovna byste měli vidět ikonku s rukou, která označuje sdílenou složku).
2. V nabídce Soubor klepněte na příkaz Nový a vyberte položku Složka.
3. Zadejte název složky Obchod a klepněte na tlačítko Enter.
4. Body 2 a 3 nyní opakujte pro další složky (Vedení, Marketing, Sklad, IT a Ostatní).
Výsledná vytvořená struktura složek by měla být stejná jako na obrázku 12.3.
Obrázek 12.3
Výsledná struktura složek pro knihovnu dokumentů
126
Zabezpečení přístupu do složek
Každý uživatel, který nyní zadá ve svém počítači cestu UNC \ \ SRVR001, získá seznam sdílených složek. Ve složce Firma bude
mít k dispozici podsložky jednotlivých oddělení, ve kterých však není schopen vytvořit žádné objekty.
Do doby, než by v daných složkách byly dokumenty, by se jednalo o dobré zabezpečení. Z pohledu firmy je však toto
zabezpečení nepoužitelné, neboť se s obsahem složek nedá aktivně pracovat. Bude třeba jej upravit.
Plán zabezpečení
Plán zabezpečení musí shrnovat požadavky a z nich vycházející zabezpečení jednotlivých složek. Obecně platí, že je třeba se
vždy zamyslet nad následujícími body:
• Správa struktury Je nutné zajistit, aby skupina uživatelů odpovídající za vytváření kostry knihovny dokumentů měla
oprávnění Úplné řízení. Zároveň se nesmí zapomínat na úplný přístup správců.
• Úroveň přístupu uživatelů
Dá se předpokládat, že pro každou složku budou nutné dvě úrovně přístupu (vyjma
přístupu pro skupinu správců celé struktury). Jedna úroveň bude pro čtení, druhá pro úpravy obsahu.
• Zajištění přístupu do složek přes síť Oprávnění ke sdílení Číst pro skupinu Everyone je nedostatečné, neboť pře síť
není možné spravovat strukturu ani obsah samotných složek. Toto oprávnění je tedy nutné změnit a zároveň je třeba
ponechat jej co nejjednodušší.
• Ověření oprávnění
Vždy po konfiguraci oprávnění, a ještě před uvedením do ostrého provozu, je třeba
nakonfigurovaná oprávnění ověřit.
• Doporučené strategie pro udělení přístupu
Oprávnění je třeba jednoznačně udělovat skupinám a podle velikosti
prostředí je třeba dodržovat strategii přístupu.
Co se týká správy struktury, ačkoli ve většině případů získává v menších organizacích tuto roli skupina Administrators (nebo
Domain Admins), my si pro tyto účely vytvoříme vlastní místní doménovou skupinu. Vyhneme se tak tomu, že knihovnu
bude muset spravovat nutně někdo ze skupiny správců, když to může být úloha pro jiného uživate-le. Vezmeme-li v úvahu
dvě úrovně přístupu do každé složky a nezávislost našich oddělení, vytvoříme pro každou složku dvě místní doménové
skupiny. Dále se dá předpokládat, že členové vedení organizace budou chtít pracovat s dokumenty ve své vlastní složce a
budou chtít nahlížet do dokumentů ve všech ostatních složkách.
Aby mohli uživatelé plnit své úkoly spojené s vytvářením, úpravou či odstraňováním souborů přes síť, bude nutné upravit
výchozí oprávnění ke sdílení. Pro naše účely bude v souladu se zabezpečením přístupu vhodné nahradit skupinu Everyone
skupinou Do-main Users (ve které jsou všichni uživatelé členem, neboť se jedná o výchozí skupinu) a udělit jim oprávnění
Úplné řízení. To, že všichni uživatelé nebudou schopni toto oprávnění využít, zjistíme oprávněními NTFS na úrovni jednotlivých
složek.
Poznámka
Pro uživatele by postačovalo nakonfigurovat oprávnění ke sdílení na Změnit, neboť vyšší oprávnění nikdo z nich nebude
potřebovat. Potom by se ale mohly vyskytnout potíže se správou struktury, pro kterou jsou nutná oprávnění Úplné řízení.
Oprávnění ke sdílení nakonfigurujeme až jako poslední. To je důležité kvůli zabezpečení přístupu během konfigurace
oprávnění NTFS na podsložkách. Pouze tak můžete mít jako správci jistotu, že nikdo nebyl schopen oprávnění NTFS zneužít.
Vytvoření skupin uživatelů
Správu celé knihovny bude provádět skupina uživatelů jiná než Administrators nebo Do-main Admins. Konkrétní oprávnění se v
souladu s doporučenou strategií A -> G -> DL <- P tedy bude udělovat místní doménové skupině.
Správa obsahu každé podsložky bude udělena jedné skupině, další skupina uživatelů bude mít oprávnění Číst obsah složky. Pro
každou podsložku tedy vytvoříme dvě místní doménové skupiny.
1. K serveru SRVR001 se přihlaste jako správci.
2. V Nabídce Start spusťte nástroj pro správu doménových účtů Uživatelé a počíta
če služby Active Directory.
3. V kontejneru Users vytvořte místní doménové skupiny s následujícími názvy:
D Správa knihovny dokumentů
D Knihovna IT Číst
D Knihovna IT Měnit
D Knihovna Marketing Číst
D Knihovna Marketing Měnit
D Knihovna Obchod Číst
D Knihovna Obchod Měnit
D Knihovna Ostatní Číst
D Knihovna Ostatní Měnit
D Knihovna Sklad Číst
D Knihovna Sklad Měnit
D Knihovna Vedení Číst
D Knihovna Vedení Měnit
127
Tip
Přidáváte-li více podobných objektů, můžete s výhodou využít nástroj DSADD, který je novinkou v systému Windows Server
2003. Nástroj se spouští na příkazovém řádku a jeho syntaxe pro přidání skupiny D Knihovna IT Číst je následující:
dsadd group CN="D Knihovna IT Číst".CNfUsers,DC=studny.DC-local -scope 1
Příkaz DSADD není k dispozici v systémech Windows 2000 ani Windows XP Professional. Další informace k příkazu DSADD získáte po
zadání příkazu DSADD /? na příkazovém řádku.
Seskupení uživatelů
Pro jednotlivé skupiny uživatelů je nyní třeba vytvořit globální doménové skupiny. Zde již není nutné rozlišovat úroveň
přístupu, neboť pro tento účel jsme výše vytvořili místní doménové skupiny.
V každém oddělení se budou vyskytovat běžní a zkušení uživatelé. Vytvoříme tedy dvě globální skupiny pro každé oddělení.
Dále vytvoříme skupinu pro správce celé knihovny dokumentů.
Při vytváření skupin postupujte podle následujících pokynů:
2. V Nabídce Start spusťte nástroj pro správu doménových účtů Uživatelé a počíta
če služby Active Directory.
3. V kontejneru Users vytvořte místní doménové skupiny s následujícími názvy:
G Správci knihovny dokumentů
G IT běžní G IT zkušení G Marketing běžní G
Marketing zkušení G Obchod běžní G Obchod zkušení G
Ostatní běžní G Ostatní zkušení G Sklad běžní G Sklad
zkušení G Vedení běžní G Vedení zkušení
Tip
S výhodou lze opět využít nástroj DSADD v následujícím příkladu:
dsadd group CN="G IT b ě ž n í " , CN=Users,DC-studny,DC-local
-scope g
Nyní je tŕeba do globálních skupin vložit naše uživatele. Pro naši fiktivní firmu provedeme následující rozdělení. Uživatelé s
nejvyšším číslem v názvu (například Obchod5) budou pa-třit mezi zkušené uživatele, zatímco ostatní se stanou členy běžné globální
skupiny.
Rozdělení uživatelů do skupin přehledně zobrazuje tabulka 12.1.
Globální doménová skupina
Členové
G IT běžní
— (bez členů)
G IT zkušení
IT1
G Marketing běžní
Marketingl, Marketing2
G Marketing zkušení
Marketing3
G Obchod běžní
Obchodí, Obchod2, Obchod3, Obchod4
G Obchod zkušení
Obchod5
G Ostatní běžní
Brigádník 1
G Ostatní zkušení
--- (bez členů)
G Sklad běžní
Skladl, Sklad2
G Sklad zkušení
Sklad3
G Vedení běžní
Vedenil, Vedeni2
G Vedení zkušení
Vedeni3
Obchod5, Marketing3
Tabulka 12.1 Rozdělení uživatelů do globálních skupin Udělení oprávnění
128
NTFS
Oprávnění NTFS budeme udělovat na úrovni konkrétních složek právě vytvořeným skupinám. Dále je nutné myslet na
následující:
• Oprávnění Úplné řízení je třeba udělit také skupině Administrators (na tento krok pamatujte vždy). V případě potíží se
tak vyhnete nutnosti přebírat vlastnictví objektů.
• Členové vedení mívají často chuť nahlížet do jakýchkoli složek s dokumenty. Budeme na to myslet a udělíme jim
potřebná oprávnění.
Oprávnění přístupu ke kořenu knihovny
Při udělování oprávnění NTFS postupujte následujícím způsobem:
2. Zobrazte vlastnosti složky Knihovna a klepněte na kartu Zabezpečení. Poté klepněte na tlačítko Upřesnit, zrušte
zaškrtnutí políčka dědičnosti z nadřazeného objektu a poté klepněte na tlačítko Odebrat. Zbavíte se tak výchozí
konfigurace oprávnění. Klepněte na tlačítko OK.
3. Odeberte veškeré zbývající položky.
4. Do seznamu řízení přístupu přidejte následující skupiny a ve sloupci Povolit zaškrtněte políčko u příslušného
oprávnění:
Skupina
Oprávnění
Administrators
Úplné řízení
Úplné řízení
Domain Users
Ponechte výchozí oprávnění
(Číst a spouštět, Zobrazovat obsah složky, Číst)
Tabulka 12.2 Konfigurace seznamu řízení přístupu pro složku Knihovna
5. Klepnutím na tlačítko OK zavřete dialogové okno vlastností složky Knihovna.
Oprávnění pro skupinu Domain Users je uděleno proto, aby se všichni uživatelé dostali do složky Knihovna. Jedná se o
jednodušší způsob než vyjmenovávat veškeré místní doménové skupiny, jež mají mít přístup do podřízených složek.
Karta Zabezpečení vlastností složky Knihovna je zobrazena na obrázku 12.4.
Obrázek 12.4
Karta Zabezpečeni složky Knihovna
Oprávnění přístupu ke složkám jednotlivých oddělení
Shrňme ještě jednou požadavky organizace. Do svých složek budou mít přístup uživatele z příslušného oddělení (někteří
uživatelé budou moci pouze číst, jiní upravovat). Nanavzájem si jednotlivá oddělení do složek neuvidí. Členové vedení
budou mít přístup do všech složek, pouze však s úrovní Číst.
Oprávnění přístupu ke složkám se bude udělovat místním doménovým skupinám, které jsme vytvořili v předchozích krocích.
Zároveň je třeba na všech složkách ponechat opráv-nění pro skupiny Domain Admins a D Správa knihovny dokumentů. Naopak,
oprávněni z kořenové složky pro skupinu Domain Users je třeba odebrat.
129
Při udělování oprávnění postupujte následujícím způsobem:
Přihlaste se k serveru SRVR001 jako správci.
1. Otevřete okno aplikace Průzkumník Windows a zobrazte dialogové okno vlast-ností složky IT. Měli byste vidět seznam
řízení přístupu stejný, jako je na obrázku 12.4 (neboť dědičnost je zapnuta).
2. V Klepněte na tlačítko Upřesnit a poté v dialogovém okně Upřesnit nastavení zabezpečení IT zrušte zaškrtnutí políčka
Povolit přenesení dědičných oprávnční...
3. V dialogovém okně Zabezpečení klepněte na tlačítko Kopírovat a poté na tlačítko OK.
4. V dialogovém okně vlastností složky IT klepněte na položku Domain Users a poté klepněte na tlačítko Odebrat.
5. Do seznamu řízení přístupu přidejte skupinu D Knihovna IT Číst, u níž ponechte výchozí oprávnění, a skupinu D
Knihovna IT Měnit, které udělte oprávnění Měnit.
6. Klepnutím na tlačítko OK zavřete dialogové okno vlastností složky IT.
Analogicky lze postupovat u dalších složek - Marketing, Obchod, Ostatní, Sklad i Vedení. Oprávnění by měla odpovídat
následující tabulce.
Název složky
Udělená oprávnění
Marketing
Výchozí (zděděná) bez Domain Users D Knihovna Marketing Číst - výchozí D Knihovna
Marketing Měnit - Měnit
Obchod
Výchozí (zděděná) bez Domain Users D Knihovna Obchod Číst — výchozí D Knihovna
Obchod Měnit — Měnit
Ostatní
Výchozí (zděděná) bez Domain Users D Knihovna Ostatní Číst - výchozí D Knihovna
Ostatní Měnit - Měnit
Sklad
Výchozí (zděděná) bez Domain Users D Knihovna Sklad Číst - výchozí D Knihovna
Sklad Měnit — Měnit
Vedení
Výchozí (zděděná) bez Domain Users D Knihovna Vedení Číst - výchozí D knihovna
Vedení Měnit - Měnit
Tabulka 12.3 Oprávnění přístupu NTFS ke složkám knihovny dokumentů
Požadovaný přístup pro členy vedení vyřešíme později. Pro uvedení naší strategie do funkčního stavu zbývá poslední krok.
Dokončení strategie A G DL P
K dokončení konfigurace oprávnění nyní zbývá jediný krok — vložit globální skupiny do příslušných místních doménových. K
tomu slouží nástroj Uživatelé a počítače služby Acti-ve Directory. Členství místních doménových skupin nakonfigurujte podle
následující tabulky.
Místní doménová skupina
Členové
D Knihovna IT Číst
G IT běžní G Vedení běžní G Vedení zkušení
D Knihovna IT Měnit
G IT zkušení
D Knihovna Marketing Číst
G Marketing běžní G Vedení běžní G Vedení zkušení
D Knihovna Marketing Měnit
G Marketing zkušení
D Knihovna Obchod Číst
G Obchod běžní G Vedení běžní G Vedení zkušení
D Knihovna Obchod Měnit
G Obchod zkušení
D Knihovna Ostatní Číst
G Ostatní běžní G Vedení běžní G Vedení zkušení
D Knihovna Ostatní Měnit
G Ostatní zkušení
D Knihovna Sklad Číst
G Sklad běžní G Vedení běžní G Vedení zkušení
Místní doménová skupina
Členové
D Knihovna Sklad Měnit
G Sklad zkušení
D Knihovna Vedení Číst
G Vedení běžní
D Knihovna Vedení Měnit
G Vedení zkušení
Tabulka 12.4 Členství v místních doménových skupinách
Konfigurace oprávnění ke sdílení
Při sdílení složky Knihovna jsme ponechali výchozí oprávnění Číst ke sdílení pro skupinu Everyone. Pokud se tedy kterýkoli
uživatel připojí ke knihovně dokumentů po síti, nebude mít i přes definovaná oprávnění NTFS vyšší oprávnění než Číst. Výchozí
oprávnění ke sdílení je tedy nutné změnit.
Pro udělení správné úrovně oprávnění máme nyní dvě možnosti, které však mají jedno společné - oprávnění pro sdílení musí být
Úplné řízení. Otázka je, pro kterou skupinu uživatelů:
130
• Ponechání skupiny Everyone Protože členem skupiny Everyone je opravdu každý, tedy například i uživatel
zosobněný účtem Guest, mohl by v případě ponechání skupiny Everyone teoreticky získat nějakou úroveň oprávnění
přístupu. To, že se tak ale nestane, je v současné konfiguraci dáno zabezpečením NTFS na úrovni jednotlivých složek a
také tím, že v systému Windows Server 2003 je účet Guest zakázán.
• Nahrazení skupiny Everyone skupinou Authenticated Users Rozdíl mezi uvedenými dvěma skupinami je právě v
účtu Guest, který není členem skupiny Authenticated Users. Proto by bylo z hlediska vyššího zabezpečení přístupu
vhodné skupinu Everyone nahradit skupinou Authenticated Users, případně skupinou Domain Users.
Změnu oprávnění proveďte podle následujících pokynů:
1. Na kartě Sdílení složky Knihovna klepněte na tlačítko Oprávnění.
2.. Odeberte skupinu Everyone a přidejte skupinu Authenticated Users, které udělte oprávnění Úplné řízení.
Správa knihovny a další náležitosti
Ověření přístupu uživatelů do složek
Protože budou uživatelé přistupovat do složek přes síť, bude vhodné ověřit přístupy při-mo z klientských počítačů.
Ověříme, že uživatel Sklad3 má možnost vytvářet dokumenty pouze ve složce Sklad, zatím co do ostatních složek nemá
žádná oprávnění. Dále ověříme, že uživatel Vedeni1 má oprávnéní číst soubory ve všech složkách, tedy i ve složce Sklad, ale
nemá oprávnění vytvářet soubory ani ve vlastní složce. A nakonec ověříme, že uživatel Marketing3 má jako správce celé
knihovny veškerá oprávnění, tedy například i odstranit soubory ve složce Sklad. Ověření proveďte pole následujících
pokynů:
1. K počítači PC001 (nebo k jakémukoli jinému) se přihlaste jako uživatel Sklad3.
2. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte řetězec \\SRVROOl\knihovna. V okně, které se
poté otevře, poklepejte na složku Sklad a vytvořte v ní prázdný textový dokument, kterému ponechejte výchozí název.
3. Vraťte se o úroveň výše a zkuste poklepat na jakoukoli jinou složku. Výsledkem bude ve všech případech odepření
přístupu.
4. Odhlaste se a přihlaste se jako uživatel Vedenil.
5. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte řetězec \\SRVR001\knihovna. V okně, které se
poté otevře, poklepejte na jakoukoli složku (včetně složky Sklad). Do každé složky byste se měli dostat. Ve složce Vedení
zkuste vytvořit nový soubor (měli byste být neúspěšní) a ve složce Sklad zkuste odstranit stávající dokument (taktéž
byste měli být neúspěšní).
6. Odhlaste se a přihlaste se jako uživatel Marketing3.
7. V Nabídce Start klepněte na položku Spustit a do pole Otevřít zadejte řetězec \\SRVR001\knihovna. V okně, které se
poté otevře, poklepejte na jakoukoli složku (včetně složky Sklad). Do každé složky byste se měli dostat a v každé složce
byste měli mít oprávnění vytvořit a či odstranit soubor (ověřte!). Poté ve složce Sklad zkuste odstranit stávající dokument
(taktéž byste měli být úspěšní).
Tip
U podobné struktury sdílených složek je nutné dbát ještě na jednu věc. Aby se nenarušovala struktura a přehled, nesmí mít běžní
uživatelé možnost vytvářet jakékoli objekty v nejvyšší úrovni (to znamená na úrovni složek jednotlivých oddělení). Toto oprávnění
mohou mít pouze správci domény (serveru) a správci struktury knihovny.
Kumulativnosti definování výsledného (neboli skutečného) oprávnění. To ale ještě nemusí být tak jednoduché. Oprávnění mohou
být sice udělena podle výchozích kategorií (Číst, Zapisovat, Měnit atd.), ale mohou být taky udělena oprávnění speciální. Tím se
celý pro-ces dále a dále prodlužuje.
A nakonec - pokud tímto způsobem konečně zjistíte skutečná oprávnění konkrétního uživatele - ozve se v souladu s Murphyho
zákony obratem uživatel další a celá procedura začíná znovu.
Není se co divit, že správci nejsou tímto postupem nijak nadšeni a delší dobu volali po jeho výrazném zjednodušení. Jejich volání
bylo poprvé vyslyšeno v systému Windows XP Professional, kde lze celou tuto proceduru absolvovat za několik sekund. Systém
Win-dows Server 2003 obsahuje tuto funkci pochopitelně také.
Nutno podotknout, že následujícím postupem jste schopni ověřit pouze udělená oprávněni NTFS, nikoli kombinovaná oprávnění
při přístupu přes síť. Ta už je nutné ověřit ručně.
Členům vedení organizace jsme udělili oprávnění Číst k jakékoli složce v knihovně dokumentů. Toto oprávnění tedy ověříme
například pro složku Sklad a účet uživatele Vedeni2 a dále ověříme, zda má uživatel Obchod5 skutečně oprávnění ke správě celé
knihovny (to znamená například i složky Vedení).
Skutečná oprávnění ověříte podle následujícího postupu:
• Zobrazte vlastnosti složky Sklad a klepněte na kartu Zabezpečení.
• Klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit nastavení zabezpečení Sklad klepněte na kartu
Skutečná oprávnění.
131
•
Klepněte na tlačítko vybrat a vyberte uživatele Vedeni2. V části Skutečná oprávnění si prohlédněte skutečná
oprávnění tohoto účtu. Evidentně odpovídají oprávnění Číst pro danou složku. Poté zavřete všechna dialogová okna.
Orientace správců v oprávněních NTFS
Někdy se jako správci souborového serveru můžete setkat se situací, kdy si uživatel stěžuje na nesprávnou úroveň svého přístupu
(vždy si bude stěžovat na nedostatečná oprávnění). V takovém případě je na vás, abyste v souladu se zásadami organizace o
udělování oprávnění a strategií udělování oprávnění v doméně posoudili, zda je stížnost oprávněná či nikoli.
Jak budete v takovém případě postupovat? Pravděpodobně se nejprve podíváte do vlastností příslušného prostředku na kartu
zabezpečení, kde se budete snažit zjistit skutečná oprávnění uživatele. V některých případech však můžete být po jisté době
poměrně značně překvapeni. V extrémním případě můžete totiž v seznamu řízení přístupu najít třeba samotný účet uživatele s
konkrétními oprávněními a ještě navíc několik různých skupin, ve kterých může být uživatel případně členem, nebo v nichž
mohou být členy jiné skupiny, ve kterých je onen uživatel členem. Situace je tedy velmi nepřehledná a nezbývá, než si veškeré
skupiny poznamenat a pokračovat ověřováním jejich členství pomocí ná-slroje Uživatelé a počítače služby Active Directory.
Jak dlouho vám bude takové ověření členství trvat? A bude poté vše vyřešeno? Čím více skupin, případně čím více skupin, které
jsou členy další skupiny, máte ověřit, tím více se bude čas natahovat. Navíc, až rozluštíte, jímž skupiny mohou oprávnění
konkrétního uživatele ovlivnit, dojde na další krok, jímž bude zjištění příslušných oprávnění.
Obrázek 12.5
Skutečná oprávnění uživatele Vedeni2
• Zobrazte vlastnosti složky Vedení a klepněte na kartu Zabezpečení.
• Klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit nastavení zabezpečení Vedení klepněte na kartu
Skutečná oprávnění.
• Klepněte na tlačítko Vybrat a vyberte uživatele Obchod5. V části Skutečná oprávnění si prohlédněte skutečná
oprávnění tohoto účtu. Protože jsou zaškrtnuta všechna oprávnění, jedná se o oprávnění Úplné řízení. Poté zavřete
všechna dialogová okna.
Poznámka
Podobný postup není možné provést v žádném ze systémů řady Windows 2000.
Naplnění knihovny dokumenty
Nyní je možné veřejně oznámit uživatelům dostupnost připravené struktury knihovny pro ukládání dokumentů a vyzvat je k jejímu
používání. Nejprve je však nutné ji naplnit příslušnými dokumenty.
Dokumenty může do konkrétní složky uložit každý, kdo do ní má oprávnění alespoň Zapisovat. To se v našem případě týká
všech uživatelů, kteří mají prostřednictvím členství v místní doménové skupině oprávnění Měnit. Zároveň však to samé může
udělat člen skupiny Administrators či členové skupiny D Správa knihovny dokumentů.
Který postup bude výhodnější? Za systémové řešení lze pokládat to, kdy si dokumenty do vlastních složek uloží sami uživatelé,
kteří k tomu mají oprávnění. Jde totiž o roli vlastníka dokumentu, kterým bude ten, kdo dokument do složky zkopíroval. Pokud
by to provedl člen skupiny Administrators, stala by se vlastníkem tato skupina, zatímco takto bude vlastníkem uživatel, který
soubor zkopíroval. Kdykoli později může takový vlastník provést změny v oprávněních jak pro sebe, tak i pro ostatní uživatele.
Výsledkem může být například znepřístupnění konkrétního dokumentu členům vedení.
Pokud se bude uživatel, který dokument ve své složce vytvořil, chystat upravit oprávnění, musí mít nejprve oprávnění Úplné
řízení. To si samozřejmě jako vlastník objektu může kdykoli nastavit, pokud ale bude takovou činnost potřebovat provádět
pravidelně, může jej to zdržovat. Řešením je v takovém případě udělit oprávnění Úplné řízení zástupné skupině vlastníka. Pokud
byste se tedy do takové situace dostali, postupujte následovně:
1. Zobrazte dialogové okno vlastností příslušné složky (například Obchod) a klepně
132
te na kartu Zabezpečení.
2. Do seznamu řízení přístupu přidejte skupinu Creator Owner a udělte jí oprávně
ní Úplné řízení.
3. Klepnutím na tlačítko OK zavřete dialogové okno.
Pokud nyní vytvoříte v takto upravené složce jakýkoli soubor (nebo pokud jej do složky zkopírujete), nahradí se v seznamu řízení
přístupu k souboru položka Creator Owner sku-tečným účtem vlastníka, který tak získá oprávnění Úplné řízení a nebude si jej v
případě nutnosti muset později udělovat.
Šifrování dat
Uživatelé systémů Windows 2000 Professional a Windows XP Professional mají ve výchozí konfiguraci domény právo šifrovat
soubory, ke kterým mají oprávnění přístupu alespoň Zapisovat. V tomto odstavci není cílem probírat možnosti systému EFS a
tuto technologii nasadit, ale spíše poukázat na její „nebezpečí" v případě sdílených souborů. Důležitá je totiž u šifrování
jedna věc. Pokud je soubor zašifrován, má k němu přístup pouze uživatel, který jej zašifroval. Systém Windows XP
Professional sice umožňuje definovat další uživatele, kteří budou mít k zašifrovanému souboru přístup, není to ale rozhodně
systémové řešení, neboť správce není schopen tento stav nijak ovlivňovat.
Dokud si uživatel šifruje soukromé dokumenty ve svém vlastním počítači, nic se neděje. Pokud ale najednou zasáhne do
souborů, které využívá více uživatelů, může jít o katastrofální stav, zejména pokud se „trefil" do skutečně důležitých
dokumentů, jež musí být k dispozicí stále.
Existuje jedna možnost, jak tento stav systémově vyřešit. Jedná se o zakázání šifrování souborů v celé složce. Přestože je tato
možnost velmi účinná, je mezi správci velmi málo známá, a to i přesto, že spolehlivě funguje již od systému Windows 2000.
Zabránění šifrování dat
Pokud chcete zabránit šifrování jakýchkoli dat, tedy chcete navodit stav, že uživatelé nebudou moci zašifrovat ani jeden soubor
například ani ve svém počítači, je na místě konfigurace objektu Zásad skupiny. Taková konfigurace ale vždy nemusí být
výhodná, neboť zejména v přenosných počítačích je třeba data šifrovat.
Druhou možností je zabránit šifrování dat pouze v konkrétní složce. To je metoda, kterou v naší knihovně dokumentů velmi
dobře využijeme. Metoda spočívá ve vytvoření souboru D e s k t o p . i n i a jeho uložením do složky, ve které bude šifrování dat
zakázáno. Soubor Desktop.i ni musí mít následující obsah:
[E ncrypti o n ] Dis a b l e=1
Uživateli, který se ve složce, v níž je tento soubor přítomen, pokusí zašifrovat libovolný Soubor, se zobrazí zpráva „Při použití
atributů u následujícího souboru došlo k chybě: ná-zev_souboru. Šifrování tohoto adresáře bylo zakázáno."
Vytvořte tedy tento soubor a umístěte jej ve všech složkách knihovny dokumentů (s výjimkou složky Knihovna, ve které postrádá
smysl).
Ze systémového hlediska by bylo vhodné provést ještě následující dva úkony. Předpoklá-dám, že soubor je již nakopírován ve
všech složkách:
1. Soubor d e s k t o p . i n i by měl být skrytým souborem, aby zbytečně nezpůsoboval nepořádek mezi ostatními soubory.
Pokud chcete soubor skrýt, zobrazte jeho vlastnosti a na kartě Obecné zaškrtněte políčko Skrytý. Uživatelé, kteří nemají ve
svém počítači povoleno zobrazení skrytých souborů, jej neuvidí.
2. K souboru desktop.ini by měla být upravena oprávnění přístupu NTFS. Pokud ponecháte oprávnění ve výchozím stavu,
je tento soubor schopen ve své složce odstranit každý uživatel, který má na složku oprávnění Měnit. U souboru tedy
zrušte dědičnost a poté ponechte oprávnění pouze správcům domény (počítače) a správcům knihovny.
133
Závěr
Pokud chcete vytvořit úložiště pro dokumenty pro jednotlivé zájmové skupiny v organizaci, začněte jeho plánováním. V této fázi
je třeba dát dohromady návrh struktury, který sestává z jednotek, jež se budou sdílet a ze složek nejvyšší úrovně. Dále je třeba
definovat jejich zabezpečení a určit skupinu uživatelů, která bude výslednou strukturu spravovat.
Velká část kapitoly byla věnovaná konfiguraci oprávnění za použití strategie A G DL P, která je výchozí strategií pro
jednoduchou a přehlednou správu i v případě budoucího růstu prostředí. Při konfiguraci oprávnění je nutné myslet na
zabezpečení dat ve složkách (pokud již existují), případně na zabezpečení složek proti ukládání nepříslušných dat (pokud ještě
žádná data neexistují). Teprve posledním krokem by v souladu se zabezpečením mělo být sdílení složky nejvyšší úrovně a
udělení příslušných oprávnění ke sdílení.
Pokud budete mít jako správci pochybnosti o správné úrovni oprávnění konkrétního uživatele, můžete v systémech Windows XP
Professional a Windows Server 2003 použít pro jejich určení funkci Skutečná oprávnění. Výrazně si ušetříte čas a vyhnete se
omylům.
Po provedení konfigurace oprávnění do celé struktury je třeba oprávnění vyzkoušet s náhodným vzorkem složek a uživatelských
účtů. Teprve po úspěšném ověření je možné úložiště předat uživatelům.
Tam, kde jsou uložené dokumenty, které využívá více uživatelů, je vhodné zabránit jejich šifrování. Vyhnete se tak zbytečnému
zdržování v případě, že si některý z uživatelů zašifruje (třeba i na zkoušku) soubor, jejž nutně v danou chvíli potřebuje jiný
uživatel.
Stav sítě
V síti je nyní k dispozici knihovna dokumentů jednotlivých oddělení: IT, Marketing, Sklad, Obchod, Ostatní a Vedení s
nakonfigurovanými oprávněními pro přístup přes síť.
134
Profily uživatelů
Pokud se poprvé přihlásíte k novému počítači se systémem Windows XP Professional, zobrazí se vám pracovní plocha počítače
s výchozím obrázkem na pozadí, nová Nabídka Start, nebudou se zobrazovat skryté soubory a budou také skryty přípony
známých typů souborů.
To je jenom pár věcí, které jsou součástí takzvaného uživatelského profilu. V daném počítači se týkají pouze vašeho účtu, takže
nemají vliv na přihlášení jiných uživatelů. Stejně tak konfigurace ostatních uživatelů nebude mít vliv na vaše prostředí.
Pokud se vám některé z nastavení nelíbí a rozhodnete se jej změnit, bude toto nastavení změněno i po odhlášení a novém
přihlášení.
Výhody profilů uživatelů
Primárním účelem profilu uživatele je oddělit nastavení a data všech uživatelů stejného počítače. Nejen že nastavení jednoho
uživatele se nijak neprojeví na nastavení ostatních uživatelů, ale pokud je jednotka s profily zformátovaná systémem souborů
NTFS, nebudou se uživatelé schopni dostat navzájem ke svým dokumentům. Oprávnění pří-stupu NTFS jsou v takovém případě
definovaná počítačem a ve stávajících profilech je může změnit pouze správce počítače.
Profily uživatelů přinášejí dvě významné výhody:
♦ Profil (tedy nastavení a data uživatelů) lze uložit mimo počítač, se kterým uživatel pracuje. V případě selhání počítače
(například porucha pevného disku) a jeho nutné náhradě tak uživatel nepřijde o své prostředí ani data a po rychlé
instalaci operačního systému do nového počítače může velmi rychle pokračovat v práci.
♦ Profil může cestovat spolu s uživatelem, pokud je l a k nakonfigurován. Znamená to, že pokud uživatel pracuje s více
počítači, bude mít v každém počítači stejné nastavení a k dispozici stejná data. Výrazně se tím tak může zvýšit
produktivita práce.
Abychom mohli obě tyto výhody používat, musíme provést další konfiguraci (nejedná se o výchozí stav). V dalším průběhu
knihy se k oběma výhodám vrátíme.
Struktura profilu uživatele
Profil uživatele obsahuje velké množství nastavení a dat uživatele. Znalost umístění jeho jednotlivých částí se může hodit při
jakékoli manipulaci s profily, odstraňování potíží nebo například při zálohování důležitých dat.
Nastavení jsou uložena ve dvou částech systému - ve větvi registru (podregistr) a ve speciálních složkách systému souborů.
Podregistr má v systémech řady Windows NT tu výhodu, že jej lze ukládat ve formě souboru a načítat do registru. Podregistrem je
v profilu uživatele soubor N T U s e r . d a t , který se při aktivaci profilu (při přihlášení uživatele) načte do registru, přesněji do jeho
větve HKEY_CURRENT_USER.
Nastavení uložená v podregistru
Soubor N T U s e r . d a t obsahuje následující nastavení konfigurace:
♦ Konfiguraci aplikace Průzkumník Windows (například skrytí přípon známých typů souborů či připojené síťové
jednotky).
♦ Nastavení hlavního panelu (například přítomnost panelu Snadné spuštění).
♦ Nastavení tiskáren (veškeré síťové tiskárny).
♦ Ovládací panely (veškeré změny v okně Ovládací panely).
♦ Příslušenství (nastavení aplikací a programů tvořících příslušenství systému Windows - kalkulačka a další)♦ Nastavení aplikací (některé aplikace si ve větvi HKEY_CURRENT_USER ukládají své nastavení - příkladem budiž hlavní
panel aplikace Microsoft Word 2000).
Nastavení uložená v systému souborů
Každý profil uživatele sestává z následujících složek (viz obrázek 13.1):
Obrázek 13.1
Složky profilu uživatele v systému Windows XP
135
Professional (marketing3 je přihlašovací jméno uživatele)
♦ Cookies Soubory Cookie aplikace Internet Explorer.
♦ Data aplikací Data konkrétních aplikací, jako například vlastní slovník aplikace pro zpracování textu. O datech, která
se zde budou ukládat, rozhodují výlohu aplikací.
♦ Dokumenty Výchozí umístění pro ukládání dokumentů uživatele.
■ Hudba Výchozí umístění pro hudební soubory uživatele.
■ Obrázky Výchozí umístění pro obrázky uživatele.
♦ Local Settings Nastavení a data aplikací, jež necestují s profilem uživatele. Jedná se o data specifická pro daný počítač
nebo například o velké objemy, jejichž přenos v síti by nebyl efektivní.
■ Data aplikací Data aplikací závislá na daném počítači.
■ History Historie aplikace Internet Explorer.
■ Temp Dočasné soubory.
■ Temporary Internet Files Mezipaměť offline aplikace Internet Explorer.
♦
♦
♦
♦
♦
♦
♦
♦
Nabídka Start Zástupci k programům a aplikacím (obsah, který se zobrazí po klepnutí na tlačítko Start).
Oblíbené položky Oblíbené položky aplikace Internet Explorer.
Okolní síť Zástupci na položky okna Místa v síti.
Okolní tiskárny Zástupci na položky okna Tiskárny.
Plocha Položky plochy včetně zástupců na ploše.
Poslední dokumenty Zástupci k naposledy otevřeným dokumentům.
SendTo Zástupci k úložišti dokumentů a k aplikacím.
Šablony Zástupci na položky šablon.
Uložení profilu
V systémech řady Windows 2000, Windows XP Professional a Windows Server 2003 je výchozí místo pro uložení profilů jednotné.
Jedná se o složku %SYSTEMDRIVE%\Documents and Settings. Profil každého uživatele začíná složkou s názvem stejným, jako je
přihlašovací jméno uživatele (viz obrázek 131) a dále pokračuje přednastavenou strukturou. Soubor N T U s e r . d a t je uložen
přímo ve složce odpovídající přihlašovacímu jménu uživatele.
Vyjímku může tvořit uložení profilu v počítačích se systémem Windows XP Professional nebo Windows 2000, které byly
upgradovány ze systému Windows NT 4.0. V takovém připadě je výchozím umístěním profilů uživatelů složka
%SYSTEMDRIVE%\WINNT\Profiles.
Když má každý uživatel svůj počítač
Po krátkém, nicméně důležitém úvodu pojďme zpět do praxe. Uživatel Obchod1 se na příklad poprvé přihlásí k počítači PC001.
Počítač v tu chvíli provádí následující postup:
1. Ve větvi registru HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft \ Windows
NT\CurrentVersion\ProfileList se pokusí nalézt informace o profilu uživatele Obchod1 Pokud by tuto položku
nalezl, načte profil uživatele. Vzhledem k tomu že uživatel Obchod1 se přihlásil k počítači PC001 poprvé, položka v
registru ne existuje a pokračuje se dále.
2. Pokud je počítač členem domény, ověří počítač, zda existuje „doménový" profil vesložce Default User ve sdílené složce
NETLOGON na řadiči domény, který provádí ověření.
3. Pokud by tento profil existoval, došlo by k jeho zkopírování do nově vytvořeného profilu uživatele do složky
%SYSTEMDRIVE%\Documents and Settings\Obchod1. K tomu ale v naší síti nedojde, neboť taková složka ve
sdílené složce NETLOGON neexistuje.
4. Když „doménový" profil neexistuje, dojde ke zkopírování profilu ze složky %SYSTEMDRIVE%\Documents and
Settings\Default User do složky %SYSTEMDRIVE0/o\Documents and Settings\Obchod1 Podregistr profilu uživatele
( N T U s e r . d a t ) se namapuje do větve HKEY_CURRENT_USER registru.
Nyní je na uživateli Obchod1, jak si své prostředí nakonfiguruje. Vzhledem k tomu, že jsme v naší síti zatím nedefinovali
žádná omezení, bude si moci uživatel nakonfigurovat téměř vše. Předpokládejme, že dojde ke změně například následujících
nastavení:
♦ Zobrazení přípon známých typů souborů
♦ Změna zobrazení Nabídky Start
♦ Připojení síťové jednotky Z:
♦ Zobrazení panelu Snadné spuštění na Hlavním panelu
♦ Změna motivu systému z Windows XP na Klasické nastavení
♦ Uložení několika souborů do složky Dokumenty
136
Poté, co se uživatel Obchod1 od počítače odhlásí, se místní profil uloží na místní disk daného počítače. Po dalším přihlášení
stejného uživatele ke stejnému počítači se načte aktuální profil uživatele, tedy profil upravený při předchozím přihlášení. Uživatel
má tak zajištěno, že při každém přihlášení bude mít k dispozici prostředí, od kterého se předtím odhlásil.
Co se stane v případě, kdy se uživatel Obchod1 přihlásí poprvé k jinému počítači (PC002)? Můžeme se podívat výše a
projít znovu všechny body, které počítač při prvním přihlášení nového uživatele provede. Výsledkem bude nový profil
uživatele, tentokrát v počítači PC002, který nebude mít s profilem stejného uživatele v počítači PC001 nic společného. Uživatel
Obchod1 si jej samozřejmě může upravit do podoby profilu v počítači PC001, ale již neexistují prostředky, které by uměly zajistit
synchronizaci těchto dvou počítačů. Navíc je velmi málo pravděpodobné, že si uživatel bude sám synchronizovat například obsah
složky Dokumenty. V případech, kdy by se přihlašoval k více počítačům, by mu to pravděpodobně zabralo většinu pracovní
doby, což by byla velmi neefektivní záležitost.
Správce počítače je schopen vždy zjistit všechny existující profily uživatelů:
2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a v místní nabídce poté klepněte na
3. Klepněte na kartu Upřesnit a v části Profily uživatelů klepněte na tlačítko Nastavení. Zobrazí se karta s profily
všech uživatelů, kteří se k počítači dosud přihlásili.
Obrázek 13.2
Karta s profily uživatelů
Jako správci můžete ze seznamu odstranit profil kteréhokoli uživatele s jedinou výjimkou nelze odstranit svůj vlastní profil.
Pokud nepatříte mezi správce počítače, zobrazí se v seznamu pouze váš profil. Ten pochopitelně také nelze odstranit.
Vzhledem k tomuto chování se dá říci, že podle existence či neexistence profilu můžete potvrdit, zda konkrétní uživatel byl či
nebyl k počítači přihlášen (podle data můžete dokonce určit kdy). Uživalel není schopen po sobě tuto informaci odstranit.
Prostředí, ve kterých lze podobnou strategii využít, se vyznačují přiřazením počítačů uživatelům v poměru 1:1. To znamená, že
každý uživatel má k dispozici svůj vlastní počítač, se kterým pracuje drtivou většinu pracovní doby. V takovém případě skutečně
není třeba řešit stejnou konfiguraci prostředí pro stejného uživatele ve více počítačích.
Co na to naše organizace?
Bude ale takové prostředí vhodné pro naši organizaci? Pokud bude mít každý uživatel svuj počítač, potom zcela jistě ano. Jedná
se však o obchodní organizaci, jejíž model prodeje může být následující.
Obchodníci mají k dispozici svou místnost, kde má každý z nich svůj vlastní počítač. Mimo tuto místnost má organizace ještě
jednu prodejní místnost, kde jsou dvě pracoviště, na kterých se obchodníci setkávají se zákazníky a odkud jim prodávají své
zboží.
Obchodníci mají ve svých počítačích veškeré vlastní dokumenty, jež nutně ke každému prodeji potřebují. Tyto dokumenty ukládají
do výchozí složky - Dokumenty. V počítačích určených pro prodej zákazníkům jsou navíc nainstalované veškeré aplikace,
které obchodníci běžně používají ke své činnosti.
Pro tyto účely by tedy bylo velmi vhodné, aby měli obchodníci k dispozici nejen své dokumenty, ale i veškerá nastavení, v jakémkoli
počítači, ke kterému se přihlásí. Vždyť už jenom představa, že musí jít prodávat k jinému počítači s jiným nastavením, může
obchodníka natolik odradit, že při přímé komunikaci se zákazníkem nepodá svůj obvyklý výkon. O shánění potřebných
dokumentů pro tento účel v jiných počítačích ani nemluvě. Zkrátka - v takovémto typu organizace jsou pro obchodníky místní
profily nedostatečným řešením.
137
Někteří uživatelé potřebují stejné nastavení všude, kde se
přihlásí
V našem případě se jedná o obchodníky. U nich bude třeba zajistit takové profily, které budou „cestovat" v síti spolu s
uživatelem. Pokud se obchodník přihlásí ke svému počítači v kanceláři, načte se mu jeho profil. On provede změnu (například
do složky Dokumenty přidá nový soubor) a odhlásí se. Tato změna se uloží do cestovního profilu a při příštím přihlášení
(například k počítači v prodejní místnosti) se znovu načte.
Aby se toto všechno mohlo provést, musí být splněno několik důležitých věcí:
♦ Cestovní profily musí být uloženy v počítači, který je neustále k dispozici (tedy zapnut a plně funkční).
♦ Počítač s cestovními profily nesmí nikdy odmítnout pokus o připojení (musí mít dostatek klientských přístupových
licencí, rozhodně se nemůže jednat o klientský operační systém).
♦ Cestovní profil je nutné definovat ve vlastnostech doménového uživatelského účtu.
Funkce cestovního profilu si ukážeme a ověříme na uživateli Obchod2. Základní konfiguraci provedete podle následujícího
postupu.
Poznámka
Cestovní profily jsme již konfigurovali v kapitole 4. Tehdy jsme však pracovali v prostředí pracovní skupiny a s místními účty. Nyní
je situace poněkud jiná (a více odpovídající reálnému prostředí), takže i postupy se budou lišit.
Konfigurace cestovního profilu
2. Spusťte aplikaci Průzkumník Windows a na jednotce C: vytvořte složku CestProfily
3. Povolte sdílení této složky a oprávnění ke sdílení nakonfigurujte pro skupinu Authenticated Users na Úplné
řízení. Oprávnění NTFS ponechejte ve výchozím nastavení.
4. Spusťte konzolu Uživatelé a počítače služby Active Directory a zobrazte vlastnosti účtu Obchod2.
5. Klepněte na kartu Profil a do pole Cesta k profilu zadejte cestu \\SRVR001\CestProfily\%username%. Klepněte
na tlačítko OK.
Poznámka
Proměnná %username% reprezentuje přihlašovací jméno uživatele. Pokud zadáváte cestu k profilu ručně, je prakticky jedno,
zda použijete cestu s proměnnou nebo zda přímo zadáte přihlašovací jméno uživatele. Použití proměnné je vhodné v
případech, kdy provádíte dávkovou změnu uživatelských účtů, například pomocí skriptu ADSL
Zabezpečení cestovních profilů
Při prvním přihlášení uživatele Obchod2 se vytvoří cestovní profil (přesněji řečeno složka Obchod2) na serveru SRVR001. Ta
se naplní potřebnými informacemi až v okamžiku odhlášení uživatele. Celý profil uživatele bude pomocí oprávnění NTFS
zabezpečen ta k , že clo něj bude mít přístup pouze uživatel. Správci (skupina Administrators) standardně přístup nezískají.
Aby se člen skupiny Administrators k souborům profilu na serveru dostal, musel by v I a kovém případě převzít vlastnictví
celého profilu (tedy všech složek a souborů). Tím se však změní vlastník, což může mít vliv na nefunkčnost cestovních
profilů. Před nasazením cestovních profilů je tak nutné zvážit systémovou úpravu oprávnění přístupu NTFS k cestovním
profilům uživatelů. Ta spočívá v konfiguraci Zásad skupiny, která zajistí, že v seznamu řízení přístupu bude oprávnění Úplné
řízení také pro skupinu Administrators. Tuto konfiguraci doporučuji provést ihned podle následujících pokynů.
Přidání skupiny Administrators do seznamu řízení přístupu (ACL)
1.
2.
3.
4.
Spusťte nástroj Uživatelé a počítače služby Active Directory.
Pravým tlačítkem myši klepněte na název domény (studny.local) a v místní nabídce poté zvolte položku Vlastnosti.
Na kartě Zásady skupiny poklepejte na položku Default Domain Policy. Spustí se konzola pro úpravu objektu s
tímto názvem.
5. V části Konfigurace počítače rozbalte postupně položky Šablony pro správu a Systém. Poté klepněte na položku
Profily uživatelů.
6. V pravém podokně konzoly poklepejte na zásadu Přidat skupinu Administrators do profilů cestujících uživatelů a
poté zaškrtněte políčko Povoleno. Dialogové okno zavřete klepnutím na tlačítko OK.
Upravenou zásadu je třeba promítnout na server s profily - tedy SRVR001. Přihlaste se k serveru SRVR001 jako správci a na
příkazovém řádku spusťte nástroj GPUPDATE.
Důležité
Skupina Administrators se přidá do seznamu řízení přístupu pouze u cestovních profilů vytvořených po aplikaci této zásady.
138
Ověření funkce cestovního profilu
1. Nyní se přihlaste k počítači PC001 jako uživatel Obchod2.
2. Po přihlášení klepněte v Nabídce Start pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce
klepněte na položku Vlastnosti.
.1 Na kartě Upřesnit klepněte v části Profily uživatelů na tlačítko Nastavení. V dialogovém okně Profily uživatelů
ověřte, že se jedná o Cestovní prolil.
4. Nyní ověříme funkčnost cestovního profilu. Na pracovní ploše vytvořil: Nový textový dokument (můžete ponechat
výchozí název). Poté klepněte v Nabídce Start na položku Dokumenty a vytvořte v ní nový Zvuk ve formátu Wave
(ponechte výchozí název).
5. Odhlaste se od počítače PC001.
V tuto chvíli došlo ke zkopírování změn v cestovním profilu na server. V počítači PC001 profil uživatele Obchod2 však i nadále
zůstává.
Ověření změn ve složce CestProfily
2. Spusťte okno aplikace Průzkumník Windows a přejděte do složky CestProfily.
Měli byste vidět složku Obchod2, která se vytvořila automaticky při prvním přihlášení uživatele.
3. Přejděte do složky Obchod2. Poté poklepejte na složku obchod2 - dokumenty a ověřte přítomnost zvukového
souboru Wave. Dále poklepejte na složku Plocha a ověřte přítomnost textového souboru. Oba soubory byste měli
vidět.
Možná jste zaregistrovali, že uživatelé využívající cestovní profily nemají v systému Windows XP Professional k dispozici nové
uživatelské rozhraní (přesněji řečeno motiv Windows XP). Toto chování odpovídá návrhu cestovních profilů, neboť se
předpokládá, že uživatel se může přihlásit i k počítači se systémem Windows 2000 Professional, kde by motiv Windows XP
neměl žádnou cenu.
Pokud chce mít uživatel využívající cestovní profil k dispozici rozhraní s motivem Windows XP, musí si jej nakonfigurovat
ručně.
Konfigurace motivu Windows XP
1. V systému Windows XP Professional klepněte pravým tlačítkem myši na pracovní plochu a v místní nabídce poté
klepněte na položku Vlastnosti.
2. Na kartě Motivy poté v rozévíracím seznamu Motiv vyberte položku Windows XP.
3. Dialogové okno zavřete klepnutím na tlačítko OK.
Načtení existujícího cestovního profilu
Při náhledu přímo do profilu uživatele na serveru vás možná napadlo, že kdybyste do složky Plocha uložili nějaký nový
soubor (nebo zástupce na soubor), měl by ho uživatel ihned po přihlášení na očích. Co takhle využít tuto možnost pro sdělování
informací uživatelům? Bude to funkční? Vyzkoušejme to.
1. Ověřte, že uživatel Obchod2 není přihlášen k žádnému počítači.
2. Přihlaste se k počítači SRVR001 jako správci a ve složce CestProflly přejděte v profilu uživatele Obchod2 do
složky Plocha. Vytvořte zde na zkoušku nový dokument ve formátu RTF.
3. Nyní se na pracovní stanici, odkud jste se naposledy jako uživatel Obchod2 odhlásili, přihlaste jako uživatel Obchod2.
Po přihlášení zjistíte, že na ploše se nový objekt zobrazil.
Ale pozor! Pokud byste se přihlásili k počítači se systémem Windows 2000 Professional, nová položka by se na ploše
nezobrazila. Rozdíl je v práci s existujícími cestovními profily v různých systémech. Obecně jsou všechny systémy standardně
nakonfigurované tak, že i po odhlášení zůstává v místním počítači kopie cestovního profilu.
Systém Windows XP Professional
Pokud uživatel používá cestovní profil a v počítači již byl předtím přihlášen, postupuje se následovně:
1. Systém vyhledá v registru informaci o tom, že v místním počítači existuje místní kopie cestovního profilu uživatele.
2. Provede mapování podregistru N T U s e r . d a t do registru HKEY_CURRENT_USER.
3. Porovná místní kopii profilu se serverovou verzí a provede jejich sloučení. Výsledný profil načte.
Systém Windows 2000 Professional
Systém Windows 2000 Professional se ve stejné situaci zachová jinak:
1. Systém vyhledá v registru informaci o tom, že v místním počítači existuje místní kopie cestovního profilu uživatele.
2. Porovná časové razítko souboru N T U s e r . d a t v místním počítači se stejným souborem na serveru.
3. Pokud budou časová razítka shodná, načte se profil z místní mezipaměti. Pokud je na serveru časové razítko novější,
načte se profil ze serveru.
Zde je odpověď na to, proč by nedošlo k zobrazení nového dokumentu na ploše. Aby k lomu opravdu došlo, museli byste
139
kromě dodání dokumentu do cestovního profilu na serveru ještě navíc změnit časové razítko souboru N T U s e r . d a t na serveru.
Teprve potom byste měli jistotu, že nový soubor se zobrazí na ploše v každém případě.
Používání cestovních profilů
S používáním cestovních profilů souvisí ještě řada dalších věcí, na které je třeba dát před nasazením cestovních profilů pozor.
Místo na disku
Systémy Windows jsou standardně nakonfigurované tak, že i pokud uživatel používá cestovní profil, zůstává po jeho odhlášení v
místním počítači jeho kopie. Znamená to, že je nutné dávat pozor na dostatek volného místa na disku, neboť aby se další uživatel
úspěšně přihlásil, musí být na disku dostatek volného místa pro jeho profil.
Tuto chování se dá změnit tak, že při odhlášení uživatele se cestovní profil z počítače od straní. Ne vždy však musí být toto
nastavení žádoucí (například u přenosných počítačů), navíc úzce souvisí s provozem v síti.
Zatížení sítě
Součástí profilu uživatele je také složka dokumenty. Pokud se budou uživatelé choval po dle Filozofie systému Windows 2000 či
Windows XP o ukládání dat tak, že je budou opravdu ukládat do složky Dokumenty, můžete se při přechodu na cestovní
prolily dostat do nezáviděníhodné situace. Velikost uživatelského profilu totiž může v takovém případě dosáhnout až několika
gigabajtů a než se celý objem dat při prvním přihlášeni uživatele k počítači přenese, nezobrazí se uživateli pracovní plocha a on
tak nemůže pracovat. Ve větších sítích Ethernet o rychlosti 100 Mbps je k přenosu 2 GB dat zapotřebí cca 30 minut času, což by
uživatele nadměrně obtěžovalo.
Pokud však uživatel toto zdržení vydrží a po dokončení práce se odhlásí, na server se přenesou pouze změny profilu (tedy nové
a upravené dokumenty či nastavení) a při dalším přihlášení se již načte profil z místní mezipaměti. Pokud by se ale používalo
nastavení zmíněné v předchozím odstavci, opakoval by se tento zdlouhavý proces při každém přihlášení.
Řešení tedy není v automatickém odstraňování místní kopie cestovního profilu při odhlášení uživatele, ale v další možnosti
systémů Windows XP Professional a Windows 2000 — přesměrování složek. O tom ale bude řeč až v dalších kapitolách.
Pro úspěšné využívání cestovních profilů by měly mít všechny počítače, ke kterým se bude stejný uživatel přihlašovat, stejnou
nebo alespoň velmi podobnou konfiguraci (stejné rozdělení diskového prostoru, přibližně stejné velikosti jednotek, stejné místo
pro ukládání profilů, stejné nainstalované aplikace, jejich verze a aktualizace Service Pack).
Doporučené postupy
Pro co nejoptimálnější používání cestovních profilů dodržujte následující doporučené postupy.
Zakažte možnost přihlášení se před spuštěním sítě
Jedná se o novinku v systému Windows XP Professional. Pokud je tato funkce zapnuta (výchozí nastavení systému), přihlásí se
uživatel s cestovním profilem vždy z místní mezipaměti. Pokud byste přecházeli na cestovní profily z místních, trvalo by uživateli
dvě přihlášení, než by se tato změna projevila.
Poznámka
Toto nastavení jsme vypnuli v kapitole 7, „Instalujeme doménu" a nutno dodat, že veškeré postupy v této kapitole počítají s jeho
vypnutím. Pokud jste toto nastavení nevypnuli, naleznete jej v objektu zásad skupiny Default Domain Policy v části Konfigurace
počíta-če\Šablony pro správu\Systém\Přihlášení jako zásadu Při spouštění a přihlašování počítače vždy počkat na síť.
Cestování mezi počítači s různými operačními systémy (Windows 2000 a Windows XP)
Pro úspěšné cestování mezi operačními systémy Windows 2000 a Windows XP Professional platí následující pravidla:
♦ Kdykoli se tomuto cestování můžete vyhnout, udělejte to.
♦ V obou systémech musí být nainstalované stejné verze aplikací.
♦ Aplikace musí být nainstalované ve stejných složkách a na stejných jednotkách.
♦ Operační systémy musí být nainstalované na stejných jednotkách a ve stejných
složkách.
Zajistěte si jako správci přístup do cestovních profilů uživatelů
Přístup do profilů uživatelů je z hlediska správy sítě nutný. Zajistěte si jej pokud možno ještě před spuštěním používání
cestovních profilů (viz konfigurace dříve).
140
Přesměrujte umístění složky Dokumenty mimo cestovní profil uživatele
Přesměrováním složky Dokumenty zajistíte plynulejší a rychlejší první přihlašování uživatelů používajících cestovní profily k
počítačům. Přesměrováním složek se budeme zabýval v dalších kapitolách.
;
Nešifrujte soubory v cestovním profilu
Šifrování systému souborů (EFS) není s cestovními profily kompatibilní. Pokud zašifrujete složky či soubory v cestovním profilu,
profil přestane „cestovat".
Konfigurace cestovních profilů v naší organizaci
V předchozích příkladech jsme si ukázali podobné postupy pro konfiguraci cestovních profilů. Nyní je na čase uvést tyto
postupy v praxi za dodržení přesného postupu. Ces-lovní profily nakonfigurujeme (zatím) pouze pro členy obchodního
oddělení. Pokud jste j i / některé kroky provedli, neopakujte je, případně je zopakujte pouze pro zbývající uživatele. Postupujte
tedy následovně:
♦ Na jednotce C: serveru SRVR001 vytvořte sdílenou složku CestProfily s příslušnými oprávněními (viz postup výše v
této kapitole).
♦ Pomocí objektu Zásad skupiny Default Domain Policy nakonfigurujte přidání skupiny Administrátor do cestovních
profilů uživatelů. Konfigurací dané zásady v tomto objektu zajistíte aplikaci zásady na jakémkoli počítači v doméně (viz
po stup výše v této kapitole).
♦ Ve vlastnostech všech uživatelů obchodního oddělení (Obchod1 — Obchod5) na definujte cestu k cestovnímu profilu ve
tvaru \\SRVR001\CestProfily\%username% (viz postup výše v této kapitole).
♦ Přihlaste se jako vybraný uživatel obchodního oddělení na kterémkoli počítači a ověřte, že typ profilu je cestovní
(viz postup výše v této kapitole).
♦ Jako správci ověřte, že můžete přistupovat do složek s cestovními profily uživatelů na serveru SRVR001.
♦ V případě potřeby informujte uživatele, aby si v systémech Windows XP Professional změnili motiv na Windows XP.
Výchozí profil uživatele
K úplné spokojenosti správce s nasazením cestovních profilů zbývá ještě jedna věc. Pokud se přihlásí uživatel úplně poprvé,
vytvoří se mu automaticky profil, který je předdefinovaný v operačním systému. To se ale správcům nemusí líbit, protože prolil
nemusí odpovídat jejich představám. A chtít po uživatelích, aby si jej po prvním přihlášení sami p o d l e u l i c návrhu správce
překonfigurovali, není možné.
Pokud se uživatel přihlašuje úplně poprvé, znamená to, že v počítači žádný prolil pro tohoto uživatele neexistuje. V dalším kroku se
tak systém podívá do složky NETLOGON řadiče domény, který provádí ověření uživatele, a ověřuje existenci složky s názvem
Default User obsahující profil uživatele. Pokud tuto složku nalezne, použije tento prolil. Pokud složku nenalezne, vygeneruje
systém uživateli profil automaticky.
POZOR Tento postup se provede vždy při prvním přihlášení bez ohledu na typ profilu uživatele. Znamená to, že jako správci
můžete velmi jednoduše rozhodnout, j a k budou vypadat výchozí profily uživatelů. Další možnosti úpravy profilu uživatelem je
pak možné omezit pomocí Zásad skupiny.
Pro úplné pochopení způsobu generování výchozího profilu uživatele si jej projdeme.
Vytvoření referenčního (výchozího) profilu
1. K počítači PC001 se přihlaste jako uživatel, který nemá definován cestovní profil (například Marketingl). Nezáleží na
tom, zda již byl uživatel k tomuto počítači dříve přihlášen. Načte se jeho profil.
Poznámka
Optimálním případem by bylo využít účet uživatele, který k danému počítači ještě přihlášen nebyl. V opačném případě byste
totiž nemuseli postřehnout všechny změny, které již uživatel ve svém profilu provedl (například uložené dokumenty ve složce
Dokumenty, které by se tak staly součástí výchozího profilu pro všechny uživatele).
2. Jako uživatel Marketingl upravte svůj profil. Aby byly úpravy na první pohled zřejmé, provedeme následující:
■ Pravým tlačítkem myši klepněte na tlačítko Start a poté v místní nabídce klepněte na položku Vlastnosti. Zaškrtněte
políčko Klasická nabídka Start a poté klepněte na tlačítko OK.
■ Pravým tlačítkem myši klepněte na pracovní plochu a poté klepněte na položku Vlastnosti. Na kartě Plocha vyberte
v části Pozadí položku Mýdlové bubliny a poté klepněte na tlačítko OK.
■ Na pracovní ploše vytvořte nový textový dokument s názvem Nejdříve si přečtěte... Umístěte jej přibližně do středu
pracovní plochy.
■ Poklepejte na složku Dokumenty a vytvořte v ní složku s názvem Směrnice společnosti. V provozním prostředí
byste tuto složku naplnili všemi směrnicemi, které jsou pro nové pracovníky důležité.
Poznámka
Mezi další zajímavá nastavení patří spuštění aplikace Internet Explorer, konfigurace serveru Proxy pro připojení k Internetu,
konfigurace výchozí stránky, případně úprava oblíbených položek.
■
141
Zkopírování profilu na server
2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky
WINDOWS\SYSVOL\sysvol\studny.local\scripts. Zde vytvořte novou složku s názvem Default User.
3. V Nabídce Start nyní klepněte na položku Spustit a do pole Otevřít zadejte cestu \\PC001\C$. Zobrazí se okno
aplikace Průzkumník Windows s obsahem jednotky C: počítače PC001. Přejděte do složky Documents and
Settings\Marketingl.
4. Ověřte, zda máte nastaveno zobrazení skrytých souborů. Pokud ne, nastavte jej ( j i nak se nepodaří zkopírovat celý profil).
Měli byste vidět celý profil uživatele Marketing1.
Obrázek 13.3 Profil uživatele Marketing1 včetně skrytých složek
5. Obsah profilu uživatele Marketingl zkopírujte do složky Default User vytvořené v kroku číslo 2. Kopírování by nemělo
trvat déle než několik sekund.
Poznámka
Složku Default User je nutné vytvořit vždy na jakémkoli řadiči domény přesto, že cestovní profily mohou být uložené na členském
serveru. Pokud budete mít v síti více řadičů domény, je nutné nyní vyčkat, než proběhne replikace dat, neboť složka Default User
s výchozím profilem musí být uložena na řadiči domény, jenž bude provádět ověření přihlášeni uživatele (dopředu nelze ovlivnit,
který to bude). V našem prostředí máme jediný řadič domény, takže v dalších krocích můžeme pokračovat ihned.
Ověření funkčnosti výchozího profilu
1. Přihlaste se k jakémukoli klientskému počítači jako uživatel s nadefinovanými cestovním profilem, který však ještě předtím
nebyl nikdy přihlášen. Pokud lakový uživatel neexistuje, můžete si pro tento účel některého vytvořit nebo jednoduše od
Straňte složku s cestovním profilem nějakému uživateli na serveru SRVR001 ve složce C:\CestProfily a poté odstraňte
jeho místní profil v počítači, ke kterému se chcete přihlásit.
2. Ověřte, zda profil uživatele odpovídá výchozímu profilu vytvořenému v předchozích odstavcích. Mimo jiné byste měli
přibližně ve středu plochy viděl soubor Nejdříve si přečtěte... a ve složce Dokumenty složku Směrnice společnosti.
Samozřejmě budete mít k dispozici klasickou Nabídku Start a změněné pozadí pracovní plochy.
3. Ověřte, zda je profil v počítači opravdu cestovní (v dialogovém okně Systém klepněte na kartě Upřesnit v části profily
uživatelů na tlačítko Nastavení).
4. Odhlaste se.
5. Nyní vyzkoušíme podobný postup s účtem, který nemá nakonfigurován v Aktive Directory cestovní profil a jenž nebyl
nikdy k danému počítači přihlášen (nebo byl, ale poté jste jeho profil odstranili).
6. Přihlaste se ke klientskému počítači jako uživatel bez cestovního profilu.
7. Všimněte si, že výsledek je stejný jako v předchozím případě. I tomuto uživateli se stáhl profil ze složky Default User
vytvořené na řadiči domény.
8. Ověřte, že se jedná o místní profil uživatele.
9. Odhlaste se.
Z celého ověřeného postupu vyplývá jedna zásadní věc. Jedná se o velmi systémové řešení, pomocí něhož lze velmi jednoduše
určit, jak budou vypadat profily nových uživatelů, kteří přicházejí do společnosti. Zároveň toto chování nezávisí na typu
profilu, takže je velmi univerzální.
142
Poznámka
V praxi jsem se setkal s případem společnosti čítající několik tisíc uživatelů a počítačů. Ta řešila výchozí profil nových uživatelů
tak, že jej kopírovala do složky Default User do všech místních počítačů. Takový příklad jasně ukazuje, jak může neznalost
prostředí zbytečně přidělat práci několika dalším správcům. Horší z pohledu oné společnosti bylo, že si pro tuto práci najímala
externího dodavatele, kterému za provedené práce platila desetitisíce korun. Těžko věřit, že by to celé prováděla jen proto,
aby nezatěžovala síťové linky při stahování profilu z řadiče domény do místního počítače.
Bude se nastavení uživatelů ukládat?
Při prvním přihlášení nového uživatele se uživateli zobrazí pracovní plocha, Nabídka Start a další položky potřebné k jeho práci.
Toto prostředí ale nezůstane vždy stejné. Některý z uživatelů bude chtít umístit na plochu zástupce na složku s důležitými
dokumenty, jiný si upraví vzhled Nabídky Start, další z uživatelů si změní spořič obrazovky a čas, po němž . začne být aktivní.
Všichni uživatelé ale pravděpodobně začnou postupně plnit složku Dokumenty vytvořenými či získanými dokumenty.
Zkrátka - profil každého uživatele začne dříve či později doznávat změny. Otázka zní, zda je takový stav pro správce
správný. Zda je z hlediska podpory uživatelů udržitelný u zda je například udržitelný, i co se velikosti profilu týká.
Připomeňme jenom stav, kdy uživatel používá cestovní profil, jehož velikost je díky spoustě dokumentů ve složce Dokumenty i
několik gigabajtů.
Každý správce by byl zřejmě rád, kdyby uživatelé mohli upravovat pouze některé části profilu, zatímco u ostatních by měl
vždy jistotu, že zůstávají stále ve výchozím nastavení. Je to možné zajistit?
Další typ profilu uživatele
Existuje možnost nakonfigurovat profil, do kterého se nebudou změny provedené uživatelem ukládat. Jedná se o takzvaný
povinný (mandatory) profil. Tento typ profilu je znám již z operačního systému Windows NT 4.0 a přetrvává dodnes.
Konfigurace povinného profilu
1. Přihlaste se k počítači PC001 jako uživatel používající cestovní profil (například Obchod3). Prohlédněte si některá z
nastavení a odhlaste se.
2. Přihlaste se jako správci k počítači SRVR001.
3. Přejděte do složky C:\CestProfily\Obchod3 a soubor NTUSER.DAT přejmenujte na NTUSER.MAN.
Poznámka
Soubor NTUSER.DAT je standardně skrytým souborem. Abyste jej viděli, je nutné mít zapnuté zobrazení skrytých souborů.
Ověření funkce povinného profilu
1. Přihlaste se znovu jako předchozí uživatel (Obchod3) k počítači PC001 a proveďte změny v konfiguraci pracovní plochy,
případně Nabídky Start. Můžete také odstranit soubor Nejdříve si přečtěte... z plochy.
2. Odhlaste se od počítače. Nastavení profilu se nyní neuloží na server. V následujícím kroku to ověříme.
3. Přihlaste se znovu jako uživatel Obchod3 k počítači PC001. Ověřte, že zůstala platná původní nastavení (včetně
souboru Nejdříve si přečtěte... na pracovní ploše).
Nároky na správu
Konfigurace cestovního profilu změnou přípony souboru NTUSER.DAT je možností přetrvávající ze systému Windows NT 4.0.
Od chvíle, kdy takto profil uživatele nakonfigurujete do něj můžete zasahovat pouze vy jako správci. Pozor na to! Pokud jste
právě našli v cestovních profilech zalíbení, mějte na paměti, že mohou způsobit nečekané s t a r o s t i se správou, zejména v
prostředí s rostoucím počtem uživatelů. V takovém případe budete muset vyhodnocovat požadavky uživatelů týkající se úpravy
profilů, případně požadované úpravy přímo provádět. Na druhou stranu však máte jistotu o tom, j a k p r o f i l uživatele vypadá.
Jsou však samozřejmě situace, kdy se povinný profil vyplatí. Představte si například v r á t n i c i podniku, ve které se střídají tři
vrátní. Ti sdílejí pro svou práci jeden účet. Pokud byste jim umožnili zasahovat do úpravy profilu, mohlo by se například stát, že
jeden z nich by na pozadí pracovní plochy umístil fotografii sličné ženy, u které by se vrátná, jež na stupuje další směnu, mohla
psychicky zhroutit. V tomto případě je tak jednoznačným řešením povinný profil.
143
Další možnosti konfigurace
Přejmenovávat soubor NTUSER.DAT na NTUSER.MAN může být reálná práce u řádově jednotek uživatelů. Jak to ale zajistit v
sítích s několika sty či tisíci uživateli? S vývojem provozních prostředí se vyvíjely i operační systémy. Spolu s operačním systémem Windows 2000 přišly na svět funkce IntelliMirror, z nichž jednou je funkce Zásady skupiny. Pomocí těchto zásad lze
spravovat klientské počítače vzdáleně a omezit tak uživatele poněkud jinými způsoby než přejmenováním souboru. Podstatné
však je, že zde stačí jediné nastavení, které může ovlivnit i několik tisíc uživatelů či počítačů. Pokud tedy máte v síti systémy
Windows 2000 a vyšší, tedy Windows XP Professional, a pracujete v prostředí domény, používejte raději Zásady skupiny. Je to
rychlejší, jednodušší a operativnější možnost správy většího množství klientských počítačů. Například v předchozím příkladu s
vrátnými by stačilo použít zásadu Skrýt kartu Plocha.
Poznámka
Se Zásadami skupiny se seznámíme v kapitole 17, „Správa prostředí klientských počítačů".
Je vůbec změna přípon systémovým řešením? Odpověď je, že není. Povinné profily lze takto konfigurovat pouze v případě, že
uživatel používá cestovní profil, který je pochopitelně uložen na serveru. Asi si lze těžko představit situaci, že v případě
místního profilu by se správce vzdáleně „dobýval" do místního počítače uživatele a měnil příponu souboru NTUSER.DAT tam.
Navíc změna přípony souboru NTUSER.DAT se dá provést pouze v existujícím profilu. Pokud změníte příponu ve složce
Default User na řadiči domény, nebude se výchozí profil v klientských počítačích chovat korektně. To, že se jedná o povinný
profil, se ve vlastnostech panelu Systém zobrazí až po druhém přihlášení a i tak bude možné provádět v profilu úpravy.
Pryč od nesystémových řešení! Jak tedy povinné profily nasadit a spravovat? Při nasazení a správě povinných profilů se řiďte
následujícími doporučeními:
♦ Povinný profil použijte až v případě, kdy neexistuje jiné, lepší řešení (tím je například využití Zásad skupiny).
♦ Povinné profily používejte pouze výjimečně (viz příklad s vrátnými).
♦ Místo přejmenování souboru NTUSER.DAT na NTUSER.MAN můžete použít zásadu skupiny Zabránit v šíření změn
cestovních profilů na server, která je k dispozici v cestě Konfigurace počítače\Šablony pro správu\Systém\Profily
uživatelů.
Upozornění
Zásada skupiny uvedená ve třetím bodu se nebude aplikovat na systémy Windows 2000. Je určena pouze pro systémy
Povinné profily a dokumenty uživatelů
Pokud změníte profil uživatele na povinný, jste jedinými uživateli, kteří jsou schopni provádět v něm změny, pouze vy jako
správci (přesněji každý člen skupiny Administrators). Pokud ale uživatel pracuje se složkou Dokumenty, upravuje přece obsah
svého profilu, neboť složka Dokumenty je jednou z jeho částí. Aby uživatelé nebyli překvapeni, že uložené soubory do složky
Dokumenty nebudou nul při příštím přihlášení k dispozici, je nutné na tuto záležitost myslet a spolu se zavedením cestovních
profilů ji nakonfigurovat a uživatelům dát na vědomí.
Pokud uživatelé s povinnými profily nechtějí o dokumenty přijít, musejí je ukládat mimo svůj profil. Tím však ale může být
narušeno jejich zabezpečení, neboť mimo profil uživatele nejsou tyto soubory automaticky chráněny před přístupem jiných
uživatelů přihlášených ke stejnému počítači. Na druhou stranu - ukládání dokumentů v místních klientských počítačích není
zcela optimální ani z důvodu jejich zabezpečení před selháním hardwaru či obecně chybnou funkcí počítače. Do hry tedy
přicházejí domovské složky.
Domovské složky
Domovská složka je místem pro ukládání dokumentů uživatelů. Bývá umístěna na serve-n i , takže k dokumentům má uživatel
přístup z jakéhokoli počítače a je samozřejmě mimo prolil uživatele. Jeho velikost tedy nijak neovlivňuje a navíc má uživatel
data zaručena.
Konfigurace domovské složky
2. Spusťte aplikaci Průzkumník Windows a na disku C: vytvořte složku DomSlozky.
3. Povolte sdílení složky a oprávnění ke sdílení nakonfigurujte pouze pro skupinu Authenticated Users na úroveň
Úplné řízení.
4. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastnosti účtu, kterému chcete
nakonfigurovat domovskou složku.
Poznámka
Mělo by se jednat o účet, u kterého budete používat povinný profil. Pro vyzkoušení si vyberte jakýkoli existující účet nebo si
pro tento účel vytvořte nový.
5. Na kartě Profil zaškrtněte v části Domovská složka políčko Připojit, ponechte
písmeno jednotky Z: a do pole k: zadejte cestu:
\ \ SRVR001 \ DomSlozky\%username%.
6. Klepněte na tlačítko OK. Pokud se zobrazí zpráva Domovskou složku nelze vytvořit, klepnutím na tlačítko OK ji zavřete a
na tlačítko OK v dialogovém okně vlasi ností uživatele klepněte znovu. Zobrazí se informace, že složka již existuje i
dotaz, zda si přejete udělit uživateli oprávnění pro úplné řízení této složky. Klepněte na tlačítko Ano.
144
7.
V počítači SRVR001 ověřte existenci složky s názvem přihlašovacího jména ÚčtU, pro který jste domovskou složku
konfigurovali, ve složce C:\DomSlozky.
Ovéření funkčnosti domovské složky
1. Jako uživatel s nakonfigurovanou domovskou složkou se přihlaste k počítači PC001.
2. Otevřete okno aplikace Průzkumník Windows a ověřte přítomnost jednotky Z:
3. V jednotce Z: se pokuste vytvořit soubor, složku a poté vytvořené objekty odstraňte.
Ověření zabezpečení domovské složky
2. Zobrazte dialogové okno vlastností domovské složky vytvořené v předchozích krocích a klepněte na kartu Zabezpečení.
Všimněte si, že oprávnění skupiny Users, mezi které patří mj. vytvoření podsložek a souborů v dané složce, může
využívat kterýkoli uživatel. To z hlediska zabezpečení jistě není optimální.
3. Zrušte dědičnost oprávnění, dále klepněte na tlačítko Odebrat a poté klepněte dvakrát za sebou na tlačítko OK. V
seznamu řízení přístupu nebude žádný objekt.
4. Přidejte doménovou skupinu Administrators (v případě členského serveru místní skupinu Administrators) s
oprávněními Úplné řízení a dále přidejte účet uživatele, pro kterého jste tuto složku nakonfigurovali, taktéž s
oprávněními Úplné řízení. Poté klepněte na tlačítko OK.
Poznámka
Pokud vytvoříte domovskou složku v systému Windows 2000 Server, nakonfiguruje se přístup pro daného uživatele
automaticky a není nutné provádět jakoukoli další konfiguraci. Proč se stejný postup neprovede v systému Windows Server
2003, mi není známo (ověřeno na verzi Beta 2).
Pokročilá správa profilů uživatelů
Pokud se uživatel, který disponuje cestovním profilem, odhlásí od počítače, má v mezi-paměti počítače zůstat kopie profilu nebo
se má profil odstranit? Pokud profil v mezipaměti zůstane, nebude zbytečně zabírat místo? Kolik uživatelů se poté bude moci k
počítači přihlásit (pro kolik uživatelských profilů bude na disku místo)? Pokud se profil po odhlášení od počítače odstraní, bude se
uživatel moci přihlásit v režimu offline? Ještě nezodpovězených otázek je celkem dost a tento odstavec je tu proto, abychom na
ně odpověděli a ukázali místo, kde se dá další chování konfigurovat.
Odstranění profilu po odhlášení uživatele
Toto chování se konfiguruje pomocí zásady Odstraňovat kopie cestovních profilů z mezipaměti v části objektu Zásad
skupiny Konfigurace počítače\ Šablony pro správu\ Systém\Profily uživatelů.
Toto nastavení je určeno pro počítače, ve kterých je nebezpečné ponechávat informace z profilů uživatelů a pro počítače, jež
mají velmi málo volného místa na disku. Nevýhodou tohoto nastavení je nemožnost přihlásit se do svého profilu v případě, kdy
není počítač připojen k síti nebo kdy není dostupný řadič domény. K přihlášení uživatele tedy dojde, je však vygenerován
nový, dočasný profil. Navíc při dalším přihlášení uživatele k takovému počítači se bude celý profil stahovat znovu, což může
mít vliv na propustnost a rychlost sítě.
Zakázání používání cestovních profilů
Konfiguruje se pomocí zásady Povolit pouze místní uživatelské profily v části objektu Zásad skupiny Konfigurace
počítače\Šablony pro správu\Systém\Profíly uživatelů.
Je-li toto nastavení povoleno, potom pokud se poprvé přihlašuje uživatel s cestovním profilem, nedojde ke stažení profilu ze
síťového umístění, ale vytvoří se nový místní profil, který po odhlášení uživatele v počítači zůstane. Nastavení je tak vhodné
pro počítače, u kterých je nutné zajistit co nejrychlejší přihlášení uživatelů, jež není v žádném případě závislé na přenosu dat v
síti. Zároveň je vhodné pro počítač, u kterých chcete mít jako Správci vždy přehled, zda daný uživatel a kdy byl či nebyl
přihlášen.
Omezení velikosti profilu
Konfiguruje se pomocí zásady Omezit velikost profilu v části objektu Zásad skupiny Konfigurace uživatele\Šablony pro
správu\Systém\Profily uživatelů.
Pokud je v organizaci počítač, ke kterému se přihlašuje více uživatelů, může po čase dolil k zaplnění disku pouze profily
uživatelů. V takovém případě je vhodné hlídat velikost profilů. Jiným případem je jednoduše stav, kdy chce mít uživatel
informace o velikosti svého profilu, pokud je doporučeno dodržovat jeho maximální velikost (viz zatížení sítě při kopírování
cestovních profilů). Tato zásada může uživatele upozornit na stav, že překročil velikost profilu.
145
Obrázek 13.4
Upozornění na překročení maximální velikosti profilu
Uživatel pak musí před odhlášením velikost profilu zmenšit, jinak nebude odhlášení možní, V oznamovací oblasti se navíc
zobrazí výstražná ikona s informací, o kolik byla po-volená velikost profilu překročena. Pro tyto případy je vhodné
nakonfigurovat uživatelům domovské složky, aby měli místo pro uvolnění profilu (pro přesun dokumentů).
Závěr
Každý uživatel má v systémech Windows XP Professional a Windows 2000 (obecně v systémech řady NT) k dispozici svůj vlastní
profil. Jedná se o soubor dat a nastavení, jež patří uživateli a do kterých si uživatelé navzájem nemohou ani nahlížet.
Při přihlášení uživatele počítač v registru systému kontroluje, zda již existuje profil uživatele'. Pokud ano, načte jej, pokud ne,
vytvoří nový profil. Pokud chcete sjednotit vytváření nových profilů, zejména pokud chcete výchozí profil upravit, je nutné
výsledný profil umístit clo složky Default User do sdílené složky NETLOGON na řadiči domény a vyčkat replikace doménových
informací. Po odhlášení uživatele zůstávají změny provedené během práce součástí profilu a načtou se při dalším přihlášení.
Uživatelé kteří se během práce přemisťují mezi několika počítači, s nimiž potřebují plno hodnotně pracovat, ocení takzvaný
cestovní profil, tedy profil, jenž cestuje v počítačích spolu s uživatelem. Uživatel má tak v každém počítači, ke kterému se
přihlásí, stejné na stavení, dokumenty a další konfiguraci. Cestovní profily však s sebou přinášejí také zátěž v síti Pokud se uživatel
poprvé přihlásí k počítači, stahuje se celý profil do tohoto počítače serveru. Dokud se profil nestáhne, uživatel nemá možnost v
systému pracovat.
Pokud potřebujete u některých uživatelů zajistit trvale stejný profil, do kterého se nebudou promítat žádné změny, musíte
vytvořit takzvaný povinný profil. Ten lze vytvořit buď přejmenováním souboru NTUSER.DAT na NTUSER.MAN nebo
nakonfigurovat příslušné nastavení v objektu Zásad skupiny. Od povinných profilů se již nyní ustupuje, neboť kladou další nároky
na správce, a ke správě klientských počítačů se využívají objekty Zásad skupiny. Pokud přesto musíte povinný profil vytvořit, je
nutné také nakonfigurovat místo pro ukládání dokumentů, neboť i složka Dokumenty je povinným profilem a nemožností
provádět změny ovlivněna. Řešením může být vytvoření domovské složky na serveru, která se bude uživateli připojovat jako
vybrané písmeno jednotky (výchozí je písmeno Z:). Uživatel má v takovém případě své soubory k dispozici na jakémkoli
počítači, ke kterému se připojí.
Stav sítě
Pokud jste ještě neprovedli veškerá nastavení, zde je jejich souhrn:
♦ Nakonfigurujte výchozí profil pro všechny nové uživatele a uložte jej na řadič domény do sdílené složky NETLOGON do
podsložky s názvem Default User. Konfiguraci profilu ponechám na vás, zbytečně jej však neomezujte, neboť omezení
uživatelů budeme konfigurovat v kapitole 17, „Správa prostředí klientských počítačů".
♦ Pro uživatele obchodního oddělení nakonfigurujte cestovní profily, které budou uloženy na serveru SRVR001 ve
složce C:\CestProfily. Do profilů zajistěte přístup také skupině Administrators.
146
Potřebujeme tisknout
Tisk dokumentů je jednou ze základních potřeb a činností v každé počítačové síti. Pro správný, bezproblémový a rychlý tisk je
potřeba mít správné vybavení - tiskárny, rozhraní pro jejich připojení a také tiskové servery. To vše se samozřejmě neobejde bez
správného připojení a konfigurace.
I tiskové prostředí se vyvíjí a dříve či později může nastat situace, že rychlost tisku přestane některým uživatelům vyhovovat. Nebo
třeba nebude vyhovovat pouze členům vedení, což je asi nejčastější případ. Řešení takového stavu samozřejmě existují a jsou
někdy až překvapivě jednoduchá. V této kapitole se podíváme na základní konfiguraci tiskové infrastruktury i na řešení
nespokojenosti části nebo všech uživatelů s její rychlostí.
Kde nainstalovat připojenou tiskárnu?
V celém procesu instalace tiskárny hraje roli několik zařízeni. Protože budeme konkrétní výrazy v této kapitole používat, bude
vhodné si je nyní jasně definovat.
♦ Tiskové zařízení Běžně nazývané tiskárnou, je hardwarové zařízení, které provádí přímý tisk dat na papír či
podobné médium. Příkladem budiž tiskové zařízení HP LaserJet 6L.
♦ Tiskárna Je položka nainstalovaná v počítači, na kterou se provádí tisk. Příkladem budiž položka HP LaserJet 6L.
♦ Ovladač Je soubor či více souborů určených ke správné komunikaci s tiskovým zařízením. Ovladače jsou součástí
operačního systému nebo je dodává výrobce.
♦ Síťové rozhraní Je rozhraní, pomocí kterého se připojuje tiskárna podporující protokol TCP/IP přímo do sítě.
Příkladem budiž zařízení HP JetDirect. Tiskový server Je počítač, na kterém se vytváří lísková fronta dokumentů,
následně se zpracovává a odesílá přímo tiskovému zařízení.
♦ Tískový server Je počítač, na kterém se vytváří tisková fronta dokumentů, následně se zpracovává a odesílá přímo
tiskovému zařízení.
Naše společnost nyní koupila tiskárnu, na které by rádi tiskli všichni uživatelé. Abychom byli alespoň trochu aktuální, budeme
dále pracovat s tiskárnou HP LaserJet 2100. Mimo to si k serveru pomocí paralelního kabelu připojíme a nainstalujeme tiskárnu
HP DeskJet 610C, která nebude určená pro uživatele.
způsoby připojení tiskáren
Většinu tiskáren lze připojit k počítači pomocí paralelního kabelu nebo kabelu USB, tiskárny určené pro větší provoz v sítích
organizací lze připojit přímo do sítě pomocí kabelu TP. Pokud byste chtěli připojit tiskárnu, která má možnost připojení pouze
přes paralelní kabel, přímo do sítě pomocí kabelu TP, budete muset zakoupit zařízení označované jako JetDirect.
Pomocí paralelního kabelu se připojují tiskárny většinou v domácím prostředí. Uživatel má jediný počítač a jedinou tiskárnu,
navíc vše fyzicky u sebe, takže není důvod investovat prostředky do nákupu dalších zařízení, jejichž funkce by stejně zůstaly
nevyužity. V dalších krocích provedeme instalaci tiskáren.
Inkoustová tiskárna pro potřeby serveru
Touto tiskárnou je HP DeskJet 610C, která bude připojena přes paralelní port.
2. V Nabídce Start klepněte na položku Tiskárny a faxy. Otevře se okno se stejným názvem.
3. V horní části levého podokna klepněte na příkaz Přidat tiskárnu. Spustí se Průvodce přidáním tiskárny. Pokračujte
4. V dialogovém okně Místní nebo síťová tiskárna ponechte zaškrtnuté políčko Místní tiskárna připojená k tomuto
počítači a zrušte zaškrtnutí políčka Automaticky rozpoznat a instalovat tiskárnu typu Plug-and-Play. Poté klepněte
5. V dialogovém okně Vybrat port tiskárny ponechte výchozí nastavení (viz obrázek 14.1) a klepněte na tlačítko Další.
147
Obrázek 14.1
Tiskárna se bude instalovat na port LPT1
6. V dialogovém okně Instalace tiskového softwaru vyberte v podokně Výmluv položku HP a poté v podokně
Tiskárny položku HP DeskJet 610C. Pokračujíc klepnutím na tlačítko Další.
7. V dialogovém okně Pojmenovat tiskárnu ponechte výchozí text (HP DeskJet 610C) a klepněte na tlačítko Další.
8. V dialogovém okně Sdílení tiskárny zaškrtněte políčko Nesdílet tuto tiskárnu a poté klepněte na tlačítko Další.
Tiskárna je určena pouze pro server, není ledy důvod ji sdílet.
9. V dialogovém okně Tisk zkušební stránky zaškrtněte políčko podle svých možností a poté klepněte na tlačítko Další.
10. V dialogovém okně Dokončení Průvodce přidáním tiskárny si prohlédněte zadaná nastavení. Pokud je vše v pořádku,
klepněte na tlačítko Dokončit. Pokud chcete některé z nastavení změnit, klepněte na tlačítko Zpět a proveďte opravu.
Nově nainstalovaná tiskárna se nyní zobrazí v okně Tiskárny a faxy. Pokud nemá systém k dispozici ovladač, požádá o vložení
instalačního disku CD-ROM nebo je možné dodat ovladač přímo od výrobce.
Laserová tiskárna pro potřeby uživatelů
zakoupené tiskárně HP LaserJet 2100 jste navíc zakoupili zařízení HP JetDirect, pomocí kletého bude tiskárna připojena
přímo do sítě. Taková tiskárna musí mít vlastní adresu IP, kterou lze nakonfigurovat pomocí programu dodávaného k tiskárně
nebo ji tiskárni může získávat od serveru DHCP. Další informace naleznete v Příručce uživatele dodávané k tiskárně.
Pokud zvolíte získání adresy IP od serveru DHCP, bude vhodné pro tyto účely vytvořit na serveru DHCP rezervaci. Pro tiskárnu
však lze doporučit statickou adresu IP. Vyhnete se tak potížím v případě nedostupnosti serveru DHCP a dalším nutným
konfiguracím, z nichž jednou je konfigurace rezervace na serveru DHCP.
Rezervace adresy IP na serveru DHCP
Pokud se rozhodnete adresovat tiskárnu automaticky, bude třeba vytvořit rezervaci na serveru DHCP. Tiskárnám a dalším
zařízením jsme v kapitole 3, „Učíme počítače komunikovat v síťi přidělili rozsah adres IP 192.168.10.12 až 192.168.10.16. V
rezervaci využijeme
například první adresu IP. Budeme ale potřebovat ještě jeden parametr - fyzickou a d r e s u s í ťové karty zařízení HP JetDirect. V
příručce uživatele k tomuto zařízení by měl být popsán postup, jak ji určit.
2. Spusťte konzolu DHCP.
3. V konzole DHCP rozbalte položku serveru srvr00l.studny.local [192.168.10.2] a dále položku Obor [192.168.10.0]
Centrála společnosti.
