instalace operačního systému a jeho konfigurace i

INSTALACE OPERAČNÍHO SYSTÉMU
A JEHO KONFIGURACE I. –
WINDOWS
Bc. Petr Štěrba
ORLOVÁ 2013
Název:
Instalace operačního systému a jeho konfigurace I. –
Windows
Autor:
Bc. Petr Štěrba
Vydání:
první
Počet stran:
80
Určeno pro projekt:
Dílčí kvalifikace – nástroj pro efektivní získání
kvalifikace a cesta k rychlé změně kompetencí
Číslo projektu:
CZ.1.07/3.2.07/03.0122
Vydavatel:
Gymnázium a Obchodní akademie, Orlová, p. o.
© Bc. Petr Štěrba
© Gymnázium a Obchodní akademie, Orlová, p. o.
Obsah
OBSAH Úvod..........................................................................................................................................2
Používanésymboly............................................................................................................3
1.InstalaceOSWindowsServer2008...........................................................4
1.1Trochateorienazačátek......................................................................................4
1.2Hardwarovépředpokladyproinstalaci.........................................................6
1.3Průvodceinstalací...................................................................................................7
2.InstalaceroliserveruWindowsServer2008......................................15
2.1Prostředíprodalšíkonfiguraciserveru............................................15
2.2InstalaceakonfiguraceActiveDirectoryaDNS..............................16
2.2.1ActiveDirectoryadoména..........................................................................16
2.2.2InstalaceADařadičedomény....................................................................23
2.2.3SprávauživatelůvprostředíAD................................................................32
2.2.4SprávaúčtůPCvAD,připojenístaniceWin7kdoméně.................38
2.2.5Správauživatelůzpříkazovéřádky.........................................................47
2.2.6PoužitískupinvAD........................................................................................50
2.3WebováinternetováinformačníslužbaIIS7.0................................57
2.4Terminálováslužba...................................................................................70
3.Závěr..................................................................................................................79
Použitáliteratura
1
2
ÚVOD Váženíčtenáři,
Otevřeli jste studijní materiál, který vás má seznámit s vybranými
kapitolami v prostředí Windows Server 2008, s jeho instalací a
konfigurací.
Zaměřili jsme svou pozornost na strukturu serverového systému
Windows Server 2008 a upozorníme na oblasti, v nichž byly provedeny
změnyoprotipředchozímverzím.
SeznámítesesinstalacíActiveDirectoryasnastavenímserverudo
roleřadičedomény.Předpokládáse,žemátezákladníznalostizteoriesítí
v oblasti protokolů DNS, HTTP, které budete potřebovat k pochopení
instalaceakonfiguracevybranýchrolíserveru.
Zvláštní kapitolu věnujeme nastavení zásad skupiny, které ovlivňují
funkčnostněkterýchsystémovýchmodulů,jakonapř.řízeníuživatelských
účtů.Přiinstalacisiověříte,žesprávasystémumápodobnoufilosofiijako
u lokálních Windows Vista a následných verzí. V Ovládacích panelech
najdeme většinu ekvivalentních položek. Ve většině témat se budeme
přímo zabývat praktickou implementací příslušné teorie v konkrétním
prostředí.Tedyjakásikuchařkačimanuálprořešeníkonkrétníchúkolů.
NaučítenainstalovatakonfigurovattakédalšíroleWindowsserveru
2008,např.DNS,Souborováslužba,TerminálovouslužbuaIIS7(službu
webovéhoserveru).Vyzkoušímesinainstalovatvedleserverutakéklienta
aokamžitěověřitfunkčnostnainstalovanéslužby.
Platnost všech nastudovaných teoretických i experimentálních
poznatků využijete při řešení souvislých úloh aplikovaných na skupinu
fiktivních firem, které byste mohli řešit v pozici Správce operačních
systémů.
Teoretickýmateriálbudevloženjakoe‐learningovýkurzdoprostředí
LMS Moodle, doplněn praktickými úlohami a kontrolními testy. Po
průchodu celého kurzu budete mít přehled o instalaci a konfiguraci
prostředíWindowsServer2008.
Přejihodnětrpělivostiastudijníchúspěchů.
POUŽÍVANÉ SYMBOLY Průvodcestudiem–vstupautora,doplněnítextu
Informace–cosevkapitoledovíte
Klíčováslova
Časpotřebnýkestudiukapitoly
Důležité–pojmynebopočetnívztahy
Příklad–objasněníproblematikynebořešenýpříklad
Úkolkzamyšlenínebocvičení
Otázkyaúkoly–řešenínajdetevrámciopory
Řešeníúkolů–vážousenakonkrétníúkolyaotázky
Částprozájemce–rozšířenílátky,pasážejsoudobrovolné
Shrnutí–shrnutílátky,shrnutíkapitoly
Literatura
Korespondenčníúkol
3
1InstalaceOSWindowsServer2008
4
1. INSTALACE OS WINDOWS SERVER 2008 V této kapitole se seznámíte se základními pojmy spojenými s instalací OS Windows na serveru, s hardwarovými nároky, s výběrem vhodné edice a typu instalace. Ujasníte si význam jednotlivých rolí serveru a zopakujete si jednotlivé služby, které mohou být nainstalovány na serveru. Klíčovou tematikou je průběh instalace serveru. Klíčová slova Formát WIM, prostředí předinstalace, edice Windows Server 2008,
úplná instalace, instalace jádra, UAC, AD DS, AD‐FS, AD LDS, AD RMS,
DNS,DHCP,NPS,RRAS,SNMP,GPO,BITS
1.1 Trocha teorie na začátek Operační systém požívá novou architekturu snásledujícími vlastnost‐
mi:
 Windows Server 2008 je tvořen systémem nezávislých modulů,
kterélzejednodušepřidatiodebrat.Systémjeukládán jako bitová
kopiediskůveformátuWIM(windowsimagingformat)podporující
kompresiaukládáníinstancí
 Obsahujetzv.prostředípředinstalace–prostředíprosprávce,které
umožňujevybratspouštěcíaplikaci,kterásemáaktivovatponatažení
OS
 Zabezpečení OS zvyšuje nástroj Řízení uživatelských účtů (User
Account control – UAC). Každá aplikace běží buď vrežimu uživatele,
nebosprávce.Přispuštěníaplikace,kterávyžadujerežimsprávce,se
objeví bezpečnostní hláška, jejíž funkce je ovlivněna nastavením
Zásadskupiny.
PředinstalacísibudememusetujasnitvýběrediceWindowsServer2008aje
tedyvhodnéuvědomitsijejichzákladnívlastnosti:
 Standart Edition – podporuje operační paměť 4 GB na 32 bitové
platformě a 32GB na 64 bitové platformě. Podporuje dvoucestný
ačtyřcestný symetrický multprocesing (SMP). Poskytuje všechny
základníslužby.
 Enterprice Edition – oproti standardní edici poskytuje větší
škálovatelnost, má navíc službu Cluster Services a Active Directory
1InstalaceOSWindowsServer2008
5
Federated Services. Navíc podporuje vyšší RAM 32 GB na 32 bitové
platforměa2TBna64bitovéplatforměa8CPU.
 DatacenterEdition–mávylepšenéfunkcepronastavováníclusterů
apro konfiguraci velkého objemu paměti RAM 64 GB na 32 bitové
platforměa2TBna64bitovéplatformě.Vyžadujeminimálně8CPU
apodporujeaž64CPU.Používanáprovelmivýkonnéservery.
 WindowsWebServer2008‐sloužíkposkytováníwebovýchslužeb
a role aplikačního serveru. Neobsahuje kromě jiných i funkci Active
Directory,nemůžeplnitroliřadičedomény.
Tyto informace vám pomohou rozhodnout se na základě požadavků
kladenýchnainstalovanýserver.
Typyinstalací:
 Úplná – instalace všech funkcí vjednotlivých edicích. Umožňuje
libovolnou kombinací rolí. Pro správu je nainstalováno plné
uživatelskérozhraní.
 Instalace jádra – minimální instalace pro omezenou skupinu rolí a
tímifunkčnostserveru.Výhodoutétoinstalacejerežieurčitýchrolíje
snížená a pro vybrané role je tak kdispozicí více zdrojových
prostředků
PřehledvybranýchrolíveWindowsServer2008
 ActiveDirectoryDomainServices(ADDS)–správaobjektůvsíti
 ActiveDirectoryFederationServices(ADFS)‐rozšířeníslužbyAD
DSowebovéslužby
 ActiveDirectoryLightweightDirectoryServices(ADLDS)–správa
ukládánídataplikací,kterévyužívajíadresářovéslužbyAD
 ActiveDirectoryRightsManagementServices(ADRMS)–zajišťuje
kontrolovaný přístup kchráněným souborům, mailům, chráněným
webovýmstránkámapod.
 DNSServer–překladnázvůnaIPadresy
 Aplikační Server – umožňuje hostování služeb vytvořených pomocí
.NETtechnologií(např.ASP.NET)
 Webový server IIS – umožňuje hostování webových stránek
(speciálnípřípadaplikačníhoserveru)
 DHCPServer–dynamicképřidělováníkonfiguraceprotokoluTCP/IP
 Tiskovéslužby–spravujetiskovéovladačeasíťovétiskárny,používá
služby:tiskovýserver,LPDservicesaInternetprinting
 Terminálové služby – umožňuje spustit aplikaci, která je nainsta‐
lovanánavzdálenémserveru.Přispuštěníprogramuběžínaserverua
posítisepřenesoujenvytvořenádata.
1InstalaceOSWindowsServer2008
6
 Služba síťové zásady a přístupu (NPAS) – spravuje směrování a
přístup ke vzdáleným sítím. Používá služby zásad NPS, směrování
RRASaautorizaceHCAP
PřehledvybranýchslužebveWindowsServer2008
Nainstalovanýchslužebjecelářada;prosprávusítí,dat,prozabezpečení,pro
správuaplikací,zálohováníapod.Uveďmejenněkteréznich.
 .NETFramework3.0–mámekdispozicirozhraníAPI.NETprovývoj
aplikací
 Nástrojeclusteringu–umožňujíspoluprácivíceserverům
 Nástroje pro vzdálenou správu – vzdálená správa jiných systémů
WindowsServer2008
 SlužbaSNMP‐službaprozjednodušenousprávusítí
 Správazásadaskupiny(GPO)–umožňujesprávuskupinnajednom
místě
 BITS(BackgroundIntelligentTransferServis)–umožňujepřenosy
datnapozadí.Serverjipoužívápřikomunikacisklient
1.2 Hardwarové předpoklady pro instalaci Důležitéjevolnémístonadisku
o Minimálně8GBproinstalacičistéhosystému
o Doporučujese40GBproinstalacijádraOS
o Doporučujese80GBproplnouinstalaci
Prozabezpečenívýkonnéhoserverujevhodnénavýšitvolnémísto
alespoňo10%.
Tato část textu připomínající telefonní seznam s velkým množstvím zkratek a cizích slov vám bude sloužit v okamžiku rozhodování při plánování instalace serverů v konkrétních firmách. Cvičení 1 Pro uvedené firmy navrhněte v rámci návrhu sítě vhodnou edici Windows Server 2008, vyberte potřebné služby; svoji volbu zdůvodněte. (Podrobné informace o jednotlivých firmách najdete v Příloze 1) 




