Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
O Autorach..................................................................11
Przedmowa .................................................................13
Wstp .........................................................................15
Rozdzia 1. Oglne zarzdzanie serwerem ......................................21
Czynnoci administracyjne ................................................................... 21
Oglne zarzdzanie serwerem .............................................................. 24
GS-01. Skrty Uruchom jako ......................................................... 24
GS-02. Oglna weryfikacja stanu usug ......................................... 28
GS-03. Weryfikacja dziennika zdarze System ............................. 29
GS-04. Weryfikacja dziennika zdarze Zabezpieczenia ................ 30
GS-05. Zarzdzanie kontami usug i administracyjnymi................ 32
GS-06. Utrzymanie dziennika dziaa ............................................ 34
GS-07. Zarzdzanie raportem o czasie dostpnoci systemu ......... 35
GS-08. Zarzdzanie skryptami ....................................................... 36
GS-09. Zarzdzanie certyfikatami skryptw .................................. 38
GS-10. Aktualizacje definicji wirusw
dla programw antywirusowych ........................................ 40
GS-11. Restart serwera ................................................................... 40
GS-12. Przegld i aktualizacja zasad zabezpiecze........................ 42
GS-13. Weryfikacja aktualizacji zabezpiecze ................................. 43
GS-14. Aktualizacja poprawek i pakietw Service Pack ............... 45
GS-15. Ocena nowego oprogramowania ........................................ 46
GS-16. Inwentaryzacja ................................................................... 47
GS-17. Tworzenie globalnej konsoli MMC ................................... 50
GS-18. Automatyczne pobieranie sygnatur
dla oprogramowania antywirusowego ............................... 51
GS-19. Tworzenie i weryfikacja zaplanowanych zada................. 52
Spis treci
7
FS-11. Weryfikacja dziennika inspekcji dostpu do plikw .......... 91
FS-12. Usuwanie plikw tymczasowych ........................................ 92
FS-13. Weryfikacja parametrw zabezpiecze ................................... 93
FS-14. Zarzdzanie folderami zaszyfrowanymi................................. 94
FS-15. Archiwizacja danych........................................................... 94
FS-16. Zarzdzanie usug replikacji plikw.................................. 95
FS-17. Zarzdzanie dyskami i woluminami ................................... 97
Usugi drukowania ................................................................................ 97
PS-01. Zarzdzanie kolejkami drukowania .................................... 99
PS-02. Zarzdzanie dostpem do drukarek..................................... 99
PS-03. Zarzdzanie sterownikami drukarek ................................. 100
PS-04. Udostpnianie drukarek .................................................... 101
PS-05. Zarzdzanie buforowaniem drukowanych dokumentw .. 102
PS-06. Zarzdzanie ledzeniem lokalizacji drukarek ................... 102
PS-07. Masowe zarzdzanie drukarkami...................................... 104
PS-08. Ocena nowych modeli drukarek ....................................... 104
Usugi klastrw ................................................................................... 105
CS-01. Klastry weryfikacja ich stanu ...................................... 105
CS-02. Klastry weryfikacja stanu kolejek drukowania ........... 106
CS-03. Klastry zarzdzanie serwerem klastrw ...................... 106
CS-04. Klastry weryfikacja stanu kworum................................ 107
Spis treci
9
Zarzdzanie serwerem przestrzeni nazw (DNS) ................................. 202
DN-01. Kontrola dziennika zdarze DNS .................................... 202
DN-02. Zarzdzanie konfiguracj DNS-u .................................... 203
DN-03. Zarzdzanie rekordami DNS ........................................... 204
DN-04. Zarzdzanie partycj aplikacji DNS ................................ 205
Rozdzia 1.
Oglne zarzdzanie
serwerem
Wprawdzie wikszo serwerw odgrywa konkretne role w strukturze naszej organizacji, lecz jest oczywiste, e pewne zadania administracyjne naley wykonywa we wszystkich serwerach, niezalenie od ich rl. S to oglne zadania
administracyjne. Nale do nich wszelkie czynnoci od upewnienia si, e
serwer funkcjonuje poprawnie, a po weryfikacj, czy konfiguracja serwera jest
zgodna ze standardami organizacji. Wiele z tych zada ma charakter techniczny i cz z nich moe by zautomatyzowana, lecz niektre s czysto administracyjne i ich przeprowadzenie nie wymaga pracy z technologi.
Czynnoci administracyjne
Oglne zarzdzanie serwerami Windows dzieli si na cztery kategorie administracyjne. Nale do nich oglna obsuga serwera, sprzt, tworzenie i przywracanie kopii zapasowych oraz administrowanie zdalne. Tabela 1.1 przedstawia
list czynnoci administracyjnych, ktre musimy wykonywa regularnie, aby zapewni prawidowe funkcjonowanie usug, wiadczonych przez serwery naszej
spoecznoci uytkownikw. W tabeli tej zostaa te przedstawiona czstotliwo
wykonywania poszczeglnych zada.
Nie kady musi zgadza si z czstotliwoci zada zasugerowan w tabeli 1.1.
Co wicej, wykonywanie absolutnie wszystkich czynnoci moe nie by konieczne, jeli nie stosujemy wszystkich wspomnianych w tabeli usug. Dlatego Czytelnik powinien spersonalizowa t ksik, zaznaczajc wszystkie numery procedur, z ktrych faktycznie bdzie korzysta. Dziki temu atwiej bdzie znale
najczciej uywane procedury.