4. Pravým tlačítkem myši klepněte na položku Rezervace a poté v místní nabídce klepněte na položku Nová rezervace.
5.. V dialogovém okně Nová rezervace zadejte do pole Název rezervace text Tiskárna HP 2100, do pole Adresa IP zadejte
adresu 192.168.10.12 a clo pole Adresa MAC zadejte fyzickou adresu síťové karty zjištěnou výše. Ostatní parametry
ponechte ve výchozím stavu a klepněte na tlačítko Přidat.
Obrázek 14.2
Rezervace adresy IP na serveru DHCP
148
Poznámka
Pokud je mezi rezervacemi ještě položka s adresou 192.168.10.16., odstraňte ji.
Tiskárnu HP LaserJet 2100 je nyní třeba připojit k síti a zapnout. Její adresa IP (ať přiřazená staticky či získaná od serveru
DHCP) tak bude aktivní.
Instalace tiskárny
3. V horní části levého podokna klepněte na příkaz Přidat tiskárnu. Spustí se Průvodce přidáním tiskárny. Pokračujte
4. V dialogovém okně Místní nebo síťová tiskárna ponechte zaškrtnuté políčko Místní tiskárna připojená k tomuto
počítači a zrušte zaškrtnutí políčka Automaticky rozpoznat a instalovat tiskárnu typu Plug-and-Play. Poté klepněte
Poznámka
Ačkoli se může zdát, že by bylo třeba zaškrtnout políčko Síťová tiskárna nebo tiskárna připojená k jinému počítači, není tomu
tak. Zaškrtnutím prvního políčka jasně říkáte, že počítač SRVR001 je takzvaným tiskovým serverem.
5. V dialogovém okně Vybrat port tiskárny zaškrtněte políčko Vytvořit nový port a v rozevíracím seznamu poté
vyberte položku Standardní port TCP/IP. Poté klepněte na tlačítko Další. Spustí se Průvodce přidáním portu
tiskárny TCP/IP.
6. Klepněte na tlačítko Další. Pokud jste nedefinovali název tiskárny formou záznamu typu A v DNS, zadejte do
pole Název či adresa IP tiskárny adresu 192.168.10.12. Pokračujte klepnutím na tlačítko Další.
7. V dialogovém okně Jsou vyžadovány dodatečné informace o portu vyberte položku Hewlett Packard Jet Direct
a poté klepněte na tlačítko Další.
8. V dialogovém okně Dokončení Průvodce přidáním standardního portu tiskárny TCP/IP si prohlédněte zadané
informace a poté klepněte na tlačítko Dokončit.
9. V dialogovém okně Instalace tiskového softwaru vyberte v podokně Výrobce položku HP a poté v podokně
Tiskárny položku HP LaserJet 2100. Pokračujíc klepnutím na tlačítko Další.
10. V dialogovém okně Pojmenovat tiskárnu ponechte výchozí text (HP LaserJet 2100) a ve spodní části okna ponechte
zaškrtnuté políčko Ano. Poté klepněte na tlačítko Další.
11. V dialogovém okně Sdílení tiskárny zaškrtněte políčko Nesdílet tuto tiskárnu a poté klepněte na tlačítko Další.
Tiskárnu budeme sdílet později.
12. V dialogovém okně Tisk zkušební stránky zaškrtněte políčko podle svých možností a poté klepněte na tlačítko Další.
13. V dialogovém okně Dokončení Průvodce přidáním tiskárny si prohlédněte zadaná nastavení. Pokud je vše v
pořádku, klepněte na tlačítko Dokončit. Pokud chcete některé z nastavení změnit, klepněte na tlačítko Zpět a
proveďte opravu.
Konfigurace parametrů tiskového serveru
Tím, že jsme provedli místní instalaci tiskáren, udělili jsme počítači SRVR001 další roli -roli tiskového serveru. Jedná se tedy o
počítač, který bude pro tyto dvě tiskárny zpracovávat tiskové fronty a jako jediný s nimi bude přímo komunikovat.
Funkce tiskového serveru jsou dány jeho konfigurací. Ta je nezávislá na počtu či typu na-instalovaných tiskáren.
Zobrazení vlastností tiskového serveru
2. V Nabídce Start klepněte na položku Tiskárny a faxy.
3. V okně Tiskárny a faxy klepněte v nabídce Soubor na položku Vlastnosti serveru. Zobrazí se dialogové okno
Tiskový server - vlastnosti.
149
Obrázek 14.3
Dialogové okno vlastností tiskového serveru
Z pohledu správy tiskáren je nejdůležitější částí zobrazeného dialogového okna karta Upřesnit. Na té lze konfigurovat
následující užitečné parametry:
Složku pro zařazování Jedná se o složku na pevném disku počítače, do které se ukládají tiskové úlohy pro všechny tiskárny
a v níž probíhá jejich zpracování. Z pohledu výkonu je optimální tuto složku umístit na fyzický disk, na kterém není
nainstalován operační systém. Taktéž se v praxi můžete setkat s tím, že na disku s touto složkou nebude dostatek volného místa,
což by mohlo způsobovat chyby v tisku. Poté je nutné zasáhnout a v tomto poli definovat složku novou.
Změna této složky se projeví ihned po klepnutí na tlačítko OK. Pokud však byly v tu dobu v původní složce nějaké tiskové
úlohy, jejich tisk neproběhne. Změnu složky je tak vhodné provádět v čase, kdy nepředpokládáte žádný tisk na tiskárny.
Protokolovat chybové, upozorňovací a informační události zařazovací služby Jedná se o tři nastavení, která zajistí
protokolování událostí do protokolů aplikací. Ty je možné zobrazit pomocí nástroje Prohlížeč událostí. Tato nastavení jsou
standardně zapnuta. Zvukový signál při chybě vzdálených dokumentů Pokud dojde k chybě při zpracování dokumentu
odeslaného k tisku ze vzdáleného počítače, ozve se zvukový signál. Toto nastavení je užitečné pouze v případě, kdy je server v
„doslechu" správců. V opačném případě zvukový signál nikdo neuslyší. Toto nastavení není standardně zapnuto. Zobrazovat
informační upozornění pro místní tiskárny Zobrazí stav tiskových úloh formou kontextové nápovědy při tisku na tiskárně
nainstalované v místním počítači. Zobrazí se v oznamovací oblasti uživatele, který úlohu odeslal. Toto nastavení není standardně zapnuto.
Zobrazovat informační upozornění pro síťové tiskárny Zobrazí stav tiskových úloh formou kontextové nápovědy při tisku
na tiskárny nainstalované v jiném počítači. Zobrazí se v oznamovací oblasti uživatele, který úlohu odeslal. Toto nastavení je
standardně zapnuto.
Oznámit tisk vzdálených dokumentů Pomocí síťové zprávy se uživateli zobrazí informace o tom, že dokument je vytištěn.
Toto nastavení není standardně zapnuto. Oznámit tisk vzdálených dokumentů počítači, nikoliv uživateli Pokud je
zapnuto předchozí nastavení, je možné zapnout i toto nastavení. V takovém případě nedojde k odeslání síťové zprávy uživateli,
ale počítači, ze kterého byl tiskový dokument odeslán. Pro naši síť bych doporučoval zaškrtnout předposlední políčko. O tuto
možnost totiž uživatelé v sítích nejčastěji usilují. O možnosti změnit umístění fronty pro zpracování dokumentů si můžeme
nechat jenom zdát, neboť máme k dispozici pouze jediný fyzický disk s jediným oddílem.
Konfigurace tiskáren
Předtím, než umožníte uživatelům tisknout na nainstalovanou tiskárnu, je třeba ji nakonfigurovat.
zobrazení vlastností tiskárny
1. Pravým tlačítkem myši klepněte na tiskárnu HP LaserJet 2100 a v místní nabídce poté vyberte položku vlastnosti.
Zobrazí se dialogové okno HP LaserJet 2100 -vlastnosti.
Karta upřesnit
Pokud chcete omezit tisk na tuto tiskárnu pouze na určitou denní dobu, zaškrtněte políčko Přístupna od do a definujte časové
rozmezí, po které bude tiskárna tisknout. Pokud byste měli v síti například barevnou laserovou tiskárnu a definovali časové
rozmezí tisku například 19-00 až 24.00, možná byste se za čas divili, proč někteří uživatelé najednou zustávají v práci tak dlouho.
Pokud uživatel odešle na tiskárnu dokument mimo časové rozmezí tisku, dokument se zařadí do fronty a vytiskne se, jakmile
nastane zadaný čas.
Karta zabezpečení
Na léto kartě se definují oprávnění tisku, správy dokumentů a správy tiskárny. Ve výchoz í m nastavení má oprávnění k tisku
skupina Everyone, tedy každý uživatel. V běžném provozu to nijak nevadí, ale později se setkáme s případem, kdy bude
nutné toto oprávnění měnit. Každý uživatel je dále schopen spravovat pouze vlastní dokumenty (viz oprávnění Správa
dokumentů) pro skupinu CREATOR OWNER. Znamená to, že nemůže například odstraňovat z tiskové fronty dokumenty ostatních
150
uživatelů. Aby mohli uživatelé začít tiskárnu HP LaserJet 2100 využívat, je třeba ji zpřístupnit. To provedeme jejím sdílením.
Zpřístupnění tiskárny
1. V dialogovém okně HP LaserJet 2100 —vlastnosti klepněte na kartu Sdílení.
2. Zaškrtněte položku Sdílet tuto tiskárnu a do pole Název sdílené položky zadejte název, pod kterým bude tiskárna v síti
vystupovat (například HP2100). Zároveň si všimněte, že je standardně zaškrtnuté políčko Zobrazit v adresáři.
Co toto políčko znamená? Pokud je zaškrtnuté, znamená to, že se v doménové databázi Active Directory vytvoří objekt
nasdílené tiskárny, podle kterého mohou uživatelé takto označenou tiskárnu najít. Jinými slovy zaškrtnutím tohoto políčka
zveřejníte informaci o zpřístupnění této tiskárny všem uživatelům, kteří na ni mohou tisknout. 3. Klepněte na tlačítko OK.
Nyní se vžijte do role uživatele, který si tuto čerstvě sdílenou tiskárnu chce nainstalovat do svého počítače. Pokud má ve
svém počítači systém Windows XP Professional nebo Windows 2000 Professional, vše půjde pravděpodobně velmi hladce.
Co by se ale stalo v případě, pokud by měl ve svém počítači systém Windows NT 4.0? Systém Windows NT 4.0 bude při
instalaci takové tiskárny potřebovat ovladače. V systému samotném s velkou pravděpodobností nebudou, takže se systém
podívá do složky
s ovladači tiskáren na server SRVR001. Jedná se o složku \\SRVR001\print$. Zde však ovladač také nenalezne, a tak zobrazí
žádost o vložení instalačního disku se systémem Windows NT 4.0 nebo o disk s ovladači. A jsme u jádra problému. Běžný
uživatel totiž nemá oprávnění instalovat do systému Windows NT 4.0 ovladače žádných hardwarových
zařízení, tedy ani tiskáren. Instalační disk CD-ROM tak sice může do jednotky CD-ROM vložit, žádná instalace se však konat
nebude. Uživatel bude zmaten, jeho systém bude ne kompletní a novou tiskárnu nebude moci využívat. Řešení je na vás jako na
správcích. Musí být systémové. Pokud vás nějaké řešení napadne ale nevíte, zda je systémové, představte si, že jej potřebujete
pro několik tisíc počítačů, a budete mít jasno. Dojít k danému počítači uživatele, přihlásit se jako správce, nainstalovat ovladač,
odhlásit se a odejít tedy asi nebude to pravé. Pojďme nazpět ke kartě Sdílení dialogového okna vlastností tiskárny.
1. V dialogovém okně HP LaserJet 2100 - vlastnosti klepněte na kartu Sdílení.
2. Klepněte na tlačítko Další ovladače. Zobrazí se dialogové okno Další ovladače.
Obrázek 14.4
Konfigurace ovladačů tiskárny pro další operační systémy
3. V nabídce konzoly Zobrazit klepněte na položku Uživatelé, skupiny a počítače jako kontejnery.
4. V levém podokně konzoly poklepejte na organizační jednotku Domain Controllers a poté klepněte na účet počítače
SRVR001. V pravé části konzoly se zobrazí objekt tiskárny.
Prohlédněte si vlastnosti objektu. Možná s překvapením zjistíte, že obsahují vcelku zajímavé informace. O jejich využití se
zmíním později.
3. Zaškrtněte políčko x86 pro operační systém Windows NT 4.0 a klepněte na tlačítko OK.
4. Nyní je třeba dodat soubory ovladače pro daný operační systém. Celý proces ukončíte klepnutím na tlačítko OK.
Poté dojde k tomu, že ovladače pro tiskárnu HP LaserJet 2100 pro systém Windows NT 4.0 budou k dispozici na
tiskovém serveru, odkud si je systém z klientského počítače automaticky bez přičinění uživatele při prvním tisku stáhne a
nainstaluje. Vychází se zde z toho, že na server jej umístil správce, takže uživatel již nemusí rozhodovat o jeho
bezpečnosti, a instalaci tak může bez potíží provést.
151
Poznámka
Pokud kdykoli později provedete aktualizaci ovladačů této tiskárny pro všechny operační systémy (včetně systému Windows NT
4.0), systémy v klientských počítačích si je před dalším tiskem automaticky stáhnou a aktualizují tak své původní ovladače. Ke
kontrole na novou verzi ovladačů dochází u systémů řady Windows NT vždy při každém tisku.
V systémech Windows 2000 a vyšších může uživatelům v instalaci tiskáren bránit ještě zásada Zabránit uživatelům instalovat
ovladače tiskáren, kterou naleznete v části Konfigurace počítače\Nastavení zabezpečen\Místní zásady\ Možnosti
zabezpečení objektu zásad skupiny. Aby instalace tiskárny úspěšně proběhla, nesmí být tato zásada povolena.
ověření přítomnosti objektu tiskárny v Active Directory
Zaškrtnuté políčko Zobrazit v adresáři způsobí vytvoření objektu tiskárny v doménové databázi Active Directory (adresář). Nyní
ověříme přítomnost tohoto objektu.
2. Spusťte nástroj Uživatelé a počítač služby Active Directory.
Obrázek 14.5 Objekt sdílené tiskárny v adresáři Active Directory
Jak se o všem dozví uživatelé?
Od uvedení systému Windows 2000 na trh se změnil přístup společnosti Microsoft k potřebám uživatelů v oblasti tisku. Nutno
dodat, že se přiblížil praxi, na druhou stranu, bohužel, v době, kdy už si většina uživatelů zvykla na přístup upřednostňovaný v
předchozích systémech. Například asistentka po vás mohla dříve vyžadovat instalaci „šestsetdesítkycéčka", protože věděla, že se
jedná o tiskárnu s barevným tiskem a ona si chtěla vytisknout nějakou fotografii. Jednalo se o stav, kdy měli uživatelé až moc
informací, neboť to, že tiskárna
HP 610 C umožňuje tisknout barevně, nemusí patřit mezi základní znalosti všech uživatelu v organizaci. Většina se ovšem s
takovým stavem bez potíží sžila, aniž jim to přišlo jako něco navíc. Rozhodně se však nejednalo o běžný stav.
Systém Windows 2000 přišel s myšlenkou „zpátky na stromy", i když velmi skrytě. Uživatelé nemusí mít informace, která tiskárna
má jaké parametry. Stačí jim při tisku definovat, že chtějí tisknout barevně na formát A3, a systém nalezne vhodnou tiskárnu
automaticky. To je filozofie, která má k praxi mnohem blíže, než výše uvedený případ.
Uveďme si příklad využití této myšlenky.
1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchod1).
2. Spusťte aplikaci Poznámkový blok a napište pár řádek textu.
3. V nabídce Soubor nyní klepněte na položku Tisk. Zobrazí se dialogové okno lišku
S upozorněním, že nejprve je třeba nainstalovat tiskárnu. Klepněte na tlačítko Ne.
4. V dialogovém okně tisku klepněte na tlačítko Najít tiskárnu.
Poznámka
Tento krok odpovídá běžnému prostředí. Máme představu o tom, jak má vypadat výsledný tisk právě vytvořeného dokumentu
a v souladu s touto představou si vyhledáme tiskárnu.
5. V dialogovém okně Najít Tiskárny klepněte na kartu Funkce. Soubor chceme vytisknout na formát A4, nemusí být
barevně a měl by být vytištěn poměrně rychle. Další požadavky na tisk nemáme.
6. V poli Velikost papíru vyberte formát A4 a do pole Minimální rychlost zadejte hodnotu 8 (stran za minutu). Poté
klepněte na tlačítko Najít. Ve velmi krátké době se ve spodní části dialogového okna zobrazí výsledky hledání nalezená tiskárna HP LaserJet 2100. Je to známkou toho, že tato tiskárna podporuje všechny zadané parametry a bude tak
vhodná k našemu tisku.
7. Pravým tlačítkem myši klepněte na nalezenou tiskárnu a v místní nabídce poté klepněte na položku Připojit.
Tiskárna HP LaserJet 2100 je nyní k dispozici stejně, jako kdybyste ji předtím nainstalovali. Pochopitelně, že v systému zůstane
k dispozici i po vytisknutí tohoto dokumentu.
Uživatel si tak našel tiskárnu pro své aktuální potřeby. Pokud ji nyní k tisku opravdu použije, měl by ještě vědět, kam si má pro
vytisknutý dokument dojít. Pro tyto účely existuje ve vlastnostech tiskárny pole Umístění, které je vhodné vyplnit. V opačném
případě budete na chodbě potkávat dezorientované uživatele.
Vyplnění pole umístění
Pole Umístění je možné vyplnit během instalace tiskárny nebo kdykoli později. Systémové je samozřejmě vyplnění již během
instalace, aby bylo ihned po sdílení tiskárny vše funkční. Zároveň je nutné definovat strategii pro vyplňování, například v
následující podobě:
Sídlo/Město/Budova/Patro/Místnost (například Centrala/Praha/3B/4/4l2),
kde Sídlo odpovídá takzvané Síti domény Active Directory (více informací o pojmu Síť naleznete v kapitole 27), což je v praxi
každá pobočka organizace s řadičem domény.
152
Poznámka
Název Sídla je jednou z mála věcí, ve které nedoporučuji používat diakritiku.
Protože nemáme atribut Umístění ještě vyplněn, je třeba to urychleně provést.
3. Pravým tlačítkem myši klepněte na tiskárnu HP LaserJet 2100 a poté v místní nabídce klepněte na položku Vlastnosti.
Otevře se dialogové okno HP Laserjot2100 - vlastnosti.
4. Do pole Umístění zadejte řetězec s umístěním tiskárny (například Centrala/Praha/3B/4/4l2).
5. Klepněte na tlačítko OK.
Pokud by uživatel vyhledal tiskárnu pro tisk teprve nyní, viděl by již v dialogovém okně Najít Tiskárny její umístění. To je
pochopitelně zajímavé v případě, pokud dojde k vyhledání více tiskáren. Uživatel si tak může vybrat tu, která je k jeho
pracovnímu místu nejblíže. A pokud potřebuje tisknout nějakou specialitu, alespoň bude vědět, kam si pro výtisk dojít.
Uživatel může vyhledávat tiskárny kdykoli - nejen z dialogového okna Tisk v otevřené aplikaci. Slouží k tomu v Nabídce Start
položka Hledat.
Optimalizace hledání tiskáren
Pokud má organizace jedinou pobočku (spíše tedy centrálu), je následující část bezpředmětná. Je totiž určena pro organizace s
více pobočkami, ve kterých jsou k dispozici tiskárny. Je zřejmé, že pokud budou uživatelé sedět na pobočce, tiskárny v centrále
je buou zajímat minimálně. Bylo by proto vhodné zajistit, aby se jim při vyhledávání zobraz i l y pouze tiskárny, ke kterým mají
fyzický přístup, tedy tiskárny na pobočce.
Takové chování lze zajistit pouze tím, že uživatel v dialogovém okně hledání tiskáren vyplní pole Umístění názvem pobočky
(zadá například Pobockal) a dále specifikuje vlastnosti tiskárny, kterou hledá. Výsledkem bude vyhledání pouze těch tiskáren,
jejichž atribut Umístění začíná řetězcem Pobockal.
Přestože organizace s jedinou pobočkou nemusí toto řešení vůbec zajímat, doporučuji jej přesto nakonfigurovat, neboť v
okamžiku, kdy přes všechna očekávání dojde k otevření další pobočky, bude vše z pohledu správce v oblasti tisku připraveno.
Konfigurace takového chování není nijak složitá i přesto, že budeme pracovat s dosud nepoznanými nástroji. Výsledkem bude
definice řetězce, který se bude automaticky předvyplňovat v poli Umístění vždy, když bude uživatel hledat tiskárny.
Postup konfigurace pro zjednodušení hledání tiskáren
2. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na nástroj Sítě a služby Active Directory.
3. V konzole Sítě a služby Active Directory (standardně jsou vidět pouze sítě, služby jsou skryté) klepněte pravým
tlačítkem myši na položky Vychozi—název—prvni—site a v místní nabídce zvolte příkaz Přejmenovat. Název této
položky změňte na Centrála.
Poznámka
Tento krok je pouze zpřehledněním sítí pro správce. Nemá přímý vliv na zamýšlenou konfiguraci.
4. Pravým tlačítkem myši klepněte na položku Subnets a v místní nabídce poté klepněte na příkaz Nová podsíť. Zobrazí se
dialogové okno, které vidíte na obrázku 14,6,
5, Dialogové okno vyplňte podle obrázku, klepněte na položku Centrála a poté klepněte na tlačítko OK. Vytvořili jste
tak podsíť adres IP odpovídající síti s názvem Centrála.
6. Na nový objekt podsítě nyní klepněte pravým tlačítkem myši a v místní nabídce zvolte položku Vlastnosti.
Obrázek 14.6
Dialogové okno pro definici podsítě
153
7. Na kartě Umístění zadejte do pole Umístění text Centrála (tento text se bude předvyplňovat uživatelům v
dialogovém okně hledání tiskáren). Klepněte na tlačítko OK.
8. Zavřete konzolu Sítě a služby Active Directory.
10. Pravým tlačítkem myši klepněte na název domény (studny.local) a v místní nabídce poté zvolte položku Vlastnosti. Na
kartě Zásady skupiny poklepejte na položku Default Domain Policy.
11. V konzole Editor objektů zásad skupiny přejděte do složky Konfigurace počítače\Šablony pro správu\Tiskárny.
12. V pravém podokně konzoly poklepejte na zásadu Nabízet umístění tiskárny při vyhledávání, poté zaškrtněte políčko
Povoleno a klepnutím na tlačítko OK zavřete dialogové okno vlastností zásady.
To je vše, co bylo třeba pro konfiguraci požadované funkčnosti udělat. Problém je ale ještě v tom, že tato konfigurace se musí
aktualizovat v klientských počítačích. K tomu může dojít třemi způsoby: automaticky v intervalech 90 (+/- 30) minut, při
restartování klientského počítače nebo ihned po spuštění příkazu GPUPDATE v klientském počítači.
Ověření konfigurace
2. V Nabídce Start klepněte na položku Hledat. V levém podokně dialogového okna Výsledky hledání klepněte na
položku Tiskárny, počítače nebo osoby a poté na položku Tiskárnu v síti.
3. Zobrazí se dialogové okno Najít tiskárny s předvyplněným textem Centrála/ v poli Umístění.
4. Klepněte na tlačítko Najít. Měla by se zobrazit tiskárna HP DeskJet 2100 s uvedeným textem umístění.
Obrázek 14.7 Zásady skupiny týkající se publikování tiskáren
Pokud by naše organizace měla více poboček, měla by jistě i více podsítí. Každá podsíť by měla definováno své umístění a
uživatelé v jednotlivých pobočkách by tak měli před-Vyplněný text v poli Umístění podle pobočky, ve které by zrovna seděli.
Hledání tiskáren bude funkční, pokud...
Vše, co jsme si dosud v hledání tiskáren nakonfigurovali, je z pohledu správy a pohodlí Uživatelů obrovsky zajímavá věc.
Musíme ale dát pozor na to, abychom vše udrželi funkční Proto je dobré vědět, co všechno může mít vliv na nefunkčnost
předvyplnění pole Umístění. Uživatelům se při hledání zobrazí pouze následující tiskárny:
♦ Které jsou sdílené Tiskárna musí být sdílená. Například tiskárna HP DeskJet MOC v naší síti sdílena není, a není
možné ji tak vyhledat.
♦ Ke kterým mají uživatelé oprávnění Tisk Standardně má oprávnění Tisk skupina Everyone, takže se tiskárna zobrazí
všem. Pokud však tuto skupinu nahradite jinou, užší skupinou, ostatním uživatelům se tiskárnu nepodaří vyhledat.
♦ Které jsou publikované v doméně Active Directory Pokud má tiskový server systém Windows 2000, Windows XP
Professional nebo Windows Server 2003, je publikování tiskáren automatické. Pokud je tiskovým serverem počítač se
systémem Windows NT 4.0, je nutné tiskárny publikovat v doméně Active Direktory ručně.
Kde mohou být skryté potenciální potíže? Pokud například vypnete počítač, který je pro danou tiskárnu tiskovým serverem,
dojde po krátké době k vyřazení tiskárny z adresáře (když po nějakou dobu počítač neodpovídá na kontaktní žádosti
řadiče domény, řadič objekt tiskárny vyřadí). Tomuto chování lze zabránit konfigurací zásady Povolit vyřazování
publikovaných tiskáren na Zakázáno. Zásadu najdete ve stejné části stromu zásad skupiny jako zásady týkající se hledání
tiskáren, které jsme konfigurovali dříve.
Poznámka
Toto řešení je vhodné pro prostředí s více než jedním řadičem domény. Pokud máme jediný řadič domény, který vypneme, je
154
úplně jedno, zda zůstává tiskárna publikována či nikoli, když stejně není koho se dotázat.
V části Konfigurace počítače\Šablony pro správu\Tiskárny objektu zásad skupiny jsou ještě další zajímavá nastavení. Uveďme si
nejdůležitější z nich.
Povolit publikování tiskáren Pokud bude tato zásada zakázaná, zmizí z karty Sdílení dialogového okna vlastností tiskárny
políčko Zobrazit v adresáři a žádnou tiskárnu tak nebude možné publikovat. Toto nastavení jde proti všemu, o čem byla až
dosud řeč. Neuvádím jej tedy proto, abyste jej konfigurovali, ale abyste věděli, kde hledat řešení případných potíží.
Jestliže se odinstaluje z tiskového serveru tiskárna, která byla publikovaná v adresáři Active Directory, její objekt se z adresáře
odstraní. Jestliže je však tiskové zařízení z nějakého důvodu nedostupné, neodstraní se ihned, ale postup je následující. Na
každém řadiči domény se jednou za 8 hodin spustí čisticí služba, která ověřuje dostupnost publikovaných tiskáren. Jestliže
tento proces zjistí 3x za sebou, že tiskárna neodpovídá, vyřadí ji z adresáře. Následující zásady mohou tento proces upravit.
Interval vyřazování obsahu adresáře Výchozí hodnota je 8 hodin, zde je možné ji upravit (pokud zásadu povolíte).
Opakování vyřazení obsahu adresáře Výchozí hodnotou jsou 2 opakování, zde můžete jejich počet upravit (v rozmezí
Žádné až 6 opakování).
Další možnosti instalace tiskáren
Jen málo uživatelů ví, že sdílené tiskárny v síti, na které mají právo tisknout, si mohou kdykoli nainstalovat do svého počítače a
nemusí přitom být žádnými správci. Instalace tiskárny probíhá v takovém případě pomocí průvodce podobně, jako při instalaci
tiskárny na tiskový server. Jaký je v takovém případě správný postup?
1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchodí).
2. V Nabídce Start klepněte na položku Tiskárny a faxy a v pravé části okna se stejným názvem klepněte na příkaz
Přidat tiskárnu. Spustí se známý Průvodce přidáním tiskárny. Klepněte na tlačítko Další.
3. V dialogovém okně Místní nebo síťová tiskárna si všimněte, že první položka (Místní tiskárna) není k dispozici
(protože uživatel Obchodí není správcem, nemůže instalovat místní tiskárny do počítače). Klepněte na tlačítko Další.
4. Pokud máte jistotu, že tiskárna, kterou chcete nainstalovat, je publikovaná v adresáři Active Directory, ponechte v
dialogovém okně Určete tiskárnu ponechané zaškrtnuté první políčko. Pokud tuto jistotu nemáte, zaškrtněte políčko
Připojitk této tiskárně. V obou případech poté klepněte na tlačítko Další.
Pokud jste zvolili vyhledání tiskárny v adresáři, musíte projít jejím vyhledáním (znáte z předchozích odstavců). Pokud jste
zvolili druhou variantu, musíte nyní vědět, jakou tiskárnu chcete připojit a který počítač je tiskovým serverem. V dialogovém
okně Vyhledat tiskárnu budou totiž zobrazeny všechny počítače, které slouží jako tiskové servery pro tiskárny, na něž
máte jako uživatel Obchod1oprávněni Tisk. Poté klepněte na tlačítko Další. 6. Prohlédněte si zadané informace a
klepněte na tlačítko Dokončit.
Tento postup instalace (s využitím druhé možnosti, nikoli vyhledání tiskárny v adresáři) je typickou ukázkou staré školy. Jako
uživatelé musíte znát až moc informací z oblasti správy (i když pro správce triviálních), abyste tiskárnu nainstalovali.
Tento postup zde uvádím zejména proto, abych varoval před následujícím jednáním.
Existuje ještě dost správců, kteří si myslí, že označení Síťová tiskárna určuje tiskárnu, která je připojena přímo do sítě (pomocí
klasického kabelu UTP či STP), tedy nikoli pomocí například paralelního kabelu k počítači. Bohužel musím dodat, že informace
v systémech Windows je mohou v této myšlence ještě utvrzovat. OMYL!!! Z pohledu operačního systému je síťovou tiskárnou
taková tiskárna, která je nainstalovaná místně k některému počítači (tiskovému serveru) a je sdílena. Je jedno, zda je k počítači
připojena pomocí paralelního kabelu nebo je připojena přímo do sítě. Cíl je jediný - takovou tiskárnu je nutno do klientského
počítače instalovat vždy jako síťovou tiskárnu.
Pokud ji totiž správce nainstaluje jako místní (běžný uživatel to nemá povoleno - viz po-stup výše), vytváří (možná nevědomky) z
daného počítače tiskový server. Co to v praxi znamená? Na vysvětlení předpokládejme, že by správce takto nainstaloval tiskárnu
HP LaserJet 2100 do počítače PC001.
Když bude uživatel přihlášený k počítači PC001 tisknout, předá se tisková úloha do tiskové fronty počítače PC001. Tiskový
procesor ji v tomto počítači místně zpracuje, tj. pro-vede transformaci tištěného souboru do jazyka tiskárny, a poté výsledný
soubor odešle na port, na kterém je tiskárna nainstalovaná (v našem případě port TCP/IP). Zpracování tiskové úlohy znamená
pro počítač PC001 extrémní vytížení, při kterém se téměř nedá vyvíjet další činnost (CPU je vytížen na 100 %). Pro uživatele se
taková situace stává čím dál více neúnosnou.
Pokud nainstaluje správce tiskárnu HP LaserJet 2100 správně jako síťovou (podobně jako uživatel v předchozím postupu), stává
se součástí jeho profilu. Uživatel, který se přihlásí k počítači po něm, tedy tiskárnu mít k dispozici pochopitelně nebude. Z
toho vyplývá, že každý uživatel si musí sdílené tiskárny nainstalovat sám. Jak poté probíhá tisk?
Když začne uživatel tisknout, předá se tisková úloha tiskovému serveru (to platí obecně).
Tiskovým serverem je ale v tomto případě počítač, který tiskárnu sdílí (tedy SRVR001). Soubor k tisku se tak posílá po síti ke
zpracování tiskovému procesoru počítače SRVR001,
který tiskovou úlohu převede do jazyka tiskárny a poté ji odešle na příslušný port. Celé vytížení je tak na serveru
SRVR001, počítač PC001 žádné výrazné zvýšení zátěže nepocítí (vy jma objemu dat odesílanému síťovou kartou).
Co dělat, když je tisk pomalý?
Při častém využívání tiskové infrastruktury se za nějaký čas vždy objeví potíže s rychlosti linku. V organizaci přibývají noví
zaměstnanci, více se tiskne, tiskovým serverům muže přibýt i další funkce atd. Důvodů může být více, zato důsledek je vždy jeden
155
jediný nespokojenost uživatelů.
Více či méně tiskáren?
Je lepší pořídit každému uživateli vlastní tiskárnu (jejíž cena bude nízká) nebo pořídit tiskárnu pro celá oddělení (s nepoměrně
vyšší cenou, ale také vyšším výkonem)? Pokud se na tuto otázku podíváme systémovým pohledem, je jednoznačně lepším
řešením koupit tiskárnu každému oddělení (v menších organizacích může stačit i jediná tiskárna).
Porovnejte si tyto dvě možnosti z pohledu správy - jako správci byste museli instalovat tiskárnu u každého uživatele (proti jediné
instalaci tiskárny na tiskový server), dále byste museli spravovat X tiskáren (proti jediné) a pokud byste chtěli tiskárny
zpřístupnit ostatním uživatelům, museli byste to provádět X krát (oproti jedinému zásahu). Ačkoli může být jedna pořádná
tiskárna mnohem dražší než X menších tiskáren pro každého uživatele, je dost pravděpodobné, že na druhém — systémovém řešení společnost ve výsledku ušetří.
V praxi se pravděpodobně setkáte například se stavem, kdy existuje jedna „pořádná" tiskárna pro každé oddělení, ale cca 5 %
pracovníků v daném oddělení má navíc svou vlast-ní tiskárnu. Pokud to okolnosti vyžadují, nic jiného zřejmě nevymyslíte (je
například zbytečné kupovat velkou barevnou laserovou tiskárnu, když barevně potřebuje tisknout jediný uživatel jednou za
měsíc). Pokud však neshledáte žádné podstatné důvody pro více menších tiskáren u uživatelů, začněte vyvíjet cílenou aktivitu k
jejich postupnému odstranění. Budete mít méně práce a organizace na tom ještě ušetří.
Když ale uživatele připravíte o tiskárny (a oni se jen tak nenechají), je nutné jim slíbit, že řešení, které jim nabízíte, pro ně bude
výhodnější. O to více pak všechny strany bolí, pokud se to nepodaří, a nejhorší je asi stav, kdy se týden po „akci" daří a poté
začne rychlost tisku pokulhávat.
Situace, kdy uživatelům nevyhovuje rychlost tisku, se dají rozdělit na dva případy:
♦ Všichni uživatelé jsou nespokojeni, neboť rychlost tisku je opravdu mizerná.
♦ Celkově vládne mezi uživateli s rychlostí tisku spokojenost, jenom vedení je nespokojeno, neboť musí vždy čekat, až
na jejich dokument dojde řada.
Když jsou nespokojeni všichni
Nejužším místem tisku na větší tiskárny ve větších organizacích bývají většinou samotné tiskárny. Síťová infrastruktura i kapacita
a další prostředky tiskových serverů jsou dostačující, problém je v tom, že tiskárna nemůže vzhledem k technologickému omezení
tisknout více stránek za minutu. Ovladač tiskárny vám nepomůže a vy cítíte, že jedinou cestou bude zakoupení nové, výkonnější
tiskárny. Už se vidíte u šéfa, který není situací zrovna pozitivně naladěn, jak jej přesvědčujete, aby „pustil" několik desítek tisíc
na rychlejší a samozřejmě po všech stránkách lepší tiskárnu.
Šéf je během vašeho vysvětlování kupodivu klidný a na konci vás požádá, abyste vymysleli nějaké levnější a přitom jednoduché
řešení. Mám pro vás dobrou zprávu - takové řešení existuje.
Fondy tiskáren
Pokud je problém s rychlostí tisku v samotné tiskárně, zřejmě nevymyslíte nic jiného než výměnu, nahrazení či přidání další
tiskárny. Řešení nazvané v systémech Windows jako Fondy tiskáren (Printer pooling) je založeno na přidání další tiskárny. Aby
se však dalo použít, je nutné přidat stejnou tiskárnu jako je ta stávající, nebo alespoň tiskárnu, která je schopna pracovat s ovladačem
stávající tiskárny (u tiskáren od společnosti HP to obecně nebývá problém).
Pokud již při nákupu první tiskárny víte, že řešení, jako jsou fondy tiskáren, existuje, mužete s ohledem na něj tiskárnu vybírat. V
našem případě vyjdeme z další tiskárny HP LaserJet 2100.
Jak to celé dopadne na straně uživatelů? Novou tiskárnu bude zřejmě nutné nainstaloval na tiskový server. Budou si ji poté muset
instalovat uživatelé do svých počítačů? Nebude celé toto řešení spíše na obtíž?
NEBUDE! Již od počátku se v síti naší organizace orientujeme na systémová řešení, kterým fondy tiskáren rozhodně jsou. Jak to
tedy bude vypadat?
Koupili jsme další tiskárnu HP LaserJet 2100. Nyní ji připojíme do sítě (pomocí kabelu UTP či STP). Co dále?
2. Zobrazte okno Tiskárny a faxy a poté zobrazte dialogové okno vlastností tiskárny HP LaserJet 2100.
3. Klepněte na tlačítko Přidat port, označte položku Standard TCP/IP port a klepněte na tlačítko Nový port. Spustí se
průvodce přidáním standardního portu tiskárny TCP/IP. Pokračujte klepnutím na tlačítko Další.
Poznámka
Následující kroky předpokládají, že jste přidělili nové tiskárně adresu IP (192.168.10.13) nebo že je v oboru DHCP vytvořena další
rezervace.
4. V dialogovém okně Přidat port zadejte do pole Název či adresa IP tiskárny adresu IP 192.168.10.13 a klepněte na
tlačítko Další.
5. V dialogovém okně Jsou vyžadovány dodatečně informace o portu vyberte zařízení Hewlett Packard JetDirect a
poté klepněte na tlačítko Dokončit.
6. V dialogovém okně Porty tiskáren klepněte na tlačítko Zavřít.
7. V dialogovém okně vlastností tiskárny HP LaserJet 2100 na kartě Sdílení přibyl nový port 192.168.10.13.
8. Ve spodní části karty Sdílení zaškrtněte políčko Umožnit fondy tiskáren a poté zaškrtněte všechny porty, ke
kterým je tiskárna připojena (192.168.10.12 a 192.168.10.13). 9. Klepnutím na tlačítko Zavřít zavřete dialogové okno
vlastností tiskárny.
Poznámka
156
Pokud není zaškrtnuté políčko Umožnit fondy tiskáren, lze zaškrtnout vždy právě Jeden port.
Jak je nyní vidět, na serveru došlo k minimální změně. Protože se nezměnila nainstalovaná tiskárna ani její sdílení, NEBUDE
nutné u uživatelů cokoli měnit.
Dokumenty uživatelů není budou odesílány na dvě různá tisková zařízení podle jejich aktuálního vytížení. Může se tak stát, že
pokud jste odeslali k tisku dva dokumenty za sebou jeden budete mít na jedné tiskárně a další na druhé. V žádném případě se ale
ne stane, aby se dokument rozdělil na dvě či více částí, které by byly „rozházeny" na obou tiskárnách.
Obrázek 14.8
Povolené fondy tiskáren a zaškrtnuté všechny porty, ke kterým jsou
připojena tisková zařízení
V organizaci jsou teď dvě tisková zařízení, ale v systému je nainstalovaná pouze jedna tiskárna. Vzhledem k tomu, že uživatelé
vidí u této tiskárny její umístění, je nutné druhé tiskové zařízení umístit pokud možno ve stejné místnosti.
Když jsou nespokojeni „jenom" šéfové
Pokud není spokojena pouze část pracovníků organizace, můžete situaci vyřešit ještě jednodušeji (bez nutnosti nakupovat další
hardware). V principu půjde o to udělit nespokojené skupině vyšší prioritu tisku, to znamená nakonfigurovat stav, kdy každý
dokument od člena „problémové" skupiny předběhne v tiskové frontě dokumenty všech ostatních uživatelů.
I zde ale platí „něco za něco". Protože se jedná o řešení, které si nevymítí další finanční náklady, bude o trochu složitější jej
nakonfigurovat a zároveň bude nutné provést i menší změnu v nainstalovaných tiskárnách u skupiny stěžovatelů.
Poznámka
Pokud chcete konfigurovat následující řešení, bude nutné zrušit fondy tiskáren. Zároveň můžete (ale nemusíte) zrušit také
naposledy vytvořený port TCP/IP.
Konfigurace prioritního tisku na serveru
2. Vytvořte místní doménovou skupinu se zabezpečením s názvem D Tisk na HP IJ 2100 Priorita. Do této skupiny vložte
globální skupiny nespokojených uživatelů.
V Nabídce Start otevřete okno Tiskárny a faxy a nainstalujte další místní tiskárnu HP LaserJet 2100 na stejném portu
jako je stávající tiskárna (opravdu budou nainstalované dvě tiskárny na stejném portu). Při instalaci nové tiskárny
ponechte stávající ovladač a název tiskárny doplňte na HP LaserJet 2100 Priorita.
4. Tiskárnu sdílejte jako HP2100P.
5. Otevřete dialogové okno vlastností nové tiskárny a klepněte na kartu Zabezpečení. V seznamu řízení přístupu
odeberte skupinu Everyone. Přidejte skupinu D Tisk na HP LJ 2100 Priorita a udělte jí oprávnění Tisk. Poté
klepněte na kar
tu Upřesnit a do pole Priorita zadejte hodnotu 10. Dialogové okno zavřete klepnutím na tlačítko OK.
6. Otevřete dialogové okno vlastností původní tiskárny a klepněte na kartu Zabezpečení. V seznamu řízení přístupu přidejte
skupinu D Tisk na HP LJ 2100 Priorita a odepřete jí všechna oprávnění. Poté klepněte na tlačítko OK.
157
Obrázek 14.9
Seznam oprávnění přístupu a odepřená oprávnění skupině D Tisk na HP
LJ 2100 Priorita
Konfigurace na straně serveru je dokončena, zbývá dokončit konfiguraci klientských počítaču
Konfigurace klientů
Každý stěžující si uživatel se po odhlášení a přihlášení k počítači (vzpomeňte na přístupový token) stane zprostředkovaně
členem skupiny D Tisk na HP LJ 2100 Priorita. Tím pádem j i ž nebude moci tisknout na nainstalovanou sdílenou tiskárnu HP
LaserJet 2100. Je třeba, aby ji uživatelé odstranili a provedli novou instalaci. Pokud zvolí možnost vyhledá ní tiskárny v adresáři,
zobrazí se jim pouze tiskárna HP LaserJet 2100 Priorita, neboť k jiné tiskárně nemají oprávnění.
Závěr
Pokud potřebujete nasadit tiskové řešení, je nejrozumnější volbou pořídit výkonnou ti s k á r n u s připojením přímo do sítě
pomocí kabelu UTP/STP. Dále je třeba vybral tiskový server, na který se tato tiskárna nainstaluje jako místní. Instalace do
ostatních počítačů je již věcí konkrétních uživatelů, neboť instalace síťových sdílených tiskáren je součástí profilu uživatele.
Pokud v takovém prostředí uživatel tiskne, soubor se přenáší po síti v nezměněné podobě na tiskový server, který jej zpracuje a
odešle na tiskárnu. Tiskový server tak odpovídá za zpracování všech tiskových úloh a počítače uživatelů nejsou zbytečně
zatěžované.
Tiskárny, které jsou v systému Windows 2000 a vyšším sdíleny, se automaticky publikují do adresáře Active Directory. Uživatelé
tak mají možnost najít tiskárnu odpovídající aktuálním potřebám tisku podle atributů (barevnost, rozlišení, rychlost a další)- Při
hledání se jim zároveň zobrazí pouze ty tiskárny, ke kterým mají uživatelé oprávnění Tisk a které jsou jim nejblíže (zajištěno
pomocí konfigurace Zásad skupiny). Standardně má toto oprávnění skupina Everyone.
Pokud máte potíže s rychlostí tisku, máte k dispozici dvě systémová řešení. Pokud si stěžují všichni uživatelé, bude
pravděpodobně problém s rychlostí samotné tiskárny. Pro tento případ má systém Windows řešení s využitím funkce Fondy
tiskáren. Jestliže si na tisk stěžuje pouze jedna skupina uživatelů, můžete pro ni nainstalovat a sdílet další tiskárnu (tedy další
logickou reprezentaci stejného fyzického tiskového zařízení), které se udělí vyšší priorita tisku a upraví seznam řízení přístupu.
Počítači, který provádí zpracování tiskových úloh, se říká tiskový server. Fronta tiskových úloh je uložena na jeho místním disku.
Po vytištění se tisková úloha z disku automaticky odstraní. Máte-li možnost, změňte umístění tiskové fronty tak, aby byla uložena
na jiném fyzickém disku, než je operační systém. Další nastavení tiskového serveru, která uživatelé ocení, jsou upozornění na
dokončení tisku. Protože jsou ve výchozím nastavení vypnuta, žije spousta uživatelů i správců v iluzi, že systém Windows nic
podobného neumí. Umí, a to velmi dobře!
Stav sítě
V síti přibyly dvě tiskárny (černobílá laserová a barevná inkoustová). Obě jsou nainstalované na tiskovém serveru, laserová je
sdílena pro potřeby uživatelů. Ti ji mají nainstalovánu v svých počítačích (přesněji ve svých profilech). Na serveru DHCP přibyla
nejméně jedna rezervace adresy IP pro potřeby laserové tiskárny, která je pomocí zařízení JetDirect připojena přímo do sítě.
Pro případ malé rychlosti tisku jsou uvedeny dva způsoby řešení, každý pro jinou situaci. Žádné z těchto řešení není aktuálně v
síti nakonfigurované.
158
Musíme jako správci neustále sedět u
serveru?
Jako správci síťové infrastruktury, tedy bez diskuse jedni z nedůležitějších lidí v organizaci, máte jistě k dispozici velké a
prostorné pracovní místo. Kam jinam byste jinak chtěli dočasně skládat ty tuny disků CD-ROM a DVD, které vám každý den
přijdou od různých dodavatelů a partneru A tak zatímco si mimo jiné užíváte svého pracovního mís-ta. chudáci servery stojí v
nějaké malé místnosti, kde se člověk jen těžko otočí, navíc jsou pravděpodobně zamčeny v racku a ještě k tomu je zamčená
celá serverovna.
A tímto nekončí. O každém vstupu do místnosti se servery je třeba udělat záznam v návštěvní knize serverovny, k otevření
racku si musíte vždy vyzvednout z trezoru klíč a navíc - v serverovně je v souladu s dobrými pracovními podmínkami serverů
neuvěřitelná a pečlivě udržovaná zima. Není lepší se vzdát zbytečných návštěv tohoto typu a správu serverů provádět vzdáleně?
Existují samozřejmě případy, kdy do serverovny prostě budete muset jít. Ať je to upgrade hardwaru v serverech, výměna zálohovací
pásky nebo prostě instalace nového produktu, která se musí provést místně. Ve všech ostatních případech je lepší se podobných
návštěv vyvarovat.
Správa pomocí standardních nástrojů z pracovní stanice
Prostředí počítačové sítě je možné spravovat z pracovní stanice Nástroje, pomocí kterých se provádí správa jednotlivých služeb či
domény Active Directory přímo na serveru, mohou být také k dispozici v klientském počítači a operačním systémem Windows XP
Professional (nebo Windows 2000 Professional). V této části si ukážeme postup instalace nástrojů a styl práce s nimi. Nejdříve
ale několik důležitých informací k uživatelským účtům pro správu prostředí.
Účty pro správu prostředí
Běžný uživatelský účet
V bezpečné síti by mělo platit, že správce bude mít pro svou potřebu dva účty, z nichž ale ani jeden nebude účtem
Administrátor.
Jeden z účtů by měl být běžným uživatelským účtem, tedy stejným typem účtu, jako mají uživatelé. Ten by měl být tím
hlavním pro běžnou práci správce. I správce je jedním z uživatelů v síti a používá pro svou práci běžné aplikace, jako je klient
elektronické pošty či prohlížeč Internetu. To je práce, ke které jistě nepotřebuje účet správce. Dokonce to ani není žádoucí. Proč?
Představte si, že jste přihlášeni pod účtem správce domény a máte spuštěnu aplikaci Internet Explorer. Zvědavost (nebo pracovní
povinnosti?) vás během procházení zavedou na stránku, která obsahuje pro vás velmi zajímavé informace, ale neznáte přesně její
původ. Vzhledem k informacím jde druhá část dojmů trochu stranou. Pozorně si prohlížíte obsah stránky, když vtom se před vámi
zobrazí dialogové okno nabízející stažení prvku ActiveX, pomocí které bude získávání informací z této stránky snadnější (prvek
například může podle popisu přidat do nabídky aplikace Internet Explorer některé položky). Před vámi stojí rozhodnutí stáhnut či odmítnout?
Obrázek 15.1
Ukázka stažení prvku ActiveX
Podle čeho se budete rozhodovat? Je třeba stále myslet na to, že jde o stažení spustitelného souboru, který se v místním
počítači spustí ihned po stažení. Jedná se tedy o soubor EXE a ten může také počítač poškodit. Co je pro vás zárukou, že prvek
ActiveX, jehož možnost stažení máte stále před očima, je bezpečný a bude provádět přesně to, co O sobě říká?
Na tuto otázku nebyla ve světě Internetu dlouho známá jasná odpověď a přiznejme si, že není ani dodnes. Nakonec se to
vyřešilo digitálním podpisem. Filozofie je jednoduchá - ať prvek ActiveX jeho tvůrce digitálně podepíše. Digitální podpis je
jednoznačnou identifikací konkrétní osoby, která je u prvku uvedena, a jejíž certifikát si můžete prohlédnout. Aby bylo vše
věrohodné, je třeba si certifikát nechat vystavit všeobecně důvěryhodným Certifikačním úřadem (například společností Verisign,
159
v ČR I. CA). Takže se na dialogu stažení (a spuštění) prvku ActiveX dozvíte, že jej digitálně podepsal Anthony X. Devil, jehož
totožnost ověřila společnost Verisign.
Nevím, zda toho člověka znáte. Já tedy ne a je mi celkem jedno, kdo a kdy jej ověřil. Je sice pravda, že společnosti Verisign
můžete důvěřovat, že ověření osob skutečně provádí, ale i tak digitální podpis neříká nic o tom, zda je věrohodný také popis
funkcí prvku ActiveX.
Může se jednat o dlouhý „vnitřní" proces rozhodnutí každého uživatele. Čím zkušenější správce, tím se rozhodnutí kloní spíše do
roviny NE, čím nezkušenější uživatel, tím je jasnější ANO (to nám už několikrát ukázala spousta uživatelů telefonáty ze svého
počítače do exotických krajin, o nichž „údajně" nic nevěděli - koneckonců to bylo jediné klepnutí myší, které rozhodlo).
A nyní si představte, že se jako přihlášení správci domény rozhodnete z nějakého důvodu pro ANO a prvek ActiveX se tedy
stáhne, spustí a začíná - honička! Vše, co bylo kde napsáno o jeho funkcích, byla prostá lež. Tento prvek byl napsán s jasným
úmyslem po-škodit, co se dá, a vy jste mu pomocí účtu doménového správce velmi jednoduše uvoln i l i jinak tak obtížnou
cestu. Během pár minut zbudou z vaší domény trosky a vy se můž e t e začít těšit na krásnou několikadenní práci s obnovou do
původního stavu (pokud máte samozřejmě zálohu).
Co kdybyste byli v okamžiku stažení prvku ActiveX přihlášení jako běžní uživatelé? Pro vás by to v danou chvíli nebylo žádné
omezení, pro prvek, který chce škodit, by to byla hotová tragédie. Maximálně by poškodil část systému - a to právě tu, kterou
může po-škodit i běžný uživatel - tedy nic zásadního.
Oproti předchozímu případu je to docela rozdíl, co říkáte? Tolik tedy odpověď na otázku, proč by měli mít správci běžný
uživatelský účet.
Učet pro správu prostředí
Druhým z účtů by měl být účet s oprávněními správce domény, který ale nebude vestavěný účtem Administrátor (nebo
přejmenovaným účtem Administrátor). Tento účet jednoznačně určuje správce, který v síti provedl konkrétní kroky. Procesu
sledování aktivity Správců nebo uživatelů se říká auditování a u každé zaznamenané události je vždy uveden účet, který událost
provedl.
Představte si stav, kdy existuje více správců doménového prostředí se stejnými oprávněními právy. Protože mají všichni stejná
práva, dojde mezi nimi k dohodě, že budou pro úlohy správy sdílet účet Administrátor.
Jednoho dne vám u ranní kávy zazvoní telefon. Na druhé straně je rozhořčený uživatel, který se nemůže přihlásit do systému. Více
podrobností z něj nemůžete dostat; na to, zda náhodou při zadávání hesla nestiskl klávesu Caps lock se ho téměř bojíte zeptat
(vždyť systém Windows XP Professional na to upozorní sám). Rozhodnete se tedy podíval do seznam doménových účtů, zda
účet není například zamknut či zakázán. Ať hledáte, j a k h l e d á t e , účet nemůžete najít. Uživateli se omluvíte s tím, že problém
není na jeho straně a že řešení bude chvíli trvat. Protože máte podezření na to, že účet onoho uživatele někdo odstranil, začnete
pátrat po
stopách tohoto jednání v protokolu zabezpečení na řadiči domény. Výchozí konfigurace systému Windows Server 2003 zde
potvrzuje současnou strategii společnosti Microsoft Secure by Default - to znamená ve výchozím stavu již vše zabezpečeno. V
systému Windows Server 2003 tak máte jistotu, že stopy po tomto jednání naleznete, zatímco v systému Windows 2000 Server
byste museli nejprve auditování pozapínat (tehdy ještě strategie Secure by Default neexistovala).
Co naleznete? Maximálně informaci o tom, že účet onoho uživatele byl odstraněn ten a ten den v danou hodinu a že jej
odstranil Administrátor (v našem případě spíše Ton!&check). Počkáte tedy na kolegy a zeptáte se jich přímo. Protože jde o
docela nepříjemnou záležitost, můžete očekávat, že se nikdo nepřizná.
Pokud byste každý pracovali se svým vlastním účtem, jak by situace dopadla? V protokolu zabezpečení byste nalezli informaci
o tom, který účet se o odstranění uživatele z domény postaral a jakákoli další diskuse by byla zbytečná. Tolik odpověď na
otázku, proč by správci měli mít svůj vlastní účet.
Co účet Administrátor?
Účet Administrátor zůstane vždy tím nejdůležitějším účtem pro správu celého prostředí. Správu prostředí lze velmi obecně
rozdělit na tvorbu prostředí (případně změny prostředí) a na údržbu prostředí. Účet Administrátor zůstane jediným účtem
důležitým pro tvorbu a změny prostředí. Jeho heslo by mělo být zapečetěno do obálky a uložené v trezoru. Co je však
nejdůležitější - tento účet by se vůbec neměl používat k běžné údržbě prostředí.
Vytvoření účtů
Dosud jsme při běžných úlohách správy používali účet Ton!&check. Tomu je od této chvíle konec (až na výjimky), ale ještě
předtím musíme pomocí něj vytvořit vlastní účet pro správu prostředí.
Vytvoření účtu pro správu prostředí
2. Spusťte nástroj Uživatelé a počítače služby Active Directory a v kontejneru Users vytvořte účet pro správu
prostředí. Přihlašovací jméno zadejte ITSpraval, heslo například Cajícheck. Ostatní parametry nastavte podle potřeby
3. Vytvořený účet vložte do skupin Domain Admins a Group Policy Creator Owners.
Poznámka
Pokud je v organizaci více správců, vytvořte nyní účty také pro ostatní správce.
Vytvoření účtu pro běžnou práci správců
160
Účet pro běžnou práci správce jsme již vytvořili dříve - jedná se o účet IT1. Pokud potřebujete běžné účty pro další správce,
vytvořte je právě nyní. Poté je nezapomeňte vložit do skupin zajišťujících přístup k dokumentům do firemní knihovny (G IT
běžní, G IT zkušení).
Účet Administrátor
Nyní změňte heslo účtu Ton!&check, vložte je do obálky, tu zapečeťte a uzamkněte do trezoru.
Nástroje pro správu
Které nástroje pro správu jsme dosud ze všech nástrojů využili? Jmenujme například nástroje Uživatelé a počítače služby Active
Directory, DNS, DHCP, Sítě a služby Active Di rectory, Správa počítače či prohlížeč událostí. Podíváme-li se na obsah položky
Nástroje pro správu v nabídce Start systému Windows XP Professional, zjistíme, že z uvedených příkladů je zde k dispozici
pouze nástroj Prohlížeč událostí.
Pro možnosti správy bychom nyní potřebovali přemístit nástroje pro správu ze serveru na pracovní stanici. Naštěstí se jedná o
docela jednoduchý proces.
Instalace nástrojů pro správu
2.
3.
4.
5.
Přihlaste se ke klientskému počítači jako správce (můžete využít nový účet).
Do klientského počítače vložte instalační disk CD-ROM se systémem Windows Server 2003.
V Nabídce Start klepněte na příkaz Spustit a poté klepněte na tlačítko Procházet.
Přejděte do složky D:\i386, kde D: je písmeno jednotky CD-ROM. V poli Soubory typu vyberte položku Všechny
soubory (*.*) a mezi soubory ve složce i386 vyhledejte a poklepejte na soubor adminpak (pokud máte zobrazené
přípony, potom adminpak.msi).
6. Klepnutím na tlačítko OK spusťte instalaci nástrojů pro správu systému. Po spuštění instalace se zobrazí správa o
nutnosti aktualizace operačního systému (viz obrázek 15.2).
Obrázek 15.2
Zpráva o nutnosti aktualizovat operační systém
Nejjednodušším a systémovým řešením by zřejmě bylo nainstalovat v tuto chvíli aktualizaci Service Pack 1. Protože však
tuto aktualizaci budeme instalovat v kapitole 20, „Instalujeme aktualizace Service Pack", vyřešíme stávající potíže instalaci
aktualizace QFE Q329357. Tu lze stáhnout z webové stránky společnosti Micro soft na adrese
http://microsoft.com/downloads/details.aspx?FamilyId=6E5DA79C-SC38-4445-B039-E3F3AA5E5B25. Pozor na správnou
jazykovou verzi! Soubor Adminpak.msi v jazykové verzi EN a aktualizace QFE 329357 v jazykových verzích CZ i EN
naleznete na přiloženém disku CD-ROM.
Vzhledem k tomu, že jste ke klientskému počítači přihlášeni stále jako správci, můžete stažený soubor EXE v počítači
ihned spustit. Instalací opravy vás provede průvodce. Systém po instalaci opravy nevyžaduje restartování. Nyní spusťte
instalaci nástrojů pro správu znovu.
7. Spustí se Průvodce instalací produktu Sada nástrojů pro správu systému Windows Server 2003- Pokračujte
8. Instalace by nyní měla proběhnout bez jakýchkoli zásahů. Na jejím konci klepněte na tlačítko Dokončit.
Ověření instalace nástrojů pro správu
1. V Nabídce Start přejděte na položku Nástroje pro správu a poté klepněte na nástroj DHCP. Spustí se prázdná konzola
DHCP.
2. V levém podokně konzoly klepněte pravým tlačítkem myši na položku DHCP a v místní nabídce poté vyberte
příkaz Přidat server. Zobrazí se dialogové okno Přidat server, ve kterém je uveden server srvrOOl.studny.local.
3. Zaškrtněte políčko Tento ověřený server a poté klepněte na tlačítko OK.
4. V konzole si poté projděte konfiguraci serveru DHCP, zda odpovídá konfiguraci provedené přímo na serveru
SRVR001.
Nekompatibilita nástrojů pro správu
Pro instalaci a používání nástrojů pro správu platí následující pravidla:
♦ Do systému Windows XP Professional lze instalovat pouze nástroje Adminpak.msi z instalačního disku CD-ROM se
systémem Windows Server 2003 (jakékoli vydání).
161
♦ Pomocí nástrojů v systému Windows XP Professional lze spravovat server Windows Server 2003 i Windows 2000
Server (jakékoli vydání).
♦ Do systému Windows 2000 Professional lze instalovat pouze nástroje Adminpak.msi z instalačního disku CD-ROM se
systémem Windows 2000 Server (jakékoli vydání).
♦ Pomocí nástrojů v systému Windows 2000 Professional lze spravovat systém Windows 2000 Server i Windows Server
2003 (jakékoli vydání).
♦ Do české jazykové verze systému Windows XP Professional i Windows 2000 je možné instalovat i anglické verze
nástrojů pro správu. Obecně to však nelze doporučit, neboť nástroje, které v systému byly, zůstanou v původní řeči,
zatímco nové nástroje jsou v angličtině. Prostředí je potom nepřehledné.
Práce s nástroji pro správu
Na úvod jedna špatná zpráva. Ne všechny nástroje, které jsou nutné ke správě prostředí, jsou po instalaci balíčku adminpak.msi
k dispozici v položce Nástroje pro správu v Nabídce Start. Nyní ta dobrá - po chvilce pátrání je v systému naleznete. A právě
tomu pátrání se budeme nyní věnovat podrobněji.
Poznámka
Nerozčiluje vás po instalaci nástrojů z balíčku adminpak.msi v nabídce Start neustálé okno s informací, že byly nainstalovány
nové programy? Pokud ano, klepněte pravým tlačítkem myši na tlačítko Start a v místní nabídce vyberte položku Vlastnosti. Na
kartě Nabídka Start dialogového okna Vlastnosti Hlavního panelu a nabídky Start klepněte vedle zaškrtnuté položky Nabídka
Start na tlačítko Vlastní a poté na kartě Upřesnit zrušte zaškrtnutí položky Zvýraznit nově nainstalované programy. Poté
všechna okna zavřete klepnutím na tlačítko OK.
Do Nabídky Start umístili vývojáři společnosti Microsoft ty nejpoužívanější nástroje pro správu. U mnoha správců lze dokonce
říci, že za celou svou éru správy domény se systémem Windows Server 2003 jiné nástroje opravdu potřebovat nebudou.
Existují však Velmi zajímavé nástroje, které ale musíme nejdříve najít na jiném místě systému. Tyto na stroje se nepoužívají moc
často, rozhodně ne k běžné správě prostředí. Proto jsou ukryty mimo Nabídku Start, aby zbytečně nezabíraly místo jiným, pro
běžnou správu užitečnější
Konzola MMC (Microsoft Management Console)
Konzola MMC tvoří základ každého nástroje pro správu systému Windows 2000 a vyšších. To poznáte velmi jednoduše - když si
vedle sebe otevřete více nástrojů pro správu, zjistíte, že se v mnoha věcech podobají - mají podobný vzhled, nabídky a
zejména styl práce. Pryč jsou časy, kdy nástroj pro správu uživatelských účtů vypadal úplně jinak než nástroj pro správu účtů
počítačů nebo služeb. Cílem této strategie je samozřejmě snížení nákladu na výpočetní techniku - jakmile jednou pochopíte
filozofii práce s konzolou MMC, pochopili jste práci s nástroji pro správu. Velmi zajímavým nástrojem, který se používá při
zabezpečení či sledování zabezpečení počítače, je nástroj Šablony zabezpečení. Je jedním z těch, které nenajdete v Nabídce
Start systému Windows XP Professional. Jak jej tedy spustit?
1. Přihlaste se k počítači PC001 jako správce (pro běžnou správu již zapomeňte na účet Ton!&check, ale používejte
účet ITSprával).
2. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz mmc. Poté klepněte na tlačítko OK.
Spustí se prázdná konzola MMC. Obě okna zvětšete na celou obrazovku.
3. V nabídce Soubor konzoly klepněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno
se stejným názvem reprezentující obsah levého podokna konzoly MMC.
4. Klepněte na tlačítko Přidat. Otevře se dialogové okno Přidat samostatný modul snap-in, které obsahuje všechny
nástroje pro správu počítače. Najdete zde jednak všechny nástroje z Nabídky Start a zároveň ty „skryté".
5. Klepněte na položku Šablony zabezpečení a klepnutím na tlačítko Přidat přidejte tento nástroj do konzoly MMC.
Poté klepněte na tlačítko Zavřít.
6. Klepnutím na tlačítko OK zavřete dialogové okno Přidat nebo odebrat modul snap-in.
Prázdná konzola MMC neslouží jen k možnosti otevření nástrojů, které nejsou k dispozici v Nabídce Start. Je velice
praktickým pomocníkem pro vytváření vlastních konzol nutných po správu prostředí.
Každý správce má svůj vlastní styl a postupy pro správu serverů. Jestliže před vámi sloji úkol sledovat stav služeb, událostí a
místa na disku na více počítačích, máte několik možností (protože nemáme více serverů, na kterých se tyto úkoly provádějí,
budeme v následujícím příkladu sledovat server SRVR001 a klientský počítač PC001).
Pokud pomineme obcházení jednotlivých počítačů a vezmeme v úvahu, že v počítači PC001 máme nyní k dispozici
veškeré nástroje pro správu, lze postupovat následujícími
zpusoby:
♦ Ověření služeb v počítači PC001, ověření událostí v počítači PC001, kontrola dis ku v počítači PC001 a opakování
celého postupu pro počítač SRVR001.
Ověření všeho nejprve v počítači PC001 a poté opakování postupu pro počítač SRVR001.
Těžko některý z postupů doporučit. Výsledky budou stejné, čas strávený kontrolou také. Opravdu jde spíše o styl každého
správce.
Představa, že u každého z těchto modulů budete muset postupně otevírat a zavírat konkrétní konzoly, jistě není nijak zajímavá, ba
právě naopak. Pojďme se tedy podívat, jak si práci co nejvíce ulehčit.
První případ
162
1. Přihlaste se k počítači PC001 jako správce (ITSprával).
2. Spusťte prázdnou konzolu MMC.
3. Přidejte do ní modul snap-in Služby. Během přidávání modulu budete muset určit, zda chcete sledovat služby v místním
či jiném počítači. Ponechte zaškrtnuté políčko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a
klepněte na tlačítko Dokončit.
Obrázek 15.3
Výběr spravovaného počítače
Obrázek 15.4
Konzola vytvořená pro konkrétní účely správy
Nyní celý postup opakujte s tím rozdílem, že u každého přidávaného nástroje do konzoly zadáte, že chcete spravovat počítač
SRVR001. Výslednou konzolu uložte pod názvem Správa SRVR001.
Výsledné konzoly si samozřejmě můžete uložit do jakékoli složky (například na pracovní plochu) tak, jak to pro vás bude
nejpohodlnější.
Druhý případ
2.
3.
4.
5.
6.
7.
8.
9.
Přihlaste se k počítači PC001 jako správce (ITSprával).
Spusťte prázdnou konzolu MMC.
Přidejte do ní modul snap-in Služby. Během přidávání modulu ponechte zaškrtnuté políčko Místní počítač (počítač, ve
kterém je spuštěna tato konzola) a klepněte na tlačítko Dokončit.
Do konzoly znovu přidejte modul snap-in Služby. Nyní určete, že se jedná o počítač SRVR001.
Zavřete všechna dialogová okna a výslednou konzolu uložte například jako Služby PC001, SRVR001.
V dialogovém okně Přidat samostatný modul snap-in poté klepněte na položku Prohlížeč událostí a dále postupujte
obdobně jako u nástroje Služby.
Nakonec přidejte nástroj Správa disků, taktéž pro místní počítač.
Nově vytvořená konzola by měla vypadat podobně jako na obrázku 15.4.
A nyní to nejlepší. V nabídce Soubor konzoly klepněte na příkaz Uložit jako. Do pole Název ouboru zadejte název
konzoly (například Správa PC001) a klepněte na tlačítko Uložit.
Systém ukládá vlastní konzoly standardně do složky Nástroje pro správu, tedy do umístění, které obsahuje většinu nástrojů. Ale
pozor! Novou konzolu naleznete v položce Nástroje pro správu umístěné v části Všechny programy Nabídky Start, nikoli v položce
Nástroje pro správu, která je přímo k dispozici v pravé části nabídky Start. Rozdíl je v tom, že Nástroje pro správu v položce
Všechny programy obsahují to samé, co položka Nástroje pro správu, která je přímo v Nabídce Start, plus uživatelsky
vytvořené nástroje.
163
Obrázek 15.5
Konzola pro správu služeb dvou počítačů
C e l ý p o s t u p o p a k u j t e p ro n á s t ro j e P ro hl í žeč událo stí a S p r á v a d i s ků. V z n ik n o u l a k c e l k e m tř i n o v é k o n z o l y .
Poznámka
Pozor na vytváření podobných konzol pro správu služeb ve více počítačích. Pokud například spustíte konzolu obsahující nástroj
Služby pro 5 počítačů a klepnete na položku týkající se momentálně nefunkčního počítače, snaží se systém Windows XP
Professional navázat s tímto počítačem spojení. Pokud počítač nepracuje (neodpovídá na požadavky), bude nějakou dobu trvat,
než tuto informaci konzola „pochopí" a znovu umožní běžnou práci. Do té doby se konzola tváří jako zamrzlá.
Konzola MMC je vzhledem k možnostem různých úprav a kombinací velmi silným a kvalitním nástrojem pro správu počítačů se
systémy Windows 2000 a vyšších. A to jsme ještě nevyčerpali všechny její možnosti!
Pokud byste jako správci v budoucnu vyměnili svůj počítač za jiný, nemusíte vlastní konzoly vytvářet znovu. Vytvořené soubory
stačí zkopírovat do nového počítače. Pokud obsahují nástroje, které jsou standardní výbavou systému Windows XP
Professional, budou ihned funkční; pokud obsahují nástroje pro správu serverového operačního systému (například DNS), je
nutné do nového počítače nainstalovat Nástroje pro správu (Admin-pak.msi).
Vzdálená správa počítačů pomocí standardních nástrojů ve formě konzol MMC je vhodná zejména pro místní sítě nebo sítě
WAN. Konzola využívá pro připojení ke vzdálenému počítači vzdáleného volání procedur (Remote Proceduře Calls, RPC) a
váže se na rozhraní WMI (Windows Management Instrumentation) spravovaného počítače.
Jen těžko si lze představit využití těchto nástrojů při připojení ze vzdáleného počítače mimo síť pomocí Internetu. Na branách
firewall rozhodně nebývá otevřeno tolik portů, aby byla komunikace pomocí RPC možná (nejednalo by se o firewall, nýbrž o
reklamu na ementál). Jediným řešením je tak využití připojení pomocí virtuální privátní sítě, kdy se externí počítač stává součástí
sítě a veškerá komunikace je zapouzdřená do jediného protokolu, a na bráně firewall je možné otevřít jediný port.
Spuštění nástroje pod jiným uživatelským účtem
Na začátku této kapitoly bylo uvedeno, že každý správce by měl provádět běžnou činnost (mimo správu) pod účtem běžného
uživatele. Předpokládejme, že se tímto pravidlem budete řídit, až se jednou objeví následující situace.
Ráno jste přišli do práce a hned vám telefonuje šéf, který potřebuje zpracovat nějaké výkazy týkající se dostupnosti serverů
pokud možno v grafické podobě a k tomu dodat krátkou zprávu. Samozřejmě to spěchá. Na svém pracovišti zapnete počítač a
přihlásíte se pomocí svého běžného uživatelského účtu. Ještě předtím spustíte Outlook, abyste se podívali na nové zprávy
elektronické pošty a aplikaci Internet Explorer, neboť si přece nemůžete nechat po ránu ujít čerstvé novinky ze světa. Dále
spustíte aplikace Word a Excel a začnete pracovat na zprávě pro šéfa. Protože máte některé zajímavé informace kdesi hluboko v
poště, aplikaci Outlook ponecháte otevřenou a občas spustíte vyhledávání jste v plném vytížení, když v tom zavolá
uživatelka, která zapomněla své heslo a nemůže se přihlásit.
Každému jinému uživateli byste v tu chvíli jednoduše vysvětlili, že dříve než po obědě na něj nemáte čas, ale pro tuto
uživatelku máte slabost. Zatímco ji uklidňujete s tím, že za chvíli situaci vyřešíte, roste vám v hlavě nechuť z ukládání rozdělané
práce, odhlášení, nového přihlášení pomocí účtu správce a resetování hesla uživatelky. Kvůli triviálnímu zásahu správce ukládat
rozdělanou práci, odhlásit se, poté změnu provést a pak znovu čekat několik minut na spuštění potřebných aplikací a pokračoval
v práci? To snad ne?!?
V systému Windows XP Professional existuje pro tyto případy velmi elegantní řešení. Svou práci nemusíte přerušovat ani ukládat
a už vůbec není nutné se odhlašovat. Stačí provést následující kroky:
1. Na klávesnici stiskněte a držte klávesu Shift a v Nabídce Start poté klepněte pravým tlačítkem myši na konzolu
Uživatelé a počítače služby Active Directory.
2. V místní nabídce klepněte na položku Spustit jako. Zobrazí se dialogové okno Spustit jako, kde máte možnost
zadat pro spuštění této jediné konzoly jiný účet.
3. Zaškrtněte položku Následující uživatel, do pole Uživatelské jméno zadejte text STUDNY\ITSprava1 a do pole Heslo
zadejte své heslo. Poté klepněte na tlačítko OK.
4, Konzola Uživatelé a počítače služby Active Directory se spustí pod účtem správce a vy můžete provést změnu
hesla uživatelky. Po provedení změny konzolu zavřete a pokračujte ve své práci jako běžný uživatel.
164
Obrázek 15.6
Dialogové okno Spustit jako
¨
Do budoucna už nyní můžete být více klidní, neboť již víte, že „přepínání" mezi více různými účty nemusí být tak bolestné jako ve
starších systémech. Jediná výjimka však existuje pod účtem jiného uživatele nelze spustit aplikaci Průzkumník Windows ani
Internet Explorer.
Správa pomocí nástroje Připojení ke vzdálené ploše
V části věnované správě systémů pomocí standardních nástrojů výše to sice přímo nezaznělo, ale z poskytnutých informací je
to zřejmé - správu pomocí nástrojů lze prováděl pouze ze systémů Windows 2000 a vyšších. Ne vždy je ale situace tak
jednoduchá.
Stačí si představit situaci, kdy přijdete k uživateli, který si stěžuje na potíže při práci,řešit jeho problém. Nějakým omylem
má tento uživatel ještě počítač s operačním systémem Windows NT 4.0 Workstation. V rámci řešení problému byste se nutně
potřebovali z jeho počítače podívat na server (zda je například spuštěna služba, která má na starosti běh aplikace, s níž uživatel
nemůže komunikovat). Nástroje pro správu systému Windows NT 4.0 však nejsou v doméně Active Directory funkční. Tak co
s tím?
Řešení existuje, ale je třeba je dopředu připravit. V systému Windows Server 2003 se mu říká Vzdálená plocha, v systému
Windows 2000 je to Služba Terminál services.
Jak Vzdálená plocha funguje?
Předpokládejme existující připojení klientského počítače k serveru pomocí funkce Vzdálená plocha. Na jedné straně klientský
počítač, na druhé straně server. To, na čem je funkce Vzdálená plocha založena, je minimální přenos dat oběma směry. Jak
to tedy je? Z klientského počítače směrem k serveru se přenášejí pouze informace ze vstupních zařízení (stisky kláves na
klávesnici, pohyb a další práce s myší nebo například informace sejmuté čtečkou čárového kódu). Informací je tak velmi málo.
Od serveru se do klientského počítače přenášejí pouze jednotlivé body obrazovky (přenášejí se tak vlastně obrázky). Pokud
budete ukazatelem myši vytvářet hezké kruhy v pravém horním rohu pracovní plochy (pomiňme, že se v tomto případu
nejedná o žádnou správu počítače), dá se předpokládat, že v rámci optimalizace přenosu dat je zbytečné přenášet i tu část
obrazovky, která se nemění. Je to opravdu tak, takže od serveru ke klientskému počítači se přenáší pouze relevantní části
obrazu serveru. Objem přenášených dat je za tohoto stavu tak malý, že stačí i pomalé spojení (přibližně 14,4 kilobitu/s), a
uživatel (nebo správce) má stejný pocit, jako kdyby seděl a pracoval přímo na serveru.
Konfigurace této funkce je velmi jednoduchá. Je totiž součástí výchozí instalace operačního systému Windows Server 2003
Aby se tato funkce dala využívat, musí být splněno několik předpokladů. Pojďme se na ně podívat.
A. Funkce Vzdálená plocha sice je součástí standardní instalace systému Windows Server 2003, ale není ve výchozím
stavu povolena.
Povolení funkce Vzdálená plocha
2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a poté v místní nabídce klepněte na
3. V dialogovém okně Vlastnosti systému klepněte na kartu Vzdálený přístup a poté v části Vzdálená plocha zaškrtněte
políčko Povolit připojení vzdálených uživatelů k tomuto počítači.
B. Oprávnění k připojení ke vzdálené ploše má ve výchozí konfiguraci pouze skupina Administrators. Ostatním
uživatelům je třeba toto oprávnění udělit ručně.
Udělení oprávnění k připojení ke vzdálené ploše
1. V dialogovém okně Vlastnosti systému na kartě Vzdálený přístup klepněte na tlačítko Vybrat vzdálené uživatele a
poté v dialogovém okně Uživatelé vzdálené plochy přidejte uživatele, kterým chcete umožnit přístup.
Poznámka
Jedná se pouze o jiné grafické uživatelské rozhraní pro přidání účtů uživatelů do skupiny Remote Desktop Users. Pokud zvolíte
165
přímo toto provedení (pomocí nástroje uživatelé a počítače služby Active Directory), bude výsledek totožný.
C. Počet relací funkce vzdálená plocha je omezen Ověření maximálního povoleného počtu relací
2. Spusťte konzolu Konfigurace Terminálové služby.
Obrázek 15.7
Konzola Konfigurace Terminálové služby
3, V pravé části konzoly klepněte na položku RDP-Tcp a v místní nabídce klepněte na položku Vlastnosti. (RDP je
zkratka protokolu Remote Desktop Protocol).
4. Klepněte na kartu Síťový adaptér a v poli maximální počet připojení se pokuste změnit hodnotu 2 na vyšší.
Nebude to možné. Ke vzdálené ploše mohou být připojené v danou chvíli nejvíce dvě relace (obě může používat stejný
uživatel) - to platí pro funkci Vzdálená plocha v systému Windows Server 2003 i pro službu Terminál services v
systému Windows 2000 Server v režimu administrace. Systém Windows Server 2003 však navíc přichází S jednou
velmi zajímavou novinkou. Mimo tyto dvě relace umožňuje vzdálené připojení do aktuální relace na serveru (to se podaří v
případě, že uživatel má právo vstoupit do relace).
Tuto novinku lze využít v případě, kdy máte na serveru rozdělanou práci a chcete ji dodělat z jiného počítače. Do
stávající relace na serveru se můžete vzdáleně přihlásit tak, že klienta připojení ke vzdálené ploše spustíte v klientském
počítači I parametrem /console.
5. Klepněte na kartu Oprávnění a prohlédněte si nakonfigurovaná oprávnění pro přístup ke vzdálené ploše serveru.
Nyní se může zdát, že systém Windows Server 2003 umožňuje oproti svému předchudci Windows 2000 Server navíc
zajímavou věc - totiž umožnit přístup ke vzdálené ploše i uživatelům, kteří nejsou členové skupiny Administrators. Alespoň
ta k to vždy prezentovala společnost Microsoft. Pokud jste se však dříve trochu zabývali vlastnostmi služby Terminál services v
systému Windows 2000 Server, mohli jste zjistil, že
i tam existuje stejná karta Oprávnění, na která se daly provést potřebné změny a umožnit tak přístup i běžným
uživatelům.
D. Ke vzdálené ploše je možné se připojit pouze pomocí speciálního klienta
Klient pro připojení ke vzdálené ploše měl dříve název Klient služby Terminál services. Nyní je jeho nová verze součástí
systému Windows XP Professional (i Windows Server 2003) a jmenuje se Připojení ke vzdálené ploše.
Připojení ke vzdálené ploše pomocí klienta
2. V Nabídce Start klepněte na položku Všechny programy a poté přejděte postupně do položek Příslušenství a
Komunikace. Klepněte na položku Připojení ke vzdálené ploše. Spustí se klient pro připojení (viz obrázek 15.8).
Obrázek 15.8
Klient pro připojení ke vzdálené ploše
166
3. Do pole počítač zadejte název nebo adresu IP serveru, ke kterému se chcete připojit a poté klepněte na tlačítko
Možnosti.
4. Na kartě Zobrazení můžete nastavit velikost okna, ve kterém budete mít pracovní plochu vzdáleného počítače.
Výchozím nastavením je standardní rozlišení počítače, ze kterého se připojujete. Dále zde můžete definovat počet barev.
Poznámka
1) S počtem barev to zbytečně nepřehánějte, zejména pokud se připojujete k serveru pomocí velmi pomalého spojení.
Pokud nakonfigurujete barevnou hloubku na 24 bitů, bude k přenosu jediného bodu obrazu třeba 3 bajtů. U 8 bitové
barevné hloubky bude na jeden bodu stačit jediný bajt (tedy 3krát méně dat!)
2) Maximální počet barev lze omezit na straně serveru s funkcí Vzdálená plocha.
5. Na kartě Místní prostředky se určuje, které prostředky místního počítače bude možné využívat ve vzdáleném počítači.
Výchozí konfigurace jsou tiskárny, můžete přidat diskové jednotky a sériové porty. Diskové jednotky se hodí v
případě, kdy například chcete uložit dokument rozpracovaný ve vzdáleném počítači na disk v místním počítači, odkud jste
momentálně připojeni. Sériové porty využijete v situaci, kdy potřebujete do vzdáleného počítače přenášet informace
například ze čtečky čárového kódu.
6. Na kartě Výkon je dobré vybrat odpovídající rychlost připojení. V závislosti na níse omezí či povolí další standardní
funkce systému (například zobrazování obsahu okna při přetahování).
Vlastní nastavení konkrétního připojení si můžete uložit. Výchozím místem je složka Dokumenty a soubor je typu RDP. Uložení
můžete provést klepnutím na tlačítko Uložit jako na kartě Obecné.
Ke vzdálené ploše se připojíte klepnutím na tlačítko Připojit. Zobrazí se standardní přihlašovací okno, ve kterém zadáte jméno a
heslo uživatele, který má právo se připojit. Po-té můžete pracovat se serverem podobně, jako kdybyste seděli přímo u něj.
Je nepochybné, že tato možnost vzdáleného připojení je jediným řešením pro správu serveru ze starších systémů, do kterých není
možné instalovat balíček nástrojů pro správu Adminpak.msi. V takovém případě je ale nutné do daného počítače nainstalovat
program Připojení ke vzdálené ploše.
Instalace programu Připojení ke vzdálené ploše
S využitím standardních funkcí systémů Windows jsou k dispozici následující dvě možnosti instalace:
♦ Z instalačního disku systému Windows XP Professional (Windows Server 2003).
♦ Instalace přes síť ze sdílené složky obsahující instalační soubory klienta na serveru.
Instalační soubor programu Připojení ke vzdálené ploše v jazykové verzi EN naleznete na přiloženém disku CD-ROM.
V prvním případě postupujte následovně:
1. Ke klientskému počítači se přihlaste jako správci (netýká se systémů řady 9x a ME).
2. Vložte disk CD-ROM se systémem Windows XP Professional (Windows Server 2003) a počkejte na jeho automatické
spuštění.
3. V části Co chcete udělat? klepněte na položku Další úkoly a v dalším okně klepněte na položku Nastavit Připojení ke
vzdálené ploše. Dále postupujte podle pokynů průvodce.
V druhém případě postupujte následovně:
2. ( Mevřete okno aplikace Průzkumník Windows a přejděte do složky %SYSTEM\ROOT%\ system32\ clients.
3. V léto složce sdílejte složku tsclient. Veškerá oprávnění (sdílená i NTFS ponechte ve výchozím nastavení). Běžní
uživatelé budou mít výsledná oprávnění pouze Číst a spouštět.
4. Při instalaci Připojení ke vzdálené ploše ze sdílené složky se přihlaste k počítači jako správci a ve složce win32
spusťte program setup.exe.
Poznámka
Můžete samozřejmě sdílet až složku WIN32 (se sdíleným názvem např. TSCLIENT).
Pokud máte v počítačích starší verzi klienta pro připojení ke vzdálené ploše, můžete ji použít také. Stejně tak můžete používat
nového klienta ze systému Windows XP Professional pro přístup ke službě Terminál services systému Windows 2000 Server. V
obou případech však budete ochuzeni o některé možnosti, které starší verze klientů nebo služby Terminál services nemají.
Klient pro připojení ke vzdálené ploše je dokonce součástí systému Windows PocketPC 2002 v počítačích typu PDA. I z
tohoto počítače je tedy možné vzdáleně spravovat servery! Sice to nebude nijak pohodlné, ale v případě nouze je to možnost
k nezaplacení.
Obrovskou výhodou funkce Vzdálená plocha je možnost jejího jednoduchého zpřístupnění na bráně firewall z Internetu. Stačí
totiž otevřít jediný port - 3389 protokolu TCP a žádosti směřující na tento port přesměrovat na příslušný server do vnitřní sítě.
Veškerá komunikace mezi klientem pro připojení ke vzdálené ploše a samotným serverem je automaticky šifrovaná (včetně
samotného přihlášení), takže možnost odchycení a zneužití přenášených dat je zde minimální.
Vzdálená plocha v systému Windows XP Professional
Systém Windows XP Professional je prvním operačním systémem určeným pro klientské počítače, který disponuje funkcí
Vzdálená plocha. Je tedy možné se k němu připojit vzdáleně.
167
Pravděpodobně již cítíte možnost využít tuto funkci pro případ, kdy potřebujete zjistit některé informace z počítače uživatele
nebo když si uživatel stěžuje na špatnou funkčnost počítače a vám se k němu nechce chodit.
Zde je nutné říci, že pravděpodobně budete zklamáni, neboť funkce Vzdálená plocha doznala v systému Windows XP
Professional omezení, které ji téměř brání pro tyto účely využívat. Jejím primárním účelem je umožnit uživatelům pracovat na
svých počítačích .1 vzdáleně (tedy z jiného počítače).
V čem je to omezení? Funkce Vzdálená plocha umožňuje provozovat pouze jedinou relaci (včetně místně přihlášeného
uživatele). Pokud se tedy „násilně" připojíte vzdáleně k počítači, se kterým právě pracuje uživatel, může mít váš krok pro
uživatele nezáviděníhodné následky. Uživatel bude v okamžiku vašeho připojení nemilosrdně odhlášen a jeho práce se
neuloží.
Následující tabulka přesně uvádí stavy, ke kterým může při využívání funkce Vzdálená plocha v systému Windows XP
Professional dojít.
Stav
Akce
Výsledek
S počítačem PC001
pracuje místně uživatel Obchod1
Poznámka
K počítači PC001 se
připojí vzdáleně uživatel Obchod1
Místní relace uživatele
se automaticky uzamkne.
Po odhlášení vzdálené
relace je možné místní
relaci odemknout a pokračovat v práci.
S počítačem PC001 K počítači PC001 se
p r a c u j e místně uži- připojí vzdáleně uživatel Obchod1
vatel, který je správcem tohoto počítače
Místní relace uživatele
Obchodí se uzamkne.
Po odhlášení správce ze
vzdálené relace bude uživatel Obchod1 odhlášen.
Uživatel Obchodí, který se
připojil vzdáleně, se připojí
k relaci svého místního přihlášení a může tak pokračo
vat v práci (to samé, jako
v případě spuštění programu
Připojení ke vzdálené ploše s parametrem / console).
Uživatel Obchodí přijde
o rozdělanou a neuloženou
práci, navíc během uzamčení
své místní relace není schopen ji odemknout (to může provést pouze správce počítače).
Tabulka 15.1 Situace při používání funkce Vzdálená plocha
v počítači se systémem Windows XP Professional
Pro tato omezení není třeba funkci Vzdálená plocha v systému Windows XP Professional zatracovat. Je třeba si uvědomit, že je
určena k trochu jiné věci, než je vzdálená správa počítačů. A vzpomeňte si sami, kolikrát by se vám v minulosti hodilo podívat
se do svého počítače na konkrétní informaci vzdáleně, například z počítače asistentky.
Poznámka
Systém Windows 2000 Professional funkci Vzdálená plocha neobsahuje.
Kombinace kláves v relaci vzdálené plochy
Když se pomocí programu Připojení ke vzdálené ploše připojíte ke vzdálené ploše serve-ru, zobrazí se v horní části obrazovky
panel s názvem či adresou IP vzdáleného počítače (podle toho, co jste zadali v dialogu klientského programu). Panel
obsahuje několik ovládacích prvků, které zjednodušují orientaci uživatele.
Obrázek 15.9 Panel připojení ke vzdálené ploše
Význam ovládacích prvků v pravé části panelu je jasný jedná se o práci s oknem (mim a l i z a c e , maximalizace nebo odpojení
relace). Co znamená ikonka špendlíku v levé části panelu?
Pokud ponecháte špendlík ve výchozí - šikmé - poloze, znamená to, že panel zůstane "přišpendlen" na ploše a bude stále viditelný.
Pokud na špendlík klepnete, změní se je ho poloha na vodorovnou a poté, co přemístíte ukazatel myši dostatečně daleko, dojde k
automatickému skrytí panelu. Při návratu ukazatele myši do polohy panelu se panel znovu zobrazí.
Poznámka
Předchozí verze klientského programu pro připojení ke službě Terminál services tento panel neobsahovaly.
Někteří správci upřednostňují ovládání větší části různých aplikací z klávesnice. Pokud takový správce používá i připojení ke
vzdálené ploše, potom by se jistě rád bez ohledu na zobrazení či nezobrazení panelu pomocí klávesnice také přepínal mezi
plochou vzdáleného a místního počítače. Ostatní uživatelé by zase rádi využili klávesnici v případě, kdy jim panel zmizí a
nevědí, jak jej znovu zobrazit.
Pro tyto účely je vhodné znát kombinace kláves, které jsou ekvivalentem běžných a dobře známých kombinací kláves v systému
Windows. Tyto kombinace jsou uvedeny v tabulce níže. Z praxe mohu potvrdit, že snad jediné používané jsou první dvě.
známé kombinace
kláves v systému
Windows
Odpovídající kombinace kláves v relaci vzdálené plochy
Ctrl+Alt+Break
Popis
Minimalizace/maximalizace okna relace vzdálené
plochy
168
Ctrl+Alt+Del
Ctrl+Alt+End
Zobrazení dialogového okna zabezpečení systému Windows
Alt+Tab