Stavební firma Metrostav,s.r.o. VSO, s.r.o ‐ vývoj a výroba speciálních ochranných a funkčních oděvů. RELAX, s.r.o. ‐ Odlehčovací pobytové a rehabilitační centrum Comenius ‐ vzdělávací středisko Království hraček – výroba hraček na zakázku 1InstalaceOSWindowsServer2008
1.3 Průvodce instalací 1. ZinstalačníhomédiaspustímeSetup.exe
2. Ponačteníinstalačníchsouborůseobjevípožadaveknanastavení
jazyka
3. PokliknutítlačítkaDalšíseobjevípanel,nakterémklikneme
Nainstalovatazahájímesamotnouinstalaci.
4. Potéjsmepožádániozadáníkódu
Vložte licenční kód
7
1InstalaceOSWindowsServer2008
8
5. ZvolímeediciOSWindowsServer
Standard úplná
instalace
Nutno zaškrtnout
6. Potvrdímesouhlasslicenčnípolitikou
Nutno zaškrtnout a stisknout Další
7. Zvolímetypinstalace
Zde kliknout
(Vlastní–nováinstalace;Upgrade‐opravastávajícíinstalace)
1InstalaceOSWindowsServer2008
9
8. Pokudmátevserveruvícdisků,zvolímediskproinstalacisystému
9. Povýběrudiskuseobjevípanel,nakterémsledujemeprůběh
instalace
Ateďjenčekáme,ažsedokončívšechnykroky.
Pozn. Pokud chceme provést upgrade systému, spustíme Windows Server,
otevřemesiinstalačnímédiumaodtudspustímeupgradesystému.
10
1InstalaceOSWindowsServer2008
10. Poukončeníinstalacesepočítačautomatickyrestartujeaobjevíse
následujícíobrazovka.KliknemeOK
11. VytvořímehesloproAdministratora
(dodržujtepravidlaprosilnéheslo)
Zadej heslo
potvrďj
Provedeme první přihlášení účtu Administrátor k serveru.
Přihlášení bude trvat delší dobu, neboť se vytváří nový profil.
1InstalaceOSWindowsServer2008
11
12. Vytváříseprofiladministrátora
13. PovytvořeníprofiluseobjevíOknopočátečníkonfiguraceumožňující
dalšíkonfiguraciserveru.
Před další instalací si zopakujme základní znalosti spojené s adresováním
(IP adresa, maska, brána, DNS server), doména, lokální doména.
1InstalaceOSWindowsServer2008
12
14. Nastavímenázevpočítačeanázevdomény
(sledujteoznačenépořadíjednotlivýchkroků)
1
2
3
3
4
5
1–napanelukonfiguracevyberuZadatnázevadoménupočítače
2–nakartěVlastnostiSystému,nazáložceNázevpočítačestisknemeZměnit
3–vypíšemeNázevpočítačeanázevpracovnískupiny,kliknemeDalší
4–primárnípříponunastavímenalocal(doménanebudesoučástísítě
internet)akliknemeOK
5–nakartězměnanázvupočítačekliknemeOK
Změnanázvuapříponyvyžadujerestartpočítače,jakukazujehlášení
1InstalaceOSWindowsServer2008
13
TlačítkemZavřítvokněVlastnostisystémuzískámehlášení
Odložím restart, protože chci
nastavit další parametry
15. Nastavímesíť(vizkroky1–4)
1
2
4
3
14
1InstalaceOSWindowsServer2008
Nastavíme protokol TCP/IP podle požadavků a potvrdíme OK
Restartujemepočítač.Dalšíkonfiguracimůžemeprovéstvdruhémoddílu
Prošli jsme základní instalaci OS Windows Server 2008. Vyzkoušíme si
opakovaně instalovat vybrané varianty edicí operačního systému
srespektováním hardwarových požadavků (potřebná operační paměť a
velikost disku). Porovnáme jednotlivá prostředí. Nainstalujeme si pro
porovnání operační systém na pracovní stanici, kterou pak použijeme pro
připojeníkserveru
Cvičení 2 Nainstalujte pro uvedené firmy servery s OS Windows. Vhodně je pojmenujte a proveďte dokumentaci. (Podrobné informace o jednotlivých firmách najdete v Příloze 1)  Metrostav,s.r.o. ‐ stavební firma  VSO, s.r.o ‐ vývoj a výroba speciál‐
ních ochranných a funkčních oděvů.  RELAX, s.r.o. ‐ Odlehčovací pobyto‐
vé a rehabilitační centrum  Comenius ‐ vzdělávací středisko  Království hraček – výroba hraček na zakázku Serveryadresujetedleuvedenésítě;hodnotuxzjistíteznastaveníVMnet8.
2KonfiguracerolínaWindowsServer2008
15
2. KONFIGURACEROLÍSERVERU
WINDOWSSERVER2008
V této kapitole se seznámíte se základními službami, které umožní nastavení rolí Windows Serveru 2008, a vyzkoušíte si jejich konfiguraci. Zaměříme se na instalaci domény, konfigurace serveru jako řadiče domény, instalace webového serveru. Procvičíte si konfiguraci terminálového serveru a v rámci konfigurace rolí prostudujete také problematiku správy uživatelských účtů a zásad skupin. Klíčová slova Active Directory, řadič domény, DNS server, doménový strom,
subdoména, důvěryhodnost domén, IIS7 Web server, Terminálový
server, počítačový a uživatelský účet, uživatelský profil, domovský
adresář, cestovní profil a jeho význam, nastavení oprávnění a práv,
sdíleníadresářů,přihlašovacískript(loginscript)
Seznamtesesprostředímpronastavenídalšíchvlastnostíserveru.Vraťtese
kteoretickému úvodu vprvní kapitole a přečtěte si text věnovaný rolím
serveru.
2.1 Prostředíprodalšíkonfiguraciserveru
a) DalšíkonfiguracilzeprovádětzprostředíÚlohypočátečníkonfigurace
Aktualizaceserveru,Vlastnínastavení.
Přehled vlastností, které
můžeme nakonfigurovat
16
2KonfiguracerolínaWindowsServer2008
b) NainstalovanýservermůžemetakéspravovatzprostředíServer
Manager.
SpustímepomocíSTARTAdministrativeToolsSprávaServeru
Charakteristikavýznamujednotlivýchpoložek:
Role‐ voddílejepřehlednainstalovanýchrolívčetněpřehleduudálostí
vztahujícíchsekdanérolizaposledních24hodin
Funkce–obsahujepřehlednainstalovanýchfunkcívčetněmožnostípřidat
neboodebratfunkci
Diagnostika–umožňujesledovatvýkonPC,spravovatserverazařízení
Konfigurace–zpřehledňujekonfiguracipočítače
Úložiště–umožňujesprávujednotek
2.2 InstalaceakonfiguraceActiveDirectory
2.2.1ActiveDirectoryadoména
Active Directory představuje komplexní řešení správy firemní sítě. Ve své
podstatě se jedná odistribuovanou adresářovou službu vytvořenou firmou
Microsoft, která ukládá a organizuje informace o všech pojmenovaných
objektechvsíti,jakojsouuživatelé,počítače,tiskárnyapod.Pracujesadre‐
sářem, což je databáze, vníž jsou uloženy všechny informace o objektech
sítě. Její struktura je navržena především pro čtení a vyhledávání, vmenší
mířeprozápiszměn.
ActiveDirectoryaDNS
17
Může obsahovat objekty různého typu, jako certifikát, text, obrázek apod.
Přístup kzáznamům můžeme omezit pravidly zapsanými v ACL(Access
Listu).
ActiveDirectorytakplnírolicentrálníautentizačníautorityumožňující
bezpečnéověřeníuživatelů,počítačůislužeb.
Active Directory využívá aplikační protokol LDAP (Lightweight Directory
Access Protocol), který přenáší data v standardizovanémtextovém formátu
LDIF (LDAP Data Interchange Format) a při přenosu je vždy kóduje pomocí
LBER (Lightweight Basic Encoding Rules). Různorodé informace jsou tak
jednoduše dekódovány. ProtokolLDAPjepopsánpomocí