Alt + Pagr Up
Přepínání mezi programy zleva doprava
Alt+Shift+Tab
Alt + Page Down
Přepínání mezi programy zprava doleva
Alt+Esc
Alt+Insert
Přepínání mezi programy v pořadí, v jakém byly
spuštěny
Print Screen
Ctrl+Alt+Minus
(na numerické klávesnici)
Sejmutí obsahu aktivního okna a uložení do
schránky
Alt+Print Sscreen
Ctrl+Alt+Plus
(na numerické klávesnici)
Sejmutí obsahu celého okna relace vzdálené
plochy a uložení do schránky
Tabulka 15.2 Ekvivalenty známých kombinací kláves v relaci vzdálené plochy
Odpojení versus ukončení relace
Pokud potřebujete ukončit relaci vzdálené plochy a je zobrazen panel, vypadá řešení docela jednoduše — klepnout na křížek tedy relaci vzdálené plochy ukončit tak, jako ukončujete všechny ostatní programy. Takový typ ukončení relace však není
typické ukončení, ale odpojení.
Odpojení relace
Pokud odpojíte relaci vzdálené plochy, provedou se následující kroky:
♦ Připojení ke vzdálené ploše z místního počítače se přeruší.
♦ Na vzdáleném serveru zůstává relace aktivní a tedy obsazená.
Znamená to, že pokud se později přihlásíte ke vzdálené ploše znovu, budete spojení 8 otevřenou relací, a můžete tak
pokračovat ve své práci.
Tento způsob práce (tedy odpojení) má své výhody spíše v prostředí, kde je nasazena Terminálová služba pro běžné uživatele.
Uživatelé si tak mohou například spustit výpočetně náročnou úlohu na serveru, poté se odpojí a večer se znovu připojí a
prohlédnou si výsledky.
V našem případě, kdy je maximální počet relací omezen číslem 2 (plus jedna „speciální"), je odpojování relací problém. Stačí dvě
takto odpojené relace a nikdo se ke vzdálené ploše nepřipojí. Těmto stavům se tedy pokud možno v režimu vzdálené plochy
vyhýbejte.
Ukončení relace
Při ukončení relace vzdálené plochy se provedou následující kroky:
♦ Připojení ke vzdálené ploše z místního počítače se přeruší.
♦ Na vzdáleném serveru se relace ukončí a uzavře.
Systém tak získá volnou relaci a může se připojit jiný uživatel (který má pochopitelně oprávnění) Ukončení relace dosáhnete
běžným odhlášením od počítače (v Nabídce Start klepněte na ikonu Odhlásit a poté svůj úmysl potvrďte).
Poznámka
Pokud se odhlašujete pomocí dialogového okna Zabezpečení systému Windows, pozor na překlep. Pokud místo na tlačítko Odhlásit se
klepnete na tlačítko Vypnout, vzdálený počítač se opravdu vypne. Zde je nutné znovu připomenout, že cílem funkce Vzdálená plocha
je navodit u uživatele dojem, že sedí přímo u daného serveru.
Závěr
Pro svou běžnou práci nikdy nepoužívejte účet s oprávněními správce. V případě napadení vašeho účtu virem či programem s
úmysly škodit bude poškozena jenom velmi malá část systému. Pro úlohy správy používejte vlastní účet, který zařazením do
skupiny Domain Admins získá potřebná privilegia. Vlastní účet by měl používat každý správce prostředí, aby bylo možné
jednotlivé kroky auditovat a jednoznačně označit původce různých událostí.
Pokud nechcete neustále za účelem správy vysedávat u serverů, můžete si do svého počítače nainstalovat Nástroje pro správu.
Budete tak mít k dispozici stejný rozsah nastrojil jako je na serveru. Instalace nástrojů se provádí spuštěním instalačního
balíčku admin-pak.msi, který je pro danou verzi desktopového operačního systému k dispozici na instalačním disku CD-ROM se
serverovým operačním systémem.
Druhou možností správy serverů z pracovní stanice je povolení funkce Vzdálená plocha a instalace programu Připojení ke
vzdálené ploše do klientského počítače. Tuto možnost lze využít ve všech případech, kdy nelze použít nástroje pro správu
(například pokud je mezi počítačem a serverem brána firewall) a také ze starších operačních systémů nebo dokonce z počítačů
typu PDA.
Stav sítě
Do počítače PC001 byl nainstalován balíček nástrojů pro správu serveru SRVR001 a domény Active Directory. Ještě předtím byla
do systému Windows XP Professional nainstalovaná aktualizace, bez které by instalace nástrojů nebyla možná.
169
Na serveru SRVR001 byla povolena funkce Vzdálená plocha, která odpovídá službě Terminál services v administrativním režimu
systému Windows 2000 Server. Veškeré záležitosti správy prostředí je tak nyní možné provádět plně z počítače PC001.
170
Co když zítra odejde server?
Jestliže má zítra odejít server, jsme na tom docela dobře. Máme ještě relativně hodně času dobře se na to připravit. Server však
může s klidným svědomím odejít třeba za hodinu, 15 minut nebo dokonce za minutu. Jsme na to v naší síti připraveni? Nejsme!
Těmito hrozbami mířím k tomu, že otázku zabezpečení dat, konfigurací serverů a další, shrnuto do slova zálohování, jsme
měli řešit jako jednu z prvních. Protože se však v této knize pohybujeme ve fiktivní firmě, jíž by pád serveru nijak extrémně
nepoškodil, zvolil jsem cestu nejprve seznámení se základními stavebními prvky sítě a domény, aby již nyní bylo při vyslovení
slova „zálohování" více jasné, co všechno bude třeba zálohovat.
V reálném prostředí je však oblast zálohování a přípravy na podobné potíže v síti jedním z hlavních odstavců strategie správy a
vytváří se ještě před implementací jakékoli části sítě. Dokonce, pokud se v síti provádí změna (například upgrade domény), je
třeba definovat nejen plán a strategii zálohování konečného prostředí, ale také je třeba určit strategii zálohování v průběhu
změny.
Obecně se jedná o oblast, která může v případě podcenění přivodit organizacím nepříjemné a nedozírné následky. Naopak, v
případě správně vymyšlené strategie a dodržovaní určených postupů můžete mít klidné spaní. To, že k problémům nedojde, se
vyloučit nikdy nedá. Ale to, že budete v každém okamžiku vědět, jaké je řešení, je nedocenitelnou devizou. Vzhůru do toho!
Typy problémů
Na úvod jedno upozornění — nečekejte, že zde, tedy v oblasti zabývající se problémy, začnou padat informace, které jste nikdy
dříve neslyšeli. Tato oblast je tak triviální, že ji lze obsáhnout bez podrobnějších odborných znalostí pouhým selským rozumem.
Jde jenom o to na nic nezapomenout.
Jaké potíže nás tedy mohou čekat?
Chyby softwaru
Chyby softwaru existují vždy a všude a vycházejí již z dílny jeho tvůrců. Řešení některých je čistě na jejich producentech, řešení
jiných spadá do možností správců. Pokud je například chyba v souboru, který tvoří jádro operačního systému, pravděpodobně s
tím jako správci nic nezmůžete. Pokud je chyba v ovladači hardwarového zařízení, nebudete ji jistě hledat a opravovat, ale daný
ovladač nahradíte jinou verzí.
Chyby hardwaru
Hardware je technika jako každá jiná a ani záruka 5 let nemusí zajistit, že jednoho dne „nevydechne" naposledy. Problémy mohou
potkat jakoukoli hardwarovou součást počítače. Na druhou stranu je zřejmé, že havárie pevného disku serveru bude znamenat o
něco více práce pro správce než porucha myši.
Omyly uživatelů
Běžný uživatel nemá v systému Windows XP Professional taková práva a oprávnění, aby byl schopen svým omylem nějak
dramaticky zasáhnout do funkce daného počítače či dokonce do sítě. Dá se říci, že na omyly uživatelů se myslelo již při návrhu
operačních systémů založených na technologii NT, takže uživatelé nemají o nic větší oprávnění, než skutečně ke své práci
potřebují. Omylům uživatelů se nedá vyhnout, doporučuji spíše řešit jejich prevenci. Je zbytečné spoléhat na to, že uživatel se
bude schopen něco naučit či pochopit. Lepším přístupem je zúžit mu možnost více řešení pouze na jedno pro něj nejjednodušší.
Omyly správců
Jednou z příčin omylů správců jsou nedostatečné znalosti. Takový omyl je na počátku vlastně úmyslem, bohužel až později se
zjistí, že špatným. Protože správci nejsou v systémech nijak omezeni (ani by to nebylo dost dobře proveditelné), mohou mít
někdy jejich omyly dalekosáhlé následky. Pochopitelně, že čím více práv správce má, tím větší nepříjemnosti může svým
neodborným jednáním způsobit.
Úmyslné poškození
Zde je zbytečné rozeznávat, zda se jedná o čin uživatele či správce. Výsledek je vždy nepříjemný a vyžaduje nadměrné úsilí pro
konsolidaci do původního či stabilního stavu.
Vyšší moc
Proti vyšší moci se nedá nikdy najít stoprocentní řešení. Vždy, ačkoli se jedná o velmi malou pravděpodobnost, je třeba počítat s
těmi nejčernějšími představami a připravit si alespoň částečná řešení.
Možnosti předcházení problémům
Ze se problémy dříve či později objeví, je jasné všem. Potom je otázka, zda nastane vše obecný chaos nebo zda se bude při
171
jejich řešení postupovat podle předem vypracovaných postupů, systémově, bez zbytečných emocí a efektivně.
Jistě se shodneme na tom, že lepší než nastalé problémy bezhlavě řešit je věnovat čas při pravě pro jejich předcházení.
Softwarové problémy
Protože máme v síti operační systémy Windows od společnosti Microsoft, pojďme se podívat na možnosti řešení, které společnost
Microsoft u svých produktů nabízí.
Ovladače zařízení
Možná, že jste se již v praxi setkali s následující situací. Ve svém počítači jste provedli aktualizaci ovladače grafické karty. Výrobce
na své webové stránce sliboval větší rychlost, vyšší horizontální frekvence při daných rozlišeních a podporu nového rozhraní
DirectX.
Po instalaci nového ovladače jste však zjistili, že všechno není tak, jak by mělo být. Ne-jen že grafická karta nevykazuje žádné
známky zlepšení výkonu, ale máte potíže s jiným hardwarovým zařízením a navíc se vám zdá, že operační systém neběží tak
rychle a dobře jako před instalací ovladače.
Kde je problém? Nejspíše v novém ovladači. Je jedno, zda výrobce dal na web ještě ne-dodělanou verzi, kterou omylem označil
jako připravenou pro distribuci nebo dal k dispozici ovladač, jenž neprošel dostatečným testováním. Tato otázka je pro vás v
danou chvíli bezpředmětná. Vás zajímá řešení, kterým je odebrání nejnovější verze a vrácení původní verze ovladače.
jak je možné, že vinou novější verze ovladače se navíc zpomalil chod operačního systému? V principu je vysvětlení velmi
jednoduché. Ovladač zařízení - to nemusí být jenom dodatečné soubory, ale mohou to být i například upravené systémové
knihovny. No a jestliže jsou upravené špatně (a špatně napsaný program dnes umí vytvořit kdekdo), potom je jisté, že budou
působit potíže nejen v souvislosti s novým zařízením, ale také s ostatními zařízeními, která je využívají.
Vyhnout se těmto potížím není v systému Windows XP Professional naštěstí až tak složili Prvním krokem je instalovat pouze
podepsané ovladače zařízení. Digitální podpis společnosti Microsoft u ovladače zařízení znamená, že dané zařízení bylo
otestováno s do-dávaným ovladačem, a že nezpůsobuje v systému Windows XP Professional žádné potí že (se stabilitou a
výkonem).
Další možností je provedení zálohy celého systému před instalací nejistého původu konkrétního ovladače. To je však již extrémní
případ, jak uvidíme v další části této kapitoly, kde budeme probírat nástroje pro odstraňování potíží.
Chyby operačních systémů a aplikací
Chyby operačních systémů a aplikací opravuje výhradně jejich výrobce - tedy společnost Microsoft. Jako uživatelé se s nimi
můžeme setkat buď ve formě jednotlivých oprav označovaných jako hotfix, QFE apod. nebo ve formě aktualizací ServicePack,
což jsou prakticky soubory předchozích vydaných oprav.
Chybám operačních systémů se nedá na straně správy sítě předcházet. Je ale možné implementovat řešení pro automatickou
instalaci oprav do všech počítačů v síti. Důležité tedy je mít svou síť neustále aktualizovánu všemi dostupnými opravami. To
zároveň souvisí také s jejím zabezpečením, neboť většina chyb produktů se zabezpečením přímo souvisí,
Hardwarové problémy
Na oblast hardwarových problémů se dá podívat velmi jednoduše - počítač si můžete v hlavě představit jako jednotlivé
součásti a postupně se ptát na to, co se může stát, když odejde ta a ta součást a jak daný stav zabezpečit.
Pokud pomineme stav, kdy budeme mít ve skříni připraven další server z hlediska hardwaru identický s aktuálním a
vynecháme i oblast clusterů (které z pochopitelných důvodů nejsou také vždy l00 procentním řešením), můžeme havárii
hardwaru rozdělit na dvě skupiny.
Výpadek pevného disku aneb ztráta dat
Jedná se o klasickou závadu, kdy pevný disk odejde fyzicky (odejde mechanická či elektronická část). Řešením jsou pole typu
RAID (Redundant Array of Independent Disks), což jsou svazky odolné proti chybám, na kterých jsou data uložena.
Pro tyto účely se používají dva druhy svazků RAID: RAID 0 (zrcadlený svazek) a RAID 5 (rozložený svazek s paritou). Ostatní
svazky RAID jsou případnou kombinací některého z uvedených s jiným typem.
O tom principu činnosti svazků RAID již bylo v různé literatuře napsáno mnoho. Nemá proto význam zde princip činnosti
rozebírat, my se můžeme pouze spokojit s poznámkou, že systém Windows Server 2003 je schopen tyto dva svazky sám
nakonfigurovat a pracovat s nimi (bez dalších hardwarových prostředků!).
V praxi se pravděpodobně častěji setkáte se svazky RAID 5. Odpověď je nutné hledat v ekonomické oblasti. Pokud chcete
provozovat pole RAID 0, budete muset zakoupit dva disky, ale prakticky využijete pouze polovinu zakoupené kapacity. To je
logické. Pokud chcete pole RAID 5, musíte zakoupit nejméně tři disky, přičemž prakticky využijete 66 % zakoupené kapacity.
V naší síti si však o podobných možnostech můžeme nechat jenom zdát, neboť fyzický disk máme v serveru pouze jeden
jediný.
A co pracovní stanice? Systémy Windows XP Professional neumějí žádný z výše popsaných svazků vytvořit ani s ním pracovat.
Zde je tedy nutné najít jiné řešení pro předcházení problémům. Nejjednodušší bude zajistit, aby na pracovních stanicích nebyla
uložena žádná důležitá data uživatelů či společnosti. Jak na to si ukážeme v kapitole 17, „Správa prostředí klientských počítačů".
Výpadek ostatního důležitého hardwaru
Sem patří například výpadek napájecího zdroje, síťové karty, případně základní desky počítače. Řešení pro tuto situaci je silně
závislé na finančních možnostech každé organizace. Jedním extrémem je již zmíněné udržování kopie serveru mimo síť,
rozumnější však bude mít s dodavatelem hardwaru smluvně zajištěný servis s rozumnými dodacími lhůtami. Čím důležitější
172
hardware, tím musí být intervaly pro případné uvedení do provozu kratší.
U pracovních stanic se výpadky hardwaru většinou řeší tak, že společnost má k dispozici mimo síť neustále jeden či více
kompletních počítačů, které je schopna uživateli, jen/ o svůj počítač právě přišel, poskytnout.
Výpadek napájení nebo jeho kolísání
Výpadky nebo kolísání napájení bych nejraději zařadil sem do oblasti hardwaru. Tyto p< > tíže mohou mít v případě neřešení na
svědomí poměrně dalekosáhlé následky. Řešením jsou nepřerušitelné zdroje napájení (UPS).
S počtem zdrojů UPS je to podobné jako s tiskárnami. Je systémovější zakoupit jeden po-řádný zdroj UPS, který bude sloužit
jako záloha napájení celé sítě, než zdroj UPS ke kaž dému počítači. Bohužel na to většina organizací nemá potřebné prostředky,
takže se výpadky napájení řeší zakoupením zdrojů UPS hlavně pro servery, případně pro některé duležité pracovní stanice a další
zařízení (tiskárny, faxy apod.).
Omyly
Omyl se jednou za čas povede každému. Předcházení omylům u uživatelů lze systémově řešit pouze tím, že uživatele
maximálně omezíte v činnostech, které pro svou práci ne-potřebuje a poskytnete, případně zajistíte, mu možnosti vzdělání v
oblastech, jež pro svou práci potřebuje.
Předcházení omylům správců je jednou z nejsložitějších činností. Protože nelze správce ve svých činnostech příliš omezovat,
mají v systému či síti prakticky veškerá oprávnění, o kterých někdy ani pořádně nevědí, k čemu jsou dobrá. Aby se správci
nedopouštěli omy l ů , je třeba je řádně a neustále vzdělávat. Pouze tak zajistíte, že počet omylů z neznalosti bude čím dál nižší.
Pochopitelně že předcházet omylům (tedy výskytům náhodných jevů) se dá velmi obtížně Jedinou rozumnou věcí, co můžete v
této oblasti udělat, je provádět pravidelné zálohování celé infrastruktury. To jistě bude vhodné i z jiných důvodů.
Úmyslná poškození
Na úmyslná poškození se dají aplikovat již výše uvedené informace. Navíc je třeba dbát i takových věcí, jako je zamykání
serverů do racků, uzamykání místností se servery, uzamykání pracovní plochy při opuštění pracoviště atd. Nyní jsme spíše
nakoukli do oblasti zabezpečení, o které bude řeč zejména v kapitole 22, „Zabezpečení serveru a sítě", ale opakování je matka
moudrosti a nikdy nemůže uškodit.
Jako prevence proti úmyslným poškozením může mimo jiné sloužit také vhodně vydaná Vnitroorganizační směrnice, případně
obdobná nařízení.
Poškození z vyšší moci
Zálohování zálohování, zálohování. Protože si jako důsledek působení vyšší moci můžete představit jakékoli poškození uvedené
výše, bylo již vše řečeno. Nyní j i ž konec filozofování a rychle zpět do praxe.
Nástroje pro odstraňování potíží
Pravděpodobně se shodneme na tom, že nejdůležitějším počítačem v celé síti je server (pokud bychom měli větší síť, tak by to
samozřejmě bylo v množném čísle). To je velmi duležité neboť je třeba si položit otázku, zda má vůbec význam zálohovat
klientské počítače. Pokud totiž jako správci zajistíte, že uživatelé budou ukládat dokumenty na server (to musíte zajistit jako
správci, nelze to vyžadovat po uživatelích), může být otázka nové instalace počítače rychlejší záležitostí než oprava vzniklé chyby.
Nehledě na to, že novou instalaci pak můžete mít v záloze jako řešení spousty potíží a není nutné tak připravovat strategie a
postupy pro různé situace. Správci si ušetří čas, v organizaci bude méně byrokracie a celkově na tom všichni vydělají.
V této části se podíváme postupně na všechny možnosti, které jsou pro řešení potíží v systému k dispozici. Vlastně nikoli
všechny, jenom ty použitelné.
Ovladače zařízení
Podepisování ovladačů
Prvním krokem v zajištění stability systému je instalace pouze podepsaných ovladačů (tedy ověřených a kompatibilních se
systémem). Zásada podepisování ovladačů se definuje na kartě Hardware v dialogovém okně Vlastnosti systému. Výchozí
konfigurace této zásady je Upozornit - pokaždé zobrazit výzvu ke zvolení akce.
173
Obrázek 16.1
Dialogové okno Možnosti podpisů ovladačů
Ve výchozí konfiguraci se při pokusu o instalaci nepodepsaného ovladače zobrazí upozornění s dotazem, zda chcete dané
zařízení opravdu nainstalovat. Pokud je zaškrtnula možnost první, nebude žádná kontrola na podepsání ovladače probíhat a
ovladač se nainstaluje. Je-li zaškrtnuta třetí možnost, nepodepsané ovladače se nenainstalují.
Protože instalovat zařízení mohou pouze správci daného počítače, běžní uživatelé mají ta to pole zasedlá a nemohou nastavení
měnit.
Poznámka
Během instalace systému platí vždy třetí možnost - nelze nainstalovat nepodepsaný ovladač. Do stávající konfigurace se
systém přepne po dokončení instalace.
Vrácení ovladače
Systém Windows XP Professional má vůbec jako první z operačních systémů společnosti Microsoft možnost vrátit zpět
předchozí ovladač zařízení, pokud nejste spokojeni s nově nainstalovaným. Každý, kdo se o něco podobného pokoušel ručně u
předchozích verzi systému Windows, tuto funkci velmi ocení.
Jestliže provedete aktualizaci ovladače, vytvoří se ve složce %SYSTEMROOT%\system32 podsložka s názvem ReinstallBackups.
Ta bude obsahovat předchozí ovladač daného za-řízení, který byl právě aktualizován. Pokud se chcete kdykoli později vrátit k
původnímu ovladači, postupujte následovně:
1. Přihlaste se k počítači jako správci.
2. V Nabídce Start klepněte pravým tlačítkem myši na položku Tento počítač a po té v místní nabídce zvolte položku
Mastnosti. Zobrazí se dialogové okno Vlastnosti systému.
3. Klepněte na kartu Hardware a poté na tlačítko Správce zařízení. Zobrazí se seznam kategorií HW zařízení.
4. V seznamu vyhledejte hardwarovou součást, jejíž ovladač chcete vrátit zpět, klepněte na ni pravým tlačítkem myši a v
místní nabídce zvolte položku Vlastnosti.
5. V dialogovém okně vlastností zařízení klepněte na kartě Ovladač na tlačítko Vrátit změny ovladače. Vše ostatní
ponechte na systému.
Poznámka
Funkce vrácení ovladače se neumí vrátit o více než jednu úroveň zpět.
Tylo dvě funkce by vám měly postačovat k odstraňování potíží s hardwarovými zařízeními. Nic jiného se s dnešním hardwarem
(typu Plug-and-Play) prakticky neprovádí.
Spouštění systému
Pokud se vyskytne problém při spouštění systému, jedná se vždy o obrovské překvapen i . Tylo problémy se totiž vždy objeví v
momentě, kdy je nikdo nečeká.
Poslední známá platná konfigurace
Nejčastější příčinou chyby při spuštění bývá změna v konfiguraci provedená před posledn í m vypnutím. Může se jednat o
aktualizaci ovladače, instalaci aplikace nebo například změnu stavu služby (z typu spouštění Zakázáno na Automaticky). V
takovém případě mužete vyzkoušet možnost spuštění nazvanou Poslední známá platná konfigurace.
Poslední známá platná konfigurace vezme tu část registru, která obsahuje konfiguraci systému při posledním úspěšném
spuštění, a podle ní spustí počítač. Nahradí tak informace v části registru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet.
Nová konfigurace (obsahující například i změnu stavu spuštění služby) se v takovém případě neprojeví, Navíc poslední platná
174
konfigurace vrátí původní ovladače zařízení, pokud byly během posledního spuštění změněny.
Poznámka
Předchozí konfigurace systému se v registru neuchovávají donekonečna. Pokud se počítač spustí z běžné konfigurace, ihned po
přihlášení uživatele se tato konfigurace zkopíruje do poslední platné položky. Jestliže tedy počítač během spouštění „padá" až po
přihlášení uživatele, poslední platná konfigurace nepomůže!
Pokud chcete spustit systém v poslední platné konfiguraci, je nutné během spouštění stisknout klávesu F8 a poté vybrat
odpovídající položku.
Nouzový režim
Pokud nelze spustit počítač v režimu Poslední platná známá konfigurace, můžete vyzkoušet Nouzový režim. V tomto režimu dojde
ke spuštění jenom nejdůležitějších služeb a nejdůležitějších zařízení. Nespustí se tak například zvuková karta nebo zařízení USB, u
grafické karty dojde zase k načtení základního systémového ovladače.
K dispozici tak máte funkční prostředí vhodné pro provedení diagnostiky systému, případně k nápravě stavu.
Spuštění v nouzovém režimu je jediným případem úplného spuštění počítače, které neprovádí aktualizaci poslední známé platné
konfigurace.
Oba zmíněné režimy - poslední známá platná konfigurace i nouzový režim - pomohou v případech, kdy došlo ke změně
konfigurace systému, jejíž vinou nelze systém spustit. Jsou však stavy, kdy spuštění systému brání poškozený či chybějící
důležitý soubor (například zavaděč operačního systému Ntldr). V takovém případě ani jedna z těchto možností nepomůže a je
třeba použít další nástroj.
Konzola pro zotavení
Nástroj Konzola pro zotavení je podobný příkazovému řádku. Nemá grafické uživatelské rozhraní a práce s ním probíhá pomocí
ručně zadávaných příkazů. K dispozici jsou běžné příkazy pro kopírování souborů, ale také pokročilé příkazy pro
odstraňování potíží s důležitými oblastmi na pevném disku (fixmbr, fixboot), pro změnu typu spuštění služby (enable, disable)
nebo například i pro práci s disky (diskpart, formát).
Obrovskou výhodou konzoly pro zotavení je možnost přistupovat (a dokonce zapisovat) do oddílů zformátovaných systémem
souborů NTFS.
Možnosti nástroje Konzola pro zotavení jsou vskutku obrovské. V další části navodíme stav poškození systému Windows XP
Professional a poté jej pomocí konzoly pro zotavení opravíme. Než začnete s následujícím postupem, připravte si instalační disk
CD-ROM se systémem Windows XP Professional.
Poznámka
Přesto, že se jedná o celkem jednoduchou operaci, doporučuji v případě, že jsou v počítači PC001 uložena důležitá data, přenést
je před následujícím postupem do jiného počítače.
Poškození instalace počítače PC001
2. Otevřete okno aplikace Průzkumník Windows a v oddílu C: odstraňte soubor Ntldr
Poznámka
Pokud není soubor Ntldr zobrazen, nastavte zobrazování skrytých a systémových souborů.
3.
Restartujte počítač. Operační systém se nespustí, namísto toho se zobrazí zpráva NTLDR nenalezen. Restartujte
stisknutím kláves Ctrl+Alt+Del.
Poznámka
Tato záležitost byla v systémech Windows NT 4.0 řešitelná pouze pomocí opravné diskety systému nebo obnovením počítače ze
zálohy. Z praxe vím, že opravnou disketu používal málokdo a zálohování pracovní stanice se systémem Windows NT 4.0 bylo
téměř vyloučeno (stanice se běžně nezálohují, navíc zálohovat se v tomto systému dalo pouze na pásková zařízení, která byla
výsadou serverů).
Oprava poškození pomocí Konzoly pro zotavení
1. Do jednotky CD-ROM počítače PC001 vložte instalační disk CD-ROM se systémem
Windows XP Professional a spusťte počítač.
Poznámka
Možná budete muset změnit pořadí spouštěcích zařízení (na první místo zařadit jednotku CD-ROM).
2. Pro spuštění počítače z disku CD-ROM stiskněte v okamžik zobrazení zprávy libo
volnou klávesu. Proběhne první fáze spuštění počítače, která je shodná s počát
kem instalace operačního systému Windows XP Professional.
3. Na obrazovce Upozornění instalačního programu stiskněte klávesu Enter pokračování v instalaci.
4. Na obrazovce Vítá vás instalační program stiskněte klávesu R - spuštění Konzoly pro zotavení.
175
Obrázek 16.2 Úvodní obrazovka Konzoly pro zotavení
5. Zadejte číslo 1, neboť je třeba se přihlásit k této instalaci. Pokud by v počítači bylo více operačních systémů, bylo by
uvedeno i více položek. Poté stiskněte k l á v e su Enter.
6, Nyní je třeba zadat heslo místního účtu Administrátor, tedy heslo zadávané během instalace systému. Pokud máte potíže
vzpomenout si na něj, zde vidíte, jak důležité je si podstatná hesla ukládat do trezoru. V našem případě s jednalo o
heslo K@flcko.
Poznámka
I když jste podle doporučení přejmenovali místní účet Administrátor, Konzole pro zotavení je to jedno a vždy po vás bude
vyžadovat heslo účtu Administrátor. Zadejte tedy vždy heslo tohoto přejmenovaného účtu.
7. Zadejte příkaz copy D : \ i 3 8 6 \ n t l d r C: \ a stiskněte klávesu Enter (D je písmeno vaší jednotky CD-ROM). Dojde ke
zkopírování souboru Ntldr do kořenové složky jednotky C:.
8. Zadejte příkaz Exit. Dojde k restartování a následnému běžnému spuštění počítače.
Pomocí Konzoly pro zotavení jsme nyní během několika minut vyřešili vcelku zásadní problém. I tak má v tomto režimu
konzola ještě některá omezení. Například:
♦ Není možné získat přístup například ke složkám Program Files, Documents and Settings.
♦ Nelze kopírovat soubory z pevného disku na disketu.
Abychom umožnili provádět pomocí Konzoly pro zotavení co nejvíce úloh, je vhodné provést následující nastavení:
1. K počítači PC001 se přihlaste jako správci (pokud jste přihlášeni jako běžný uživatel, spusťte následující nástroj pod
účtem správce).
3. Pravým tlačítkem myši klepněte na název domény (studny.local) a v místní nabídce zvolte položku Vlastnosti.
4. Na kartě Zásady skupiny poklepejte na objekt Default Domain Policy.
5. V nástroji Zásady skupiny přejděte do složky Konfigurace počítače\Nastavení systému Windows\Nastavení
zabezpečení\ Místní zásady\Možnosti zabezpečení.
6. V pravém podokně konzoly poklepejte na možnost Konzola pro zotavení:Umožnit kopírování disket a
přístup ke všem jednotkám a složkám, zaškrtněte políčka Definovat toto nastavení zásad a Povolit a klepnutím
na tlačítko OK zavřete dialogové okno.
7. Zavřete všechny nástroje.
Po aplikaci zásad do všech počítačů v doméně bude při případném použití Konzoly pro zotavení možné kopírovat soubory
obousměrně a přistupovat do všech složek.
V předchozím případě, kdy v systému chyběl zavaděč operačního systému, bylo nutné spustit Konzolu pro zotavení z
instalačního disku CD-ROM se systémem Windows XI3 Professional. Pokud bychom chtěli pomocí Konzoly pro zotavení
pouze změnit typ spuštění konkrétní služby z Automaticky na Zakázáno, je čekání na spuštění Konzoly pro zotavení z
instalačního disku CD-ROM nekonečné. Na takové případy se lze připravil do předu a Konzolu pro zotavení do systému
nainstalovat.
instalace Konzoly pro zotavení na server
2. Do jednotky CD-ROM vložte instalační disk CD-ROM se systémem Windows Server 2003.
3. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz
D : \ i 3 8 6 \ w i n n t 3 2 . e x e /cmdcons,
kde D je písmeno jednotky CD-ROM.
Poznámka
Pokud máte instalační soubory operačního systému v síti, můžete tuto instalaci spustit přímo ze sítě.
4. V dialogovém okně s informacemi o instalaci Konzoly pro zotavení klepněte na tlačítko Ano. Instalace poté proběhne
automaticky.
Poznámka
Pokud server není připojen k Internetu, klepněte v dialogovém okně Dynamická aktualizace na klávesu Esc a poté klepněte na
tlačítko Ano. Stažení souborů tak přeskočíte a instalace může pokračovat.
Všimli jste si doby, kterou instalace Konzoly pro zotavení zabrala? Je řádově kratší než spuštění Konzoly pro zotavení z
176
instalačního disku CD-ROM. Konzolu pro zotavení tedy vždy instalujte po dokončení instalace operačního systému.
Alespoň na servery. V případě potíží si tak ušetříte čas.
Zálohování systému
V operačním systému Microsoft Windows 2000 doznala oblast zálohování podstatné změny k lepšímu. Zálohování se stalo
průhlednějším a přibyla možnost provádět zálohování také na místní disk nebo do vzdáleného umístění.
Zálohování systému - to není jenom zálohování důležitých dokumentů. Velmi podstatnou součástí zálohování je uložení
nastavení systému - tedy konfigurace registru, uživatelských účtů a podobně. V systému Windows NT 4.0 vládla v této oblasti
dost velká ne-vole správců, kteří přesně nevěděli, co všechno by pro uchování nastavení daného systému měli zálohovat. Celý
registr nebo jenom část? Soubor, ve kterém jsou uložené účty uživatelu nebo ještě něco k němu? Nejasností bylo mnoho a
vše vyřešil zálohovací programu v systému Windows 2000. Tento přístup k zálohování pokračuje také v systému Windows XP
Professional (spolu s dalšími novinkami i ve veškerých serverových systémech od verze Windows 2000 Server).
Co zálohovat?
Každý správce dobře ví, že cílem zálohování je úspěšná obnova dat. Pod pojmem úspěšná obnova si ale každý může představit
něco trochu jiného. Zatímco pro některé uživatele je úspěšnou obnovou získání svých souborů uložených na serveru, pro
správce je úspěšnou obnovou správná funkce celého serveru (spuštění potřebných služeb, funkci-aplikaci či databází, funkční
ověřování uživatelů na řadiči domény apod.). Pokud pomineme oblast klientských počítačů, které se ve větších sítích opravdu
nezálohují a budeme se věnovat pouze serverům, budou nás zajímat následující oblasti:
♦ Zálohování souborů Jedná se o ten nejjednodušší přístup k zálohování, kdy výsledkem je pouze uložení daných souborů
(či celých složek se soubory) do souboru zálohy.
♦ Zálohování nastavení Jedná se o zálohování nastavení systému, které má vliv na správnou konfiguraci a funkčnost
všech částí systému po obnovení. Pojem, který se v této souvislosti v systémech Windows 2000/XP/2003 používá, je Stav
systému (System state).
Při celkovém zálohování serveru je pochopitelně nutné myslet na obě části tak, aby obnova byla úplná a úspěšná.
Zálohování stavu systému
Jako správci musíte vědět, co se při zálohování systému vlastně zálohuje. Podíváme-li se do naší sítě, obsahuje stav systému
následující položky:
♦ Klientské počítače Součástí zálohy stavu systému jsou spouštěcí soubory systému, databáze prvků COM+ a registr
systému.
Obrázek 16.3
Obsah položky Stav systému v systému Windows XP
Professional
♦ Server Součástí zálohy stavu systému je databáze Active Directory (tedy celá doménová databáze), spouštěcí soubory
systému (Boot.ini, Ntldr, Ntdetect.com a další), databáze prvků COM+ (aplikace zajišťující funkce součástí operačního
systému a aplikací), registr systému a obsah složky SYSVOL (složka obsahující objekty Zásad skupiny a spouštěcí
skripty, jejíž obsah se automaticky replikuje mezi řadiči domény).
Poznámka
Stav systému se musí vždy zálohovat jako celek. Nelze z něj vyjmout pouze jednotlivé součásti (například registr).
Tabulka níže obsahuje informace, které položky je třeba zálohovat pro úspěšné obnově ní systému.
177
Obrázek 16.4
Obsah položky Stav systému v systému Windows
Server 2003
Chcete-li obnovit\
Je třeba zálohovat
Doménovou databázi
jako celek nebo její
část (například
odstraněný účet)
Místní uživatelské
účty
Operační systém
O p e r a č ní systém
A APLIKACE
Konkrétní soubory
Klientský počítač
členský server
—
Řadič domény
Stav systému (System statě)
Stav systému
Stav systému
Stav systému + obsah
složky %WINDIR%
Stav systému + složku
%WINDIR% + všechny
složky, ve kterých má
aplikace soubory a data
(například Program
Files)
Stav systému + obsah Stav systému +
složky %WINDIR%
obsah složky %WINDIR%
Stav systému + složku Stav systému + složku
%WINDIR% + všechny %WINDIR% + všechny
aplikace soubory
aplikace soubory a data
a data (například
(například Program Files)
Program Files)
Přímo soubory nebo
složku s požadovanými
soubory
složku s požadovanými soubory
složku s požadovanými
souboiy
Tabulka 16.1 Co je třeba zálohovat pro úspěšné obnovení Nástroje pro zálohování
Systémy Windows v sobě obsahují nástroj pro zálohování (viz obrázky 16.3 a 16.4). Jedná se o nástroj s příznačným názvem
Zálohování. Nejjednodušší a nejrychlejší spuštěni tohoto nástroje dosáhnete zadáním příkazu NTBackup.exe do pole Otevřít
v dialogovém okně Spustitt.
Poznámka
Jiným způsobem spuštění je klepnutí na položku Zálohování v cestě Nabídka Start -> Všechny programy ->
Příslušenství -» Systémové nástroje.
První spuštění tohoto nástroje je v systémech Windows XP/2003 vždy ve formě průvodce. Pro správce to není zcela optimální
způsob, takže je vhodné zrušit při prvním spuštění zaškrtnutí políčka, které to má na svědomí, poté klepnout na tlačítko Storno a
nástroj spustit znovu.
Existuje spousta dalších nástrojů od jiných výrobců pro zálohování systému. V případě, že byste o takovém nástroji uvažovali,
dobře si před jeho koupí zjistěte, co umí navíc proti standardnímu nástroji v systému Windows. Viděl jsem již dost případů, kciy
bylo pořízení nástroje pro zálohování velmi drahé, pro správce zklamáním a z hlediska systému nepřineslo kromě jiného rozhraní
nic nového. Z praxe mohu doporučit, že v 80 % případů postačuje pro účely zálohování systémový nástroj Zálohování!
Typy zálohování
Při zálohování lze rozlišit 5 typů záloh. Pokud budeme k zálohování přistupovat systémově, budou nás zajímat pouze 3 z nich.
Pojďme do praxe.
Zálohování umožní obnovit data, o která uživatelé přišli. Hlavní otázkou je, jak aktuální data bude ještě možné v případě jejich
ztráty obnovit. Zřejmě se nedá moc očekávat, že soubor, který si uživatel vytvořil před 5 minutami a před minutou jej omylem
odstranil, bude správce schopen obnovit. Na druhou stranu není vždy možné zálohovat soubory pouze jednou denně uživatelé by tak neměli většinu aktuálních, dnešních dat. Zálohovat jednou denně tedy nemusí v síti postačovat (i když u
některých dat to vyhovuje) a je třeba zajistit, aby se zálohování provádělo častěji. Provádět ale tu samou zálohu v noci i ve
dne nemusí být únosné z hlediska vytížení prostředků serveru. Přes den musí být servery k dispozici uživatelům pro jiné
178
činnosti a uživatelé by provádění zálohy neměli při své práci vůbec pocítit. Jak to vymyslet?
Existují dva přístupy. První z nich je z hlediska zálohování relativně rychlý, takže uživatelé jej opravdu nemusí nijak pocítit. Má
však jednu nevýhodu - případná obnova bude složitější a bude trvat déle. Druhý přístup je přesně opačný. Síť, a tedy i uživatele
zatíží více, případná obnova však bude jednodušší a rychlejší. V prvním případě se takové zálohování označuje jako přírůstkové
(inkrementální), ve druhém jako rozdílové (diferenciální). Oba uvedené typy záloh však pouze doplňují zálohování nejdůležitější
- normální neboli úplné.
Jak zálohovat?
Protože existuje více možností zálohování, je třeba vždy stanovit strategii zálohování pro konkrétní počítač, a tu následně
dodržovat. Volba strategie záleží na rychlosti všech z a ř í zení, která se zálohování účastní, na dostupnosti dat, na omezeních v síti
po dobu zálohování a také na vytížení zálohovaných serverů během zálohování a požadavcích uživatelů. Pro vlastní klid a jistotu,
že strategie zálohování bude funkční, je třeba zapracovat do strategie zálohování ještě jednu záležitost - pravidelné obnovení
zálohy do počítače miniu provozní prostředí. Jedná se o velmi důležitou - a v praxi velmi opomíjenou - činnost Nejen že vám v
tom nejhorším případě může celou strategii zálohování vyvrátit, ale mimo jiné si cvičným obnovením zálohy ověříte, jak
dlouho obnovení vůbec trvá (vždyť to je to jediné, co zajímá šéfy i uživatele) a také se je naučíte provádět. V naší síti bychom
mohli použít velmi jednoduchou strategii, neboť zde nejsou žádné překážky pro to, aby se za noc zálohování důležitých dat
nestihlo. Abychom však obsáhli i další strategie zálohování, budeme předpokládat velké množství dat na serveru a ne-možnost
stihnout všechna zálohovat přes noc.
Strategie 1 (normální + přírůstkové zálohování)
Tato strategie zajistí, že všechna data se budou najednou zálohovat během víkendu a každý den v noci se budou zálohovat pouze
nové a změněné soubory. Jiným příkladem by mohlo být zálohování všech dat noci a nových položek přes den (prakticky je
to stejný přístup, přičemž konkrétní strategie je vždy založena na tom, za jak dlouho se daný objem dat stihne zálohovat). Cílem
je, aby zálohování nových souborů v noci bylo co nejrychlejší (proto budeme zálohovat pouze nové a změněné soubory).
Víkendové zálohování budeme provádět vždy do stejného souboru, pro noční přírůstkové zálohování budeme mít k dispozici 5
souborů. Celkem 6 souborů tedy budeme neustále střídat s tím, že starší zálohy v nich zůstávat nebudou.
Cílem správců dále je, aby zálohování bylo pokud možno automatické. Vyjdeme tomuto požadavku vstříc a nakonfigurujeme
potřebné úlohy pro automatické spouštění.
Konfigurace víkendového normálního zálohování
Předpoklady: Normální zálohování každou sobotu ve 23.00 do souboru NormalVse.bkf do složky C:\Zalohy, přírůstkové
zálohování každý pracovní den ve 23.00 do souborů Po.bkf, Ut.bkf, St.bkf, Ct.bkf a Pa.bkf do složky C:\Zalohy.
1. K počítači SRVR001 se přihlaste jako správci.
2. Spusťte program pro zálohování dat (NTBackup.exe).
3. V programu Zálohování klepněte na kartu Naplánované úlohy a v kalendáři poklepejte na tlačítko přidat úlohu.
4. Spustí se Průvodce zálohováním. Pokračujte klepnutím na tlačítko Další.
5. V dialogovém okně Zálohovat zaškrtněte políčko Zálohovat vše v tomto počítači a klepněte na tlačítko Další.
6. V dialogovém okně Typ, umístění a název zálohy zadejte umístění C:\Zaloha\ a název zálohy NormalVse. Pro tyto
účely budete možná muset vytvořit složku Zálohy na jednotce C:. Poté klepněte na tlačítko Další.
7. V dialogovém okně Typ zálohování vyberte v rozevíracím seznamu typ záloho vání Normální a poté klepněte na
tlačítko Další.
8. Na kartě Způsob zálohování nezaškrtávejte žádnou z možností a klepněte na tla č í t k o Další.
9.. V dialogovém okně Možnosti zálohování zaškrtněte políčko Nahradit existující zálohy a poté políčko Umožnit
přístup k zálohovaným datům a k libovolným zálohám přidaným na toto médium pouze vlastníkovi a správci.
Klepněte na tlačítko Další.
10. V dialogovém okně Čas zálohování ponechte zaškrtnuté políčko Později, do pole Název úlohy zadejte text Normální
záloha všeho a klepněte na tlačítko Naplánovat.
11. V dialogovém okně Naplánovat úlohu vyberte v poli Naplánovat úlohu položku Týdně, do pole Čas spuštění
zadejte čas 23:00 a v části Týdenní naplánování zaškrtněte pouze položku So. Poté klepněte na tlačítko OK. V
průvodci zálohováním pokračuje klepnutím na tlačítko Další.
12. V dialogovém okně Nastavit informace o účtu zadejte účet a heslo správce, který má oprávnění zálohovat data.
Použijte účet ITSpraval a poté klepněte na tlačítko OK.
Poznámka
Pro tento účel by bylo z hlediska zabezpečení sítě vhodnější vytvořit nový účet s dostatečně silným heslem, zaškrtnout v
jeho vlastnostech políčko Heslo je stále platné a vložit jej do skupiny Backup Operators.
13. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. V kalendáři programu Zálohování se zobrazí v každou
sobotu ikonka s písmenem N označujícímtyp zálohy.
Nyní se v systému stala jediná věc. Vznikla nová naplánovaná úloha, která je pro další konfiguraci k dispozici po klepnutí na
panel naplánované úlohy v okně Ovládací panely.
Konfigurace přírůstkového zálohování v pracovní dny
Při konfiguraci přírůstkového zálohování postupujte podle stejných pokynů s následujícími rozdíly:
♦ Název zálohy (bod 6) změňte na IncrPo.
179
♦
♦
♦
♦
Typ zálohování (bod 7) zvolte Přírůstkové.
Název úlohy zadejte Přírůstková záloha Po všeho (bod 10).
V poli Týdenní naplánování zaškrtněte pouze položku Po (bod 11).
V programu Zálohování se zobrazí každé pondělí ikonka s písmenem P.
Celý postup opakujte ještě čtyřikrát pro ostatní dny v týdnu (s příslušnými úpravami v názvech a položkách). Vznikne tak
dalších 5 naplánovaných úloh.
Obnovení zálohy podle strategie 1
Předpokládejme, že zálohování v souladu s naplánovanými úlohami již nějakou dobu probíhá. Dnes je například čtvrtek,
poslední normální záloha je z minulé soboty a poslední přírůstková záloha je ze středečního večera. Jak postupovat, pokud je
nyní třeba obnovit data?
Zde je třeba si uvědomit, jak přírůstkové zálohování pracuje. Každý soubor má jeden atribut (nazvaný Archivace), který jej
označuje pro zálohování. Po provedení normální zálohy se tento atribut u všech zálohovaných souborů zruší (jeho hodnota je
FALSE). Poté přichází na řadu přírůstková záloha. U té jsme sice definovali, že má zálohovat vše v tomto počítači, což
znamená, že projde všechny položky k zálohování, ale provede zálohu pouze těch položek, které budou mít hodnotu atributu
Archivace TRUE. Tuto hodnotu atribut získá, pokud se objekt změní nebo pokud vznikne nový. Po zálohování daného
objektu nastaví atribut Zálohování na FALŠE. Přírůstková záloha tedy zálohuje pouze nové si změněné položky od poslední
normální nebo přírůstkové zálohy.
Dál se říci, že pokud je denní objem nových a změněných dat stejný, bude mít soubor přírůstkové zálohy každý den přibližně
stejnou velikost.
Z uvedených informací vyplývá také nutnost použít následující postup obnovy:
1. Obnovení normální zálohy z poslední soboty.
2. Obnovení přírůstkové zálohy z tohoto pondělí.
3. Obnovení přírůstkové zálohy z tohoto úterý.
4. Obnovení přírůstkové zálohy z této středy.
Pokud by například přírůstková úterní záloha nebyla v pořádku (nešla by obnovit), budou mít uživatelé k dispozici jako
nejčerstvější data pondělní.
Výhody této strategie jsou jasné - přírůstkové zálohování bude ze všech možných typů trvat nejkratší dobu, takže zabere
nejméně prostředků systému. S tím jde ruku v ruce nevýhoda při obnovení - to bude delší, neboť je nutné obnovit poslední
normální a všechny předešlé přírůstkové zálohy.
Strategie 2 (normální + rozdílové zálohování)
Tato strategie zajistí, že všechna data se budou najednou zálohovat během víkendu a každý den v noci se budou zálohovat pouze
nové a změněné soubory od víkendové zálohy (v tom je hlavní rozdíl oproti předchozí strategii).
Víkendové zálohování budeme provádět vždy do stejného souboru, pro noční rozdílové zálohování budeme mít k dispozici 5
souborů. Celkem 6 souborů tedy budeme neustále střídat s tím, že starší zálohy v nich zůstávat nebudou.
Konfigurace víkendového normálního zálohování
Předpoklady: Normální zálohování každou sobotu ve 23-00 do souboru NormalVse.bkf do složky C:\Zalohy, přírůstkové
zálohování každý pracovní den ve 23.00 do souborů Po.bkf, Ut.bkf, St.bkf, Ct.bkf a Pa,bkf do složky C:\Zalohy.
2. Spusťte program pro zálohování dat (NTBackup.exe).
3. V programu Zálohování klepněte na kartu Naplánované úlohy a v kalendáři poklepejte na tlačítko přidat úlohu.
4. Spustí se Průvodce zálohováním. Pokračujte klepnutím na tlačítko Další.
5. V dialogovém okně Zálohovat zaškrtněte políčko Zálohovat vše v tomto počítači a klepněte na tlačítko Další.
6. V dialogovém okně Typ, umístění a název zálohy zadejte umístění C:\Zaloha\:i název zálohy NormalVse. Pro tyto
účely budete možná muset vytvořit složku Zálohy na jednotce C:. Poté klepněte na tlačítko Další.
7. V dialogovém okně Typ zálohování vyberte v rozevíracím seznamu typ zálohování Normální a poté klepněte na
tlačítko Další.
8. Na kartě Způsob zálohování nezaškrtávejte žádnou z možností a klepněte natlačítko Další.
9. V dialogovém okně Možnosti zálohování zaškrtněte políčko Nahradit existující zálohy a poté políčko Umožnit
přístup k zálohovaným datům a k libovolným zálohám přidaným na toto médium pouze vlastníkovi a
správci. Klepněte na tlačítko Další.
10. V dialogovém okně Čas zálohování ponechte zaškrtnuté políčko Později, do pole Název úlohy zadejte text Normální
záloha všeho a klepněte na tlačítko Naplánovat.
11. V dialogovém okně Naplánovat úlohu vyberte v poli Naplánovat úlohu položku Týdně, do pole Čas spuštění
zadejte čas 23:00 a v části Týdenní naplánování zaškrtněte pouze položku So. Poté klepněte na tlačítko OK. V
průvodci zálohováním pokračuje klepnutím na tlačítko Další.
12. V dialogovém okně Nastavit informace o účtu zadejte účet a heslo správce, který má oprávnění zálohovat data.
Použijte účet ITSprava1a poté klepněte na tlačítko OK.
Poznámka
Pro tento účel by bylo z hlediska zabezpečení sítě vytvořit nový účet s dostatečně silným heslem, zaškrtnout v jeho
180
vlastnostech políčko Heslo je stále platné a vložit jej do skupiny Backup Operators.
13. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. V kalendáři programu Zálohování se zobrazí v
každou sobotu ikonka s písmenem N označujícím typ zálohy.
Nyní se v systému stala jediná věc. Vznikla nová naplánovaná úloha, která je pro další konfiguraci k dispozici po klepnutí na panel
naplánované úlohy v okně Ovládací panely.
Konfigurace přírůstkového zálohování v pracovní dny
Při konfiguraci přírůstkového zálohování postupujte podle stejných pokynů s následujícími rozdíly:
♦ Název zálohy (bod 6) změňte na Rozdílové.
♦ Typ zálohování (bod 7) zvolte Rozdílové.
♦ Název úlohy zadejte Rozdílová záloha Po všeho (bod 10).
♦ V poli Týdenní naplánování zaškrtněte pouze položku Po (bod 11).
♦ V programu Zálohování se zobrazí každé pondělí ikonka s písmenem R.
Celý postup opakujte ještě čtyřikrát pro ostatní dny v týdnu (s příslušnými úpravami v názvech a položkách). Vznikne tak
dalších 5 naplánovaných úloh.
Obnovení zálohy podle strategie 2
Předpokládejme, že zálohování v souladu s naplánovanými úlohami již nějakou dobu probíhá. Dnes je například čtvrtek,
poslední normální záloha je z minulé soboty a poslední rozdílová záloha je ze středečního večera. Jak postupovat, pokud je nyní
třeba obnovil data?
Jak pracuje rozdílové zálohování?. Rozdílová záloha zálohuje všechny soubory v zadaném rozsahu (například všechny soubory
jednotky C:), jejichž atribut Archivace má hodnotu TRUE (je zaškrtnut) V tom se tedy chová stejně jako přírůstkové
zálohování. Po provedení zálohy souboru však jeho atributu Archivace ponechá hodnotu TRUE (zde je jediný rozdíl mezi
rozdílovou a přírůstkovou zálohou). Další rozdílové zálohování tedy bude t a kovy soubor zálohovat znovu, ačkoli se vůbec
nemusel změnit.
Rozdílová záloha tedy zálohuje nové či změněné položky od poslední normální nebo přírůstkové zálohy. Předchozí rozdílová
záloha tuto zálohu nijak neovlivňuje. Z uvedených informací vyplývá nutnost použít následující postup obnovy:
1. Obnovení normální zálohy z poslední soboty.
2. Obnovení poslední rozdílové zálohy (středa).
Nevýhodou této strategie je v porovnání s předchozí delší doba zálohování. I ve čtvrtek se budou zálohovat data, která byla
zálohována v pondělí, úterý i ve středu. Toto chováni ale správci ocení při případné obnově, která bude velmi rychlá - stačí
obnovit pouze dva soubory.
Uvedené dvě strategie zálohování tvoří 98 % používaných strategií v praxi. Ano, můžete se setkat se strategií, kde na jednu
normální zálohu připadají dvě až tři přírůstkové, ale není to v principu to samé? Jistěže je. Konkrétní strategie se vždy liší
buď časem či frekvencí zálohování, z pohledu systémového jsou však stejné.
Úprava naplánovaných úloh zálohování
Pokud se podíváte do vlastností automaticky vytvořených naplánovaných úloh programem Zálohování, zjistíte, že daná úloha
se skládá ze spuštění nástroje ntbackup.exe s parametrem. Tím parametrem je soubor. To není nic tak zvláštního, ale všimněte si
umístění tohoto souboru (viz obrázek 16.5).
Obrázek 16.5
Vlastnosti naplánované úlohy pro zálohování¨
Soubor obsahující parametry úlohy je součástí profilu uživatele! To zřejmě není optimální umístění. Profil uživatele může
správce počítače kdykoli odstranit a s ním i potřebné soubory. Možná tedy bude vhodné tyto soubory přemístit mimo profil
uživatele (napři klad do složky PlanZaloh jednotky C:). Zároveň nezapomeňte nadefinovat správná oprávnení přístupu (účet, pod
kterým se naplánovaná úloha spouští, musí mít k souboru alespoň oprávnění Číst).
181
Obnovení Active Directory
Pro úplnost a praktické používání uvedených strategií je ještě nutné doplnit informace o obnovení adresářové služby Active
Directory. Její záloha je součástí položky Stav systému (Systemstate), která se musí vždy zálohovat kompletně celá. To však
není na překážku.
V této části si ukážeme postup obnovení služby Active Directory pro případ, že by kompletně odešel server SRVR001 a poté se
podíváme na obnovu Active Directory v prostředí více řadičů domény (více řadičů domény se doporučuje i v té nejmenší síti,
takže je jenom otázka času, kdy se s ní setkáte).
Obnovení Active Directory v prostředí s jedním řadičem domény (neautoritativní obnovení)
Předpokládejme, že máme k dispozici soubor se zálohou stavu systému řadiče domény, do kterého chceme počítač vrátit.
1. Restartujte počítač SRVR001 a spusťte jej v režimu Obnovení adresářové služby
(při spouštění systému stiskněte klávesu F8 a vyberte tento režim). Jedná se o jediný případ řadiče domény, kdy v něm
nedojde ke spuštění adresáře Active Directory. Jenže jakým účtem se poté přihlásit? Místní účty v řadiči domény
neexistují a doména nepracuje? K přihlášení je nutné použít účet, jehož heslo jste definovali při instalaci řadiče
domény (viz postup v kapitole 7, „Instalace domény").
2. V přihlašovacím dialogovém okně zadejte účet Administrátor a heslo. Pokud si na heslo nevzpomenete, jakékoli pokusy
o obnovení Active Directory končí.
3. Po úspěšném přihlášení spusťte nástroj Zálohování a klepněte na kartu Obnovení a správa média.
4. V pravé části okna poklepejte na jmenovku zálohy, pomocí které jste zálohu stavu systému označili a poté zaškrtněte
položku System statě.
5. Klepněte na tlačítko Spustit obnovení. Nyní dojde k přepsání aktuálního stavusystému zálohou.
6. Po úspěšném provedení obnovy se zobrazí informace o nutnosti restartovat počítač. Klepněte na tlačítko Ano. Po
restartování počítače bude obnovena doménová databáze Active Directory.
Uvedený postup se dá použít ve dvou situacích:
♦ Obnovení domény v prostředí s jedním řadičem domény
♦ Úplné obnovení řadiče domény v prostředí domény s více řadiči
Postup tedy nelze uplatnit v prostředí s více řadiči domény, pokud chcete například obnovit omylem odstraněný účet uživatele. V
takovém případě je třeba použít autoritatn ni obnovení Active Directory.
Obnovení Active Directory v prostředí s více řadiči domény (autoritativní obnovení)
Pro úplné pochopení následující části předpokládejme, že máme v síti dva řadiče domé ny - SRVR001 a SRVR002. V
doménách Active Directory již neexistuje role PDC/BDC, ale doménové informace lze měnit na kterémkoli řadiči. Po změně
následuje replikace, u které platí, že novější informace vždy vítězí.
Předpokládejme, že některý ze správců omylem odstranil doménový účet uživatele Obchod2. V protokolu zabezpečení
zjistíte, že se tak stalo v pondělí v 11.25. K obnovení účtu nevede jiná cesta než obnovení Active Directory. Zjistíte, že poslední
záloha stavu systému na řadiči domény SRVR001 proběhla v neděli ve 23.47.
Poznámka
V tomto případě je jedno, na kterém z řadičů domény provedete obnovení stavu systému. V takovém případě si vyberte
počítač, jehož nedostupnost po dobu obnovení bude nejméně bolet.
Pokud nyní provedete obnovení databáze Active Directory podle výše uvedeného postupu, dojde k nepříjemné situaci. Rozdíly
mezi dvěma doménovými databázemi na serverech SRVR001 a SRVR002 budou v tu chvíli pouze v obnoveném účtu. Porovnají
se tedy jeho časová razítka. Informace o existenci účtu uživatele Obchod2 na serveru SRVR001 bude mít časové razítko Neděle,
23:47. Informace o neexistenci účtu uživatele Obchod2 na serveru SRVR002 bude mít aktuální časové razítko (například Pondělí,
16:20). Informace na serveru SRVR002 je tak novější než informace na serveru SRVR001 a bude se pro-to při nejbližší
příležitosti replikovat na server SRVR001. Výsledkem bude, že za krátkou chvil k u účet uživatele Obchod2 z domény opět zmizí.
Tuková situace je samozřejmě nepříjemná a čas strávený obnovením Active Directory na serveru SRVR001 byl zbytečný. Jak na
to? Je třeba provést tzv. autoritativní obnovení účtu Obchod2 (je zbytečné obnovovat autoritativně celou doménu) neboli dát ihned
po obnovení učtu Obchod2 aktuální časové razítko, Postup obnovení bude stejný jako výše uvedený až do bodu 6, tedy do
zobrazení informace o nutnosti restartovat počítač. Zde je nutné klepnout na tlačítko Ne!
7. Poté spusťte příkazový řádek a zadejte příkaz n t d s u t i l .
8. Dále zadejte následující příkazy (předpokládejme, že účet Obchod2 byl přítomen v kontejneru Users):
authoritative restore
restore subtree CN=Obchod2,CN=Users,DC=studny,DC=1ocal
quit
quit
exit
8. Restartujte řadič domény.
V případě autoritativní obnovy celé databáze Active Directory je posloupnost příkazů nástroje ntdsutil následující: authoratitave
restore restore database
V dialogovém okně klepněte na tlačítko OK a poté na tlačítko Ano.
182
Stínová kopie svazku
Stínová kopie svazku je novou vlastností systémů Windows XP a Windows Server 2003. Umožňuje zálohovat také otevřené
soubory, což byla v předchozích verzích systému Windows (včetně Windows 2000) věc nemyslitelná.
Vhodným příkladem pro využití této funkce je následující případ.
Účetní vaší organizace používá jednoduchý účetní program odpovídající systému MS-DOS. Protože účetní data je třeba zálohovat,
potřebujete vymyslet strategii pro zálohování. Data této aplikace přitom nemohou být uložena na serveru, ale pouze v
místním počítači. Zálohování se provádí prostým zkopírováním (nebo zálohováním) souborů ve složce APPS (program
nemá vlastní zálohovací mechanismus).
Abyste mohli zálohovat tyto soubory automaticky, je třeba splnit následující podmínky:
♦ Počítač účetní musí být po dobu zálohování zapnut.
♦ Účetní program musí být ukončen (aby nezůstaly otevřené žádné soubory, se kterými může spuštěný program pracovat).
Zejména s druhým požadavkem má účetní stále potíže. Program nikdy neukončuje, takže to za ni musíte dělat každý den vy.
V duchu pak proklínáte jak účetní, tak tvůrce tohoto úžasného programu.
Vysvobozením z této situace bude pro všechny nasazení systému Windows XP Professional do počítače paní účetní. Otázku
kompatibility programu s tímto systémem ponechme nyní stranou a předpokládejme, že v systému Windows XP Professional
běží. Bez ohledu na stav aplikace (ukončení/neukončení) budete nyní schopni zálohovat všechny soubory ve složce APPS i v
případě, kdy budou otevřené.
Poznámka
Funkce stínové kopie svazku není k dispozici v systémech Windows 2000.
stínová kopie svazku a sdílené složky
Stínová kopie svazku se dá využít ještě v jednom případě. Je jí možnost vrátit se k předchozí verzi souboru ve sdílené složce na
serveru. Předchozí verze — to vás možná ani tak neláká, i když se dá říci, že touto možností nakukuje systém Windows Server
2003 sice malinkou dírkou, ale přesto, do oblasti nástrojů pro správu a verzování dokumentů. Podstatnější je, že v případě
odstranění souboru ve vzdálené složce jste jej v předchozích systémech (včetně systémů Windows 2000) nenávratně ztratili
(nezůstal bohužel ani v koši), zatímco nyní máte alespoň možnost vrátit se k jeho předchozí verzi (která může byl samozřejmě
totožná s aktuální). Sami si můžete porovnat nároky a postupy potřebné pro obnovení dokumentu ze zálohy v systémech
Windows 2000 s možností vrátit se k předchozí verzi dokumentu v systému Windows Server 2003. V praxi je právě tato funkce
pro přechod souborových serverů ze systému Windows 2000 na systém Windows Server 2003 tím nejpádnějším důvodem.
Poznámka
Systém Windows 2000 Server funkci stínové kopie svazku nemá.
Stínové kopie sdílených složek jsou standardně vypnuté. Zapínají se na serveru ve vlastnostech dané jednotky, na které jsou
sdílené složky uloženy.
2. Otevřete okno aplikace Průzkumník Windows a zobrazte dialogové okno vlastností jednotky C:
3. Na kartě Stínové kopie si všimněte, že tato funkce je standardně zakázána.
4. Klepněte na tlačítko Nastavení a upravte případně nastavení vlastností pro tuto jednotku. Pokud bude funkce
povolena, budou se stínové kopie svazku vytvářet dvakrát denně. Toto nastavení, stejně jako místo na disku, pro tuto
funkci ponechte. Dialogové okno zavřete klepnutím na tlačítko OK.
5. Klepněte na tlačítko Povolit a v dalším dialogovém okně své rozhodnutí potvrďte klepnutím na tlačítko Ano.
Proběhne vytvoření první stínové kopie svazku. Informace o této akci se ve formě data
okna.
a času promítnou ve spodní části
TIP
Sdílené kopie svazku nemusí být nutně uložené na stejném svazku. Pokud máte v počítači více fyzických disků, dosáhnete
vyššího výkonu diskového podsystému právě směrováním stínových kopií na jiný fyzický disk. Jedinou podmínkou je, aby byl
disk zformátován systémem NTFS.
Co na to klienti?
Klientské počítače se systémem Windows XP Professional nemohou funkci stínové kopie svazku ihned využívat. Potřebují k ní
instalaci klientského softwaru. Ten je pro klienty se systémem Windows XP Professional k dispozici v operačním systému Windows
Server 2003 ve složce %SYSTEMROOT%\system32\clients\twclient\x86 jako soubor twcli32.msi.
Instalace klientské aplikace
2.
Otevřete
okno
aplikace
Průzkumník
Windows
a
do
pole
Adresa
zadejte
cestu
\\SRVR001\c$\windows\system32\clients\twclient\x86\twcli32.msi. Na instaluje se klient Previous Versions
Client.
Klient pro operační systémy Windows 2000 Server s aktualizací SP3 a vyšší, Windows 2000 Professional a Windows 98 je k
dispozici
ke
stažení
na
webových
stránkách
společnost
Microsoft
na
adrese
183
http://www.microsoft.com/windowsserver2003/downloads/shadowncopyclient.mspx. Pro operační systémy Windows NT 4.0
podobný klient neexistuje. Pro systémy nižší než Windows XP je nutné klientský program nainstalovat jak do
klientského počítače, tak na server se systémem Windows Server 2003-Klien t y funkce Stínová kopie svazku pro systémy
Windows 2000 jazykových verzí CZ i EN naleznete na přiloženém disku CD-ROM.
Ověření funkce stínové kopie svazku
1. Přihlaste se k počítači PC001 jako běžný uživatel (například Obchod3) 2. Přihlaste s k počítači SRVR001 jako
správci a sdílejte nějakou stávající složku obsahující soubory (nejlépe textové).
3. Z počítače PC001 se připojte k počítači SRV001 a otevřete obsah složky Knihovna\Obchod.
4. Pravým tlačítkem myši klepněte na libovolný soubor a zobrazte jeho vlastnosti. Klepněte na kartu Předchozí verze.
Pravděpodobně neuvidíte zobrazenu žádnou položku.
Poznámka
Žádná položka není zobrazena, neboť prakticky žádná předchozí verze tohoto souboru neexistuje.
5. Otevřete daný soubor a upravte jeho obsah. Poté soubor uložte.
6. Opakujte bod 4. Na kartě Předchozí verze byste nyní měli vidět předchozí verzi souboru.
Obrázek 16.6
Předchozí verze souboru na kartě Předchozí verze
Předchozí verzi souboru můžete zobrazit po klepnutí na tlačítko Zobrazit. Stínová kopie dokumentu je určena pouze ke
čtení. Není tak možné ji upravit a uložit. Pokud chcete předchozí verzi souboru upravit, je nutné ji nejprve pomocí tlačítka
Kopírovat zkopírovat do jiného umístění.
Pokud jste aktuální soubor omylem odstranili a chcete jej obnovit, postupujte následovně Z klientského počítače zobrazte
vlastnosti nadřazené sdílené složky, ve které je dokument uložen.
1. Klepněte na tlačítko Zobrazit. Otevře se předchozí obsah sdílené složky. Přejděte do příslušné složky a konkrétní
dokument pomocí schránky systému uložte do původní složky.
Pokud jste omylem změnili obsah stávajícího dokumentu, vyberte si na kartě Předchozí verze jeho správnou verzi a poté
klepněte na tlačítko Obnovit.
Shrnutí funkce stínová kopie svazku
Funkce stínová kopie svazku pomáhá uživatelům rychle obnovit původní soubory v nás ledujících případech:
♦ Při neúmyslném odstranění souboru
♦ Při neúmyslném přepsání obsahu souboru (použití příkazu Uložit namísto Uložit jako)
♦ Při poškození souboru
Jedná se skutečně o stínovou kopii svazku, nikoli souborů ve sdílených složkách. To znam e n á , že pokud po vytvoření stínové
kopie svazku budete sdílet existující složku, která předtím sdílena nebyla, můžete od té chvíle používat předchozí verze
„jejích" souborů.
Závěr
Na stav, že náhle odejde server, byste měli být dobře připraveni. Potíže vás mohou čekat jak z hardwarové, tak ze softwarové
strany. Strategie a postupy proti výpadkům hardwaru softwarovým chybám či proti omylům uživatelů nebo správců byste měli
vytvořit již při návrhu svého prostředí.
Systémy Windows XP Professional i Windows Server 2003 obsahují jako první funkci vrácení původního ovladače. Jedná se o
velmi užitečnou pomůcku, která může vyřešit potíže během několika sekund. Aby k potížím s ovladači hardwaru pokud
možno vůbec nedocházelo, neměli byste do systému instalovat nepodepsané ovladače. Pokud se vyskytnou potíže po spuštění
184
počítače, můžete vyzkoušet spuštění v nouzovém
režimu nebo poslední známou platnou konfiguraci. Pokud žádný z těchto způsobů ne-pomáhá, může být problém v
některém poškozeném či chybějícím souboru. Své podezření si můžete potvrdit spuštěním v dalším režimu - protokolování.
Ten vytváří ve složce %SYSTEMROOT% soubor s názvem NTBTLOG.TXT, který si poté můžete prohlédnout pomocí nástroje
Konzola pro zotavení. Jedná se o řádkový nástroj bez grafického rozhraní, pomocí kterého je možné nahlížet i zapisovat do
oddílů zformátovaných systémem NTFS. Konzolu pro zotavení lze spustit z instalačního disku CD-ROM nebo ji můžete nainstalovat do počítače. V takovém případě se stane jednou z možností spuštění, Při práci se soubory ve sdílených síťových
jednotkách může dojít k jejich poškození, neúmyslnému přepsání obsahu nebo k odstranění. Pro tyto případy je k dispozici
funkce Stínová kopie svazku, která vám umožní pracovat s předchozími verzemi souborů. Ty se vytvářejí automaticky ve
výchozí konfiguraci dvakrát denně a nejstarší verze se odstraňují v případě, kdy na disku již není v místě vyčleněném této
funkci dostatek místa. V klientském počítači musí být pro tento případ systém Windows XP Professional, Windows 2000 nebo
dokonce Windows 98 s nainstalovaným klientským programem.
Z hardwaru se můžete připravit na výpadky pevných disků. Systém Windows Server 2003 podporuje pro tyto účely svazky
RAID 0 (nutné dva fyzické disky) a RAID 5 (nutné nejméně, nejvíce 32 fyzických disků). Klientské operační systémy se svazky
odolnými proti chybám pracovat neumějí.
Ačkoli oblast týkající se prevence před výpadku systému a zálohování vydala na samostatnou knihu, obsahuje tato kapitola
všechny důležité informace, které můžete ve svém prostředí využívat.
Stav sítě
Na server SRVR001 je nainstalovaná Konzola pro zotavení. Při spuštění systému se zobrazuje jako jedna z možností spuštění
operačního systému. Pro naši síť jsme do budoucna definovali strategii zálohování a vytvořili naplánované úlohy, které se o
zálohování budou samy starat. Na straně serveru byla povolena technologie Stínová kopie svazku a na klienty byl nainstalován
klientský program pro její využívání.
Z hlediska zabezpečení doporučuji do budoucna zálohovat pokud možno na pásky. V případě, že budete používat
zálohování na pevný disk, je nejvhodnější zálohovat na jiný fyzický dik, než je systém. Stínovou kopii svazku doporučuji
povolit na všech oddílech, ve kterých jsou k dispozici sdílené složky, s tím, že na místo pro ukládání předchozích verzí souborů
bude vyčleněn samostatný disk. Vidíte, jak narůstají požadavky na více disků v serveru?
185
Správa prostředí klientských
počítaču
Uživatelé mají po přihlášení a vygenerování nového profilu k dispozici téměř všechny možnosti operačního systému Windows
XP Professional (odpovídající právům skupiny Users). Kromě toho, že by v pracovní době měli po-užívat pouze aplikace,
které ke své práci potřebují, tak mohou mimo jiné hrát hry, jež jsou vestavěnou součástí systému, zkoumat konkrétní položky
Nabídky Start nebo se denně bavit tím, jaký obrázek bude pro tento den tvořit pozadí jejich pracovní plochy.
O t r l e j š í uživatelé jsou ti schopni si přinést diskety či disky CD-ROM s aplikacemi, které nevyžadují instalaci, a bavit se
během pracovní doby u nich. A ti nejotrlejší si ze své-ho počítače udělají „palírnu" nejnovějších hitů hudebního i filmového
nebe.
Nyní se na tuto situaci podívejte pohledem šéfů a majitelu Ti by vše nejraději viděli naprosto opačně. Nebo alespoň tak, aby
uživatelé byli maximálně omezeni v možnostech jakéhokoli rozptylování. Pro ty, co se stále nemohou rozhodnout pro obrázek na
pozadí pracovní plochy, je jako šité nastavení, které jim jakoukoli změnu zakáže, pro ty již mají chutě spouštět aplikace z
disku CD-ROM, je určeno nastavení, které umožní spouštět pouze schválené programy a další.
Možností je v systémech Windows XP Professional a Windows Server 2003 až dost. Přibližně o 200 více, než tomu bylo u systémů
Windows 2000. V této kapitole se tedy podíváme na několik hlavních oblastí a nakonfigurujeme takové prostředí
klientských počítačů, které se bude líbit správcum, šéfům a majitelům a jež zároveň nebude překážkou v běžných
pracovních činnostech uživatelů.
Nástroje pro správu klientských počítačů
Cílem každého správce je spravovat svěřené prostředí co nejefektivněji. To znamená trávit jeho správou co nejméně času s co
nejmenším úsilím a používat k tomu co nejméně nástrojů.
Úspěšný správce není ten, který celý den neví, kam dříve skočit. Takový správce bývá spíše brzdou prostředí, neboť jeho
celodenní činnost nemůže mít v konečném výsledku větší účinek, než udržení stávajícího prostředí v chodu. Úspěšný správce
je ten, který přesně ví, jak vypadají počítače uživatelů, ví, že uživatelé nejsou rozptylování funkcemi, jež pro svou práci
nepotřebují, ví, že dokumenty celé společnosti jsou v bezpečí, a ještě má čas zamýšlet se nad rozvojem prostředí, má čas na
studium nových technologií a na j experimenty ve své testovací laboratoři.
Tato kapitola existuje pro to, aby ukázala správcům, pomocí kterých nástrojů jsou schopni velmi efektivně spravovat prostředí
klientských počítačů, tedy prostředí, odkud přichází vždy nejvíce stížností a problémů. Stačí k tomu jediný nástroj, pomocí
kterého jste schopni zajistit většinu nastavení, jež zamýšlíte v síti nakonfigurovat. Aby ale byly jeho možnosti využité naplno, je
třeba jeho „obsluhu" velmi dobře pochopit. Tak vzhůru do toho!
Zásady skupiny
Nástroj Zásady skupiny (Group policy) je jedním z nástrojů technologie IntelliMirror, tedy technologie představené s
příchodem systému Windows 2000. Je pokračovatelem nástroje Systémové zásady v systému Windows NT 4.0 a v porovnání s
ním přichází s jinou filozofií přístupu, lepší funkčností, s jednodušší a přehlednější konfigurací. Zásady skupiny jsou právě tím
nástrojem, který slouží k obrovskému zjednodušení správy klientských počítačů a někdy také k tomu, aby v odděleních správy
domény mohlo ubýt několik zaměstnanců.
Aby to však neznělo jenom pozitivně, nástroj Zásady skupiny si také něco žádá. Nakonfigurovaná nastavení (tedy zásady) se
aplikují pouze na počítače se systémy Windows X I ' Professional, Windows Server 2003 a všechny systémy Windows 2000,
které jsou členy domény. Jakmile by se tedy v síti vyskytl počítač s jiným operačním systémem, je nutno mu věnovat zvláštní
péči, neboť nástroj Zásady skupiny na něj nebude účinkovat. Možná více péče, než tisícům počítačům se systémem Windows
XP Professional dohromady!
Úvod do práce s nástrojem zásady skupiny
Knih a odborných článků obsahujících tuto tematiku již bylo napsáno mnoho. Nechci te dy na tomto místě spoustu věcí
opakovat; raději bych se zaměřil na hlavní vlastnosti nástroje, a poté pokud možno co nejvíce věcí ukázal přímo v praxi na
naší síti.
Vzhledem k tomu, že jsme již nástroj Zásady skupiny použili několikrát v předchozích kapitolách, budou možná některé z
informací opakováním. Ale to je v pořádku, vždyť opa kování je přece matka moudrosti.
Nástroj Zásady skupiny je k dispozici v každém počítači se systémem Windows 2000 a vyšším a lze jej v místním počítači
spustit dvěma způsoby:
♦ Spuštěním prázdné konzoly MMC a přidáním modulu snap-in s názvem Zásady skupiny.
♦ Spuštěním příkazu gpedit.msc na příkazovém řádku nebo v nabídce Spustit.
186
Obrázek 17.1 Nástroj Zásady skupiny spuštěný místně v počítači se systémem Windows Server 2003
Nástroj obsahuje dvě hlavní části (větve): Konfigurace počítače a Konfigurace uživatele. Jedná se o dvě nejdůležitější části.
Rozdělení do dalších skupin pod nimi je pouze z důvodu přehledu správců. Toto rozdělení ale určuje způsob funkce nástroje.
Veškerá nastavení nakonfigurovaná v části Konfigurace počítače platí pro počítač bez ohledu na to, jaký se k němu přihlásí
uživatel. Nastavení nakonfigurovaná v části konfigurace uživatele platí pro uživatele bez ohledu na to, ke kterému počítači se
přihlásí. Pokud si projdete všechna nastavení v obou částech (máte co dělat, je jich hodně přes 700), zjistíte, že některá z nich se
vyskytují v obou částech nástroje, některá pouze v jedné z nich. Pokud je nastavení vyskytující se v obou částech v rozporu,
platí to z části Konfigurace počítače.
Obrázek 17.2
Tři možnosti konfigurace zásady
Téměř každá zásada má tři možnosti konfigurace:
♦ Není nakonfigurováno Jedná se o výchozí konfiguraci zásady. Pokud není zásada nakonfigurovaná, platí nastavení
nadřazené zásady.
♦ Povoleno Je-li zásada povolena, potom platí tak, jak je uvedeno v názvu, případně v jejím popisu.
♦ Zakázáno V tomto stavu je uplatnění zásady zakázané.
Soubor nakonfigurovaných zásad tvoří Objekt zásad skupiny (Group Policy object). Ten je poté možné aplikovat v doméně
Active Directory na určitou úroveň, například na úroveň domény nebo na úroveň konkrétního kontejneru. Nakonfigurovanými
zásadami potom budou všechny počítače (uživatelé), vyskytující se v jeho dosahu.
187
Příklady aplikace objektu zásad skupiny
Obrázek 17.3 Výchozí hierarchická struktura domény Active Directory
Pokud vytvoříte objekt zásad skupiny a aplikujete jej na úroveň domény (studny.locaI) , ovlivní nastavené zásady v části
Konfigurace počítače všechny počítače v doméně a nastavení v části Konfigurace uživatele ovlivní všechny doménové uživatele.
Takový objekt ve výchozí konfiguraci domény existuje - má název Default Domain Policy a v této knize jsme se s ním již
několikrát setkali (a dokonce jej doplňovali). Jeho primárním cílem je konfigurace zabezpečení účtů doménových uživatelů.
Pokud vytvoříte objekt zásad skupiny, který aplikujete na úroveň organizační jednotky Domain Controllers (jež obsahuje
pouze účty řadičů domény), budou se nastavení v části Konfigurace počítače aplikovat pouze na účty počítačů v dané
organizační jednotce (tedy pouze na řadiče domény) a nastavení v části Konfigurace uživatele se nebudou aplikovat vůbec,
neboť v kontejneru Domain Controllers žádné uživatelské účty nejsou. Ve výchozí konfiguraci takový objekt existuje a jeho
název je Default Domain Controllers Policy. Jeho účelem je výchozí zabezpečení konfigurace řadičů domény.
V hierarchické struktuře domény Active Directory platí obdobně jako v systému souborů zásada dědičnosti. Znamená to, že
nastavení v objektu aplikovaném na nadřazený kontejner se aplikují automaticky na své členy a dále do podřízených
kontejnerů. Existuje však nastavení, které může tomuto procesu na dané úrovni zabránit. Zvláštní postavení mají místní
objekty zásad skupiny (viz obrázek 17.1). Jejich nastaveni se týkají pouze místního počítače a uživatelů k němu přihlášených a
mají v hierarchií objektů nejnižší prioritu.
Pokud objekt s nastaveními odeberete, vrátí se všechny změněné parametry v počítači do původního stavu, jako když žádný
objekt zásad neexistoval. Podobně to dopadne v případě, že například účet uživatele přesunete v hierarchii Active Directory
na jiné místo, kde již nebude konkrétním objektem ovlivněn.
To je ze základních informací vše. V dalších částech této kapitoly se budeme věnovat jednotlivým částem objektu a jejich
konfiguraci.
Hlavní oblasti zásad skupiny
Každý objekt zásad skupiny obsahuje zásady rozdělené do několika oblastí. Pro tyto účely se stačí podívat na oblasti v části
Konfigurace počítače, neboť část Konfigurace počíta-če žádné další nové zásady neobsahuje:
♦ Instalace softwaru Tato oblast zajišťuje instalaci, upgrade a odinstalování softwaru. Více informací a její praktické
použití je součástí kapitol 18, „Instalujeme aplikace" a 20, „Instalujeme aktualizace Service Pack".
♦ Nastavení zabezpečení Tato velmi důležitá oblast zajišťuje zabezpečení počítačů. Sestává z mnoha nastavení (přibližně
150), týkajících se zásad hesel, auditu přístupů, konfigurace členství ve skupinách, zabezpečení klíčů registru a souborů,
zabezpečení protokolu IP a dalších. Další informace o konfiguraci zabezpečení naleznete v kapitole 22, „Zabezpečení
serveru a sítě".
♦ Nastavení založená na změně hodnot klíčů v registru Tato oblast obsahuje nejvíce nastavení a týká se možností
spouštění programů, jejich nastavení (například aplikace Internet Explorer), zákazu či povolení možností konfigurovat
položky v systému atd. Některá z těchto nastavení jsme již využili v předchozích kapitolách.
Hierarchická struktura Active Directory
Doména Active Directory má hierarchickou strukturu. Je první takovou doménou z dílny společnosti Microsoft a správci této
vlastnosti náležitě využívají.
Podle výše uvedených informací není těžké si představit, že nastavení, která se mají týkatvšech uživatelů v doméně, je třeba
nakonfigurovat v objektu na úrovni domény, nastavení týkající se jednotlivých oddělení mohou být shromážděna v objektu
aplikovaném na úrovni konkrétní organizační jednotky odpovídající danému oddělení.
Díky existenci organizačních jednotek (tedy kontejnerů tvořících hierarchii domény Active Directory) tak můžeme velmi efektivně
spravovat různé konfigurace uživatelských počítaču povídajících například jednotlivým oddělením. A tak zatímco uživatelé ve
skladu nemusí mít vůbec přístup do okna Ovládací panely a uživatelé obchodního odděleni
mohou mít přístup pouze k ovládacím panelům Klávesnice a Místní a jazykové nastavení, šéfové mohou mít přístup ke všem
ovládacím panelům. Vše záleží na návrhu struktury organizačních jednotek Active Directory a existuje pro to mnoho různých
doporučeni a pomůcek. Vzhledem k tomu, že daný objekt (uživatelský účet nebo účet počítače) se v doméně může
vyskytovat pouze jednou, musí být struktura Active Directory navržena pečlivě tak, aby se nemusela každý týden předělávat.
Jde přece o to mít co nejméně práce a předvádět co nejjednodušší správu prostředí.
188
Pravděpodobně cítíte, že nejdůležitější bude návrh nejvyšší úrovně organizačních jednotek. Pro organizace s rozlehlou
působností může první úroveň organizačních jednotek odpovídat geografickému rozložení, pro menší organizace může
odpovídat organizačnímu členění. To bude případ také naší společnosti STUDNY s.r.o.
Konfigurace Active Directory pro naši organizaci
3. Pravým tlačítkem myši klepněte na položku studny.local a v místní nabídce zvolte příkaz Nový -> Organizační
jednotka. Do pole Název této jednotky zadejte text Obchod.
4. Postup vytvoření organizačních jednotek opakujte pro oddělení IT, Marketing,Sklad a Vedení. V názvech
organizačních jednotek se nebojte používat češtinu.
Poznámka
Název organizační jednotky můžete kdykoli později změnit a nemusíte se obávat, že by se tato změna jakkoli dotkla práce
uživatelů.
Výsledná struktura organizačních jednotek bude vypadat podobně jako na obrázku 17.4.
Obrázek 17.4 Výsledná struktura organizačních jednotek v doméně Active Directory
Aby měla nově vytvořená struktura organizačních jednotek s objekty zásad, které vytvoříme a aplikujeme později, očekávaný
efekt, bude nyní třeba do nově vytvořených jednotek přesunout uživatelské účty. Efekt sice zatím nebude žádný, ale
infrastrukturu je třeba připravit.
To, že efekt na uživatele zatím nebude žádný, nám v danou chvíli dokonce vyhovuji. Znamená to, že účty uživatelů můžeme v
doméně Active Directory přesouvat kdykoli. Nezáleží na tom, zda je uživatelé právě využívají či nikoli.
Přesun účtů v Active Directory
3. V levém podokně klepněte na kontejner Users. V pravém okně poté pomocí klávesy Ctrl označte účty Obchod1 až
Obchod5, klepněte na ně pravým tlačítkem myši a poté v místní nabídce klepněte na příkaz Přesunout. Zobrazí se
dialogové okno se strukturou domény Active Directory.
4. Klepněte na organizační jednotku Obchod a poté na tlačítko OK.
5. Obdobně pokračujte s účty uživatelů ostatních oddělení a nezapomeňte přesunout ani šablony účtů.
Poznámka
V konzole Uživatelé a počítače služby Active Directory můžete v systému Windows XP Professional a Windows Server 2003
využít technologii Drag-and-Drop. Ve stejné konzole to v systému Windows 2000 nebylo možné. Jedná se o jedno z vylepšení v
systému Windows Server 2003.
Účtu počítačů ponechte zatím v kontejneru Computers. Jedná se o výchozí kontejner, ve kterém se účty vytvořily během
přidávání počítačů do domény.
Do organizační jednotky Domain Controllers a jejího členství nezasahujte! Mohli byste se setkat s obrovskými potížemi při funkcích
domény.
Vytvořené místní doménové a globální skupiny můžete ponechat ve stávajícím kontejneru nebo je přesunout do příslušných
organizačních jednotek. Ale! Za prvé, místní doménové skupiny nemusí mít se stávající strukturou organizačních jednotek nic
moc společného a za druhé obecně platí, že přesun skupin ve struktuře Active Directory na funkcích nic nezmění. Proto bych
spíše doporučoval ponechat stávající stav. Ten ale na druhou stranu nemusí být pro správce přehledný, neboť v kontejneru Users je
nyní mix standartních doménových skupin s uživatelsky vytvořenými. Bude možná lepší vytvořit zvlaštní organizační jednotku
nazvanou Skupiny a skupiny, které jsme dosud vytvořili, přesunout do ní. Zvažte sami řešení, které bude optimální pro vás.
189
Poznámka
Nepřesouvejte standardní doménové skupiny. Ačkoli přesun stávajících systémových doménových skupin by neměl mít na nic vliv,
mohou se při instalaci dalších aplikací vytvářet nové skupiny, jejichž umístění musí zůstat zachováno (taková situace se například
vyskytuje po instalaci serveru Exchange 2000).
Doména je nyní připravena tak, abychom mohli začít konfigurovat a uplatňovat zásady. Není na co čekat.
Skryjte vše, co uživatelé nepotřebují
Jakékoli položky, které jsou pro práci uživatelů zbytečné, je vhodné jim znepřístupnit (nejlépe úplně skrýt). Uživatelé tak
nebudou rozptylování okolnostmi, které k ničemu nepotřebují a budou se tak věnovat pouze své práci.
Co všechno uživatelé nepotřebují?
Tak například položky v Nabídce Start. Potřebují v ní uživatelé položku Spustit? Pokud ano, bude se jednat o výjimky.
Potřebují přístup do Ovládacích panelů? Možná, že je tato položka v Nabídce Start úplně zbytečně. Ale možná, že by tam být
měla, neboť uživatelé některé ovládací panely využívat potřebují. Všimněte si slova NĚKTERÉ - i to lze zařídit.
Podobně jako o položce Spustit se můžeme vyjádřit o položkách Místa v síti, Hudba, Obrázky či Poslední dokumenty.
Způsob nasazení zásad skupiny skrývajících položky
Požadavky uživatelů v jednotlivých odděleních na konkrétní zásady se mohou lišit. Pokud chcete podobné nastavení v
doméně zavést, je nutné postupovat poměrně radikálně:
Zásady skupiny nasaďte ihned po instalaci domény
Uživatelé tak budou hned od prvního přihlášení oproštěni od položek, které nepotřebují. S takovým stavem se smíří rychleji a
bez výraznějších připomínek, než kdybyste je mě- sic nechali bez omezení a poté nepotřebné položky skryli.
Ne vždy je ale možné nasadit tyto zásady ihned. To může například vyplývat z poměrů v síti, kdy uživatelé mají ještě k
dispozici systémy Windows NT 4.0 (které se zásady skupiny netýkají). Jiným případem může být prostá neznalost správce,
který sice doménu Active Directory již nějaký čas provozuje, všechny klientské počítače mají systémy ' Windows XP Professional
(nebo Windows 2000 Professional), ale o existenci Zásad skupiny neměl delší dobu vůbec tušení. A v neposlední řadě to může
být i neschopnost správců a všech dotčených osob usnést se na tom, jak by klientský počítač uživatele měl vypadat (tedy
definovat nastavení konkrétních zásad).
Dohodněte si podporu na vyšších místech
Pokud budete nasazovat zásady omezující zobrazení některých položek později, dohodněte si podporu u nadřízených. U
uživatelů bude mít jistě větší autoritu rozhodnutí ředitele o tom, že z počítačů klientů zmizí veškeré nepotřebné položky,
než jejich kolegy správce. To má dokonce i k praxi blíže, neboť podobné zásady by měli definoval například vedoucí
jednotlivých oddělení. V jejich zájmu je, aby jejich ovečky pracovaly na 100 %.
U konfigurace zásad neváhejte
Pokud si nejste přesně jisti, zda máte danou zásadu povolit či nikoli, povolte ji (myšlenu zapnout). Je mnohem lepší vyjít z
maximálně omezeného prostředí, v němž později výjimečně některá nastavení zakážete (vypnete), než prostředí téměř neomezit
a prováděl to postu pně později.
Konfigurace konkrétních zásad
Jen velmi těžko se dá obecně určit, které konkrétní položky by neměli využívat uživatele obchodního oddělení, skladu či
vedení. To záleží na konkrétním prostředí, zvycích, požadavcích a možnostech každé organizace. Abychom zde ukázali pokud
možno všechny možnosti zásad skupiny, nakonfigurujeme určité zásady pro všechny uživatele a pro jednotlivá oddělení poté
„přihodíme" některá další.
Zásady pro celou organizaci
3. Pravým tlačítkem myši klepněte na položku domény (studny.local) a poté v místní nabídce klepněte na kartu Zásady
skupiny.
4. Klepněte na tlačítko Nový. Vznikne nový objekt, kterému zadejte název Skrytí nepotřebných položek.
5. Poklepejte na nový objekt. Spustí se konzola Zásady skupiny.
6. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Nabídka Start a Hlavní
panel.
7. Nakonfigurujte následující zásady podle tabulky 17.1.
190
Zásada
Nastavení
Poznámka
ODEBRAT ( ikonu Obrázky
z nabídky Start
Povoleno
Zásada se aplikuje pouze na systémy Windows XP
Professional (v nabídce Start systému Windows 2000 tato
ikona vůbec není)
Odebrat ikonu Hudba
z nabídky Start
Povoleno
Zásada se aplikuje pouze na systémy Windows XP
Professional (v nabídce Start systému Windows 2000 tato
ikona vůbec není)
Odebrat ikonu Síť
z nabídky Start
Povoleno
Odebrat možnost
Přetahování místních
nabídek nabídky Start myší
Povoleno
Zásada neumožní měnit položky v nabídce Start pomocí
myši a odebere u nich místní nabídky
Zabránit změnám
nastavení hlavního
panelu a nabídky Start
Povoleno
Když už takto upravujeme Nabídku Start, přece
neumožníme uživatelům manipulovat s tím, co v nabídce
zbude
Vypnout individuální
nabídky
Povoleno
Není nad telefonáty uživatelů, že postrádají některé
položky v Nabídce Start... Toto nastavení odebere
automatické skrývání nepoužívaných nabídek
Povoleno
Nastavení se bude týkat pouze systémů Windows XP
Professional. Nebudou se zobrazovat žádné zbytečné
tipy, které většinou překážejí
Povoleno
Uživatelé své jméno vidět nepotřebují. Pokud chtějí,
mohou zobrazit své přihlašovací jméno v dialogovém
okně Zabezpečení systému Windows, které se zobrazí po stisku kombinace kláves Ctrl+Alt+Del.
Nastavení se týká pouze systémů Windows XP Professional
Odebrat tipy pro
položky nabídky Start
Odebrat uživatelské
jméno nabídky Start
Tabulka 17.1 Nakonfigurované zásady ve složce Nabídka Start a Hlavní panel
8. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Plocha.
9. Nakonfigurujte zásady podle tabulky 17.2.
Zásada
Nastavení
Poznámka
Skrýt na pracovní ploše
ikonu Místa v síti
Povoleno
Uživatelé nemají žádný důvod procházet takto síť.
Výchozí nastavení profilu v systému Windows XP
Professional tuto ikonku na ploše nemá
Zabránit uživatelům
změnit cestu ke složce
Dokumenty
Při ukončení neukládat
nastavení
Povoleno
Do doby, než přesměrujeme uživatelům složky
Dokumenty na server, jim neumožníme změnit výchozí
umístění
Pokud například uživatel přesune hlavní panel jinam, .
toto nastavení se při odhlášení neuloží. Na ploše ale
zůstanou například zástupci programů
Odebrat průvodce
vyčištěním plochy
Povoleno
Povoleno
...aby se uživatelé po 60 dnech nedivili, že jim z plochy
mizí nepoužívaní zástupci
Tabulka 17.2 Nakonfigurované zásady ve složce Plocha
10. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Systém.
11. Nakonfigurujte zásady podle tabulky 17.3.
Zásada ______________ Nastavení________________ Poznámka__________________
Zakázat přístup k nástrojům
pro úpravu registru
Povoleno
Týká se nástrojů regedit a regedt32
(v systému Windows XP Professional
spustí oba příkazy stejný nástroj)
Nespouštět určené
aplikace systému
Windows
Povoleno, nastaveny aplikace
bckgzm.exe, freecell.exe,
shvlzm.exe, rvsezm.exe,
spider.exe, hrtzzm.exe,
chkrzm.exe, winmine.exe,
pinball.exe, sol.exe, mshearts.exe
Uživatelé mají zakázáno spouštět hry
Tabulka 17.3 Nakonfigurované zásady ve složce Systém
Je zbytečné pokračovat dále, neboť cílem celého postupu je ukázat systém funkce Zásm skupiny. I tak je však nutné říci, že zásad
jsme pro běžné omezení uživatelů nakonfigurovali dost. Podstatné nyní bude vše vyzkoušet.
Ověření zásad
1. Přihlaste se k počítači PC001 jako běžný uživatel.
2. Ověřte nový vzhled nabídky Start.
3. Pokuste se nabídku Start upravit.
191
4. Pokuste se spustit některou hru (Nabídka Start -> Všechny programy ->Hr y )
5. Pokuste se spustit nástroj pro úpravu registru (například regedit).
Obrázek 17.5
Zpráva při pokusu o spuštění nástroje regedit
JE zde ale jeden malý háček. Protože jsou tato nastavení nakonfigurovaná na úrovni domény, platí pro všechny doménové
uživatele - tedy i pro uživatele Administrátor (v našem případě Ton!&check) nebo pro nově používaný účet správce - IPSprával.
Znamená to, že správce nebude moci plně pracovat? Zatím to tak opravdu bude, ale později tuto záležitost vyřešíme.
Aplikování nakonfigurovaných zásad
Po přihlášení k počítači PC001 jste ověřili, že všechna nastavení se aplikovala. V praxi to vždy ale nebývá tak jednoduché, neboť
zásady se konfigurují a uvádějí v činnost, zatímco někteří uživatelé mohou být přihlášeni a pracovat. Zmizí jim skryté položky pod
rukama? Ano! Pokud během práce dojde k aktualizaci zásad skupiny, uživatelům se skutečně zrněni prostředí pod rukama. Nyní
je vhodná doba uvést si, za jakých okolností a kdy se na-konfigurované zásady budou aplikovat. Předtím je ale nutno
připomenout, že aby byly ní žeuvedené informace platné, musí být zajištěno spuštění sítě před přihlášením uživatele Jedná se
také o jednu ze zásad skupiny, kterou jsme konfigurovali již dříve (zásada Při spouštění a přihlašování počítače vždy
počkat na síť ve složce Konfigurace po-čítače\Šablony pro správu\Systém\Přihlášení v objektu Default Domain
Policy). Zásada se aplikuje pouze na systémy Windows XP Professional, neboť v systémech Windows 2000 je takovéto chování
standardní.
Kdy se tedy aplikují nastavení nakonfigurovaná v části Konfigurace uživatele:
♦ Při odhlášení a přihlášení uživatele (při každém přihlášení se počítač dotáže řadiče domény na objekty zásad skupiny,
které se na uživatele aplikují, a aplikuje je).Teprve poté zobrazí uživateli pracovní plochu.
♦ V intervalech 90 minut (+/- náhodný interval z 0 až 30 minut). Lze tedy říci, že pokud nakonfigurujete novou zásadu, bude
se uživateli, který je již přihlášen, aplikovat nejdéle za 120 minut (pokud se ale „trefíte", potom může k aplikaci dojít tře
ba i za 4 minuty). Náhodný interval existuje proto, aby například stovky počítačů nevyžadovaly informace od řadiče
domény najednou a nezpůsobily tak jeho přetížení. Tomuto způsobu aktualizace se také říká Aktualizace na pozadí.
♦ Po spuštění příkazu gpupdate.exe v klientském počítači (se systémem Windows XP Professional nebo Windows Server 2003).
Poznámka
Příkaz gpupdate.exe je novým příkazem v systémech Windows XP Professional a Windows Server 2003. V systémech Windows
2000 je nutné pro aplikaci zásad v části Konfigurace uživatele zadat následující příkaz: secedit /refreshpolicy user_policy
/enforce.
Nejste s časovými intervaly spokojeni?
Pokud se vám výchozí časové intervaly a styl aktualizace zásad nelíbí, je možné toto chování změnit. Slouží k tomu následující
nastavení v části Konfigurace uživatele\Šablony pro správu\Systém\Zásady skupiny:
Interval aktualizace zásad skupiny pro uživatele Zde se definuje pravidelný a náhodný interval v minutách. Maximální
hodnota je po přepočtu 45 dní +/- 24 hodin. Důležité je uvědomit si, že pokud byste nyní nakonfigurovali například interval na
hodnotu 60 +/- 20 minut, je nutné nejprve počkat na jeho aplikaci (maximálně 120 minut), a teprve poté se začne tento
interval uplatňovat.
Jeden či více objektů zásad skupiny?
Možná vás trápí ještě jedna nejasnost. Bylo nutné vytvářet nový objekt (Skrytí nepotřebných položek) nebo bylo možné zásady
nakonfigurovat v objektu Default Domain Policy? Odpovědí jsou obě možnosti. Ke které se přikloníte, záleží na stavu
prostředí.
Jaké důvody mohou vést ke kumulací zásad do jediného objektu
Každý objekt zásad skupiny představuje nové složky a soubory v systému o celkové velikosti 1,66 MB. To může být jeden z
důvodů; ne snad proto, že by na serveru nebylo toto volné místo k dispozici, ale v rozsáhlých prostředích musí docházet k
replikacím tohoto souboru mezi řadiči domény.
Při přihlášení uživatele je v případě X objektů nutné projít všechna nastavení Xkrát. Znamená to, že čím více objektů zásad
skupiny pro uživatele existuje, tím déle bude trval proces jeho přihlášení.
Jaké důvody mohou vést k rozdělení zásad do jediného objektu
Výchozí objekt, který v doméně existuje ihned po její instalaci, má název Default Domain Policy. Pokud v něm provedete
změny, nebude již jeho název pochopitelně platit, a pokud si o všech změnách nevedete podrobnou dokumentaci, nebude
jednoduché vrátit se skutečně k výchozímu nastavení (pokud by to bylo nutné). Prvním důvodem je tedy snadná správa.
Nastavení jednotlivých oblastí můžete seskupovat vždy do jednoho objektu pro danou oblast a následně jej ták pojmenovat
(například Úprava nabídky Start nebo Instalace Offi ce XP). Prostředí se tak stává velmi přehledné.
192
Dalším důvodem může být rozdělení kompetencí ve větších společnostech. Konfiguraci prostředí klientských počítačů tak
může mít na starosti jedno z oddělení (které pro tyto účely vytvoří jeden objekt). Instalaci aplikací má na starosti další
oddělení, které vytvoří další objekt. A nakonec - zabezpečení, které je také součástí zásad skupiny, má na starosti oddělení
zabezpečení, jež vytvoří svůj vlastní, tedy již třetí, objekt. Zřejmě posledním důvodem je stav, kdy některá nastavení budete
chtít na nižší úrovni v doméně (na úrovni organizační jednotky) zrušit, zatímco ostatní budete chtít ponechal pro všechny
uživatele. Protože tyto možnosti se dají provádět pouze s celými objekty, je nutné nastavení zásad rozdělit.
Poznámka
Aplikace zásad skupiny v této knize je pojata tak, aby objasnila a na reálných příkladech ukázala pokud možno veškeré možnosti
této technologie. Rozhodně však nelze z ukázek vycházet jako z doporučení pro nasazení objektů zásad skupiny do provozního
prostředí. Každé prostředí vyžaduje něco jiného, a před nasazením je třeba nejprve provést analýzu.
Úpravy zásadách skupiny, které jsme prováděli v předchozích kapitolách, byly provedeny v objektu Default Domain Policy.
Protože jsem nechtěl prolínat více věcí, nevytvořili jsme si pro tato nastavení objekt jiný. Pokud nyní chcete, můžete veškerá
provedená nastavení z výchozího objektu odebrat (aby opravdu zůstal výchozím) a nakonfigurovat je v jiném jediné, co by mělo
zůstat, je úroveň přiřazení objektu - tedy doména studny.local.
Zajistěte si členství v důležitých skupinách
Pokud přidáte klientský počítač se systémem Windows XP Professional do domény, budete jej moci spravovat jako správci
domény (tedy po přihlášení pomocí doménového ú č t u ) a nemusíte ani znát heslo místního účtu Administrátor.
Často se správců na svých kursech ptám, jak je to možné. Je to někde zakódováno v systému (prostě „to tak je") nebo se to dá
někde v systému „vykoukat" (a je to tedy běžné nastavení)? Možná byste se divili, kolik procent správců je přesvědčeno o tom,
že to je někde v systému nastaveno „napevno" a že to tedy prostě tak je. Není!
Tento stav je velmi jednoduše nakonfigurovaný a v systému jej velmi snadno naleznete. Podíváte-li se v místním počítači na
členství místní skupiny Administrátore, zjistíte, že členy jsou ve výchozím stavu uživatel Administrátor (nic překvapujícího) a
skupina Domain Admins
Poznámka
Pokud počítač odeberete z domény, dojde k odstranění skupiny Domain Admins z místní skupiny Administrators.
Proto je možné z pozice správce domény spravovat jakýkoli počítač v doméně. Na dru-hou stranu s sebou tato konfigurace
nese jednu nevýhodu. Možná, že jste se s ní již se tkali, možná, že se s ní teprve setkáte. Pokud je uživatel počítače zároveň
jeho správcem (buď zná heslo místního účtu Administrátor nebo je jeho doménový účet členem místní skupiny Administrators),
může členství skupiny Administrators upravit v tom smyslu, že z něj odstraní skupinu Domain Admins. Tím jako správci
přicházíte například o možnosti podíval se vzdáleně na obsah jednotlivých disků (viz například cesta \\PC001\c$), a obecně
o možnost působit v klientském počítači jako správce. Takový stav je pro správ ce domény dosti nepříjemný, pomocí zásad
skupiny je ale velmi jednoduše řešitelný. Druhý příklad pro popularizaci zásad skupiny je následující. Ve své doméně máte celkem
100 klientských počítačů se systémem Windows XP Professional. V klíči registru HKEY_LOCAL_MACHINE všech
těchto stanic potřebujete nutně vytvořit nový podklíč. To muže udělat pouze místní správce daného počítače (kterým pochopitelně
jako Domain
Admin jste). Jenže vy na to nemáte čas a heslo místního účtu Administrátor nechcete pro tyto účely nikomu prozrazovat.
Řešením byste tedy rádi pověřili brigádníka s tím, že z jeho účtu uděláte na nějaký čas (například 2 dny) správce místního
počítače. Budete jej tedy muset vložit do místní skupiny Administrátore v každém počítači. Už vás z toho omývají? Při takové
představě to správci domén se systémy Windows NT 4.0 vzdali a raději heslo místního správce danému uživateli prozradili
(věděli totiž, že by je stejný postup čekal při odebírání účtu). Ruční změna členství skupiny Administrators v každém počítači by
totiž trvala přibližně stejně, jako vytvoření požadovaného klíče v registru.
Naštěstí je zde funkce Zásady skupiny, konkrétně její část nazvaná Skupiny s omezeným členstvím. Ačkoli se jedná o jednu
část týkající se zabezpečení počítače, intuitivně mi to j více zapadá do této kapitoly.
Přidání účtu brigádníka do místní skupiny Administrators
Část objektu zásad skupiny nazvaná Skupiny s omezeným členstvím zajistí, že členy definované skupiny budou pouze
definované účty uživatel (případně definované skupiny), Jednoduše tedy nakonfigurujete, že členem skupiny Administrators
bude účet Administrator, skupina Domain Admins a účet Brigadnik1.
Poznámka
Na výchozí účty (Administrátor a Domain Admins) se zde nevyplatí zapomenout. Jinak se vlastní vinou vyřadíte ze správy místních
počítačů (alespoň na čas, než vše napravíte).
Protože má být toto členství ve všech klientských počítačích, možná vás napadne, že byste to měli nakonfigurovat v objektu
zásad skupiny, který je definován na úrovni domény, aj A zde je právě problém. Možná jej již tušíte, možná ne (vidíte, jak je
důležitá praxe).
Mezi všechny doménové počítače totiž patří také řadič domény. Jeho účet je sice zařazen v organizační jednotce Domain
Controllers, ale vzhledem k dědičnosti se na něj standardně aplikují všechny zásady v objektech na nadřazené úrovni. Tato
situace by tedy do padla tak, že členství skupiny Administrators by se upravilo i na řadiči domény. A to by byl obrovský
problém, neboť byste vyřadili ze hry skupinu Enterprise Admins. U některých skupin by takový zásah mohl mít za výsledek i
chybnou funkčnost (či spíše nefunkčnost) řadiče domény.
193
Tedy dobrá, řeknete si, objekt zásad skupiny vytvoříme nad kontejnerem Computers. Ten obsahuje účty všech počítačů kromě
řadičů domény, tak proč ne. Jenže opět omyl! Computers je kontejner, nikoli organizační jednotka. A s kontejnerem nelze objekt
zásad skupiny svázat. Chce to jiné řešení.
Další návrh - vytvoříme organizační jednotku s názvem Počítače, do které přesuneme všechny účty počítačů. Bingo! Toto
řešení je správné.
Vytvoření nové organizační jednotky pro počítače
1. Přihlaste se k počítači PC001.
2. Pokud jste přihlášení jako správci, spusťte nástroj Uživatelé a počítače služby Active Directory. Pokud jste přihlášeni
jako běžní uživatelé, spusťte tento nástroj pod účtem správce.
3, Těsně pod úrovní domény (tedy na úrovni dříve vytvořených jednotek) vytvořte novou organizační jednotku s názvem
Počítače.
4 . Všechny účty počítačů z kontejneru Computers přesuňte do nově vytvořené organizační jednotky Počítače.
Vytvoření a konfigurace objektu zásad skupiny
1. Zobrazte vlastnosti organizační jednotky Počítače.
2. Na kartě Zásady skupiny klepněte na tlačítko Nový. Nově vytvořenému objektu zásad skupiny dejte název Členství
skupiny Administrators.
3. Poklepejte na objekt a přejděte do složky Konfigurace počítače\Nastavení systému Windows\Nastavení
zabezpečení\Skupiny s omezeným členstvím.
4. Pravým tlačítkem myši klepněte na položku Skupiny s omezeným členstvím a poté v místní nabídce klepněte na
položku Přidat skupinu.
5. V dialogovém okně Přidat skupinu zadejte Administrators (pozor na překlepy, název skupiny musí odpovídat) a
klepněte na tlačítko OK.
6. V dialogovém okně Administrators Vlastnosti klepněte v části Členové této skupiny na tlačítko Přidat. V dialogovém
okně poté zadejte účet Administrátor, potvrďte klepnutím na tlačítko OK a dále klepněte na tlačítko Procházet a přidejte uživatele STUDNY\Brigadnik1 a skupinu STUDNY\Domain Admins.
Obrázek 17.6
Omezené členství místní skupiny Administrators
7. Dialogové okno zavřete klepnutím na tlačítko OK a zavřete konzolu pro úpravu zásad.
Aplikováni nakonfigurované zásady
V jakémkoli členském počítači v doméně (se systémem Windows XP Professional nebo Windows 2000) bude mít po aplikaci
zásady skupina Administrators navíc za člena brigádnika Doménová skupina Administrators zůstane beze změny členství.
Nastavení, které jsme provedli, je v části Konfigurace počítače. Její aplikace je mírně rozdílná od aplikace zásad v části
Konfigurace uživatele. Nastavení v části Konfigurace počítače se aplikují:
♦ Při restartování počítače (při každém spuštění se počítač dotáže řadiče domény na objekty zásad skupiny, které se na něj
aplikují, a aplikuje je). Teprve poté zobrazí uživateli přihlašovací dialog.
♦ V intervalech 90 minut (+/- náhodný interval z 0 až 30 minut). Lze tedy říci, že pokud nakonfigurujete novou zásadu,
bude se na počítač aplikovat nejdéle za 120minut (pokud se ale „trefíte", potom může k aplikaci dojít třeba i za 4
minuty).
To
muto způsobu aktualizace se také říká Aktualizace na pozadí.
♦ Po spuštění příkazu gpupdate.exe v klientském počítači (se systémem Windows XP Professional nebo Windows Server
2003).
Poznámka
194
Příkaz gpupdate.exe je novým příkazem v systémech Windows XP Professional a Windows Server 2003. V systémech Windows
2000 je nutné pro aplikaci zásad v části Konfigurace počítače zadat následující příkaz: secedit /refreshpolicy
machine_polícy /enforce.
Výjimku tvoří řadiče domény. U těch jsou výchozí hodnoty aktualizace zásad 5 minut (bez náhodného posunu).
Nejste s časovými intervaly spokojeni?
Pokud se vám výchozí časové intervaly a styl aktualizace zásad nelíbí, je možné toto chování změnit. Slouží k tomu následující
nastavení v části Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny:
Vypnout aktualizace zásad skupiny na pozadí Pokud nechcete, aby se systém nastavoval „pod rukama" uživatelů během
jejich práce, je možné povolit tuto zásadu. Prostřední bod popisující aktualizace v (ne)pravidelných časových intervalech poté
nebude funkční. Interval aktualizace zásad skupiny pro počítače Zde se definuje pravidelný a náhodný interval v minutách
pro běžné počítače (klientské počítače a členské servery). Maximální hodnota je po přepočtu 45 dní +/- 24 hodin.
Interval aktualizace zásad skupiny pro řadiče domény Zde se definuje pravidelný a náhodný interval v minutách pro
řadiče domény. Maximální hodnota je po přepočtu 4S dní +/- 24 hodin.
Ověření funkce skupiny s omezeným členstvím
2. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz gpupdate a klepněte na tlačítko OK
(abychom nemuseli čekat na aktualizaci na pozadí)
3. Spusťte nástroj Správa počítače a ověřte členství ve skupině Administrátors Členství by mělo odpovídat tomu na
obrázku 17.7.
4.
Obrázek 17.7
Členství skupiny Administrators v počítači PC001
Skupiny s omezeným členstvím jsou velmi mocným nástrojem. Na ukázkách je patrné, že nástroj lze využít také jako
„hlídacího psa" členství v důležitých doménových skupinách
( v takovém případě je třeba vytvořit objekt nad organizační jednotkou Domain Con-trollers) . Můžete tak hlídat členství ve
skupině Domain Admins, takže pokud některý z kolegů přidá do skupiny svého kamaráda, bude tento nový přírůstek do 5 minut
auto-maticky ze skupiny odebrán.
Na začátku bylo uvedeno, že byste chtěli z brigádníka udělat správce klientských počítaču na omezenou dobu dvou dnů. Tuto
dobu už si však musíte pohlídat sami a po ní objekt zásad skupiny odstranit. Samy zásady podobné nastavení nemají.
Omezte uživatele v činnostech, které ke své práci
nepotřebují
Tato část velmi silně navazuje a souvisí s první částí kapitoly, ve které jsme skrývali uživatelum vše, co by je mohlo v práci
rozptylovat. Její cíl je ale trochu jiný - pomocí dalších omezení ukázat různé možnosti konfigurace zásad skupiny pro
jednotlivá oddělení. Po nasazení úvodních omezení je třeba nyní situaci doplnit a doladit. Nejvíc omezení by asi měli být
pracovníci ve skladu. Ti mají většinou k dispozici pouze jedinou aplikaci, nanejvýše ještě klienta elektronické pošty. Zakážeme
jim tak přístup do Ovládacích panelů a omezíme aplikaci Průzkumník Windows. Sice to nebude odpovídat nastavení, které by si
skutečně v provozním prostředí zasloužili (je ještě moc málo omezující) , ale jak jsem uvedl výše - nyní jde o to ukázat hlavně
možnosti nástroje Zásady skupiny než přesně určovat nastavení.
V oddělení marketingu existují uživatelé, kteří ke své práci potřebují konfigurovat různé jazykové sady a rozložení
klávesnice. Původně jste předpokládali, že jim okno Ovládací panely znepřístupníte také, ale co teď? Řešení musí být jiné.
Samozřejmě existuje.
Členové vedení jsou zcela nespokojeni s jakýmikoli omezeními. Po delší diskusi je závěr takový, že jejich veškerá omezení
195
budou zrušena, za to se však dobrovolně vzdáváte řešení potíží s jejich stanicemi. Pokud se některé potíže objeví, dojde k
přeinstalování celého systému.
Shrnuto:
♦ Sklad - přidat omezení (Ovládací panely, Průzkumník Windows)
♦ Marketing - přidat omezení (Ovládací panely)
♦ Vedení - odebrat stávající omezení
Konfigurace zásad pro Sklad
1.
2.
3.
4.
V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby Aktive Directory.
Pravým tlačítkem myši klepněte na organizační jednotku Sklad a zobrazte její vlastnosti.
Na kartě Zásady skupiny klepněte na tlačítko Nový a objektu dejte název Další omezení Sklad.
Poklepejte na objekt a v konzole Zásady skupiny přejděte do složky Konfigurace uživatele\Šablony pro
správu\Ovládací panely.
5. V pravé části okna poklepejte na zásadu Zakázat přístup k Ovládacím panelům a zaškrtněte políčko Povoleno.
6. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Průzkumník Windows.
7. V pravé části okna proveďte nastavení zásad podle tabulky 17.4.
Zásada
Nastavení
Poznámka
Odebrat příkazy Připojit
síťovou jednotku a Odpojit
síťovou jednotku
Povoleno
Uživatelé ve skladu si nebudou moci
připojovat (mapovat) síťové jednotky
Skrýt tyto jednotky v okně
Tento počítač
Povoleno, Omezit
všechny jednotky
Proč by měli mít uživatelé ve skladu přístup
přímo k jednotkám?
Odebrat kartu Zabezpečení
Povoleno
Zakázat položku Okolní
počítače ve složce
Místa v síti
Povoleno
Karta zabezpečení je zbytečná. Nastavení bude
funkční pouze v systémech Windows
XP Professional a Windows Server 2003
Uživatelé nemusí mít žádné informace
o počítačích v síti
Tabulka 17.4 Nakonfigurované zásady ve složce Ovládací panely
Konfigurace zásad pro Marketing
Protože uživatelé z marketingu potřebují pracovat s jinými jazyky a rozložením klávesnice, potřebují vlastně přístup pouze do
jediného ovládacího panelu - Místní a jazykové na-stavení
1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby ActiveDirectory.
2. Pravým tlačítkem myši klepněte na organizační jednotku Marketing a zobrazte její vlastnosti.
3. Na kartě Zásady skupiny klepněte na tlačítko Nový a objektu dejte název Další omezení Marketing.
4. Poklepejte na objekt a v konzole Zásady skupiny přejděte do složky Konfigurace uživatele\Šablony pro
správu\Ovládací panely.
5. V pravé části okna poklepejte na zásadu Zobrazit pouze určené panely v Ovládacích panelech a zaškrtněte políčko
Povoleno. Poté klepněte na tlačítko Zobrazit a přidejte položku Místní a jazykové nastavení (pozor na překlepy).
Konfigurace zásad pro Vedení
Této skupině uživatelů nebudeme nic přidávat, ale musíme veškerá nastavení odebrat, Postupujte podle následujících
pokynů.
1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby Active Directory.
2. Pravým tlačítkem myši klepněte na organizační jednotku Vedení a zobrazte její vlastnosti.
3. Klepněte na kartu Zásady skupiny a ve spodní části zaškrtněte políčko Zablokovat dědičnost zásad. Poté klepněte na
tlačítko OK.
Nyní jsme přerušili proces dědičnosti nastavení zásad skupiny z nadřazených kontejnerů (z domény). Znamená to, že
nastavení zásad seskupená v objektech Default Domain Policy a Skrytí nepotřebných položek se nebudou aplikovat na
uživatelské účty v organizační jednotce Vedení.
Jedná se o nastavení, které umožňuje udělovat výjimky v procesu aplikace hierarchických objektů zásad skupiny. Všimněte si, že
nastavení Zablokovat dědičnost zásad je vlastností organizační jednotky. To znamená, že na úrovni organizační jednotky je
možné přerušit aplikaci pouze VŠECH nadřazených objektů.
To se nám ale nehodí. My bychom potřebovali, aby se na členy vedení neaplikovaly pou-za zásady z objektu Skrytí
nepotřebných položek, zatímco zásady v objektu Default Domain Policy by měly zůstat funkční. To zajistíte následovně:
1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby Active Directory.
2. Pravým tlačítkem myši klepněte na doménu (studny.local) a zobrazte její vlastnosti. 3. Na kartě Zásady skupiny
klepněte na položku Default Domain Policy a pole klepněte na tlačítko Možnosti.
4. Zaškrtněte políčko Nepřepisovat: Zabrání dalším objektům zásad skupiny přepsat množinu zásad tohoto objektu
a poté klepnutím na tlačítko OK zavřete postupně všechna dialogová okna.
196
Ačkoli popis položky nezní nijak přesvědčivě, stane se to, co jsme požadovali. Zaškrtnutím políčka Zablokovat dědičnost zásad
jsme objektům v organizační jednotce řekli, že se jich nebudou týkat žádné nadřazené objekty zásad skupiny s výjimkou těch,
které máji příznak Nepřepisovat (to bylo to druhé nastavení). Nezapomeňte veškerá nastavení prověřit!
Zajistěte bezpečné uložení dokumentů uživatelů
V kapitole 13. „Profily uživatelů", jsme řešili místní a cestovní profily. Z předchozích kapitol už víte, že upřednostňovaným
místem pro ukládání dokumentů je složka Dokumenty. Jedná se o jednu ze složek, která je součástí profilu uživatele. A v tom je
ten problém!
Jestliže opravdu naučíte uživatele využívat tuto složku, budou jejich dokumenty uložené následovně:
♦ Ti, co mají místní profil, budou mít dokumenty ve svém počítači, se kterým pracují.
♦ Ti, co mají cestovní profil, budou mít své dokumenty na serveru.
Oba případy však ještě nejsou zdaleka ideální. V prvním případě je třeba říci, že data uložená v místním počítači nejsou uložena
moc bezpečně. Klientské počítače se nezálohují, takže jakýkoli výpadek počítače může mít za následek jejich ztrátu.
Nejbezpečnější uložení dat je na serveru.
V druhém případě se může objem uživatelských dat negativně podepsat na době přihlašování uživatelů. Pokud se bude
uživatel přihlašovat k počítači, ke kterému ještě dříve přihlášen nebyl, bude se celý jeho profil stahovat ze serveru, a teprve
poté se uživateli zobrazí pracovní plocha. U profilu velkého několik gigabajtů to také může trvat několik desítek minut.
Řešením obou problémů je přesměrování složky Dokumenty na server. Servery se pravidelně zálohují, a uživatelé tak mají svá
data zabezpečena. V případě používání cestovních profilů přestává být po přesměrování obsah složky Dokumenty součástí profilu
a místo ní se součástí profilu stává cesta k přesměrované složce. Jinými slovy — několik megabajtu dat bude nahrazeno jedinou
cestou — \\server\složka. A ta zabere pár bajtů. Protože bude vhodné přesměrovat složku Dokumenty všem uživatelům, bude
třeba vytvořit objekt zásad skupiny na úrovni domény. Můžete také využít stávající objekty (jsou tam 2), pokud však váháte,
vraťte se v této kapitole o pár stránek dopředu, kde jsou rozebrány výhody a nevýhody oddělování či seskupování nastavení.
Pro přehlednost si pro přesměrování dokumentů vytvoříme zvláštní objekt zásad skupiny. Předtím ale bude nutné vytvořit
sdílenou síťovou složku na serveru.
Konfigurace sdílené složky na serveru SRVR001
1. V počítači PC001 spusťte pod účtem správce nástroj Správa počítače.
2. Pravým tlačítkem myši klepněte na název konzoly a v místní nabídce poté klepněte na příkaz připojit k jinému počítači.
Poté do pole Jiný počítač zadejte názevSRVR001 a klepněte na tlačítko OK.
3. Rozbalte položky Systémové nástroje\Sdílené složky.
4 . . Pravým tlačítkem myši klepněte na položku Sdílené položky a v místní nabídce poté klepněte na položku Nová
položka sdílení souborů.
5. Do pole Sdílená složka zadejte cestu C:\PresmDoc, do pole Název sdílené položky zadejte text PresmDoc a poté
Obrázek 17.8
Dialogové okno Vytvořit sdílenou složku
6. Protože složka pro dokumenty neexistuje, nabídne vám průvodce její vytvoření. Klepněte na tlačítko Ano.
V další části dialogového okna Vytvořit sdílenou složku zaškrtněte políčko Všichni uživatelé mají úplné
řízení.
7. Klepněte na tlačítko Dokončit. Další sdílené složky nevytvářejte.
Konfigurace přesměrování složky Dokumenty
1. V počítači PC001 spusťte jako správci nástroj Uživatelé a počítače služby ActiveDirectory.
2. Pravým tlačítkem myši klepněte na doménu (studny.local) a zobrazte její vlastnosti.
3. Na kartě Zásady skupiny klepněte na tlačítko Nový a objektu dejte název Přesměrování složky Dokumenty.
4.. Poklepejte na objekt a v konzole Zásady skupiny přejděte do složky Konfigurace uživatele\Nastavení systému
Windows\Přesměrování složky. 5. Pravým tlačítkem myši klepněte na složku Dokumenty a zobrazte její vlastnosti.
6. Na kartě Cíl vyberte v rozevíracím seznamu položku Základní — Přesměroval složky všech uživatelů do
197
jednoho umístění.
Obrázek 17.9 Část pro přesměrování složek v objektu zásad skupiny
7. V rozevíracím seznamu Umístění cílové složky ponechte nastavení V kořenové cestě vytvořit složku pro každého
uživatele a do pole Kořenová cesta zadejte cestu \\SRVR001\PresmDoc.
Obrázek 17.10
Karta Cíl zásady pro přesměrování složky Dokumenty
8, Klepněte na kartu Nastavení a proveďte konfiguraci podle obrázku 17.11.
198
Obrázek 17.11
Karta Nastaveni zásady skupiny pro přesměrování složky
Dokumenty
9. Klepněte na tlačítko OK.
Ověrení funkce zásady přesměrování
1.
2.
3.
4.
5.
6.
7.
Přihlaste se k počítači PC001 jako uživatel Obchod2.
V Nabídce Start klepněte na položku Dokumenty a vytvořte v ní nový soubor. Vzhledem k aplikovaným zásadám byste
jej vlastně měli vytvářet přímo na serveru.
V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte cestu \\SRVR001\PresmDoc.
Poklepejte na položku Obchod2, poté na složku Dokumenty a ověřte, že je přítomen právě vytvořený soubor. Pokud
byste chtěli ověřit cestu uložení složky Dokumenty, je nutné zobrazit její vlastnosti To jsme ale dříve pomocí zásad
skupiny zakázali (místní nabídky u položek v nabídce Start). Existuje ale cesta, jak toto obejít:
V počítači PC001 klepněte pravým tlačítkem myši do volného místa na ploše a zvolte položku Vlastnosti.
Klepněte na kartu Plocha a poté na tlačítko Vlastní nastavení plochy. V dialogovém okně Položky na ploše
zaškrtněte políčko Dokumenty a klepnutím na tlačítko OK zavřete všechna dialogová okna. Na ploše se zobrazí ikona
Dokumenty.
Zobrazte vlastnosti složky Dokumenty a prohlédněte si její umístění.
Do samotné složky Dokumenty má přístup pouze uživatel, jemuž složka náleží (to jsme-nakonfigurovali v zásadě). Zároveň jste
si možná všimli poněkud pozměněné ikonky přesměrované složky (dvě modré šipky). Jedná se o vlastnost pouze systému
Windows XP Professional (a Windows Server 2003), která zajišťuje, že obsah přesměrované složky bude uživateli k dispozici
také v případě, kdy je uživatel se svým přenosným počítačem na cestách a není připojen k síti. To si uživatel připomene také
vždy při odhlašování od počítače, kdy proběhne synchronizace obsahu složky.
Obrázek 17.12
Cesta uložení složky Dokumenty uživatele Obchod2
199
Poznámka
Nastavení přesměrovaných složek pro režim off line je standardní vlastností systému Windows XP Professional. Systém Windows
2000 se tak nechová. Chcete-li sloučit chování systémů, zvažte konfiguraci zásady Nepovolit automaticky zpřístupnění
přesměrovaných složek offline v části Konfigurace uživatele\šablony pro správu\Síť\Soubo-ry offline.
V případě, že dojde k odstranění objektu zásad, dopadne to se všemi nakonfigurovanými zásadami, které obsahoval, stejně.
Vše se vrátí do původního stavu (u přesměrovaní.5 složky Dokumenty to vyžadovalo navíc zvláštní nastavení - viz obrázek
17.11). Možní! to vypadá jako automatická věc, ale věřte, že v systémech Windows NT 4.0 tomu tak ne bylo. Tam po
odstranění objektu provedená nastavení zůstala.
Důležité
Uživateli, který používá povinný profil, se změny v profilu při odhlášení neukládají. Pokud ale provedete přesměrování složky
Dokumenty, potom se místo obsahu složky stává součástí profilu pouze cesta k ní. Samotný obsah již součástí profilu není, takže
veškeré dokumenty, které uživatel s povinným profilem vytvoří, resp. odstraní, se po odhlášení zachovají, resp. odstraní.
Jedná se o velmi dobrou vlastnost zásady přesměrování složek. U různých typů profilů už tak nemusíte vymýšlet různé možnosti pro
ukládání dokumentů (vzpomeňte na vytváření domovských složek pro uživatele s povinnými profily), ale vše vyřešíte SYSTÉMOVĚ všichni ukládají své dokumenty do složky Dokumenty.
Diskové kvóty
V souvislosti s přesměrovanými dokumenty je v provozním prostředí nutné myslet také na místo na disku. Žádný disk nemá
nekonečně velké místo, a pokud to uživatelé začnou přehánět, budete se muset brzy zamýšlet nad investicí do nového hardwaru.
Běžní uživatelé jistě ke své práci nepotřebují pro soubory více než 200 MB místa na disku. Proč tedy nevyužít další vlastnost
systému (přesněji systému souborů NTFS) - disko-vé kvóty?
Diskové kvóty lze konfigurovat přímo ve vlastnostech konkrétní jednotky (pokud je zfor-mátovaná systémem NTFS) nebo
pomocí Zásad skupiny. Tipněte si, které řešení je systémovým?
Konfigurace diskových kvót
Ke konfiguraci kvót rozhodně použijeme zásady skupiny. Ty se nacházejí v části Konfi-gurace počítače a platí tedy pro
počítač bez ohledu na přihlášeného uživatele. My potře-bujemne hlavně zajistit, aby obsah složek Dokumenty jednotlivých
uživatelů, který je ulo-žen na serveru SRVR001, nebyl moc velký. Pokud budeme předpokládat, že jenom v dokumentech
budou mít uživatelé uloženo maximálně 200 MB dat, potom je vhodné jim "přihodit" ještě nějaké místo na disku na ostatní
nastavení (řekněme 10 MB). Protože ome-zueme místo na serveru SRVR001, který je současně řadičem domény, musíme
definovat objekt zásad skupiny na úrovni organizační jednotky Domain Controllers. 1. Přihlaste se k počítači PC001 jako
správci.
2. Spusťte nástroj Uživatelé a počítače služby Active Directory. 3. Pravým tlačítkem myši klepněte na organizační
jednotku Domain Controllers a zobrazte její vlastnosti.
4. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad dejte název Diskové kvóty.
5. Klepněte na tlačítko Upravit a přejděte do složky Konfigurace počítače\Šablony pro správu\Systém\ Diskové
kvóty. 6. Nakonfigurujte nastavení podle tabulky 17.5.
Zásada
Nastavení
Povolit lískové kvóty
Povoleno
Výchozí maximální kvóta
a úroveň pro upozornění
Poznámka
Povoleno, Maximální kvóta
210 MB, Úroveň pro upozornění 190 MB
Povoleno
Událost se zapíše do protokolu události
počítače SRVR001
Zaprotokolovat událost
při překročení maximální
kvóty
Zaprotokolovat událost
Povoleno
při překročení úrovně
pro
Vynutit maximální diskovou kvótu
Událost se zapíše do protokolu události
počítače SRVR001
upozornéní
Povoleno
Tabulka 17.5 Konfigurace kvót pomocí zásad skupiny
200
Jako správci máte u diskových kvót obrovskou výhodu. Skupiny Administrators se totiž nastavení kvóty nikdy netýká. Jak jinak
byste pak mohli například instalovat další aplikace na server?
Poznámka
Pokud se po spuštění příkazu gpupdate.exe podíváte na serveru SRVR001 na kartu Přidělená kvóta v dialogovém okně vlastností
jednotky C:, nebude žádné nastavení k dispozici (všechny položky budou šedé). Jedná se o známku toho, že zásady skupiny
týkající se kvót byly aplikovány.
Odstraňování potíží se zásadami skupiny a omezení správců
Řekněme, že jste provedli všechna výše uvedená nastavení a odjeli jste na I4denní dovo- j lenou (na správce si takto dlouhou
dovolenou můžete dopřát a vzhledem k precizní konfiguraci a omezení uživatelů nemusíte mít strach, že by to bez vás
nefungovalo).
Jak to tak bývá, na dovolené zapomenete úplně všechno, takže vás při návratu do práce čeká při prvním přihlášení k počítači
překvapení.
Nefungují místní nabídky u položek v nabídce Start, polovina položek v této nabídce vůbec chybí atd. atd. Nic mimořádného,
prostě jste jenom na něco zapomněli. Že by nakonfigurované Zásady skupiny? Uvidíme.
výsledná sada zásad
Systém Windows XP Professional obsahuje nástroj s názvem Výsledná sada zásad, který je vynikajícím nástrojem při
odstraňování potíží se zásadami skupiny. Pokud se vám zá- I sady neaplikují nebo pokud přesně nevíte, který objekt může
za konkrétní nastavení, ] můžete si to velmi jednoduše (a v grafické podobě) zobrazit.
1. Přihlaste se k počítači PC001 jako uživatel Sklad1.
2. Všimněte si konfigurace systému dané aplikací zásad skupiny z několika objektů (například v okně Tento počítač
nenajdete žádné jednotky).
3. V Nabídce Start klepněte na příkaz Spustit a příkazem mmc spusťte prázdnou konzolu MMC.
4. Do konzoly přidejte modul snap-in s názvem Výsledná sada zásad. Ihned se spustí Průvodce výslednou sadou
zásad.
5. Pětkrát za sebou klepněte na tlačítko Další (v průvodci nic neupravujte). Probdi ne analýza počítače. Okno průvodce
zavřete klepnutím na tlačítko Dokončit.
6. Dokončete proces přidání modulu snap-in do konzoly MMC.
7. V konzole přejděte do složky Konfigurace uživatele\Šablony pro správu\Nabídka Start a Hlavní panel. V pravé
části se zobrazí zásady z různých objektů, které obsahují konfiguraci pro přihlášeného uživatele. Zatímco u všech
nastaví ni je v posledním sloupci uveden název objektu zásad skupiny (GPO, Group Policy Object) Skrytí
nepotřebných položek, ve složce Konfigurace uživatele\Šablony pro správu\Ovládací panely naleznete název
objektu Další omezení sklad
8. Prohlédněte si různá nastavení (také v části Konfigurace počítače) a konzolu za vřete.
Uvedený příklad je v praxi použitelný v situaci, kdy si uživatel Sklad1 stěžuje na některá omezení a vy stojíte u něj. Pokud máte
podobnou záležitost řešit na dálku ze svého počítače je třeba v průvodci zadat název počítače uživatele a vybrat správný účet
uživatele.
Poznámka
Pokud chcete zjistit výslednou sadu zásad platnou pro místní počítač a právě přihlášeného uživatele, nemusíte se zdržovat
vytvářením konzoly a průvodcem, ale přímo spusťte příkaz rsop.msc.
Předchozí práce s nástrojem Výsledná sada zásad má svůj název — Režim protokolování.
Ten odpovídá skutečnému stavu - chcete pouze zjistit (tedy protokolovat) aktuální stav. Pokud chcete jako správci získat ze
svého počítače informace o tom, jaké nastavení bude mít uživatel ITSprával, pokud se přihlásí k počítači SRVR001, můžete
využít následující postup.
Pravým tlačítkem myši klepněte na uživatelský účet ITSpráva1 (naleznete jej v organizační jednotce IT), a poté v místní nabídce
klepněte v části Všechny úkoly na položku Výsledná sada zásad (Protokolování).
201
Obrázek 17.13
Spuštění protokolování výsledné sady zásad
4. Ve spuštěném průvodci zadejte do pole Jiný počítač název SRVR001 a klepněte
5. V dialogovém okně Výběr uživatele vyberte uživatele STUDNY\itspraval a poté dvakrát klepněte na tlačítko Další.
6. Nástroj provede protokolování stavu, který poté zobrazí v samostatné konzole.
Pokud se ve výsledné konzole zobrazí u některé části výstražný vykřičník (viz obrázek 17.14), klepněte pravým tlačítkem myši
na tuto položku a zobrazte její vlastnosti. Na kartě Informace o chybě si poté přečtěte potřebné informace.
Obrázek 17.14
Chyba při aplikování objektů zásad skupiny
Abychom se vrátili k počátečnímu problému po návratu z dovolené. Nevíte-li, proč je v systému něco tak, jak je,
vygenerujte si výslednou sadu zásad a budete moudřejší. Provedená nastavení však nic nemění na tom, že nechcete, aby se na
váš účet aplikovala. Tato myšlenka je správná, neboť jak by to u uživatele vypadalo, kdybyste po přihlášení nemohli spustit
například nástroj pro úpravu registru? A nejde jen o váš účet, jde o celou skupinu správců. Tento případ se tedy řeší
následovně:
1. Zjistěte, které zásady ovlivňují omezení vašeho účtu (bud to vykoukáte přímo z konzoly Uživatelé a počítače
služby Active Directory nebo použijte nástroj Výsledná sada zásad).
Tip
Pokud máte svůj účet pro správu v kontejneru Users, mohou se na něj aplikovat pouze objekty na úrovni sítě (vysvětlení
později) a domény.
V našem případě se jedná o zásady Default Domain Policy, Skrytí nepotřebných položek a Přesměrování složky
Dokumenty. První objekt slouží k zabezpečení domény, takže žádná omezení na náš účet nemá, a třetí objekt je i pro
náš účet možná žádoucí. Zajímat nás tedy bude objekt Skrytí nepotřebných položek
2. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastnosti domény (studny.local).
3. Na kartě Zásady skupiny klepněte na objekt Skrytí nepotřebných položek a poté klepněte na tlačítko Vlastnosti.
4. Na kartě Zabezpečení si prohlédněte oprávnění skupiny Authenticated Users, Jsou to oprávnění Číst a Používat
zásady skupiny.
A je to venku! Objekt se standardně aplikuje na všechny podřízené objekty (uživatele/počítače), ale zároveň a pouze
tehdy, pokud mají podřízené objekty oprávnění Číst a Používat zásady skupiny. Pokud tedy tato oprávnění objekt mít
nebude, nebudou se jej zásady týkat.
2. V seznamu řízení přístupu klepněte na položku Domain Admins a poté ve sloupci Odepřít zaškrtněte políčko Používat
zásady skupiny.
3. Zavřete všechna dialogová okna a poté se odhlaste a znovu přihlaste jako správci Omezení daná objektem Skrytí
nepotřebných položek by měla zmizet. Uvedený proces má svůj název — filtrování objektů zásad skupiny.
202
Ladění zásad skupiny
Závěrem práce se zásadami skupiny praktická rada. Pokud budete chtít konfigurovat nové objekty zásad skupiny, nikdy to
neprovádějte v provozním prostředí. Vše si vyzkoušejte někde „mimo" nanečisto a velmi dobře nový stav prověřte.
Většina správců může mít však obrovské potíže se spojením „někde mimo". Představa, že budete muset konfigurovat nejméně
dva počítače, bývá v některých případech velmi děsivá. Proto na to jdou tak trochu oklikou.
Jedním z takových případů je vytvoření nové organizační jednotky (například pro nové oddělení) s příslušnou definicí objektu
zásad skupiny, který bude přiřazen přímo této jed-notce. Jako správce vás bude samozřejmě zajímat, jaké zásady se budou
aplikovat na uživatele v této organizační jednotce (jak tedy bude vypadat výsledná sada zásad). Uživatelský účet ale nechcete v
organizační jednotce vytvářet a nemáte k dispozici žádný další „pokusný" hardware, Nevadí. Stačí vám trochu představivosti,
znalost aplikace objektů zásad skupiny a jeden duležitý nástroj - Výsledná sada zásad v režimu plánování.
1.
2.
3.
Spusťte nástroj Uživatelé a počítače služby Active Directory a na úrovni organizačních jednotek oddělení vytvořte
organizační jednotku s názvem Úklid.
Ve vlastnostech této organizační jednotky vytvořte nový objekt zásad skupiny s názvem Omezení oddělení úklid a v části
Konfigurace uživatele\Šablony pro správu \Ovládací panely\Zobrazení povolte zásady Skrýt kartu Plocha a
Skrýt kartu Nastavení.
Tato část může simulovat přípravu prostředí na nasazení do provozu. Předtím je ale tře-ba celou záležitost vyzkoušet a zjistit,
zda se vše bude aplikovat podle předpokladů, 4. V nástroji Uživatelé a počítače služby Active Directory klepněte pravým
tlačítkem myši na organizační jednotku Úklid a v části Všechny úkoly klepněte na položku Výsledná sada zásad
(Plánování).
Výhodou dalšího postupu je, že nemusí existovat uživatelský účet, pro který chceme zjistit výsledné zásady.
4. V dialogovém okně Výběr počítače a uživatele ověřte, zda je v poli Kontejner v části Informace o uživateli
uvedena cesta OU=Úklid,DC=studny,DC=local a v poli Kontejner v části Informace o počítači cesta
OU=Počítače, DC=studny,DC=local. Pokud ne, můžete tato pole upravit ručně nebo klepnout na tlačítko Procházet
a klepnout na správný kontejner. Poté klepněte na tlačítko Další.
5. V dialogovém okně Rozšířené možnosti simulace ponechte všechna výchozí nastavení a klepněte na tlačítko Další.
6. V dialogovém okně Skupiny zabezpečení uživatele jsou uvedeny dvě standardní výchozí skupiny, ve kterých je
uživatelský účet členem.
7. Pokud byste v implementaci objektů používali filtrování, je třeba přidat všechny skupiny, ve kterých je uživatel členem
(filtrování - viz výše). Pokud filtrování nepoužíváte, klepněte na t l a č í t k o Další.
8. V části Skupiny zabezpečení počítače se zachovejte obdobně, jako v předchozím dialogu. Poté klepněte na tlačítko
Další.
9. V dialogovém okně Filtry WMI pro uživatele (POZOR - tento pojem nemá nic společného s technologií filtrování)
ponechte zaškrtnuté políčko Všechny připojené filtry a klepněte na tlačítko Další.
10. V dialogovém okně Filtry WMI pro počítače ponechte výchozí nastavení a pokračujte klepnutím na tlačítko Další.
11. V dialogovém okně Přehled výběrů si prohlédněte zadané informace a poté klepněte na tlačítko Další. Proběhne
sestavení výsledných zásad týkajících se uživatelů v organizační jednotce Úklid pracujícím s počítačem v organizační
jednotce Počítače.
12. Projděte si nastavení ve výsledné sadě zásad.
Nástroj Výsledná sada zásad je v obou režimech (protokolování i plánování) jednoznačně největším vylepšením v oblasti zásad
skupiny. Umožňuje velmi produktivní správu celé infrastruktury objektů zásad a hraje hlavní roli při odstraňování potíží. Zároveň
je možné s jeho využitím ušetřit další prostředky na testovací hardware. Nástroj Výsledná sada zásad není k dispozici v
žádném ze systémů Windows 2000.
„Bonbónek" (aneb zpětná smyčka) zásad skupiny
Pokud si myslíte, že jste předchozí informace uvedené v této kapitole dobře pochopili, je tato část určena pro vás a rozhodně
doporučuji ji projít. Pokud si nejste jisti, zda zásadám skupiny rozumíte, tuto část raději přeskočte a vraťte se k ní později. Pro
úplné pochopení zásad skupiny jsou třeba jen dvě věci - dobrý teoretický základ a poté jen praxe, praxe a praxe.
Cílem této části je ukázat řešení situace, se kterou se můžete v praxi také běžně setkat. Uveďme si její příklad.
Pokud uživatel odchází krátkodobě od svého počítače, je zbytečné, aby se odhlašoval, neboť předtím by musel uložit veškerou
svou práci. Proto uživatelé používají možnost Uzamknout počítač.
Například situace obchodníků v naší společnosti. Mají k dispozici jednak svůj počítač, ale jednak mají navíc ještě počítače v
prodejní místnosti, na kterých se při prodeji střídají. Pokud by předchozí uživatel počítač uzamkl, nebude se moci další uživatel
přihlásit, neboť odemknout počítač může pouze ten, kdo jej uzamkl, nebo správce. Řešením takové situace je odebrat pomocí
zásad skupiny možnost počítač uzamknout. Řekněme, že toto nastavení budeme muset nakonfigurovat pro počítač PC001.
Myšlenka je jednoduchá - protože toto nastavení musí platit pro počítač bez ohledu na přihlášeného uživatele, naleznete
příslušné nastavení v objektu zásad skupiny v části Konfigurace počítače a zajistíte, aby se tento objekt aplikoval pouze na
počítač PC001. To tedy byla myšlenka a nyní praxe. Není problémem vytvořit pro účet počítače PC001 novou organizační
jednotku, která bude podřízenou stávající jednotky Počítače. Problém bude v zásadách skupiny, protože zásada zakazující
uzamknutí počítače není v části Konfigurace počítače k dispozici. Vyskytuje se pouze v části Konfigurace uživatele, ale protože
203
se k počítači může přihlásit každý uživatel, je těžké rozhodnout, na které uživatele je vlastně aplikovat. Navíc, takoví uživatelé by
poté nemohli zamykat ani své vlastní počítače. Aby šlo zásadu z části Konfigurace uživatele použít pouze pro konkrétní počítač
(či spíše pro konkrétní organizační jednotku počítačů), budeme muset použít zvláštní režim zásad skupiny - zpětnou smyčku.
Konfigurace organizační jednotky
3. Pravým tlačítkem myši klepněte na organizační jednotku počítače a v místní nabídce klepněte v části Nový na
položku Organizační jednotka.
4. Do pole Název zadejte text Obchodní prostory.
5. Do nové organizační jednotky přesuňte účet počítače PC001.
Protože je nová organizační jednotka podřízenou jednotkou organizační jednotky Počítače budou se na ni vztahovat i nadále
zásady objektu Členství skupiny Administrators.
Na její úrovni nyní definujeme nový objekt s požadovaným nastavením.
Konfigurace nemožnosti uzamykat počítač
1.
2.
3.
4.
5.
Přihlaste se k počítači PC001 jako správci.
Pravým tlačítkem myši klepněte na organizační jednotku Obchodní prostory a zobrazte její vlastnosti.
Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad dejte název Neuzamykat.
Poklepejte na objekt a v části Konfigurace uživatele\Šablony pro správu\Systém\Možnosti klávesové zkratky
Ctrl+Alt+Del povolte zásadu Odebrat možnost Uzamknout počítač.
6. Včásti Konfigurace počítače\Šablony pro správu\Systém\Zásady skupiny poklepejte na zásadu Režim
zpracování duplicitních zásad skupiny uživatele, zaškrtněte políčko Povoleno a v části Režim vyberte položku
Sloučit. Klepněte na tlačítko OK.
Celý proces pracuje v režimu Sloučit následovně
1.
2.
3.
4.
5.
Při spuštění počítače se aplikují nejprve zásady v části Konfigurace počítače všech objektů zásad skupiny týkající
se počítače PC001 (v našem případě Default Domain Policy, Členství skupiny Administrators a Neuzamykat).
Uživateli se zobrazí přihlašovací obrazovka.
Po přihlášení uživatele se aplikují zásady v části Konfigurace uživatele všech objektů zásad skupiny týkající se
uživatelů (při přihlášení uživatele Marketing2 to budou Default Domain Policy, Skrytí nepotřebných položek,
Přesměrování složky Dokumenty a Další omezení Marketing).
Protože byla součástí objektu Neuzamykat povolená zásada Režim zpracování duplicitních zásad skupiny
uživatele (mezi znalými správci známé pod pojmem zpětná smyčka" neboli loopback), dojde ještě navíc k aplikaci části
Konfigurace uživatele objektu Neuzamykat.
Uživateli se zobrazí pracovní plocha.
Poznámka
Pokud by nastavení zpětné smyčky v objektu nebylo, bod 4 můžete z procesu aplikace zásad skupiny vyškrtnout.
Pokud byste v definici zpětné smyčky použili Režim nahradit, můžete z procesu aplikace zásad vyškrtnout bod 3.
Nastavení zpětné smyčky se používá v situacích, kdy je důležité nakonfigurovat přesně chování a vzhled klientského počítače
bez ohledu na přihlášeného uživatele. Nastavení se používá na počítače na veřejných místech (jako jsou veřejné počítače pro
přístup k Internetu či počítače poskytující informace).
Ověření procesu
Proces ověříte velmi jednoduše. Ať se k počítači PC001 přihlásíte jako jakýkoli doménový uživatel, možnost Uzamknout počítač
nebude k dispozici. To platí i pro správce. Pokud by to správcům nevyhovovalo, postup, jak vyloučit z aplikace zásad objekt
Neuzamykat, znáte.
Doplňující informace k zásadám skupiny
K zásadám skupiny je nutné ještě dodat následující informace:
♦ Zásady lze definovat na několika úrovních V místním počítači, na úrovni domény, organizační jednotky a sítě. S
místními zásadami jsme se seznámili v pro středí pracovní skupiny, se zásadami na úrovni sítí se v praxi často
nesetkáte, neboť se používají pouze ve velkých prostředích (definují se pomocí nástroje Služby sítě Active Directory).
♦ Pořadí zpracování zásad je pevně dané Nejprve se zpracují místní zásady, poté zásady v objektech na úrovni sítě,
poté zásady na úrovni domény, poté zásady na úrovni příslušné organizační jednotky, podřízené organizační jednotky
atd. Tento postup je třeba znát pro určení, které nastavení zásady bude platit, pokud se zásada vyskytuje ve více
objektech a její nastavení je v rozporu s jinými (například na úrovni domény má uživatel povoleno měnit pracovní
plochu a na úrovni organizační jednotky to povoleno nemá). Zásady, které jsou objektu nejblíže, mají nejvyšší prioritu.
♦ Pokud je na jedné úrovni více objektů
Potom se provádějí zdola nahoru Objekty uvedené nejvýše mají nejvyšší
prioritu, neboť se v dané úrovni aplikují jako poslední. Pořadí objektů lze ve stejné úrovni měnit.
204
Aplikování objektů zásad skupiny lze ovlivnit pomocí filtrů WMI Jedná se i o filtry, pomocí kterých lze odlišit
různé typy počítačů a objekt zásad aplikoval pouze na ně, přestože se v okruhu objektu vyskytují i další počítače.
Zásady tak můžete aplikovat pouze na ty počítače, jež mají procesor rychlejší než 733MHz nebo například pouze
na počítače, které mají nainstalovánu aktualizaci Service Pack 1 a vyšší.
♦ Pro správu objektů zásad skupiny lze využívat i speciální nástroj GPMC (Group Policy Management Console)
Kromě mnohem vyššího komfortu práce navíc umožňuje objekty zásad skupiny zálohovat, „vyměňovat" je mezi
doméami a používat pro aplikaci zásad i řádkové příkazy (skripty). Tento nástroj sice není standardní součástí systému
Windows Server 2003, ale k jeho používání je nutné vlastnit licenci na systém Windows Server 2003. Instalovat jej
můžete do po čítače se systémy Windows Server 2003 nebo do počítačů se systémy Windows XP s aktualizací Service Pack
1 a součástí .NET Framework a využít jej můžete ke správě domén Active Directory založených na systémech Windows
2000 (s aktualizací alespoň Service Pack 2) a Windows Server 2003.
♦ Ve vlastnostech objektu zásad skupiny jsou na kartě Obecné dvě políčka Zakázat nastavení konfigurace
počítače a Zakázat nastavení konfigurace uživatele. Pokud jste definovali objekt, který je určen pro uživatele a jako
takový obsahuje nastavení pouze v části Konfigurace uživatele, potom v jeho vlastnostech zaškrtněte políčko Zakázat
nastavení konfigurace počítače a naopak. Spouštění počítačů a přihlášení uživatelů pak bude rychlejší, neboť se zbytečně
nebudou procházet nenakonfigurované zásady v objektech.
♦
Příklady filtrů WMI
Počítače, které obsahují a mají nainstalovaný modem
R o o t \CimV2;
S e l e c t * from Wi n32_P0TSModem
Počítače s konkrétními operačními systémy
Root\CimV2; Select * from Win32_0peratingSystem where Caption = "Microsoft Windows XP Professional"
Počítače, které mají alespoň na jedné jednotce zformátované NTFS nejméně 10 MB volného místa
Root\Cim2; SELECT * FROM Win32_LogicalDisk WHERE (Name = "C:" 0R Name = "D:" OR Name="E:") AND
DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = "NTFS"
Počítače, do kterých byl pomocí Instalační služby systému Windows nainstalován Softwarový balíček S kódem ID
{5E076CF2-EFED-43A2-A623-13E0D62EC7E0}
Root \cim2; SELECT * FROM Win32_Product WHERE
13E0D62EC7E0}"
IdentifyingNumber = {5E076CF2-EFED-43A2-A623-
Filtrování WMI není k dispozici v doménách Active Directory založených na systému Windows 2000 Server. Mnohem podstatnější
je ale fakt, že filtry WMI se v doménách Active Directory se systémy Windows Server 2003 aplikují pouze na systémy Windows
XP Prof e s s i o n a l a vyšší. Znamená to, že ať je filtr jakýkoli, na systémy Windows 2000 se bude objekt zásad skupiny
aplikovat vždy (pokud to nebude upraveno oprávněními).
Zbavte se „jednoduchých" úloh správy
Ačkoliv tato část přímo nesouvisí s funkcí Zásady skupiny, jedná se o konfiguraci, která zjednoduší správu celého prostředí a
zejména vytížení správců.Základní myšlenka spočívá v distribuování správy (tedy rozdělení správy prostředí mezi více
uživatelů). Nelekejte se - žádný uživatel vás nemůže jako správce domény nahradit. Ale znám spoustu správců domény, kteří
místo toho, aby doménu skutečně spravovali, jsou denně zatěžováni desítkami telefonátů od uživatelů, již si nepamatují svá
hesla. Proč tedy nesvěřit takto triviální úkol - resetování hesel - konkrétním uživatelům v každém oddělení? Pro každé
oddělení by mohl existovat jeden z uživatelů, který by jako jediný toto oprávnění měl.
Vy jako správci celého prostředí byste poté pouze kontrolovali jeho činnost. Zároveň byste měli jistotu, že jinou úlohu správy,
než je resetování hesla, provést daný uživatel nemůže, dokonce nemůže resetovat hesla ani uživatelů z jiného oddělení.
Jako správci domény však o toto právo nepřijdete - kdykoli tak budete moci heslo komukoli resetovat.
I když teoreticky budou mít právo resetovat heslo pouze jednotliví uživatelé, ze systémového hlediska nelze uvažovat o jiném
postupu, než udělení tohoto práva skupinám. Vzpomínáte na doporučenou strategii A -> G -> DL <- P? Pokud vezmeme v
úvahu, že globální skupiny pro jednotlivá oddělení již máme (G XXXXX zkušení), stačí vytvořit místní doménové skupiny a jim
toto oprávnění udělit.
Poznámka
Strategie A -> G -> DL <- P je určena zejména k udělování oprávnění k prostředkům, jakým jsou například sdílené složky či tiskárny.
Pro přístup k objektům v doméně Active Directory by se měla využívat strategie bez místních doménových (DL) skupin, neboť v
prostředí s více doménami nejsou vždy čitelné. Pokud tedy budete používat jedinou doménu, strategie A -> C -> DL <- P je v
pořádku, pokud by se však les Active Directory rozrostl, použijte strategi A -> C -> U <- P. Převod místních doménových (DL) skupin
na univerzální (U) můžete provést velmi jednoduše kdykoli, počítejte však s replikací do globálních katalogů.
V praxi můžete následující konfiguraci připravit pro každé oddělení. My si ukážeme konfiguraci pro resetování hesel pouze
uživatelům obchodního oddělení.
Přehled skupin
Uživatelé obchodního oddělení jsou seskupeni do dvou globálních skupin. Zkušení uživatelé jsou členy skupiny G Obchod
205
zkušení, a těm bychom mohli zprostředkovaně udělit oprávnění k resetování hesla všech účtů v organizační jednotce Obchod.
Pro naplnění strategie A G DL P tedy chybí místní doménová skupina.
3. V organizační jednotce Skupiny vytvořte skupinu s názvem D Obchod Resetování hesel. Do této skupiny poté vložte
existující skupinu G Obchod zkušení.
Delegování oprávnění
Doména Active Directory má mimo jiné tu úžasnou vlastnost, že umožňuje definovat, kdo má k jakému objektu jaká oprávnění.
Vše se dá nakonfigurovat ručně na kartě Zabezpečení ve vlastnostech každého objektu,. Existuje ale i další možnost - pro
konkrétní konfiguraci oprávnění je připraven Průvodce delegováním řízení.
2 Spusťte nástroj Uživatelé a počítače služby Active Directory
3. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a poté v místní nabídce klepněte na příkaz Delegovat
řízení. Spustí se Průvodce delegováním řízení. Klepněte na tlačítko Další.
4. V dialogovém okně Skupiny nebo uživatelé se určuje, kdo získá daná oprávnění. Klepněte na tlačítko Přidat a přidejte
nově vytvořenou skupinu D Obchod Resetování hesel. Poté klepněte na tlačítko Další.
5. V dialogovém okně Úkoly k delegování zaškrtněte políčko Resetuje hesla uživatelských účtů a vynutí... Poté
6. Projděte si zadaná nastavení a klepněte na tlačítko Dokončit.
Obrázek 17.15
Delegování oprávnění resetovat hesla
Pomocí průvodce delegováním řízení jsme nakonfigurovali oprávnění k organizační jednotce Obchod v doméně Active
Directory. To lze velmi jednoduše ověřit.
1. V konzole Uživatelé a počítače služby Active Directory klepněte v nabídce Zobrazit na položku Upřesňující
funkce.
2. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a zobrazte její vlastnosti.
3. Klepněte na kartu Zabezpečení a přesvědčte se, že v seznamu řízení přístupu jeskupina D Obchod Resetování hesel.
Nástroj pro resetování hesel
Aby mohli uživatelé ze skupiny G Obchod zkušení resetovat hesla svým kolegům, potřebují k tomu nástroj. Nástroj Uživatelé a
počítače služby Active Directory je pro ně však zbytečně složitý a mohl by na ně mít spíše odpudivý účinek. Proto jim vytvoříme
nástroj jednodušší a úhlednější.
2. Otevřete prázdnou konzolu MMC a přidejte do ní modul snap-in Uživatelé a počítače služby Active Directory.
206
Poznámka
Pro tyto účely nelze použít standardní nástroj Uživatelé a počítače služby Active Directory.
3. Klepněte na organizační jednotku Obchod tak, aby se v pravém okně zobrazil její obsah.
4. Nyní na organizační jednotku Obchod klepněte pravým tlačítkem myši a v místní nabídce zvolte příkaz Nové zobrazení
panelu úloh. Spustí se Průvodce vytvořením zobrazení panelu úloh. Pokračujte klepnutím na tlačítko Další.
5. V dialogovém okně Zobrazení panelu úloh ponechte výchozí nastavení a klepněte na tlačítko Další.
6. V dialogovém okně Cíl panelu úloh ponechte výchozí nastavení a klepněte natčítko Další.
7. V dialogovém okně Název a popis zadejte do pole Název text Resetování hesel živatelů obchodního oddělení a do
pole Popis text Nástroj slouží k resetování hesel účtů podřízených uživatelů. Poté klepněte na tlačítko Další.
8. V dialogovém okně Dokončení průvodce ověřte, že je zaškrtnuté políčko Spustit průvodce vytvořením úlohy a
klepněte na tlačítko Dokončit. Spustí se Průvodce vytvořením úlohy.
9. Klepněte na tlačítko Další a v dialogovém okně Typ příkazu ponechte výchozí hodnoty a klepněte na tlačítko Další.
10. V dialogovém okně Příkaz místní nabídky klepněte v pravé části na položku Vytvořit nové heslo. Poté klepněte na
tlačítko Další.
Obrázek 17.16
Dialogové okno Příkaz místní nabídky
11. V dialogovém okně Název a popis ponechte výchozí název a v popisu nahraďte slovo „objektů" slovem „uživatele".
12. V dialogovém okně Ikona úlohy vyberte vhodnou ikonu a poté klepněte na tlačítko Další.
13. Klepnutím na tlačítko Dokončit ukončete průvodce.
14. V nabídce Zobrazit klepněte na příkaz Vlastní nastavení a zrušte zaškrtnutí všech políček. Poté klepněte na tlačítko
OK.
15. V nabídce Soubor klepněte na položku Možnosti. Dialogové okno nakonfigurujte podle obrázku 17.17 a poté klepněte
na tlačítko OK.
16. V nabídce Soubor klepněte na příkaz Uložit jako a konzolu uložte pod názvem Resetování hesla.msc.
Poznámka
Při vytváření tohoto typu konzoly v systému Windows 2000 jste měli ještě možnost zakázat uživateli používat místní
nabídku. Proč v systému Windows Server 2003 tato možnost není, je mi záhadou.
207
Obrázek 17.17
Režim a další omezení konzoly
Tento soubor můžete nyní dopravit například pomocí elektronické pošty k uživateli, k te rý bude pro obchodní oddělení
resetovat hesla. K dispozici tak bude mít velmi elegantní a přehledný nástroj pro svou činnost. To ale ještě není všechno.
Aby uživatel mohl tento nástroj spustit, potřebuje mít v počítači nainstalované Nástroje pro správu prostředí (adminpak.mst).
Zde je ale malý rozpor. My jsme vytvářeli nástroj „na míru" proto, aby uživatel nemusel používat standardní nástroj
Uživatelé a počítače služby Active Directory. Někteří správci si dokonce nepřejí, aby uživatel mohl standardní nástroj
vůbec spustit. Pokud ne chcete, aby uživatel mohl nástroj Uživatelé a počítače služby Active Directory spustil, za kažte v části
Konfigurace uživatele\Šablony pro správu\Součásti systému Win dows\Konzola Microsoft Management
Console\Zakázané nebo povolené moduly snap-in zásadu Uživatelé a počítače služby Active Directory. Jiná možnost není,
Myslí, že je zbytečné, abyste uživatele učili nástroj, který jste pro ně vytvořili, používat, Uživatel, který nevidí způsob použití na
první pohled, nemá co resetovat uživatelům hesla a je lepší jej z podobných úloh vyřadit.
Závěr
Nástroj Zásady skupiny jsou jedním z nejsilnějších nástrojů systému Windows Server 2003 vůbec. Správa klientských počítačů je
pomocí ní velmi snadná a rychlá. Systém Windows XP Professional obsahuje přes 700 nastavení, která zahrnují konfiguraci
vzhledu a chování klientských počítačů, jejich zabezpečení, spouštění skriptů, přesměrování složek, ale také například instalaci
softwaru.
Zásady konfigurované v části objektu Konfigurace počítače se aplikují pouze na účty počítačů, zásady konfigurované v části
Konfigurace uživatele se aplikují pouze na účty uživatelů. Na to je třeba myslet pří konfiguraci objektů zásad a jejich umisťování v
hierarchii doménové databáze Active Directory.
Pokud chcete konfigurovat pro jednotlivé uživatele různé zásady, je třeba uživatele rozmístit do oddělených organizačních
jednotek, které musíte pro tento účel vytvořit. Vzhledem k tomu, že účet uživatele nebo počítače se může vyskytovat pouze v
jediné organizační jednotce, je třeba volit hierarchii organizačních jednotek s rozmyslem, zejména její nejvyšší úroveň. Aplikace
objektů zásad skupiny se řídí principem dědičnosti. Pro odstraňování potíží je v systémech Windows XP Professional a Windows
Server 2003 k dispozici nástroj Výsledná sada zásad. V jakémkoli počítači je tak možné získat informace, které konkrétní zásady
se budou aplikovat na konkrétního uživatele a počítač v dané organizační jednotce. Na serveru Windows Server 2003 je zároveň
možné tento nástroj používat v režimu plánování (co se stane, když...).
Doména Active Directory obsahuje další možnost - udělit oprávnění k jednotlivým úlohám správy skupinám či uživatelům,
kteří nejsou členy žádné ze skupin správců. Pro jednodušší udělení oprávnění je k dispozici Průvodce delegováním řízení,
oprávnění však lze definovat i na kartě Zabezpečení daného objektu v Active Directory.
Stav sítě
Síť doznala v této kapitole podstatných vylepšení. V doméně Active Directory došlo k vytvoření organizačních jednotek
odpovídajících organizační struktuře společnosti Studny s.r.o. a k aplikaci několika objektů zásad skupiny. V místních
skupinách Administrátora klientských počítačů se změnilo členství (přidán účet brigádníka) a složka Dokumenty všech
uživatelů byla přesměrována na server SRVR001 do sdílené složky PresmDoc. Proto došlo na serveru SRVR001 ke konfiguraci
kvót, takže každý uživatel má nyní k dispozici „pouze" 210 MB místa.
Počítač PC001 není možné uzamknout (nakonfigurováno pomocí zásad skupiny) a skupina uživatelů D Obchod Resetování
hesel má oprávnění resetovat heslo uživatelských účtů v organizační jednotce Obchod. Pro tyto účely je vytvořen speciální
nástroj.
208
Profily uživatelů
Pokud se poprvé přihlásíte k novému počítači se systémem Windows XP Professional, zobrazí se vám pracovní ' plocha
počítače s výchozím obrázkem na pozadí, nová Nabídka Start, nebudou se zobrazovat skryté soubory a budou také
skryty přípony známých typů souborů.
To je jenom pár věcí, které jsou součástí takzvaného uživatelského profilu. V daném počítači se týkají pouze vašeho účtu, takže
nemají vliv na přihlášení jiných uživatelů. Stejně tak konfigurace ostatních uživatelů nebude mít vliv na vaše prostředí.
Pokud se vám některé z nastavení nelíbí a rozhodnete se je změnit, bude toto nastavení změněno i po odhlášení a novém
přihlášení.
Výhody profilů uživatelů
Primárním účelem profilu uživatele je oddělit nastavení a data všech uživatelů stejného počítače. Nejen že nastaveni jednoho
uživatele se nijak neprojeví na nastavení ostatních uživatelů, ale pokud je jednotka s profily zformátovaná systémem souborů
NTFS, nebudou se uživatelé schopni dostat navzájem ke svým dokumentům. Oprávnění pří-stupu NTFS jsou v takovém případě
definovaná počítačem a ve stávajících profilech je může změnit pouze správce počítače. Profily uživatelů přinášejí dvě
významné výhody:
• Profil (tedy nastavení a data uživatelů) lze uložit mimo počítač, se kterým uživatel pracuje. V případě selhání počítače
(například porucha pevného disku) a jeho nutné náhradě tak uživatel nepřijde o své prostředí ani data a po rychlé
instalaci operačního systému do nového počítače může velmi rychle pokračovat v práci.
• Profil může cestovat spolu s uživatelem, pokud je t a k nakonfigurován. Znamená to, že pokud uživatel pracuje s více
počítači, bude mít v každém počítači stejné nastavení a k dispozici stejná data. Výrazně se tím ták může zvýšit
produktivita práce.
V menších společnostech jsou obavy správců celkem opodstatněné, protože se od nich automaticky očekává, že budou uživatelům k dispozici
jako helpdesk. Vedení společnosti totiž jednoduše předpokládá, že správce sítě je od toho, aby řešil jakékoli záležitosti týkající se
hardwaru/systémů/aplikací a dalších věcí. Automaticky se totiž má za to, že je expertem na jakoukoli aplikaci, která se v síti používá. To je však
hluboký omyl. Takový správce se časem stává otrokem, který v práci tráví své mládí jenom proto, aby alespoň udržel stávající stav. Protože toho
pak dělá moc, nedělá nic pořádně, nemá čas se něco pořádně naučit a znáte to - kolečko se roztáčí.
Ze strany správce by mělo být podporováno maximálně nasazení aplikací do prostředí sítě (sestávající z přípravy a praktického provedení).
Zbytek - tedy podpora aplikací, případně jejich správa - by měl být záležitostí oddělení správy aplikací, případně externího dodavatele.
Nutno doplnit, že správcům v malých společnostech vůbec nezávidím a před některými z nich smekám - především proto, že jsou ochotni za
daných platových podmínek na podporu jakéhokoli softwaru přistoupit.
V síti nyní stojíme před instalací několika aplikací. Pojďme se podívat, jaké máme možnosti instalace.
Instalace z instalačního média
Původně jsem chtěl do nadpisu uvést „Instalace z disku CD-ROM", ale to už ani dnes nemusí být pravda. Proto obecná instalace z diskety/CDROM/DVD, případně jiného, široce používaného média.
Jedná se o nejjednodušší metodu instalace aplikace. Správci vezmou médium, postupně obchází veškeré počítače, vyhání od nich uživatele,
přihlásí se jako správci a provedou instalaci. Poté se odhlásí, médium si vezmou s sebou a jdou o počítač dále.
Toto vše může pracovat, ale jen do té doby, než se objeví problémy. Jaké?
K počítači se přihlásí jiný uživatel než ten, který provedl instalaci
Typický problém vyskytující se u aplikací sady Microsoft Office 2000. Při přihlášení nového uživatele a spuštění některé aplikace z této sady se
prováděla konfigurace aplikace pro daného uživatele, takže se na obrazovce chvíli něco dělo a skončilo to žádostí o instalační disk CD-ROM.
Nepříjemná, dokonce myslím, že v tomto typu instalace neřešitelná situace.
V konfiguraci aplikace se vyskytnou potíže
Při spuštění aplikace nebo při jejím běhu se vyskytují chyby mající za výsledek přerušení práce uživatele. Správce je u takového počítače denně
a vždy odchází s neblahým pocitem, že vlastně nic nevyřešil, takže je otázka času, kdy se s uživatelem uvidí znovu.
V očích uživatele je samozřejmě chyba na straně správce a kolečko se opět roztáčí.
Uživatel omylem odstraní některý ze souborů aplikace
Ačkoli je tato možnost pomocí oprávnění přístupu NTFS v systému Windows XP Professional maximálně omezena, může k ní dojít. Některé
aplikace mohou vyžadovat změnu konfigurace oprávnění uživatele do složky, ve které je aplikace nainstalovaná, takže uživatel může náhodně
odstranit například důležité soubory EXE nebo DLL. Potom nezbývá, než vzít disk CD-ROM, přijít k počítači a instalaci opakovat. A to
pomíjím zcela za měrné poškozování aplikace uživatelem!
209
Uživatel chce do instalace přidat další součásti
Ačkoli bývá prostředí nainstalovaných aplikací sjednocené, mohou se vyskytnout uživatele (případně celá oddělení), kteří budou vyžadovat
doinstalování dalších součástí do aplikace. Další postup je stejný jako při úvodní instalaci aplikace. To nejpodstatnější je, že jako správci musíte
k počítači jít.
v počítači není jednotka CD-ROM
Velmi častá záležitost (v dnešních sítích). Aplikaci jste zakoupili, médium máte, jste připraveni, ale instalaci nelze provést. V takovém případě
nezbývá, než použít jinou metodu instalace.
Instalace ze sítě
Je tento typ instalace je v principu stejný jako předchozí případ. Pouze instalačním médiem je síť. Princip je jednoduchý. Na instalačním serveru
(kterým je pro tento případ běžný souborový server), je vytvořena sdílená složka s instalačními soubory aplikace. Z konkrétního uživatelského
počítače se poté jako správci připojíte ke sdílené složce a provedete instalaci aplikace.
Tento typ instalace má svoje výhody. Nemusíte s sebou nosit instalační médium a aplikaci nainstalujete i do počítače, který nedisponuje
jednotkou CD-ROM. Musí mít ale funkční připojení k síti. Mezi nevýhody lze započítat všechny, které byly uvedeny výše (snad s výjimkou té
první - viz následující odstavec).
Zároveň může tento typ instalace vyřešit potíže s aplikacemi sady Office 2000 (nebo podobnými) při přihlášení jiného uživatele. Počítač již
nebude žádat instalační disk CD-ROM, ale protože bude mít přístup k instalačním souborům, doinstaluje si potřebné
soubory automaticky.
Možnost automatické do instalace má ale i své nevýhody. Aby to pracovalo, musí mít daný uživatel přístup k instalačním souborům uloženým v
síťové sdílené složce. Pokud takový přístup uživatelům umožníte, může se také stát, že si uživatelé instalační soubory jednotlivých aplikací
zkopírují a odnesou si je domů. Buďte tedy opatrní a pokud to ne ní nutné, udělte oprávnění pouze skupině správců (pochopitelně za dodržení
strategie A -> G -> DL <- P).
Instalace pomocí dalších nástrojů
Mezi správci sítí Microsoft je z této oblasti známým nástrojem Systems Management Sel Ver 2.0. Jedná se o velmi dobrý nástroj, který umí
spoustu věcí. Instalace aplikací je jednou z nich.
Jeho výhody (v oblasti instalace aplikací) zahrnují možnost nainstalovat do klientských počítačů prakticky jakoukoli aplikaci. Nevýhodou je
nutnost tento produkt zakoupit na ladit, do všech počítačů nainstalovat jeho klienta a samozřejmě nutnost umět cele toto prostředí spravovat.
Jinými slovy - mít k dispozici dalšího správce, který bude mít na starosti správu této části prostředí. O nákladech, které si takové prostředí
vynutí, ani nehovořím.
Dalším nástrojem pro instalaci aplikací je součást zásad skupiny v doméně Active Directory nazvaná Instalace softwaru. Té se budeme věnovat v
dalších částech kapitoly.
Jak to udělat co nejjednodušeji?
Časy obcházení jednotlivých počítačů s instalačním diskem CD-ROM v kapse by již dnes měly být minulostí. Tlak na opuštění této cesty cítí
všichni rozumní správci tak, jak roste síť a zvyšuje se počet klientských počítačů.
Ono to s sebou nese i další výhody. Ruku na srdce! Společně s „výletem" k jednotlivým počítačům jste se jistě někde zdrželi déle, než bylo
nutné, případně jste využili přítomnosti na jiné pobočce k návštěvě zajímavých míst za soukromým účelem. Nikdo se nic nedozvěděl, neboť to
tak bylo již dopředu naplánováno. Produktivita správce je však piyč, a to se někde nutně projevit musí.
Tím se správců nechci vůbec dotknout, spíše chci něco navrhnout. Jak pomocí standardních prostředků domény Active Directory připravit
automatickou instalaci, která vám umožní mít více volného času, ačkoli se před šéfy můžete tváři tak, že máte práce nad hlavu.
V doméně Active Directory jsou prostředky, které můžete využít k automatické instalaci aplikací do klientských počítačů. Jsou součástí zásad
skupiny, takže vhodným rozmístěním objektů zásad skupiny můžete určit, který uživatel bude mít k dispozici jaký software. Takže zatímco
uživatelé ve skladu by měli mít pouze kvalitního poštovního klienta, ostatním uživatelům můžete přihodit ještě aplikace typu Word a Excel a
oddělení Marketing třeba i databázový nástroj typu Access.
Instalace aplikací pomocí zásad skupiny
V předchozí kapitole jsme se věnovali zásadám skupiny a objektům zásad. Byly uvedeny veškeré důležité informace o jejich principu,
předvedena jejich aplikace a probrali jsme i některé konkrétní zásady. Nechybělo ani vysvětlení principu zpětné smyčky, tedy velmi zajímavé
vlastnosti, kvůli které dodnes spoustě správců vinou neznalosti běhá mráz po zádech.
Ačkoli toho tedy bylo dost, vůbec jsme se nedotkli jedné z podstatných částí Zásad skupiny - Instalace softwaru.
Konfigurace počítače nebo Konfigurace uživatele?
Část zásad skupiny týkají se instalace softwaru naleznete v obou větvích objektu zásad skupiny - Konfigurace počítače i Konfigurace uživatele.
Je tedy dobré vědět, jaké jsou mezi nimi rozdíly a co to znamená pro praxi.
Konfigurace počítače
Všechny zásady nakonfigurované v této větvi objektu zásad skupiny se vždy aplikují pouze na účty počítačů. To už je stará známá věc. Jestliže
210
tedy nadefinujete instalaci softwaru v této části, bude se týkat pouze počítačů a v počítačích bude software nainstalován bez ohledu na to, který
uživatel se k počítači přihlásí.
Aplikace instalované pomocí zásad skupiny v části Konfigurace počítače jsou z pohledu uživ a t e l ů statické, tj. vždy zůstávají v daném počítači
a jsou k dispozici každému uživateli.
Konfigurace uživatele
Nastavení v této části objektu zásad se týká pouze uživatelských účtů. Předpokládejme, že uživatelům v oddělení Sklad nainstalujete tímto
způsobem pouze aplikaci Outlook (Irdy poštovního klienta) a uživatelům oddělení Obchod nainstalujete celou sadu Microsoft Office.
V každém počítači, ke kterému se přihlásí uživatel obchodního oddělení, bude mít po tom k dispozici všechny aplikace sady Office. Pokud se
však odhlásí a ihned za ním se při h l á s í uživatel ze skladu, bude mít k dispozici pouze aplikaci Microsoft Outlook.
Aplikace instalované pomocí zásad skupiny v části Konfigurace uživatele tedy „cestuji" spolu s uživatelem.
Příklady využití různých typů instalací
Rozdíl mezi konfigurací instalace aplikace v části Konfigurace počítače a Konfigurace uživatele si ukážeme na příkladu instalace aktualizace
Service Pack. Z pohledu správy je aktualizace Service Pack operačního systému také aplikací, oproti ostatním však velmi duležitou.
Pokud definujete instalaci aktualizace Service Pack v části Konfigurace počítače, zajistíte její instalaci do všech počítačů, jež budou v záběru
příslušného objektu zásad skupiny, který jste pro tento účel vytvořili. Service Pack se tak nainstaluje do počítačů a bude v nich k dispozici při
přihlášení jakéhokoli uživatele.
Pokud byste tuto instalaci definovali v části Konfigurace uživatele objektu, který poté aplikujete například na organizační jednotku Marketing,
instalovala by se aktualizace Service Pack pouze do těch počítačů, k nimž by se uživatelé marketingu přihlásili. Po jejich odhlášení by ale v
počítačích nezůstala.
Z pohledu správy prostředí je samozřejmě rozumnější první možnost, tedy instalace definovaná v části Konfigurace počítače.
Jiným příkladem může být speciální antivirová aplikace, kterou máte pouze v jediném vydání. Jako správci občas řešíte potíže přímo u uživatelů
a v některých situacích potřebujete provést zevrubnou kontrolu takového počítače na přítomnost virů. Protože na to antivirové nástroje v