Informačníhomodelu
Funkčníhomodelu
Jmennéhonodelu
Bezpečnostníhomodel
Vinformačním modelu jsou definovány kategorie objektů, které může
adresářová služba vytvořit (třídy objektů). Jsou definovány jako
seskupení atributů. Informační model představuje tzv. Schéma
(šablonyobjektůvActiveDirectory)
Příkladněkterýchpoužívanýchatributů
Názevatributu
Významatributu
DisplayName
Zobrazovanéjméno
Location
Umístění
Company
Názevspolečnosti
Description
Popis
Department
Oddělení
MemberOf
Následujevýčetskupin
Mail
Adresaelektronicképošty
Jmenný model seznamuje sorganizací a umístěním objektů vdatabázi.
Jedná se o stromové uspořádání, vněmž objekt může být
kontejnerem (obsahuje další objekty – tzv. následovníky) nebo
koncovýmobjektem(beznásledovníků).
Pro jednoznačné určení objektu se používá DN, obsahující úplnou
cestukobjektuvdatabázi(konkrétnínastaveníatributů).
Příklad V doméně firemni.cz. V kontejneru (ou - organizační jednotce) prac je
umístěn uživatel Franta Veselý, pro kterého je
DN = cn=Franta Veselý,ou=prac,dc=firemni,dc=cz. DC=firemniDC=cz řadičedomény
ou=prac(organizačníjednotka)
cn=comp
cn=users
uživatelé
počítače cn=franta.vesely
18
ActiveDirectoryaDNS
Proidentifikacisepoužívátaké
RDN ‐ Relative Distinguished Name - nepotřebujeme udávat úplnou cestu
např. cn=Franta Veselý,ou=prac
GUID–globally unique identifier – identifikace je neměnná, i když se objekt
přemístí v rámci lesa. Jedná se o jedinečné 128 bitové číslo, které je
přiřazeno každému objektu (jeho rodné číslo) - u každého objektu jiné
KANONICKÝZÁPISDN
Firemni.cz/prac/Franta.Veselý
Funkční model popisuje činnosti, které je možno provádět sobjekty
vadresáři(celkem9činností)
Příkladyčinností
Bind
Zahájíautentizace
Unbind
Ukončíspojení
Autentizace
Abandon
Klientžádáoukončenízasílání
informacínaposlednídotaz
Compare
Porovnáváhodnotuatributuse
zadanýmúdajem
Dotazování
search
Vyhledávánípomocífiltru
Delete
Vymažeobjekt
Add
Přidáobjekt
Změna
Update
Modify
Změníněkteréparametryobjektu
ModifyRDN
Změníumístěníobjektu
Ukázkafiltrů
(&(objectClass=user)(!(cn=franta.veselý))) // všichni uživatelé
kromě Franty Veselého
(objectCategory=*)
// všechny objekty
Bezpečnostnímodelsouvisísprocesemověřování,definuje,jakpřistupovat
kdatůmzhlediskabezpečnosti.
Sbezpečností souvisí proces sledování operací a jejich zápis do tzv. logů
(eventog). Máme‐li zájem o logování operací nad Active Directory Domain
Services (AD DS), což představuje operace vytváření, změn či odstraňování
počítačových a uživatelských účtů nebo skupin, můžeme využít nabízenou
funkci auditování (sledování) AD DS. Obdobným způsobem jsme mohli
auditovat tyto operace i vdřívějších verzích Windows Server, ale prostředí
Windows Server 2008 nabízí rozšíření a především zpřesnění auditu. Nově
můžeme auditovat jen vybranou podkategorii (vylepšené nastavení nabízí
WindowsServer2008R2),uzměnselogujepůvodníinováhodnota(nejen
kdoajakýatributzměnil)atakésezměnilyIDudálostí.
Auditování událostí nad AD DS je ale komplikovaná záležitost, a tak musíme
dobře zvážit, co potřebujeme sledovat. Jde-li nám o podezřelé operace, o failed
ActiveDirectoryaDNS
19
události nebo chceme‐li mít podrobný přehled o vytváření a mazání účtů,
nabízíWindowsServer2008kategoriiDirectoryServiceAccess(DSAccess),
která spolu s detailním nastavením SACL nám dává šanci sledovat tisíce
údajů (nevhodným nastavením si pouze zaplníme log). Zaměříme se hlavně
to,abychomdokonalezvládliúčelnénastavenífiltrovánípomocíSACL.
Vedle DS Access existuje ještě kategorie Account Management, která je
vhodnákesledovánízměnjaklokálníchúčtůnastanici,takdoménovýchúčtů
nadoméno‐vémřadiči.NenabízísicetolikmožnostísledováníjakoDSAccess,
alejejínastaveníjejednoduššíaproběžnésítěnaprostodostačující.
Pokud chceme zapnout auditování, budeme postupovat podle následujících
kroků:
 zapnemeauditování
o globálněpomocíauditovacípolitiky
o projednotlivépodkategorie–podporaodWindowsServer
2008,
 pomocípříkazuauditpol.exe(WindowsServer2008)
 pomocínovérozšířenéauditovacípolitiky(Windows
Server2008R2)
 nastavímejakéoperaceakteréobjektychcemesledovat–pomocí
SACL
 případněnastavímevýjimkyproatributy–uobjektu,který
nechcemelogovat,nastavímeatributsearchFlagsnahodnotu256
Postupzapnutíglobálníhoauditovánínařadičidomény
spustímeGroupPolicyManagement
otevřemepolitiku,třebaDefaultDomainControllersPolicy,v
GroupPolicyManagementEditor
 proklikámesedoComputerConfiguration/Policies/Windows
Settings/SecuritySettings/LocalPolicies/AuditPolicy
 otevřemepoložkuAuditdirectoryserviceaccess
 zaškrtnemeDefinethesepolicysettingsazvolíme,chceme‐li
sledovatúspěšnéčineúspěšnéudálosti‐SuccessaFailed


ActiveDirectoryaDNS
20
Zapnutíauditovánípropodkategorie
Přehledvolitelnýchpodkategorií:




DirectoryServiceAccess
DirectoryServiceChanges
DirectoryServiceReplication
DetailedDirectoryServiceReplication
Nastavenípomocíauditpol.exe
Nemáme‐li Windows Server 2008 R2, pak nemůžeme použít Group Policy,
Musí nám stačit řádkový příkaz auditpol.exe. Konfiguraci provádíme na
doménovýchřadičích,navšech,kdechceme,abyseauditováníuplatnilo.
Příkladypoužitíauditpol:
Výpis subkategorií
Auditpol /list /subcategory:*
Auditpol /list /subcategory:"DS Access"
Zjištění aktuálního nastavení
Auditpol /get /category:*
Auditpol /get /category:"DS Access"
Změna nastavení
Auditpol /set /subcategory:"directory service changes"
/success:enable
Auditpol /set /subcategory:"Detailed Directory Service
Replication" /success:disable /failure:disable
NastavenípomocíGroupPolicy





spustímeGroupPolicyManagement
otevřemevybranoupolitiku,třebaDefaultDomainControllersPolicy,v
GroupPolicyManagementEditor
proklikámesedoComputerConfiguration/Policies/Windows
Settings/SecuritySettings/AdvancedAuditPolicyConfiguration/Audit
Policy/DSAccess
otevřemepoložkuAuditdirectoryserviceaccess
vyberemepodkategorieanastavímeunichSuccessneboFailed
ActiveDirectoryaDNS
21
ProprácisActiveDirectory(AD)sizopakujte
FyzickástrukturaAD(určenařadičemdoményDC–počítač,nakterémse
nacházíceláADnebojejíčást)
LogickástrukturaAD(les,strom,doména,organizačníjednotka–
hierarchickástruktura–vizObr.1
Forest - les
Obr.1
Seskupení
domén
Tree - strom
Tree - strom
2 domény
3 domény
OU
OU
OU
Většinou stačí jedna
doména. Dvě a více
domén použijete, když
chcete např. nastavit
odlišnou zásadu pro
hesla, což se nastavuje
vždynaceloudoménu.
doména
Nachvílisezastavmeasrovnejmesituspoustupojmů.Odpověztesinapár
otázek,apokudsinebudetevědětrady,nahlédnětedopředchozíchodstavců.
1. JakývýznammáActiveDirectoryacoumožňuje?
2. Jakýúkolmářadičdomény
3. VysvětletezkratkyLDAP,LDIF,LBER.
4. JezadánoDN=cn=Jan Novák,ou=odbyt,dc=exim,dc=org. Zapišteho
vkanonickémtvaruanačrtnětesistrukturuobjektůprozadanéDN.
5. JakývýznammáauditovánínadADDSauveďtemožnostijeho
nastavení.
22
ActiveDirectoryaDNS
Důležitýmpojmemje
Globálníkatalog
 umožnínajítobjektbezohledunato,vkterédoméněsenachází
 poskytujeinformaceočlenstvívuniverzálníchskupinách,využívají
sevprocesupřihlašování.
Bezglobálního
katalogupři
přihlašováníse
uživatelmůžepřihlásit
pouzelokálněna
počítač.Když
nechcemepouží
globálníkatalog,
vyřešímetozapnutím
funkceuniversal
groupmembership
caching(UGMC)na
danousite.Vtomto
případěsiDCukládá
informacelokálně.Při
prvnímpřihlášení
uživatelesedotáže
globálníhokatalogu
auložívrácené
hodnotydocache,kde
jeuchováváa
obnovuje.Přidalším
přihlášenísepoužije
informace z této cache.
Knastaveníglobálníhokatalogupoužijemeprostředí
ActiveDirectorySitesandServices,kdeprocházíme
přes odpovídající site (sítě) na hledaný DC (řadič
domény).Ukážemenaněj,kliknemepravýmtlačítkem
naNTDSSettingsazvolímeProperties.
Cvičení 3 ProuvedenéfirmyserverysOSWindows.NavrhnětestrukturuobjektůvAD,
pojmenujte domény, organizační jednotky a některé účty a zakreslete jejich
uspořádání. Vnavržených strukturách zapište úplná jména DN, případně
RDN(PodrobnéinformaceojednotlivýchfirmáchnajdetevPříloze1)
 Metrostav,s.r.o.‐stavebnífirma
 VSO, s.r.o ‐ vývoj avýroba
speciál‐ních
ochranných
afunkčníchoděvů.
 RELAX, s.r.o. ‐ Odlehčovací
pobyto‐véarehabilitačnícentrum
 Comenius‐vzdělávacístředisko
 Království hraček – výroba
hračeknazakázku
2Activedirektory,řadičdomény
23
2.2.2InstalaceADařadičedomény
AnynísepokusmeWindowsServer2008nakonfigurovatjakořadičdomény.
VyberemesiActiveDirectoryDomainServices.
1.
InstalacizahájímevýběremPřidatroliazaškrtnutímslužbyADDS
2Activedirektory,řadičdomény
24
-
Po dokončení instalace vidíme, že instalace byla úspěšně dokončena,
avpřehledu rolí vprostředí Server Manager, že služba je nainstalována,ale
žezatímneníservernastavenjakořadičdomény.
2. Spustímeprocesnastaveníserverudoroleřadičedoményajeho
připojeníkeslužběDNS,kterásetímtotakénainstaluje.
2Activedirektory,řadičdomény
3.
25
Kliknutímnanázevslužbypřejdemeknastavenířadičedomény‐spustí
seprogramdcpromo.exe
26
4.
2Activedirektory,řadičdomény
ZvolímerozšířenýrežimakliknemeDalší
ProklikánímsvolbouDalšísedostanemekdůležitévolběpostaveníDomény;
musíte rozhodnout, zda chcete řadič domény připojit kexistující doméně či
zda chcete vytvořit doménu novou. Jsme na začátku, vytvoříme tedy novou
doménu
2Activedirektory,řadičdomény
5.
Systémověří,žesezadanýnázevdoménynepoužívá
Po ukončení procesu klikneme Další
6. VevšechdalšíchpanelechvolímeDalší,ažsedostanemekoknu
instalaceslužbyDNS.Zeptáse,zdachcemenastavitpoužávatvsítijen
statickéadresy(potvrdímevolbuNe)
27
28
7.
2Activedirektory,řadičdomény
ProbíháinstalaceDNS
8. Poinstalacijetřebapotvrdit(případnězměnit)umístěnídatabáze
objektůAD
2Activedirektory,řadičdomény
29
9.Nastavímehesloprosprávceobnoveníadresářovýchslužeb
Zadej heslo
Potvrď heslo
Nynísezobrazípřehledozvolenémnastavení.Vpřípaděsouhlasupotvrdíme
Další,jinaksevrátímeZpětaprovedemeopravy
30
2Activedirektory,řadičdomény
ČekámenadokončeníinstalaceDNSapodokončeníbudePCrestartován
Instalacejedokončenaanášserverbudeplnitroliřadičedomény
firemni.local
VprostředíServerManagervidímenainstaloványdvěslužby
2Activedirektory,řadičdomény
31
PřesStartAdministrativeToolsUživateléaslužbyActiveDirectory
zobrazímevytvořenouadresářovoustrukturuADfiremni.local
Computers - obsahuje účty počítačů
připojených k doméně
Domain Controlers – obsahuje přehled
řadičů domény (zatím jen náš server)
Users - obsahuje přehled defaultně
vytvořených skupin a uživatelů
(Administrator, Guest)
Už při restartu jsme viděli před názvem
účtu Administrátor název domény
FIREMNI.
Cvičení 4 V nově vytvořené doméně vytvořte systém objektů pro uvedené firmy dle
návrhuzeCvičení3.
Objekty jednotlivých firem vkládejte do samostatných organizačních
jednotek,kterédálevhodněrozčleníte.
 Metrostav,s.r.o.‐stavebnífirma
 VSO, s.r.o ‐ vývoj avýroba speciál‐ních ochranných
afunkčníchoděvů.
 RELAX,s.r.o.‐Odlehčovacípobyto‐véarehabilitačnícentrum
 Comenius‐vzdělávacístředisko
 Královstvíhraček–výrobahračeknazakázku
SprávauživatelskýchúčtůvprostředíActivedirectory
32
2.2.3SprávauživatelůvprostředíActivedirectory
VprostředíUživateléapočítačeslužbyActiveDirectory(AD)můžemeřešitsprávu
všech objektů AD – uživatelé, skupiny, organizační jednotlky, účty počítačů,
tiskárnyapod.
MezizákladníoperacesobjektyADpatří:




přidat
zrušit
upravit
přesunoutvrámcidatabáze.
Můžeme změnit doménu, její úroveň
i řadič domény (tzn. databázi připojí‐me
kjinédoméněčikjinémuřadiči).
Zaměřímesenaoperacisuřivatelskýmiúšty,kterépatříktěmnejčastějším.
 Tvorba volných uživatelů a nastavení jejich vlastností
Vytvořenívolnéhouživatele
(umístěnvpřehleduBuiltin)
Prolepšípřehledobjektů(tedyiuživatelskýchúčtů)sloužíorganizačníjednotky.
VytvořmejednotkyProvoz,OdbytaVedení.
SprávauživatelskýchúčtůvprostředíActivedirectory
33
Název OU
Vedenírozčlenímedálenapersonalistikuaekonomiku–získámenásledující
strom.
Firemni.local
vedení
ekonomika
provoz
odbyt
personalistika
Do jednotlivých organizačních jednotek umístíme potřebné objekty (uživatelské
účty, počítače, apod.) a zpřehledníme tak jejich správu (vyhledávání, nastavení
vlastností,odstraňování)
Vprostředívedeníjsme
vytvořiliuživatelskýúčet
reditelanastavímmu
vlastnosti
SprávauživatelskýchúčtůvprostředíActivedirectory
34
Záložkyprovloženíosobníchúdajů
ZáložkaÚčet:
Výpis skupin
obsahujících daný
Nastavení doby přihlášení
Nastavení vlastnosti hesla
Nastavení platnosti hesla
Výběr
počítačů pro
Záložky Telefonické připojení,
Vzdálené řízení a Profil
terminálové služby slouží pro
povolení vzdáleného přihlašování
jako součást některých služeb
(VPN, Terminálového serveru,
Remote service, apod. )
V záložce Prostředí lze nastavit
program, který se spustí po
přihlášení
SprávauživatelskýchúčtůvprostředíActivedirectory
35
Významnou záložkou je Profil – pro nastavení cesty kdomovskému adresáři,
ksíťovému profilu (možnost nastavení jednotného uživatelského profilu pro
skupinu uživatelů) a kpřihlašovacímu skriptu (pro definici prostředí po
přihlášení).
¨
Logovací skript login.txt umístěný ve sdíleném adresáři pod názvem WINFIRMA\netlogin BACHA!!! Lépe je psát jen login.txt a umístit jej do defaultně sdáleného adresáře\\server\netlogon
U adresáře Home se nastaví sdílení $Home. Jméno adresáře smutny se v šabloně nahradí parametrem %username%.
Kopírováníúčtů
Nastavení Vlastností uživatelských účtů je spojeno svelkým počtem úkonů a při
velkém počtu uživatelských účtů časové náročné. Tuto situaci lze využít
vytvořenímuživatelskéšablony,kteroupakkopírujemeaměnímejennázevúčtu
adalšíparametry,kterýmiseodlišuje.Ostatnízůstanouspolečné.
Zásadyjmenaheseluživatelskýchúčtů
 Zobrazovanéjménosenesmívjednédoméněvyskytovatvícekrát.
 Délkazobrazovanéhojménamax.64znaků.
 Přihlašovací název účtů nesmí obsahovat znaky „/\,=+*<>;?“– bez
diakritiky.
 Max. délka přihlašovacího jména může být až 256 znaků (doporučuje se
použítmaximálně64znaků).
 Windows je case sensitive. Doporučuje se vytvořit si vhodný systém
přihlašovacíchjmen.
 Heslo – řetězec tvořený kombinací velkých malých písmen, číslic a
speciálních znaků – silné heslo – minimální délku lze nastavit vregistru,
případněvmístníchzásadáchzabezpečení.
(Start‐>Nástrojeprosprávu‐>Místnízabezpečení)
SprávauživatelskýchúčtůvprostředíActivedirectory
36
hesl
Uzamčení účtu
Zálohováníhesla
Můžesestát,žezapomenemeheslokúčtu.Jemožnésicehesloresetovatazměnit,
ale pokud má uživatel šifrované soubory, e‐maily, hesla k účtům vinternetu,
všechnobudeztraceno.DůležitýmúčtemjetakésprávcovskýúčetAdministrator,
jehož heslo je důležité mít někde uloženo. Ve Windows Server 2008 existuje
možnostresetovatheslobezztrátytěchtodůležitýchdat.
Pozor!!! Disketu pro resetování hesla nelze generovat u řadiče domény
(LzeaplikovatuWindowsVista,Windows7iWindowsServer2008)
Jaknato?–Vytvořtemédiumproresetováníhesla
1. Zmáčkneme kombinaci kláves CTRL + ALT + DEL a vybereme možnost
Změnitheslo
2. DálevyberememožnostVytvořitdisketuproresetováníhesla,čímžspustíme
průvodce,akliknemeDalší.
3. VyberemeUSBFlashakliknemeDalší.
4. DozobrazenéhopolezadámeheslokúčtuakliknemeDalší.
5. PovytvořenídisketykliknemeDokončit.
SprávauživatelskýchúčtůvprostředíActivedirectory
37
Použitídisketyproresetováníhesla,kdyžneznámeheslo
1. Napřihlašovacíobrazovcezvolímevytvořitnovéheslo(spustímeprůvodce)
akliknemeDalší
2. PřečtemesiúvodníinformaceohesluakliknemeDalší
3. Vložíme médium (disketa nebo flash) se souborem pro resetování hesla a
kliknemeDalší
4. Podokončeníresetováníheslapostupujemedlepokynůprůvodce
Jakájepodstatafunkcemédiaproresetováníhesla:
V rámci procesu vytvoření diskety pro resetování hesla se vytvoří dvojice
veřejnéhoasoukroméhoklíče.Hesloješifrováníveřejnýmklíčemanadisketuse
uloží soukromý klíč. Heslo se neukládá. Při použití diskety se momentální heslo
dešifruje soukromým klíčem, vytvoří se nové heslo a zašifruje stejným klíčem,
takžesežádnéinformaceneztratí.
Uživatelsképrofily
Obsahují celkové nastavení uživatele a prostředí, kam se ukládají dokumenty,
nastavení uživatelské plochy. Vytváří se při prvním přihlášení uživatele.
VeWindowssepoužívajítřitypyuživatelskýchprofilů:
 Lokální–uloženýnamístnímpočítači(nastanici)
 Cestovní – uložený na řadiči domény (přístupný zkteréhokoli počítače
vdoméně). Cestu kprofilu lze zapsat ve vlastnostech uživatele AD na
záložceProfil.
 Mandatorní(povinný)–založenýauloženýnaserver.Upravovatjejmůže
správce systému. Je vázán na uživatele, skupiny nebo organizační
jednotky.Jemožnozabezpečitnapř.skupiněuživatelůspolečnouplochu.
Cvičení 5 V prostředí AD Windows Server 2008 vytvořte návrh síťové struktury firmy Pekárna v doméně firma.local vedení firmy
Organizační jednotky: pekarna
provoz
sklad
Firma pekárma Orlová
prodejny
Karviná
ekonomika
Dětmarovice
Uživatelské účty:  vedení ‐ Václav Pekárek, Ivana Pekárková – majitelé firmy  ekonomika – Jana Spořilová – účetní, Zuzana Nováková – fakturace, objednávky  prodejny – Orlová – Franta Orel – dopravce, Kamila Vorlová – prodavačka Karviná – Laďa Tichý – dopravce, Martina Tichá – prodavačka Dětmarovice – Jirka Slabý – dopravce, Vlasta Slabá – prodavačka  provoz – Karel Pekař, Pepa Pekař, Béďa Pekař ‐ pekaři, David Soudný ‐ skladník
PočítačovéúčtyvActivedirectory
38
2.2.4SprávaúčtůPCvprostředíActivedirectory
Účty počítačů se v Active Directory nacházejí defaultně vOU Computers a
představují počítače připojené kdoméně. Většinou vznikají vokamžiku připojení
stanicedodomény,alejemožnojevytvořitinaserveru.
Instalace pracovní stanice s OS Windows 7
Instalační disk se vytvoří zcela automaticky, takže za předpokladu, že jsme
schopni na daném PC otevřít příslušný nosič sOS Windows 7, můžete zahájit
instalacivelmijednoduše‐kliknetena"Setup.exe".
Výše zmíněným způsobem vytvořené instalační disky jsou ale také bootovací. To
znamená, že operační systém můžete nainstalovat i na počítač, kde ještě žádný
operační systém není. Stačí jen v BIOSu přehodit bootovací pořadí tak, aby jako
prvnídošlokbootovánízUSBčiDVDdisku.Potéužsedáspustitklasickáinstalace.
(DoBIOSusedostanemeporestartunapř.tlačítkemF2)
Pozor na licence
PokudjstesipořídiliWindows7digitálněastáhlijstesiISOsoubor,mátemožnost
z něj vytvořit instalaci pouze na jednom médiu. Jakmile provedete instalaci na
vybranýpočítač,máteprávomítvdrženíjednuzáložníkopii.Vpřípadě,žejstez
vytvořenéhodiskuinstalacinesmazali,stávásetatovašízáložníkopií.
HWnároky




WindowsXPSP2,WindowsVista,neboWindows7(32‐bitnebo64‐bit)
Pentium233MHzprocesorneborychlejší(300MHzdoporučeno)
50MBvolnéhomístanadisku
DVD‐Rmechanikunebo4GBUSBflashku
PotřebujetejetakéMicrosoft.NETFramework2.0nebovyšší.Napočítači,nakterý
instalujeteWindows7,musítemítadministrátorskápráva.
Windows 7 USB/DVD Download Tool 1.0.30.0 - Freeware 74322 stažení 2,5 MB
Postupinstalace
PospuštěníSETUP.exe
Potépostupujeme
podle následujících krolů
Nahrávají se instalační
soubory (čekáme)
PočítačovéúčtyvActivedirectory
39
Jsme vyzváni k volbě
jazyka (necháme
češtinu)
V tomto okně
klikneme na šipku
Nainstalovat
Instalace probíhá
PočítačovéúčtyvActivedirectory
40
Zaškrtneme a klikneme
Zvolíme novou
Pokud budeme chtít
na pracovní stanici
vytvořit vedle
systémového oddílu
také oddíl pro data,
v tomto okně
klikneme na Možnosti
jednotky
PočítačovéúčtyvActivedirectory
Objeví se volba
Nový
Vyplním velikost oddílu
pro systém a kliknu
Použít
Potvrdím
OK
Objeví nový oddíl, kliknu
Další
Sledujeme, jak probíhá
průběh jednotlivých kroků
instalace
41
PočítačovéúčtyvActivedirectory
42
Po ukončení všech
kroků jsme vyzváni k restartu
Zadáme jméno
Případně i název PC
Klikneme Další
PočítačovéúčtyvActivedirectory
Po výběru se PC zařadí do skupiny Workgroup
a je připojen do sítě s využitím DHCP
43
Instalace dokončí nastavení
Po dokončení nastavení
je počítač přihlášen, máme
základní nabídku start a dolní
lištu.
PočítačovéúčtyvActivedirectory
44
Po přihlášení dostaneme
pracovní plochu.
Nyníjestanicepřipravenaprolokálníprovoz,kinstalacidalšíhosoftware,
připojenílokálnítiskárnyapod.
PřipojenípracovnístaniceWindows7dodomény
Pokudjepracovnístaniceurčenaprozařazenídosítěsdoménouamáme‐lik
dispozicinainstalovanýserver,kterýjeřadičemdoményseslužbouDNS,uděláme
předpřipojenímdodoménynásledujícíúpravy:
1. PoinstalaciWindows7jeúčetAdministrátorzakázanýabezhesla;
povolímejejanastavímeheslo:
Příslušnouúpravumusímeprovádětvpříkazovémřídku.
 SpustímepříkazovýřádekjakoSprávce
PočítačovéúčtyvActivedirectory
45
 Ověříme, že účet Administrátor je zakázaný  Administrátora povolíme a nastavíme heslo net userAdministrator /active:yes
net user Administrator heslo
2. Pokud náš server je Serverem DNS, nastavíme jejho IP do konfigurace DNS v TCP/IP  Zvolíme v nabídce Start Ovládací panely a Vybereme Síť a internet a poté Centrum síťových připojení a sdílení  Zvolím nastavení adapteru (síťové karty) – Ipv4 PočítačovéúčtyvActivedirectory
46
DoplnímeadresuDNSserveru
akliknuOK
3.Připojmestanicidovytvořenédomény
 VnabídceStartzvolímPočítač,pravýmtlačítkemvyvolámkontextovou
nápověduavyberuVlastnosti
Vyberu Změnit nastavení
Zvolímzměnitavnásledujícímokněvypíšunázevdomény
PočítačovéúčtyvActivedirectory
47
Budemevyzvánikzadáníhesla
Administrátoraapourčitédoběse
objevíhlášení„Vítejtevdoméně…“
Stanicimusímrestartovat.
Tak,ajsmevdoméně.Cojsmetímzískali?






Mohupropřihlášeníkserverupoužívat„doménovéúčty“,kteréjsou
založenynaserveruanejsouvytvořenynastanici
Stejnýúčetmohupoužívatkpřihlášenízkterékolistanicepřipojenéktéže
doméně
PřipojenástanicesezobrazíjakoobjektComputervActiveDirectoryaje
možnojispravovatzprostředíserveru
Apředevšímčekám,žebudumocivyužívatdataumístěnánaserveruaže
budumocinaserverukládatsvádata,knimžsetakdostanuzkteréhokoli
počítačevdoméně.
Nastavenímoprávněnímohusvádatazabezpečit.
Našlibychomještěřadudalšíchvýhod.
Vprůběhu instalace stanice a její zařazení do domény jsme byli nuceni použít
příkazovouřádku.Zopakujmesijeapřípadněpřidejmeještěněkterédalší:
Správaúčtůzpříkazovéřádky
Spuštěnípříkazovéřádky:
NabídkaStart–Spustit‐cmd(nebomůžetepoužítklávesovouzkratkuWin+R)
Promanipulacisúčtysloužípříkaznetuser,Vyzkoušejtejehopoužití:



netuser‐vypíšemístníuživatele.
netuserAdministratorheslo‐změnaheslalokálníhouživatele
Administratorna„heslo“
netuseruzivatel‐zobrazíinformaceolokálnímúčtu
PočítačovéúčtyvActivedirectory
48
netuseruživatel/addvytvoříuživatele„uzivatel“(vytvořenýuživatelje
automatickyzařazendoskupinyUsers,ověřtetovýpisemúčtůzeskupinyUsers)











net user uživatel /delete vymaže uživatele „uzivatel“
net user uzivatel /expire:1.11.2013 - pro lokální účet nastaví dobu platnosti
net user uzivatel /domain - zobrazí informace o doménovém účtu (třeba
poslední změna hesla, přihlášení, logon script, globální skupiny, atd.)
net help user - nápověda k příkazu net user
net localgroup - vypíše existující lokální skupiny
net localgroup zaci - vypíše existující účty v lokální skupině zaci
net localgroup /domain - vypíše existující skupiny v doméně
net user administrator - vypíše informace o uživateli administrator.
net user administrator * - změní heslo účtu administrator (jsme vyzváni
k zadání hesla).
net user administrator /active:yes - povolí administrátorský účet.
net localgroup group_name UserLoginName /add – přidání účtu do
skupiny