počítačích uživatelů nestačí, musíte nutně použít svůj antivir.
Dopředu však nevíte, ve kterých počítačích jej budete potřebovat používat, a instaloval je do všech počítačů je proto nesmysl. Instalaci tohoto
antivirového programu tedy na Definujete v objektu zásad skupiny, která se bude aplikovat pouze na skupinu správců
Pokud se poté jako správci přihlásíte ke kterémukoli počítači, budete mít tuto aplikaci vždy v počítači nainstalovanou. Po vašem odhlášení však
v počítači nezůstane.
Přiřazení nebo publikování aplikací?
Stojíme před zcela novými pojmy, které je pro používání zásad skupiny k instalaci softwaru nutné pochopit. Jedná se o způsob instalace
aplikací a o to, jak se o nich ve svých počítačích dozví uživatelé.
Přiřazení aplikace
Přiřazení aplikace je jedna z možností instalace, kterou je třeba definovat při přípravě instalačního balíčku. Pokud aplikaci přiřadíte, dojde k
následující věci:
♦ Po přihlášení uživatele se v Nabídce Start objeví položka (zástupce) této aplikace.
♦ Uživatel může aplikaci spustit klepnutím na tuto položku nebo poklepáním na soubor s příslušnou příponou.
Přiřazení aplikace se používá v případě, kdy uživatelé opravdu aplikace využívají, a je vhodné jim je zobrazit v Nabídce Start.
Publikování aplikace
Publikování aplikace se chová poněkud jinak. Po publikování aplikace dojde k následující věci:
♦
♦
Uživatel po přihlášení nevidí zástupce aplikace v Nabídce Start.
Uživatel může spustit aplikaci buď poklepáním na přidružený soubor nebo v okně Přidat nebo odebrat programy.
Publikování aplikace se používá v případě, kdy máte pro uživatele připraveny aplikace, ale nechcete je zobrazovat v Nabídce Start, aby se
nestala nepřehlednou.
V souladu s výše uvedenými informacemi o možnostech instalace aplikací pro počítače a uživatele je třeba doplnit ještě jednu věc. Vzhledem k
tomu, že počítač neumí jako uživatel rozhodnout, kdy bude danou aplikaci potřebovat a spustit ji z okna Přidat nebo odebrat programy, není
možnost Publikování aplikace pro počítače k dispozici. Možné kombinace shrnuje následující tabulka.
Konfigurace počítače
Konfigurace uživatele
Přiřazení aplikace
ok
ok
Publikování aplikace
x
ok
Tabulka 18.1 Možné kombinace přiřazení a publikování aplikace Okamžitá
nebo zpožděná
Instalace?
Zásady skupiny v části konfigurace uživatele se aplikují ihned po přihlášení uživatele a poté v téměř pravidelných intervalech. Nyní si představte
211
stav, kdy pomocí zásad skupiny nadefinujeme instalaci sady kancelářských aplikací do 100 klientských počítačů. Až potud je to v pořádku.
Pokud se však ráno přihlásí všech 100 uživatelů najednou, co se stane? Sesype se instalační server z přetížení? To záleží na vás, jak instalaci
objektů nastavíte.
Na výběr jsou v takovém případě dvě možnosti:
♦
Zpožděná instalace V tomto případě dochází k instalaci dané aplikace až v okamžiku, kdy ji uživatel spustí. Při aplikování zásady
během jeho přihlášení tak do-jde pouze k inzerování aplikace vytvořením zástupce v Nabídce Start. Pravděpodobnost, že všech 100
uživatelů by ve stejný čas potřebovalo stejnou aplikaci, je tak malá, že zatížení počítače, odkud se instalace provádí, nebude nijak
extrémní,
♦ Okamžitá instalace V tomto případě dochází k instalaci dané aplikace ihned během přihlášení uživatele. Například uživatel přenosného
počítače by se na cestách mohl divit, proč má v Nabídce Start položku aplikace, kterou stejně nemůže spustit. Proto se tento typ instalace
používá většinou u přenosných počítačů nebo u uživatelů, kteří je používají. Uživatelé ale musí v takovém případě počítal s tím, že
proces jejich přihlášení bude zpožděn o dobu instalace všech aplikací, které jste v objektu zásad skupiny definovali.
Poznámka
Okamžitá instalace není k dispozici v doméně Active Directory pouze se systémy Windows 2000. V doméně Active Directory se
systémy Windows Server 2003 je možné ji použit pouze při přiřazení instalačního balíčku.
Všechny aplikace nebo jen některé?
Pomocí zásad skupiny lze v doménách Active Directory instalovat pouze balíčky MSI, tedy aplikace, které jsou určené pro instalační služby
systému Windows. Jedná se o novou službu, která je k dispozici od vzniku systému Windows 2000, a jež nahrazuje klasické programy
předchozích verzí.
Toto je pravděpodobně zásadní zlom v používání zásad pro instalaci softwaru. Ne všechny aplikace se totiž ve formě tohoto balíčku dodávají.
Pokud chcete tedy aplikaci instalovat vzdáleně, musíte se rozhodnout. Bud budete mít k dispozici instalační balíček MSI a budete moci použít
řešení pomocí zásad skupiny (které vyžaduje pouze znalosti správce důležité pro konfiguraci) nebo budete mít pouze standardní instalační
program setup.exe a budete muset použít další nástroj (Systems Management Server).
Možnost instalace softwaru pomocí zásad skupiny přišla na trh spolu se systémem Windows 2000 na konci roku 1999. Tehdy byl svátek potkat
někde instalační balíček MSI. Dnes, více než 3 roky poté, se s těmito balíčky setkáte mnohem častěji.
Pokud přesto nejste schopni získat od výrobce softwaru balíček MSI, můžete si jej (při troše znalostí a štěstí) vytvořit sami. Slouží k tomu
nástroje jiných výrobců, například nástroj WinInstall LE, který je dokonce k dispozici na instalačním disku CD-ROM se systémem Windows
2000 nebo jeho dospělý kolega Winlnstall, jenž už je však za peníze. Jestliže vám zůstane v ruce soubor setup.exe, nebudete moci zásady
skupiny pro instalaci aplikace použít.
Balíček MSI
Co to vlastně takový balíček MSI je? Jak vypadá jeho struktura? Vzpomeňte, setkali jsme se s ním již při instalaci Nástrojů pro správu domény
do počítače PC001 a při instalaci kli pinta funkce Stínová kopie svazku.
Všechny aplikace se dnes dodávají ve formě instalačního balíku. Vy pouze poklepete na příklad na příkaz setup.exe a vše ostatní zařídí
instalační program. Co se stane v systému? Během instalace se vytvoří nové složky, do nichž se dekomprimují soubory, některé soubory se
mohou dekomprimovat také do stávajících složek, vytvoří se nové položky v registru a také se doplní zástupci do Nabídky Start uživatelům.
Takovou instalaci byste ale také mohli provést ručně. Pokud byste dostali veškeré soubory, postup pro jejich dekomprimaci, a informace o tom,
které složky a položky registru a kde male vytvořit a co kam zkopírovat, mohli byste postupovat samostatně. Výsledek by byl po chopitelně
stejný, akorát v porovnání s instalačním programem za mnohem delší dobu.
Soubor MSI je právě těmi informacemi, co kde vytvořit za složky a položky v registru, které soubory kam zkopírovat apod. Vedle souboru MSI
tedy většinou existují ještě další soubory, které jsou součástí instalace. Pokud samotná instalace není velká, jsou instalační soubory součástí
souboru MSI. Ten pak tedy obsahuje dvě části - databázi informací a soubory (vzpomeňte na soubory adminpak.msi či twclient32.msi, oba ve
stylu „all in one").
Příklad instalace sady Microsoft Office XP
Přestože jsem se již setkal s různými správci, kteří možnosti instalace aplikací pomocí zásad skupiny znali, vesměs u nich převládal názor, že
taková instalace „pořádně nefunguje", a že pro ně bylo lepší a jednodušší nainstalovat všechno ručně po síti. Často se v takových případech
jednalo o instalaci aplikací sady Office, což zamrzí hned dvakrát. Jednak obecně - vždyť Office se dodává s balíčky MSI od verze 2000, a
jednak proto, že se jedná o produkt společnosti Microsoft. A co jiného by potom mělo spolu fungovat když ne produkty Microsoft?
Možná vím, co chce nyní někdo říci. Občas se i v dílně společnosti Microsoft narodí řešení, které není zcela kompatibilní tak, jak je to
proklamováno. Takové výstřelky jsou ale rychle opraveny a jsou tedy plně použitelné.
Jestliže chcete pomocí zásad skupiny instalovat aplikace sady Office XP, nestačí vám pouze znalosti systému. Ještě potřebujete nahlédnout
trochu pod pokličku možností sady Office XP. Že to ale není nic tak těžkého se přesvědčíme v dalších částech, kdy instalaci této sady fyzicky
provedeme.
Strategie nasazení aplikací sady Office XP
Všichni uživatelé společnosti Studny, s.r.o. by měli mít k dispozici aplikaci Outlook 2002. Jedná se o aplikaci pro správu kontaktů, úkolů,
schůzek a elektronické pošty. Protože tuto aplikaci potřebují všichni uživatelé (včetně správců, ale vyjma pracovníků ve skladu), budeme na ni
212
pamatovat při vytváření všech objektů
Obchod & Marketing
Uživatelé v oddělení Obchod a Marketing budou k práci potřebovat také aplikace Word 2002 a Excel 2002. Pracují s nimi denně, takže jim tyto
aplikace nainstalujeme tak, aby je viděli v Nabídce Start.
Sklad
Uživatelé ve skladu sice nejsou typickými představiteli klasických kancelářských pracovníků, přesto ale občas potřebují aplikaci Word 2002. I v
tomto případě vyjdeme uživatelům vstříc a aplikaci nakonfigurujeme tak, aby sice byla připravená k instalaci, ale nebyla uvedená v Nabídce
Start.
vedení
Pravděpodobně to znáte. Členové vedení vždy potřebují úplně všechny aplikace, aniž přesně vědí, k čemu slouží. Ve svých počítačích (a v
každém počítači, ke kterému se přihlásí) je musí mít hlava nehlava. Vyjdeme jim tedy vstříc a aplikaci Outlook 2002 obohatíme o Word, Excel a
Access 2002. Budou jediní, kdo budou disponovat nástrojem MicroSoft Access 2002!
Konfiguraci všech aplikací provedeme tak, že aplikace se budou instalovat na vyžádáni (zpožděná instalace). Uživatelé je sice budou mít v
Nabídce Start, ale k první instalaci do jde až při nutnosti prvního použití. Teď je to ještě předčasné, ale na závěr vyzkoušíme také instalaci
aplikace poklepáním na přidružený soubor. Shrnuto a podtrženo - budeme potřebovat 4 typy instalačních balíčků (balíček pro Obchod &
Marketing, pro Sklad, pro Vedení a pro ostatní). Znamená to, že budeme muset mít na serveru více instalací? Nebude to třeba. Instalační balíčky
MSI v sobě mají jednoznačně definované chování. To lze upravit, ale musíte k tomu použít takzvaný transformační soubor MST. A sada MSI +
MST = instalační sada (vzpomeňte na soubor odpovědí a jedinečný databázový soubor UDF - to bylo něco podobného).
Vyjdeme tak z jediného instalačního balíčku MSI, ale v každém objektu použijeme jeho jinou modifikaci MST.
Příprava na instalaci sady Office XP
Pro úspěšnou instalaci budeme potřebovat následující:
♦ Instalační médium sady Office XP Pozor! Médium musí být z multilicenčníhoprogramu. Jiné verze pro tento typ instalace nelze
použít.
Poznámka
Pokud byste podobným způsobem instalovali sadu Office 2000 (postup instalace je podobný jako vejce vejci), můžete si
vybrat jakoukoli verzi média (i z krabice).
♦
Nástroje sady Office XP Resource Kit Tato záležitost je nevyhnutelná a osobně si myslím, že všichni, kteří tvrdí, že instalace sady
Office pomocí zásad skupiny je pro uživatele neproveditelná, tento nástroj vůbec nepoužili. Právě pomocí těchto nástrojů budeme
schopni vytvořit transformační soubory MST.
To je vše. Neuvedl jsem nutné znalosti správce domény a znalost instalací Office, ale to jsou záležitosti, které načerpáte v dalších odstavcích.
Instalace nástrojů Office XP Resource Kit
Abychom nezatěžovali server (nebylo by to ani systémové), provedeme instalaci potřebných nástrojů a poté veškerou přípravu v klientském
počítači PC001.
Nástroje sady Office XP Resource Kit jsou k dispozici ke stažení jako soubor Orktool s .exe na webové stránce společnosti Microsoft na adrese
http://umnv.microsoft.com/office/ork/xp/appndx/appc00.htm.
Soubor Orktools.exe naleznete také na přiloženém disku CD-ROM.
Instalace sady Office Resource Kit
2. Spusťte soubor o r k t o o l s . e x e . Nástroje ORK jsou pouze v anglickém jazyce, s instalací do české verze systému Windows XP
rofessional však nebudete mít žádné potíže.
213
Obrázek 18.1
První dialogové okno nástrojů ORK (Souhlas s licencí)
3. Zaškrtněte políčko I accept the terms in the Licence Agreement a poté klepněte na tlačítko Next.
4. V dialogovém okně výběru typu instalace ponechte výchozí nastavení a poté klepněte na tlačítko Next.
Poznámka
K instalaci sady Office nebudeme rozhodně potřebovat všechny nástroje. Je ale mnohem rychlejší a jednodušší nainstalovat všechny,
neboť poté je lze velmi snadno a rychle odinstalovat. A kdoví, možná, že mezi nainstalovanými nástroji naleznete další zajímavosti.
5. V dialogovém okně Begin installation klepněte na tlačítko Install. Proběhne instalace nástrojů.
Obrázek 18.2
Instalace nástrojů Office XP Resource Kit
6. Instalaci dokončíte klepnutím na tlačítko OK (viz obrázek 18.3).
Obrázek 18.3
Dokončeni instalace nástrojů ORK
Administrátorská instalace sady Office XP
Instalace aplikací sady Office XP musí být v počítačích uživatelů rychlá a bezobslužná. Jako správci nesmíte dopustit, aby uživatelé byli nuceni
zadávat záležitosti týkající se instalace jako takové. Jediná z přípustných zásad uživatele je na konci instalace (navíc pouze první instalace) zadání jména, příjmení a iniciál.
Z těchto důvodů nelze instalaci sady Office XP provádět tak, že zkopírujete obsah instalačního disku CD-ROM do sdílené složky na server,
odkud bude instalace probíhat. To I >y dopadlo přesně tak, jak nechceme. Je třeba provést takzvanou administrátorskou instalaci, při které
214
zadáte všechny potřebné parametry platící pro všechny uživatele. Instalace však musí být umístěna ve sdílené složce, ke které mají uživatelé
oprávnění přístupu alespoň Číst. Složku ale budeme sdílet až na závěr.
Administrátorská instalace
Protože se jedná o místní instalaci, bude nutné ji provést přímo na serveru SRVR001.
2. Na jednotce C: vytvořte složku Instalace aplikací a v ní podsložku Office XP.
3. Do jednotky CD-ROM serveru vložte instalační disk sady Office XP Professional (nebo vyšší). Pokud je na serveru povolena funkce
automatického spuštění, instalace sady Office XP se automaticky spustí. V nejbližším možném místě ji přerušte.
4. V Nabídce Start klepněte na položku Spustit a poté zadejte cestu k souboru setup. exe a doplňte parametr /A. Pokračujte klepnutím na
tlačítko OK.
Obrázek 18.4
Spuštění administrátorská instalace
5.
Spustí se instalace aplikací sady Office. V dalším dialogovém okně zadejte název společnosti, cestu instalace (C:\Instalace
aplikací\Office XP) a kód Product Key.
Poznámka
Pokud nemáte správnou verzi sady Office XP, instalace se v tomto kroku přeruší a na daný stav budete upozorněni.
Informace, které v tomto dialogovém okně zadáte, zadáváte místo uživatelů. Oni tak pří vlastní instalaci nebudou tyto
informace muset zadat, a instalace tak bude automatická.
6. V dalším dialogovém okně si přečtěte licenční ujednání a poté zaškrtněte políčko S podmínkami licenční smlouvy
souhlasím. Poté klepněte na tlačítko Nainstalovat. Nyní proběhne instalace produktu. Protože se jedná o administrátorskou
instalaci, nebudou aplikace na serveru nainstalované jako běžné aplikace, tudíž ani nepůjdou spustit. Dojde pouze k
přípravě instalačních souborů pro instalaci do klientských počítačů.
Obrázek 18.5
Ačkoli průběh vypadá jako běžná instalace, produkty nebudou na
serveru k dispozici
Sdílení složky Instalace aplikací
1. Na složku Instalace aplikací klepněte pravým tlačítkem myši a v dialogovém okně vlastností na kartě Sdílení definujte
její sdílení s názvem Aplikace. Sdílená oprávnění nakonfigurujte pro skupiny Administrators na Úplné řízení a pro
skupinu Authenticated Users na Číst.
2. Dialogové okno vlastností zavřete klepnutím na tlačítko OK.
Připravená instalace aplikací sady Office je nyní zpřístupněna uživatelům. Předtím, než začneme vytvářet objekty se zásadami
instalace, je ale nejprve třeba připravit transformační soubory pro jednotlivé typy instalace. K tomu využijeme nástroj Custom
Installation Wizard, který jsme nainstalovali již dříve jako součást sady nástrojů Office XP Resource Kit.
Transformační soubory MST
215
Vytvoření transformačního souboru pro Instalaci aplikace Outlook 2002
2. Spusťte nástroj Custom Installation Wizard (Průvodce vlastní instalací). Na úvod ní obrazovce pokračujte klepnutím na
tlačítko Next.
Obrázek 18.6
Úvodní okno aplikace Custom Installation Wizard (CIW)
3. V dialogovém okně Open the MSI file (Otevřít soubor MSI) klepněte na tlačítko Browse a v síti na serveru SRVR001 ve
sdílené složce Aplikace vyhledejte příslušný soubor MSI. Poté pokračujte klepnutím na tlačítko Next.
Obrázek 18.7
Cesta v síti k instalačnímu souboru MSI
4. V dialogovém okně Open the MST file (Otevřít soubor MST) ponechte zaškrtni! té políčko Create a new MST File a poté
klepněte na tlačítko Next. Druhá možnost - Open an existing MST filee - je určena pro úpravu existujícího souboru MST. To je nyní
bezvýznamné, nicméně můžete ji využít v budoucnu při nutných změnách v souborech MST.
5. V dialogovém okně Select the File to Save zadejte název a cestu k umístění souboru MST. Výchozím umístěním je stejná složka, ve které je
soubor MSI, nicméně je na vás, jaké umístění v provozním prostředí zvolíte. Souboru MST dejte název Outlook.MST a poté klepněte na
tlačítko Next.
216
Obrázek 18.8
Místo pro uložení souboru MST, který v následujících krocích
vytvoříme
6. V dialogovém okně Specify Default Path and Organization (Zadejte výchozí cestu a organizaci) ponechte výchozí hodnoty. Hodnota
<Default> v poli organizace znamená, že se použije název zadaný při administrátorské instalaci (tedy Studny s.r.o.). Klepněte na tlačítko
Next.
7. V dialogovém okně Remove Previous Versions (Odebrat předchozí verze) ponechte zaškrtnuté políčko Default Setup behavior (Výchozí
chování instalačního programu) a klepněte na tlačítko Next.
Poznámka
V tomto okně můžete určit, jak instalační program naloží s předchozími verzemi aplikací, pokud budou v počítači nainstalované.
8. Na kartě Set Feature Installation States (Volba stavu instalace) nakonfigurujte pouze instalaci aplikace Outlook (Spouštět vše z tohoto
počítače) a doplňku Pomocník Office, který naleznete v části Sdílené součásti sady Office (viz obrázek 18.9). V části Approximate size
uvidíte, kolik místa na pevném disku tato instalace zabere. Poté klepněte na tlačítko Next.
Poznámka
Nejrychlejším postupem je zakázat instalaci na nejvyšší úrovni (tedy všech součásti) a poté povolit instalaci potřebných součástí
(Spouštět z tohoto počítače).
Obrázek 18.9
Konfigurace instalace aplikace Outlook
9. V dialogovém okně Customize Default Application Settings (Upravit výchozí nastavení aplikací) ponechte zaškrtnutá políčka Do not
customize a Migrate use settings a klepněte na tlačítko Next.
10. V dialogovém okně Change Office User Settings rozbalte v levém podokně položku Microsoft Outlook 2002 a prohlédněte si možná
nastavení. Žádná nastavení nekonfigurujte (provedeme později systémovějším způsobem). Poté klepněte na tlačítko Next.
11. V dialogovém okně Add/Remove Files (Přidat nebo odebrat programy) klepněte na tlačítko Next. Zde je možné přidat do instalace aplikace
jakýkoli soubor, my tuto možnost nepot třebujeme.
12. V dialogovém okně Add/Remove Registry Entries (Přidat nebo odebrat položky registru) klepněte na tlačítko Next. Není nutné přidávat
ani odebírat jakékoli položky z registru.
13. V dialogovém okně Add, Modify, or Remove Shortcuts upravte na kartě Installecl seznam položek podle obrázku 18.10. Poté klepněte na
tlačítko Next.
14. V dialogovém okně Identify Additional Servers (Určit další servery) nepřidávejte žádné položky a klepněte na tlačítko Next.
15. V dialogovém okně Specify Office Security Settings (Zadat nastavení zabezpečení sady Office) ponechte výchozí nastavení a klepněte na
tlačítko Next.
217
Obrázek 18.10
Úprava položek Nabídky Start a panelu Office
16. V dialogovém okně Add Installations and Run Programs (Přidat instalace dalších programů) nepřidávejte žádné programy a klepněte na
tlačítko Next.
17. V dialogovém okně Outlook: Customize Default Profile (Aplikace Outlook: Upravit výchozí profil) zaškrtněte políčko Modify Profile a
poté klepněte na tlačítko Next.
Obrázek 18.11
Dialogové okno úpravy profilu aplikace Outlook
18. V dialogovém okně Outlook: Specify Exchange Settings (Aplikace Outlook: Zadat výchozí nastavení Exchange) ponechte zaškrtnuté
políčko Do not configurean Exchange Server connection a poté klepněte na tlačítko Next.
19. V dialogovém okně Outlook: Add Accounts (Aplikace Outlook: Přidat účty) ponechte zaškrtnuté políčko Do not customize Outlook
profile and account Information a poté klepněte na tlačítko Next.
20. Dialogové okno Outlook: Remove Accounts and Export Settings (Aplikace Outlook: Odebrat účty a exportovat nastavení) ponechte
beze změn a klepněte na tla čítko Next.
21. V dialogovém okně Outlook: Customize Default Settings (Aplikace Outlook Upravit výchozí nastavení) ponechte výchozí nastavení a
poté klepněte na tlačítko Next.
218
Obrázek 18.12
Dialogové okno výchozího nastavení aplikace Outlook
22. V dialogovém okně Modify Setup Properties (Upravit vlastnosti instalačního programu) ponechte výchozí nastavení a klepněte na
tlačítko Next.
23. V dialogovém okně Save Changes (Uložit změny) klepněte na tlačítko Finish. Dojde k uložení výsledného souboru MST.
24. Informace, které se zobrazí v dialogovém okně Custom Installation Wizard, nebudeme k ničemu potřebovat (jsou určené pro ruční
instalaci). Klepněte na tlačítko Exit.
Vytvoření transformačního souboru pro instalaci aplikací Outlook, Word a Excel
Opakujte předchozí postup s následujícími výjimkami:
♦ V bodu 5 zadejte název souboru OutlookWordExceLMST.
♦ V bodu 8 označte instalaci položek Microsoft Outlook pro Windows, Microsoft Excel pro Windows, Microsoft Word pro Windows
(Spouštět vše z tohoto po čítače) a v části Sdílené součásti sady Office označte instalaci položek Galerie médií, Pomocník Office a
Nástroje kontroly pravopisu. Pro jistotu ověřte, že dojde k instalaci všech součástí aplikací Outlook, Word a Excel.
♦ V bodu 13 proveďte konfiguraci podle obrázku 18.13.
Obrázek 18.13
vytvoření transformačního souboru pro instalaci aplikace Access
♦ V bodu 5 zadejte název souboru AccessOuťlookWordExcel.MST.
♦ V bodu 8 označte instalaci položek Microsoft Outlook pro Windows, Microsoft Excel pro Windows, Microsoft Word
pro Windows, Microsoft Access pro Windows a v části Sdílené součásti sady Office označte instalaci položek Galerie
médií, Pomocník Office, Nástroje kontroly pravopisu a Visual Basic for Applications. K instalaci položek použijte
volbu Spouštět z tohoto počítače.
Poznámka
Položka Microsoft Access pro Windows jde pro instalaci označit až po označení součásti Visual Basic for Applications.
219
Obrázek 18.14
Vytvoření transformačního souboru pro instalaci aplikace Word
♦ V bodu 5 zadejte název souboru Word.MST.
♦ V bodu 8 označte instalaci položek Microsoft Word pro Windows a v části i Sdílené součásti sady Office označte
instalaci položek Galerie médií, Pomocník Office a Nástroje kontroly pravopisu. K instalaci položek použijte volbu
Spouštět z tohoto počítače.
Obrázek 18.15
♦ Položky týkající se aplikace Microsoft Outlook ponechte ve výchozím nastavení.
V tuto chvíli se dá říci, že máme za sebou nejvíce pracnou část. Během ní vznikly tři transformační soubory MST, které spolu se
soubory MSI použijeme pro definici toho, co se má instalovat.
Objekty zásad skupiny
Objekty zásad skupiny rozhodnou o tom, jak bude vypadat samotná instalace. V následujících krocích vytvoříme celkem tři
objekty zásad skupiny, které budeme aplikoval na příslušných úrovních domény Active Directory.
Vytvoření objektu zásad skupiny pro instalaci aplikace Outlook
1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Directory
jako správci.
2. Pravým tlačítkem myši klepněte na položku domény (studny.local) a zobrazte dialogové okno vlastností.
3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace Outlook
2002.
4. Klepněte na tlačítko Možnosti a poté zaškrtněte políčko Zakázáno: Pro tento kontejner není objekt zásad skupiny použit. Poté
klepněte na tlačítko OK. Tímto krokem dojde k vyloučení jakékoli možnosti aplikace objektu na doménu.
5. Poklepejte na nový objekt a přejděte do složky Konfigurace uživatele\Nastavení softwaru.
6. Pravým tlačítkem myši klepněte na položku Instalace softwaru a v místní nabídce poté v části Nový klepněte na položku Balíček.
220
Obrázek 18.16
Položka v objektu zásad skupiny týkající se instalace softwaru
7. V dialogovém okně Otevřít přejděte k balíčku MSI pro instalaci aplikací sady Office
(soubor OWC10.MSI to není). Pozor! Musíte přistupovat pomocí síťové cesty (začněte klepnutím na tlačítko Místa v síti v levé části okna).
Poté klepněte na tlačítko Otevřít.
8. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klepněte na tlačítko OK. Zobrazí se dialogové okno s názvem
aplikace s možnostmi konfigurace jejího zavedení.
Obrázek 18.17
Dialogové okno Zavedení aplikace
Poznámka
Pokud byste v tomto kroku zaškrtli jedno ze zbývajících políček, nebylo by již možné Instalační balíček MSI transformovat
pomocí souboru MST.
9. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Outlook 2002.
10. Klepněte na kartu Zavedení a zaškrtněte políčka (pokud ještě nejsou): v části Typ zavedení Přiřazené, v části Možnosti zavedení
políčko Odinstalovat tuto aplikaci, je-li mimo obor správy a v části Možnosti uživatelského rozhraní instalace políčko Základní.
11. Poté klepněte na tlačítko Upřesnit a zaškrtněte políčka Při zavádění balíčku nebrat ohled na jazyk a Odebrat uživatelům současné
instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny. Políčko Zpřístupnit tuto 32bitovou X86
verzi ... se naší sítě sice netýká, ale ponechte jej zaškrtnuté. Dialogové okno Upřesnit možnosti zavedení zavřete klepnutím na tlačítko
OK.
12. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor Outlook.MST. Cesta k souboru se
zobrazí v okně Změny a musí být síťová! Poté klepněte na kartu OK.
13. Zavřete konzolu Zásady skupiny. V dialogu vlastností domény (studny.local) by měl být stále označen nově vytvořený a zakázaný
objekt. Klepněte na tlačítko Odstranit a v dialogovém okně Odstranit zaškrtněte políčko Odebrat propojení ze seznamu. Poté
klepněte postupně na tlačítka OK a Zavřít.
Význam jednotlivých zaškrtnutých políček shrnuje následující tabulka:
Nastavení
Popis
Odinstalovat tuto aplikaci, je-li mimo
obor správy
V případě, že na uživatele by se (například jeho
přesunem) přestal aplikovat objekt zásad skupiny,
aplikace se při dalším přihlášení automaticky odinstaluje. Jedná se o velmi důležité nastavení, které vám
umožňuje mít přehled o tom, kde všude je přiřazený software nainstalován. Protože se výše definovaný
objekt týká všech uživatelů v doméně, nedá se před ním utéci. Jediným ověřením funkce tohoto
nastavení je přihlásit se jako místní správci počítače. Pokud by nastavení nebylo zaškrtnuto, software
po první instalaci v počítači zůstane
Nebere ohled na jazyk instalačního balíčku a nainstaluje
jej do jakékoli jazykové verze systému
V případě, že daná aplikace byla již dříve nainstalovánu
do počítače uživatele jiným způsobem, ji odinstaluje
a poté nainstaluje podle zásady. Jedná se o elegantní
způsob „převzetí" předchozích instalací Poznámka: Z praxe musím dodat, že toto nastaveni se
neobešlo vždy bez potíží. Proto jej doporučuji před použitím otestovat na zkušebním vzorku uživatelů.
Při zavádění balíčku nebrat ohled na jazyk
Odebrat uživatelům současné instalace
produktů, pokud nebyl produkt
nainstalován v souladu se zásadami skupiny
221
Tabulka 18.2 Význam některých nastavení při instalaci softwaru
Vytvoření objektu zásad skupiny pro instalaci aplikací Outlook, Word a Excel pro obchodní oddělení
Na tomto místě pouze připomenutí - obchodní oddělení tyto aplikace využívá denně a cílem tedy je zobrazení jejich zástupců v Nabídce Start.
Budeme tak konfigurovat přiřazení.
1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Direktory jako správci.
2. Pravým tlačítkem myši klepněte na organizační jednotku Obchod a zobrazte dialogové okno vlastností.
3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace Outlook, Word a Excel
2002 - přiřazení.
6. V dialogovém okně Otevřít přejděte k balíčku MSI pro instalaci aplikací sady Office. Pozor! Musíte přistupovat pomocí síťové cesty
(začněte klepnutím na tlačítko Místa v síti v levé části okna). Poté klepněte na tlačítko Otevřít.
7. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klepněte na tlačítko OK. Zobrazí se dialogové okno s
názvem aplikace s možnostmi konfigurace jejího zavedení.
Poznámka
Pokud byste v tomto kroku zaškrtli jedno ze zbývajících políček, nebylo by již možné instalační balíček MSI transformovat
8. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Outlook, Word a Excel 2002.
OK.
11. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor OutlookWordExceLMST. Cesta k
souboru se zobrazí v ok- I ně Změny a musí být síťová! Poté klepněte na tlačítko OK.
12. Zavřete všechna dialogová okna a konzoly.
Vytvoření objektu zásad skupiny pro instalaci aplikace Word pro sklad
Znovu pouze připomenutí - pracovníci ve skladu tuto aplikaci potřebují použít „čas od času". Proto jim nebudeme zatěžovat Nabídku Start a
provedeme její publikování. Pro tento účel lak musíme vytvořil další objekt zásad skupiny.
2. Pravým tlačítkem myši klepněte na organizační jednotku Sklad a zobrazte dialogové okno vlastností.
3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad sku piny dejte název Instalace Word 2002 - publikování.
7. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klepněte na tlačítko OK. Zobrazí se dialogové okno s názvem
aplikace s možnostmi konfigurace jejího zavedení.
Poznámka
8. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Word 2002.
9. Klepněte na kartu Zavedení a zaškrtněte políčka (pokud ještě nejsou): v části Typ zavedení Publikované, v části Možnosti zavedení
OK.
11. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor Word.MST. Cesta k souboru se
zobrazí v okně Změny a musí být síťová! Poté klepněte na tlačítko OK.
Vytvoření objektu zásad skupiny pro oddělení vedení
Oddělení Vedení bude disponovat následujícími aplikacemi sady Office Outlook, Word, Excel a Access.
222
2. Pravým tlačítkem myši klepněte na organizační jednotku Vedení a zobrazte dialogové okno vlastností.
3. Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace Outlook, Word, Excel a
Access 2002.
7. V dialogovém okně Zavedení aplikace zaškrtněte políčko Upřesnit a poté klep- něte na tlačítko OK. Zobrazí se dialogové okno s
názvem aplikace s možnostmi konfigurace jejího zavedení.
Poznámka
8. Na kartě Obecné změňte v poli Název název instalovaného balíčku na Microsoft Outlook, Word, Excel a Access 2002.
políčko Odinstalovat tuto aplikaci, jeli mimo obor správy a v části Možnosti uživatelského rozhraní instalace políčko Základní.
instalace produktů, pokud nebyl produkt nainstalován v souladu se zásadami skupiny. Políčko Zpřístupnit tuto 32bitovou X86 verzi
... se naší sítě sice netýká, ale ponechte jej zaškrtnuté. Dialogové okno Upřesnit možnosti zavedení zavřete klepnutím na tlačítko OK.
11. Poté na kartě Změny klepněte na tlačítko Přidat a v dialogovém okně Otevřít poklepejte na soubor
AccessOutlookWordExcel.MST. Cesta k souboru se zobrazí v okně Změny a musí být síťová! Poté klepněte na tlačítko OK.
Aplikace existujícího objektu oddělení Marketing
Marketing na tom bude z hlediska instalace softwaru stejně jako oddělení Obchod. Není tak nutné vytvářet další objekty, bude pouze nutné
vytvořit propojení organizační jednotky Vedení s existujícím objektem zásad skupiny. Postupujte podle následujících pokynů:
1 V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Direktory jako správci.
2. Pravým tlačítkem myši klepněte na organizační jednotku Marketing a zobrazte dialogové okno vlastností.
3. Na kartě Zásady skupiny klepněte na tlačítko Přidat. Zobrazí se dialogové okno Přidat propojení objektu zásad skupiny. Klepněte
na kartu Vše, označte objekt Instalace Outlook, Word a Excel 2002 - přiřazení a poté klepněte na tlačítko OK.
Obrázek 18.18
Propojení existující zásady skupiny s organizační jednotkou
4. V dialogovém okně Vedení — vlastnosti klepněte na tlačítko Zavřít.
Aplikace objektu pro instalaci aplikace Outlook
Aplikaci Outlook je třeba nainstalovat všem ostatním uživatelům, kteří ji ke své práci potřebují. Protože se netýká oddělení Sklad, zůstává
jediným oddělením, které nemá instalované žádné aplikace, oddělení IT. Proveďte tedy propojení objektu instalace aplikace Outlook s
organizační jednotkou IT.
1. V počítači PC001 spusťte nástroj Uživatelé a počítače služby Active Directory jako správci.
2. Pravým tlačítkem myši klepněte na organizační jednotku IT a zobrazte dialogové okno vlastností.
3. Na kartě Zásady skupiny klepněte na tlačítko Přidat. Zobrazí se dialogové okno Přidat propojení objektu zásad skupiny. Klepněte
na kartu Vše, označte objekt Instalace Outlook 2002 a poté klepněte na tlačítko OK.
4. Dialogové okno vlastností organizační jednotky zavřete klepnutím na tlačítko Zavřít.
Instalace veškerých naplánovaných aplikací pro jednotlivá oddělení je připravena. Nyní je na řadě ověření.
223
Ověření instalací
Z pohledu přípravy prostředí a nutné konfigurace jsme v předchozích hodech provedli všechny nutné kroky. Vše ostatní je nyní v rukou
technologií, nejvíce samozřejmě v rukou technologie IntelliMirror, konkrétně její části Zásady skupiny. Instalaci aplikací ověříme postupně - od
„nejnižší konfigurace po nejvyšší".
Ověření instalace aplikace Outlook 2002
( (věření instalace této aplikace ověříme sami na sobě - na uživateli ITSprával.
1. Přihlaste se k počítači PC001 jako uživatel ITSprával.
2.
Při přihlašovacím procesu si můžete na obrazovce všimnout dialogu instalace softwaru.
Tento dialog bude zobrazen velmi krátkou dobu, neboť nedochází k opravdové instalaci softwaru, ale pouze k přípravě počítače a úpravě
Nabídky Start.
Obrázek 18.19
Instalace softwaru během přihlašování uživatele.
3. V Nabídce Start klepněte na položku Všechny programy a všimněte si zástupce aplikace Microsoft Outlook.
4. Instalaci aplikace zatím neprovádějte.
Ověření instalace pro oddělení Obchod
1. Přihlaste se k počítači PC001 jako uživatel obchodního oddělení (například Obchod4).
2. V Nabídce Start klepněte na položku Všechny programy a všimněte si zástupců aplikací Microsoft Word, Excel a Outlook.
3. Klepněte na položku Microsoft Excel. Provede se instalace aplikace, která by neměla trvat déle než pár minut, na jejímž konci budete
požádáni o zadání svého jména a o iniciály. Poté se aplikace Microsoft Excel spustí.
4. V nabídce Nápověda klepněte na položku Nápověda pro Microsoft Excel. Zobrazí se informace, že nápověda ještě není nainstalovaná s
dotazem, zda ji chcete nainstalovat. Klepněte na tlačítko Ano. Po instalaci se nápověda zobrazí.
5. Ověřte funkčnost aplikace a poté ji zavřete.
Ověření instalace pro oddělení Sklad
Předtím, než budeme moci ověřit funkčnost instalace aplikace Microsoft Word pro oddělení Sklad, bude nutné upravit omezení definovaná v
předchozích zásadách. Oddělení Sklad má totiž odepřen přístup k oknu Ovládací panely.
Toto omezení je nutné zrušit; protože však není dobré ponechat těmto uživatelům nástroje, které nepotřebují, doporučuji definovat pouze
přístup k panelu Přidat nebo odebrat programy (viz analogie s konfigurací omezení pro oddělení Marketing). Po úpravě omezujících nastavení
můžete pokračovat podle následujících pokynů:
1. Přihlaste se k počítači PC001 jako uživatel oddělení Sklad (například Sklad1).
2. V Nabídce Start klepněte na položku Všechny programy a všimněte si, že neobsahuje žádné zástupce aplikací sady Office přesto, že
předtím byla do počítače nainstalovaná aplikace Excel.
3. Otevřete okno Ovládací panely a poté poklepejte na panel Přidat nebo odebrat programy
4. V levé části okna Přidat nebo odebrat programy klepněte na položku Přidat nové programy
5. Zobrazí se možnost nainstalovat aplikaci Microsoft Word 2002 (viz obrázek 18.20)
224
Obrázek 18.20 Možnost instalace publikovaných aplikaci
6. Klepněte na tlačítko Přidat. Spustí se instalace a zobrazí se informace o jejím dokončení. Poté bude k dispozici zástupce v Nabídce Start,
kterého můžete využít kespuštění aplikace.
7: Prověřte funkčnost aplikace a poté ji zavřete. 8. Odhlaste se od počítače PC001.
Ověření instalace pro oddělení vedení
1. Přihlaste se k počítači PC001 jako uživatel obchodního oddělení (například Vedeni1).
2. V Nabídce Start klepněte na položku Všechny programy a všimněte si zástupců aplikací Microsoft Access, Word, Excel a Outlook.
3. Spusťte libovolnou aplikaci, prověřte její funkci a poté ji zavřete.
Nyní ověříme, jak vypadá odinstalování aplikací
l. V okně Ovládací panely nyní poklepejte na položku Přidat nebo odebrat programy.
2. Klepněte na položku Microsoft Outlook, Word, Excel a Access 2002 a poté klepněte na tlačítko Odebrat. Možná byste to nečekali,
ale proběhne úplné odinstalování aplikací. V nabídce Start však zůstávají zástupci, stejně tak po novém otevření okna Přidat nebo
odebrat programy znovu uvidíte možnost jejich odinstalování.
3. Protože je instalace těchto aplikací v rukou správců domény, nemohou se jich uživatelé nijak zbavit.
4. Odhlaste se od počítače.
Správa aplikací sady Office XP v prostředí domény
Při vytváření transformačních souborů pro jednotlivé instalační sady byla v jednom dialogovém okně průvodce CIW možnost nakonfigurovat
nastavení daných aplikací. Pokud si vzpomenete, ponechali jsme toto okno ve výchozím stavu - nic jsme nekonfigurovali. Ono by to totiž
nemělo ani moc smysl.
Protože se jedná o výchozí nastavení po instalaci, platilo by do té doby, než si to uživatel změní. A to udělá každý z uživatelů dříve nebo později.
Jedinou šancí je tato nastavení nakonfigurovat, sjednotit je v celé firmě (proč by měl od každého člověka z firmy odcházet e-mail s jiným
vzhledem?) a zajistit, aby nikdo nemohl žádné nastavení změnit.
Takovou situaci ale už přece znáte - stejným způsobem přece pracují Zásady skupiny. Tudy cesta rozhodně vede.
Každá zásada v objektu skupiny je jen konkrétní nastavení „někde" v systému. Z toho většina z nich je nastavení konkrétního klíče v registru.
Na tomto principu je založena také rozšiřitelnost objektů. Pokud tedy budete znát strukturu souborů ADM, které objekty zásad skupiny tvoří a
funkce jednotlivých klíčů v registru odpovídající dané aplikaci, můžete si definovat své vlastní zásady skupiny.
Pro rozšířené zásady skupiny nemusíme naštěstí chodit nijak daleko - máme je v tuto chvíli v počítači PC001 (případně v jiném), do kterého
jsme nainstalovali nástroje sady Office XP Resource Kit. Přesněji řečeno ve složce WINDOWS/Inf.
Stačí je tedy vzít, zkopírovat do stejného umístění na všechny řadiče domény a podle následujících pokynů upravit objekt zásad skupiny:
2. Spusťte nástroj Uživatelé a počítače služby Active Directory a na některé úrovni vytvořte nový objekt zásad skupiny (můžete jej
například nazvat Konfigurace Office XP).
3. V části Konfigurace uživatele klepněte pravým tlačítkem myši na položku Šablony pro správu a v místní nabídce poté klepněte na
příkaz Přidat nebo odebrat šablony.
4. V dialogovém okně Přidat nebo odebrat šablony vidíte všechny soubory tvořící aktuálně objekt zásad skupiny. Klepněte na tlačítko
Přidat, vyberte příslušnou šablonu a poté klepněte na tlačítko Otevřít.
K dispozici jsou následující šablony:
Název souboru šablony
ACCESSIOADM
Konfigurace nastavení pro
Microsoft Access 2002
225
EXCEL10.ADM
Microsoft Excel 2002
FP10. ADM
Microsoft FrontPage 2002
GAL10.ADM
Microsoft Office XP Clip Organizer
OFFICE10.ADM
Společná nastavení aplikací sady Microsoft Office XP
OUTLK10.ADM
Microsoft Outlook 2002
PPT10.ADM
Microsoft PowerPoint 2002
PUB10. ADM
Microsoft Publisher 2002
WORD10.ADM
Microsoft Word 2002
Tabulka 18.3 Šablony pro správu aplikací sady Office XP
Objekt zásad skupiny může potom v části Konfigurace uživatele\Šablony pro správu vypadat například následovně.
Obrázek 18.21 Část objektu zásad skupiny
týkající se správy prostředí Office XP
Nutno dodat, že zásady pro aplikace sady Office XP jsou v anglickém jazyce, takže orientace v prostředí chvilku trvá. Pro správce to však
není nic nepřekonatelného.
Další informace k instalaci aplikací pomocí zásad skupiny
Instalace softwaru je jednou z velmi zajímavých funkcí v systémech Windows 2000/XP/ ] 2003. Ačkoli je součástí zásad skupiny, nelze ji
používat k instalaci softwaru v místních počítačích, ale je funkční pouze v prostředí domény Active Directory.
Pomocí této funkce lze řešit hned několik potíží, se kterými se správci setkávali dříve:
♦
♦
♦
♦
♦
Definice instalace je velmi rychlá
Instalace je automatická
Nainstalovat balíček může běžný uživatel podle potřeby. Instalační služba systému Windows, která instalaci softwaru provádí, je v
místním počítači spuštěna pod účtem LocalSystem, pod kterým také instalaci provádí.
Správci mají přehled o tom, kdo daný software může instalovat a používat.
Správci mohou možnost instalace aplikací kdykoli odebrat.
Pro úspěšné nasazení a využívání této funkce je vhodné mít k dispozici ještě další informace.
Odebrání balíčku aplikací
Jestliže chcete odebrat možnost instalace aplikací (například některé organizační jednotce), provedete to v objektu zásad skupiny takto:
1. Na balíček klepněte pravým tlačítkem myši a v části Všechny úkoly klepněte na příkaz Odebrat. Zobrazí se dialogové okno Odebrat
software, ve kterém máte dvě možnosti (viz obrázek 18.22).
226
Obrázek 18.22
Možnosti odebrání softwaru
První z nich (Okamžitě odinstalovat aplikaci z počítačů a profilů uživatelů) zabrání další instalaci softwaru (uživatelům, kteří aplikace
dosud nenainstalovali, se ne zobrazí v Nabídce Start) a stávajícím uživatelům aplikace se odebere při přištím přihlášení. Pokud tedy
chcete zajistit co nejrychlejší odebrání nainstalovaných aplikací, je třeba využít tuto možnost a přimět uživatele k okamžitému
restartování počítačů (pokud by byl software přiřazen počítačům) nebo k odhlášení a přihlášení.
Druhá možnost zabrání pouze novým instalacím. Uživatelé, kteří si aplikaci (aplikace) již nainstalovali, je budou moci používat i
nadále. Touto možností však ztrácíte správu aplikací v počítačích uživatelů.
Aktualizace aplikace (například nová knihovna DLL)
Pokud máte v nainstalované aplikaci chybu a její oprava spočívá v opravě jediného souboru (například knihovny DLL), je třeba od dodavatele
softwaru získat tento opravený soubor a novou verzi souboru MSI. Poté je postup následující:
1. Soubory DLL a MSI zkopírujte do instalační složky (přepište původní verze).
2. Otevřete objekt se zásadami skupiny a přejděte na instalovaný balíček. Klepněte na něj pravým tlačítkem myši a v části Všechny úkoly
klepněte na příkaz Znovu zavést aplikaci.
Další možnosti aktualizace s využitím souborů MSP včetně praktických příkladů naleznete v kapitole 20, „Instalujeme aktualizace Service
Pack".
Balíčky MSI se umí samy opravit
Pokud uživatel poškodí instalaci aplikace, ta se při příštím spuštění sama opraví a poškozené soubory automaticky přeinstaluje.
Nutno dodat, že uživatelé moc možností k poškození instalace v systémech Windows XP Professional nemají. Přesto se jedná o velmi užitečnou
vlastnost, kterou můžete ověřit jako správci, když odstraníte některý z důležitých souborů instalace (například soubor OUTLOOK.EXE).
Publikování aplikací
Publikování aplikací se využívá ve větších organizacích možná ještě častěji než přiřazení. Pokud má organizace spoustu aplikací, které chce dát
uživatelům k dispozici, provede jejich publikaci. Uživatelům nezaberou místo v Nabídce Start, ale mohou si je kdykoli nainstalovat.
Taková situace ale může být pro uživatele nepřehledná. Položte si jednoduchou otázku. Kdo z uživatelů přesně ví, na co která aplikace (podle
názvu) slouží? Vědí uživatelé, k čemu je aplikace Adobe Acrobat Reader? Nebo ACDSee? Znají rozdíl mezi aplikacemi Adobe Photoshop a
Adobe Illustrator? Budou vědět, jakou aplikaci si mají nainstalovat, když li chtějí upravit některé z fotografii?
Na tyto stavy je v zásadách skupiny pamatováno, takže můžete uživatelům vytvořit kategorie a jednotlivé aplikace do nich rozdělit. Uživatelé se
poté mohou přepínat mezi jednotlivými kategoriemi v okně Přidat nebo odebrat programy, přičemž seznam publikovaných aplikací se mění
podle aktuálního výběru.
Pokud chcete definovat kategorie, postupujte podle následujících pokynů:
1. Přihlaste se k počítači jako správci.
2. Otevřete objekt zásad skupiny, který se aplikuje na příslušné uživatele.
3. Přejděte do složky Nastavení uživatele\Nastavení softwaru a pravým tlačítkem myši klepněte na položku Instalace softwaru. Zobrazí
se dialogové okno lnstalace softwaru - vlastnosti.
4. Na kartě Kategorie klepněte na tlačítko Přidat a zadejte název kategorie. Postup opakujte pro všechny kategorie, které chcete vytvořit.
227
Obrázek 18.23
Definování kategorií
Pokud chcete instalační balíček přiřadit do kategorií, zobrazte dialogové okno jeho vlastností a na kartě Kategorie vyberte všechny
kategorie, do kterých má aplikace spadat.
Obrázek 18.24
Přiřazení aplikace do kategorií
228
Obrázek 18.25
Možnosti uživatelů při používání kategorií
Možnosti uživatelů vybírat aplikace podle kategorií ukazuje obrázek 18.25.
Upgrade pomocí zásad skupiny
Zásady skupiny také umožňují provedení upgradu (inovace) předchozí verze. Požadavkem v takové situaci je, aby i nová verze
softwaru byla ve formátu instalačního balíčku MSI.
Existují dvě možnosti upgradu
♦ Povinný V okamžiku, kdy uživatel spustí existující aplikace, provede se automaticky její upgrade.
♦ Nepovinný Uživatel může zvolit, kterou verzi aplikace bude používat. Jakmile však spustí novou verzi, provede se
automaticky upgrade a poté již původní verze nebude k dispozici.
Nasazení instalace softwaru v praxi
Instalace softwaru je část objektu zásad skupiny, která po sobě může v klientských počítačích zanechat nejvíce stop, v některých
případech velmi zásadních. Proto je třeba při tomto způsobu instalace postupovat velmi obezřetně. Nasazení by se dalo shrnout do
několika bodů.
Plán nasazení
V této fázi je třeba definovat objekty zásad skupiny, jejich aplikaci do stávající struktury, složky pro administrátorské instalace,
konfiguraci jejich oprávnění přístupu a prostudoval dokumentaci k aplikacím.
Testování instalace
Svuj záměr s instalací softwaru je třeba vyzkoušet mimo provozní prostředí. Vytvořte si testovací laboratoř odpovídající konfiguraci
doménového prostředí. Dejte pozor na to, aby i klientský počítač měl pokud možno stejnou konfiguraci jako počítače v provozním
prostředí
Při testování instalace používejte běžné uživatelské účty. V praxi jsem se již několikrát se tkal s případem, kdy testování proběhlo
bez potíží, ale nasazení do ostrého prostředí se bez nich neobešlo. Jediným rozdílem bylo, že při testování správci nepoužívali běžné doménové účty, ale pouze účty s oprávněními správce.
V případě neočekávaného chování použijte v klientských počítačích nástroj Výsledná sada zásad, který umožňuje podrobně zobrazit postup
aplikace zásad včetně chyb.
Pilotní fáze
Po úspěšném laboratorním testování nasaďte aplikace pilotnímu vzorku uživatelů. Abyste kvůli této fázi nemuseli měnit strukturu organizačních
jednotek, definujte objekty s instalacemi na úrovni domény a pro jejich aplikaci použijte princip filtrování.
Pilotní vzorek uživatelů se pokuste sestavit tak, aby pokud možno zahrnoval celé spektrum uživatelů (různá oddělení, znalosti i konfigurace
počítačů). Vzpomeňte jen v našem případě na publikování aplikace uživatelům ve skladu, kteří neměli jak je nainstalovat, neboť postrádali
přístup do ovládacího panelu Přidat nebo odebrat programy.
Korekce plánu
Na základě připomínek uživatelů a vlastních dojmů z nasazení aplikací v pilotním prostředí proveďte případné korekce v plánu a poté opakujte
fázi pilotu (bude-li to nutné).
Postupné nasazení
Instalaci aplikací nasazujte vždy postupně. I v případě nasazení objektu zásad skupin na úrovni domény použijte nejprve princip filtrování,
abyste tak omezili aplikaci na část uživatelů. Nepokračujte dále, než budete mít jistotu o bezchybné funkci.
Dokumentace
Celý plán a výslednou infrastrukturu podrobně zdokumentujte. Tyto informace se budou hodit při jakýchkoli potížích, zálohování, případně
229
obnovení infrastruktury instalačních složek v jiném počítači.
Používejte rozum
Jestliže nasadíte instalaci do provozního prostředí sestávajícího z 1 000 počítačů a například ve 3 počítačích se instalace nezdaří, nehledejte
problémy v zásadách skupiny. Problémy jsou v takovém případě v oněch třech počítačích. Občas je až neuvěřitelné, jakou energii, čas a
prostředky jsou správci a organizace schopni investovat do podobných situací za účelem vyřešení zcela nepodstatných problémů.
Závěr
Jsou různé možnosti, pomocí kterých lze instalovat aplikace. Nástroj Zásady skupiny v doménách se systémy Windows 2000/2003 umožňuje
automaticky instalovat software pro jednotlivé počítače či uživatele. Tento nástroj disponuje různými možnostmi konfigurace a pro jeho uvedení
v praxi nepotřebujete žádný další software. Jediné, co musí být splněno, je formát instalované aplikace - instalační balíček MSI.
Aplikace lze přiřazovat počítačům nebo uživatelům. V prvním případě můžete říci, že v daném počítači bude daná aplikace za všech okolností,
ať se k němu přihlásí jakýkoli uživatel. Ve druhém případě cestuje aplikace spolu s uživatelem a bude k dispozici v každém počítači, ke kterému
se uživatel přihlásí (týká se počítačů se systémy Windows XI' Professional/Windows 2000). Po přiřazení aplikace se v Nabídce Start zobrazí
zástupce dané aplikace, k instalaci aplikace však dojde až po jejím spuštění uživatelem (klepnuli na zástupce, případně poklepání na přidružený
soubor). Okamžitou instalaci (tedy instalaci ihned po přihlášení uživatele) je možné také povolit (pouze v doménách se systémem Windows
Server 2003), nejedná se ale o výchozí nastavení.
Aplikace lze také publikovat uživatelům. V takovém případě se v Nabídce Start nevytvoří zástupci, ale uživatelé mohou publikované aplikace
instalovat pomocí ovládacího panelu Přidat nebo odebrat programy. Po instalaci se v Nabídce Start zobrazí zástupce aplikace. Pokud existuje
větší množství publikovaných aplikací a uživatelé je nerozeznají podle názvů, je možné definovat kategorie a aplikace do nich rozřadit.
Uživatelé si potom podle kategorií mohou vybírat.
Zásady skupiny umožňují mít úplný přehled o tom, kde všude je aplikace nainstalovaná. Jestliže se uživatel dostane mimo rozsah aplikace
(například jeho účet se přesune do jiné organizační jednotky), aplikace se mu automaticky odinstaluje a může se nainstalovat jiná aplikace
příslušející novému umístění uživatele. Správce má možnost aplikaci kdykoli odebrat a zajistit její automatické odinstalování při dalším
přihlášení uživatele.
Větší část možností byla v této kapitole prezentována na konkrétní ukázce instalace aplikací sady Office XP. Použili jsme jak přiřazení, tak
publikování softwaru. Navíc byl v tom-to procesu použit nástroj Custom Installation Wizard, který je součástí sady nástroj Office XP Resource
Kit a bez něhož se tento typ instalace nedá definovat. Všechny aplikace sady Office XP je pak možné po importování šablon spravovat pomocí
zásad skupiny. Při nasazování objektů se zásadami instalace do provozního prostředí postupujte vždy Velmi obezřetně. V případě neúspěchu
může mít neúplná instalace v klientských počítačích velký vliv na jejich funkčnost.
Stav sítě
Do sítě byly v této kapitole nainstalované první aplikace - všichni mají k dispozici aplikaci Microsoft Outlook 2002, uživatelé z oddělení
Sklad navíc aplikaci Microsoft Word 2002, oddělení Obchod a Marketing navíc aplikace Microsoft Excel 2002 a členové vedeni navíc
aplikaci Microsoft Access 2002.
Na serveru SRVR001 vznikla za tímto účelem sdílená instalační složka Instalace aplikaci, do počítače PC001 byly nainstalované nástroje sady
Office XP Resource Kit a v doméně Active Directory vznikly 4 nové objekty zásad skupiny týkající se instalace.
Objekt zásad skupiny pro organizační jednotku Sklad (Další omezení Sklad) byl změněn tuk, aby v Ovládacích panelech zpřístupnil pouze
panel Přidat nebo odebrat programy.
Tip
Projděte všechny objekty zásad skupiny a v případě, že vůbec nevyužívají část Konfigurace počítače či Konfigurace uživatele,
zakažte aplikaci této části. Spouštění počítačů a přihlašování uživatelů bude rychlejší.
230
Přibývají další uživatelé...
Jednou k tomu dojít musí. Začnou přibývat noví uživatelé a vám další povinnosti. Dobře, že pouze jednorázové.
Jednou z vašich povinností je vybavit uživatele počítačem, ve kterém budou mít připravenou instalaci operačního systému včetně aplikací, jež
potřebují pro svou práci.
V předchozí kapitole jsme si ukázali, jakým způsobem se dají - poměrně jednoduše - instalovat aplikace sady Microsoft Office XP. Nyní má
každý uživatel k dispozici vše, co k práci potřebuje. Co ale operační systém? Budeme muset neustále používat instalační disk CD-ROM spolu
s dopředu připraveným souborem winntsif nebo se po ohlédneme po ještě jednodušším řešení, které by nám práci dále usnadnilo? A co další
aplikace, které uživatelé potřebují, ale nelze je instalovat pomocí zásad skupiny, neboť se nedodávají ve formě instalačního balíčku MSI?
Pro tyto případy (jednoduchou instalaci operačního systému, případně instalaci dalších non-MSI aplikací) existuje v systému Windows Server
2003 speciální typ instalace.
... a je třeba jim nainstalovat operační systém a aplikace
V předchozí kapitole jsme do naší sítě nainstalovali poměrně komplikovanou sadu aplikací Microsoft Office XP ještě k tomu tak, jak budou
kteří uživatelé potřebovat. S nadhledem se jednalo o elegantní řešení. Uživatelé mají k dispozici aplikace, pokud si instalaci poškodí, sama se
opraví, a vy máte jako správci nevídaný klid.
Z rovnováhy vás ale může vyvést jedna jediná aplikace, kterou je nutné instalovat spuštěním nástroje setup.exe. Kolem toho budete mít práce až
dost. Znovu obcházet Všechny počítače, instalovat pod účtem správce a řešit potíže uživatelů, kteří si instalaci poškodí. Alespoň ta instalace by
mohla být jednodušší.
Podobné je to s operačním systémem. Pokud přijde do firmy nový počítač, putuje napřed k vám, vy do něj nainstalujete operační systém a
předáte jej uživateli. Proč to nevymyslet nějak jednodušeji - že by například tento počítač šel rovnou k uživateli a nainstaloval se kompletně u
něj? A co spojit instalaci operačního systému s instalací aplikací, které ne-lze nainstalovat pomocí zásad skupiny? To by bylo vůbec
nejjednodušší!
Možná se budete divit, ale všechno je možné zařídit s využitím systémových prostředků, To znamená žádné další náklady, žádné další znalosti o
externích produktech, žádné další instalace nástrojů od jiných výrobců. Pouze systém Windows Server 2003!
Typ uvedené instalace má v systému Windows Server 2003 svůj název - Vzdálená instalace.
Služba vzdálená instalace
Služba Vzdálená instalace má za cíl maximálně zjednodušit správcům výchozí instalace počítačů. Zároveň respektuje aktuální stav ve větších
sítích, kdy se pro uživatele nakupují počítače bez disketových jednotek a jednotek CD-ROM. Je velmi silným nástrojem, za to ale také něco
vyžaduje.
Požadavky služby Vzdálená instalace
Abyste mohli službu Vzdálená instalace používat, je nutné splnit následující požadavky:
♦
♦
♦
Active Directory Službu Vzdálená instalace můžete používat pouze v prostředí domény Active Directory. V sítích peer-to-peer tak na
ni můžete v klidu zapomenoul
DNS V síti musí být aktivní služba DNS. Ačkoli se toto uvádí všude jako zvláštní požadavek, je jasné, že bez služby DNS nemůže
doména Active Directory pracovati
DHCP V síti musí existovat server DHCP a musí být nakonfigurován na pronájem adres IP klientských počítačů.
Ani klientské počítače zde nezůstávají mimo. Pro to, abyste byli schopni tento typ instalace použít, musí klientský počítač splňovat požadavky
technologie PXE (Preboot eXecu tion Environment). Jinými slovy musí být vybaveny spouštěcí pamětí boot ROM, pomocí které se spustí ze
sítě.
Z pohledu klientského počítače je postup následující: Po svém zapnutí požádá server DHCP o pronájem adresy IP. Poté se připojí k serveru se
službou Vzdálená instalace a uži vatele požádá o zadání jména a hesla pro ověření. Po úspěšném ověření načte ze serveru se službou Vzdálená
instalace bitovou kopii i n st a l a c e (nebo nabídne uživateli výběr z více kopií) a tu nainstaluje.
Poznámka
Uvedený postup je velmi zjednodušen tak, aby byl snadno pochopitelný.
Pokud klientské počítače nesplňují technologii PXE, ještě to neznamená, že je nelze po užít. Služba Vzdálená instalace obsahuje nástroj rbfg.exe,
pomocí kterého lze vytvořit spouštěcí disketu pro klientský počítač.
231
Příprava prostředí pro službu Vzdálená instalace
Podíváte-li se na požadavky výše, zjistíte, že všechny jsou již v naší síti k dispozici. Přesto je třeba provést ještě celou řadu kroků, než bude
možné začít službu Vzdálená instalace využívat. Jedná se o následující:
♦
♦
♦
Instalace služby Vzdálená instalace do systému Služba Vzdálená instalace je jednou ze součástí operačního systému Windows Server
2003.
Konfigurace služby Vzdálená instalace Jedná se o nejdůležitější část celé přípravy služby Vzdálená instalace. Mimo jiné zahrnuje také
přípravu základní bitové kopie operačního systému.
Konfigurace služby Active Directory Ve vlastnostech serveru se službou Vzdálená instalace je třeba nakonfigurovat její chování.
Mimo jiné zde můžete konfigurovat i zabezpečení této služby.
Služba Vzdálená instalace má ještě jeden velmi důležitý požadavek. Bitové kopie pro instalaci klientských počítačů musí být umístěné v jiném
oddílu, než operační systém. Navíc musí být tento oddíl zformátován systémem NTFS. Právě toto byl ten důvod, proč jsme při instalaci serveru
nevyužili celou kapacitu disku.
Poznámka
Pokud na fyzickém disku v serveru již nemáte místo pro vytvoření dalšího oddílu, budete do serveru muset přidat další fyzický
disk.
instalace služby vzdálená instalace
Během této instalace se ze serveru stane Server vzdálené instalace. On bude tím, ze kterého budou klienti instalovat operační systém, případně
aplikace.
Instalace serveru služby Vzdálená instalace v sobě zahrnuje také instalaci bitové kopie operačního systému. Proto budete v jejím průběhu
požádáni o zadání cesty k instalačním sou borům příslušného operačního systému. Poté můžete zadat cestu k jednotce CD-ROM nebo ke sdílené
složce v síti, ve které máte instalační soubory operačního systému k dis pozici.
Instalace bitové kopie samotného systému se musí provést, jinak nebude konfigurace ser veru úspěšná. Zároveň je nutné nainstalovat ten
operační systém, který chcete později instalovat do klientských počítačů. Služba Vzdálená instalace v systému Windows Serve) 2003 umožňuje
instalaci následujících operačních systémů:
♦
♦
♦
♦
♦
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows XP Professional
Řada systémů Windows Server 2003
Jedná se o obrovské vylepšení oproti stejné službě v systému Windows 2000 Server, kdy bylo tímto způsobem možné instalovat pouze systémy
Windows 2000 Professional.
Protože je však naše síť relativně malá a předpokládáme využití služby Vzdálená instalace
pouze pro klientské počítače, připravíme prostředí pouze na instalaci systému Windows XP Professional.
instalace a konfigurace služby Vzdálená Instalace
1.
2.
3.
4.
5.
6.
Ověřte, že na disku máte kromě oddílu C: ještě další oddíl zformátovaný NTFS. Pokud ne, vytvořte jej.
V okně Ovládací panely poklepejte na položku Přidat nebo odebrat programy.
V okně Přidat nebo odebrat programy klepněte na položku Přidat nebo odebrat součásti systému.
V dialogovém okně Průvodce součástmi Windows zaškrtněte políčko Služba vzdálené instalace a poté klepněte na tlačítko Další.
Systém Windows Server 2003 provede instalaci požadované služby. Během instalace budete požádáni o vložení instalačního disku CDROM.
7. V dialogovém okně Dokončení Průvodce součástmi systému Windows klepněte na tlačítko Dokončit.
8. Restartujte počítač.
9. Po spuštění počítače se přihlaste jako správci.
10. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte příkaz r i . s e t u p . Poté klepněte na tlačítko OK. Spustí se
Průvodce instalací služby Vzdálené instalace. Průvodce spustíte klepnutím na tlačítko Další.
232
Obrázek 19.1
Průvodce službou Vzdálená instalace
11. V dialogovém okně Umístění složky vzdálené instalace ponechte výchozí cestu D:\RemoteInstall a klepněte na tlačítko Další.
12. V dialogovém okně Počáteční nastavení ponechte výchozí nastavení (nezaškrtnutá políčka) a klepněte na tlačítko Další.
13. Do jednotky CD-ROM serveru nyní vložte instalační disk CD-ROM se systémem Windows XP Professional.
14.
V dialogovém okně Umístění zdrojových souborů instalace zadejte cestu k instalačním souborům systému Windows na disku CDROM (případně klepněte na tlačítko Procházet a přejděte na složku). Poté klepněte na tlačítko Další.
Obrázek 19.2
Cesta k instalačním souborům systému Windows XP
Professional
15. V dialogovém okně Název složky bitové kopie instalace systému Windows zadejte název složky, do které se uloží bitová kopie instalace
samotného systému Windows XP Professional (například WXPPRO). Poté klepněte na tlačítko Další.
Obrázek 19.3
Název složky pro uloženi bitové kopie systému Windows XP
Professional
233
16. V dialogovém okně Krátký popis a text nápovědy ponechte výchozí nastavení a klepněte na tlačítko Další. Jedná se o nastavení, která se
zobrazí na úvodní obrazovce při vzdálené instalaci systému do klientského počítače.
17. V dialogovém okně Souhrn nastavení si prohlédněte zadané parametry a poté klepněte na tlačítko Dokončit. Pokud chcete jakékoli
parametry změnit, vraťte se pomocí tlačítka Zpět.
Obrázek 19.4
Souhrn nastavení pro službu Vzdálená instalace
18. Nyní se provede konfigurace služby Vzdálená instalace a instalace bitové kopie systému Windows XP Professional. Protože se kopíruje
obsah všech instalačních souborů systému Windows XP Professional, bude celý tento krok trvat několik minut.
Obrázek 19.5
Konfigurace služby Vzdálená instalace a instalace bitové kopie
systému Windows XP Professional
19. V dialogovém okně s informacemi o dokončení instalace klepněte na tlačítko Hotovo.
Obrázek 19.6
Informace o úspěšném dokončeni instalace
Nyní je server vzdálené instalace nakonfigurován tak, že obsahuje bitovou kopii operačního systému. Jak by to vypadalo v klientském počítači
po instalaci této kopie? Po spuštění počítače by došlo k instalaci aktualizace Service Pack l(a). Během přihlášeni uživatele by se podle jeho
členství v příslušné organizační jednotce přiřadily nakonfigurované aplikace sady Office a poté by se uživateli vygeneroval profil (buďto podle
výchozího, který může být umístěn ve složce NETLOGON na řadiči domény nebo podle výchozího místního). Výsledná konfigurace počítače v
síti by tak odpovídala těm současným.
234
Proto, aby mohla instalace operačního systému začít, je třeba provést ještě další konfiguraci. Prvním krokem bude povolení služby Vzdálená
instalace.
Povolení služby Vzdálená instalace
3. Klepněte na organizační jednotku Domain Controllers a poté zobrazte dialogu vé okno vlastností účtu počítače SRVR001. Všimněte si,
že po instalaci služby Vzdálená instalace zde přibyla karta Vzdálená instalace.
4. Klepněte na kartu Vzdálená instalace a zaškrtněte políčka Odpovědět klientským počítačům požadujícím službu a Neodpovídat
neznámým klientským počítačům.
Zaškrtnutím prvního políčka jsme v síti zpřístupnili možnost využívat službu Vzdálená instalace. Zaškrtnutí druhého zmíněného políčka
je velmi důležité (jedna se o nepovinné políčko) z hlediska zabezpečení. Zajišťuje, že není možné si napil klad z domova přinést počítač,
nainstalovat si do něj operační systém a zase jej od nést. Služba Vzdálená instalace bude totiž odpovídat pouze počítačům, které jsou
před spuštěním instalace v doméně známé. Jakým způsobem se to provede, si ukážeme dále.
Obrázek 19.7
Karta Vzdálená instalace dialogového okna vlastností serveru
vzdálené instalace
Poznámka
Možnost zaškrtnout tato políčka je k dispozici již během úvodní instalace služby Vzdálená instalace. V takovém okamžiku ale
není zpřístupněni služby vhodné, neboť ještě není dokončena její instalace.
Vytvoření uživatelského účtu pro instalace počítačů
Před spuštěním instalace počítače je třeba zadat jméno a heslo účtu, který instalaci umožni. V principu se jedná o účet, který má oprávnění
vytvářet v doméně účty počítačů (pro případ, že služba Vzdálená instalace bude k dispozici pro všechny počítače) nebo jenž má oprávnění spojit
instalovaný počítač s již vytvořeným účtem (v případě, že účty počítaču budou dopředu připravené).
Pro tento případ vytvořte například účet se jménem RIS (jedná se o anglickou zkratku služby Vzdálená instalace - Remote Installation Service) a
s příslušným heslem. Můžete jej vytvořit přímo v kontejneru Users. Zároveň při jeho vytváření zrušte zaškrtnutí políčka Při dalším přihlášení
musí uživatel změnit heslo.
Protože tento účet nebudeme potřebovat pro vytváření účtů počítačů v doméně, není tře ba další konfigurace.
Zabezpečení účtu RIS
Je třeba si uvědomit, že heslo k tomuto účtu bude veřejně známé, neboť je budou musel znát všichni uživatelé, kteří budou provádět úvodní
instalaci operačního systému porno a služby Vzdálená instalace. Aby pomocí něj nemohli pracovat, je třeba účet zabezpečil K dispozici je
několik možností:
♦ Učet zakázat a povolovat jej vždy pouze po dobu vzdálených instalací.
♦ Zakázat možnost místního přihlášení pomocí tohoto účtu ke klientským počítačům,
♦ Pravidelně měnit heslo účtu a seznámit s ním uživatele vždy při provádění vzdálené instalace.
Další informace k zabezpečení sítě a počítačů naleznete v kapitole 22, „Zabezpečení serveru a sítě".
Přednastavení klientských počítačů v doméně Active Directory
V souladu s naší konfigurací bude služba Vzdálená instalace odpovídat pouze známým klientským počítačům. Je tedy třeba dát jejich přítomnost
doméně ve známost.
Jak bylo uvedeno na začátku této kapitoly, mohou službu Vzdálená instalace používat pouze počítače s technologií PXE nebo počítače s
podporovaným typem síťové karty. Počítač, který je vybaven technologií PXE, má jedinečný kód GUID/UUID (používají se obě zkratky). Jedná
235
se o 16bajtové číslo, které lze zjistit na obalu počítače, na síťové kartě, v jeho dokumentaci nebo v systému BIOS. Poznáte je podle
nezaměnitelného tvaru ve formátu (921FB974-ED42-11BE-BACD-00AA0057B2231, kde každý znak je šestnáctkovým číslem. Dát doméně
Active Directory ve známost konkrétní počítač znamená spojit účel počítače s kódem GUID.
Jak ale postupovat v případě, kdy klientský počítač není vybaven spouštěcí pamětí ROM (tedy není vybaven technologií PXE)? Kód GUID se v
takovém případě vytváří z adresy MAC síťové karty a do počtu 32 znaků se zepředu doplní nulami. Například počítač s adresou MAC 02-50-5642-BF-8B bude mít kód GUID (00000000-0000-0000-0000-02505642BF8B).
Otázkou tak pouze zůstává, jak potřebné kódy zjistit a jak provést jejich přidělení účtům počítačů v doméně Active Directory. Zjištění veškerých
důležitých kódů (tedy kódu GUID u počítačů s technologií PXE a adresy MAC u ostatních počítačů) je vhodné ponechat na dodavateli počítačů.
Nutno dodat, že u „lepších" dodavatelů se dnes jedná o běžnou věc a ostatní je to třeba co nejrychleji naučit. Cílem samozřejmě je, abyste mohli
počítače rovnou předat uživatelům a vyhnuli se tak nutnosti jejich spouštění (která s sebou nese rozbalení počítačů, jejich připojení, zabalení a
doručení k uživatelům), tedy činnosti, jež pro správce domény jistě nepatří mezi ty vyhledávané.
Přednastavení počítačů v doméně Active Directory
Poté, co od dodavatele obdržíte seznam nových počítačů s potřebnými kódy, můžete v doméně Active Directory vytvořit jejich účty. Postupujte
podle následujících pokynu
1.
2.
3.
4.
Pravým tlačítkem myši klepněte na organizační jednotku Počítače a v místní na bídce v části Nový klepněte na položku Počítač.
Do pole Název počítače zadejte název počítače (v souladu se standardy organi zace), v poli Uživatel nebo skupina změňte výchozí
skupinu na uživatelský ucel RIS (vytvořen výše) a poté klepněte na tlačítko Další.
5. Zaškrtněte políčko Toto je spravovaný počítač a do pole Jedinečné ID počíta če zadejte odpovídající kód GUID (včetně složených
závorek). Klepněte na tlačíko Další.
Obrázek 19.8
Přiřazení jedinečného kódu novému počítači
6. Ponechte zaškrtnuté políčko Libovolný dostupný server pro vzdálenou instalaci a klepněte na tlačítko Další. Druhá možnost je určena
pro větší prostředí, ve kterém je více serverů pro vzdálenou instalaci a mezi nimiž je třeba rozložit zátěž od klientských počítačů.
7. Prohlédněte si zadané informace a klepněte na tlačítko Dokončit. Účet počítače je tak vytvořen a počítač s tímto jedinečným ID bude
možné instalovat pomocí služby Vzdálená instalace.
Podobným postupem je nutné vytvořit účty všech počítačů, které chcete pomocí služby Vzdálená instalace instalovat.
Automatizace instalace
Nyní si představte, že uživateli předáte jeden z počítačů, jejichž účty jste připravili v doméně Active Directory. Co se stane po jeho zapnutí?
Pokud počítač disponuje spouštěcí pamětí ROM, získá automaticky po svém zapnutí adresu IP od serveru DHCP a poté i adresu IP serveru pro
vzdálenou instalaci (pokud se tyto dva servery liší, což však není náš případ). Server pro vzdálenou instalaci ověří, zda je pro něj daný počítač
známým a pokud ano, zobrazí se y klientském počítači výzva ke stisknutí klávesy F12 pro spuštění ze sítě.
Po stisknutí klávesy F12 se ze serveru pro vzdálenou instalaci stáhne úvodní obrazovka, na které je třeba zadat jméno, heslo a název domény.
Poté se zobrazí další obrazovka s nabídkou bitových kopií, které lze do počítače instalovat. Volba, co se bude instalovat, je tak na uživateli.
Pokud je k dispozici jediná bitová kopie (otisk jediného typu instalace), nemůže se uživatel zmýlit a možná by nebylo nutné dělat žádné úpravy
tohoto chování. Proč by měl ale vůbec uživatel absolvovat tuto část, když je stejně dopředu jasné, že musí zvolit vždy Stejnou a jedinou
instalaci? To je předmětem konfigurace v další části.
Konfigurace automatického spuštění instalace
Klient si po své první komunikaci se serverem pro vzdálenou instalaci stáhne vždy soubor Startrom.com, který poté celou instalaci spustí a
provede uživatele výše uvedeným postupem. Vedle souboru Startrom.com ale existuje ještě jeden soubor s velmi podobným názvem Startrom.nl2. Ten ale pracuje trochu jinak - ihned po svém načtení do klientského počítače automaticky spustí instalaci určené bitové kopie.
Celou konfiguraci provedete podle následujících pokynů.
236
2. Přejděte do složky \\SRVR001\REMINST\OSChooser\i386.
3. Soubor Startrom.com přejmenujte na Startrom.bak a soubor Startrom.nl2 přejmenujte na Startrom.com.
Protože je na serveru pro vzdálenou instalaci pouze jediná bitová kopie, není nutné konfigurovat, která z nich se začne automaticky instalovat.
Pro to, aby uživatel nebyl zatížen ještě dalšími dotazy při konfiguraci účtu počítače, je nutné provést následující konfiguraci objektu zásad
skupiny.
1.
2.
3.
4.
Pravým tlačítkem myši klepněte na položku domény (studny.local) a v dialogu vém okně vlastností klepněte na kartu Zásady skupiny.
Přidejte nový objekt nazvaný Služba Vzdálená instalace a v něm přejděte clo složky Konfigurace uživatele\Nastavení systému
Windows\Služba vzdálené instalace a poklepejte na položku Možnosti volby v pravém okně konzoly.
5. V části Automatická instalace zaškrtněte políčko Povoleno a poté klepněte na tlačítko OK.
Obrázek 19.9
Konfigurace automatické instalace v zásadách skupiny
Poznámka
Uvedené dva postupy nejsou zaměnitelné. Každý konfiguruje něco trochu jiného a vzájemně se doplňují.
Z pohledu automatické instalace to ale ještě není vše. Zatím jsme vyřešili pouze několik možností, které se uživateli zobrazí před
vlastním spuštěním instalace bitové kopie. Dále je ale ještě nutné vyřešit otázku automatické instalace samotného systému.
Tento typ automatické instalace je velmi podobný bezobslužné instalaci systému pomocí souboru odpovědí, se kterou jsme se
seznámili v kapitole 2, „Instalujeme klientské počítače". Rozdíl zde bude pouze v názvu souboru odpovědí a jeho umístění.
Způsob vytvoření zůstává velmi podobný.
Konfigurace automatického spuštění instalace systému
2. Spusťte nástroj Správce instalace (jedná se o jeden nástroj ze souboru DEPLOY.CAB uloženého na instalačním disku CDROM se systémem Windows XP Professional nebo Windows Server 2003 ve složce Support\Tools).
3. V nástroji Správce instalace vyberte vytvoření nového souboru odpovědí pro službu vzdálené instalace (RIS) produktu
4. V dialogovém okně Interakce s uživatelem zaškrtněte položku Plně automatická instalace.
5. V dalších dialogových oknech nástroje zadejte příslušné hodnoty. Důraz je třeba dát na následující nastavení:
♦ V dialogovém okně Název počítače zaškrtněte políčko Generovat název počítače automaticky.
♦ V dialogovém okně Text souboru instalačních informací ponechte výchozí hodnoty.
6. Nástroj správce instalace vytvoří soubor odpovědí s výchozím názvem remboot.sif a uloží jej na disk.
Přidružení souboru odpovědí k bitové kopii vzdálené instalace
2. Spusťte nástroj Uživatelé a počítače služby Active Directory a zobrazte vlastni >s ti účtu počítače SRVR001.
3. Na kartě Vzdálená instalace klepněte na tlačítko Upřesnit nastavení a pole klepněte na tlačítko Bitové kopie. Zobrazí se
seznam bitových kopií daného serveru pro vzdálenou instalaci (SRVR001).
4. Klepněte na tlačítko Přidat a v dialogovém okně Nový soubor odpovědí nebo bitová kopie instalace zaškrtněte políčko
Přidružit ke stávající bitové kopli nový soubor odpovědí. Poté klepněte na tlačítko Další.
237
Obrázek 19.10
Vlastnosti služby Vzdálená instalace na serveru SRVR001
5. V dialogovém okně Zdrojový soubor odpovědí bezobslužné instalace zaškrtněte políčko Alternativní umístění a poté
Obrázek 19.11
Průvodce přidáním souboru odpovědí
6. V dialogovém okně Vyberte bitovou kopii instalace označte položku WXPPKO a klepněte na tlačítko Další.
7. V dialogovém okně Umístění souboru odpovědí zadejte do pole Cesta cestu k souboai odpovědí vytvořenému v předchozím
odstavci a uloženému pravděpo dobně na serveru SRVR001 (například \\SRVR001\c$\windist\remboot.sif) Poté klepněte na
tlačítko Další.
8. V dialogovém okně Krátký popis a text nápovědy ponechte výchozí texty (pokud neobsahují české znaky) a klepněte na tlačítko Další.
Pokud popis nebo text nápovědy obsahují české znaky, je nutné je změnit.
9. Prohlédněte si informace v dialogovém okně Souhrn nastavení a poté klepněte na tlačítko Dokončit.
Obrázek 19.12
Souhrn nastavení přiřazení souboru odpovědí existující bitové kopii
instalace
238
l0. Klepnutím na tlačítko OK zavřete všechna dialogová okna. Na serveru SRVR001 můžete odstranit složku se souborem odpovědí.
Bohužel, tímto krokem (samozřejmě nutným) se narušila automatizace úvodní části instalace. Vše je sice nastaveno na automatické zavedení, ale
nyní jsou k dispozici dvě možnosti instalace. Služba Vzdálená instalace si samozřejmě neumí automaticky vybrat, takže je nutné to
nakonfigurovat ručně.
Úprava konfigurace automatického spuštění instalace systému
Pokud existuje jediná bitová kopie instalace a dva či více souborů odpovědí, které ji příslušně modifikují, a vy chcete zajistit, že se automaticky
spustí instalace konkrétní kombinace bitové kopie a souboru odpovědí, je nutné zabránit uživatelům v přístupu ke všem ostatním souborům
odpovědí.
Ačkoli by se mohlo zdát, že se jedná o běžné nastavení oprávnění na soubor (na serveru pro vzdálenou instalaci), není tomu tak a konfiguraci
oprávnění je nutné provést ve vlastnostech účtu serveru v doméně Active Directory. Postupujte podle následujících po kynu:
3. Na kartě Vzdálená instalace klepněte na tlačítko Upřesnit nastavení a poté klepněte na tlačítko Bitové kopie. Zobrazí se seznam
bitových kopií daného serveru pro vzdálenou instalaci (SRVR001).
4. Označte původní bitovou kopii (bez souboru odpovědí zajišťujícího bezobslužnou instalaci) označenou jako Microsoft Windows XP
Professional a poté klepněte na tlačítko Vlastnosti.
Obrázek 19.13
Dialogové okno vlastností bitové kopie
5. Ve spodní části dialogového okna Vlastnosti bitové kopie klepněte na tlačítko Oprávnění. Zobrazí se vlastnosti souboru odpovědí.
6. Klepněte na kartu Zabezpečení. Po klepnutí na kartu Upřesnit odeberte dědičnost oprávnění a poté ze seznamu řízení přístupu odeberte
skupinu Authentica-ted Users.
7. Postupně klepněte na tlačítko OK, Storno, OK a OK.
Poznámka
Dalším řešením by bylo odebrání původní kombinace bitové kopie a výchozího souboru odpovědí. V tomto případě by se jednalo
o jednodušší řešení. Výše uvedený postup však ukazuje na možnosti služby Vzdálená instalace, kdy byste mohli každé skupině
uživatelů definovat jako výchozí jinou kombinaci bitové kopie a souboru odpovědí.
Zde uvedený postup je ukázkou toho, jak služba Vzdálená instalace rozhoduje, které možnosti instalace bitových kopí má uživateli zobrazit. Řídí
se pouze podle oprávnění při hlášeného uživatele. Pokud byste ve svém prostředí chtěli konfigurovat více bitových kopií a různá oprávnění,
mějte na paměti, že pro přihlášení všech uživatelů jsme výše definovali uživatelský účet RIS a oprávnění upravte s ohledem na něj.
Další možnosti služby Vzdálená instalace
Ne ve všech prostředích je situace zdaleka tak ideální, jako v našem. Vycházím Z toho, že v našem prostředí jsme veškeré potřebné aplikace
nainstalovali pomocí zásad skupiny, a proto stačí, když si uživatelé pomocí služby Vzdálená instalace nainstaluji pouze operační systém. Proto
výše uvedená konfigurace, která opravdu zajistí automatickou instalaci operačního systému, nemusí postačovat, a je třeba ji upravit. Jistě totiž
budete souhlasit s tím, že nainstalovat uživatelům automaticky operační systém včetně aplikací je rychlejší, než nainstalovat jim automaticky
pouze operační systém a aplikace poté instalovat postupně do jednotlivých počítačů místně.
V dalším postupu tedy budeme předpokládat, že uživatelé budou pomocí služby Vzdálená instalace instalovat bitovou kopii sestávající z
operačního systému a aplikace Telefonní seznam, která se instaluje pouze pomocí programu s e t u p . e x e , a není ji tak možné instalovat pomocí
zásad skupiny.
239
Příprava referenčního počítače
Referenční počítač je tím počítačem, jehož instalace bude později převedena do formy bitové kopie a umístěna na server pro vzdálenou instalaci.
Příprava běžně sestává z následujících kroků:
♦
♦
♦
♦
Instalace operačního systému Pro tento případ již můžete využít bitovou kopii služby Vzdálená instalace.
Konfigurace operačního systému Prakticky se jedná o úpravu prostředí, které se následně zkopíruje do profilu výchozího uživatele.
Protože my však používáme profil uložený ve složce NETLOGON, je třeba se v praxi rozhodnout, kterou cestou se vydat. Buď odstranit
profil ve složce NETLOGON a nakonfigurovat jej v referenčním počítači nebo jej ve složce NETLOGON ponechat (samozřejmě i tento
můžete kdykoli přepsat nakonfigurovaným). Rozdíl bude v tom, že zatímco v prvním případě (profil ve složce NETLOGON) se bude
týkat prvního přihlášení všech uživatelů, ve druhém případě (místní upravený profil) se bude týkat pouze uživatelů, kteří se přihlásí k
danému počítači.
Instalace aplikací Provedení instalace všech aplikací, které budou součástí bitové kopie na serveru pro vzdálenou instalaci.
Konfigurace aplikací Jedná se o výchozí nastavení aplikace, které budou mít k dispozici všichni uživatelé v případě, že budou využívat
nakonfigurovaný místní profil.
Pro další postup budeme předpokládat, že do referenčního počítače (kterým bude počítač PC001) jsme nainstalovali aplikaci Telefonní seznam.
Vytvoření bitové kopie a její uložení na server pro vzdálenou instalaci
Vytvoření bitové kopie a její uložení na server pro vzdálenou instalaci je velmi jednoduchým krokem. Zajímavé bude, jak to dopadne na serveru.
Vždyť si například představte, žě byste chtěli mít na serveru pro vzdálenou instalaci několik velmi podobných bitových kopií lišících se
například v jediné aplikaci. Není škoda tím obsadit poměrně velké místo na disku? Nešlo by to vyřešit nějak rozumněji? Vždyť při vytváření
bitových kopií místo na disku serveru tak rychle ubývá...
Systém Windows Server 2003 má pro tyto případy své unikátní řešení. Jeho použití však Záleží na přítomnosti systému souborů NTFS a funkční
službě Optimalizace svazků ukládání jediné instance. Pivní podmínka je vůbec základním požadavkem pro instalaci slul by Vzdálená instalace.
Druhá záležitost - služba - je součástí instalace služby Vzdáleni Instalace.
Poznámka
Mimo tuto službu se po instalaci služby Vzdálená instalace můžete v serveru SRVR001 setkat ještě se službami Vzdálená instalace
a Proces daemon protokolu TFTP.
Služba Optimalizace svazků ukládání jediné instance při kopírování nové bitové kopie kontroluje, zda již daný soubor na serveru pro vzdálenou
instalaci není. Pokud jej nalezne, nový soubor nevytváří, ale vytvoří místo něj pouze jakýsi odkaz na původní soubor. Výsledkem je obrovské
ušetření místa na disku, neboť soubory stejného operačního systému jsou zde pouze jednou.
Jedná se o využití speciální vlastnosti systému souborů NTFS, na kterou je nutné myslet při zálohování serveru pro vzdálenou instalaci.
Zálohovací program musí tuto funkci podporovat, jinak byste se při případném obnovení po havárii mohli setkat s nefunkční službou. Program
Zálohování, který je součástí systému Windows Server 2003 je příkladem programu, který tuto vlastnost podporuje a je možné jej používat.
Podobně je to s přesunem bitových kopií mezi více servery pro vzdálenou instalaci. Bohužel, přesun souborů není podporován, a každou bitovou
kopii je tak nutné instalovat na každý server pro vzdálenou instalaci.
Uložení bitové kopie na server
Předpokládejme, že do počítače PC001 byly nainstalovány všechny nutné aplikace (včetně aplikace Telefonní seznam) a počítač je připraven na
vytvoření bitové kopie. Dále postupujte podle následujících pokynů.
2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky \\SRVR001\ REMINST\Admin\i386. V této složce poklepejte na
příkaz riprep.exe (Remote Installation Preparation).
3. Spustí se Průvodce přípravou vzdálené instalace. Klepněte na tlačítko Další.
Obrázek 19.14
Průvodce přípravou vzdálené instalace
4. V dialogovém okně Název serveru zadejte název SRVR001 a klepněte na tlačítko Další.
240
5. V dialogovém okně Název složky zadejte název složky, ve které bude bitová kopie instalace uložena (například WXPTEL).
6. V dialogovém okně Krátký popis a text nápovědy zadejte do pole Popis popis instalace (například Windows XP Pro + Tel. Seznam) a do
pole Text nápovědy text (například Nainstaluje systém Windows XP Professional s aplikaci Telefonní seznam). Pozor! Žádný z názvů
nesmí obsahovat české znaky. Poté klepněte na tlačítko Další.
7. V dialogovém okně Zpráva o kompatibilitě systému se můžete setkat s různými typy zpráv. Přečtěte si případné podrobnosti, stav napravte
a klepnutím na tlačítko Další pokračujte dále (případně může být nutné nástroj riprep.exe spustit znovu).
Obrázek 19.15
Dialogové okno Zpráva o kompatibilitě systému upozorňuje na
možnost ztráty dat
8. V dialogovém okně Zastavit služby se zobrazí seznam služeb, které se před pokračováním zastaví. Pokračujte klepnutím na tlačítko Další.
Dojde k postupnému zastavení uvedených služeb.
Obrázek 19.16
Seznam služeb, které se před pokračováním zastaví
9. Pokud se zobrazí dialogové okno Programy a služby jsou stále spuštěny, ukončete uvedené programy a zastavte uvedené služby. V
opačném případě může dojít k výskytu chyb. Poté pokračujte klepnutím na tlačítko Další.
10. V dialogovém okně si prohlédněte zadaná nastavení. Klepnutím na tlačítko Zpět se můžete vrátit ke konkrétním nastavením. Pokud s
konfigurací souhlasíte, klepněte na tlačítko Další.
241
Obrázek 19.17
Souhrn nastavení
11. V dialogovém okně Dokončení Průvodce přípravou vzdálené instalace klepněte na tlačítko Další. Dojde ke zkopírování jeho instalace
na server pro vzdálenou instalaci a počítač se vypne. Po jeho spuštění se provede zkrácená instalace.
Obrázek 19.18
Průběh kopírování instalace na server
Po dalším spuštění počítače se spustí režim minimální instalace podobně jako po spuštění nástroje Sysprep (on je také skrytě spuštěn). Jedná se o
pochopitelný stav, neboť na server pro vzdálenou instalaci je třeba zkopírovat systém včetně aplikací, jenž nebude ob sáhovat identifikátory,
které musí být v doméně jedinečné. To se týká kódu SID nebo na příklad názvu počítače. Ty je třeba nyní znovu počítači přidělit.
Ověření nainstalované bitové kopie
1.
2.
3.
4.
Po dokončení instalace se přihlaste k počítači PC001 jako správci.
Ve vlastnostech účtu počítače SRVR001 klepněte na kartě Vzdálená instalace na tlačítko Upřesnit nastavení.
V dialogovém okně vlastností vzdálené instalace serveru SRVR001 klepněte na kartu Bitové kopie. Všimněte si další nainstalované
bitové kopie.
242
Obrázek 19.19
Další nainstalovaná bitová kopie na serveru SRVR001
Pokud byste chtěli automaticky instalovat tuto kopii do klientských počítačů, je třeba
opakovat postup vytvoření souboru odpovědí a definovat příslušná oprávnění přístupu pro tento soubor odpovědí (samozřejmě nezapomenout na
odebrání oprávnění u ostatních).
Instalace bitových kopií do klientských počítačů
Počítače podporující technologii PXE
U těchto typů počítačů je třeba nakonfigurovat na první místo spouštěcích zařízení síťový adaptér. Pokud je nakonfigurovaná automatická
instalace, nebudou se uživateli vyjma obrazovky, na které zadá jméno, heslo a název domény, zobrazovat žádné další informace a instalace se tak
spustí.
Počítače bez technologie PXE
Na pivním místě spouštěcích zařízení musí být u tohoto počítače disketová jednotka. Dále je nutné pomocí nástroje RBFG.EXE vytvořit disketu
pro tento typ spuštění. Po spuštěni z diskety poté vypadá vše obdobně, jako v předchozím případě.
Disketu je tedy vhodné po spuštění instalace vyjmout, aby po restartování mohla instalace pokračovat.
Vytvoření spouštěcí diskety
2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky \\SRVR001\ REMINSTX Admin\ i386
3. Do disketové jednotky vložte disketu a v uvedené složce spusťte nástroj RBFG.EXE.
Obrázek 19.20
Nástroj RBFG.EXE
4. Klepněte na tlačítko Seznam adaptérů. Otevře se dialogové okno Podporované
adaptéry obsahující seznam podporovaných adaptérů. Jedná se o řady síťových adaptérů, nikoli o konkrétní typy. Ověřte, že zde jsou
uvedeny síťové adaptéry klientských počítačů.
5. Klepnutím na tlačítko Vytvořit disketu vytvoříte spouštěcí disketu. Disketa musí být naformátovaná a nástroj RBFG.EXE smaže její
původní obsah.
Poznámka
243
Na disketě se vytvoří jediný soubor s názvem RISDISK sloužící ke spuštění počítače a k provedení vzdálené instalace.
Další hardware
Půjde bitová kopie původního počítače nainstalovat do počítače s jinou základní deskou!' Nebo s jiným grafickým adaptérem? Nebo do počítače
se dvěma procesory?
Podmínkou pro možnou instalaci bitové kopie vytvořené pomocí nástroje Riprep.exe do nového počítače je pouze stejná vrstva HAL (Hardware
Abstraction Layer). Pokud měl te dy původní počítač například vrstvu HAL podporující technologii ACPI, musí ji mít i no vý počítač.
Instalace bitové kopie vytvořené nástrojem Riprep.exe tedy bude funkční, pokud je splněn kterýkoli z následujících bodů:
♦
♦
♦
Původní a nový počítač mají stejné vrstvy HAL.
Původní a cílový počítač mají bud jednoprocesorovou nebo víceprocesorovou vrstvu ACPI HAL (Advanced Configuration and Power
Interface).
Původní a cílový počítač mají buď jednoprocesorovou nebo víceprocesorovou vrstvu APIC HAL (Advanced Programmable Interrupt
Controller).
Poznámka
Typ vrstvy HAL ve svém počítači zjistíte ve vlastnostech souboru Hal.dll.
Převedeno do českého jazyka jde o to, co se dá alespoň vzdáleně tušit. Pokud vytvoříte bitovou kopii instalace víceprocesorového počítače,
nebude možné tuto kopii instalovat do jednoprocesorového počítače a naopak.
Poznámka
Pokud budete chtít zjistit typ vrstvy HAL v konkrétním počítači, vyhledejte ve složce %systemroot%\system32 soubor HAL.DLL
a na kartě Verze klepněte v části Další údaje o verzi na položku Původní název souboru. V příkladu na obrázku 19.21 se jedná o
vrstvu HAL (bez ACPI).
Obrázek 19.21
Určení vrstvy HAL
Tím je vyřešena použitelnost nebo nepoužitelnost konkrétní bitové kopie pro nový počí tač.
Co se ale stane v případě, kdy bude mít nový počítač například jiný grafický adaptér?
Během instalace bitové kopie nedochází standardně k rozpoznání hardwaru, takže ovladač pro jiný grafický adaptér se nenainstaluje přesto, že
může být v systému k dispozici Pokud chcete provést rozpoznám hardwaru typy Plug-and-Play během instalace, spusťte nástroj Riprep.exe s
parametrem /pnp. Poté však bude docházet k rozpoznání hardwa ru vždy v každém novém počítači. Chcete-li toto chování zrušit, musíte vytvořit
novou bi tovou kopii pomocí příkazu Riprep.exe.
Počítačům S příslušnou vrstvou HAL odpovídající počtu procesorů nabídne služba Vzdá lená instalace v systému Windows Server 2003 pouze
bitové kopie odpovídajících počí tačů (ostatní automaticky skryje).
244
Služba Vzdálená instalace ve větších sítích
O službě Vzdálená instalace toho bylo sice řečeno dost, informací a možností konfigurace je však ještě mnohem více. Protože je prostředí naší
sítě relativně malé a jednoduché (právě o jednoduchost se nemalou měrou zasluhuje exkluzivní použití technologií Micro soft), použili jsme
pouze základní konfiguraci služby Vzdálená instalace, která tvoří její páteř. Žádné další specialitky nás nečekaly, nedá se však vyloučit, že se s
nimi v jiném prostředí setkáte.
Tato část obsahuje doplňující informace a tipy pro další, související úlohy při používání služby Vzdálená instalace.
Přednastavení klientských počítačů
V odstavci, který se této problematice výše věnoval, bylo uvedeno, že informace o adrese MAC počítače (v případě, že počítač nepodporuje
technologii PXE) máte získat od dodavatele. V opačném případě vás čeká vybalení počítače z krabice, zapojení, zjištění adresy MAC, zabalení
počítače a odeslání uživateli. Jakým způsobem ale adresu MAC v počítači, který není vybaven žádným systémem, zjistit?
1. Do disketové jednotky počítače vložte disketu vytvořenou pomocí nástroje RBFG.EXE
2. Zapněte počítač a v systému BIOS nakonfigurujte sekvenci spouštěcích zařízeni tak, aby disketová jednotka byla první v pořadí.
3. Restartujte počítač a počkejte na spuštění nástroje pro vzdálenou instalaci systému. Přesto, že počítač nebude připojen k síti, a nebude
mít konektivitu se serverem pro vzdálenou instalaci, zobrazí se na obrazovce jeho adresa MAC.
Upgrade systému pomocí služby vzdálená instalace
Služba Vzdálená instalace je určena pouze k čistým instalacím operačního systému, případně systému spolu s aplikacemi. Nelze ji využít k
upgradu nižších operačních systému.
Protože cílem upgradu je ponechat uživateli pokud možno všechna nastavení, je možné zkombinovat službu Vzdálená instalace s funkcemi pro
přenesení souborů a nastaveni uživatele. Postup může být následující:
1. Spuštění nástroje Nástroj přenesení stavu uživatele (USMT, User State Migration Tool) a přenesení profilu uživatelů do sdílené složky
na server.
2. Čistá instalace operačního systému a aplikací pomocí služby Vzdálená instalace.
3. Pomocí funkce Nástroj přenesení stavu uživatele přenesení profilů uživatelů zpět do nového systému.
Nástroj USMT naleznete na instalačním disku CD-ROM se systémem Windows Server 2003 ve složce \VALUEADD\MSFT\USMT.
Umístění serveru pro vzdálenou instalaci v síti
V menší síti nebývá příliš možností rozhodnout, ve kterém počítači by měla být nainstalovaná služba Vzdálená instalace. Příkladem je naše síť,
která má jediný server. Ten poté musí plnit všechny role a při rostoucím počtu klientských počítačů tak dříve či později dojde k jeho zahlcení.
Ve větších sítích, které mají k dispozici více serverů, je možné zvážit rozdělení rolí mezi jednotlivé servery. V optimálním případě by měly být
role rozdělené následovně (co řádek, to jeden počítač):
♦
♦
♦
Řadič domény a služba DHCP
Server DNS
Server pro vzdálenou instalaci
Pro umístění serveru pro vzdálenou instalaci platí dále obecně tato pravidla:
♦
♦
♦
Neinstalujte službu Vzdálená instalace na servery Exchange nebo SQL. Server pro vzdálenou instalaci velmi zatěžuje síťové součásti a
může způsobit výrazné zpomalení výkonu uvedených produktů.
Server pro vzdálenou instalaci nebude pracovat v bezdrátových sítích. V těchto sítích nelze pomocí služby Vzdálená instalace instalovat
klientské počítače, neboť bezdrátové sítě nepodporují technologii PXE.
Server pro vzdálenou instalaci neinstalujte do sítí, ve kterých pracují podobné instalační služby od jiných výrobců.
Více serverů pro vzdálenou instalaci v síti
Cílem více serverů pro vzdálenou instalaci v síti je rozložení jejich zátěže při souběžné instalaci více klientských počítačů. V praxi bylo ověřeno,
že maximální počet klientských počítačů, kterým je server pro vzdálenou instalaci schopen současně poskytovat služby, je 75.
Nepřednastavené počítače
Nepřednastavený počítač nemá před komunikací se serverem pro vzdálenou instalaci
V doméně vytvořen vlastní účet. Znamená to, že se spojí s prvním serverem pro vzdálenou instalaci, který klientskému počítači odpovídá na jeho
požadavek. Jestliže však bude server pro vzdálenou instalaci současně serverem DHCP, bude vždy vyřizovat požadavky klientských počítačů
přednostně on.
Přednastavené počítače
Každý přednastavený počítač má atribut, který může obsahovat název serveru pro vzdálenou instalaci, ze kterého se do tohoto počítače bude
instalovat určená bitová kopie. Pokud tento atribut není vyplněn, pracuje instalace stejně jako u nepřednastavených počítačů. Pokud atribut
vyplněn je, obrátí se klientský počítač vždy na uvedený server. Toto řešení je vhodné například pro organizace, které mají na každé pobočce
245
server pro vzdálenou instalaci.
Ověření serverů
V případě, že v síti používáte více serverů pro vzdálenou instalaci, nezapomeňte je všechny ověřit. V opačném případě nebudou odpovídat na
požadavky klientů a nebudou tak funkční. K ověření dochází v systému Windows Server 2003 již během instalace služby. Vzdálená instalace:
pokud by se však nezdařila, je nutné servery ověřit ručně.
Obrázek 19.22
Možnost přiřazení přednastaveného počítače serveru pro vzdálenou
instalaci
Ruční ověření serveru pro vzdálenou instalaci
1. Přihlaste se k počítači PC001 jako správci a spusťte konzolu DHCP.
2. Pravým tlačítkem myši klepněte na položku DHCP a poté v místní nabídce klepněte na položku Spravovat ověřené servery.
3. V dialogovém okně Spravovat ověřené servery klepněte na tlačítko Ověřit, zadejte adresu IP nebo název serveru a klepněte na tlačítko
OK.
Poznámka
K ověření serveru pro vzdálenou instalaci, stejně jako serveru DHCP, potřebujete oprávnění člena skupiny Enterprise Admins.
Kopie Risetup a Riprep
♦
♦
♦
Na každém serveru pro vzdálenou instalaci musí být alespoň jedna bitová kopie Risetup odpovídající stejnému operačnímu systému,
který byl základem vytvořeni bitové kopie Riprep.
Bitová kopie Risetup a bitová kopie Riprep musí být stejné jazykové verze a nul stejné dvě první části v číselném označení verze (to
znamená, že se například ne rozlišuje operační systém bez a s aktualizací Service Pack).
Průvodce Riprep podporuje pouze systémový oddíl zdrojového počítače (C:). Zdrojový počítač navíc nesmí mít tento oddíl větší než
cílový počítač.
Práva uživatelů
Ve větších sítích dochází často ke stavu, že na serveru pro vzdálenou instalaci existuje ví ce bitových kopií pro různá oddělení uživatelů. Pokud
bude služba Vzdálená Instalace odpovídat všem počítačům (i těm, které nebyly přednastaveny), je nutné během i nst a l ace vytvořit v doméně
Active Directory účet nového (právě instalovaného) počítače. Na to však musí mít právo uživatel, který se přihlásil na začátku instalace. V
takovém prostředí je nutné provést dvě úpravy.
1. Ve vlastnostech služby Vzdálená instalace serveru pro vzdálenou instalaci lze zadat formát názvů počítačů, jež se budou automaticky
vytvářet a organizační jednotku, ve které k jejich vytvoření dojde (karta Noví klienti).
2. V dané organizační jednotce je třeba uživatelům udělit oprávnění k vytváření objektu počítačů. S výhodou zde využijete Průvodce
delegováním řízení, se kterým jsme pracovali na konci kapitoly 17, „Správa prostředí klientských počítačů". Při udělování oprávnění
nezapomeňte na strategii A - > G - > D L < - P s postupným přechodem ke strategii A - > G - > U < P ( v případě rozšíření prostředí
o další doménu).
246
Důležité novinky ve službě Vzdálená instalace v systému Windows server 2003 v
porovnání se systémem Windows 2000 Server
♦
♦
♦
♦
♦
♦
Podporuje instalaci více operačních systémů - Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced server,
Windows XP Professional a řadu systémů Windows Server 2003 (služba Vzdálená instalace v systému Windows 2000 Server podporuje
pouze instalaci systému Windows 2000 Professional, po dalších úpravách také instalaci systému Windows XP Professional).
Vyšší zabezpečení pomocí maskování hesla.
Automaticky ověřuje server pro vzdálenou instalaci během jeho konfigurace (Ri-setup).
Automaticky detekuje vrstvu HAL cílového počítače a tomu upraví nabídku bitových kopií k instalaci.
Podporuje nainstalovaný nástroj Konzola pro zotavení v klientském počítači.
Podporuje 64bitové verze systémů Windows Server 2003 a Windows XP Professional.
Úprava Průvodce klientskou částí služby Vzdálená instalace
Pokud nebudete v síti používat automatickou instalaci vybrané bitové kopie, ale pone-cháte výběr na uživatelích, zobrazí se uživatelům několik
různých obrazovek s informacemi. Jedná se o textové soubory ve formátu OSCML s příponou OSC (Operating Systém choser).
Tyto soubory je možné upravit, zejména pak informace, které poskytují. Uživatelům se při běžné vzdálené instalaci zobrazí následující soubory:
♦
♦
♦
♦
♦
♦
♦
LOGIN.OSC Jedná se o přihlašovací obrazovku.
CHOICE.OSC Zobrazuje možnost instalace.
DUPAUTO.OSC Zobrazí se v případě, kdy byl v doméně Active Directory nalezen duplicitní identifikátor GUID.
OSCHOICE.OSC Pokud je pro instalaci k dispozici více bitových kopií, zobraz! jejich seznam.
WARNING.OSC Obsahuje upozornění, že bude zformátován pevný disk počítače.
INSTALL.OSC Obsahuje podrobnější informace o počítači a o bitové kopii, která se bude instalovat.
CUSTOM.OSC Vyzve uživatele k zadání názvu počítače a organizační jednotky, ve které se vytvoří účet počítače.
V instalačních složkách naleznete ještě další soubory OSC týkající se zejména chybových zpráv.
Závěr
Vzdálená instalace je velmi zajímavým instalačním nástrojem v systému Windows Server 2003. Shrnuje v sobě výhody dalších dvou typů
instalací - bezobslužné instalace (její automatické proveden) a instalace Sysprep (možnost instalovat nakonfigurovaný systém i s aplikacemi) a
nemá nevýhodu instalace Sysprep, kterou je absence nástrojů pro vytvoření a přenesení bitové kopie disku počítače.
Pro úspěšnou funkci služby Vzdálená instalace je v síti nutná služba DNS, DHCP a domé na Active Directory. Instalovat lze všechny operační
systémy od verze Windows 2000 výše (vyjma verzí Datacenter Server). Mohou ji využívat klientské počítače, které mají spouštěcí paměť ROM
nebo podporovaný síťový adaptér na sběrnici PCI. Aby server pro vzdálenou instalaci pracoval, musí být v doméně Active Directory ověřen
podobně jako servety DHCP.
Důležitou částí služby Vzdálená instalace je její konfigurace. Ta sestává z instalace samot) ně služby a z instalace bitové kopie vybraného
operačního systému. Tato kopie musí být na serveru pro vzdálenou instalaci vždy, neboť ostatní bitové kopie, které se na server instalují,
využívají její soubory.
Služby Vzdálená instalace lze zabezpečit tak, že nebude reagovat na žádosti neznámých počítačů. Známé jsou pro ni pouze ty počítače, které již
mají v doméně Active Directory vlastní účet s přiřazeným jedinečným kódem UUID/GUID.
Pro instalaci systému Windows XP Professional je vhodné používat média z multilicenč ních programů, které nevyžadují aktivaci.
Stav sítě
Na server SRVR001 byla nainstalovaná služba Vzdálená instalace. Obsahuje nyní tři bitové kopie - samotný systém Windows XP Professional s
běžnou instalací, systém Windows XP Professional s automatickou instalací a systém Windows XP Professional s aplikaci Telefonní seznam.
Poslední bitová kopie byla přidána pouze z ukázkových důvodu. Pokud by v seznamu nebyla, uživatelům nových počítačů by se automaticky
instalovala druhá uvedená bitová kopie. Pro účely vzdálené instalace existuje účet RIS a v doméně je nutné nejprve přednastavit všechny
instalované počítače.
Nyní se dá říci, že jsme v síti podchytili všechny oblasti, které se uživatele týkají v případě havárie a nutné výměny jeho počítače. Pokud
uživatel získá čistý počítač, nainstaluje do něj operační systém pomocí služby Vzdálená instalace. Dokumenty ze svého profilu má uloženy na
serveru (někteří uživatelé mají na serveru také celý profil) a aplikace se mu zpřístupní automaticky při prvním přihlášení. To vše je zajištěno
pouze pomocí technologií systému Windows Server 2003/XP.
247
Instalujeme aktualizace Service pack
Každý produkt společnosti Microsoft prochází během výroby přesně danými fázemi. Zřejmě málokdo zná další podrobnosti o tom, jak to přesně
vypadá v „kuchyni" po celou dobu vývoje produktu. Většina uživatelů (nebo spíše správců) vnímá jednotlivé fáze vývoje tak, jak jsou prezentovány navenek.
Prvním takovým stadiem je testovací verze Beta. Ta je ještě poměrně „syrovým" produktem, může obsahovat ještě části kódu předchozí verze
produktu (pokud samozřejmě existovala), případně některá původní dialogová okna i nápovědu. Taková verze se většinou neuvolňuje pro veřejné testování, ale pouze pro takzvané beta testery (členové testovacích programů společnosti Microsoft).
Po nějaké době se objeví další verze, z dílny společnosti Microsoft označovaná jako Beta 2 (i bety mají své verze). Nyní se již jedná o produkt,
který je možné stáhnout z we-bových stránek, případně jejž je možné získat na některé z konferencí. V některých případech je taková verze produktu uvolněna pro veřejnost, tedy širokému spektru uživatelů, kteří jej při používání prakticky testují a mají možnost pomocí rozhraní aplikace
odesílat výrobci informace o chybách, s nimiž se během používaní setkají. Je tedy relativně dost času na to případné chyby či nestandardní
chování odhalit a následně také opravit.
Jako další se může objevit verze s označením RC (Release Candidate). Jedná se již o téměř finální produkt, který je možné stáhnout z webových
stránek, a jeho účelem je umožnit bližší seznámení správců s téměř finálním produktem. Ve většině případů jsou na těchto verzích produktů
postaveny i oficiální kursy, a správci tak mají možnost být při uvedení produktu připraveni na jeho zavádění a správu.
Poté nastane den D, tedy uvedení nové verze na trh. Z pohledu správců bývá největší rozdíl mezi konečnou verzí a verzí RC v tom, že
konečná verze je ze strany výrobce plně podporována. Znamená to, že pokud se v předchozích verzích vyskytla chyba, vývojáři ji opraví a
opravu zařadí automaticky do dalšího sestavení produktu. Pokud se vyskytne chyba v ostré verzi, oprava se publikuje jako samostatný balíček
nebo je vydána oficiální informace o možnostech jejího řešení.
Přesto, že verze Beta i RC bývají k dispozici dostatečně dlouho na to, aby se zjistily a opravily všechny chyby, nemusí se podařit je vůbec zjistit.
Operační systémy a další aplikace společnosti Microsoft disponují takovým množstvím funkcí, že bývá často mimo možnosti jednotlivých
testerů vše nasimulovat a ověřit. Tím spíše, že tyto verze se nedoporučuje nasazovat do provozního prostředí, které by je opravdu prověřilo. Není
se tak co divit, že i konečné verze mohou obsahovat chyby (přes všechno úsilí výrobce). Po nějakém čase, kdy oprav k produktu existuje více, se
výrobce může rozhodnout vyrobit z jednotlivých dílčích oprav větší balíček - aktualizaci systému. Takový balíček je navíc oproti jednotlivým
opravám vylepšen v tom, že není nutné jej vždy při přidání další součásti systému znovu přeinstalovat a navíc má více možností instalace. V
poslední době se součástí těchto aktualizací navíc stávají také další vylepšení a nové vlastnosti produktů. Jedná se o aktualizace Service Pack.
Aktualizace SP pro operační systém
Operační systém je základem každého počítače a jeho chování může ovlivnit celou řadu aplikací, které jsou na něm závislé. Ve větších
prostředích může dokonce operační systém (nebo jeho část) ovlivnit chování a činnost aplikace, která je nainstalovaná v jiném počítači. V
praxi se jedná o případ, kdy například některá z aplikací nainstalovaná v členském serveru v doméně potřebuje využívat vlastnosti domény. A
pokud je v části operačního systému týkající se domény chybička, může aplikace vykazovat nestandardní chování.
Instalace aktualizace Service Pack tak může zabít více much jednou ranou a je proto z pohledu správců velmi vítaným softwarem.
Na jednu stranu se tak mohou správci na připravovanou aktualizaci těšit, na druhou stranu jim však při pomyšlení, že ji budou muset
instalovat do všech klientských počítačů a serverů, může běhat mráz po zádech. Čím větší prostředí, tím se z pohledu správce samozřejmě
jedná o větší objem práce. Navíc každá aplikace aktualizace Service Pack vyžaduje restartování počítače, takže se už správci vidí na noční
směně.
Až do systému Windows NT 4.0 měli správci tyto pocity celkem oprávněně. Aktualizaci Service Pack totiž opravdu museli instalovat místně do
každého počítače (pochopitelně pod účtem správce), navíc při změně konfigurace systému bylo nutné tuto aktualizaci pře Instalovat. Spolu se
systémem Windows 2000 přišla na trh nová možnost automatické instalace pomocí zásad skupiny. Po nějaké době se správci seznámení a
využívající tuto vlastnost začali samozřejmě ptát, proč se ve formátu MSI nedodávají také aktualizace Ser vice Pack. Nemuseli však dlouho čekat
- tato možnost se záhy objevila a jednalo se o ak lualizaci Service Pack 2. U dalších aktualizací systému Windows 2000, stejně jako a k t u a li/ace
Service Pack l(a) systému Windows XP Professional již existuje standardně jako jedna z možností.
Kde vzít aktualizaci
Aktualizace Service Pack je pro uživatele příslušného operačního systému zdarma. Proto není žádný problém ji získat. Na výběr máte několik
možností:
♦ Disk CD-ROM s aktualizací Windows XP SPI od společnosti Microsoft Jed
ná se o disk CD-ROM, který obsahuje nejen samotnou aktualizaci, ale také koni pletní informace k jejímu zavedení, včetně dalších
důležitých nástrojů operačního systému. V České republice lze tento disk CD-ROM získat od společnosti Softmail. Další informace v
českém
jazyce
naleznete
na
webové
stránce
společnosti
Microsoft
na
adrese
248
♦
♦
♦
♦
http://www.microsoft.com/cze/windows/xp/pro/downloads/spl/. V tomto případě se připravte na to, že budete možná muset uhradit
manipulační náklady.
Součást dodávek softwaru Společnosti využívající některé typy multilicenčních programů získávají instalační média s aktualizacemi
Service Pack (nejen pro operační systémy) jako součást své licence.
Speciální programy společnosti Microsoft Předplatitelé speciálních programů společnosti Microsoft, jako je například MSDN nebo
TechNet, získávají veškeré aktualizace na médiích CD-ROM nebo DVD v rámci pravidelných měsíčních dodávek.
Stažení aktualizace z webových stránek Jedná se o nejpoužívanější a nejrychlejší způsob, jak se k aktualizaci dostat. V takovém
případě máte jistotu, že stahujete nejnovější aktualizaci. Pokud však potřebujete další informace, je třeba je stáhnout odděleně, neboť
nebývají přímo součástí aktualizace. Na druhou stranu máte jistotu, že veškeré informace z webu jsou aktuální.
Disky CD-ROM (DVD) z akcí nebo z časopisů Jedná se o velmi častý zdroj aktualizací, dalších oprav a technických materiálů. Pokud
však nemáte jistotu původu disku, doporučuji před použitím provést antivirový test důležitých souborů.
Jazykové verze
Aktualizace Service Pack pro systém Windows XP se liší podle jazykové verze systému. Je nutné tyto jazykové verze sesouhlasit, a například
při stahování z Internetu stáhnout správnou verzi.
Vzhledem k nutnosti lokalizovat každou aktualizaci (dokonce téměř jakoukoli opravu) se vždy nejprve setkáte s aktualizacemi pro jazykové
verze EN. Na ostatní jazyky ale poté není nutno dlouho čekat a k dispozici bývají do několika dnů.
Pokud se budete snažit instalovat například jazykovou verzi EN aktualizace Service Pack do českého systému Windows XP Professional,
instalace se zastaví a zobrazí se příslušná chybová zpráva.
Na přiloženém disku CD-ROM naleznete aktualizace Service Pack la pro jazykové verze CZ i EN systémů Windows XP.
Typy instalace
Na aktualizaci Service Pack je možné podívat se jako na běžnou aplikaci, kterou lze instalovat různými způsoby. Každý způsob může
vyhovovat v jiném prostředí více či méně, v každém případě je dostatek možností na to, aby si správci zvolili tu nejvhodnější.
Obecně lze všechny typy instalace rozdělit do dvou skupin
♦ Instalace formou aktualizace systému
♦ Integrovaná instalace spolu se systémem
instalace formou aktualizace systému
Jedná se o typ instalace, kterou znají všichni správci, již kdy instalovali aktualizace Service Pack do systému Windows NT 4.0 nebo Windows
2000. Společným vodítkem různých možností provedení je přítomnost operačního systému v počítači. Instalací tak dojde k jeho aktualizaci.
integrovaná instalace
V kapitole 2, „Instalujeme klientské počítače", jsme se seznámili s automatickou instalací systému Windows XP Professional. Instalační
soubory mohou být v takovém případě uložené na disku CD-ROM nebo ve sdílené složce v síti. Integrovaná instalace pracuje tak, že provede
aktualizaci instalačních souborů. Na originálním disku CD-ROM to pochopitelně provést nelze; řešením jsou v takovém případě média CD-R
nebo CD-RW. Mnohem lépe si takovou instalaci můžete představit se soubory ve sdílené složce.
V předchozí kapitole jsme se seznámili s další možností instalace - Vzdálenou instalací. I zde je možné provést aktualizaci souborů, které jsou
k dispozici na severu RIS.
Integrovaná instalace tedy znamená, že do čistého počítače se již instaluje aktualizovaný operační systém.
Možnosti instalace
Pokud se máme bavit o instalaci aktualizace Service Pack v prostředí podnikové sítě, je nutné hned na začátku vynechat možnost expresní
instalace. Při té se klientský počítač se systémem Windows XP Professional připojí k Internetu a stáhne si pouze aktualizované soubory.
Výhodou takového typu instalace (samozřejmě spíše v domácích podmínkách) je rychlejší stažení, neboť není nutné stahovat úplnou
aktualizaci.
Pokud máte k dispozici soubory aktualizace Service Pack, je vhodné využít některou Z. dalších možností instalace:
♦
♦
♦
♦
Instalace z místního disku
Instalace ze sítě
Instalace pomocí produktu SMS
Instalace pomocí zásad skupiny
Všechny uvedené možnosti spadají mezi instalace formou aktualizace systému. V počítači tak již musí být nainstalován operační systém.
instalace z místního disku
249
Při této instalaci dochází nejprve k dekomprimaci instalačních souborů na místní disk počítače. Z těch se poté spustí instalace aktualizace
Service Pack. Postup takové instalace vypadá následovně:
1. Vložení disku CD-ROM s aktualizací Service Pack do jednotky CD-ROM počítače nebo zkopírování původního souboru aktualizace
(XPSPl.exe) na místní disk.
2. Zastavení běhu antivirových programů a zálohování důležitých dat.
3. Spuštění souboru XPSPl.exe. Protože se jedná o komprimovaný soubor obsahu jící instalační soubory aktualizace, dojde k jeho
dekomprimaci do dočasné složky na jednotce C:.
4. Následuje automatické spuštění aktualizace, které provede její instalaci.
5. Restartování počítače. Restartování není povinné (můžete je odložit), rozhodně se však doporučuje počítač restartovat co nejdříve. Do té
doby se instalace aktualiza ce neprojeví.
Při spouštění souboru XPSPl.exe můžete zadat další parametry a upravit tak chování instalace. Nejpoužívanější parametry shrnuje tabulka 20.1
Parametr
Funkce
/U
Bezobslužná instalace aktualizace. Na obrazovce instalovaného počítače bude zobrazen
průběh instalace, celá však proběhne automaticky bez nutnosti účasti správce.
/Q
Tichý režim instalace. Jedná se o bezobslužnou instalaci se skrytým uživatelským
rozhraním.
/N
Neprovádí zálohování souborů pro případné budoucí odinstalování aktualizace Service
Pack. Pokud nemáte na disku dostatek místa nebo z jiného důvodu nechcete využít možnosti odinstalování, použijte tento parametr. Výchozím
chováním instalace je zálohovat soubory.
/O
Přepíše ovladače OEM bez předchozího dotazu. Vhodný doplněk automatické instalace
v případě, kdy instalace systému Windows XP Professional obsahuje speciální ovladače OEM zařízení.
/Z
Po instalaci aktualizace Service Pack neprovede restartování počítače.
Tabulka 20.1 Nejčastější parametry pro spuštění programů XPSP1.exe a Update.exe
Zvláštní místo má mezi parametry parametr /S:<názevsložky>. Ten není určen pro instalaci z místního disku, ale slouží k aktualizaci
instalačních souborů systému Windows XP Professional.
Instalace z místního disku je standardním způsobem instalace aktualizace Service Pack v domácím prostředí a ve velmi malých sítích. Taktéž se
hodí v případě, kdy je potřeba instalovat aktualizaci například pouze do jediného počítače.
instalace ze sítě
Tato možnost instalace je velmi podobná té předchozí. Největší rozdíl je v tom, že k de komprimaci instalačních souborů aktualizace dojde ve
sdílené složce v síti a do místního počítače už se poté instalují soubory přímo z této složky.
Postup instalace může vypadat následovně:
1. Příprava instalace - spočívá v dekomprimaci souborů do složky instalačního ser veru pomocí příkazu
X P S P l . e x e / X : < c e s t a k e s l o ž c e > / U.
Poznámka
Parametr X provede pouze dekomprimaci instalačních souborů aktualizace bez následného automatického spuštění nástroje
update.exe. <cestakeslozce> je cesta ke složce, do které se dekomprimují instalační soubory.
Zastavení běhu antivirového programu v počítači, který se bude aktualizovat, a provedení zálohy důležitých dat.
2. Spuštění instalace pomocí příkazu.
3. Restartování počítače.
Pro restartování počítače platí stejná doporučení uvedená výše. Instalační program upda-te.exe lze spustit s parametry uvedenými v tabulce
20.1.
Výhodou tohoto typu instalace oproti předchozí je jediná dekomprimace instalačních souborů. Ostatní počítače poté provádějí instalaci
spuštěním instalačního programu z této složky.
Uživatelé provádějící instalaci musí mít ke sdílené složce výsledná oprávnění alespoň Číst.
Instalace pomocí produktu SMS
Podrobnosti k tomuto typu jsou mimo rozsah této knihy. Jedinou důležitou informací pro ty správce, kteří produktem SMS ve své síti disponují,
je verze produktu - je nutné použít SMS 2.0 s aktualizací Service Pack 4.
Instalace pomocí zásad skupiny
Po dekomprimaci souboru XPSPl.exe bude složka se soubory obsahovat v podsložce update také soubor update.msi. Jedná se o typický
instalační balíček Instalační služby systému Windows, jejichž instalaci byla věnována kapitola 18, „Instalujeme aplikace". Postup této instalace
si ukážeme dále.
250
Podíváme-li se na porovnání jednotlivých možností instalace, zjistíme, že pro naši síť je optimální využít instalaci pomocí zásad skupiny. Síť
totiž splňuje veškeré předpoklady -máme k dispozici doménu Active Directory a funkčnost části Instalace softwaru v objektu zásad skupiny jsme
navíc bez potíží ověřili. Bude se tak jednat o další systémový krok, se kterým budete mít jako správci nejméně práce a zajistíte instalaci do všech
stávajících počítačů se systémem Windows XP Professional.
Instalace aktualizace SP pomocí zásad skupiny
Pojďme si připomenout možnosti instalace softwaru pomocí zásad skupiny. Instalační balíčky MSI lze přiřazovat uživatelům i počítačům nebo
publikovat uživatelům. Ačkoli by se zde na první pohled dalo zvažovat, zda budeme balíček přiřazovat uživatelům nebo po čítačům, při dalším
zamyšlení vše logicky přijde samo.
Balíček MSI aktualizace Service Pack musí být přiřazen počítačům. Pokud by se však i přesto našel někdo, kdo by chtěl vyzkoušet přiřazení
balíčku uživatelům, bude mít smůlu, neboť balíček update.msi přiřazení uživatelům nepodporuje.
Balíček update.msi je pouze databází informací co, kam a jak nainstalovat. Neobsahuje v sobě žádné další programy. Do sdílené složky v síti tak
bude nutné zkopírovat celou dekomprimovanou složku, případně soubor XPSPl.exe dekomprimovat přímo do sdílené síťové složky.
Plánování Instalace
Při i plánování instalace je třeba dbát na to, že se jedná o citelný zásah do konfigurace každého počítače. Je tedy třeba zajistit zálohování všech
souborů a celý postup a následnou funkci počítačů nejprve ověřit v laboratorním prostředí. Nezapomeňte, že pokud se ne zdaří instalace důležité
části operačního systému, mohou mít uživatelé potíže se všemi aplikacemi.
Další velmi důležitá věc je zamyslet se nad tím, na který objekt v doméně Active Directory budeme objekt se zásadami instalace aktualizace
aplikovat. Doména jistě vhodným řešením nebude, neboť v našem případě by se instalace týkala také serveru SRVR001 se systémem Windows
Server 2003, což by jistě nebylo dobré. Již dříve jsme však vytvořili organizační jednotku obsahující všechny klientské počítače. Tu nyní
můžeme využít.
V jiné síti by se však mohlo stát, že organizační jednotka s účty počítačů bude obsahovat jak počítače se systémy Windows 2000, tak počítače
se systémy Windows XP Professional. Jiné operační systémy nejsou podstatné, neboť se na ně zásady skupiny neaplikují.
V takovém případě je vhodné provést filtrování objektů zásad skupiny nebo vytvořit organizační jednotku obsahující pouze systémy Windows
XP Professional.
Vzhledem ke způsobu zavedení je při plánování instalace třeba myslet na to, že instalace aktualizace Service Pack proběhne při dalším spuštění
počítače. Protože to bude chvilku trvat, je třeba na tento stav dopředu upozornit uživatele, a pokud máte v síti více počítačů, bude možná třeba
zajistit časové rozvržení aplikace tak, aby nedošlo k přetížení instalačního serveru.
Příprava instalační složky
Na serveru SRVR001 máme vytvořenu sdílenou složku Instalace aplikací zatím s jedinou podsložkou obsahující instalační soubory aplikací
sady Office. Proč tuto složku nevyužít pro instalační soubory aktualizace Service Pack systému Windows XP Professional? Je však třeba
zajistit, aby k instalačním souborům měly po síti přístup i počítače. V dalším postupu předpokládám, že disponujete souborem WXSPl.exe pro
českou jazykovou verzi systémů Windows XP Professional.
Dekomprimace instalačních souborů
2. Do jednotky CD-ROM vložte disk CD-ROM se souborem aktualizace SPI pro systém Windows XP Professional. Druhou možností je
její spuštění ze síťového umístění.
3. V dialogovém okně Spustit zadejte do pole Otevřít příkaz D:\XPSP1.EXE /X:"C:\Instalace aplikací\XPSPlCZ" /U a poté klepněte
na tlačítko OK (D: představuje písmeno jednotky CD-ROM).
Poznámka
Pokud je v cestě k instalační složce mezera, je nutné uzavřít celou cestu do uvozovek
4. Automaticky se vytvoří složka XPSP1CZ. Zobrazte její vlastnosti a klepněte na kartu Zabezpečení. Do seznamu řízení přístupu
přidejte skupinu Domahi Coniputers s oprávněním Číst a Číst a spouštět.
Vytvoření objektu zásad skupiny
1.
2.
3.
Pravým tlačítkem myši klepněte na organizační jednotku Počítače a zobrazte její vlastnosti.
4.
5.
6.
7.
8.
Na kartě Zásady skupiny klepněte na tlačítko Nový a novému objektu zásad skupiny dejte název Instalace XPSP1CZ.
Poklepejte na nový objekt a v okně Zásady skupiny přejděte do složky Konfigurace počítače\Nastavení softwaru.
Pravým tlačítkem myši klepněte na položku Instalace softwaru a v části Nový klepněte na položku Balíček.
V okně Otevřít přejděte do složky \\SRVR001\Aplikace\XPSPlCZ\update a poklepejte na soubor update.m s i .
V dialogovém okně Zavedení aplikace ponechte zaškrtnutou možnost Přiřazené a klepněte na tlačítko OK.
251
Obrázek 20.1
Dialogové okno Zavedeni aplikace
9. Zavřete okno Zásady skupiny a v dialogovém okně vlastností organizační jednotky Počítače klepněte na tlačítko vlastnosti. Otevře se
dialogové okno vlastností objektu.
Obrázek 20.2
Karta Filtr rozhraní WMI
v dialogovém okně vlastností
objektu zásad skupiny
252
10. Klepněte na kartu Filtr rozhraní WMI, v části Vyberte filtr rozhraní zašktněte políčko Tento filtr a poté na tlačítko Procházet či
spravovat. Otevře se dialogové okno Spravovat filtry služby WMI. Klepněte na tlačítko Upřesnit.
Obrázek 20.3 Dialogové okno Spravovat filtry
služby WMI
11. Klepněte na tlačítko Nový. V části Upravit filtr (spodní polovina dialogového okna) zadejte název Pouze Windows XP Pro a do pole
Popis zadejte popis filtru (například Výběr systémů Windows XP Professional). Do pole Dotazy poté za dejte následující filtr:
R o o t \ C i m V 2 ; S e l e c t * from Win32_0peratingSystem w h e r e BuildNumber = "2600"
12. Klepnutím na tlačítko Uložit uložte filtr a poté klepnutím na tlačítko OK filtr vyberte a zároveň zavřete dialogové okno.
13. Klepnutím na tlačítko OK zavřete dialogové okno vlastností objektu zásad skupiny Instalace XPSP1CZ.
Poznámka
Filtr WMI zde pro praxi nemá příliš velký význam. Klientské počítače se systémem Windows 2000 jej budou ignorovat (neumí jej
využívat), jediným systémem, na který by se neuplatnil, je Windows Server 2003. Je zde uveden čistě pro otestování
funkčnosti. Vytvořený filtr WMI můžete použít i u jiných objektů zásad skupiny.
14. Zavřete všechna dialogová okna a nástroje.
Objekt pro instalaci aktualizace Service Pack pro systémy Windows XP Professional je ny ni připraven a měl by být funkční.
Ověření instalace
1. Restartujte počítač PC001.
2. Při spouštění počítače by mělo dojít k instalaci přiřazeného softwaru. Na obrazovce bude zobrazeno následující dialogové okno.
Obrázek 20.4
Dialogové okno oznamující instalaci aktualizace Service Pack
během spouštění počítače
Po dokončení instalace bude možné se přihlásit. V okně Přidat nebo odebrat programy můžete ověřit přítomnost položky Aktualizace Windows
XP Service Pack l(a) a v jeho levé části novou položku Přístup a výchozí nastavení programů (nabízí možnosti zakázání přístupu k aplikacím,
jako je Internet Explorer, Outlook Express apod.). Informace o aktualizaci systému se bude také zobrazovat v dialogovém okně Systém (viz
obrázek 20.5).
253
Obrázek 20.5
Dialogové okno
Systém zobrazuje
informace
o aktualizaci systému
Windows XP
Professional
Aktualizace instalačních souborů
Tato metoda spadá clo oblasti integrovaných instalací. Pokud instalujete operační systém) do čistých počítačů po síti, můžete poměrně
jednoduchým způsobem aktualizovat nikoli Konečné instalace, ale přímo zdrojové instalační soubory operačního systému. Výslední
Integrovaná instalace pak bude trvat stejně dlouho jako instalace samotného operačního systému dříve.
Pokud máte v síti sdílenou složku s instalačními soubory systému Windows, provedete její aktualizaci podle následujících pokynů:
1. Do dočasné složky serveru, na kterém jsou uložené instalační soubory systému Windows XP Professional, rozbalte soubory aktualizace
Service Pack. To můžete provést spuštěním následujícího příkazu:
D : \ X P S P l . e x e /X C:\TEMPSP1 /U
kde složka TEMPSP1 je dočasná složka pro uložení extrahovaných souborů.
2. Po extrahování souborů spusťte následující příkaz: C:\TEMPSPl\update\update.exe /S:C:\WXPPR0 kde složka WXPPRO obsahuje
instalační soubory systému Windows XP Professional.
3. Odstraňte složku TEMPSP1.
Každá další instalace operačního systému již bude kompletní včetně aktualizace Service Pack.
Aktualizace bitových kopií služby vzdálená instalace
Služba Vzdálená instalace, které jsme se podrobně věnovali v kapitole 19, „Přibývají další uživatelé...", moc možností pro aplikaci aktualizace
Service Pack nenabízí. Pokud ji používáte pouze pro základní instalaci systému, obsahuje pouze bitovou kopii typy Risetup (ledy kopii, která se
instaluje jako součást této služby). Pokud používáte službu Vzdálená instalace pro instalace operačního systému spolu s aplikacemi, obsahuje
navíc nejméně jednu bitovou kopii typu Riprep (tedy kopii vytvořenou a uloženou z nakonfigurovaného počítače).
Bitová kopie Risetup
Tento typ kopie není možné přímo aktualizovat aktualizací Service Pack. Mohlo by se zdát, že bude funkční aktualizace instalačních souborů
systému pomocí parametru /S, ale není tomu tak.
Bitová kopie Riprep
Stávající bitové kopie Riprep odpovídají přesně konfiguraci referenčního počítače a ani tu není možné přímo aktualizovat.
Jedná se o docela nepříjemnou záležitost, ale u bitových kopií obecně platí, že se velmi těžko jakkoli aktualizují. Pokud tedy chcete tuto
záležitost vyřešit (a v provozním prostře dí je to žádoucí), je možné postupovat následovně.
Pokud se počítače instalují z kopie Riprep
Řešením je v takovém případě přidat novou bitovou kopii typu Riprep V optimál
mni případě by takový postup sestával z instalace původní kopie Riprep clo klientského počítače, v klientském počítači byste provedli instalaci
aktualizace Service Pack a pomo cí příkazu riprep.exe by se na serveru pro vzdálenou instalaci vytvořila nová, aktualizo váná kopie Riprep.
Původní kopii Riprep byste poté ze serveru odstranili.
254
Obrázek 20.6
Pomocí tlačítka Odebrat lze odebrat jakoukoli bitovou kopii
Pokud se počítače instalují z kopie Rísetup
Řešením je přidání další kopie Risetup a poté odebrání té původní. Tento proces je však nutné provést přímo na serveru (v našem případě) SRVR001.
Postupujte následovně: Instalační soubory systému Windows XP Professional zkopírujte do složky na pevný disk počítače a proveďte jejich
aktualizaci aplikací aktualizace Service Pack (viz odstavec Aktualizace instalačních souborů výše).
1. Přihlaste se k počítači SRVR001 jako správci a zobrazte dialogové okno z obrazku 20.6.
2. Klepněte na tlačítko Přidat. V dialogovém okně Nový soubor odpovědí nebo bitová kopie instalace zaškrtněte políčko Přidat novou
bitovou kopii instalace a poté klepněte na tlačítko Další.
3. Spustí se Průvodce přidáním bitové kopie instalace, pomocí kterého přidejte novou bitovou kopii Risetup.
Po dokončení přidání kopie odeberte původní kopii Risetup. Základní pravidlo a požadavek služby Vzdálená instalace, že na serveru pro vzdálenou
instalaci musí existovat alespoň jedna bitová kopie Risetup, tak zůstane splněno (v opačném případě by služba Vzdálená instalace přestala pracovat).
Aktualizace SP pro sadu Office
Na úvod důležité upozornění. Nečekejte, že instalace aktualizace Service Pack pro sadu Office bude podobná té v předchozí části. Je to celkem
logické. Sada Office není operačním systémem (i když toto by z pohledu instalace softwaru byla ta nejmenší překážku) a pro samotnou instalaci
operačního systému neexistuje v porovnání s instalací sady Office objekt zásad skupiny. Další rozdíly pak vyplynou z dále uvedených postupů.
Kumulativní aktualizace
Aktualizace Service Pack operačního systému tvoří společnost Microsoft jako kumulativní balíčky. Pokud tedy například nainstalujete čistý operační
systém, ke kterému byly již vydány 3 aktualizace (tedy tak, jak je to nyní u systému Windows 2000, i když čtvrtá aktualizace už klepe na dveře),
bude postačovat pouze instalace nejnovější, třetí aktualizace. Takový stav si zaslouží pochvalu, neboť správcům maximálně zjednodušuje práci a
hlavně čas pro nutnou instalaci. Podobným způsobem jsou tvořeny aktualizace operačních systémů a serverových produktů. Bohužel se to však
netýká aktualizací sady Office.
Nekumulativní aktualizace
Nekumulativní aktualizace je pravým opakem výše uvedené. Jestliže tedy budete mít produkt, ke kterému existuje 5 nekumulativních aktualizací,
připravte si kromě všech instalačních médií také pořádný hrnek kávy a odbornou knihu. Budete mít totiž dost času se těmto „postranním" věcem
během instalace věnovat.
Nejprve budete muset nainstalovat samotný produkt a poté jednu aktualizaci za druhou. O nutných restartech, možném chaosu na pevném disku a ne
zrovna optimální náladě správců ani nemluvě.
Typickým představitelem produktu, ke kterému se nevydávají kumulativní aktualizace, je právě sada Office. Nejedná se pouze o verzi XP, ale tento
„styl" začal již s verzí Office 97 (dále má paměť nesahá).
Nekumulativní aktualizace Office XP a instalace pomocí zásad skupiny
Pokud se ještě stále najde někdo, kdo pochybuje o lepším způsobu nasazení softwaru pomocí speciálních nástrojů (které jsou navíc součástí systémů
Windows Server 2003 i Windows 2000 Server) a tvrdí, že než se učit s těmito technologiemi pracovat, bude lepší vše nainstalovat ručně, potom buď
ještě nečetl kapitolu 18, „Instalujeme aplikace" nebo zrněni názor po instalaci aktualizace Service Pack 2 pro sadu Office.
Jak bylo uvedeno výše, aktualizace pro sadu Office obecně nejsou kumulativní, ale existuje jedna výjimka týkající se speciálního případu instalace
aplikací sady Office XP, která zní: Před instalací administrátorské aktualizace Office XP SP-2 není nutné instaloval aktualizaci Office XP
SPI!
Nebude to náhodou náš případ? Samozřejmě bude, nikoli však náhodou. Tím se zároveň dostáváme k typům aktualizace, které jsou uvedeny níže v
odstavci Typ aktualizace.
Aktualizace pro sadu Office XP
K dnešnímu dni existují pro sadu Office XP dvě vydané aktualizace Service Pack (možná by se slušelo poznamenat, že u předchozích verzí Office
se tyto aktualizace nazývaly Ser vice Release).
255
Čeká nás tedy veškerá práce dvakrát? Ano, čeká. Nutno však připomenout, že jenom pro to, Že jsme naši síť nainstalovali v této době. Pokud
bychom ji instalovali dříve, kdy ještě neexistovala aktualizace Office XP Service Pack 2, měli bychom v tuto dobu již nainstalovanou aktualizaci
SP1 a práce by nyní mělo být méně. O tom, jak udržet prostředí aktuální, však bude řeč až dále.
Kde vzít aktualizace
Zde je postup velmi podobný tomu uvedenému výše. Nejjednodušší variantou je stáhnout aktualizace Service Pack z webu. K tomu poslouží webové
stránky na adrese http://offi-ce.microsoft.com/download, kde naleznete vše, co potřebujete. Pozor však na stažení správné aktualizace!
Jazykové verze
Podobně jako u operačního systému, mají i aktualizace sady Office vlastní jazykové verze. Pokud provozujete českou jazykovou verzi sady Office,
musíte stáhnout české verze aktualizací a podobně. V takovém případě musíte po uvedení originální EN verze aktualizace ještě pár dní na svou
kořist počkat.
Poznámka
Proč se vůbec musí čekat na jiné jazykové verze aktualizací? Společnost Microsoft již před několika lety deklarovala, že v dalších
produktech (kterými jsou i současné operační systémy i sada Office XP), budou od sebe oddělené jazyková a výkonná část. To je sice
chvályhodný krok, který ale mohl u některých uživatelů vyvolat dojem, že veškeré aktualizace se nebudou týkat jazykové části a
nebude nezbytné na ně čekat. Je ale nutné si uvědomit, že aktualizace obsahují také upravené jazykové moduly (přibývají například
nové chybové zprávy, zapisují se nové události apod.), a ty je třeba nejprve lokalizovat. A netýká se to jenom hotových aktualizací
Service Pack, ale i valné části oprav hotfix. Proto je zdržení pochopitelné.
Typ aktualizace
Mezi aktualizacemi pro sadu Office XP se můžete setkat se dvěma verzemi. První z nich je klientskou aktualizací, druhá administrátorskou
aktualizací.
Klientská aktualizace
Tento typ aktualizace je určen pro přímé spuštění v konkrétním cílovém počítači. Pro její instalaci musíte být přihlášení jako správci a během
instalace můžete být požádáni o dodání instalačního disku CD-ROM se sadou Office XP. Z uvedených podmínek je jasné, že tato záležitost nemá ve
větších sítích co dělat, neboť se jedná o možnost pro domácí uživatele, nikoli o systémové řešení ve větších sítích.
Princip činnosti je takový, že po spuštění dojde v klientském počítači k aktualizaci všech důležitých souborů. Proto je balíček obsahující tento typ
aktualizace relativně malý a při pokusu o stažení aktualizace SP z webu na něj narazíte jako na první možnost.
Administrátorská aktualizace
Tento typ aktualizace je určen pro větší sítě, kde proběhla (či probíhá) instalace a p l i k a c e sady Office z připravené administrátorské instalace. Tato
aktualizace obsahuje kromě klientské aktualizace ještě další možnosti, které umožňují aktualizovat připravenou adminis trátorskou instalaci na
serveru a poté „přesvědčit" klientské počítače, aby si aktualizovaly své instalace.
Vzhledem k tomu, že okruh zákazníků pro tuto aktualizaci je mnohem menší v porovnání s typickými domácími uživateli či uživateli v menších
sítích, kteří zvolí klientskou aktualizaci, je nutné po této aktualizaci na webu více „pátrat". Rozhodně se nejedná o žádný složitý proces, je ale
důležité pozorně číst veškeré informace. Vhodným výchozím bodem pro české verze aktualizací pro vás jistě bude adresa
http://office.microsoJi.com/
cze/Downloads/,
konkrétní
stažení
však
doporučuji
provést
ze
stránky
httpf/www.microsoft.com/office/ork/xp/appndx/appbOO.htm#Czech. Běžná (klientská) aktualizace je soubo rem s názvem OXPSP2.EXE (přibližná velikost je 16
MB), administrátorská aktualizace pak souborem s názvem OXPSP2A.EXE (přibližná velikost je 51 MB).
Poznámka
Pokud získáte aktualizaci Service Pack sady Office XP na disku CD-ROM přiloženého k počítači či z konference, je velmi
pravděpodobné, že bude obsahovat administrátorskou aktualizaci.
Co budeme potřebovat k instalaci aktualizace
Kromě znalostí, jak vše provést (které pochopitelně naleznete níže), budete potřebovat samotnou administrátorskou verzi aktualizace Service Pack 2
ve správné jazykové verzi, ;i fyzický přístup k počítači SRVR001. Nebudete potřebovat aktualizaci Service Pack 1! Administrátorské aktualizace
Service Pack 2 pro jazykové verze CZ i EN sady Office XP naleznete na přiloženém disku CD-ROM.
Instalace aktualizace SP2 pomocí zásad skupiny
Přiznám se, že když jsem poprvé viděl na webových stránkách společnosti Microsoft informace k instalaci aktualizace SPI sady Office XP, moc
moudrosti jsem z nich nepobral. Připadalo mi to, že ze strany společnosti Microsoft šlo o vměstnání co největšího počtu informací do co nejkratšího
souboru. Soubor tak dodnes obsahuje informace o provedeni instalace klasickým způsobem, pomocí administrátorské instalace i pomocí objektu zásad skupiny. Pro člověka, který však tyto informace vidí poprvé, nemá žádné zkušenosti
a například ani praxi se samotným instalačním nástrojem Windows Installer (Instalační služba systému Windows), mohou být uvedené informace
zavádějící, neboť z nich nemusí být zcela jasné, co všechno vlastně na konkrétní případ instalace aplikovat. Následující postup je tak ukázkou
instalace aktualizace pomocí zásad skupiny s podrobným popisem, ve kterém se jistě nikdo neztratí.
Otestování instalace
Práce s aplikacemi sady Office bývá denním chlebem spousty pracovníků mnoha organizací. Je proto velmi důležité, abyste postupy pro instalaci
měli dobře zvládnuté a ověřené v laboratorním prostředí a zároveň, abyste otestovali účinek aktualizace na běžnou práci různých skupin uživatelů.
Předtím se rozhodně nepouštějte do instalace v pro-vozním prostředí.
256
Příprava instalace aktualizace
2. Vytvořte dočasnou složku (například TEMPSP2), do které poté uložte (nebo stáhněte) soubor OXPSP2A.EXE.
3. Poklepáním na tento soubor jej spusťte. Přečtěte si licenční smlouvu a pokud souhlasíte kleněte na tlačítko Ano.
Obrázek 20.7
Licenční smlouva na aktualizaci Service Pack 2
4. Poté zadejte umístění pro extrahované soubory - doporučuji stejnou dočasnou složku (C:\TEMPSP2).
5. Výsledek je možná překvapením, ale je správný - došlo k extrakci 2 souborů s příponou MSP (Microsoft Windows Installer Patch).
Všimněte si, že souborům byly automaticky přiřazeny stejné ikony, jako mají soubory MSI. Ano, jedná se o soubory, které spolupracují s
instalační službou systému Windows, jejichž úkolem je zajistit aktualizaci a úpravy instalací provedených pomocí souboru MSI. V principu se
jedná o podobný úkol, jako mají soubory MST. Jedná se o poslední typ souborů, se kterými se můžete setkat v oblasti instalace softwaru
pomocí objektů zásad skupiny (pominu-li soubory ZAP, jež jsou jen hodně slabou náhražkou souborů MSI).
6. Znemožněte přístup k instalačním souborům ze sítě. Soubory, které se budou aktualizovat, nelze současně používat. Možným řešením může
být zrušení sdílení složky, ve které je administrátorská instalace sady Office XP k dispozici. Protože by to ale mělo vliv také na instalaci
aktualizací Service Pack 1 na operační systémy Windows XP Professional, nemusí se jednat o optimální řešení. Dalším řešením může být
dočasné odebrání oprávnění NTFS běžným uživatelů (oprávnění prosprávce si ponechte, budete je potřebovat při aktualizaci souborů).
Aplikace aktualizace na administrátorskou instalaci
Pokud máte k dispozici soubor MSP a potřebujete jej aplikovat na instalační zdroj, je po stup vždy stejný. Proto si jej pamatujte, neboť se může
hodit i při úpravě instalací úplně jiných produktů.
Přihlaste se k počítači SRVR001 jako správci (nejjistější výsledek dosáhnete, budete-li aplikovat soubor MSP místně, nikoli pře síť).
1. V Nabídce Start klepněte na příkaz Spustit a do pole Otevřít zadejte následující příkaz:
m s i e x e c /a " \ \ S R V R 0 0 1 \ A p l i k a c e \ 0 f fice X P X O W C 1 0 .MSI" /p " C : \ T E M P S P 2 \ O W C 1 0 S P 2 F F . M S P " SHORTFILENAMES=TRUE
2. Zobrazí se dialogové okno Microsoft Office XP Web Components (viz obrázek 20.8). Ponechte, případně upravte, nastavení a poté klepněte
Obrázek 20.8
Nyní dojde k úpravě webových součástí sady Office XP
3. V dalším dialogovém okně si přečtěte licenční smlouvu, zaškrtněte políčko S podmínkami licenční smlouvy souhlasím a pokračujte klepnutím
na tlačítko Nainstalovat.
4. V instalační složce D:\Instalace aplikací\Office XP dojde k přepsání některých souborů novými, aktualizovanými verzemi. Po dokončení
instalace se zobrazí dialogové okno, které zavřete klepnutím na tlačítko OK.
257
5. V Nabídce Start znovu klepněte na příkaz Spustit a do pole Otevřít zadejte následující příkaz:
m s i e x e c /a " \ \ S R V R 0 0 1 \ A p l ik a c e \ 0 f f ice X P \ PROPLUS.MS I" /p " C : \ T E M P S P 2 \ M A I N S P 2 F F . M S P " SHORTFI LENAMES=TRUE
Poznámka
Název instalačního balíčku MSI se může měnit podle verze.
Vzhledem k velikosti tohoto souboru se dá očekávat, že nyní bude aktualizace probíhat delší dobu než v předchozím případě.
6. V dialogovém okně Instalace pro správu ponechte, případně změňte, výchozí parametry (Organizace, Umístění instalace, ProductKey) a
pokračujte klepnu tím na tlačítko Další.
7. V dialogovém okně Licenční smlouva s koncovým uživatelem si přečtěte smlouvu, zaškrtněte políčko S podmínkami licenční smlouvy
souhlasím a pokračujte klepnutím na tlačítko Nainstalovat.
Obrázek 20.9
Licenční smlouva s koncovým uživatelem
Instalace nyní proběhne automaticky. Po dokončení se zobrazí dialogové
okno, které zavřete klepnutím na tlačítko OK.
Nové zavedení softwaru
Ačkoli to možná tak nevypadá, máme hotovo. Provedli jsme aktualizaci
administrátorské instalace, ze které se instalují všechny počítače. Je jedno,
jestli je klientských počítačů 10, 100 nebo 1 000. Instalační zdroj mají přece
stejný. Ještě je ale nutné provést jeden krok - uživatelům, kteří si své
aplikace již nainstalovali (spustili je), je třeba říci, že si je mají nainstalovat
znovu. Samozřejmě že jim to nemusíte telefonovat ani na ně křičet z okna (i
kdyby, uživatelé by stejně novou instalaci zřejmě nespustili, neboť nemají
jak), Tento krok je nutné provést v doméně Active Directory. Postupujte
podle následujících pokynů.
1.
2.
3.
4.
Klepněte na organizační jednotku Obchod a zobrazte její vlastnosti.
Na kartě Zásady skupiny označte objekt zásad skupiny, pomocí kterého se insta lují aplikace sady Office XP příslušným uživatelům, a poté
klepněte na tlačitko Upravit. Spustí se konzola Zásady skupiny.
5. Přejděte do složky Konfigurace uživatele\Nastavení softwaru a klepněte nu položku Instalace softwaru.
6. Pravým tlačítkem myši poté klepněte na konkrétní položku instalující software a v části Všechny úkoly klepněte na příkaz Znovu zavést
aplikaci. Na další do taz odpovězte klepnutím na tlačítko Ano.
7. Postup opakujte pro všechny ostatní zásady skupiny využívající stejný inslační zdroj (v jiných organizačních jednotkách či na úrovni celé
domény).
Ověření aplikace aktualizace
Nainstalovaná aktualizace se chová následovně. Pokud měl uživatel v počítači aplikaci již nainstalovanou (tedy ji používal), nainstaluje se její
aktualizace během příštího přihlášení. O tuto instalaci se tak prodlouží přihlašovací proces, což však u aktualizace SP2 ne-trvá dlouho. Po dokončení
přihlášení může poté uživatel aplikaci ihned spustit a pracovat. Pokud aktualizace nepřinese nové vlastnosti, neměl by ani poznat žádné změny ve
své práci.
1. Přihlaste se k počítači PC001 jako uživatel, který již zde používal některou aplikaci sady Office XP.
2. Spusťte tuto aplikaci a v nabídce Nápověda klepněte na položku O aplikaci...
3. V dialogovém okně O produktu... poté ověřte, že skutečně pracujete s aktualizací Service Pack 2.
258
Obrázek 20.10
Potvrzení nainstalované aktualizace Microsoft Outlook 2002
(10.4219.4219) SP-2
Pokud uživatel nyní spustí aplikaci poprvé, spustí se její instalace úplně stejně jako kdykoli předtím. Rozdíl bude v tom, že nyní se bude instalovat
již aktualizovaná aplikace.
1. Přihlaste se k počítači PC001 jako uživatel, který ještě nepoužíval některou ze svých přiřazených aplikací.
2. V Nabídce Start přejděte do složky Všechny programy a poté klepněte na ikonu ještě nenainstalované aplikace sady Office.
3. Vyčkejte na instalace produktu a poté ověřte, že se jedná o aktualizovanou verzi SP 2.
Udržujte své aplikace sady Office aktuální
Společnost Microsoft nevydává k aplikacím sady Office pouze jednou za čas aktualizaci Service Pack, ale v případě nutnosti vydává průběžně také
dílčí opravy funkčnosti či zabezpečení. Pokud chcete mít své aplikace bezpečné a plně funkční, je dobré nové aktualizace hlídat a aplikovat je.
Dílčí aktualizace prakticky neseženete jinde než v Internetu na stránkách společnosti Microsoft. Podobně jako aktualizace Service Pack, i tyto
aktualizace existují ve dvou formách. Ta první - klientská - je určena pro přímou instalaci do konkrétního počítače, druhá - administrátorská - je
určena k aktualizaci administrátorské instalace.
Všechny administrátorské opravy od aktualizace SP2 naleznete v jazykových verzích CZ i i EN na přiloženém disku CD-ROM.
Předtím, než se rozhodnete aktualizaci na administrátorskou instalaci aplikovat, je vhodné ověřit funkčnost aplikace v laboratorním prostředí nebo ve
vybraném počítači v provozním prostředí, samozřejmě však za předpokladu, že případný pád aplikace nezpůsobí uživateli žádné potíže. Pro tyto
účely postačí stáhnout verzi aktualizace pro klientskou j instalaci (která je navíc jazykově závislá). Pokud je vše v pořádku, přichází na řadu stažení
aktualizace pro administrátorskou instalaci.
Nyní již můžete hádat, v jakém formátu po dekomprimaci aktualizace administrátorské instalace asi bude? MSP? Jak jste na to přišli? Že by se ve vás
uhnízdily důležité informace? J Ano, máte samozřejmě pravdu.
Poznámka
Podobně jako u aktualizací Service Pack je možné od sebe oddělit i dílčí aktualizace a opravy podle názvu samorozbalovacího
souboru. Příkladem jsou soubory olk1005.exe a olk1005a.exe v lokalizovaných verzích soubory olk1005n.exe a olk1005a.exe.
Obrázek 20.11
Aplikace Outlook 2002 po aktualizaci opravou z prosince roku 2002
(verze 10.4608.4219)
259
I u administrátorských aktualizací je nutné dbát na jazykovou shodu. Webová stránka se seznamem aktualizací pro jednotlivé jazyky je k dispozici na
adrese http://www.micro soft.com/office/ork/xp/appndx/appb00.htm.
Pokud byste se však omylem snažili instalovat aktualizaci v jiném jazyce, nemusíte mít strach - instalační program se automaticky přeruší.
Instalace dílčí opravy či aktualizace probíhá stejným způsobem jako instalace aktualizace Service Pack uvedená výše. Například po rozbalení
aktualizace olkl005a.exe vznikne soubor OUTLOOKff.MSP, který je třeba spustit proti administrátorské instalaci pomocí následujícího příkazu
(předpokládáme jeho přítomnost ve složce TEMPSP2 na jednotce C):
m s i . i e x e c /a "\\SRVR001\Apl i k a c e \ 0 f f i ce X P \ PROP LUS. MS I" /p "C:\TEMPSP2\0UTL00KFF.MSP"
SHORTFILENAMES=TRUE
Po úspěšném dokončení instalace je možné všechny soubory MSP odstranit z disku.
Odinstalování aktualizací
Aktualizace aplikací Office není možné odinstalovat. Proto je velmi důležité před instalaci vše dopředu pečlivě otestovat. Jedinou možností, jak
vrátit zpět původní verzi, je odstranit administrátorskou instalaci a poté ji nainstalovat znovu.
V případě, kdy jste ji aktualizovali pouze jednou (jako jsme my použili pouze SP-2), se může jednat o pár minut práce. V případě, že jste ji
aktualizovali vícekrát, se čas potřebný pro uvedení do původního stavu prodlužuje. Samozřejmě celý proces vyžaduje pečlivou dokumentaci, ze které
bude jasné, jaké opravy a aktualizace bude třeba do adminis-trátorské instalace znovu zanést. Pokud dokumentace neexistuje, můžete se dostat do
velkých potíží.
Účinky vrácení administrátorské instalace zpět na klienty si promítněte sami. Jistě se nejedná o nic příjemného a pečlivé testování se tedy rozhodně
vyplatí.
Závěr
Inslalace aktualizací Service Pack je nutnou záležitostí pro správce, kteří mají zájem udr-žovat své prostředí bezpečné, funkční a aktuální. Tyto
aktualizace vydává společnost Microsoft jak pro samotný operační systém, tak pro další serverové produkty či aplikace. Aktualizace Service Pack
mají mnoho způsobů instalace. V případě, kdy používáte instalaci softwaru pomocí zásad skupiny, budete využívat jednu z nejjednodušších metod,
kterou oceníte v jakkoli velkém prostředí. Jedná se o úpravu objektu zásad skupiny (platí pro aktualizace operačního systému) nebo o stejnou činnost
spolu s aktualizací administrátorské instalace (pro sadu Office).
Zatímco výchozím nastavením aktualizace Service Pack pro systém Windows XP Profes sional je možnost odinstalovat ji, aktualizace sady Office
se odstranit nedá. Proto vyžadu je pečlivé ověření v laboratorním prostředí.
Společnost Microsoft vydává kromě aktualizací Service Pack také dílčí opravy či aktuali zace. Zatímco u tohoto typu oprav určených pro operační
systém neexistuje možnost je jich inslalace pomocí zásad skupiny, u aktualizací a oprav sady Office to možné je, Slouží k tomu soubor MSP, který
je však pouze součástí verze opravy pro administrátorskou instalaci.
Při definici instalačního zdroje nesmíte zapomenout definovat správnou úroveň oprávnění přístupu - zejména se nevyplácí zapomínat na oprávnění
pro účty počítačů, které musí mít přístup (alespoň Číst a Číst a spouštět) k instalačním zdrojům aplikace Service Pack. Systémy Windows 2000 mají
standardní oprávnění NTFS pro skupinu Everyone (tam tedy není problém), ale systémy Windows XP Professional na počítače nepamatují.
Stav sítě
V síti existuje aktualizovaná administrátorská instalace aplikací sady Office na serveru SRVR001 a všechny objekty týkající se instalace aplikací
sady Office byly znovu aplikovány (jejich konfigurace se však nezměnila). Všichni uživatelé systémů Windows XP Professional tak mají nyní
nainstalované aktualizace Service Pack l(a) a používají aplikace sady Office s aktualizací SP2.
260
Firma se rozhodla nakoupit přenosné
počítače
Doufejme, že pro správce. Samozřejmě že taková situace se nevyskytuje často (aby byli přenosnými počítači vybaveni pouze správci), neboť
minimálně šéf by se cítil dojat. A přesto, že vůbec nemusí vědět, co to před ním na stole leží za krabičku, musí na tom stole z principu být.
Samozřejmě však existuje také spousta šéfů, kteří přenosný počítač využívat umějí a skutečně jej ke své práci po-třebují, stejně tak existuje spousta
dalších zaměstnanců v různých organizacích, kterým přenosný počítač ulehčí jejich práci.
Není cílem této kapitoly rozebírat výhody a nevýhody používání přenosného počítače proti klasické krabici pod slolem s monitorem přes tři čtvrtě
stolu. Mnohem důležitější je vědět, s čím vším se mohou uživatelé přenosných počítačů setkat a jak s nimi optimálně pracovat.
Operačním systémem v přenosných počítačích by měl být klasický desktopový systém, tedy Microsoft Windows XP Professional (případně Windows
2000). S přenosnými po-čítači s jiným systémem řady Windows NT se pravděpodobně nesetkáte, neboť systém Windows NT 4.0 nedisponoval
potřebnými funkcemi, a systémy řady Windows 9x/ME nejsou určeny pro firemní prostředí. Serverové operační systémy Windows 2000/2003 v
přenosných počítačích jsou spíše výjimkou.
Řízení spotřeby
Pokud budou uživatelé se svým přenosným počítačem na cestách, není to proto, aby se s ním někde chlubili, ale protože jej při práci na cestách
potřebují. Ne vždy a všude je však možné připojit počítač k napájení z elektrické lítě, při některých jednáních by to navíc ani nevzbuzovalo důvěru
druhé strany. Proto je často nutné pracovat s po-čítačem napájeným z baterie.
Abyste takto mohli pracovat co nejdéle, je třeba energii, kterou vám baterie poskytuje, využívat hospodárně, tj. využít různá nastavení k prodloužení
doby práce. Proč by měl například neustále svítit panel LCD, který odebírá spoustu energie, když se s počítačem nepracuje? Proč by se po nějaké
době nemohl vypnout disk počítače, když není třeba? Proč by se po nějaké době nemohl „vypnout" celý počítač, ale tak, aby šel zapnout rychleji, než
při běžném spouštění?
Možností pro tyto konfigurace je více než dost a tato oblast se nazývá řízením spotřeby. Nejvíce možností řízení spotřeby (a tedy nejdelší práci na
baterie) umožňuje technologie ACPI (Advanced Configuration and Power Interface). Ta je navržena tak, aby se o veškeré řízení spotřeby staral
operační systém, tedy aby se o jednotlivé možnosti nepřetahoval systém BIOS počítače s operačním systémem.
Počítače, které nemají implementovánu technologii ACPI, mohou mít poněkud starší technologii - APM (Advanced Power Management). I její
možnosti jsou v systému Windows XP Professional k dispozici, i když nedosahují možností technologie ACPI. Nutno dodat, že i počítač, který
neumí žádnou z uvedených technologií, může využívat některých možností operačního systému. Pravda je ale taková, že s podobnými přenosnými
počítači se asi těžko setkáte (vždyť systémy Windows XP Professional se zpravidla instalují do nových počítačů, tím spíše přenosných).
Určení technologie ACPI
Protože toho v oblasti řízení spotřeby umí nejvíce technologie ACPI, je vhodné vědět, jakým způsobem ověřit, že jí daný počítač disponuje.
Postupujte podle následujících pokynů.
1. V okně Ovládací panely poklepejte na položku Systém.
2. V dialogovém okně Vlastnosti systému klepněte na kartu Hardware a poté n;i tlačítko Správce zařízení.
3. V okně s přehledem nainstalovaného hardwaru rozbalte položku Počítač. Pokud uvidíte položku s názvem Osobní počítač s rozhraním
ACPI, může počítač využívat všech možností technologie ACPI. Pokud uvidíte položku s názvem Standardní PC, rozhraní ACPI se
nekoná.
Technologie ACPI je hlavně záležitostí systému BIOS počítače. Pokud počítač neumí pra covat s technologií ACPI, může v některých případech
pomoci aktualizace (nový firmawa re) systému BIOS. I když poté bude systém BIOS umět s technologií ACPI pracoval, ještě tě se netěšte - systém
Windows XP Professional totiž budete muset přeinstalovat. J i n a k bude nadále pracovat tak jako dříve.
Pokud nebude možné přesvědčit počítač na technologii ACPI, chtělo by to alespoň tech nologii APM. To, zda ji počítač podporuje, zjistíte podle
následujících pokynů:
Určení technologie APM
1. V okně Ovládací panely poklepejte na položku Systém.
2. V dialogovém okně Vlastnosti systému klepněte na kartu Hardware a poté na tlačítko Správce zařízení.
3. V okně s přehledem nainstalovaného hardwaru klepněte v nabídce Zobrazil na položku Zobrazit skrytá zařízení. Objeví-li se poté mezi
zařízeními položka Podpora služby NT Apm/Legacy, počítač podporu vylepšeného řízení spotře by obsahuje.
Přenosné počítače mají jiné způsoby využití. Mohou existovat vývojáři, již je potřebují při psaní kódu během cestování ve vlaku (ale nesmějí při tom
usnout), obchodníci, kteří je používají při zadávání objednávek zákazníků a jejich odesílání do centrály nebo například marketingoví pracovníci, již
využívají přenosné počítače pro prezentace. Každá z těchto skupin bude mít jistě na způsob řízení spotřeby jiné požadavky. A tak za-tímco
obchodníci mohou mít mimo jiné nastaveno, že počítač se po 15 minutách nečinnosti přepne automaticky do úsporného režimu (beztak již v tu dobu
leží někde v tašce v autě), vývojáři mohou požadovat, aby se nikdy nezastavil disk počítače, neboť s ním stále potřebují pracovat a neustálé rozbíhání
by je zdržovalo, tak marketingoví pracovníci chtějí, aby se nikdy nevypnul monitor (jak by to také působilo na účastníky prezentace). Protože je
nastavení pro řízení spotřeby více a některá spolu silně souvisí, jsou vždy všechna nastavení shrnuta do jednoho celku, kterému se říká Schéma
261
napájení.
Schémata napájení
Systém Windows XP Professional (podobně jako systém Windows 2000) obsahuje několik předdefinovaných schémat napájení. Ve výchozí
konfiguraci je jich celkem 6 a odpovídají různým rolím počítače. Schémata se zobrazí po poklepání na položku Možnosti na-pájení v okně Ovládací
panely.
jedná se pouze o předdefinované položky, které si mohou uživatelé upravit. Stejně tak si mohou vytvořit svá vlastní schémata (po klepnutí na tlačítko
Uložit). Poslední možností je volba Odstranit, která aktuální schéma napájení odstraní.
Konfigurace a počet schémat je záležitost profilu uživatele, takže si uživatelé mezi sebou nastavení neovlivní.
Schémata napájení a zásady skupiny
Ve schématech napájení jsou nastavení založená na době nečinnosti. Nečinnost lze obecné charakterizovat jako nicnedělání s počítačem. Jak to ale
může v praxi vypadat? Máte například nastaveno, že počítač přejde do režimu spánku po 20 minutách (slovo „nečinnost" v systému uvedeno není,
ale automaticky se předpokládá). Probíhá 18. minu-ta. když vtom si váš počítač vzpomene, že provede aplikaci objektů zásad skupiny. On si
samozřejmě nevzpomene „jen tak mimochodem", ale proto, že je interval definován zá-sadami skupiny. Přechod do režimu spánku se v takovém
případě konat nebude, neboť časovač tohoto režimu (spolu s úsporným režimem) se aplikací zásad skupiny nuluje. Pokud tedy myslíte práci se
zásadami skupiny vážně, musíte vzít vážně i interval aplika ce objektů zásad skupiny. Další informace o těchto intervalech naleznete v kapitole 17,
„Správa prostředí klientských počítačů". Jenom pro připomenutí - jedná se o následující tři nastavení, která mohou mít na řízení spotřeby vliv:
♦
♦
♦
Konfigurace uživatele\Šablony pro správu\Síť - Interval aktualizace zásad skupiny pro uživatele.
Konfigurace počítače\Šablony pro správu\Systém - Interval aktualizace zásad sku piny pro počítače.
Konfigurace počítače\Šablony pro správu\Systém - Vypnout aktualizace zásad skupiny na pozadí.
Úsporný režim
Při úsporném režimu dojde k vypnutí napájení všech zařízení v počítači s výjimkou jediného - operační paměti. Tím je zajištěno, že se neztratí
rozdělaná práce a že po obnovení systému bude moci uživatel v práci pokračovat. Jedná se o stav, jenž je optimální například pro obchodníky
cestující mezi více zákazníky, kteří nechtějí počítač vypínat, neboť obnovení jim v takovém případě zabere spoustu času, navíc musí mít uložené
všechny rozpracované úlohy.
Ačkoli to vypadá velmi slibně, jednu nevýhodu ale úsporný režim má - pokud dojde energie baterii, přestane se napájet i paměť a neuložená práce tak
bude ztracena. Režim spánku musí podporovat všechna zařízení počítače - poté je zobrazen jako jedna z možností v dialogovém okně Ukončit
systém Windows při vypínání počítače.
Režim spánku
Režim spánku je v porovnání s úsporným režimem ještě úspornější - dá se zde trochu polemizovat s odpovídajícím názvem těchto funkcí, ale to je
tak vše, co můžeme udělat. Při přechodu do režimu spánku se nejprve uloží obsah paměti na disk a poté se vypne napájení všech zařízení (tedy i
paměti). Na rozdíl od úsporného režimu vydrží počítač v režimu spánku neomezeně dlouhou dobu. Výhodou tohoto režimu oproti běžnému spuštění
je velmi rychlý start a připravenost k práci, samozřejmě s rozdělanou prací na ploše tak, jak to vypadalo při uspání.
Režim spánku je nutné ručně zapnout a pro svou činnost potřebuje počítač na disku volné místo o velikosti paměti RAM. Pokud takové místo na
disku chybí, není možné režim spánku povolit.
Povolení režimu spánku
1. V okně Ovládací panely poklepejte na položku Možnosti napájení.
2. Na kartě Režim spánku zaškrtněte políčko Zapnout podporu režimu spánku.
Režim spánku bude nyní další možností vypnutí počítače v dialogovém okně Ukončit systém Windows.
Pokud myslíte alespoň trochu na zabezpečení počítačů (i sítě), mohou ve vás předchozí dvě možnosti řízení spotřeby vyvolat nejistotu. Co se stane
při obnovení z těchto režimů? Nebude mít náhodou „kolemjdoucí" uživatel možnost dostat se k pracovní ploše jiného uživatele (toho, který počítač
do režimu přepnul)? Zatímco u úsporného režimu nemusí být odpověď vždy jednoznačná a stát se to může, u režimu spánku je to vždy stejné - po
čítač se probudí do uzamčené obrazovky.
Z pohledu zabezpečení je to tedy v pořádku, zároveň se však jedná o stav, který znemožňuje používání režimu spánku v případě, kdy jeden přenosný
počítač sdílí více uživale lů. Odemknout počítač totiž může pouze uživatel, který jej zamkl, nebo správce.
Zesílení zabezpečení
Chcete-li mít jistotu, že nastavení zabezpečení nebude v rukou konkrétních uživatelů (u úsporného režimu může uživatel nastavit automatické
obnovení až na pracovní plo chu), použijte zásady skupiny.
V konzole Zásady skupiny (Editor zásad skupiny v systému Windows Server 2003) přejděte do složky Konfigurace uživatele\Šablony pro
správu\Systém\Napájení a povolte zásadu Při obnovení činnosti z režimu pozastavení nebo spánku vyžadovat heslo.
Poznámka
Uvedená zásada se v síti se systémy Windows XP Professional a Windows 2000 bude týkat pouze systémů Windows XP Professional
(případně serverových systémů Windows Server 2003).
Většina nastavení řízení spotřeby je v rukou uživatelů (zásady skupiny pro konkrétní nastavení neexistují, neboť by logicky postrádaly smysl). Je
tedy velmi důležité s nimi uživatele naučit zacházet, abyste nemuseli zbytečně řešit jejich (z hlediska správců nesmyslné) potíže.
262
Jako správci přece jen máte jednu možnost - veškeré možnosti konfigurace řízení spotřeby uživatelům zakázat. Jak? Vzpomeňte na možnost zakázat
uživatelům obecně přístup do Ovládacích panelů, případně pouze do konkrétních panelů.
Jak zajistit přístup k souborům na serveru i nepřipojeným
uživatelům?
Požadavek na možnost pracovat se soubory, které se v organizaci vyskytují ve sdílených složkách na souborových serverech, se vyskytuje prakticky
od té doby, co se začaly ve větší míře používat sítě. Protože dříve neexistovaly nástroje, které by tuto práci nějakým způsobem ulehčovaly, byli
uživatelé nuceni najít si své vlastní postupy. Takový postup byl poměrně jednoduchý, neboť spočíval ve zkopírování potřebných souborů ze serveru
do místního počítače. Poté s nimi mohl uživatel pracovat, i když k síti připojen nebyl. Tak se také dělo a v případě, kdy bylo takových uživatelů více,
mohly na-stat později problémy.
Druhou částí této činnosti bylo totiž vrátit upravené soubory zpět na server. Jak to asi mohlo dopadnout, pokud takový soubor mezitím upravil ještě
jiný uživatel buď přímo na ser-veru nebo ve svém počítači a poté jej na server zkopíroval? Tato záležitost zůstala dlouhou dobu nevyřešena a bylo na
uživatelích, jak se v takových případech dohodnou. V or-nizacích tak vznikaly postupy, které byly více a více složitější, navíc někteří uživatelé se
podle nich vůbec neřídili.
Práce se soubory uloženými na serveru mimo síť tak nesestávala pouze ze samotné možnosti pracovat se soubory, ale také z nutnosti soubory
kopírovat do počítače a po jejich Úpravě je vrátit na své místo tak, aby zůstala zachovaná oprávnění, názvy a pokud možno zůstal zohledněn také
stav, kdy soubory upravilo několik uživatelů současně.
Aktovka
Později se v systémech Windows objevil nástroj zvaný Aktovka. Ten měl za úkol zjednoduši Zejména proces získávání souborů ze serveru a