net localgroup administrators Alena /add - přidání účtu Alena do

skupiny Administrators net localgroup "Power users" UserLoginName /add
(více slovní název zapište do uvozovek)
Důležité je mít konzoli spuštěnou s oprávněním správce (pokud jsme přihlášeni jako
běžný uživatel), protože jinak sice informace půjdou zobrazit, ale nebude možné je
změnit
Pro mazání obrazovky slouží příkaz cls
Vyzkoušejtese:
1.
2.
3.
4.
5.
6.
7.
8.
VypištepřehledlokálníchuživatelůnaVašemPC
Vypištesiinformaceojednotlivýchuživatelích
Vytvořtenovéhouživatelejana.vesela
Nastavtejíheslo„heslicko“
Výpisemuživatelůověřteúspěšnostpřivykonáníúlohyzbodů3a4
Zakažteuživatelejana.vesela
Povolteuživatelejana.vesela(vždyproveďtekontroluvýpisem)
Vypišteexistujícílokálnískupiny
Cvičení 6 Přihlastesekserverupomocívytvořenýchdoménovýchúčtů
PočítačovéúčtyvActivedirectory
49
ProkomunikacisWindows7jedobrésizapamatovatněcoz…
Obecnésystémovéklávesovézkratky
Alt+Tab:přepneoknaazobrazípřitompanelsmalýmináhledyoken
Alt+Shift+Tab:přepínáníokenvopačnémsměru
Alt+Ctrl+Tab:přepínáníoken,přičemžpanelsmalýmináhledyzůstává
zobrazentrvaledostiskuEsc
Win+Tab:přepneoknas3Defektem
Win+Shift+Tab:přepneoknas3Defektemvopačnémsměru
Win+Ctrl+Tab:přepneoknas3Defektem,přičemž3Dpřehledokenzůstává
trvalezobrazendostiskuEsc
Win+D:zobrazíplochu/obnovíokna
Win+E:otevřeprůzkumníknapoložcePočítač(dříveTentopočítač)
Win+F:aktivujehledání
Win+Ctrl+F:hledánívsíti
Win+G:přepínámezijednotlivýmiGadgetynaploše
Win+Shift+G:procházeníGadgetůvopačnémpořadí
Win+L:uzamknutípočítače
Win+P:přepínánízpůsobupřipojeníexterníhomonitoru/projektoru
Win+R:otevřefunkciSpustit
Win+X:zobrazíCentrumnastavenímobilníchzařízení(hodíseunotebooků)
Win++/‐:aktivujepřiblíženíaoddáleníobrazu
Win+F1:otevřenápověduksystémuWindows
Win+Pause:otevřeoknosinformacemiosystému
Ctrl+Shift+Esc:zobrazeníSprávceúlohnazáložceProcesy
ProprácisoknyveWindows7
Klávesovézkratky
Win+Home:očištěníplochyodvšechostatníchokenkroměaktivního
Win+mezerník:zobrazeníplochyskrzeprůsvitnéobrysyoken
Win+M:minimalizujevšechnaokna
Win+Shift+M:maximalizujevšechnaokna
Win+šipkanahoru:maximalizaceokna
Win+Shift+šipkanahoru:maximalizaceoknapouzevevertikálnímsměrua
obnovenídopůvodnívýšky
Win+šipkadolů:minimalizaceokna
Win+šipkavlevo,Win+šipkavpravo:„polomaximalizace“klevémunebok
pravémuokrajiobrazovky
Win+Shift+levášipka,Win+Shift+pravášipka:„polomaximalizace“oknaa
zároveňpřesunutínadruhýmonitormonitor
Skupinyajejichspráva
50
2.2.6PoužitískupinvActivedirektory(AD)
Skupina vAD mohou obsahovat řadu různých objektů – uživatele, počítače, další
skupiny, apod. Spravováním vhodné struktury skupin urychlit správu celé sítě.
Existují2typya3oboryskupin.
Typyskupin:
 zabezpečené – jsou uvedeny ve volitelných seznamech přístupu (DACL),
kteréjsousoučástípopisuobjektů.Umožňujínastavitoprávněníkobjektům
kprostředkům(nejpoužívanější).
 distribuční – slouží pro nezabezpečené emailové seznamy, nepoužívají
funkceoprávnění,nemajípovolenozabezpečení.Používajísenamailových
serverech.
Obory skupin: určují, které typy objektů můžeme do skupiny zahrnout, jaká
oprávněníaprávajimmůžemeudělit
 místní doménové – uživatelé této skupiny mají přístup kprostředkům
místní domény (např. ke sdíleným složkám). Nejsou zjistitelné
mimo hranici domény. Zásady kmístní doménové skupině se
neukládajídoActivedirektory,tudížsenereplikujídoglobálního
katalogu.
 globální – uživatelé této skupiny mají přístup kprostředkům podle
organizace; lze je vnořovat, abychom mohli udělit přístup
kprostředkůmvlibovolnédoméněvdoménovéstruktuře
 univerzální–mohousdružovatobjektyzrůznýchdoménatakéoprávnění
lze nastavit vrámci kterékoli domény, což velmi výhodné.
Nevýhodu představuje skutečnost, že při jakékoli změně se
univerzální skupina ukládá do globálního katalogu a následně
musí být replikována na všechny řadiče domény nastavené jako
servery globálního katalogu. Windows Server 2008 replikuje
pouze změny namísto celých objektů, takže zatížení sítě nebude
tak drastické a vytváří lepší podmínky pro použití univerzálních
skupin.
Použitíjednotlivýchtypůskupin:
Globální skupiny používají se především pro objekty, které se vyžadují časté
úpravyaintenzívnísprávu.Nereplikujísemimovlastnídoménua
nejsou součástí replikace globálního katalogu. Nejčastěji se do
nich zařadí účty uživatelů i počítačů. Globální skupiny se vnořují
dodalšíchtypůskupin.
Místní doménové skupiny je vhodné použít pro zajištění přístupu ke sdíleným
zařízením vdoméně. Například tiskárny. Vytvořím místní
Skupinyajejichspráva
51
doménovouskupinu,připojímkníoprávněníkpoužitítiskárnya
doskupinyzařadímglobálnískupinusuživatelskýmiúčty.
Univerzální skupiny použijeme vpřípadě existence více domén, jinak je filosofie
obdobnámístnímdoménovýmskupinám.Univerzálnískupinytak
mohouzajistitpřístupktechnickýmprostředkůmrůznýchdomén.
Lzedonívnořitglobálnískupinyzrůznýchdomén
Chceme‐li nastavit efektivní síť, je nutné dobře chápat typy a obory skupin.
VýznamskupinseprojevilipřivývojinovýchverzísystémuWindowsServer.
Vytvořenískupiny
Vytváří se vprostředí Správa
uživatelůapočítačůvAD
Pojmenovat skupinu
Vybrat obor a typ skupiny
Jstepříznivcempříkazovéřádky?
Dsaddgrouppříkazprovytvořenískupiny
Výpisvýznamudalšíchparametrůzískátepříkazemdsaddgroup/?
Skupinyajejichspráva
52
AnalogickylzepřidatidalšíobjektyAD
Případně lze objekty vypisovat, upravovat apod.
Zásady skupin
Představují skupinu pravidel, která pomáhají provádět správu počítačů a
uživatelů. Mezi klíčové operace správy patří především:
 nastavení zásad pro uzamčení účtů, hesla
 přesměrování speciálních složek (např. Dokumenty) na vybrané
centrálně spravované místo
 uzamčení konfigurace plochy
 definice přihlašovací, odhlašovacích skriptů
 nastavení pravidel pro instalaci aplikací
 konfigurace a údržba webového prohlížeče MS Explorer
Existují 2 typy zásad:
1. Místní zásady skupin – jsou uloženy na místním počítači ve složce
%systemroot%\System32\GroupPolicy a týkají se
pouze tohoto počítače
2. Zásady skupin AD – jsou reprezentovány fyzickými komponentami
GPT a GPO. GPT – Group Policy Template – jsou
uloženy ve složce Sysvol, pomocí níž replikuje systém
zásady skupiny. Složka Sysvol logicky představuje
objekt GPO, který slouží jako kontejner pro definované
zásady a jejich nastavení; pomocí něj mohou být zásady
propojeny na jednotlivé objekty či jejich skupiny.
Po vytvoření domény vznikne objekt GPO výchozích
zásad pro řadič domény a objekt GPO výchozích zásad
domény.
Skupinyajejichspráva
53
Zásady skupiny se týkají pouze uživatelů a počítačů. Pro nastavení Zásad
skupiny spustíme program mmc (kořenový adresář konzoly) a přidáme modul
snap-in Editor objektů zásad skupiny a uložíme např. jako konzola1.
1
2
3
V prostředí mmc otevřeme uložený soubor konzola1, vidíme nastavení
výchozích zásad
Máme možnost nastavit zásady pro počítač nebo pro uživatele U konfigurace počítače i uživatele se
objeví vždy
Zásady
Předvolby
Skupinyajejichspráva
54
Systémovou komponentou pro klienta zásad skupin je rozšíření uložené jako
knihovna DLL. Hlavní knihovnou pro zpracování šablon je Userenv.dll.
Architektura zásad skupin
Klient zásady skupin
Modul zásad
Řadič domény
Active
Sysvol
Editor správy
zásad skupiny
Rozšíření na straně klienta
Šablony pro správu
Instalace software
Skripty
Nastavení zabezpečení
Přesměrování služby
Údržba IE
Služba vzdálené instalace
Rozšíření na straně serveru
Šablony pro správu
Instalace software
Skripty
Nastavení zabezpečení
Údržba IE
Správaprávkvytvořeníobjektůzásadskupin
Operační systém Windows Server 2008 přiděluje správcům automaticky právo
vytvářet objekty zásad skupin. Ostatním uživatelům je možno toto právo přidělit
delegováním.
Delegování – znamená přidělit právo provádět úkony správy i jiným uživatelům
nežčlenůmskupinEnterpriceAdminaDomainAdmin
Nástroje pro správu ‐>Správa zásad skupiny ‐>Domény (rozbalit konkrétní
doménu)
Vyberu Obsah zásad skupiny, záložku Delegování, můžeme přidat uživatele nebo
skupinu.
Skupinyajejichspráva
55
Dálejetřebanastavitoprávněníprosprávuzásadskupin.Můžemepřidělitjedno
zetříoprávnění
 Číst
 Upravitnastavení
 Upravitnastavení,odstraňovat,upravovatzabezpečení
Dědičnost zásad skupin
Pokudsenadanýobjektuplatňujevícezásad,použijísevnásledujícímpořadí:
1. Místnízásadyskupin
2. Zásadyskupinlokality
3. Zásadyskupindomény
4. Zásadyskupinorganizačníjednotky
5. Zásadyskupinvnořenéorganizačníjednotky
Chceme‐li přepsat zásadu povolenou vzásadách vyšší úrovně, zakážeme ji
vzásadáchnižšíúrovně(použijemevariantuNenínakonfigurováno).
Použití skriptů v zásadách skupin
V zásadách skupin lze nadefinovat skripty, které budou spouštěny při startu nebo vypínání
počítače, případně při přihlašování nebo odhlašování uživatele.
Platí pak pro všechny účty ve vybrané skupině
Pravé tlačítko na myši
Vyberu Upravit
Dostanu Editor správy
Analogickylzepřidatskriptyprouživatele.
V editoru vyberu
z konfigurace počítače
Nastavení systému
Windows a Skripty a
přidáme je
Skupinyajejichspráva
56
Opravavýchozíchzásadskupiny
ObjektyGPOvýchozíchzásadprořadičdoményavýchozíchzásaddoményjsou
důležitéprosprávnoučinnostslužbyActiveDirectory.Pokuddojdekjejichzměně,
nefungovalybyzásadyskupinsprávně.Jetřebajeobnovitdopůvodníhostavu.
Spustímenástrojdcgpofixzpříkazovéřádky.
Pokudchcemeopravitjenvýchozízásadydomény,spustímedcgpofix/target:
doména
Pokudchcemeopravitjenvýchozízásadyřadičedomény,spustímedcgpofix
/target:dc
Cvičení 7 Vytvořte logon skripty pro mapování síťových disků R:, V:pro všechny uživatelské
účty v doméně, pojmenujte logon.txt:
R:
\\server\Reklamace
V:
\\server\Doprava
WebováinternetováinformačníslužbaIIS7.0
57
2.3 Webová internetová informační služba IIS 7
TvořísoučástoperačníhosystémuWindowsServer2008aposkytujeřadu
výhod:


jeprostředímprobezpečnývývojwebovýchaplikacíijejichhostování.
nabízífunkcepropohodlnousprávuaefektivnísprávuwebových
stránek
Jako každý webový server umožňuje komunikace sklienty – přijímá a
vyřizujejejichpožadavky,navícposkytujeřaduvýhodjakprouživatele,tak
protvůrceaplikací:






dáváuživatelišancistahovataukládatdataprostřednictvímFTP(je
součástíIIS7)neboWebDAV(WorldWideWebDistributed
VersioningandAuthoring),
dodávatuživatelůmsoftwarepomocíInternetubezpotřebyfyzických
médiídiskůCD,DVDapod.
nabídnoutzájemcůmhostováníwebovéslužbysmožnostívývoje
obchodníchaplikací
.prozaměstnancevytvořeníintranetu
voblastisprávynabízímožnostfiltrovánípožadavků,včetnětrasování
neúspěšnýchpožadavků,cožmohouvývojářivyužítkladění
obsahujeModulslužbyIISproprostředíWindowsPowerShell
Serverjevhodnýpro


Hostovánívlastníchaplikací(webovýchstránek)
Hostovánítřetíchstran(cizíchwebovýchstránek)
Požadovanáfunkcionalitaserveru–anebcomáwebserverzajistit:




ProvozwebovýchaplikacívASP.NET
Odděleníjednotlivýchwebovýchaplikacíodsebe(abyseneovlivňovaly,aby
sinevidělydodat,abyfunčnostjednéaplikacenezasahovaladofunčnosti
aplikacedruhé)
WindowsSQLserver2008jakodatabáze
PřístupjednotlivýchuživatelůkesprávěwebovýchaplikacípomocíFTP
InstalaceroleWebserverIIS7
1. Otevřeme Server Manager, klikneme na Přidat role
58
WebováinternetováinformačníslužbaIIS7.0
Web server nelze nainstalovat, pokud v systému nejsou nainstalovány
některé funkce, Takže při výběru role Web server se vám otevře další
okno, pro potvrzení přidání potřebných funkcí (výhodou je, že všechny
jsou součástí instalačního CD, není tedy potřebí hledat a stahovat
z internetu..
2. Vybereme roli Web server
2. Potvrdíme přidání funkcí
1. Vybereme službu
3. Objeví se výběr a my klikneme Další
Objevísepanelprovýběrslužbarolí–potvrdímetlačítkemDalšíadoplníme
služby zoddílu Vývoj aplikací (vše, FTP, Zabezpečení, stav a diagnostika
(protokolováníaSledovánípožadavků),případnědalšídleaktuálníchpotřeb.
Přivýběruseněkdyopětobjevípotvrzeníinstalacepotřebnýchfunkcí
WebováinternetováinformačníslužbaIIS7.0
4.
5.
Po kliknutí na tlačítko Další se objeví panel s vybranými službami
a pokud je jejich výčet úplný, klikneme na tlačítko Nainstalovat
6.
59
60
WebováinternetováinformačníslužbaIIS7.0
7.
Sledujeme průběh instalace
8.
Instalace byla dokončena
9.
V přehledu rolí vidíme
Webový server (IIS)
a základní web Default
Web Site
WebováinternetováinformačníslužbaIIS7.0
61
10.
Označením Default Web
Site se objeví obsah
adresáře domovská stránka
a přehled akcí, které lze
s webem provádět
Kliknutím se objeví úvodní
11.
Defaultní webovou stránku zobrazíme ve webovém prohlížeči zadáním
http:\\localhost nebo http:\\192.168.146.3 .
Podrobněji:
Při instalaci IIS si můžeme vybírat jednotlivé funkcionality, které chceme,
aby server uměl. Některé na sobě závisí, takže, když zaškrtneme např. ASP.NET ,
vybere se mi řada dalších služeb, které bude ASP.NET pro svůj „běh“potřebovat
62
WebováinternetováinformačníslužbaIIS7.0
KroměASP.NETnásmůžezajímat
 HTTPRedirecton,kterýumožnístanovitsipodmínky,zakterých
budeuživatelpřesměrován,např.doménovéaliasyapod.
 TRACINGkdyžněcojdešpatně,nebokdyžvyřízenépožadavkutrvá
neúměrnědlouhoneboskončí,můžetesinechatotomtopožadavku
vytvořitzáznam,zněhožzjistíte,covprůběhozpracovánípožadavku
stalo,vekterémokamžikunastalproblém
 BASICAUTHENTICATION,WINDOWSAUTHENTICATION,DIGEST
AUTHENTICATION–pokudbudetechtítprovozovatInternetovou
aplikaci,povolítepravděpodobněWindowsauthencation,;vpřípadě
běžnýchwebovýchaplikacíbudetepoužívatrůznédoměnovémetody,
kteréfunkgujívždy‐.netove(čtidotnetové)metody,např.Forms
aplication
 URLAUTHORIZATION–hodíse,kdyžchcetenastavit,kdokamsmí,
dokterýchadresářů
 IPANDDOMAIRESTICTION–umožnízpřístupnitwebuživatelům
jenzněkterýchdomén,jenzněkterýchIProzsahů,můžetezablokovat
některéIPadresyneboInternetovýwebzpřístupnitjendoněkteré
částisítěapod.
 DYNAMICKÁASTATICKÁKOMPRESEOBSAHU–vyskytujese
vsekciPerformaceadoporučujesezapnout,protožednešní
prohlížečedokážoupožádatwebserver,abyjimposlaldata
zkomprimovaná,takžesenepošlesurovýkódHTML,alepřed
odeslánímsepoužije(GZIP),čímžseobjemzasílanýchdatpodstatně
zmenší(ažna20%)–šetřímečasiněkdyifinance.
 MANAGEMENTTOOLS–oddílobsahující
IISManagementConsolevizuálnínástrojprostrávuwebových
aplikací
IISScriptsandTools–obsahujenástrojepříkazovéřádky,které
můžemepoužítnapř,pro
hromadnéčidávkovévytvářeníwebů
ManagementService–pokudchcemevrámciwebhostinguumožnit
zákazníků,abyzklientaspravovalisvéwebypřesHTTPneboHTTPS
NÁSTROJEIIS6–většinounepotřebujeme,jedině,kdybysteměli
vytvořenéskriptypodII6achtělijstejepřekládatpropoužitípod
IIS7,Vzhledemktomu,ževIIS7jeskriptovánípodstatněefektivnější,
doporučujeseskriptypřepsat.Tytonástrojeseautomatickyzapnou,
kdyžvyberetekinstalaciSMTP‐protožeodIIS6nedoznalžádných
změn.
 FTPSERVER–vserveru2008jestejnýjakovIIS,vnovéverzi
WindowsServeru2008R2jejižnováverzepodIIS7sřadounových
možností.LzejisamostatněstáhnoutadoinstalovatdoWindows
server2008.
WebováinternetováinformačníslužbaIIS7.0
63
SoučástíjeHostingWebCore,kteroupoužijetejenvyjímečně,ato
vpřípadě,žewebováaplikacepoužívájenjádroWebserveru. Po výběru všch potřebných funkcionalit klikneme NEXT , objeví se celková
konfigurace a systém zahájí instalaci role.
Nyní se podíváme se na Vlastnosti (Features) :
 .NET 3.5 – určitě budete potřebovat, a to buď kompletní, nebo jen .NET Framework 3.5.1 (bezpodmínečně nutná je instalace této funkcionality za přrdpokladu, že tento serveru budeme chtít nainstalovat SQL Server) Výběr dalších vlastností závisí účelově na tom, jaké funkce má daný server plnit.
Často vybíranou vlastností je
 SMTP Server ‐ pokud budeme chcít z webových aplikací odesílat maily (bohužel stále používá logiku IIS6, která v případě této volby automaticky nainstaluje; ale přesto se jedná stále o nejjednodušší způsob, jak z webových aplikací odesílat maily) 64
WebováinternetováinformačníslužbaIIS7.0
Ostatní funkcionality většinou potřebovat nebudete, a pokud přece jen, můžete si
je později doinstalovat. V dalším kroku se mi objeví přestad nastavených vlatností
a kliknutím na Instal Zahájíme instalaci.
Po ukončení instalace role webserveru, si otevřeme Správce serveru a podíváme
se na novou roli, existenci výchozího webového serveru a ověříme jeho funkci
WebováinternetováinformačníslužbaIIS7.0
Otevřeme prohlížeč a napíšeme adresu http://localhost
Otevřeme prohlížeč a napíšeme adresu http://localhost
65
WebováinternetováinformačníslužbaIIS7.0
66
Průvodce konfigurací Webserveru pro hosting
Pro hostování webových stránek je nutné zajistit izolaci jednotlivých uživatelů.
K tomu se používají Aplikační pooly (každého uživatele musíme umístit do
samostatného poolu). Novinkou od IIS 7 jsou v této souvislosti automaticky
vytvářené identity. Pokud si vytvoříme nový Aplikační pool, vytvoří se
automaticky identita a uloží se v adresáři IIS pod názvem APPPOOL\Nazev_AP.
Je to v podstatě kopie Network Service, jen je pro každý aplikační pool
samostatná a také to znamená, že pokud nepotřebujeme nějaké speciální vazby
oprávnění např. na SQL Server, nemusíme sami vytvářet uživatele pro jednotlivé
Aplikační pooly, IIS to udělá za nás.
A nyní si představme, že chceme na našem serveru hostovat webové stránky
firmy Northwind a Fabrikant.
1. Vytvoříme pro ně dva samostatné aplikační pooly
2. Nazveme je AP_Northwind
AP_Fabrikam
3. Všechny parametry necháme nastavené na výchozích hodnotách, což znamená,
že se použije nastavená logika a vytvoří se dvě automatické identity. Ihned se
o tom přesvědčíme, neboť musíme nastavit odpovídající práva na souborový
systém .
4. Otevřeme na datovém disku D: adresář WWWServers\LocalUser a na adresář
Fabrikam nastavíme práva pro identitu IIS APPPOOL\AP_Fabrikam (nastavíme
plné řízení):
WebováinternetováinformačníslužbaIIS7.0
67
Analogicky na adresář Northwind nastavíme práva pro identitu IIS
APPPOOL\AP_Northwind (nastavíme plné řízení).
5. Jakmile máme nastavená práva, vytvoříme vlastní weby. Na datovém disku D:
si vytvořím adresář www.fabrikam.com a umístím tam textový soubor
default.htm (obsahuje html kód pro úvodní stránku)
Analogicky pro druhou Identitu.
6. Strukturu máme připravenou a nyní vytvoříme weby – v prostředí
nainstalovaného IIS v oddíle sites zvolíme Add Web site
Vypíšeme potřebné položky
Vybereme
příslušný
Pojmenujeme
webovou
stránku
Nastavíme fyzickou
t k d áři
Případně
zvolíme
hostname (pro
DNS)
WebováinternetováinformačníslužbaIIS7.0
68
7. Nyní je potřeba v sekci IIS –Authentication – Anonymous Authentication –
bude Anonymous user Identity Application pool Indentity. Tím zajistíme, že vše,
co bude v rámci tohoto webu spouštěno, bude spouštěno pod touto identitou.
8. Teď to můžeme vyzkoušet.:


Přejdeme na klientský počítač, otevřeme webový prohlížeč a zvolíme URL adresu http://www.fabrikam.com (objeví se text „Vítejte na stránkách firmy fabrikam.com“) Poté vyzkoušíme i další vytvořený web. 9. Nyní přejdeme znovu na server a v prostředí Správce úloh (Taskmanageru) si
ověříme, že běží dva samostatné procesy. Každá firma má svůj vlastní proces a
ten běží pod určitou identitou.
10. volbou oddělených aplikačních poolů jsme zajistili, že na jednom serveru
mohou hostovat dva klienti, kteří si navzájem nevidí do dat.
Vzdálená správa