jejich zpětné dodání na server po úpravě.
Tento nástroj odpovídal své době a možnostem tehdejších technologií. Na uživatele však kladl další nároky, které za ně nemohli provést správci.
Výsledkem byl stav, kdy všichni věděli, že nástroj Aktovka v systému je, věděli přibližně k čemu slouží, ale téměř nikdo (včetně správců) jej
nepoužíval.
Z důvodů kompatibility (a pro několik desetin zapřísáhlých uživatelů, kteří se s ním naučili pracovat) přetrval nástroj Aktovka až do systému
Windows XP Professional. Není však určen pro nové uživatele, neboť jeho možnosti již byly překonány. Od řady systému Windows 2000 je k
dispozici nový nástroj (či spíše funkce) - Soubory offline. Na Aktovku tedy pokud možno zapomeňte.
Soubory offline
Funkce Soubory offline je určena pro uživatele, kteří se svými počítači cestují, a na cestách, kdy nejsou připojeni k sítí, potřebují mít přístup k
dokumentům, jež jsou uložené pouze na souborových serverech. Zároveň řeší - velmi elegantně - synchronizaci souborů upravených „na cestách"
(tedy mimo síť) s jejich protějšky na serveru. Funkce Soubory offline je v klientských operačních systémech standardně povolena. Pro jednoznačné
a jasné chování je však třeba ji nakonfigurovat, přičemž se tohoto procesu musí účastnit jak správci, tak uživatelé. Správci v tomto procesu
odpovídají za to, že uži-vatel může mít k dispozici všechny dokumenty, které na cestách potřebuje, uživatelé naopak odpovídají za to, že si své
dokumenty na cesty odnesou a po připojení zpět do sítě provedou správnou synchronizaci v případě, kdy by mezi soubory v jejich počítači a na
serveru došlo ke konfliktu.
Funkce Soubory offline je k dispozici od řady systémů Windows 2000, v systémech Windows XP Professional a Windows Server 2003 je však
rozšířena o některé zajímavé mož- nosti.
Pojďme se podívat do naší sítě. Je totiž velmi pravděpodobné, že funkci Soubory offline již někteří uživatelé používají.
1. Přihlaste se k počítači PC001 jako uživatel obchodního oddělení (například Obchod3)
2. Klepněte na složku Dokumenty a vytvořte v této složce nový soubor (na jménu ani obsahu nezáleží).
3. Odhlaste se od počítače. Během odhlašování si pravděpodobně všimnete procesu j synchronizace obsahu složky Dokumenty.
Obrázek 21.1
Synchronizace složky Dokumenty během odhlášení uživatele
Proces, ke kterému došlo, je celkem pochopitelný. Všichni uživatelé
organizace Studny s.r.o. mají pomocí zásad skupiny nakonfigurováno přesměrování složky Dokumenty na server. To znamená, že součástí profilu
již není obsah složky, ale pouze cesta k ní. V tuto chvíli by vše bylo pochopitelné, kdyby se soubor uložený do složky Dokumenty ukládal přímo na
server tam, kde je složka umístěna. Operační systém Windows XP Professional má však v této situaci oproti systému Windows 2000 navíc jednu
vlastnost - všechny přesměrované složky se automaticky nakonfigurují do režimu offline.
Znamená to, že pokud ve složce Dokumenty vytvoříte nový soubor, vytváříte jej (navzdory přesměrování) v místním počítači. A nejdéle při odhlášení
či vypnutí počítače dojde k synchronizaci obsahu této složky na server.
Poznámka
V systému Windows 2000 byste daný soubor bez další předchozí konfigurace opravdu vytvářeli přímo na serveru.
Můžeme tedy říci, že všichni uživatelé, kterým jsme přesměrovali složku Dokumenty, již využívají funkci Soubory offline, aniž by museli cokoli
konfigurovat.
Složka Dokumenty však jistě není jediná, s jejímž obsahem by uživatelé chtěli pracovat i v případě nedostupnosti sítě. Dalšími potenciálními adepty
pro tuto funkci jsou složky firemní knihovny dokumentů. Dále se tedy postupně podíváme na obecné možnosti další konfigurace funkce Soubory
263
offline a nakonfigurujeme přístup do knihovny firemních dokumentů.
Povolení funkce Soubory offline
Ačkoli jsme se přesvědčili, že bez jakékoli konfigurace na straně uživatelů již funkci Soubory offline uživatelé používají, je vhodné vědět, kde se tato
funkce povoluje. Ne vždy vše musí být tak automatické jako v našem případě.
2. Otevřete okno aplikace Průzkumník Windows a v nabídce Nástroje klepněte na položku Možnosti složky.
Obrázek 21.2
Karta Soubory offline dialogového okna Možnosti složky
3. Otevře se dialogové okno Možnosti složky. Na kartě Soubory offline si všimněte zaškrtnutého políčka Povolit soubory offline.
Pokud je položka Povolit soubory offline šedá, znamená to, že je přihlášen uživatel, který nemá oprávnění správce. Nikdo jiný než správce totiž není
schopen tuto funkci zapnout. Poté ji mají k dispozici všichni uživatelé daného počítače.
V klientských operačních systémech Windows XP Professional a Windows 2000 jsou soubory offline povolené ihned po instalaci. Naopak, u
serverových systémů (Windows 2000 Server a Windows Server 2003) jsou standardně zakázané. Koneckonců, kdo by předpokládal, že bude se
serverem cestovat?
Možnosti zpřístupnění souborů
Požadavky uživatelů na možnost pracovat se soubory offline se liší. Někteří potřebují mít k dispozici všechny soubory ze složky, kdykoli si
vzpomenou, jiným stačí mít k dispozici pouze vybrané soubory ze složky (ale také vždy), a některým stačí, pokud budou mít k dispozici soubory, s
nimiž naposledy pracovali (pokud je však mít nebudou, nic tak zvláštního se nestane).
Jedná se o tří různé přístupy k funkci Soubory offline, kterým odpovídají tři různá nasta vení. Nutno dodat, že tato nastavení spadají do povinností
a možností správce serveru.
Automatické ukládání dokumentů do mezipaměti
Je-li sdílená složka nakonfigurována tímto způsobem, potom uživateli stačí povolená funkce souborů offline (a ta je standardně povolena) a do
mezipaměti se automaticky uloží každý otevřený soubor z takové složky. Tato možnost má následující vlastnosti:
♦ Soubor se uloží do mezipaměti automaticky ihned po jeho otevření.
♦ Soubor se může z mezipaměti odstranit automaticky kdykoli, pokud pro něj není na disku místo.
♦ Soubor není na disku označen žádnou zvláštní ikonou.
Každý klientský počítač má na svém pevném disku vyhrazeno místo pro mezipaměť souborů offline. Velikost této mezipaměti se liší podle velikosti
disku. Výchozí nastaveni je 10 % velikosti jednotky, na které je nainstalován operační systém (takzvaná spouštěcí jed notka). Na kartě Soubory
offline (víz obrázek 21.2) je možné tuto velikost upravit, opět je vše ale pouze v rukou správce počítače. Pokud se mezipaměť zaplní a je nutné do ní
uložit ručně ukládané soubory offline, začnou se soubory uložené výše uvedeným způ sobem automaticky odstraňovat.
Je tedy jasné, že možnost Automatické ukládání dokumentů do mezipaměti nebude vhod ná pro soubory, které je nutné mít v počítači vždy a za
každou cenu.
Ověření automatického ukládání dokumentů
2. Na jednotce C: vytvořte složku s názvem Automaticky a v ní vytvořte textový sou bor. Složku sdílejte s výchozím názvem a výchozími
oprávněními.
3. V dialogovém okně vlastností složky na kartě Sdílení klepněte na tlačítko Nasta vení pro režim offline a poté zaškrtněte políčko V režimu
offline budou automaticky k dispozici pouze soubory a programy otevřené uživateli ze sdílené položky. Poté zrušte zaškrtnutí políčka
Optimalizováno pro výkonnost.
Klepnutím na tlačítko OK zavřete dialogové okno.
264
5. Ověřte, zda jsou povolené soubory offline (viz nastavení výše).
6. Připojte se ke sdílené složce Automaticky na serveru SRVR001 (\\SRVR001\Au-tomaticky). Otevře se okno aplikace Průzkumník
Windows, ve kterém otevřete textový soubor.
7. V okně aplikace Průzkumník Windows klepněte v nabídce Nástroje na položku Možnosti složky. Na kartě Soubory offline klepněte na
tlačítko Zobrazit soubory. Všimněte si uloženého textového souboru.
8. Zavřete textový soubor a v okně Složka souborů offline ověřte, že soubor zůstává uložen v místní mezipaměti.
V této konfiguraci nemusí pro uložení souboru do mezipaměti uživatel udělat nic více, než ověřit, zda je funkce Soubory offline povolena. Vše
ostatní se již zařídí samo.
Ruční ukládání dokumentů do mezipaměti
Je-li sdílená složka nakonfigurovaná tímto způsobem, budou se do mezipaměti ukládat pouze soubory, které uživatel osobně označí, tedy ty, o něž
má v mezipaměti skutečně zájem. Vlastnosti této možnosti jsou následující:
♦ Uživatel musí označit všechny soubory, které chce ukládat do mezipaměti.
♦ Soubor se do mezipaměti uloží při synchronizaci.
♦ Soubor se musí z mezipaměti odstranit ručně.
♦ Není-li pro uložení souborů do mezipaměti během synchronizace dostatek místa, odstraní se soubory ukládané automaticky (viz předchozí
odstavec).
Aby měl uživatel k dispozici soubory i v případě, kdy není připojen k síti, musí si je pro tento režim označit a musí proběhnout synchronizace. Ta
standardně probíhá při odhlá-šení uživatele, je však možné nakonfigurovat také pravidelné synchronizace (například jednou za hodinu).
Protože se uživatel na cestách vždy setká s dokumenty, které si označil, je tato možnost využívaná mnohem více, než první uvedená. Pokud by chtěl
uživatel dosáhnout stejného efektu pomocí prvního nastavení, musel by před odhlášením od sítě otevřít všechny soubory ve složce.
Ověření ručního ukládání souborů
2. Zobrazte vlastnosti složky Automaticky a na kartě Sdílení klepněte na tlačítko Nastaveni pro režim offline. Poté zaškrtněte políčko V
režimu offline budou k dispozici pouze soubory a programy zadané uživateli. Klepnutím na tlačil ka OK zavřete obě dialogová okna.
3. Ve složce Automaticky vytvořte další textový soubor.
5. Ověřte, zda jsou povoleny soubory offline a přejděte do složky \\SRVR001\Au tomaticky.
Poznámka
Název složky již sice není tak popisný, nicméně nepředpokládám, že byste se v tuto chvíli ve výkladu ztratili.
6. Otevřete nově vytvořený textový soubor. Poté v okně aplikace Průzkumník Windows klepněte v nabídce Nástroje na položku Možnosti
složky a na kartě Sdílení klepněte na tlačítko Zobrazit soubory. Všimněte si, že zde není uveden otevřený textový soubor (ještě nedošlo k
synchronizaci).
Tato možnost klade na uživatele vyšší nároky - uživatel si musí označit soubory, které chce synchronizovat do mezipaměti. Na druhou stranu má
jistotu, že označené soubory bude mít vždy k dispozici.
Synchronizace souboru
1. Nyní znovu otevřete složku \\SRVR001\Automaticky.
2. Pravým tlačítkem myši klepněte na textový soubor, který chcete synchronizovat, a v místní nabídce zvolte příkaz Zpřístupnit offline. Spustí
se Průvodce soubory offline (viz obrázek 21.3).
Obrázek 21.3
Průvodce soubory offline
3. Klepněte na tlačítko Další. V dalším okně si přečtěte uvedené informace, ponech te zaškrtnuté políčko Při zapnutí a vypnutí počítače
soubory automaticky synchronizovat a pokračujte klepnutím na tlačítko Další.
4. V dalším dialogu ponechte výchozí nastavení a průvodce ukončete klepnutím nai tlačítko Dokončit. Proběhne první synchronizace souboru.
5. Všimněte si změněné ikony souboru (ručně synchronizované soubory offline se od ostatních odlišují ikonou). V nabídce Nástroje okna
aplikace Průzkumník Win dows klepněte na položku Možnosti složky a poté na kartě Soubory offlini klepněte na tlačítko Zobrazit
soubory. Protože již proběhla synchronizace, bude zde soubor uveden (včetně jiné ikony).
265
Automatické ukládání programů a dokumentů do mezipaměti
Tato možnost je doplňkem první uvedené a používá se pro situace, kdy se ze síťové slož ky spouštějí programy (například soubory EXE). V takovém
případě dojde při spuštění daného programu k jeho stažení do mezipaměti a veškerá další spuštění již probíhají Z této mezipaměti.
Protože se tím omezuje přenos dat v síti a program se spustí ihned (s výjimkou prvního spuštění se nečeká na jeho stažení), je toto nastavení vhodné
tam, kde programy v síti spouští více uživatelů. Pozor - zde se nejedná o klasické síťové aplikace, ale o spouštění souborů uložených v síti.
Jak se vám líbí popisy možností, kterými funkce Soubory offline disponuje? Automatické ukládání je opravdu automatické, ale ruční ukládání je
nakonec přece také automatické. je pravda, že tyto názvy vyvolávaly u správců v systémech Windows 2000 a Windows XP Professional nejasnosti
a ne zcela přesně popisovaly stav. Možná i na základě toho došlo v systémech Windows Server 2003 k úpravě těchto názvů tak, jak jsme je
konfigurovali výše. Všechny názvy tedy ještě jednou uvádím níže v tabulce 21.1.
Popis nastavení v systémech
Windows 2000/XP
Odpovídající popis
v systému Windows Server 2003
Ruční ukládání dokumentů do mezipaměti
V režimu offline budou k dispozici pouze soubory
a programy zadané uživateli
V režimu offline budou automaticky k dispozici
pouze soubory a programy otevřené uživateli ze sdílené položky
dtto výše + zaškrtnuté políčko Optimalizováno
pro výkonnost
Automatické ukládání dokumentů do mezipaměti
Automatické ukládání programů a dokumentů
do mezipaměti
Tabulka 21.1
Možnost nastavení sdílené složky pro soubory offline v různých systémech
Praktické využití souborů
offline
Soubory offline jsou velmi dobrou funkcí systémů Windows 2000/XP/2003. Osobně mohu doporučit jejich masové využívání všude, kde je to
potřeba. Nevýhodou však je, že v základním nastavení vyžadují konfiguraci na straně uživatelů. Na druhou stranu to není nic nepochopitelného každý uživatel má jiné požadavky, takže si každý uživatel musí říci (označit), které soubory chce synchronizovat.
V každé organizaci však jistě existují složky, jejichž obsah by bylo vhodné mít stále s se-bou na cestách ve svém přenosném počítači. Příkladem v
naší síti může být odpovídající část knihovny dokumentů.
Protože je zde poměrně jasné, jakou část knihovny by měl mít každý uživatel k dispozi-ci, můžete využít svého oprávnění doménového správce a
nakonfigurovat soubory offline pomocí Zásad skupiny tak, aby měli uživatelé vše k dispozici bez ohledu na své schopnosti konfigurace operačního
systému.
Konfigurace souborů offline pomocí zásad skupiny
Organizace Studny s.r.o. sestává z několika oddělení. Každé oddělení má mj. svou složku v knihovně dokumentů, skupina vedení navíc ještě do
všech složek nahlíží. Uživatelé nemusejí být v konfiguraci operačního systému moc zdatní, ale používat soubory z knihov ny dokumentů mimo síť
ve svých přenosných počítačích by uvítali.
Objekt zásad skupiny obsahuje zásady pro konfiguraci souborů offline v obou svých částech - Konfigurace počítače i Konfigurace uživatele.
Protože bude konfigurace souborů offline zhruba kopírovat organizační dělení organizace, využijeme část Konfigurace uživatele. Je však nutné
vědět, že pokud jsou stejné zásady v obou částech nakonfigurované v rozporu, platí zásady v části Konfigurace počítače.
Konfigurace pro obchodní oddělení
1.
2.
3.
4.
5.
Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory.
Pravým tlačítkem myši klepněte na organizační jednotku Obchod a zobrazte její vlastnosti.
Na kartě Zásady skupiny vytvořte nový objekt s názvem Soubory offline (Obchod) a poté klepněte na tlačítko Upravit.
Přejděte do složky Konfigurace uživatele\Šablony pro správu\Síť\Soubory offline.
Zásady zobrazené v pravém podokně konzoly nakonfigurujte podle následující tabulky:
Zásada
Nastavení
Při přihlášení synchronizovat všechny soubory offline
Provést synchronizaci všech souborů offline před odhlášením
Před přechodem do režimu spánku synchronizovat
soubory offline
Administrativně přiřazené soubory offline
Povoleno
Povoleno
Povoleno,
Úplná synchronizace*
Povoleno,
\ \ SRVR001 \ Knihovna \ Obchod
Tabulka 21.2 Konfigurace zásad pro soubory offline organizační jednotky Obchod
6. Nyní se přihlaste k počítači PC001 jako člen obchodního oddělení (například Obchodí). Během přihlášení dojde k synchronizaci souborů
ze složky Obchod firemní knihovny.
7. Otevřete okno aplikace Průzkumník Windows a do pole Adresa zadejte cestu. Všimněte si jiné ikony u složky Obchod.
8. V nabídce Nástroje aplikace Průzkumník Windows klepněte na položku Možnosti složky a poté si prohlédněte nastavení na kartě
Soubory offline. Důležitá nastavení nelze změnit, neboť jsou definována pomocí zásad skupiny objektu Soubory offline (Obchod).
Obdobně postupujte pro další oddělení s výjimkou oddělení Vedení. Mějte však na pa měti, že danou funkci využijí pouze uživatelé přenosných
počítačů. Běžní uživatelé by ji . využili pouze v případě nedostupnosti souborového serveru.
266
Konfigurace pro organizační jednotku Vedení
1. Přihlašte se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory.
2. Pravým tlačítkem myši klepněte na organizační jednotku Vedení a zobrazte její vlastnosti.
3. Na kartě Zásady skupiny vytvořte nový objekt s názvem Soubory offline (Vedení) a poté klepněte na tlačítko Upravit.
4. Přejděte do složky Konfigurace uživatele\Šablony pro správu\Síť\Soubory offline.
5. Zásady zobrazené v pravém podokně konzoly nakonfigurujte podle následující tabulky:
zásada
Nastavení
Při přihlášení synchronizovat všechny soubory offline
Provést synchronizaci všech souborů offline před odhlášením
Před přechodem do režimu spánku synchronizovat
soubory offline
Administrativně přiřazené soubory offline
Povoleno
Povoleno
Povoleno,
Úplná synchronizace*
Povoleno, \\SRVR001\Knihovna
* Pokud se do režimu spánku přejde po zavření displeje přenosného počítače, k synchronizaci nedojde.
Tabulka 21.3 Konfigurace zásad pro soubory offline organizační jednotky Vedení
6. Nyní se přihlaste k počítači PC001 jako člen vedení (například Vedenil). Během přihlášení dojde k synchronizaci všech souborů firemní
knihovny.
7. Otevřete okno aplikace Průzkumník Windows a do pole Adresa zadejte cestu. Všimněte si jiné ikony u všech podsložek.
Přestože jsme u všech organizačních jednotek definovali pouze jedinou složku, která se bude synchronizovat, neznamená to, že se budou
synchronizovat pouze uvedené složky. Každý uživatel má stále možnost definovat si své vlastní další složky nebo soubory, kte-ré chce
synchronizovat. Uvedené nastavení pouze říká, že obsah dané složky se bude synchronizovat ve všech případech a uživatel nemá možnost tuto
synchronizaci zrušit.
Úplná nebo částečná synchronizace?
Během práce se synchronizací složek se můžete setkat s pojmy rychlá a úplná synchronizace (v jedné zásadě jsme dokonce definovali úplnou
synchronizaci). Co tyto pojmy znamenají?
Při úplné konfigurace dojde vždy k synchronizaci celého obsahu složky. Znamená to, že Ve svém počítači budete mít vždy k dispozici aktuální verze
všech dokumentů.
Částečná synchronizace naproti tomu zajišťuje co nejrychlejší synchronizační proces, při-čemž se synchronizují pouze soubory, které jsou k dispozici
na obou stranách a jejichž obsah se od poslední synchronizace změnil. Ostatní (například nové soubory) Zůstávají netknuté a automaticky se
nesynchronizují. Nastavení částečné synchronizace odpovídá níže uvedené dialogové okno Možnosti složky.
Obrázek 21.4
Přestože jsou políčka Synchronizovat... nezaškrtnutá, proběhne vždy
částečná synchronizace
Protože může používání pouze částečné synchronizace vést po delší době k nekonzistenci souborů v mezipaměti s obsahem sdílené složky, je nutné
mít možnost provést úplnou synchronizaci. To zajistíte následovně:
1. Otevřete okno aplikace Průzkumník Windows.
2. V nabídce Nástroje klepněte na příkaz Synchronizovat. Zobrazí se dialogové okno obsahující veškeré položky určené k synchronizaci.
267
Obrázek 21.5
Seznam položek, které se budou synchronizovat
3. Klepněte na tlačítko Synchronizovat a vyčkejte úplné synchronizace.
Pokud jsou zaškrtnuté položky Synchronizovat... v dialogovém okně Možnost složky (viz obrázek 21.4), bude vždy probíhat úplná synchronizace.
Stejně tak probíhá úplná synchronizace, pokud jsou povolené zásady Při přihlášení synchronizovat všechny soubory offline a Provést synchronizaci
všech souborů offline před odhlášením.
Úložiště souborů offline
Úložiště souborů offline nelze v žádném dialogovém okně definovat. Standardně jsou tylo soubory uložené ve složce %Systemroot%\CSC. CSC
zde představuje zkratku Client Side Caching a jedná se o skrytou složku. Pokud chcete uvolnit místo na disku, nikdy ne-odstraňujte žádné informace
přímo z této složky. Soubory zde nejsou uloženy v čitelné podobě, neboť jsou zde s nimi i další důležité informace. Pokud byste provedli přímý zásah
v této složce, můžete se setkat s velkými potížemi na serverech, ze kterých soubory pochází, neboť lze očekávat ztrátu dat.
Odstranění souborů offline
Pokud chcete soubory offline odstranit a uvolnit tak místo na disku, postupujte následovně:
1. Zobrazte dialogové okno Možnosti složky a přejděte na kartu Soubory offline.
2. Klepněte na tlačítko Odstranit soubory. Zobrazí se dialogové okno Potvrdit odstranění souboru.
3. V horní části dialogového okna ponechte zaškrtnuté pouze ty složky, jejichž příslušné soubory offline chcete odstranit. Pokud ponecháte ve
spodní části zaškrtnutou položku Odstranit pouze dočasné verze, odstraní se pouze automaticky ukládané soubory a programy. Druhá
možnost - Odstranit dočasné verze offline i verze, které jsou vždy přístupné offline - odstraní veškeré soubory.
Obrázek 21.6
Dialogové okno Potvrdit odstranění souboru
268
Inicializace mezipaměti souborů offline
Někdy se můžete setkat se situací, kdy se odstranění souborů popsané výše nezdaří. V takovém případě může pomoci nová inicializace mezipaměti
souborů offline.
1. Zobrazte dialogové okno Možnosti složky a přejděte na kartu Soubory offline.
2. Stiskněte klávesovou kombinaci Ctrl+Shift a klepněte na tlačítko Odstranit soubory. Poté restartujte počítač.
Přesunutí úložiště
V průběhu používání funkce soubory offline se může přece jen vyskytnout požadavek na přesunutí úložiště souborů offline na jinou jednotku
stejného počítače. K tomuto závěru mohou vést i jiné příčiny, než je volné místo na disku. V každém případě je dobré vědět, 9 že pouhé přesunutí
složky CSC tuto záležitost nevyřeší.
Řešením je nástroj Offline Files Cache Mover (cachemov.exe) sady Resource Kit pro systém Windows 2000 Professional.
Další možnosti souborů offline
Pro pokročilou konfiguraci souborů offline je k dispozici ještě několik různých nastavení. V systému Windows XP Professional je na prvním místě
třeba připomenout šifrování.
Šifrování souborů offline
Uživatelé s přenosnými počítači používají soubory offline ve velké míře. Zároveň jsou tyto počítače zbožím, které se velmi často krade. Pokud se
zloděj přenosného počítače dostane k datům, může se stát, že bude mít k dispozici nejen ta z přenosného počítače, ale také informace běžně uložené
pouze ve sdílených složkách v síti.
Obrázek 21.7
Povolení šifrování mezipaměti souborů offline
Šifrování mezipaměti pro soubory offline je možné povolit podle následujících pokynů:
1. Přihlaste se k danému počítač jako správci a otevřete okno aplikace Průzkumník Windows.
2. V nabídce Nástroje klepněte na kartu Možnosti složky a zaškrtněte políčko Zabezpečit data v souborech offline šifrováním.
269
Další informace o šifrování souborů naleznete v kapitole 22, „Zabezpečení serveru a sítě".
Poznámka
Šifrování mezipaměti souborů offline není k dispozici v systémech Windows 2000.
zabezpečení přístupu k souborům
Možná vás během práce a konfigurace souborů offline napadlo, jak to bude vypadat s jejich zabezpečením. Myšlenka je následující: Uživatel bude
mít počítač se systémem Windows XP Professional nainstalovaný na jednotce zformátované systémem FAT32. Poté provede synchronizaci
souborů ze serveru, ke kterým má pouze oprávnění číst. Tyto soubory poté upraví a počítač připojí zpět do sítě. Automaticky proběhne
synchronizace a obsah souborů bude pozměněn.
Ačkoli to vypadá velmi nadějně, nepůjde to. Přesto, že mezipaměť souborů offline bude uložena na jednotce zformátované systémem FAT32,
úprava souborů nebude možná. Funkce Soubory offline totiž umí pracovat s výchozími oprávněními přidělenými souborům ve sdílené složce.
Řešení konfliktů
funkce Soubory offline umí řešit veškeré konflikty, ke kterým může při práci se soubory offline dojít. Konflikty jsou shrnuty v následující tabulce:
Konflikt __________________
_________________________
_________________________
_________________________
Popis řešení
Uživatel upraví soubor offline;
stejný soubor mezitím upraví
jiný uživatel na serveru
Synchronizace se zastaví. Uživatel má poté možnost přijmout verzi
souboru na serveru (jeho verze se poté odstran), svou verzi
(přepíše se verze na serveru) nebo může zachovat oba soubory
(v takovém případě musí pro svůj soubor zadat jiný název).
Uživatel upraví soubor offline;
stejný soubor mezitím jiný
Uživatel odstraní ze serveru
1 Iflivatel upraví soubor offline,
nnnívce mezitím změní
i iprávnění přístupu na serveru
Synchronizace se zastaví. Uživatel má možnost přijmout verzi ze
serveru (jeho soubor se odstranO nebo svou verzi (soubor se
zkopíruje na server).
Pokud je oprávnění na serveru více omezující než předtím,
synchronizace se zastaví a uživateli se zobrazí přihlašovací okno,
ve kterém musí zadat pověření uživatele, jenž má potřebná oprávnění. Pokud je nezadá, synchronizace daného souboru či souborů se neprovede.
Tabulka 21.4 Konflikty při synchronizaci souborů offline a jejich řešení
Operační systémy
Funkce Soubory offline je vlastností operačních systémů Windows 2000 a vyšších. Nezáleží na tom, ve kterém operačním systému Windows je
umístěna sdílená složka. Na „druhé straně" může být jak systém Windows 2000/XP/2003, tak i starší systémy Windows 9x/ME nebo Windows NT
4.0.
Zásady skupiny pro funkci Soubory offline
Zásady skupiny pro funkci soubory offline jsou poměrně bohaté, protože odpovídají veškerým možnostem konfigurace této funkce. Jsou umístěné v
obou částech objektu s tím, 1 že pokud jsou ve stejných částech v konfliktu, má přednost nastavení v části Konfigurace počítače.
Protože je funkce Soubory offline opravdu dobrá a velmi použitelná (tak hovoří praxe), pojďme si uvést ještě některé důležité zásady a jejich
význam:
Zásada
Umístění (P - počítač,
U - uživatel)
Popis
Povolit nebo zakázat použití
funkce Soubory offline
Reprezentuje políčko Povolit soubory
offline.
P
Zakázat uživatelskou
konfiguraci souborů offline
Výchozí velikost mezipaměti
Odebere kartu Soubory offline (veškerá
nastavení v zásadách zůstávají v platnosti).
Hodnota se zadává v % místa na disku
násobených číslem 10 000 (například
1 000 = 10 %.
P, U
Akce při odpojení serveru
P
Určuje, zda klient přejde do režimu
P, U
offline (pokud se dříve synchronizovaly
soubory, budou k dispozici) nebo nikoli
(soubory nejsou v místním počítači
k dispozici za žádných okolností)-
270
Jiné než výchozí akce
při odpojení od serveru
Výše uvedené nastavení lze dále dědit
podle názvů jednotlivých serverů.
P, U
Uživatelům odebere položku Zpřístupnit
offline. Zamezí tak zpřístupnění vlastních
souborů nebo složek.
P, U
Zabránit použití složky
souborů offline
Zamezí uživatelům v klepnutí na tlačítko
Zobrazit soubory v dialogovém okně
Možnosti složky.
P, U
Soubory neukládané
v mezipaměti
Ve výchozím stavu se neukládají do
P
mezipaměti soubory SLM, MDB, LDB,
MDW, MDE, PST a DB. V případě
povolení této zásady lze zadat vlastní
seznam typů souborů (pokud nejsou tyto
soubory ve vlastním seznamu uvedeny,
budou se synchronizovat).
Při odhlášení dojde k odstranění všech
P
souborů offline. Před jejich odstraněním
nedojde k synchronizaci. Volitelně lze
odstranit pouze dočasné soubory
(automaticky ukládané).
Odebrat možnost zpřístupnit
offline
Při odhlášení odstranit
místní kopie souborů
offline uživatele
umístění (P - počítač,
U - uživatel)
Zásada
Popis
Podsložky vždy přístupné
offline
Jestliže uživatel označí pro režim offline
složku, označí se automaticky i její
podsložky.
P
Šifrovat mezipaměť
souborů offline
Zakázat nastavení
„Zpřístupnit offline"
pro tyto soubory a složky
Šifruje obsah mezipaměti.
P
Konfigurovat rychlost
pomalého připojení
Pokud je síťové připojení pomalejší než
64 kbps, nebude se po nastavení rychlosti
připojovat k serveru.
P
Nepovolit automaticky
zpřístupnění přesměrovaných
složek offline
Přesměrované složky Dokumenty, Plocha
a další nebudou automaticky k dispozici
v režimu offline
U
U definovaných souborů a složek odebere
položku Zpřístupnit offline. Vhodné pro
případ, kdy je obsah složky tak citlivý,
že není možné jej odnést v podobě
souborů offline ven ze společnosti.
P, U
Tabulka 21.5 Další zásady týkající se funkce Soubory offline
Je zde možné použít stejná nastavení omezující práci
uživatelů?
V kapitole 17, „Správa prostředí klientských počítačů", jsme provedli základní konfigura-ci objektů zásad skupiny týkajících se vzhledu a chování
klientských počítačů. Uživatelé přenosných počítačů se však většinou připojují do sítě pomocí pomalých linek nebo vů-bec. Jak bude při pomalém
připojení pracovat aplikace zásad skupiny? Nebude pomalá linka až příliš zatížena?
V kapitole 18, „Instalujeme aplikace", jsme definovali instalaci aplikací sady Office a v kapitole 20, „Instalujeme aktualizace Service Pack" jsme
provedli instalaci aktualizací pro operační systém i aplikace. Budou se aplikace či aktualizace instalovat také při pomalém připojení? Vždyť do
počítače se při takové instalaci přenáší několik megabajtů dat, což muže na pomalé lince trvat několik hodin, ne-li dní!
Otázek je dost a je tedy dobré znát správné odpovědi, abyste při nasazení technologií IntelliMirror nebyli překvapeni.
Pomalé spojení
Uživatelé mobilních zařízení se od ostatních doménových uživatelů liší především tím, že se k síti připojují většinou nepravidelně a po pomalých
linkách. Pojem „pomalá linka"
muže mít pro každou konkrétní činnost, kterou uživatel potřebuje provést, jinou hodno-tu Zatímco tedy může být poměrně dobře možné přistupovat
k pracovní ploše svého počítače v práci i s velmi pomalou linkou, instalace softwaru bude pro stejnou linku nepřekonatelný problém.
Objekt zásad skupiny
Tvůrci systému Windows 2000 mysleli na mobilní uživatele již od samého počátku, a ačkoli to není na první pohled moc patrné, uzpůsobili pro ně
271
objekty zásad skupiny. Ty lze z pohledu cestujících uživatelů rozdělit na několik částí a v tomto smyslu s nimi lze pracovat.
Protože je nesmyslné, aby se na mobilní počítače připojené pomalou linkou aplikovaly všechny zásady, je možné definovat práh pomalého připojení,
při kterém se aplikace zásad upraví. Pro tyto účely je tedy vhodné určit, jaká rychlost linky bude považována za pomalou, a provést potřebnou
konfiguraci.
Poznámka
Pokud není definován žádný práh, určuje pomalé spojeni pro účely zásad skupiny hodnota 500 kb/s.
Pokud je linka pomalá, aplikují se následující části objektů zásad skupiny:
♦ Nastavení registru (Šablony pro správu)
♦ Zásady zabezpečení
♦ Zásady obnovení EFS
♦ Zásady zabezpečení protokolu IP
Naopak, neaplikují se následující části:
♦
♦
♦
♦
♦
Instalace softwaru
Skripty
Přesměrování složek
Diskové kvóty
Údržba aplikace Internet Explorer
K nastavení prahu pomalé linky slouží zásada Rozpoznání pomalého připojení zás;ul skupiny, kterou naleznete v cestě Konfigurace
počítače\Šablony pro správuASy-stém\Zásady skupiny a Konfigurace uživatele\ Šablony pro správu\Systém\Zása dy skupiny.
Prahová hodnota nakonfigurovaná v části Konfigurace počítače ovlivňuje nastavení této části objektu, hodnota v části Konfigurace uživatele pak
nastavení v jeho druhé částí, Pokud vám uvedené výchozí nastavení nevyhovuje, máte možnost je změnit pomoci dul ších zásad ve stejné části
Konfigurace počítače. Nastavení a jejich funkce při zaškrtnuti políčka Povolit zpracování aktualizace odeslané pomalým telefonickým připojením jsou uvedeny v následující tabulce.
zásada
Popis
Zpracování zásad údržby aplikace
Internet Explorer
Aplikuje zásady definované v části Konfigurace uživatele\
Nastavení systému Windows\Údržba aplikace Internet
Explorer Zpracování zásad instalace softwaru
Aplikuje zásady definované v částech Konfigurace počítače\
Nastavení softwaru a Konfigurace uživatele\Nastavení
softwaru
Zásada ______________________
___________________________
___________________________
___________________________
___________________________
___________________________
___________________________
___________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
________________________________________
Popis
Z pracování zásad přesměrování
složek
Zpracování zásad skriptů
Zpracování zásad diskových kvót
Aplikuje zásady definované v části Konfigurace uživatele\
Nastavení systému Windows\Přesměrování složky
Spustí skripty definované v části Konfigurace uživatele
\Nastavení systému Windows\Skripty. Skripty v části Konfigurace počítače se neprovedou
Aplikuje zásady definované v části Konfigurace počítače\
Šablony pro správu\Systém\Diskové kvóty
Tabulka 21.6 Možnost definování výjimek zásad skupiny na pomalé lince
Vzhledem k tomu, že v naší síti nepoužíváme velké množství zásad skupiny, pravděpodobně bude vyhovovat výchozí stav. Ze všech vytvořených
objektů se tak nebude instalovat software, přesměrování složek a diskové kvóty. Jak to tedy bude v praxi vypadat?
Připojení rychlou linkou
Toto připojení jsme vlastně zkoušeli až dosud. Jednalo se o připojení nového počítače do místní sítě, kde se na něj aplikovaly veškeré objekty zásad.
Není tedy žádný důvod, aby n;ihle došlo ke změně.
Připojení pomalou linkou
272
Pokud byste měli například pobočku, která bude k centrále připojena linkou o rychlosti 128 kb/s a jež nemá vlastní řadič, a instalovali byste v této
pobočce nový počítač, dopadlo by to například při přihlášení uživatele z obchodního oddělení z pohledu zásad takto:
♦ Uživateli by se nenabídla instalace aplikací sady Office (v Nabídce Start by nebyly zobrazeny jejich ikony).
♦ Nedošlo by k přesměrování složek na server (složka dokumenty by se odkazovala do místního profilu).
Je vůbec nutné měnit práh pro určení pomalého připojení (aktuálně nastaven na rychlost 500 kb/s)? Není! Pokud byste podobnou záležitost
konfigurovali, nikdy nenastavujte práh odpovídající rychlosti pronajaté linky, ale ponechte nějakou rezervu. Pokud byste napří-klad nastavili práh na
64 kb/s a byli připojeni linkou 64 kb/s, může se stát, že v okamžiku připojení počítače do sítě bude rychlost linky o něco vyšší a dojde k aplikaci
všech zásad. Pro naše prostředí je tedy práh 500 kb/s naprosto dostačující.
Co profily uživatelů?
Práh určení pomalé linky se používá také pro určení, zda jej aplikovat uživatelům, kteří používají cestovní profil. Pokud se totiž uživatel přihlásí
poprvé k počítači připojenému pomalou linkou, bude se do něj stahovat celý profil ze serveru. V závislosti na velikosti profilu to může trvat i
několik hodin, a proto nemusí být na pomalých linkách vhodné tyto profily aplikovat.
Prahovou hodnotu pro určení pomalého spojení můžete nakonfigurovat pomocí zásady Časový limit pro stažení profilu uživatele s pomalým
síťovým připojením v části Konfigurace počítače\Šablony pro správu\Systém\Profily uživatelů.
Obrázek 21.8
Zásada pro časový limit pro stažení profilu
Položka rychlost připojení je analogií položky u zjišťování pomalého připojení pro apli kaci zásad skupiny (výchozí hodnota je také 500 kb/s),
časový limit je hodnota pro ser very, které nemají protokol TCP/IP.
Pokud ponecháme výchozí hodnotu prahu (500 kb/s), je jasné, že v případě, kdy by do šlo k prvnímu přihlášení uživatele s cestovním profilem, se
nebude cestovní profil načítat. Uživateli obchodního oddělení se tak vytvoří místní profil, veškeré dokumenty bude ukládat místně a v tomto počítači
také budou uloženy. Dokumenty, které má na serveru, může získat pouze přímým přístupem do své složky Dokumenty pomocí cesty UNC (po mocí
cesty, kterou vidí v dialogovém okně vlastností složky Dokumenty, pokud je připo jen rychlou linkou).
Protože je žádoucí, aby měli cestující uživatelé stejné klientské prostředí jako v běžných počítačích připojených rychlou linkou, doporučuje se, aby
se poprvé k počítači přihlási li v dobu, kdy je připojen k rychlé síti a zároveň provedli instalaci aplikací. Pouze tak si zajistí jejich dostupnost
kdykoli mimo síť.
Po prvním přihlášení uživatele se jeho pověření (jméno a heslo) uloží do mezipamměti To umožní uživateli přihlásit se i v případě, kdy jej nebude
moci ověřit řadič domény. Jed ná se o žádoucí chování, neboť uživatel tak bude mít k dispozici neustále stejný profil a zároveň bude aplikované i
poslední nastavení pomocí zásad skupiny.
Poznámka
Toto chování (ukládání pověření do mezipaměti) lze zrušit vynulováním hodnoty zásady interaktivní přihlašování: počet
předchozích přihlášení uložených v mezipaméti pro případ, že řadič domény není k dispozici v části Konfigurace
počítače\Nasta vení systému Windows\Nastavení zabezpečení\Možnosti zabezpečení.
Zároveň je u přenosných počítačů důležité, aby se na ně neaplikovala zásada, která ode bere cestovní profil po přihlášení uživatele. Jedná se o zásadu
Odstraňovat kopie cestov ních profilů z mezipaměti v části Konfigurace počítače\Šablony pro správu\Systém\Pro-fily uživatelů. Toto nastavení je
velmi podstatné, neboť v opačném případě by uživatelé s cestovními profily zůstali na cestách bez profilů.
273
Konfigurace přenosného počítače v naší síti
Předpokládejme, že počítač PC002 je přenosným počítačem. Protože je jeho účet uložen v organizační jednotce Počítače a potřebovali bychom na
něj (díky jeho roli pouze na něj) aplikovat kromě stávajících zásad ještě další, vytvořte pod organizační jednotkou Počítače ještě jednu s názvem
Přenosné a poté do ní přesuňte účet počítače PC002. Většina konfigurace přenosného počítače musí z principu proběhnout v části Konfigurace
počítače, neboť je úplně jedno, který z uživatelů se k němu přihlásí a bude jej na ces-lách využívat.
Na úrovni organizační jednotky Přenosné vytvořte nový objekt zásad skupiny s názvem „Přenosné počítače" a proveďte nastavení podle tabulky
níže:
Část
Zásada
Konfigurace
Konfigurace počítače\Šablony
pro správu\Síť\ Soubory offline
Povolit nebo zakázat použití
funkce Soubory offline
Šifrovat mezipaměť souborů
offline
Odstraňovat kopie cestovních
profilů z mezipaměti
Zpracování zásad přesměrování
složek
Povoleno
pro správu\Systém\Profily uživatelů
pro správu\Systém\Zásady skupiny
Konfigurace počítače\Nastavení
systému Windows\Nastavení
zabezpečení\Možnosti zabezpečení
Povoleno
Zakázáno
Povoleno, Povolit
zpracování aktualizace
odeslané pomalým síťovým připojením
Povoleno, 10
Interaktivní přihlašování: počet
předchozích přihlášení uložených
v mezipaměti pro případ, že řadič
domény není k dispozici
Tabulka 21.7 Konfigurace zásad pro přenosný počítač
Závěr
Cestující uživatelé jsou skupinou, na kterou je třeba nahlížet jinak nejen z pozice síťové infrastruktury při konfiguracích vzdálených připojení, ale
také z pohledu správy domény jako na uživatele (a jejich počítače) vyžadující zvláštní nastavení.
Každý uživatel má možnost si svůj přenosný počítač nakonfigurovat tak, aby energie z ba terií vydržela co nejdéle. K tomu slouží předdefinovaná
schémata, která je ale dále možné upravit, odstranit nebo přidávat další. Nejlépe umí s energií zacházet počítače pod po rující technologii ACPI.
Pokud je uživatel mimo firmu, může požadovat přístup do sítě, aby získal informace z dokumentů uložených ve sdílených složkách. Protože nemusí
být vhodné připojení vždy po ruce, mohou uživatelé využívat funkci Soubory offline, pomocí které si mohou dané soubory automaticky
synchronizovat do paměti a naopak. Tato funkce zároveň ponechává oprávnění přístupu NTFS (i na svazcích FAT!) a soubory offline je možné
navíc zabezpečit šifrováním mezipaměti.
Aby se na počítače, které mají velmi pomalé připojení do sítě, neaplikovaly všechny zásady skupiny, je definován práh (standardně 500 kb/s) pro
pomalé spojení, při němž například nedochází k instalaci softwaru, přesměrování dokumentů apod. Pomalé spojení se tak ušetří od zbytečných
zatížení a uživatelé se dostanou rychleji k práci. Uvedený práh je možné kdykoli změnit podle potřeby.
Aby byla zajištěna jednotnost a dostupnost aplikací pro uživatele přenosných počítačů, je vhodné, aby se uživatel přenosného počítače přihlásil
poprvé v okamžiku, kdy je připojen do rychlé sítě a pokud možno klepnul na ikony inzerovaných aplikací. Obdobně si stojí cestovní profily uživatelů,
které se také nebudou stahovat, nebude-li dosaženo prahu rychlosti připojení. To by mohlo vyvolávat potíže, neboť tito uživatelé jsou zvyklí na
ukládání dokumentů na server, a nyní by se jim vše ukládalo místně. Bez ohle- j du na ostatní nastavení je třeba pomocí zásad skupiny zajistit alespoň
možnost přihlásit se z místní mezipaměti (aby uživatelé mohli pracovat se svými doménovými účty a nebylo nutné jim definovat místní účty) a je
nutné zajistit, že kopie cestovních profilů se nebudou po odhlášení uživatele odstraňovat.
Stav sítě
V síti došlo ke konfiguraci souborů offline a k administrativnímu přiřazení složek firemní knihovny odpovídající příslušnému oddělení (organizační
jednotce). Dále došlo k vytvoření organizační jednotky pro přenosné počítače a k základní konfiguraci objektu zásad skupiny postihujících
přenosné počítače.
274
Zabezpečení serveru, dokumentů a
sítě
Slova „zabezpečení" nebo „bezpečnost" se dnes v oblasti IT opakují kolem dokola. Není se co divit. S tím, jak postupně různé oblasti využívají
možnosti informačních technologií více a více, mají data vyšší a vyšší cenu. Každý, kdo vlastní citlivá data, by si pak měl dvakrát rozmyslet, jak
bude nakládat s jejich uložením v počítačích nebo při přenášení v síti.
Na druhou stranu je nutné říci, že cenu dat si mnozí uživatelé (a nezřídka i správci) uvědomí až v okamžiku, kdy 0 ně přijdou. Postupům vedoucím
k jejich zabezpečení jsme se věnovali v kapitole 16, „Co když zítra „odejde" server?". Mnohem horším zjištěním bývá stav, kdy uživatelé o svá
data přijdou a později zjistí, že je používá někdo jiný. Takovým stavům je třeba se dennodenně bránit, neboť nebezpečí číhá doslova na každém
rohu. Velmi málo uživatelů připojených k síti pomocí vytáčeného připojení (tedy pomocí klasických modemů) si například uvědomuje, že když
prochází různé stránky na webu, nejsou data při přenosu pomocí protokolu HTTP nijak šifrována. Podobně to platí také pro elektronickou poštu,
kde |e situace ještě více alarmující. V e-mailových zprávách se lak můžete setkat s velmi důvěrnými informacemi, jako jsou čísla kreditních karet
apod. Vůbec nejhorší však je, že počítač připojený modemem k Internetu je pro uživatele Internetu naprosto otevřenou záležitostí a člověk nemusí
byl ani hacker, aby byl schopen se podívat na některá da-ta. Proč ne, když je tímto způsobem uživatel přímo nabízí. Ačkoli se v mnoha
organizacích zapomíná na oficiální svě-ření oblasti zabezpečení dat a sítě konkrétní osobě, tak nějak se automaticky očekává (zejména v těch
menších organizacích), že to budou správci sítě, kdo tuto oblast budou zajišťovat. Abyste měli práci co nejjednodušší, probereme v této kapitole
možnosti, které přinesou vyšší zabezpečení celé sítě.
Jsou produkty společnosti Microsoft bezpečné?
Abychom na tuto otázku mohli jednoznačně odpovědět, musí v ní zaznít, které produkty. Pokud se tedy zeptáme, zda jsou operační systémy
Windows 2000/XP/2003 společnos-ti Microsoft bezpečné, odpověď zní - ano, tyto produkty jsou bezpečné. Na druhou stranu je však třeba dodat, že
nikoli ve svém výchozím nastavení, i když systémy Windows Server 2003 se snaží i tento dodatek velmi úspěšně rozptýlit.
Míra rizika
Představte si situaci, kdy máte sdělit elektronickou poštou svému zákazníkovi přístupové informace (tedy jméno i heslo) do svého obchodního
systému. Elektronická pošta není Standardně nijak zabezpečena a data odeslaná pomocí ní si může přečíst správce každého směrovače, přes který
pakety se zprávou procházejí.
To jistě není optimální záležitost. Proto svůj úmysl před odesláním ještě přehodnotíte a pokusíte se najít jiné způsoby. V takovém případě je nutné si
představit, co se může Stát v případě, kdy se zasílaných údajů zmocní neoprávněná osoba. Ta se například múze vydávat za zákazníka, objednat u vás
zboží, které následně neodebere, nebo jednoduší • získat z vašeho obchodního systému informace o předchozích objednávkách zákazníka. jeho
cenách, a vše navíc předat konkurenci. Takové jednání může poškodit jak vás, tak vašeho zákazníka. Jedná se tedy o potenciální riziko a je nutné si
dobře rozmyslel, zda je pro vás přijatelné. Jistě by se našli obchodníci, kteří by jej jako přijatelné ozna-čili, druhá strana by jej však vyloučila jako
příliš velké. Úrovni, kdy je pro vás daný stav přijatelný, se říká míra rizika.
Jaké jsou další možnosti odeslání přihlašovacích informací? O něco bezpečnější je odeslání přihlašovacího jména a hesla ve dvou samostatných
zprávách nebo například odeslání hesla pomocí jiného komunikačního kanálu (zpráva SMS, fax). Ještě vyšší zabezpečení je možné dosáhnout
šifrováním e-mailové zprávy a vše můžete podtrhnout šifrováním přenosového protokolu IP mezi počítači.
Jak vidíte, možností je více. Pokud ale budete chtít e-mailovou zprávu šifrovat, budete potřebovat sehnat šifrovací klíč od příjemce zprávy, což vás
může stát další čas a náklady, a příjemce - tedy vašeho zákazníka - další úsilí. A navíc se nemusí jednat o lOOprocent-ní zabezpečení přenášených
dat.
Jak vidíte, možností je vždy více. Některé nevyžadují téměř žádnou práci navíc, ale nejsou příliš bezpečné, jiné vyžadují spoustu další práce, ale
poskytnou zabezpečený přenos. Každý nechť si zde najde svou pozici.
Pokud budete chtít zabezpečit svá data, nikdy nepředpokládejte, že se vám to povede na 100 %. Vždy se může najít cestička, jak se k datům dostat, a
kolikrát to nemusí být ani cizí osoba, kdo o data bude mít zájem. To znamená, že se můžete snažit sebevíce, načež dala poté předá váš kolega správce, který k nim má stejný přístup jako vy. O nejvyšším možném zabezpečení dat lze tedy mluvit tehdy, pokud jsou veškerá rizika jejich napadnutelnosti minimalizována. Záměrně se vyhýbám termínu „vyloučena", neboť to skutečně nelze zajistit.Zpět k bezpečnosti operačních systémů
společnosti Microsoft. Systémy Windows 2000 přišly na trh jako úplně nová technologie se spoustou možností. Aby byly jejich možnosti zřejmé
pokud možno na první pohled, nainstalovaly se při výchozí instalaci také součásti, které uživatelé nutně nepotřebovali. Výsledkem byl stav, kdy se na
každém serve ru se systémem Windows 2000 Server vyskytoval například webový server. A když se v ta kové součásti našla po nějaké době chyba,
našlo se dost šikovných uživatelů, kteří byli schopni ji využít ke svému prospěchu nebo k dosažení svého cíle.
Systém Windows Server 2003 vyrazil do boje se zcela jinou strategií. Ještě před jeho uvedením na trh nastoupila společnost Microsoft s vizí
„Trustworthy Computing", což lze do jazyka uživatelů převést „důvěřujte svým počítačům", kterou se snaží i systémem Windows Server 2003
275
naplňovat.
Výsledkem je stav, kdy po instalaci systému nepracuje takřka nic. Vše, co správce potřebuje, si musí nejprve doinstalovat, případně povolit, při
sdílení složek se již nenastavuji' oprávnění pro skupinu Everyone na Úplné řízení, ale pouze Čtení, účet LocalSystem již nemá taková oprávnění, jaká
míval dříve atd. atd. Výsledkem je vyšší zabezpečení činnosti takového počítače a jeho dat, neboť je málo pravděpodobné, že by se správci bavili instalací a povolováním dalších součástí, pokud k tomu nemají důvod.
Zároveň tvůrci systému Windows Server 2003 mysleli na velké množství správců a výchozí zabezpečení systému navrhli tak, aby jako základ
vyhovovalo co nejširšímu jejich okru-hu. To ovšem znamená, že výchozí zabezpečení nemusí být pro někoho dostatečné. Vždyť někteří správci
mohou systém Windows Server 2003 používat jako souborový server, jiní jako řadič domény a další například pouze jako směrovač. A je jasné, že v
každé roli bude vyhovovat jiný stupeň zabezpečení, a výchozí zabezpečení tak bude nutné poněkud „utáhnout". V cizojazyčné literatuře se v této
souvislosti setkáte s pojmem „hár tlening".
Takž shrnuto - operační systémy, se kterými v této knize pracujeme, jsou bezpečné, ale je pro to potřeba vždy něco udělat.
Proti komu se vlastně máme bránit?
|e síť připojena k Internetu? Není? No tak to není co řešit! Nebo: Je síť připojena k Intel netu? Je? A existuje tady dobře nakonfigurovaný firewall?
No tak to je vše v pořádku, ne poť síť je zabezpečena!
Tak i s takovými názory se můžete v praxi velmi často setkat. Občas je úžasné sledovat správce brány firewall sítí připojených k Internetu, jak
podrobně konfigurují svěřeni ob last sítě tak, aby zabránila jakémukoli kolemjdoucímu přistoupit k prostředkům v síti. A když se jim to po několika
hodinách povede, zajásají a obrovsky si uleví, neboť mají jistotu, že zvenku se jen tak žádný průnik do sítě konat nebude (i když tato jistota němu ze
být nikdy l00procentní).
Osobám odpovědným za zabezpečení ale vůbec nedochází, že jako kolemjdoucí se také muže chovat jakýkoli uživatel v jejich síti. Ten má ale navíc
oproti externímu kolemjdoucí címu spoustu výhod - zná prostředí sítě, má k dispozici počítač, který je členem domé ny, má v doméně účet a hlavně všechny servery jsou vůči jeho počítači naprosto ote vřené. Nemusí překonávat žádnou bránu firewall, protože mezi jeho počítačem a servery žádná
není, a může si tak provádět téměř vše, co chce.
Spousta osob odpovědných za bezpečnost nyní může namítnout, že to není třeba, neboť:
♦ Jejich uživatelé podepsali pamflet o tom, jak se budou v síti chovat, a pokud se pokusí o útok na servery, druhý den budou na hodinu
propuštěni. Každý si tedy své konání dobře rozmyslí.
♦ Servery jsou zabezpečeny, neboť obsahují veškeré doposud vydané aktualizaceService Pack.
Je vhodné, aby tito odpovědní pracovníci věděli, že nemají až takovou pravdu, protože:
♦ Kdykoli se může v operačním systému serveru objevit chyba, která není pochopitelně poslední aktualizací Service Pack odstraněna, a jež
může
zpřístupnit
prostředky
serveru
kterémukoli
uživateli,
který
si
o
to
„vhodně"
řekne.
Aktualiza
ce Service Pack navíc obsahují opravy známých chyb, rozhodně však neřeší potřebné zabezpečení systému (které stále zůstává na výchozí
úrovni).
♦ Pokud uživatel o útocích na servery trochu něco ví, nemusí za sebou zanechat žádné stopy a nebude tak zpětně zjištěn.
♦ Ne vždy platí, že uživatelé ze společnosti odcházejí proto, že se pokusili o útok na server. Může také nastat situace, že uživatel dostane
výpověď, která mu „nesedne", a tak se těsně před odchodem řádně pomstí.
Tímto rozhodně nechci zlehčovat význam pravidel o chování v síti a zabezpečení podepsaných mezi organizací a uživateli. Chci pouze upozornit
na stav, že vše není takové, jak na první pohled vypadá.
Je tedy nasnadě, že největší hrozbou pro servery jsou interní uživatelé. Proto nelze spoléhat na brány firewall, ale je nutné začít skutečně od píky u operačního systému všech poćítaču. Brána firewall není prostředkem k zabezpečení, je pouze prostředkem k jeho zesílení směrem do a z vnější
sítě.
Zabezpečení dat
Dala, která se vyskytují v počítačích, lze rozdělit na ta méně a více hodnotná. Jak jsem se již zmínil dříve, cenu jakýchkoli dat si uživatel uvědomí až
v okamžiku, kdy o ně komplet ně přijde. Ještě vyšší cenu pak ale data mohou mít v případě, že uživatel o ně přišel, ale Získal je někdo jiný, kdo k
nim nikdy přístup získat neměl - jednoduše ten, kdo je zcizil.
Systémy Windows 2000/XP/2003 se pasují do oblasti bezpečných operačních systémů. Zna mená to, že tyto systémy jsou schopny data v počítači
zabezpečit tak, aby k nim měl přístup pouze oprávněný uživatel. Není to však automatické, ale je třeba pro to něco udělal
Systémy souborů a možnosti zabezpečení
Při instalaci severu (kapitola 1) a klientských počítačů (kapitola 2) jsme bez dlouhého zva žování zvolili pro zformátování oddílu systém souborů
NTFS. Pouze tento systém je scho pen z a j i s t i t uloženým datům bezpečnost, samozřejmě však po další konfiguraci. Je tak zá kladem pro
zabezpečení dat.
Pokud se rozhodnete zformátovat jednotku pevného disku jiným systémem souborů (FAT či FAT32), můžete později své rozhodnutí změnit a
jednotku beze ztráty dat převésl na systém souborů NTFS. Zpět se však již vrátit beze ztráty dat nelze.
276
Obecně lze říci, že důvodem pro zformátování jednotek pevných disků jiným systémem než NTFS je pouze přítomnost dalšího operačního systému v
počítači (takzvané dual-boot či multi-boot konfigurace), který neumí se systémem NTFS pracovat. Základní vlastností systému NTFS je možnost
konfigurace oprávnění. To ale nemusí být vždy dostatečné. Představte si následující situaci:
Ve svém přenosném počítači zabezpečíte konkrétní složku s daty tak, že k ní budete nul oprávnění přístupu Úplné řízení pouze vy. Nikdo jiný se tak
k obsahu složky nedoslaní'. Jednoho krásného dne však o svůj přenosný počítač přijdete - jednoduše vám jej někdo ukradne. Zloděj to pochopitelně
udělal jen pro to, že měl na vaše data zálusk. Pravděpo dobnost, že uhádne vaše heslo a přihlásí se tak k počítači, je nulová. Co mu zbývá? Po čítač
rozebere, vyjme pevný disk a jako další disk jej připojí do svého vlastního počítače, ve kterém disponuje stejným operačním systémem, jako jste měli
v přenosném počítači.
Jak celá tato akce dopadne? Velmi jednoduše - zloděj získá úplný přístup ke všem datům na disku z vašeho počítače!
Jedná se o docela nepříjemnou záležitost, které by se jistě spousta uživatelů raději vyhnula. Protože se však krádeži stoprocentně vyhnout nemůžete,
je třeba najít způsoby, jak případným zlodějům zabránit v přístupu k citlivým datům. Pro řešení naštěstí nemusíte chodit daleko - je součástí
operačního systému, přesněji systému souborů NTFS a nazývá se šifrování.
Šifrovací systém souborů
Šifrovací systém souborů (Encrypting File System, EFS) je jednou z vlastností systému NTFS v systémech Windows 2000 a vyšších. Velmi
důmyslným (a pro uživatele přitom jednoduchým) způsobem provádí šifrování označených souborů. Z pohledu uživatele lze šifrovat jednotlivé
soubory nebo celé složky. Jestliže se zašifruje celá složka, šifrují se vlastně jednotlivě všechny její soubory.
Z pohledu uživatelů je práce se šifrováním velmi jednoduchá a rychlá. Uživatelé nemusí vědět, co všechno se odehrává na pozadí (tedy jak a kdy
probíhá šifrování a dešifrovaní souborů), navíc celý proces šifrování je pro ně naprosto transparentním. Nerozeznají lak rozdíl mezi otevřením
nezašifrovaného souboru v aplikaci od zašifrovaného. Bohužel má tento efekt také své nechtěné postranní účinky. Jednoduše řečeno - jak rychle a
bez problé mu je možné zašifrovat soubor, tak rychle a jednoduše je možné o přístup k jeho obsahu přijít.
Bylo by optimální, aby uživatelé znali principy šifrování používané systémem EFS. To na ně však klade poměrně značné nároky, navíc by museli
znát principy šifrování. Je tedy jednodušší předpokládat, že uživatelé tyto znalosti mít nebudou (a není třeba jim to mít za zlé) a na vše se dobře
připravit jako správci. Na úvod tedy nejprve trochu teorie.
Principy šifrování
V praxi se můžete setkat se dvěma způsoby šifrování - symetrickým a asymetrickým. Ať tato označení znějí jakkoli zvláštně, nehledejte za nimi
žádné složité procesy.
Symetrické šifrování
Cílem šifrování je vždy přenést důležitý dokument k příjemci v takové formě, kterou bude schopen rozluštit, tedy dešifrovat pouze on. Původní
soubor je tak nutné zašifroval způsobem, který dešifruje pouze příjemce.
Chcete-li pro tento účel využít symetrické šifrování, použijete pro zašifrování i dešifrování souboru stejný (tedy symetrický) klíč. Jak to vypadá v
praxi? Jediné, co je třeba vyřešit, je předání šifrovacího klíče mezi oběma stranami. To musí proběhnout bezpečně, neboť kdokoli, kdo by při přenosu
klíč získal, je schopen získat přístup k šifrovaným souborům, ačkoli nejsou určeny pro něj.
Navrhněte nějaký způsob pro bezpečnou výměnu šifrovacího klíče. Telefonický rozho-vor? E-mail? Jeho zašifrování jiným klíčem? Nikoli. Všechny
uvedené způsoby jsou nápad mitelné a rozhodně se nejedná o bezpečnou výměnu, u které byste měli jistotu, že klíč nezachytila jiná osoba. U
posledního způsobu se navíc jedná o další šifrování dalším klíčem a vše se opakuje.
Na druhou stranu - pokud k výměně klíče dojde, nemá symetrické šifrování ve své jednoduchosti, rychlosti a zatížení počítačů obdoby.
Shrnuto a podtrženo - symetrické šifrování je jednoduché, rychlé, a tedy žádoucí, jediným problémem zůstává výměna šifrovacího klíče.
Asymetrické šifrování
Jestliže při symetrickém šifrování hraje roli jediný klíč, potom při asymetrickém šifrováni hraje roli dvojice klíčů. Klíče v této dvojici jsou
jednoznačně spjaty matematickým algo ritmem, takže nelze různé klíče různě kombinovat.
Aby spl ni l o asymetrické šifrování svou roli, musí platit, že pokud se obsah souboru zašifruje jedním z dvojice klíčů, je možné jej dešifrovat pouze
druhým klíčem. Každý z vojice klíčů má své označení, které také předurčuje styl práce s ním. Jeden z klíčů je takzvaným soukromým klíčem, druhý
je veřejným klíčem. Pokud je něco soukromého, znamená to, že si to máte chránit jako oko v hlavě, veřejný klíč naopak můžete prezen tovat bez
jakýchkoli obav.
Asymetrické šifrování je v porovnání se symetrickým o něco složitějším procesem, neboť se zde vyskytuje více klíčů, které se zde účastní. Navíc
vyžaduje více prostředků systému a celý proces je také pomalejší.
Kombinace šifrovánítovat
Porovnáním dvou možností šifrování asi dojdete k závěru, že by bylo lepší používal sy metrické šifrování, které je jednodušší a rychlejší, ale je nutné
vymyslet mechanismus pro výměnu symetrického klíče. A právě pro tento účel přichází do hry asymetrické šifrová ni. Postup je následující:
1. Jako odesilatelé důvěrného dokumentu vymyslíte symetrický klíč, kterým budete později dokument šifrovat (například ABC123).
2. Poté požádáte příjemce, aby vám zaslal svůj veřejný klíč. Na ten máte nárok ;i |e ho majitel se nemusí ničeho obávat.
277
3. Veřejný klíč příjemce vezmete a pomocí něj zašifrujete klíč, který jste předtím vymysleli (symetrický). Výsledek odešlete příjemci například
elektronickou poštou (řekněme, že po zašifrování bude výsledek XYZ567).
4. Tento výsledek je schopen správně dešifrovat pouze ten, kdo vlastní druhý z dvojice klíčů. To je pochopitelně pouze příjemce, který vám pro
účely šifrování předal svůj veřejný klíč. Ten tedy vezme svůj soukromý klíč a dešifruje zaslanou zprávu. Získá původní řetězec ABC123.
Uvedený postup představuje bezpečnou výměnu klíče pro symetrické šifrování. Poté, kdy mají obě strany symetrický klíč, mohou přejít na
symetrické šifrování a vyměnit si tak zašifrovaný dokument.
Tolik teorie na úvod a nyní zpět do praxe. Kombinace symetrického a asymetrického ši frování se používá také v systému EFS. To je velmi podstatná
informace, neboť evokuje to, co zde ještě nebylo řečeno - totiž, že možnost dešifrovat zašifrovaný soubor nesouvisí přímo s existencí či neexistencí
účtu uživatele, ale pouze s vlastnictvím správného klíče. Vzhledem k tomu, že tato technologie, poprvé představená v systému Windows 2000, je na
trhu již několik let, můžete se setkat s nešťastníky, kteří využili možnost šifrovat soubory, pro něž například ve svém počítači vyhradili jednotku D:.
Na jednotce C: měli nainstalován operační systém, který jednoho dne přeinstalovali. Světe div se - přístup k obsahu zašifrovaných souborů byl v tu
chvíli ztracen.
Abyste se do takové nepříjemné situace nedostali, ale hlavně, aby se do takové situace nedostali ani vaši uživatelé, je třeba vědět, jak je to se
šifrovacími klíči v systémech Windows 2000 a Windows XP Professional a jaké jsou možnosti obnovení přístupu k zašifrovaným souborům.
Šifrování v praxi aneb První seznámení se systémem EFS
Podle informace uvedené výše využívá systém EFS kombinace obou typů šifrování - symetrického i asymetrického. Je tedy jasné, že ke správné
činnosti bude třeba několika klí čú. Z pohledu uživatele nebo správce je nutné se dobře postarat o klíče určené k asymetrickému šifrování; klíč pro
symetrické šifrování generuje systém náhodně sám a uživatel (správce) jej nepotřebuje vůbec znát.
Právě způsob vytvoření klíčů pro asymetrické šifrování určuje možnosti nasazení systému EFS. Protože se možnosti šifrování systému souborů
dočkaly v systému Windows XP Pro fessional rozšíření, jsou některé níže uvedené postupy možné pro systémy Windows 2000/XP, zatímco ostatní
jsou určené pouze pro systémy Windows XP Professional.
Klíče a certifikáty
V souvislosti s používáním dvojice klíčů pro asymetrické šifrování se můžete setkat s po jmem Certifikát. Co to takový certifikát je? V příkladu výše
v části Kombinace šifrováni byl popsán postup pro výměnu klíče pomocí asymetrického šifrování. Vše začíná tím, že příjemce předá odesílateli svůj
veřejný klíč.
Zde je nutné se nad situací trochu zamyslet. Vzhledem k tomu, že se chystáte vyměnil s příjemcem dosti citlivou informaci (klíč, kterým bude možné
dešifrovat později odešla ný soubor či soubory), měli byste mít jistotu, že tento klíč budete šifrovat veřejným klíčem, který patří té správné osobě
(důsledky poskytnutí šifrovacího klíče osobě jiné si jistě dovedete představit). Proto nelze brát veřejný klíč jenom jako soubor, ale je nutné ověřit,
zda pochází od příjemce, se kterým si opravdu chcete data vyměnit.
Abyste v tomto případě (tedy během ověřování) nemuseli komunikovat s osobou, která vám veřejný klíč poskytla, funguje vše trochu jinak. Každý,
kdo chce ve světě IT vypadat důvěryhodně, vám nebude odesílat vlastní veřejný klíč jen tak bez ničeho, ale nejprve si jej nechá podepsat od osoby,
které se říká Certifikační úřad (Certification authority, CA). Tento úřad odpovídá za to, že podepisuje veřejný klíč opravdu toho, kdo je v klíči uveden. A onu důvěryhodnost si osoba s podepsaným klíčem získá tím, že si klíč nechá podepsat od úřadu, kterému se ve světě IT důvěřuje obecně. Mezi
takové úřady patří například organizace Verisign či Thawte, v České republice pak organizace I. CA.
A jsme u toho - necháte-li si podepsat veřejný klíč certifikačním úřadem, získáte Cerlifi-kát. Certifikát tedy není nic jiného než podepsaný veřejný
klíč!
Celé léto oblasti, ve které se pracuje s asymetrickým šifrováním a certifikáty, se také říká Infrastruktura veřejných klíčů (Public Key Infrastructure,
PKI).
Na doplnění základních informací a pro zjednodušení představy o šifrování EFS je nutno dodat, že příjemce je zde zároveň odesilatelem.
První zašifrovaný soubor
Abychom si nenarušili své prostředí zbytečnými klíči a certifikáty, využijeme pro první za šifrování účtu zkušební uživatelský účet, který pro tyto
účely vytvoříme. Postupujte podle následujících pokynů:
1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítán služby Active Directory.
2. V kontejneru Users vytvořte zkušební uživatelský účet s přihlašovacím jménem eťsuser a bezpečným heslem.
3. Odhlaste se od počítače PC001 a přihlaste se jako uživatel EFSUSER.
Poznámka
Pokud jste při vytváření účtu ponechali zaškrtnuté políčko Při dalším přihlášeni musí uživatel změnit heslo, musíte nyní změnit
své heslo.
4. Otevřete okno aplikace Průzkumník Windows a v jednotce C: vytvořte složku s názvem EFSUSER. V té vytvořte nový textový soubor s
obsahem několika zna ků. Soubor uložte.
5. Nyní na soubor klepněte pravým tlačítkem myši a zobrazte jeho vlastnosti.
6. V dialogovém okně vlastností na kartě Obecné klepněte na tlačítko Upřesnil a poté v dialogovém okně Upřesnit atributy zaškrtněte políčko
Šifrovat obsah a zabezpečit tak data.
278
7. Dialogová okna zavřete klepnutím na tlačítko OK.
8. V dialogovém okně Upozornění před provedením šifrování zaškrtněte políčko Zašifrovat pouze soubor a poté klepněte na tlačítko OK.
Nově vytvořený textový soubor je nyní zašifrován. O tom se můžeme velmi jednoduše přesvědčit jako správci počítače.
Obrázek 22.1
Šifrování souboru
2. Otevřete okno aplikace Průzkumník Windows a přejděte do složky C:\EFSUSER
3. Poklepejte na zašifrovaný soubor. Přesto že k souboru máte dostatečná oprávnění přístupu, zobrazí se dialogové okno se zprávou „Přístup byl
odepřen".
Obrázek 22.2
K zašifrovanému souboru má přístup pouze uživatel, který jej zašifroval
Poznámka
Zelená barva souboru informuje uživatele o tom, že je soubor zašifrován. Barevné označení zašifrovaných souborů není k dispozici v
systémech Windows 2000.
Souhrn
Uživatel EFSUSER zašifroval vlastní textový soubor. Ačkoli nebyly při šifrování zobrazeny žádné další informace (uživatele opravdu není třeba
zatěžovat), došlo k vygenerováni pá ru klíčů, které se šifrování a dešifrování účastní. Veřejný klíč byl zároveň podepsán a klí če se staly součástí
profilu uživatele.
Uživatel je nyní absolutně klidný, protože má jistotu, že se mu nikdo jiný do souboru nedostane. Správce by zatím tak úplně klidný být neměl, neboť
celý proces šifrování není v tuto chvíli ještě dostatečně zabezpečen. Viděli jsme, že ani jako správci si soubor ne-přečteme - takže co řeknete uživateli
efsuser, až přijde a bude si stěžovat na to, že zašifrovaný soubor nemůže otevřít? Bude vůbec možné mu nějak pomoci? V dalších částech si ledy
ukážeme, k jakým změnám v systému vlastně došlo a co všechno je třeba udělat pro zabezpečení pozdějšího přístupu k zašifrovaným souborům.
Ověření existence klíčů uživatele EFSUSER
Vygenerování potřebných klíčů pro uživatele EFSUSER proběhlo na pozadí procesu šif rování. Dochází k němu pouze v případě, kdy ještě žádný
šifrovací klíč neexistuje. Znamená to, že když se tento uživatel rozhodne zašifrovat další soubor(y), použije se stává jící klíč. Kde je tento klíč uložen
a jak je možné se k němu dostat?
1. Přihlaste se k počítači PC001 jako uživatel EFSUSER.
2. Pomocí příkazu MMC spusťte prázdnou konzolu Microsoft Management Console
279
3. V nabídce Soubor klepněte na příkaz Přidat nebo odebrat modul snap-in a přidejte modul Certifikáty.
4. V levém podokně konzoly přejděte do části Certifikáty — aktuální uživa-tel\Osobní\Certifikáty. V pravém podokně poklepejte na
certifikát efsuser.
Obrázek 22.3
Certifikát uživatele efsuser
Z certifikátu se dá vyčíst mnoho podstatných věcí. Na kartě Podrobnosti ověřte, kdy přesně byl certifikát vystaven (pole Platnost od). Datum a čas
vystavení certifikátu musí odpovídat času zašifrování souboru. Dále si všimněte, že certifikát platí 100 let a také sí mužete prohlédnout veřejný klíč.
Kdo certifikát vystavil? Jinými slovy kdo podepsal veřejný klíč? To zjistíte na karté Cesta k certifikátu.
Obrázek 22.4
Informace o tom, kdo certifikát vystavil
Zde je uvedena jediná položka - efsuser - navíc ještě přeškrtnutá červeným křížkem. Jedná se o dost nestandardní záležitost, neboť certifikát je
podepsán sám sebou. Červený křížek tak znamená, že se jedná o nedůvěryhodný certifikát, neboť z pohledu uživatele jej nepodepsal žádný
důvěryhodný certifikační úřad. Takto se chovají certifikáty kořenových certifikačních úřadů a certifikáty vystavované pro speciální účely (kterým je
například šifrování EFS). Ostatní certifikáty bývají podepsané certifikačními úřady - také se k tomu dostaneme.
Na kartě Obecné certifikátu naleznete ještě jednu velmi důležitou informaci. Ve spodní části je uvedeno „Máte soukromý klíč, jenž odpovídá
tomuto certifikátu". To znamená, že někde v počítači je uložen ještě soukromý klíč uživatele EFSUSER, který tvoři dvojici s jeho veřejným klíčem.
„Někde v počítači" znamená v tomto případě v profilu uživatele. To je velmi důležité, neboť při pokusu uživatele EFSUSER otevřít zašifrovaný
soubor se soubor okamžitě otevře. Předtím je však na pozadí dešifrován právě pomoci tohoto klíče.
Sdílení šifrovaných souborů (pouze pro systémy Windows XP/2003)
Standardně má přístup do souboru pouze uživatel, který jej zašifroval. To není nic neob vyklého, neboť se to od šifrování očekává. Systém Windows
XP Professional však nabízí ještě další možnost - sdílet zašifrovaný soubor s dalšími uživateli. V takovém případě bu dou mít k souboru přístup
280
všichni uživatelé, kteří budou uvedeni v jeho vlastnostech.
Poznámka
Sdílení šifrovaných souborů není možné konfigurovat v systému Windows 2000.
Přihlaste se k počítači PC001 jako uživatel EFSUSER.
2. Zobrazte vlastnosti zašifrovaného souboru. Poté na kartě Obecné klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit atributy vedle
atributu šifrování klepněte na tlačítko Podrobnosti. Zobrazí se dialogové okno Detaily šifrování C:\EFSUSER\TextovyDokument.txt
Poznámka
V systémech Windows 2000 toto tlačítko v souladu s předchozí poznámkou chybí.
Obrázek 22.5
Dialogové okno Detaily šifrování
V části Uživatelé, kteří mohou transparentně přistupovat k souboru je standardně uveden pouze uživatel, který soubor zašifroval. Pouze on
může přidal další uživatele.
3. Pokud chcete přidat dalšího uživatele, klepněte na tlačítko Přidat. Zobrazí se dialogové okno Vybrat uživatele. Pokud v počítači PC001 ještě
žádný uživatel ne šifroval soubory či neprováděl jiné činnosti vyžadující certifikát, bude v tomto dialogovém okně zobrazen pouze certifikát
uživatele EFSUSER (tento certifikát již známe).
4. Klepněte na tlačítko Najít uživatele a v dialogovém okně Vybrat uživatele poté zadejte například. Obchodí. Po klepnutí na tlačítko Kontrola
názvů dojde k vyhledání uživatele Obchodí.
5. Klepněte na tlačítko OK. Zobrazí se informace o tom, že nebyl nalezen p o t ř e b n ý certifikát.
Obrázek 22.6
K přidání dalšího uživatele potřebujete jeho certifikát (podepsaný veřejný klíč)
Dostali jste se do celkem nepříjemné situace. Vy chcete zpřístupnit šifrovaný soubor jinému uživateli, ale k tomu potřebujete jeho certifikát. Ten
ovšem jiný uživatel (v našem případě Obchodí) nemá. Aby jej získal, musel by v tomto případě v počítači PC001 nejprve zašifrovat některý ze
souborů.
Vázat možnost přidat dalšího uživatele na nutnost nejprve zašifrovat některý ze souborů je ale docela nepříjemná záležitost. Optimálním řešením by
bylo mít veřejný klíč (certifikát) jiného uživatele k dispozici bez ohledu na to, zda již šifroval či nikoli. Tím nejste vázáni na činnost dalších uživatelů
a můžete připravit přístup k souborům samostatně a předem.
Možné to je, vyžaduje to však v síti další služby a jejich konfiguraci. V naší síti se však budete muset rozloučit s možností zpřístupnit zašifrovaný
soubor uživateli, který ještě v doméně žádný soubor nezašifroval. Obecně to možné je, vyžaduje to však instalaci certifikačního úřadu do systému
Windows Server 2003, Enterprise Edition, který v síti nemáme. Ve spojení se zásadami skupiny se ale jedná o velmi zajímavou novinku, takže se na
ni později podíváme.
Něco však přece jen nyní dokážeme. Pokud bude v síti k dispozici certifikační úřad (konkrétně jeho verze pro rozlehlé sítě) v systému Windows
281
Server 2003, budou veškeré certifikáty uživatelů pro šifrování publikovány automaticky v doméně Active Directory, ovšem až poté, co uživatel
poprvé zašifruje (to je právě ten rozdíl oproti výše zmíněné možnosti). Pak ale nebude problém s takovým uživatelem sdílet vlastní zašifrovaný
soubor.
Sdílení zašifrovaného souboru s uživatelem, který již v doméně šifroval (pouze systémy Windows XP/2003)
Aby bylo možné tento požadavek uskutečnit, budeme potřebovat v síti provést výraznější změny. Potřebujeme, aby někdo vystavil certifikáty
uživatelům automaticky bez jakéhokoli jejich zásahu. Taková součást existuje, a nazývá se Certifikační úřad pro rozlehlé sítě.
O nasazení certifikačního úřadu do sítě pro účely šifrování dat, zejména možností sdíle ní šifrovaných dokumentů, lze hovořit jako o systémovém
řešení. Předchozí řešení šifro vání mezi systémová řešení rozhodně nepatří. Účet uživatele EFSUSER však ještě ne odstraňujte, neboť s ním budeme
později pracovat.
Typy certifikačních úřadů v systému Windows 2000/2003
Certifikační úřady v serverových operačních systémech Windows 2000/2003 lze rozdělil do dvou skupin:
♦ Certifikační úřad pro rozlehlé sítě Tento certifikační úřad (v původní verzi Enterprise CA) je určen pouze pro doménové uživatele.
Každý certifikační úřad si žadatele předtím, než jeho veřejný klíč podepíše, dobře ověří. Protože certifikát nímu úřadu pro rozlehlé sítě jako
ověření žadatele stačí jeho účet v doméně, vystavuje certifikáty na požádání automaticky.
Pro náš účel - automatické vystavení certifikátů pro šifrování - je tedy tento typ certifikačního úřadu optimální, navíc jediný možný.
♦
Samostatný certifikační úřad Tento certifikační úřad je schopen vystavit certifikát (podepsat veřejný klíč) jak uživatelům v doméně, tak
uživatelům mimo doménu. Je mu tedy naprosto jedno, odkud uživatel pochází. Proto nemá možnost automaticky vystavovat certifikáty, a vše
se tak musí potvrdit ručně. To mohou provést pouze oprávnění uživatelé, na jejichž bedra tak zároveň padá odpovědnost za ověření údajů
uvedených na žádostech o certifikát.
Tento typ úřadu není pro náš problém vhodný, nicméně v praxi je velmi často používaný. Jak jinak byste například mohli jako běžní
smrtelníci získat certifikát podepsaný externím důvěryhodným certifikačním úřadem? Těžko věřit, že by vám kvůli požadavku na certifikát
vytvářeli správci doménový účet.
Certifikační úřady lze spojovat do hierarchického uspořádání a v praxi se to také tak provádí. Jedná se však o oblast, která v naší síti nenajde pro
účely šifrování EFS uplatnění (dalo by se o ní uvažovat v případě, kdybychom potřebovali vystavovat také certifikáty pro jiné účely), a proto se jí
vyhneme. Hierarchickému uspořádání odpovídají v systémech Windows 2000/2003 ještě další přívlastky certifikačních úřadů - kořenový a podřízeny.
Chcete-li nainstalovat podřízený certifikační úřad, musí získat certifikát podepsaný kořenovým úřadem. Kořenový úřad si naopak podepíše veřejný
klíč sám sebou - jinak by to nebyl kořenový úřad.
Shrnulo a podtrženo - našim požadavkům vyhoví Kořenový certifikát pro rozlehlé sítě.
Instalace certifikačního úřadu
Instalace certifikačního úřadu může velmi zásadně ovlivnit činnost sítě, tím spíše, jedná-li se o kořenový úřad. Jeho konfigurace, která se provádí
během instalace, totiž ovlivní vśechny vystavené certifikáty, a pokud se tyto dostávají ven z organizace, jsou také její reprezentací. Pokud tedy
nebudete mít během instalace u konkrétních položek zcela jas-no, raději instalaci přerušte a zjistěte si podrobné informace.
Instalace kořenového certifikačního úřadu pro rozlehlé sítě
2. Otevřete ovládací panel Přidat nebo odebrat programy a v jeho levé části klepněte na položku Přidat nebo odebrat součásti systému.
3. V dialogovém okně Součásti systému Windows zaškrtněte políčko Certifikační
služba. Zobrazí se informace o tom, že po instalaci této součásti nelze změnit název počítače ani jeho členství v doméně. Pokračujte
klepnutím na tlačítko Ano a poté klepněte na tlačítko Další.
4. V dialogovém okně Typ certifikačního úřadu zaškrtněte políčko Kořenový CÚ rozlehlé sítě a poté klepněte na tlačítko Další.
5. V dialogovém okně Identifikační informace certifikačního úřadu zadejte do pole Běžný název tohoto CÚ jeho název (například Studny
CA). V názvu nepoužívejte speciální české znaky, neboť byste mohli způsobit nekompatibilitu certifikátů s některými (staršími) aplikacemi.
V části Doba platnosti zadejte hodnotu 5 let. Pokračujte klepnutím na tlačítko Další. Proběhne vygenerování páru klíčů pro tento úřad.
282
Obrázek 22.7
Výběr typu.
certifikačního
úřadu
Obrázek 22.8
Zadání základních parametrů certifikačního úřadu
6. V dialogovém okně Nastavení certifikační databáze ponechte výchozí
cesty k databázi certifikátů a jejímu protokolu a poté klepněte na tlačítko Další. Proběh ne instalace certifikačního úřadu. V jejím průběhu můžete
být požádáni o vložení instalačního disku CD-ROM se systémem Windows Server 2003.
Obrázek 22.9
Konfigurace místa uložení databáze a jejího protokolu
283
Poznámka
O certifikáty od certifikačního úřadu je možné žádat také prostřednictvím webového prohlížeče. V takovém případě však musí být v
počítači nainstalovaná služba IIS. Pokud nebude, zobrazí se během instalace certifikačního úřadu zpráva viz obrázek 22.10.
Obrázek 22.10
Webové vyžádání certifikátů není v případě absence služby IIS
možné
7. Průvodce instalací certifikačním úřadem dokončíte klepnutím na tlačítko Dokon čit. Počítač nevyžaduje restartování.
Vyžádání certifikátu pro šifrování
1. Přihlaste se k serveru SRVR001 jako správci (ITSprával) a v jednotce C: vytvořte nový textový dokument. Tento dokument zašifrujte.
2. Spusťte nástroj Uživatelé a počítače služby Active Directory a v jeho rozšířené podobě zobrazte vlastnosti účtu, pod kterým jste zašifrovali
soubor.
3. Na kartě Publikované certifikáty se přesvědčte, že zde existuje certifikát vystavený dříve nainstalovaným certifikačním úřadem (Studny
CA).
Obrázek 22.11
Při prvním zašifrování
došlo k vystavení
certifikátu a jeho
publikování
do Active Directory
4. Poklepejte na certifikát, na kartě Podrobnosti si prohlédněte podrobné informace a poté klepněte na kartu Cesta k certifikátu. Zde se dozvíte,
že veřejný klíč uživatele ITSprával podepsal certifikační úřad Studny CA. V porovnání s předchozím certifikátem uživatele EFSUSER také
zjistíte, že tento již na žádné kartě ne obsahuje červený křížek značící jeho nedůvěryhodnost. Certifikační úřad pro rozlehlé sítě je v síti pro
všechny doménové objekty důvěryhodný.
Sdílení zašifrovaného souboru
2. Zobrazte vlastnosti zašifrovaného souboru. Poté na kartě Obecné klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit atributy vedle
atributu šifrování klepněte na tlačítko Podrobnosti. Zobrazí se dialogové okno Detaily šifrování C:\EFSUSER\TextovyDokument.txt.
V části Uživatelé, kteří mohou transparentně přistupovat k souboru je standardně uveden pouze uživatel, který soubor zašifroval. Pouze
on může přidal dal ší uživatele.
284
3. Pokud chcete přidat dalšího uživatele, klepněte na tlačítko Přidat. Zobrazí se dialogové okno Vybrat uživatele. Pokud v počítači PC001
ještě žádný uživatel nešifroval soubory či neprováděl jiné činnosti vyžadující certifikát, bude v tomto dialogovém okně zobrazen pouze
certifikát uživatele EFSUSER.
4. Klepněte na tlačítko Najít uživatele a v dialogovém okně Vybrat uživatele poté zadejte ITspraval. Po klepnutí na tlačítko Kontrola názvů
dojde k vyhledání uživatele ITSprával.
5. Označte certifikát uživatele ITsprával a klepněte na tlačítko OK. Certifikát se zařadí do seznamu a uživatel ITSprával tak získá přístup k
obsahu souboru.
Budete-li možnosti sdílení zašifrovaných souborů využívat v praxi, mějte na paměti, že kterýkoli uživatel, jenž má přístup k vašemu zašifrovanému
souboru, vás může ze seznamu oprávněných uživatelů odstranit. U přístupu k zašifrovanému obsahu rozhoduje pouze přítomnost certifikátu. Není-li v
hlavičce souboru, nemá uživatel přístup.
Systémové řešení sdílení zašifrovaných souborů s jakýmkoli uživatelem
Předchozí postup měl jedinou nevýhodu - abyste mohli přidat do hlavičky zašifrovaného souboru dalšího uživatele, musíte mít k dispozici jeho
certifikát. Ten můžete vzít z místního počítače nebo z domény Active Directory, aby se ale na jednom z těchto míst vyskytl, musí uživatel nejprve
zašifrovat některý soubor.
Níže uvedený postup tento jediný nedostatek odstraňuje tím, že certifikáty se do Active Directory publikují automaticky bez ohledu na vyžádání či
nevyžádání uživatele. Pro Správnou funkci však potřebujete následující prostředí:
♦
♦
♦
♦
♦
Doménu Active Directory s rozšířeními systému Windows Server 2003.
Šablonu certifikátu EFS s povoleným automatickým zápisem.
Certifikační úřad pro rozlehlé sítě v systému Windows Server 2003, Enterprise Edition.
Nakonfigurovaný objekt zásad skupiny pro automatický zápis certifikátu uživatelům.
Klientské počítače se systémem Windows XP Professional.
lidi podmínka je pro naši síť omezující, neboť verzi Enterprise Edition nemáme. Protože se však jedná o velmi zajímavou možnost, následuje postup
uvedení této strategie do praxe Navíc jej lze v našem prostředí zcela nakonfigurovat, i když nebude funkční.
Postup sestává z následujících hlavních oblastí:
♦
♦
♦
Instalace certifikačního úřadu rozlehlé sítě - tuto záležitost jsme již provedli výše.
Konfigurace certifikačního úřadu - zaměřuje se na vytvoření a konfiguraci šablony certifikátu.
Konfigurace objektu zásad skupiny pro automatický zápis certifikátu.
Konfigurace certifikačního úřadu
Nainstalovaný certifikační úřad je nyní připraven vydat prakticky jakýkoli certifikát kterémukoli členovi domény, tedy nejen uživateli, ale také
například počítačům nebo službám. Jeho možnosti jsou tedy velmi rozsáhlé, my je však využijeme pouze z malé části. Certifikační úřad
nakonfigurujeme tak, že bude vydávat pouze certifikáty pro systém EFS a bude to provádět automaticky.
Konfigurace šablony certifikátu
2. Spusťte prázdnou konzolu MMC a přidejte do ní modul snap-in Šablony certifikátů.
Obrázek 22.12 Nástroj Šablony certifikátů
3. V levém podokně klepněte na položku Šablony certifikátů a v pravém okně se přesvědčte, že u šablony Základní systém souborů EFS je
285
ve sloupci Automatický zápis text Nepovoleno. To nám samozřejmě nevyhovuje, a proto si vytvoříme vlastní šablonu, která bude pro
automatický zápis povolena.
4. Na šablony Základní systém EFS klepněte pravým tlačítkem myši a v místní nabídce poté klepněte na příkaz Vytvořit duplikát šablony.
Otevře se dialogové okno Vlastnosti nové šablony.
5. Na kartě Obecné zadejte do pole Zobrazovaný název šablony text Automatický zápis certifikátů pro EFS, do pole Název šablony zadejte
text Au-toEnrollBasicEFS. Ostatní hodnoty ponechte ve výchozím stavu a klepněte na kartu Vyřízení žádosti.
Obrázek 22.13
Karta
Obecné šablony pro automatický zápis certifikátů
286
6. Na kartě Vyřízení žádosti ponechte všechna pole ve výchozím nastavení a poté klepněte na kartu Název předmětu.
Obrázek 22.14
Karta Vyřízení žádosti šablony certifikátu
7. Na kartě Název předmětu ponechte všechna pole ve výchozím nastavení. Poté si prohledněte informace na ostatních kartách šablony a klepněte na
kartu Zabezpečení.
8. Aby došlo k automatickému zápisu certifikátů, potřebují uživatelé oprávnění Číst (Read), Zapsat (Enroll) a Automatický zápis (Autoenroll).
Oprávnění Cist mají doménoví uživatelé uděleno prostřednictvím skupiny Authenticated Users, oprávnění Zapsat (Enroll) prostřednictvím
skupiny Domain Users. Této skupině navíc ještě udělte oprávnění Automatický zápis a poté klepněte na tlačítko OK.
Obrázek 22.15
Karta Zabezpečeni šablony certifikátu
Poznámka
Dialogové okno na obrázku 22.15 ještě nepochází z konečné verze systému Windows Server 2003 CZ. Proto věřme, že dvě různá
oprávnění se stejným názvem budou do té doby opravena. Zde platí, že první oprávnění Zapsat znamená Write, druhé oprávnění Zapsat je
Enroll.
Konfigurace zásad skupiny
1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory.
2. Na úrovni domény vytvořte nový objekt zásad skupiny s názvem Automatický zápis certifikátů EFS.
3. Otevřete objekt a přejděte do složky Konfigurace uživatele\Nastavení systému Windows\Nastavení zabezpečení\Zásady veřejných klíčů.
287
Obrázek 22.16 Část objektu zásad skupiny týkající se automatického zápisu certifikátů uživatelům
4. Poklepejte na zásadu Nastavení automatického zápisu a v dialogovém okně Zásady zaškrtněte políčka Zapisovat certifikáty automaticky,
Obnovovat čertili katy, jejichž platnost vypršela... a Aktualizovat certifikáty, které používají šablony certifikátů. Klepnutím na tlačítko
OK zavřete zásadu.
5. Zavřete všechna dialogová okna a nástroje.
Obrázek 22.17
Konfigurace zásady pro automatický zápis certifikátů
Přidání šablony do vystavovaných certifikátů
V předchozím postupu jsme vytvořili šablonu certifikátu pro automatický zápis. Nyní je nutné tuto šablonu přidat mezi šablony certifikačního úřadu.
Postup lze provést pouze pomocí nástroje Certifikační úřad, který je připojen k certifikačnímu úřadu systému Windows Server 2003, Enterprise Edition.
Následující postup nelze provést v naší síti.
1.
2.
3.
4.
Přihlaste se k počítači se systémem Windows Server 2003, Enterprise Edition jako správci.
Spusťte nástroj Certifikační úřad. Ten se automaticky připojí k místnímu úřadu.
Pravým tlačítkem myši klepněte na položku Šablony certifikátů a v nabídce Nový klepněte na položku Vystavovaná šablona certifikátu.
V dialogovém okně Povolit šablony certifikátů vyberte vytvořenou šablonu a klepněte na tlačítko OK.
Vše ostatní je nyní v rukách použitých technologií. Při aplikaci zásad skupiny dojde k au lomatickému vystavení žádosti o certifikát, jeho schválení a
zapsání do domény Active Directory.
zabezpečení zašifrovaných souborů
Všechny tři možnosti, které jsme probrali výše, se lišily ve způsobu vytváření a zápisu certifikátu. Certifikát je podepsaným veřejným klíčem a veřejný
klíč je důležitou položkou v šifrování souboru.
288
Jestliže se k šifrování používá veřejný klíč uživatele, potom se k dešifrování (které probíha neviditelně na pozadí při jakékoli manipulaci se souborem)
používá soukromý klíč uživatele.
Kde je soukromý klíč uživatele uložen? To je otázka, za kterou vězí celé pochopeni procesu šifrování a dešifrování. Soukromý klíč uživatele je součástí
jeho profilu! To známi ná několik důležitých poznatků:
♦ Když uživatel přijde o profil, přijde také o svůj soukromý klíč.
♦ Pokud uživatel používá místní profil, vytvoří se v každém počítači, kde uživatel šif roval data, jiný soukromý klíč (v Active Directory potom
přibude další veřejný klíč).
♦ Jestliže uživatel kopíruje zašifrovaný soubor do jiného počítače na jednotku NTFS, vytvoří se v cílovém počítači další jeho profil s dalším
soukromým klíčem.
Pojďme se podívat, jak může ztráta soukromého klíče dopadnout v praxi (než soukromý klíč odstraníme, provedeme jeho zálohování).
Zálohování soukromého klíče
2. Otevřete prázdnou konzolu MMC a přidejte do ní modul snap-in Certifikáty týkající se svého uživatelského účtu.
3. V levém podokně konzoly přejděte do složky Certifikáty - aktuální uživa-tel\Osobní\Certifikáty. V pravém podokně konzoly klepněte
pravým tlačítkem myši na certifikát efsuser, který má ve sloupci Vystavitel také text efsuser a v místní nabídce Všechny úkoly klepněte na
příkaz Exportovat. Spustí se Průvodce exportem certifikátu. Klepněte na tlačítko Další.
4. V dialogovém okně Exportovat soukromý klíč zaškrtněte políčko Ano, exportovat soukromý klíč a poté klepněte na tlačítko Další.
Obrázek 22.18
Dialogové okno Exportovat soukromý klíč
Poznámka
Pole Ano, exportovat soukromý klíč je k dispozici pouze v případě, že vlastníte soukromý klíč. V opačném případě bude políčko šedé.
5. V dialogovém okně Formát souboru pro export ponechte výchozí hodnoty a klepněte na tlačítko Další.
Obrázek 22.19
Dialogové okno Formát souboru pro export
289
6. V dialogovém okně zadejte dvakrát stejné heslo pro ochranu soukromého klíče
a pokračujte klepnutím na tlačítko Další.
7. V dialogovém okně Souboru pro export zadejte cestu, do které chcete soukromý klíč exportovat (například C:\efsuser\klic). Poté klepněte na
tlačítko Další.
8. V dialogovém okně Dokončení průvodce exportem certifikátu si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. Zobrazí
se dialogové okno se zprávou o průběhu exportu.
Obrázek 22.20
Informace o průběhu exportu
Nyní je třeba říci, že vyexportovaný soukromý klíč je na tom nejnebezpečnějším místi neboť k souboru s ním se dá dostat mnohem jednodušeji, než když
je součástí profilu uživatele. Vzhledem k tomu, že se jedná o dočasný zkušební účet, může klíč na pevném disku po krátkou dobu zůstat. U opravdových
klíčů ale buďte mnohem opatrnější, klíč uložte na disketu nebo zapište na disk CD-R, médium uložte do trezoru a soubor z pevného disku odstraňte.
Jak přijít o přistup k zašifrovaným souborům
1. Pokud jste k počítači PC001 stále přihlášeni jako uživatel EFSUSER, ověřte, že ne máte potíže s otevřením zašifrovaného souboru.
2. Odhlaste se a k počítači PC001 se přihlaste jako správci.
3. Pravým tlačítkem myši klepněte na ikonu Tento počítač a zobrazte jeho vlastnos ti. Poté na kartě Upřesnit klepněte části Profily uživatelů na
tlačítko Nastaveni
4. V dialogovém okně Profily uživatelů klepněte na profil uživatele STUDNY\efs user a poté klepněte na tlačítko Odstranit. Odstranění
potvrďte klepnutím na tlačítko Ano. Poté klepněte dvakrát za sebou na tlačítko OK.
6. K počítači PC001 se přihlaste jako uživatel EFSUSER. Přihlášení bude chvilku tr vat, neboť se vytvoří nový profil uživatele.
7. Pokuste se otevřít vlastní zašifrovaný soubor ve složce C:\efsuser. Jistě nebudete úspěšní, neboť se zobrazí chybová zpráva „Přístup byl
odepřen".
Zde je tedy důkaz, že:
♦
♦
K dešifrování souboru potřebujete vlastní soukromý klíč.
Soukromý klíč je součástí profilu uživatele.
Jaké jsou nyní možnosti obnovení přístupu k zašifrovanému souboru? Pokud máte jako uživatel EFSUSER zálohovaný soukromý klíč, postačí provést
jeho import nazpět do profilu. Pokud jako uživatel soukromý klíč nemáte, bude postup složitější, neboť bude vyžadovat součinnost další osoby takzvaného Agenta obnovení dat.
Obnovení přístupu k zašifrovanému souboru
2. Spusťte konzolu MMC a přidejte do ní modul snap-in Certifikáty.
3. V levém podokně konzoly přejděte do složky Certifikáty — aktuální uživatel\ Osobní. Všimněte si, že zde není žádný certifikát (jedná se o
nový, čistý profil).
4. V pravém podokně konzoly klepněte pravým tlačítkem myši a v místní nabídce vyberte v části Všechny úkoly příkaz Importovat. Spustí se
Průvodce importem certifikátu. Klepněte na tlačítko Další.
5. V dialogovém okně Importovat soubor klepněte na tlačítko Procházet a přejděte k souboru klic.pfx (exportovaný klíč z předchozího postupu).
Pravděpodobně budete muset v dialogovém okně Otevřít zadat tento typ souboru v poli Soubory typu. Poté klepněte na tlačítko Další.
6. V dialogovém okně Heslo zadejte heslo, které jste určili při exportu klíče a zaškrtněte políčko Označit tento Míč jako exportovatelný.
7. V dialogovém okně Úložiště certifikátů ponechte výchozí hodnoty a klepněte na tlačítko Další.
8. V dialogovém okně Dokončení Průvodce importem certifikátu klepněte na tla čítko Dokončit. Zobrazí se informace o průběhu importu.
9. V konzole nyní znovu uvidíte vlastní certifikát pro šifrování.
10. Pokuste se otevřít zašifrovaný soubor. Nyní se vám to jistě podaří.
Co se vlastně exportuje, pokud postupujete podle výše uvedeného postupu (zálohování soukromého klíče)? V průvodci jste zaškrtli políčko exportu
soukromého klíče, výsledkem je však export soukromého klíče a certifikátu uživatele (vše je v jednom souboru). Pokud později provedete import
soukromého klíče, importujete zároveň svůj certifikát a nebu déle tak pro další šifrování potřebovat vystavit nový certifikát. Pokud je tedy zaškrtnuté
290
políčko pro export soukromého klíče, dochází k exportu obou klíčů (přesněji soukromé ho klíče a certifikátu). Pokud je zaškrtnuté políčko neexportovat
soukromý klíč, dojdi pouze k exportování certifikátu.
Viděli jsme, že přijít o přístup k zašifrovaným souborům není žádná složitá věc. Přitom přijít o vlastní profil není žádná výjimečná událost. Příčinou
může být chyba hardwaru nebo například zákrok správce. Aby se uživatelé vyhnuli potížím s přístupem k zašifrovaným souborům, mají jedinou
možnost - provést export soukromého klíče. Naučte ale své uživatele exportovat soukromé klíče. Na to, že někteří se umějí sotva přihlásit, byste toho po
nich chtěli možná až moc. Existuje tedy nějaký jiný způsob, jak jim zajistit přístup k zašifrovaným souborům, aniž si oni sami vyexportovali soukromé
klíče? Existuje (právě proto, že není možné to nechat na uživatelích)!
Princip není v tom, že byste museli postupně exportovat soukromé klíče za uživatele. To by ani nebylo reálné, neboť byste museli tuto akci provést pod
přihlášeným dotčeným uživatelským účtem, což je nesmysl. Řešení je ve využití možností uživatele, kterému se říká Agent obnovení dat.
Struktura zašifrovaného souboru
Pro správné pochopení postupů pro obnovení zašifrovaného souboru je nutné vědět, jak to chodí uvnitř systému při šifrování a dešifrování souboru.
Postup je následující:
1. Uživatel (například EFSUSER) zašifruje soubor.
2. Systém Windows XP Professional vygeneruje náhodný šifrovací klíč (FEK, File Encryption Key), kterým zašifruje obsah souboru.
3. Systém vezme veřejný klíč uživatele, zašifruje jím klíč FEK a výsledek uloží do hlavičky souboru do pole dešifrování dat (DDF, Data
Decryption Field).
4. Dále systém vezme veřejný klíč agenta obnovení dat, zašifruje jím klíč FEK a výsledek uloží do hlavičky souboru clo pole obnovení dat (DRF,
Data Recovery Field).
5. Tento bod systém opakuje pro všechny agenty obnovení dat.
6. Systém uzavře soubor a uloží jej na disk.
Obrázek 22.21
Struktura zašifrovaného souboru
Možná vás překvapila informace, že se pomocí veřejného klíče vlastně šifruje klíč FEK na místo obsahu souboru. Je to logické, neboť v opačném
případě by k souboru nemohl získal přístup nikdo jiný než uživatel, který jej zašifroval. Vše by tak sice fungovalo, ale pouze do ztráty soukromého klíče
uživatele.
Tento postup umožňuje vložit do hlavičky více agentů obnovení dat, stejně jako uživatelů, kteří budou šifrovaný soubor sdílet. O tom jsme se již
koneckonců přesvědčili při konfiguraci sdílení šifrovaného souboru dříve.
Pokud uživatel potřebuje soubor otevřít, vezme systém jeho soukromý klíč, dešifruje po mocí něj klíč FEK, kterým následně dešifruje soubor. Vzhledem
ke struktuře souboru se dá tento postup použít s jakýmkoli soukromým klíčem, jehož protějšek - veřejný klíč - je součástí hlavičky souboru. A na tom je
postavena funkce agenta obnovení dat.
Agent obnovení dat
Agent obnovení dat je ve výchozím nastavení jediný a platí pro celou doménu. Je jím do měnový účet Administrátor. Aniž jsme museli agenta
obnovení dat definovat, je již něja kou dobu funkční. Přesvědčme se o tom.
2. Zobrazte vlastnosti zašifrovaného souboru, klepněte na tlačítko Upřesnit a v dialogovém okně Upřesnit atributy klepněte na tlačítko
Podrobnosti. Zobrazí se informace o tom, které klíče jsou součástí pole dešifrování dat (horní část) a pole obnovení dat (spodní část).
291
Obrázek 22.22
Informace o hlavičce zašifrovaného souboru
Poznámka
Pokud jste úspěšně dokončili sdílení šifrovaného souboru, budete mít v horní části dia logového okna ještě uživatele itsprava1.
3. Ve spodní části dialogového okna je uveden certifikát agenta obnoveni dat Zapište si počátek jeho miniatury.
Agent obnovení dat se automaticky zapíše clo každého šifrovaného souboru, neboť je tak definován ve výchozím objektu zásad skupiny. Pokud byste
chtěli přidat další agenty ob novení dat, je nutné zasáhnout do tohoto objektu. Je však nutné vědět, kdy se žačnou noví agenti aplikovat na soubory. Ze
všeho nejdříve musí proběhnout aplikace zásad skupiny. U nově šifrovaných souborů se poté zapíší noví agenti clo hlavičky ihned, u stávajících
zašifrovaných souborů v okamžiku, kdy uživatel soubor otevře (nemusí v něm provádět ani žádné změny).
Nalezení agenta obnovení dat
1. Přihlaste se k počítači PC001 jako správci a spusťte nástroj Uživatelé a počítače služby Active Directory.
2. Otevřete objekt zásad skupiny s názvem Default Domain Policy.
3. Přejděte do části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady veřejných klíčů\Šifrování systému
souborů a v pravém podokně poté poklepejte na zobrazený certifikát.
Obrázek 22.23
Certifikát agenta obnovení dat a jeho miniatura
4. Na kartě Podrobnosti porovnejte miniaturu s tou z předchozího případu. Měly bybýt stejné, takže se jedná o stejný certifikát.
Certifikát agenta obnovení dat není důvěryhodný, neboť je podepsán sám sebou. Je to po chopitelné, protože k jeho vygenerování dochází během
instalace domény, přičemž v tu chvíli v síti nemusí být certifikační úřad. Vzhledem k tomu, že certifikát slouží pouze k účelům obnovení souborů v
rámci domény, není nedůvěryhodnost certifikátu podstatná.
Soukromý klíč agenta obnovení dat
292
Agent obnovení dat je poslední instancí, na kterou se mohou uživatelé v případě potíž! obrátit. Aby mohl dešifrovat soubor uživatele, potřebuje svůj
soukromý klíč. Proto je vel mi důležité provést co nejdříve export soukromého klíče, neboť v opačném případě mu že být později agent obnovení spíše
agentem pohřebním.
Soukromý klíč agenta obnovení dat je uložen v jeho profilu v prvním nainstalovaném řadiči domény! Nikde jinde.
Práce se soukromým klíčem agent obnovení dat
V bezpečné síti se s veřejným klíčem agenta obnovení dat provádějí následující činnosti;
♦ Export na přenosné médium
♦ Odstranění z počítače
Exportování klíče je na základě uvedených údajů logickou záležitostí. Proč ale klíč z počítače zároveň odstraňovat? To má dva důvody.
Tím prvním je zabezpečení dat uživatelů. Pokud ponecháte klíč agenta obnovení dal v počítači, může jej získat kterýkoli správce domény, jenž zná heslo
účtu Administrátor, a podívat se pomocí něj na jakýkoli zašifrovaný soubor v doméně. Taková činnost není s principy zabezpečení dat slučitelná.
Druhým důvodem je zabezpečení samotného klíče. Nebude-li klíč uložen v počítači, nemůže se jej zmocnit žádný útočník, uživatel ani správce.
Exportování a odstranění soukromého klíče agenta obnovení dat
1. Přihlaste se k počítači SRVR001 jako uživatel Administrátor (Ton!&check) a spusťte prázdnou konzolu MMC.
2. Do konzoly MMC přidejte modul snap-in Certifikáty svého vlastního účtu a v levém podokně přejděte na část Certifikáty — aktuální
uživatel\Osobní\Certifikáty. V pravém podokně se objeví certifikát agenta obnovení dat. Je-li v pravém podokně certifikátů více, budete nadále
pracovat s tím, který má ve sloupci Zamýšlené účely uvedeno Obnovení souboru.
3. Pravým tlačítkem myši klepněte na certifikát a v části Všechny úkoly klepněte na příkaz Exportovat. Spustí se Průvodce exportem
certifikátu. Klepněte na tlačítko Další.
4. V dialogovém okně Exportovat soukromý klíč zaškrtněte políčko Ano, exportovat soukromý klíč a poté klepněte na tlačítko Další.
5. V dialogovém okně Formát souboru pro export zaškrtněte kromě výchozích políček navíc políčko Odstranit privátní klíč v případě
úspěšného exportu. Pokračujte klepnutím na tlačítko Další.
Obrázek 22.24
Dialogové okno Formát souboru pro export
6. V dialogovém okně Heslo zadejte dvakrát stejné a silné heslo. Poté klepněte na tlačítko Další.
7. V dialogovém okně Souboru pro export zadejte cestu do složky, kam chcete klíč exportovat, a název souboru (např. RA.pfx). Poté klepněte na
tlačítko Další.
8. V dialogovém okně Dokončení Průvodce exportem certifikátu si prohlédněte zadané informace a poté klepněte na tlačítko Dokončit. Zobrazí
se informace O úspěšném exportu. Klepněte na tlačítko OK.
9. Soubor RA.pfx nyní zkopírujte na disketu (nebo ještě lépe zapište na disk CD-R) a odstraňte jej z počítače (případně i koše). K přenosnému
médiu přiložte heslo, které soukromý klíč chrání, vše vložte do obálky, tu zapečeťte a uložte do trezoru.
Postupy obnovení šifrovaných dat
Jestliže uživatel přijde o soukromý klíč a ztratí tak přístup k zašifrovaným souborům, požádá vás jako agenta obnovení dat o pomoc. Existují následující
možnosti obnovení.
Obnovení v počítači uživatele
JSOU-li zašifrované soubory umístěny v počítači uživatele, můžete mu pomoci místně.
293
V lakovém případě postupujte podle následujících pokynů:
1. Vyzvedněte z trezoru soukromý klíč agenta obnovení dat a proveďte o tom zápis.
2. K počítači uživatele se přihlaste jako správce (nemusí se nutně jednat o správce, kterému přísluší soukromý klíč).
3. Spusťte prázdnou konzolu MMC a přidejte do ní modul snap-in Certifikáty vlastního účtu. Do certifikátů naimportujte soukromý klíč agenta
obnovení dat.
4. Nyní přejděte do vlastností zašifrovaného souboru a zrušte atribut šifrování.
5. Pomocí konzole certifikáty proveďte exportování soukromého klíče a následné odstranění z počítače.
6. Médium se soukromým klíčem agenta vraťte do trezoru a uživatele informujte o dešifrování souboru.
Obnovení ve svém počítači
Pokud máte k dispozici svůj vlastní počítač, nebude se vám pravděpodobně chtít díky jedinému souboru opouštět vaše pracovní místo. Dešifrovat
soubor můžete i ve svém počítači, pouze však za předpokladu, že soubor do svého počítače zkopírujete.
Nakládání se zašifrovaným souborem je však velmi omezené. Jestliže uživatelé nemají k souboru přístup, nemohou jej ani kopírovat, ani přesouvat.
Jedinou možností je tak provést zálohu takového souboru a agentovi obnovení předat soubor zálohy (soubor BKF).
V dobách elektronické pošty není pak problém soubor zálohy odeslat touto metodou Agent obnovení tak může být i na druhém konci světa, a přitom je
schopen uživatelům vyhovět - ovšem za předpokladu, že u sebe má soukromý klíč agenta. V takovém případě postupujte podle následujících pokynů:
1.
2.
3.
4.
5.
6.
Vyzvedněte z trezoru soukromý klíč agenta obnovení dat a proveďte o tom zápis,
Klíč naimportujte do svého počítače a od uživatele získejte zálohovaný zašifrováný soubor.
Pomocí nástroje NTBackup.exe proveďte obnovení souboru získaného od uživatele na pevný disk.
Zrušte atribut šifrování souboru a odešlete jej zpět uživateli.
Proveďte export soukromého klíče s následným odstraněním z počítače.
Soukromý klíč agenta vraťte do trezoru.
Poznámka
Ačkoli se jako správci můžete vzdáleně připojovat k libovolné jednotce jakéhokoli počítače, nemůžete soubory vzdáleně dešifrovat.
Dešifrovat lze soubor pouze v tom počítači, ve kterém je k dispozici soukromý klíč agenta uložený v jeho uživatelském profilu.
Další možnosti a doporučení pro práci se šifrováním EFS
Klíč agenta obnovení dat exportujte a odstraňte ihned po instalaci prvního řadiče domény
Nejednou jsem se v praxi setkal s případem, kdy správci prováděli upgrade domény Windows NT 4.0 na doménu Active Directory. Protože se jednalo o
přímý upgrade, zůstaly v novém řadiči domény „pozůstatky" předešlého systému Windows NT 4.0. Dále tedy správci postupovali tak, že nainstalovali
další dočasný řadič domény Windows 2000 do jiného počítače a poté původní řadič přeinstalovali.
Tím dosáhli svého - po nové instalaci se již jednalo o „čistokrevný" řadič domény se systémem Windows 2000. Bohužel, na pozadí, zcela neviditelně,
došlo k odstranění soukromého klíče agenta obnovení dat. Jeho certifikát zůstal v doméně i nadále k dispozici - vždyť ten je součástí domény Active
Directory, která se replikovala na dočasný řadič domény. Správci tedy zůstávají v pohodě do doby, kdy je uživatel požádá o řešení potíží s přístupem k
zašifrovanému souboru.
Odstraněním soukromého klíče dále zvyšujete zabezpečení informací v šifrovaných sou borech. Vytvořte v organizaci směrnici týkající se nakládání a
postupů práce s veřejným klíčem agenta obnovení dat a tuto směrnici publikujte. Běžní uživatelé by měli mít jistotu, že zašifrovaný soubor je pouze
jejich a že ani správce (agent obnovení) do nich ne může nahlížet.
Šifrujte mezipaměť souborů of f line
Soubory offline používají zejména uživatelé přenosných počítačů. Právě o ty mají zloději největší zájem a je tedy třeba data v nich uložená pečlivě
chránit. Šifrování m e z i p a m ě t i souborů offline konfiguruje správce v dialogovém okně Možnosti složky na kartě Soubory offline a šifrování se poté
týká všech uživatelů. Existuje také možnost šifroval tuto mezipaměť pomocí zásady v objektu zásad skupiny.
Další informace o funkci Soubory offline naleznete v kapitole 21, „Firma se rozhodla na koupit přenosné počítače".
Šifrování mezipaměti souborů offline není možné v systémech Windows 2000.
Zakažte šifrování sdílených složek v síti s dokumenty určenými více uživatelům
Typickým příkladem takové sdílené složky je knihovna dokumentů naší organizace. Po kud by si některý z uživatelů zašifroval dokumenty, ke kterým
má přístup (pro šifrování je nutné mít oprávnění Měnit), ostatní uživatelé s nimi nebudou moci pracovat. Řešením by sice bylo sdílení šifrovaných
dokumentů, ale konfigurace by byla příliš složitá, navíc by záleželo na dohodě mezi uživateli.
Lepším řešením je šifrování souborů v těchto složkách zakázat. Možná si vzpomenete na kapitolu 12, „Vytváříme firemní knihovnu dokumentů", kde
proběhlo vytvoření celé knihovny, a kde jsme také případné šifrování zakázali. Do každé složky jsme doplnili soubor Desktop.ini, jehož obsah byl
následující:
[Encrypti on] Disable=l
Chcete-li tedy zamezit šifrování obsahu složky, vytvořte v ní výše uvedený soubor.
294
Existence/neexistence agentů obnovení
Šifrujete-li soubor v počítači se systémem Windows XP Professional nebo Windows Server 2003, který je součástí domény bez agenta obnovení (někdo
jej dříve odstranil), šifrování se podaří, nicméně nebudete mít zajištěno obnovení souboru v případě, kdy přijdete o soukromý klíč.
Budete-li šifrovat stejným způsobem soubor v systému Windows 2000, šifrování se nezdaří. Systém Windows 2000 bez existence agenta obnovení
nepovolí zašifrování souboru.
výchozí agenti obnovení
Pokud budete šifrovat soubor v počítači, který je členem domény jako doménový uživatel, je výchozím agentem obnovení správce domény
(Administrátor).
Pro místní uživatele je výchozím agentem obnovení v systémech Windows 2000 místní Správce (Administrátor), v systémech Windows XP Professional
a Windows Server 2003 místní agent obnovení neexistuje.
V doménách se systémem Windows NT 4.0 je výchozím agentem obnovení vždy místní správce počítače (vyjma systémů Windows XP Professional a
Windows Server 2003, které tohoto agenta nemají).
Zjednodušení šifrování
Než uživatel zašifruje soubor či celou složku, musí absolvovat relativně dlouhou cestu klepání myší na správná tlačítka a zaškrtnutí správných políček.
Následující postup přidá nabídku Šifrovat/Dešifrovat do místní nabídky v konkrétním počítači.
1. Přihlaste se jako správci k počítači, ve kterém chcete místní nabídku upravit.
2. Spusťte příkaz regedit.exe a přejděte na klíč HKEY_LOCAL_MACHINE\SOFT-WARE\Microsoft\Windows\Current
Version\Explorer\Advanced.
3. V nabídce Upravit klepněte na položku Nový a poté klepněte na položku Hodnota DWORD. Do názvu zadejte text EncryptionContextMenu
a do pole Data hodnotu 1.
4. Zavřete všechna okna aplikace Průzkumník Windows. Poté se nové nastavení projeví.
Zákaz šifrování v konkrétním počítači
Šifrování je možné v konkrétním počítači zakázat. Takové nastavení se nijak nedotkne ostatních počítačů. Postupujte podle následujících pokynů:
1.
2.
3.
4.
5.
Přihlaste se k danému počítači jako správci.
Spusťte příkaz regedit.exe a přejděte na klíč HKEY_LOCAL_MACHINE\SOFT. WARE\Microsoft\Windows NT\Current Version\EFS.
V nabídce Upravit klepněte na položku Nový a poté na položku Hodnota DWORD
Do názvu zadejte text EfsConfiguration a do pole data hodnotu 1.
Restartujte počítač.
Pokud se jakýkoli uživatel pokusí v tomto počítači zašifrovat soubor, zobrazí se stejná chybová zpráva jako v případě pokusu šifrovat soubor ve složce
obsahující výše uvedený soubor Desktop.ini.
Zabezpečení počítačů a sítě
V kapitole 10, „Zabezpečení přístupu" a v předchozí části této kapitoly jsme se věnovali zabezpečení dat v počítačích. Nyní víte, jak mohou správci
zabezpečit data tak, aby se k nim dostali pouze oprávnění uživatelé a jak mohou uživatelé zabezpečení svých dat posílit šifrováním. Svou část k
zabezpečení dat si řekla také kapitola 16, „Co když zítra „odejde" server?", která ukázala možnosti zabezpečení dat v případě výpadku hardwaru či poškození dat například virem.
Ačkoli je i dnes mnoho správců přesvědčeno, že zabezpečení dat pomocí oprávnění NTFS zesílené případným šifrováním je vše, co mohou pro
zabezpečení své sítě udělat, je před nimi stále ještě jedna velká oblast týkající se zabezpečení jednotlivých počítačů, serverů, případně přenosu dat v síti.
Co sem patří? Jestliže se v oblasti dat hovořilo a často používalo slovo oprávnění, potom zde se používá slovo právo. Je pouze otázkou konfigurace, kdo
bude mít například právo vůbec se k počítači přihlásit, kdo má právo k němu přistupovat přes síť, kdo má právo zálohovat data, kdo má právo měnit
systémový čas a další. Dále nesmíme vynechal zabezpečení systémového registru, který obsahuje informace o konfiguraci počítači-, za jistit nespouštění
služeb, které počítač ke své činnosti nutně nepotřebuje, a další.
Dalších nastavení zabezpečení je poměrně dost, přičemž jistě podvědomě cítíte, že různí role počítačů mohou vyžadovat jiné přístupy k zabezpečení. To,
co platí pro roli souborového serveru, již může být málo pro řadič domény a ještě méně pro počítač plnící roli certifikačního úřadu. Pravděpodobně však
budou mít všechny počítače některá nastavení ve výchozím stavu společná - základní - nastavení zabezpečení.
Celou oblast zabezpečení lze rozdělit do dvou celků nazývaných v anglickém jazyce Getsecure a Staysecure. Getsecure (tedy Zabezpečení) je proces
sestávající z konfigurace všech nutných možností zabezpečení. Staysecure (Sledování zabezpečení) je oblast lýka jící se pravidelného sledování změn v
zabezpečení sítě, implementace nových oprav a aktualizací a změn v zabezpečení odpovídajících vnějším podnětům.
V této části se nejprve podíváme na oblast konfigurace zabezpečení a poté na možnosti sledování zabezpečení.
Konfigurace zabezpečení počítačů a sítě
1. Přihlaste s jako správci k počítači PC001 a spusťte nástroj Uživatelé a počítače služby Active Directory.
295
2. Otevřete objekt zásad skupiny Default Domain Polky. V levém podokně přejděte do složky Konfigurace počítače\Nastavení
systému Windows\Nastavení
zabezpečení. Zobrazí se jednotlivé součásti zabezpečení.
Obrázek 22.25
Část objektu zásad skupiny týkající se zabezpečení
Vyznám jednotlivých částí shrnuje následující tabulka.
Název položky
Význam
Zásady účtů
Zde se například určuje, jak budou muset vypadat hesla doménových uživatelů, zda se při několika neúspěšných pokusech v jistém časovém rozmezí účet automaticky zamkne a dále
parametry a časové platnosti lístků protokolu Kerberos.
Místní zásady
Zde se konfiguruje audit činností v síti, přiřazení práv uživatelům a skupinám (například kdo se může k počítači vůbec přihlásit) a základní možnosti zabezpečení (například v přihlašovacím
okně nebude uvedeno jméno naposledy přihlášeného uživatele).
Protokol událostí
Obsahuje zásady pro konfiguraci protokolů událostí (aplikační,
systémový a zabezpečení).
Skupiny s omezeným členstvím
Zde se definuje a „hlídá" členství v konkrétních skupinách.
Uživatelé, kteří jsou do zde uvedené skupiny vloženi v konkrétním počítači, budou po aplikaci zásad automaticky odebráni.
Systémové služby
Které služby se budou při spuštění počítačů spouštět automaticky,
které budou nastavené na ruční spouštění a které budou zakázány a spouštět se nebudou? To vše se definuje zde.
Název položky
Význam
Registr
Chcete zabezpečit přístup ke konkrétním větvím registru? Nebo
naopak - chcete tento přístup povolit běžným uživatelům? Zdemáte možnost zasáhnout do větve registru
HKEY_LOCAL_MACHINE.
Systém souborů
Pomocí této části lze definovat oprávnění NTFS na konkrétní
soubory či složky v počítačích, kterých se tyto zásady týkají.
Zásady veřejných klíčů
Zde se definují agenti obnovení dat, automatické zapisování
certifikátů pro účty počítačů, důvěryhodné certifikační úřady (obecné) a důvěryhodné certifikační úřady v rámci vlastní sítě,
Zásady omezení softwaru
Chcete uživatelům omezit spouštění nepovolených programů?
Zde je pro to vhodné místo.
Zásady zabezpečení protokolu IP
- Active Directory
Zde se definuje podepisování a šifrování paketů protokolu IP
v síti.
Tabulka 22.1 Hlavní části pro konfiguraci zabezpečení počítačů a sítě
Poznámka
Pokud otevřete stejný objekt zásad skupiny přímo v počítači s operačním systémem Windows Server 2003, zobrazí se navíc ještě jedna
část - Zásady bezdrátové sítě (IEEE 802.11). Pomocí té lze konfigurovat zabezpečení provozu v místní bezdrátové síti.
Nyní se podíváme trochu podrobněji na jednotlivé položky. Rozhodně zde není prostor pro to, abychom prošli všechny zásady, nicméně
v každé části se u některých zastavíme. Při procházení jednotlivých částí zabezpečení neprovádějte jejich konfiguraci - i když by to
fungovalo, nebylo by to systémové. Na systémovou práci se zásadami zabezpečení se podíváme později.
Zásady účtů
Na úvod jedna velmi podstatná informace. Zásady definované v této části platí pro celou doménu. Pokud budou součástí jiného objektu zásad na úrovni
organizační jednotky, bu dou se týkat pouze místních uživatelských účtů v počítačích, jejichž účty jsou v dané or ganizační jednotce. Znamená to, že
296
všichni doménoví uživatelé mají jednotné zásady tý kající se délky a složitosti hesel, jejich zamykání a práce s lístky protokolu Kerberos.
Zásady hesla
V první položce - Zásady hesla - jsou již předdefinované zásady, které vedou k nutnos ti používat poměrně bezpečná hesla. Význam
jednotlivých nastavení je uveden v tabulce 22.2.
Zásada
výchozí nastavení
význam
Heslo musí splňovat
požadavky na složitost
Ano
Heslo může obsahovat: malá písmena, velká
písmena, číslice a speciální znaky. Tato zásada
říká, že skutečná hesla musí obsahoval alespoň tři ze čtyř uvedených možností (například malé písmeno,
velké písmeno a speciální znak).
Zásada
Výchozí nastavení
Význam
Maximální stáři hesla
42 dnů
Minimální délka hesla
7 znaků
Minimální stáří hesla
1 den
Ukládal hesla všech
uźivatelu v doméně
pomocí reverzibilního
šifrování
Vynutil použití historie
hesel
Zakázáno
Heslo může uživatel používat nejdéle 42 dnů.
Poté mu nebude bez jeho změny povoleno přihlášení k počítači. Výjimku tvoří účty, které mají ve
svých vlastnostech zaškrtnuté políčko Heslo je stále platné.
Každé heslo musí mít nejméně uvedený počet
znaků.
Jestliže si uživatel změní heslo, musí je používat nejméně jeden den. Teprve poté si je může znovu změnit. Toto nastavení zabrání uživatelům v tom,
aby během krátkého časového úseku „protočili" předem vypsaná hesla a vrátili se tak zpět ke svému
původnímu.
Tato zásada je nutnou podmínkou pro
správnou funkci ověřovacího protokolu CHAP,
na druhou stranu jsou při jejím povolení hesla
uživatelů mnohem méně zabezpečena.
Tato zásada zajistí, že uživatelé nebudou
neustále střídat například dvě hesla, ale vždy si
budou muset vymyslet heslo nové.
24 hesel
zapamatováno
Tabulka 22.2 Zásady hesel
Takto nadefinované zásady byste v doméně se systémy Windows 2000 hledali marně. Zde je velmi markantně vidět rozdíl v přístupu společnosti
Microsoft k výchozímu zabezpečeni operačních systémů.
jediné heslo, které lze v doméně používat, aniž splňuje výše uvedené zásady, je heslo
účtu uživatele s oprávněními správce, který provedl instalaci role řadiče domény. Přesto, že jeho heslo předtím nemuselo splňovat uvedené zásady, může
jej používat. V případě vypršení platnosti hesla však již bude nucen své heslo změnit podle těchto zásad.
Žádné další zásady neovlivní uživatele tak výrazně,"jako jsou zásady hesel. Ty pozná to-tiž každý na vlastní kůži. Vymýšlet každých 42 dní heslo, které
je dlouhé alespoň 7 zna-ku a obsahuje například velké písmeno, číslici a speciální znak, nebude jistě úplně jednoduché. To je však v pořádku, neboť
hlavním cílem těchto zásad je, aby hesla nebyla snadno uhádnutelná případným útočníkem.
Protože ne vše se dá zachytit formou zásad, potom kromě výše uvedených, které pouze \ vnucují jistou formu hesel, je pro organizaci vhodné vydat
směrnici, která bude pro uži-vatele vodítkem pro vytváření bezpečných hesel. Z níže uvedených doporučení si vyberte ta, která vám budou vyhovovat
(optimálně všechna):
♦ Jako hesla nepoužívejte běžná slova, která je možné vyhledat ve slovnících či se s nimi setkat v běžném hovoru.
♦ Nepoužívejte hesla, která by měla na konci inkrementující se číslo (například MujPes0, MujPesl, MujPes2 atd.).
Nepoužívejte hesla, která mohou ostatní osoby uhádnout při pohledu na váš pracovní stůl (například jména členů rodiny, oblíbené sportovní týmy
apod.).
♦ Používejte hesla, která pro své zadání vyžadují obě ruce na klávesnici.
♦ V heslech používejte speciální znaky tvořené stiskem klávesy Alt spolu s jinou kombinací (například Alt+10).
♦
Největší potíže mívají uživatelé s délkou hesla. I čtyři znaky jsou pro některé moc a vy po nich najednou budete chtít sedm a více znaků. Taková změna
se velmi těžko prosa zuje, zejména z pozice správce sítě. Proto se v podobných případech obraťte na vedeni společnosti, vysvětlete mu případná rizika a
požádejte o podporu vašeho rozhodnutí.
Proč je délka hesla a jeho složitost tak důležitá? Předpokládejme, že útočník se bude snažit uhádnout heslo metodou hrubé síly (brute force). Jestliže se
bude 7znakové heslo skládat pouze z malých písmen, existuje celkem 26' kombinací. Jestliže zapojíme také velká písmena, zvýší se počet kombinací na
52'. A přidáme-li ještě navíc číslice, je výsledkem číslo 62'. Pokud útočník použije nástroj, který vyzkouší 1 milion kombinací za sekundu, může celý
proces trvat přibližně 978 hodin (tj. necelých 41 dnů) - a to nesmí zkoušet speciální znaky. 8znakové heslo může mít naproti tomu za stejných podmínek
628 kombinací a čas jejich vyzkoušení se tím prodlouží na 60 650 hodin, tj. 2 527 dní. Jedná se tedy o exponenciální nárůst doby zjištění hesla. Celý
297
proces by byl ve skutečnosti ještě složitější, ale pro představu o důležitosti řádně dlouhých hesel to postačuje.
zásady uzamčení účtů
Pomocí těchto zásad je možné vyloučit ze hry amatérské útočníky, kteří se snaží uhádnout heslo uživatele při přihlašování. Výchozí nastavení účty
neuzamyká, což nemusí být pro každé prostředí optimální. Můžete se zde setkat s následujícími nastaveními:
Zásada
význam
Prahová hodnota pro uzamknutí účtu
Určuje počet neúspěšných pokusů o přihlášení, po kterých se
účet uzamkne. Pokud je zde uvedena hodnota 0, nedojde nikdy k uzamčení účtu.
Udává počet minut, po kterých se počet neúspěšných
přihlášení nuluje.
Určuje dobu, po které se účet automaticky odemkne. Je-li
hodnota 0, je nutné účet odemknout ručně.
Vynulovat čítač pro zamknutí účtu po
Doba uzamčení účtu
Tabulka 22.3 Zásady uzamčení účtů
Konfigurace zamykání účtů může být dalším zabezpečením prostředí, může však také vest k přetížení správců, kteří budou nuceni účty odemykat.
Jestliže jsou zásady nakonfiguro vány na zamykání účtu, může například dojít k situaci, kdy si uživatel uzamkne vlastni účet tak, že je přihlášen k
jednomu počítači a v jiném počítači mezitím změní své hesle >. První počítač má tak neplatné heslo a pokud se bude pokoušet o ověření uživatele, mi i
že dojít k uzamčení jeho účtu.
Proto je v případě nasazení těchto zásad nutné správně zvolit prahovou hodnotu pro ne úspěšná přihlášení, která bude čelit pokusům na uhádnutí hesla,
ale zároveň zamezí za mykání účtu podle uvedeného příkladu se dvěma počítači (takovou hodnotou může hýl například 50). Druhou možností je tyto
zásady nekonfigurovat. To si v zabezpečené síti můžete dovolit, ale pouze za předpokladu, že:
♦ Existují zásady vynucující maximální délku hesla 8 znaků a jeho složitost.
♦ V síti existuje mechanismus, který je schopen upozornit na výskyt událostí uzamčení účtu a neúspěšná přihlášení značící útok na heslo
(například Microsoft Opera-tions Manager 2000).
Zásady modulu Kerberos
Protokol Kerberos je výchozím ověřovacím protokolem v doménách Active Directory. Pro většinu prostředí je výchozí nastavení zásad postačující, naši
organizaci nevyjímaje.
Tím jsme dokončili část zásad týkající se všech doménových účtů.
Místní zásady
Název této části nevyjadřuje přesně to, co se zde dá všechno nakonfigurovat. Nenechte se tedy zmást a pojďme se podívat na konkrétní oblasti.
Zásady auditu
Audit činnosti sítě je z pohledu zabezpečení velmi důležitým procesem. Jinak je totiž téměř nemožné zjistit, že se například již podvacáté za poslední
dvě minuty nezdařilo přihlášení uživatele, že došlo k uzamčení uživatelského účtu nebo například že se neopravněný uživatel snažil přistoupit k
souborům ve sdílené složce, ke kterým nemá uděleno potřebné oprávnění.
Vždy je možné auditovat úspěšné pokusy a neúspěšné pokusy. Zatímco u sledování pří-stupu k objektům nemusí být úspěšné pokusy pro správce
zajímavé (nepřinášejí žádnou Informaci, neboť došlo k události, která se očekávala), mohou být užitečné u auditu pri-hlášení. Při konfiguraci auditu je
tak třeba zvážit, co auditovat.
Události, které lze auditovat, shrnuje tabulka 22.4.
Zásada auditu
význam
Auditovat používání oprávnění
K auditu události dojde v tomto případě vždy, kdykoli uživatel
využije své právo v doméně či v počítači. Povolení auditu způsobí vytváření velkého množství událostí, které jsou zvláště
nepřehledné. Možná proto se (i když je toto auditování povoleno) neauditují práva Obejít křížovou kontrolu, Ladit programy,
Vytvořit objekt tokenu, Nahradit token úrovně procesu, Generovat audity bezpečnosti, Zálohovat soubory a adresáře a Obnovit
soubory a adresáře.
Auditovat přístup k adresářové
službě
Zde se audituje přístup uživatele k objektu v doméně Active
Directory, který má vlastní seznam řízení přístupu (kartu
Zabezpečen). Oba typy auditování (úspěšný pokus, neúspěšný pokus) mohou generovat velký objem událostí. Proto se
doporučuje tyto události auditovat pouze v případě, kdy je nutně potřebujete. Navíc je nutné tento typ auditu konfigurovat v
objektu zásad skupiny, do jehož působnosti spadají řadiče domény. Pouze na těch dojde k zápisu událostí,
Auditovat přístup k objektům
Audituje se přístup k objektu, kterým může být soubor, složka,
klíč registru či tiskárna - jednoduše každý objekt, který má vlastní seznam řízení přístupu (kartu ZabezpečenO. Protože se ze
všech možností auditu jedná o nejvíce událostí, které se zapisují do protokolů, doporučuje se provádět tento audit pouze v
případě nutnosti.
Zásada auditu
Význam
298
Aby vše pracovalo, je nutné po konfiguraci této zásady provést ještě konfiguraci ve vlastnostech prostředku, ke kterému chcete
přístup auditovat.
Auditovat sledování procesů
Zde se audituje spuštění procesu, jeho ukončení, případně
nepřímý přístup k procesům. Protože při auditu dochází k velkému výskytu událostí, provádějte jej pouze v případě
nutnosti. Takovým případem je například řešení potíží s počítači, které se nechovají stabilně.
Auditovat správu účtů
Někdo ze správců například odstraní účet uživatele a nikdo se
k tomu nechce přiznat. Jiný uživatel se může snažit odstranil účet svého kolegy (sice k tomu nemá oprávnění, ale zkusit t< >
může). Pro zachycení těchto případů je nutné auditovat správu účtů (úspěšnou i neúspěšnou). Poté se audituje:
♦ Vytvoření, změna a odstranění uživatelského účtu nebo skupiny
♦ Přejmenování, zakázání a povolení uživatelského účtu
♦ Nastavení či změna hesla
Auditovat systémové události
Systémovou událostí je například vypnutí či restartování
počítače nebo stav, kdy dojde ke změně v zabezpečení sítě či k práci s protokolem zabezpečení. Protože je úspěšných a
neúspěšných událostí tohoto typu auditu velmi málo a všechny jsou z hlediska informací významné, doporučuje se konfigurovat
audit obou typů.
Auditovat události přihlášení
Zde se audituje interaktivní přihlášení a odhlášení od počítače
či síťový přístup k prostředku v jiném počítači. Události se zapisují do protokolu v počítači, ve kterém k přihlášení došlo.
Auditovat události přihlášení k účtu
Auditovat změny zásad
Zde se audituje ověření přihlášení a odhlášení účtu řadičem
domény. Události se zapisují do protokolu řadiče domény, kterj provedl ověření, a obsahují informace, ke kterému počítači k
přihlášení došlo. Aby se tato zásada uplatnila, musí se objekt s touto zásadou aplikovat na řadiče domény.
Zde se auditují změny zásad v částech Zásady auditu, Přiřazeni
uživatelských práv a Možnosti zabezpečení. Informace v protokolu mohou posloužit při odstraňování potíží, neboť zjistíte,
který uživatel předtím změnil jakou zásadu.
Tabulka 22.4 Zásady auditu
Při konfiguraci auditu dejte pozor, aby počítače hned na úvod nezačaly protokolovat vel ké množství událostí. Správci jsou pak množstvím událostí
zděšeni, navíc vzhledem k je jich relativní složitosti nenaleznou čas se zabývat příčinami, proč se vlastně události ge nerují. Celý proces auditu pak může
být namísto dobré pomůcky chápán jako nutné zlo a zabezpečení sítě (zejména oblast Stay secure) dostává řádnou trhlinu.
Přiřazení uživatelských práv
Tato část obsahuje definici práv uživatelů. Možná překvapivě zde nenajdete žádnou na konfigurovanou zásadu. To znamená, že platí zásady uvedené v
objektech přiřazených organizačním jednotkám obsahujícím účty počítačů (to je případ řadičů domény) nebu místní zásady zabezpečení definované v
jednotlivých počítačích (to je případ ostatních počítačů v naší organizaci).
Aby se konfigurace této části zásad ve všech počítačích sjednotila, bylo by vhodné některé zásady nakonfigurovat na této úrovni nebo na
úrovni organizační jednotky obsahující klientské počítače a členské servery. Konkrétní konfiguraci si však necháme na později.
Zásady a jejich význam jsou uvedeny v tabulce 22.5.
Zásada (právo)
význam
Generovat audity bezpečnosti
Právo umožňuje procesům generovat události auditu do protokolu
zabezpečení. Účty, které mají oprávnění zapisovat tyto události, by mohl případný útočník využít k zápisu nesmyslných
událostí clo protokolu. Pokud je navíc protokol nakonfigurován tak, že se budou události přepisovat podle potřeby, může
zaplněním protokolu odstranit infonnace o své činnosti v síti. Proto by toto právo měly mít pouze účty Local Service a Network
Service.
Jednat jako část operačního systému
Umožňuje procesům převzít uživatelský účet a získat přístup
k prostředkům, ke kterým má účet přístup. Každý, kdo získá toto právo, má možnost převzít řízení celého počítače a odstranit
tak veškeré informace o své činnosti. Toto právo by měla mít pouze co nejmenší skupina uživatelů. Není žádný důvod dávat jej
automaticky skupině Administrátore. Pokud jej vyžaduje služba, spouštějte ji pod účtem Local System.
Ladil programy
Toto právo umožňuje uživatelům připojit ladicí nástroje
k jakémukoli procesu. Uživatelé tak mohou získat přístup k citlivým a kritickým součástem operačního systému. Útočník může
pomocí tohoto práva získat citlivé informace z paměti počítače. Protože v provozním prostředí nevzniká potřeba ladit
programy, je vhodné odebrat toto oprávnění všem uživatelům a skupinám a přidělit je opravdu jen v případě ladění. Nahradil
token úrovně procesu Toto právo umožňuje nadřazenému procesu nahradit token podřízeného procesu.
Uživatel, který má toto právo a zároveň právo Upravit kvóty paměti pro proces (viz níže), může spouštět procesy jako jiný
uživatel. Může se tak skrýt a provádět v počítači nepovolené operace.
Toto právo by měly mít pouze skupiny Local Service a Network Service.
Obejít křížovou kontrolu
Toto právo umožňuje uživatelům procházet adresáře bez
ověření oprávnění Procházet složkou. Uživatel nevidí obsah složky, pouze může procházet hierarchii složek. Ve výchozím
nastavení mají toto právo všichni uživatelé. Pokud jste s tím jako správci dosud nepočítali, mohli uživatelé procházet
podsložky složky, ke které neměli přístup. Ve zvláště bezpečné síti je možné odebrat skupinu Everyone, případně Users.
Obnovit soubory a adresáře
Jedná se o právo, které umožňuje obnovit soubory a složky
včetně zabezpečení bez ohledu na to, zda k nim má uživatel potřebná oprávnění.
Případný útočník by tak mohl například obnovit stará data do provozního systému, což by vedlo ke ztrátě aktuálních dat. Toto
právo však nezabrání útočníkovi obnovit data v počítači mimo síť. Právo by tak měla mít pouze skupina Administrátore.
299
Zásada (právo)
Význam
Odepřít místní přihlášení
Tato zásada zabrání uživateli přihlásit se k počítači pomocí
klávesnice (takzvané interaktivní přihlášení). Zde by měl být uveden alespoň účet Support_388945a0, který je učen pro funkci
Vzdálená pomoc.
Odepřít přístup k tomuto počítači
ze sítě
Tato zásada zabrání uživateli v přístupu k počítači ze sítě.
Uživatel, který má právo přistupovat přes síť k počítači, si může
zobrazit seznam účtů, názvů skupin a sdílené prostředky. V této zásadě by měly být uvedeny všechny účty, které nemají
žádnou potřebu přístupu přes síť - Anonymous Logon, místní účty Administrátor a Guest, účet Support_388945a0 a veškeré
servisní účty (výjimku tvoří servisní účty, jež po síti vyžadují přístup k počítači, například pro přístup k virtuálnímu adresáři
služby IIS mapovanému do daného počítače).
Povolit přihlášení terminálovou
službou
Toto právo umožňuje uživateli přihlásit se k počítači pomocí
funkce Vzdálená plocha. Pro tuto funkci existuje v systémech
Windows XP Professional/Windows Server 2003 skupina Remote Desktop Usere, úpravou jejíhož členství můžete toto právo
udělit.
Na řadičích domény by měla mít toto právo pouze skupina Administrátore, v ostatních počítačích navíc skupina Remote
Desktop Users.
Provádět úlohy údržby svazku
Toto právo umožňuje uživatelům spravovat disky a svazky.
Protože by uživatel s tímto právem mohl odstranit svazek, udělte je pouze skupině Administrátore.
Převzít vlastnictví souborů nebo
jiných objektů
Toto právo umožňuje převzít vlastnictví zabezpečených objektů
včetně objektů domény Active Directory, souborů, klíčů
registru, tiskáren, služeb, procesů a dalších. Uživatel s tímto právem může převzít jakýkoli objekt a následně s ním nakládal jak
uzná za vhodné. Proto je třeba zajistit, aby toto právo neměl nikdo jiný než skupina Administrátore.
Spravovat protokol auditu
a bezpečnosti
Toto právo umožňuje uživateli konfigurovat audit objektů
v doméně Active Directory, souborů a klíčů registru. Dále
může zobrazit a vymazat protokol zabezpečení.
Jedná se o velmi silné právo z hlediska zabezpečení, neboť
uživatel může vymazat protokol zabezpečení a odstranit tak
informace o předchozích činnostech.
Toto právo by měla mít pouze skupina Administrátore.
Upravit kvóty paměti pro proces
Toto právo umožňuje uživateli definovat velikost paměti,
kterou bude mít proces k dispozici. Primárně slouží k účelům ladění systému, případný útočník však může záměrně chybnou
konfigurací výrazně zpomalit či přerušit funkce důležitých aplikací.
Vytvořit objekt tokenu
Toto právo umožňuje procesu vytvořit token, který poté m u ž e
použít k získání přístupu k místním prostředkům. Přístupový token se uživateli vytváří při přihlášení k síti. Při zrušení
některého práva, které je součástí tokenu, se zrněni projeví ihned v registru, ale u uživatele až při dalším přihlášeni Pomocí
tohoto práva je však možné změnit token u aktuálně přihlášeného uživatele.
Toto právo by neměl mít žádný uživatel. Procesy, které je využívají, by se měly spouštět pod účtem Local System.
Zásada (právo)
Význam
Vytvořit stránkovací soubor
Toto právo umožňuje uživateli vytvořit a měnit velikost
stránkovacího souboru. Pokud uživatel výrazně zmenší jeho velikost nebo jej přesune na fragmentovanou jednotku, může se
výrazně snížit výkon systému. Toto právo udělte pouze skupině Administrators.
Zálohovat soubory a adresáře
Uživatel s tímto právem může zálohovat soubory bez ohledu
na svá oprávnění a obnovit je v systému, ke kterému má oprávnění správce. Tam tak může získat k datům úplný přístup.
Toto právo udělte pouze skupině správců, kteří provádějí zálohování.
Zamknout stránky paměti
Toto právo umožňuje procesu udržovat svá data v paměti.
Systém je tak nemůže uložit v případě potřeby do stránkovacího souboru. Výsledkem může být výrazné snížení výkonu
systému. Toto právo nepřidělujte žádným uživatelům.
Zavést a vyřadit ovladače zařízení
Změnit systémový čas
Toto právo určuje uživatele, kteří mohou dynamicky zavést
a vyřadit ovladač zařízení. Netýká se podepsaných ovladačů, které jsou součástí souboru Driver.cab v počítači. Ovladače
zařízení se spouštějí s vysokými právy. Toho by mohl využít případný útočník, který by jako ovladač mohl spustit nebezpečný
kód.
Toto právo umožňuje uživateli změnit systémový čas. Netýká se
však změny letního času. Pokud uživatel změní nepřiměřeně čas, může způsobit potíže s přihlašováním k doméně. Právo udělte
pouze uživatelům, kteří mají důvody měnit čas.
Tabulka 22.5 Některá z uživatelských práv
Možnosti zabezpečení
V této části objektu zásad skupiny je možné a zároveň nutné definovat další možnosti zabezpečení. Některé z nich jsou včetně vysvětlení
uvedené v tabulce 22.6.
zásada
význam
Audit: auditovat oprávnění
Pokud je tato zásada povolena, budou se v případě, že je
300
k zálohování a obnovení dat
zároveň povoleno auditování používání oprávnění, auditovat
všechny události zálohování či obnovení každého souboru. Ačkoli může toto nastavení pomoci zjistit správce, který například
obnovil starší soubory přes novější, doporučuje se tuto zásadu zakázat. V opačném případě se generuje příliš mnoho událostí,
které mohou zpomalit systém.
Audit: Není-li možno protokolovat
auditování zabezpečení,
vypnout okamžitě systém
Dojde-li k zaplnění protokolu zabezpečení, operační systém se
zastaví a zobrazí chybu STOP (modrá obrazovka). Obecně lze
říci, že tato chyba se zobrazí v případě, kdy není možné protokolovat žádné události zabezpečení. Poté se může k počítači přihlásit pouze místní správce, který musí události uložit a poté
vyprázdnit protokol.
V bezpečném prostředí nelze připustit stav, kdy se nebudou protokolovat důležité události auditu. Proto se doporučuje tutu
zásadu povolit. Samozřejmě s tím stojí ruku v ruce pravidelné
zálohování událostí a vyprazdńování protokolu
Zásada
Význam
Člen domény: vždy digitálně
zašifrovat nebo podepsat data
zabezpečeného kanálu
Tato zásada určuje, že komunikace mezi členy a řadiči domény
bude vždy zašifrována a digitálně podepsána. Jedná se
o výchozí nastavení domény Active Directory se systémem
Windows Server 2003. Z pohledu klientských počítačů zvládnou tuto komunikaci systémy Windows 2000 a vyšší, systém
Windows NT 4.0 s aktualizací SP3 a vyšší a systém Windows 98 s nainstalovaným klientem adresářové služby. S tímto
nastavením souvisí i dvě další - Člen domény: je-li možno, digitálně podepsat data zabezpečeného kanálu a Člen domény: je-li
možno, digitálně zašifrovat data zabezpečeného kanálu. Tato nastavení mohou podepisování či šifrování využít, pokud to
klientský počítač a řadič domény umí, v žádném případě je však nemusí vynutit.
Interaktivní přihlašování:
chování při odebrání karty
Smart Card
Pokud používáte kartu Smart Card pro přihlašování k počítači,
je možné touto zásadou určit, co se stane v okamžiku, kdy
kartu odeberete ze čtečky. Možnosti jsou Žádná akce,
Uzamknout pracovní stanici a Vynutit odhlášení. Zejména možnost Uzamknout pracovní stanici může být užitečná, pokud
uživatelé kartu zároveň používají k pohybu po firmě. Potom se nemůže stát, aby uživatel nebyl u počítače a ten zůstal
odemčený.
Interaktivní přihlašování: název
zprávy pro uživatele pokoušející
se přihlásit
Tato možnost jde ruku v ruce s možností Interaktivní
přihlašování: Text zprávy pro uživatele pokoušející se přihlásit.
Jsou-li tyto možnosti využity, zobrazí se uživateli po stisku
kombinace kláves Ctrl+Alt+Del uvedená zpráva (s uvedeným titulkem). Běžně se zde zadávají informace typu „Přihlásit se
může pouze uživatel, který má v doméně účet", „Tento počítač je majetkem společnosti" nebo „Vaše činnost může být
monitorována".
nevyžadovat stisknutí kláves
Ctrl+Alt+Del
Tuto možnost zapracovala společnost do systémů pro
zjednodušení přihlášení tělesně postižených uživatelů.
Na druhou stranu - není-li tento krok vynucen, mohou se
projevit nástroje typu trojských koňů, které se budou tvářit jako přihlašovací dialogové okno a zachytí heslo uživatele. Platí, že
tato zásada by měla být pro všechny počítače zakázána.
nezobrazovat naposledy použité
uživatelské jméno
Budete-li se přihlašovat k počítači, měli byste vždy zadávat
přihlašovací jméno a heslo. To však není výchozím nastavením
domény a v poli uživatelské jméno je tak vždy vidět jméno
naposledy přihlášeného uživatele. Potenciálnímu útočníkovi pak stačí hádat už jenom heslo. Tuto zásadu vždy povolte.
Uživateli si však poté budou muset zvyknout také na fakt, že k přihlášení potřebují kromě hesla i přihlašovací jméno.
Interaktivní přihlášení: počet
předchozích přihlášení uložených
v mezipaměti pro případ, že řadič
domény není k dispozici
Každé přihlášení uživatele by měl ověřovat řadič domény.
Pokud řadič domény nebude k dispozici, uživatel se nebude
moci přihlásit. Vyhnete se tak nepříjemnostem, kdy zatímco je
uživatel přihlášen, jako správci zakážete jeho účet. Uživatel poté
odpojí počítač od sítě a znovu se k němu přihlásí. Tato zásada by tak měla být nastavena na hodnotu 0. Bohužel to však nelze
použít pro uživatele přenosných počítačů, kteří se potřebuji přihlašovat do svého profilu i když budou mimo síť. Proto je
vhodné na úrovni domény nastavit hodnotu 0, zatímco na úrovni organizační jednotky sdružující účty přenosných počítaču
hodnotu 2.
Zásada
význam
Interaktivní přihlašování: Požadovat
ověření řadičem domény
k odemknutí pracovní stanice
Není-li zásada povolena, potom se při odemykání počítače
použijí pověření z mezipaměti. Pokud mezitím došlo v doméně
ke změnám daného účtu, po odemknutí se neprojeví. Tato
zásada by měla být vždy povolena, v opačném případě bude například možné odemknout počítač pomocí účtu, který mezitím
správce domény zakázal.
Klient sítě Microsoft: serverům
SMB třetích stran odesílat
nezašifrované heslo
SMB je protokolem pro sdílení prostředků podporovaný
operačními systémy společnosti Microsoft. Pokud budete
komunikovat se servery SMB, které nemají operační systém
Microsoft a jež neumějí během ověření pracovat se
zašifrovaným heslem, heslo by bylo přenášeno nezašifrované.
To je absolutně nepřípustná situace a tato zásada musí být vždy
zakázána.
Konzola pro zotavení: Umožnit
kopírování disket a přístup
ke všem jednotkám a složkám
Ačkoli je po povolení této zásady možné přistupovat v prostředí
nástroje konzola pro zotavení ke všem souborům na disku a lze
je kopírovat i na disketu, nedoporučuje se tuto zásadu
povolovat.
301
PHlttup do sítě: Povolit anonymní
překlad SID/názvu
Je-li tato zásada povolena, může anonymní uživatel na základě
kódu SID určit přihlašovací jméno uživatele Administrátor
přesto, že byl účet Administrátor přejmenován. Proto tuto
zásadu vždy zakažte.
Přístup k síti: Nepovolit anonymní
tvorbu výčtu účtů SAM
Přístup k síti: Nepovolit anonymní
tvorbu výčtu účtů SAM a sdílených
položek
Anonymní uživatel nesmí mít možnost provádět výčet účtů
z databáze SAM, neboť by tak mohl zjistit uživatelská jména
a pomocí útoku zvaného „sociál engineering" by poté mohl
získat hesla těchto uživatelů. Obě zásady je třeba povolit (jejich
povolení zakáže anonymní výčet).
Pŕístup k síti: Povolit oprávnění účtu
Everyone pro anonymní uživatele
Přístupový token vytvořený pro anonymní připojení neobsahuje
kód SID skupiny Everyone. Pokud byste zásadu povolili,
využívala by tato připojení oprávnění skupiny Everyone spolu se všemi oprávněními, která byla skupině Everyone udělena.
Tuto zásadu je třeba zakázat.
Server sítě Microsoft: automaticky
Pokud vyprší povolená doba pro přihlášení uživatele
odpojil uživatele po uplynutí doby
(definovaná ve vlastnostech jeho účtu), bude uživatel odpojen přihlášení (místní)
týká se činností využívajících protokol SMB. Tuto zásadu
povolte, neboť v opačném případě nemá omezení doby pro
přihlášení význam. Zároveň povolte zásadu Zabezpečení sítě:
Vynutit odhlášení pokud vyprší časový limit pro přihlášení.
Účty: Přejmenovat účet hosta a
Zkušenější uživatelé vědí, že v každém systému existuje účet
Účty: Přejmenovat účet správce
Administrátor a Guest (to samé ví i případný útočník). Pokud je
chce využít, postačí uhádnout pouze heslo. Pokud bude zásada povolena a účty přejmenované na těžko uhádnutelné přihlašovací
jméno, budou to mít útočníci těžší.
Účty: stav účtu správce
Pro mnoho organizací může být požadavek na pravidelné
změny hesel místních správců téměř nemožný. Zakázání tohoto účtu je tak rozumnou volbou. To navíc zajistí obranu proti
útokům na uhádnutí hesla. Tuto zásadu tedy povolte a stav účtu nastavte na Zakázat. Stejné nastavení proveďte u zásady Účty:
stav účtu hosta.
Zásada
Význam
Vypnutí: povolit vypnutí systému
bez nutnosti přihlášení
Pokud není zásada povolena, potom může každý uživatel, který
má přístup ke konzole počítače (nemusí mít ani svůj účet),
vypnout počítač. To jistě není optimální, takže je vhodné vynutit před vypnutím počítače přihlášení. Zásadu tedy nastavte na
Zakázat. Samozřejmě tím nezabráníte vypnutí počítačů přímo síťovým vypínačem, ale to je trochu jiná kategorie spadající do
oblasti fyzického zabezpečení počítačů.
Vypnutí: vyčistit stránkovací soubor
virtuální paměti
Do stránkovacího souboru na disk se ukládají informace
z paměti počítače. Soubor tak může obsahovat dokonce čitelné
informace z jinak šifrovaných souborů. Aby se útočník nedoslal k datům stránkovacího souboru po spuštění jiného systému ve
stejném počítači, bude vhodné tuto zásadu povolit. V takovém případě však dejte pozor na prodloužení doby vypnutí počítače a
jeho spuštění. V prvním případě dochází k odstraňování poměrně velkého souboru, ve druhém případě naopak k jeho vytváření.
Konečné rozhodnutí o aplikaci této zásady na servery s velkou operační pamětí je tedy na konkrétních podmínkách.
Zařízení: omezit přístup k disketové
jednotce pouze na uživatele
přihlášené místně a
Zařízení: omezit přístup k jednotce
CD-ROM pouze na uživatele
přihlášené místně
Pokud je jeden uživatel přihlášen místně, zatímco druhý
přistupuje k počítači po síti, mají ve výchozím nastavení oba
přístup k disketové jednotce. Pokud tuto zásadu povolíte, bude
mít k disketové jednotce povolen přístup pouze místně
přihlášený uživatel. Po jeho odhlášení k ní může přistupovat
uživatel přes síť. Jinými slovy - tato zásada zabrání v přístupu
vzdáleného uživatele k disketové jednotce, pokud je místně
přihlášen jiný uživatel.
Tabulka 22.6 Některé z možnosti zabezpečení
Protokol událostí
V této části objektu lze definovat všechny parametry základních třech protokolů - apli kačního, systémového a zabezpečení. Není zde navíc žádné
nastavení, než přímo ve vlast nostech protokolů. Výhoda využití zásad skupiny je v možnosti konfigurovat protokoly ve více počítačích stejně a
najednou a zabránit v jejich přepsání místními správci.
Zásada
Význam
Maximální velikost protokolu
Toto nastavení určuje velikost konkrétního protokolu. Pozor!
Rozhodně není cílem definovat co největší velikost protokolů. Protokoly využívají paměť počítače a jako takové se celé načítají
do paměti. Všechny jsou spuštěné jako jediný proces. Omezeni systémů Windows určuje pro každý proces maximálně jeden
gigabajt operační paměti. Pokud celková velikost všech protokolů v počítači tuto hranici přesahuje, mohou se vyskytnout
potíže. Události se nemusí do protokolů zapsal (nebo přepíší předchozí události), a o tomto problému se nemusí zapsat žádná
informace. Potíže může způsobil také fragmentace protokolů v paměti.
Zásada
Význam
Zkušenosti říkají, že rozumný limit je pro všechny protokoly na většině serverů 300 MB. Pro určení velikosti
302
Doba uchování protokolu
Metoda uchování protokolu
Zabraňuje místní skupině Guests
Získal přístup k protokolu
neexistuje jednoznačný návod, ale můžete si pomoci výpočtem -průměrná velikost jedné události je 500 bajtů a
protokol musí mít velikost odpovídající násobku 64 kB. Záleží tedy pouze na tom, jak často chcete protokoly
zálohovat a vyprazdňovat.
Určuje počet dnů, po které zůstanou události v protokolu, než
se začnou přepisovat (platí v případě, že Metoda uchování protokolu je nastavena na Přepisovat události podle
data). Uvedenému intervalu musí odpovídat velikost protokolu.
Určuje způsob, kterým se budou přepisovat starší události
v protokolech. Možnosti jsou: Přepisovat události podle data, Přepisovat události podle potřeby a Nepřepisovat
události (protokol vymazávat ručně).
Určuje, zda má uživatel přihlášený jako Guest přístup k obsahu
protokolů. Aby nezískal tento přístup potenciální útočník (údaje
v protokolech by mohl využít k plánování svých dalších akcí),
je nutné tyto zásady povolit.
Tabulka 22.7 Zásady v části Protokol událostí
Pomocí zásad skupiny v části zabezpečení nelze konfigurovat protokoly Adresářová služ-ba, Služba replikace souborů ani DNS.
Skupiny s omezeným členstvím
Tuto část zásad skupiny můžete využít ke dvěma účelům:
♦
♦
Zabezpečení členství ve skupinách Tuto možnost jsme již využili v kapitole 17, „Správa prostředí klientských počítačů". V zásadě přidáte
skupinu, jejíž členství chcete zabezpečit, a určíte její členy. Pokud dojde při dalším intervalu aplikace objektů zásad skupiny ke zjištění, že
členství v dané skupině v konkrétním počítači neodpovídá členství zadanému v zásadě, automaticky se upraví podle informací ze zásady.
Přidání uživatelů do místních skupin Pokud chcete přidat do každé místní skupiny Administrátore konkrétního uživatele, je tato možnost použití skupin s omezeným členstvím - vysvobozením. V opačném případě by totiž bylo nutné všechny počítače obejít a provést vložení
uživatele ručně. Maximálně byste mohli obcházení počítačů nahradit konzolou MMC, ve které byste se postupně připojovali ke každému
takovému počítači.
Ve výchozí konfiguraci domény neexistují žádné skupiny, jejichž členství by bylo třeba zabezpečit. To jistě není ideální, neboť alespoň tak zásadní
doménové skupiny, jako jsou Schéma Admins, Enterprise Admins či Domain Admins, by bylo vhodné zabezpečit více, než nyní jsou.
Systémové služby
Rozhodné ne všechny služby, které jsou ve výchozí instalaci systémů Windows XP Pro-fessional, jsou pro činnost počítače nutné. Každá spuštěná
služba představuje pro počítač či síť potenciální riziko. Proto je zakázání nepotřebných služeb tou nejjednodušší m< ti ností, jak podobným rizikům
zabránit. Na to, které služby jsou pro činnost počítačů v naší síti zbytečné a mohou být vypnuté, jen velmi těžko přijdete pouhým pohledem. Tato oblast
vyžaduje velkou míru testování (samozřejmě mimo provozní prostředí), neboť na některých službách, které by operační systém sám o sobě nevyužil,
může záviset úspěšný běh aplikací.
Registr
Tato část zabezpečení nabízí zabezpečení přístupu existujících větví registru, přesněji jeho části HKEY_LOCAL_MACHINE. Zabezpečení konkrétní
větve se bude týkat všech po čítačů, na které se bude aplikovat objekt zásad skupiny. Pomocí této části zásad můžete výchozí zabezpečení registru jak
zvýšit, tak také snížit.
Systém souborů
Jedná se o analogii zabezpečení klíčů registru - zabezpečení souborů a složek pomocí oprávnění NTFS. Bude se tedy týkat všech počítačů, na které se
bude aplikovat objekt zásad skupiny, jež ale zároveň obsahují složku či soubory definované v této zásadě na svaz ku NTFS.
Výchozí nastavení neobsahuje žádné složky či soubory, prvními adepty jsou však systémové a aplikační složky.
Zásady veřejných klíčů
Celá tato oblast zásad se týká infrastruktury veřejných klíčů. V naší síti jsme se zatím se tkali pouze se šifrováním, které je na ní také založené. Další
plány s certifikáty nemáme, takže tato oblast zůstane nadále nevyužita. Nezapomeňte, že pokud chcete definovat dalšího agenta obnovení dat, je pro to
určena část Šifrování systému souborů.
Každá organizační jednotka - v naší organizaci tedy každé oddělení - může mít na své úrovni definovaného svého agenta obnovení. Uživatel
Administrátor pak bude tuto ulo hu plnit pro celou organizaci.
Zásady omezení softwaru
V kapitole 17 „Správa prostředí klientských počítačů", jsme pomocí zásad skupiny defi novali, které programy nebudou moci uživatelé spouštět. Někdy
si však uživatelé mohou připadat chytřejší než správci a jednoduše si řeknou - když nemohu spustit hru S o l i t a re (protože správce zakázal spuštění
souboru Sol.exe), přejmenuji soubor Sol.exe na Sol2.exe a spustím ten. Pokud k této změně názvu má uživatel oprávnění, pravděpodob ně se mu jeho
úmysl zdaří.
Nástroje Zásady omezení softwaru jsou odpovědí na tento „trik" uživatele a přistupuji k omezení spouštění aplikací poněkud jiným způsobem. K
303
dispozici jsou možnosti spoušťet pouze programy z určité cesty na disku, spouštět pouze digitálně podepsané progra my nebo například spouštět pouze
programy, k nimž existuje konkrétní hodnota hash (speciální vypočtená hodnota, která se v případě změny jediného bajtu aplikace zrnění)
Zásady zabezpečení protokolu IP
Přenos dat pomocí protokolu IP standardně není nijak zabezpečen. To již v dnešní dobé nemusí v některých sítích postačovat, a proto společnosti
Microsoft a Cisto vyvinuly technologii, která umí pakety protokolu IP šifrovat. Tato technologie se nazývá IP Security (zkráceně IPSec) a zajišťuje
digitální podepisování, šifrování, případně obě možnosti.
V systémech Windows 2000 a vyšších (nižší systémy technologii IPSec neumějí využívat) standardně existují tři výchozí zásady, z nichž pouze jednu
můžete přiřadit konkrétnímu počítači:
♦
♦
♦
Klient (pouze odpověď) Při požadavku na žádost o komunikaci nabídne nezabezpečenou komunikaci. Pokud protějšek souhlasí, proběhne
nezabezpečená komunikace. Pokud protějšek vyžaduje zabezpečení, přejde klient na zabezpečenou komunikaci.
Server (požádat o zabezpečení) Při požadavku na komunikaci počítač po svém protějšku žádá její zabezpečení. Pokud protějšek souhlasí,
komunikace je zabezpečena, nesouhlasí-li, komunikace proběhne nezabezpečená.
Zabezpečený server (požadovat zabezpečení) Takto nakonfigurovaný počítač nebude se svými protějšky komunikovat jinak, než zabezpečeně.
Pokud protějšek není schopen na tento požadavek přistoupit, komunikace neproběhne.
Takto to vypadá docela jednoduše, na pozadí však před spuštěním komunikace probíhá spousta dalších činností (ověření počítačů a vyjednání
zabezpečení). Technologie IPSec je výrazným průlomem v oblasti zabezpečené komunikace a je možné ji využít k velmi jednoduchému zabezpečení
malé sítě.
Nevýhodou zůstává větší vytížení procesoru počítačů a síťového rozhraní. V prostředích, kde se šifrování IPSec používá, se tedy vyskytují síťové karty,
které tuto technologii pod-porují, a jež jsou samy schopny data šifrovat a podepisovat. Procesor počítače tak není moc zatížen a může se věnovat
ostatním úlohám.
Možná jste si všimli, že v objektu zásad skupiny s názvem Default Domain Policy jsou na-konfigurované pouze následující zásady zabezpečení:
Část objektu
Zásady
Zásady účtů\Zásady hesla
Zásady účtů\Zásady uzamčení účtů
Zásady účtu\Zásady modulu Kerberos
Místní zásady\Možnosti zabezpečení
Všechny
Prahová hodnota pro uzamknutí účtu
Všechny
Zabezpečení sítě: Vynutit odhlášení, pokud vyprší časový
limit pro přihlášení
Definován výchozí agent obnovení
Zásady veřejných klíčú\Šifrování systému
souborů
Tabulka 22.8 Zásady zabezpečení nakonfigurované v objektu Default Domain Policy
Z.asady nakonfigurované v části Zásady účtů (tedy zásady hesla, uzamčení účtů a modulu Kerberos) zde hrají velmi důležitou roli. Platí totiž pro celou
doménu a musí být nakonfigurované v objektu na její úrovni. Pokud byste tyto zásady nakonfigurovali na úrovni organizačních jednotek (kde
pochopitelně také jsou), budou se vztahovat pouze na místní uživatelské účty v těchto počítačích. Tak to prostě je a nikdo s tím nic jiného neudělá.
Vyplývá z toho, že pokud mají mít někteří uživatelé jiné požadavky na minimální délku hesel, jejich složitost a podobně, je nutné vytvořit pro ně jinou
doménu. Otázkou návrhu potom je, zda to bude například podřízená doména té stávající (tedy ve stejném stromu Active Directory) nebo kořenová
doména nového stromu stejného lesa Active Di-rectory nebo například naprosto nezávislá doména s explicitně vytvořeným vztahem dů věryhodnosti.
Dalších nastavení již mnoho není. Co to znamená pro síť? Že neexistuje (téměř) vůbec žádné zabezpečeni? Prakticky by se to tak dalo nazvat, ale s
jednou výjimkou - tou jsou řadiče domény. Na úrovni jejich organizační jednotky je další objekt zásad skupiny S na zvem Default Domain Controllers
Policy, který je zde právě proto, aby zajistil výchozí za bezpečení řadičů domény. V něm, v části Místní zásady, naleznete spoustu nakonfiguro váných
zásad. Právě konfigurace zabezpečení je důvodem existence této organizační jednotky.
Jedno však mají oba výchozí objekty (Default Domain Policy a Default Domain Contro llers Policy) společné. Nemají žádné nastavení zabezpečení
systémových služeb, klíčů re gistru, systému souborů ani například nehlídají členství v důležitých skupinách. To jistě není optimální, neboť existuje
spousta klíčů, souborů i služeb, které si vyšší než žádné (nebo základní) zabezpečení zaslouží.
A co ostatní počítače - členské servery a pracovní stanice? Pokud nebudou jejich účty zařazeny v organizační jednotce Domain Controllers (a to jistě
nebudou), potom mají pouze takové zabezpečení, které si přinesou ve své konfiguraci. S tím je nutně potřeba něco udělat.
Systém nebo chaos?
Jak jste viděli, je zásad týkajících se zabezpečení poměrně dost, a to nebyly ještě v některých částech uvedeny všechny. Je pravda, že zjistit, o čem která
zásada je, a poté se ihned pustit do zabezpečení domény, nebude zřejmě nejvhodnější postup. Některé zásady se mohou navzájem ovlivňovat,
konfigurací jiné zásady můžete zase v krajním případě způ sobit nefunkčnost některých zásadních úloh v doméně (například přihlašování uživatelů)
Pokud pominu stav, že nemožnost přihlásit se k doméně je taky jistým způsobem zabez pečení řadiče domény, jistě se nebude jednat o cíl žádného
správce.
Jak tedy postupovat? Obecně lze říci, že rozumný návod, který by byl platný a použitel ný pro jakoukoli organizaci, neexistuje. To je dáno tím, že
každá organizace má jiné mož. nosti a priority zabezpečení, každá je schopna akceptovat jinou míru rizika a podobné
304
Co se ale týká konfigurace jednotlivých zásad zabezpečení, jedna rozumná možnost tady je. Proč si nenechat poradit od expertů a neprovést základní
nastavení zabezpečeni po dle jejich doporučení? Expertem je v tomto případě samotný tvůrce operačních systé mů Windows - společnost Microsoft. Ta
již publikovala mnoho článků, informací a do poručení pro konfiguraci zabezpečení operačních systémů a nutno dodat, že velmi zajímavých. Navíc vše
podtrhuje svou již zmíněnou iniciativou Trustworthy Computing,
Než začít stavět zásady zabezpečení na zelené louce, bude opravdu jednodušší a mno hem efektivnější vyjít z doporučení pro jednotlivé role počítačů a
poté doporučené na stavení nakonfigurovat a případně upravit podle konkrétní situace organizace.
Doporučená nastavení jsou shrnuta do takzvaných šablon zabezpečení. Jedná se o sou bory INF, které jsou pro správce jako text poměrně čitelné. Pokud
by však měly poskytovat pouze textové informace a příslušná nastavení, nemusely by být publikované jako soubory INF, ale například jako TXT nebo
ve formě souboru XLS pro aplikaci Microsoft Excel. Soubor INF má tu výhodu, že se s ním dá pomocí speciální konzoly dále velmi efektivně pracovat.
Šablony zabezpečení a práce s nimi
Šablona zabezpečení je soubor s příponou INF obsahující nakonfigurovaná nastavení zásad zabezpečení. Podle úrovně zabezpečení, tedy podle toho, jak
jsou jednotlivé zásady nakonfigurované, se dají rozdělit do několika kategorií - šablony s výchozí konfigurací zabezpečení, šablony se standardním
zabezpečením a šablony s velmi vysokým zabezpečením.
Aby se koncovým uživatelům zabránilo v provádění změn v šablonách, jsou uložené ve složce %WiNDIR%\security\templates. Šablony jsou uloženy v
místním počítači a nere-plikují se ani mezi řadiči domény.
Výchozí šablony zabezpečení
Každý systém Windows 2000/XP/2003 obsahuje po instalaci ve výše uvedené složce několik různých šablon. Pojďme se podívat na výchozí šablony
systému Windows Server 2003.
2. Spusťte konzolu MMC a přidejte do ní modul snap-in Šablony zabezpečení.
3. Rozbalte položku Šablony zabezpečení a poté složku C:\WINDOWS\Security\
Templates. Zobrazí se výchozí šablony zabezpečení.
Poznámka
Cesta k šablonám se může lišit v závislosti na názvu instalační složky a písmenu jednotky.
Popis Šablon
♦
♦
♦
♦
♦
Setup security.inf Nastavení této šablony se aplikují na systém během instalace. Jedná se o výchozí konfiguraci zabezpečení počítačů včetně
nastavení oprávnění NTFS na složky v systémové jednotce. Šablona by se měla aplikovat pouze na klientské počítače a členské servery,
rozhodně ne na řadiče domény. To samozřejmě platí při případné aplikaci později po instalaci systému. Informace o aplikování šablon naleznete
později.
Compatws.inf V některých aplikacích mohou instalaci používat pouze uživatelé, kteří mají v místním počítači vyšší oprávnění, než má skupina
Users. To se týká aplikací nesplňujících program Windows logo společnosti Microsoft. Než takové uživatele pracně vkládat do skupiny Power
Users (čímž samozřejmě získají daleko vyšší oprávnění, než pro spouštění aplikací potřebují), je mnohdy lepší změnit seznam řízení přístupu
konkrétních větví registru, které spouštění takových aplikací umožní. To je přesně práce této šablony. V každém případě dojde její aplikací ke
snížení zabezpečení. Jedná se ale o menší „zlo", než přidat uživatele do skupiny Power Users. Tento postup je optimální situací pro připomenutí
výrazu „míra rizika".
DC Security.inf Nastavení této šablony se aplikuje na řadič domény během instalace této role (po spuštění příkazu DCPROMO). Šablona
obsahuje definici oprávnění ke klíčům registru, systému souborů a konfiguraci systémových služeb.
Secure*.inf Šablona securews.inf je určena pro členské servery a klientské počítače (workstation + server), šablona securedc.inf je určena pro
řadiče domény. Po aplikaci šablony securews.inf do prostředí s klientskými počítači se systémy Windows 2000 a Windows XP Professional a
řadiči domény Windows 2000 a Windows Server 2003 budou definovány silnější zásady hesel, zamykání účtu a auditu
a navíc se můžete setkat s následujícími omezeními:
■ Uživatel nebude moci z klientského počítače přistoupit k prostředkům počítače se systémem Windows 2000 pomocí místního účtu ve
vzdáleném počítači, pokud se čas obou počítačů bude lišit o více než 30 minut.
■ Pro přístup k počítači se systémem Windows XP Professional platí omezení přístupu obdobně, ale s maximálním časovým rozdílem 20
hodin.
■ Anonymní uživatelé (například uživatelé z nedůvěryhodných domén) nebudou moci provádět výčet účtů a sdílených prostředků a nebudou
moci prováděl překlad jmen na kódy SID a naopak.
Šablona secure*.inf dále povolí digitální podepisování paketů SMB v zabezpečených kanálech. Protože klientské počítače mají toto
podepisování standardně povoleno, bude tato komunikace digitálně podepisována.
Hisec*.inf Šablony hisecws.inf a hisecdc.inf dále zvyšují zabezpečení. Pro prostředí se systémy Windows 2000/XP/2003 platí tedy vše uvedené
u šablon secure*.inf a navíc následující zásady:
■ Data přenášená v zabezpečených kanálech mezi klienty a servery a data protokolů SMB musí být digitálně podepsaná i zašifrovaná.
■ V členských serverech a klientských počítačích budou odebráni všichni členové skupiny Power Users.
305
■ Členy místních skupin Administrators budou pouze účet Administrátor a skupina Domain Admins.
Šablony secure*.inf a hisec*.inf velmi výrazně omezují možnosti komunikace, připadni vůbec možnosti přihlášení z počítačů se systémy staršími než
Windows 2000. Naší sítě se to tedy netýká, nicméně pokud by to bylo v síti aktuální, doporučuji si podrobně projít veškerá nastavení zmíněných šablon.
Postupy automatické aplikace šablon
Klientské počítače
1. Provádíte-li čistou instalaci klientského počítače nebo serveru se systémem Win dows 2000/XP/2003, aplikuje se nejprve šablona setup
security.inf. Všechny počí tače jsou tak po instalaci nakonfigurované stejně.
2. Po přidání počítače do domény se na něj aplikují zásady konfigurované na úrov ni domény, případně na úrovni organizační jednotky, do které
účet počítače pře sunete.
Poznámka
Pro kontejner Computers nelze definovat objekty zásad skupiny.
Řadiče domény
1. Provedete-li instalaci role řadiče domény, aplikuje se nastavení šablony DC secu-rity.inf. Pakliže jsou některá z nastavení s původní šablonou
setup security.inf v rozporu, bude platit nastavení uvedené v šabloně DC security.inf. Pakliže šablona DC security.inf zavádí nové nastavení
zásady (v šabloně setup security.inf nebyla zásada nakonfigurovaná), platí nastavení šablony DC security.inf.
2. Po instalaci se řadič domény zařadí do organizační jednotky Domain Controllers, u které je definován objekt Default Domain Controllers Policy.
Na řadič domény se tak začnou aplikovat postupně objekty definované na úrovni domény a poté na úrovni organizační jednotky Domain
Controllers. V případě konfliktů platí ta z

Mistrovství v Microsoft Windows Server 2003

Transkript

Podobné dokumenty

Dokument ke stažení zde

Uživatelská příručka Vodafone Smart III

instalace operačního systému a jeho konfigurace i

Tohle je jenom provizorní řešení (z časových důvodů)

katalog DBK - AXIMA, spol. s ro

Příručka k nastavení

Operační systémy – test č. 1, Windows

Ceník PICOWORLD`13_neutral

Potisk splétaných a plochých šňůrek na krk

MS Windows Server – správa adresářové služby

Veletržní zpravodaj STAVOTECH

Symboly A

Ceník PICOWORLD`14

cyclope employee surveillance - instalační příručka

výrobnídružstevnictví - www vyrobnidruzstevnictvi projekt

Praktické návody HOWTO Emacs pro začátečníky

příručka uživatele

REFERENČNÍ PŘÍRUČKA

AnyDATA ADU-510L