IIS 7 umožňuje realizovat vzdálenou správu nejen pro administrátory, ale umožnuje přidělit jednotlivým uživatelům práva ve vztahu ke konfiguraci. Tato práva zůstávají zachována i při vzdáleném přístupu. Umožníme mu měnit takové vlastnosti, které jsou ve vztahu k webserveru nepodstatné a umožníme mu konfigurovat jen jeho vlastní web. Nastavení serveru
1. Na úrovni serveru se můžeme podímat v prostředí na Vlastnosti Delegování (Features Delegation) Zde vidíme jednotlivé konfigurační sekce a oprávnění, které se
rozhodneme uživatelům přiřadit, respektive oprávnění, která lze na úrovni
webu přiřadit.
WebováinternetováinformačníslužbaIIS7.0
69
2. Konfiguraci lze nastavit společně pro všechny weby nebo pro jednotlivé weby odděleně. (Většinou se spokojíte s výchozím nastavením, které uživateli umožňuje měnit jen věci, na kterých příliš nezáleží.) 3. Nyní zbývá určit, kteří uživatelé budou moci jednotlivé weby konfigurovat. To se děje v nastavení jednotlivých webů. 4. Klepneme na určitý web a v sekci IIS Management Permission vyberete uživatele, kteří budou mít právo měnit konfiguraci tohoto webu. Nastavení klienta
Startpage
 Klikneme připoj se ke stránce (Connect o a site) Název serveru, k němuž se připojujeme
Název webu
Nyní specifikujeme jméno uživatele a heslo a tím nastavíme spojení a vidíme jen
svůj vlastní web
Závěr: Vzdálenou správu lze v IIS 7 nastavit nejen pro administrátory, ale i pro
běžné uživatele.
TerminalServices
70
Terminálováslužba
Umožňuje uživateli spouštět aplikace na vzdáleném serveru, kde probíhá
processpuštěníizpracováníúdajů.Posítiběžíjendatazezařízení–display,
myš, klávesnice. Klient se přihlásí kserveru a vzdáleně používá aplikaci –
virtuálnírelace.
Význam
 Zjednodušenásprávaaplikací(najednommístě)iuživatelskýchdat
 Všichniuživatelépoužívajíjednuverziaplikace
 Ekonomickáúspora–stačímítjedenvýkonnýserverauživatelmůže
mítkdispozicijentenkéhoklientaaserver
Klíčovéprvkyterminálovéslužby:
1. Serverterminálovéslužby
2. Klientterminálovéslužby
3. Správalicencíterminálovéslužby
ProvzdálenýpřístupkaplikacímexistujeveWindowsserver2008několik
možností:
 VzdálenáaplikaceTerminálovéslužby(RemoteApp)–cožje
program,kekterémuuživatelvzdáleněpřistupujepřesterminálovou
službu.Místoabyměluživatelkdispoziciplochunaterminálovém
serveru,fungujeaplikaceRemoteAppvevlastnímokně.Pokud
spouštínaTerminálovémserveruvíceaplikací,sdílení
prostřednictvímRemoteAppsterminálovýmserveremjedinourelaci
(běžívtomtojedinémokně).
 Bránaterminálovéslužby(TSGateway)–umožníautorizovaným
uživatelůmpřipojeníkevzdálenéploše,kteréserealizujepomocí
protokoluRDPnadprotokolemHTTPS,přenosdatjetedyšifrována
můžeprocházetfirewallemisíťovépřekladyNAT.
 Služba TS Web Access – umožňuje přístup kaplikacím
prostřednictvímwebovéhoprohlížeče.Výchozíwebovástránkatéto
služby obsahuje funkční odkazy na příslušné programy, které jsou
nastaveny jako vzdálené aplikace (RemoteApps). Při instalaci
tétoslužbyjenainstalovánatakéslužbaIIS7,kterázabezpečípřístup
ktěmtoprogramům.
Pro nastavení terminálové služby se požaduje licenční server (licence se
vydávána52–89dní(náhodněvygenerováno).Vtomtočasovémintervalu
se přidělené licence nevracejí do fondu licencí. Pokud se klient vdaném
časovémintervalunepřihlásí,jelicencevrácenadofondulicencí.
Licenční
server
relace
Klient
Terminálový
server
TerminalServices
71
Infrastrukturaterminálovéhoserveru(hwvybavení,početserverů)vychází
zanalýzy
 počtuuživatelů,kteřísebudouhlásitkterminálovémuserveru
 jakéaplikacebudouspouštět
 způsobvykonávanépráce
 pracovnícivstupudat–žádnázátěž
 znalostnípracovníci–vytvářenídokumentů,tabulek,
prezentace–mírnázátěž
 experti–použitíspecializovanéhosoftware,grafiky–
velkázátěž
Výpočet velikosti potřebné paměti (např. uživatelé budou spouštět 4
programy,kterébudoupotřebovat15MBRAMa24MBvirtuálnípaměti).Pro
100uživatelůtedyasi1,5GBRAM2,4GBmístanadisku.
Instalaceterminálovéhoserveru
VesprávciserverupřidámeroliTerminálovýserveravyberemepožadované
služby
Na dalším panelu nastavíme bezpečnostní opatření a způsob licencování
72
TerminalServices
Existuje licencování podle uživatele nebo vázané na zařízení.
Dále vybereme seznam skupin uživatelů, kteří se mohou přihlašovat
k terminálovému serveru.
Nastaveno pro doménové
uživatele
Zobrazí se nastavená konfigurace pro instalovaný terminálový server a
potvrzením zahájíme instalaci
TerminalServices
73
Po ukončení instalace se ve správci serveru přibyla další role a prostředí
pro její správu
Poté bychom potřebovali instalovat aplikace, které budou uživatelé
spouštět - přes Ovládací panely
74
TerminalServices
Pozor!!!
Používejte aplikace, které umožní spouštění ve víceuživatelském
prostředí. Tyto aplikace
 ukládají data odděleně od místních dat
 uživatelská data se ukládají podle uživatele
 uživatelé jsou autorizováni podle uživatelského jména
Pro instalaci aplikací se na terminálovém serveru používá režim
instalace, který zaručí, že aplikace budou nakonfigurovány pro přístup
více uživatelů. Není třeba žádných složitých postupů, stačí provést
instalaci pomocí nástroje Instalovat program na terminálový server.
Všechny konfigurační údaje a posléze i změny se ukládají jak do klíčů
HKCU a HKLM, tak do klíče HKLM\Software\Microsoft\Windows
NT\Current Version\Terminal Server\Install. Pokaždé, když se aplikace
pokusí o přístup ke klíčům HKCU a HKLM, použije terminálová služba
klíč
HKLM\Software\Microsoft\Windows
NT\Current
Version\Terminal Server\Install. Soubory .ini a knihovny DLL si
kopíruje do domovského adresáře klienta nebo do jeho profilu.
V prostředí Instalovat program na terminálový server lze také nastavit
relaci
 pomocí příkazu Change User s parametry
 /Query – zobrazí aktuálně nastavený režim
 /Execute – nastaví terminálovou službu do režimu spouštění
 /Install – nastaví terminálovou službu do režimu instalace
 pomocí příkazu Change logon s parametry
 Query – zobrazí aktuální stav přihlášení
 /Enable – povolí přihlášení uživatele
 /Disable – nepovolí přihlášení uživatele
Pro komunikaci terminálového serveru s uživateli se používá režim
spouštění, když se připojuje uživatel.
Aplikace vyžadují někdy po instalaci použití skriptů pro kompatibilitu
aplikací jako je
Rootdrv.cmd – přiřadí písmeno k domovskému adresáři každého
uživatele (pokud existuje) – provede mapování
SetPath.cmd – odebere cesty k proměnným a umožní skriptům
pracovat bez pevně nastavených cest.
TerminalServices
75
Tyto skripty jsou umístěny ve složce %systemRoot%Aplication
Compatibility Scripts. Mají podobu dávkových souborů a je možno si
je podle potřeb upravit.
Po ukončení instalace aplikace je třeba v režimu instalace:
 Provést potřebné změny v nastavení.
 Nastavit cestu k souborům pro jednotlivé uživatele (přiřadit
písmeno)
 Nakonfigurovat nastavení registru v klíči
HKLM\Software\Microsoft\Windows NT\Current Version\Terminal
Server\Compatibility\Application (všechny změny jsou typu
REG_DWORD viz správa registru)
Nastavení přístupu k terminálovému serveru (protokol RDP):
Přidat uživatele nebo
Nastavit úroveň
Dialogové okno RDP-Tcp obsahuje řadu karet:
Obecné – nastavení šifrování (buď kompatibilní s klientem nebo lze
požadovat silné šifrování) a zabezpečení ( pokud chcete zvýšit
úroveň zabezpečení, zaškrtnete
Nastavení přihlášení (vhodné neměnit , použít výchozí nastavení)
76
TerminalServices
Relace – nastavíme, jak bude terminálová služba odpojovat relace
Prostředí – nastavíme aplikaci, která se spustí při přihlášení (Přepíše
nastavení pro klienty Vzdálené plochy)
Vzdálené řízení – povolí a nastaví podmínky pro vzdálenou plochu
Nastavení klienta – určí způsob správy obrazovky a přesměrování
klienta (zakázáno mapování zvuku)
Síťovýadaptér–určí,kekterýmsíťovýmadapterůmnaserveruselze
připojit(standardněkjakémukoli)
Zabezpečení–nastaveníoprávněníprovybranéuživatelečiskupiny.Existují
3základníoprávnění:
FullControl–plnákontrolanadvšemirelacemi(vlastnímii
cizími)
UserAccess–omezenákontrolajennadvlastnímirelacemi
(mohousedotázatnaexistujícírelace,připojitsekjiné
relaci)
GuestAccess–mohousejenpřipojit,dalšíoprávnění
nemají
Způsobpřipojení–přesvzdálenouplochu
Získáváníinformacíoterminálovéslužběajejíspráva
lzezískatbuďvgrafickémprostředíSprávceterminálovéslužby,nebo
zpříkazovéhořádku.
TerminalServices
Správce TS
Informace z příkazové řádky – pomocí příkazů
query process
přehled uskutečněných procesů
query user
přehled připojených klientů
query session
přehled vytvořených relací
77
78
TerminalServices
Další příkazy
query termserver přehled přístupných terminálových serverů
Shadow [Název relace] [ID relace] [/Server : Název serveru] [/v] převzetí
vzdáleného řízení
relace
Reset Session [Název relace] [ID relace] [/Server : Název serveru] [/v] obnovení
uživatelské relace
Logoff [Název relace] [ID relace] [/Server : Název serveru] [/v] odpojení
uživatelské relace
TSCon [Název relace] [ID relace] [/Password : heslo] [/v] připojení k uživatelské
relaci
TSDisCon [Název relace] [ID relace] [/Server : Název serveru] [/v] odpojení
uživatelské relace
TSKill ID Procesu|Název procesu [/Server : Název Serveru] [/ID : ID relace] [/a]
[/v] ukončení daného procesu v dané relaci, případně
pomocí parametru /a ve všech relacích
Msg [Uživatelské jméno|Název relace|@název souboru|ID relace\*] [/Server :
Název Serveru]
[zpráva]
Posílání zpráv z konzoly vybraným uživatelům uvedený znak
@ umožňuje definovat soubor s přehledem uživatelských jmen a
relací, znak * umožní odeslat zprávu všem relacím. Přidáme-li
parameter /W, bude služba čekat na potvrzení, doba čekání je
zadaná v parametru /TimepočetSekund
Nastavení uživatelského profilu a domovského adresáře v terminálové
službě
V nabídce uživatelé a služby v AD
Nastavit cestu
P:
Nastavit dom. složku
Licencováníterminálovéslužby
Přístup kterminálové službě vyžaduje licencování. Licence je vázána na
uživatele nebo na počítač. Pokud licenční soubor nemůže nabídnout licenci,
neumožníterminálovýserverpřipojení.Provyzkoušeníjemožnévyužíttoho,
že prvních 120 dní po zavedení terminálové služby lze klientům udělit
dočasnoulicenci,nemáme‐liaktivnílicenčníserver.
Závěr
79
Závěr
Váženíčtenáři,pokudjstedospěliktétokapitole,získalijsteučritýpřehledo
instalaci Operačního systému Windows, a to jak serveru, tak klientské
stanice..
Zaměřilijsmesepředevšímnagrafickérozhraníavurčitýchmístechjstese
dotkliisprávyprostřednictvímpříkazovéřádky.
Pokud se budete touto problematikou zabývat častěji, jistě si zafixujete
potřebnémetodypráceajistěpřijdetenachuťipříkazovéřádce,atohlavně
zhlediskaúsporyčasu.
PřejiVámvdalšímstudiuhodněvytrvalosti.
80
Použitáliteratura
1. STANEK, William R. Mistrovství v Microsoft Windows Server 2008: [kompletní informační zdroj pro profesionály]. Vyd. 1. Brno: Computer Press, 2009, 1364 s. ISBN 978‐80‐251‐2158‐0. 2. BOTT, Ed, Carl SIECHERT a Craig STINSON. Mistrovství v Microsoft Windows 7. Vyd. 1. Brno: Computer Press, 2010, 936 s. ISBN 978‐80‐251‐2817‐6. http://technet.microsoft.com/cs‐cz/library