22
Czynno
Harmonogram
Codziennie
GS-02
Codziennie
GS-03
Codziennie
GS-04
Codziennie
GS-05
Codziennie
GS-06
Codziennie
GS-07
Co tydzie
GS-08
Zarzdzanie skryptami
Co tydzie
GS-09
Co tydzie
GS-10
Co tydzie
GS-11
Restart serwera
Co tydzie
GS-12
Co miesic
GS-13
Co miesic
GS-14
Co miesic
GS-15
Co miesic
GS-16
Inwentaryzacja
Co miesic
GS-17
W miar potrzeb
GS-18
W miar potrzeb
GS-19
W miar potrzeb
GS-20
W miar potrzeb
GS-21
W miar potrzeb
GS-22
Przygotowanie serwera
W miar potrzeb
GS-23
W miar potrzeb
GS-24
W miar potrzeb
GS-25
W miar potrzeb
GS-26
W miar potrzeb
GS-27
W miar potrzeb
GS-28
W miar potrzeb
GS-29
W miar potrzeb
23
Czynno
Harmonogram
Sprzt
HW-01
Co tydzie
HW-02
Co miesic
HW-03
Co miesic
HW-04
Zarzdzanie urzdzeniami
W miar potrzeb
Codziennie
BR-02
Codziennie
BR-03
Co tydzie
BR-04
Co miesic
BR-05
Co miesic
BR-06
Co miesic
BR-07
Odbudowa serwera
W miar potrzeb
Administrowanie zdalne
RA-01
Co miesic
RA-02
Co miesic
RA-03
W miar potrzeb
RA-04
W miar potrzeb
Harmonogram rwnie moe rni si od przedstawionego w tabeli 1.1. Czstotliwo zada zaley od mnstwa czynnikw, na przykad od niezawodnoci
systemu, jego obcienia, wielkoci i szybkoci dyskw, mocy obliczeniowej procesorw i tak dalej. Jeli przedstawiony harmonogram nie pasuje do konkretnych
potrzeb, mona go zmieni.
Jeli przedstawiony harmonogram nie zaspokaja potrzeb Czytelnikw,
prosimy o uwagi. Chtnie dowiemy si, jaki harmonogram najlepiej
pasuje do Waszych wymaga i opublikujemy zaktualizowane arkusze
na stronie www.Reso-Net.com/PocketAdmin. Oczekujemy na uwagi pod adresem
PocketAdmin@Reso-Net.com.
24
25
To zadanie zostao okrelone jako wykonywane codziennie, poniewa jeli prawidowo zaprojektujemy skrty, to bdziemy z nich korzysta codziennie przy
wykonywaniu czynnoci administracyjnych w kadym serwerze w obrbie organizacji. Moemy tworzy tyle skrtw, ile tylko potrzebujemy. Zalet skrtw
Uruchom jako jest moliwo wyboru konta administracyjnego przy kadym
uruchomieniu narzdzia. Dziki temu moemy do kadego skrtu przyzna
tylko niezbdne prawa dostpu. I poniewa skrty nie s uruchamiane automatycznie w nowym kontekcie (nie mona osadzi w nich nazwy konta i hasa),
same z siebie nie stanowi zagroenia.
Najbezpieczniejsz metod korzystania z polecenia
Uruchom jako jest stosowanie skrtw w trybie
graficznym.
Eksplorator Windows,
wiersz polece,
Skrty najatwiej tworzy na pulpicie. Po utworzeniu moemy je przenie do paska narzdzi Szybkie uruchamianie i usun z pulpitu. Aby utworzy skrt Uruchom jako:
1.
2.
26
3.
4.
5.
6.
7.
8.
Skrt jest gotowy. Teraz moemy przenie go do obszaru szybkiego uruchamiania. Uycie skrtu spowoduje automatyczne wywietlenie okna dialogowego
Uruchom jako. Tutaj moemy uruchomi polecenie z biecymi powiadczeniami lub wybra Nastpujcy uytkownik i wprowadzi dane konta administracyjnego (patrz rysunek 1.1).
Rysunek 1.1.
Uruchomienie
programu poprzez
Uruchom jako
27
gdzie
to nazwa gwna uytkownika dla konta
administracyjnego, ktrego chcemy uy, a
oznacza ciek i nazw
polecenia, ktre chcemy uruchomi. Polecenia uruchamiajce narzdzia wspomniane uprzednio bd wyglda tak:
!"
!"
Tej samej struktury polece moemy uy dla innych narzdzi, ktre uznamy
za niezbdne do pracy, wymagajcych uprawnie administracyjnych. Plik polece naley zapisa w folderze C:\Toolkit, aby udostpni je wszystkim uywanym kontom administracyjnym. Folder ten jest niezbdny, poniewa folder
Moje dokumenty domylnie pozwala na interakcj z wasnego konta i wymaga
modyfikacji uprawnie, aby inni uytkownicy mieli dostp do jego zawartoci.
Folder ten zostanie dokadniej omwiony w procedurze GS-17.
Koniecznie skorzystaj z procedury FS-13, aby przypisa
odpowiednie parametry zabezpiecze do folderu
C:\Toolkit, zwaszcza jeli maj si w nim znale pliki
polece zawierajce polecenia z zapisanymi powiadczeniami. Umoliwienie
komukolwiek dostpu do tego folderu stanowi powane zagroenie bezpieczestwa.
Mona rozway ograniczenie dostpu do tego folderu jedynie dla kont
administracyjnych i stworzenie skrtu Uruchom jako do pliku polece zestawu
narzdzi. W ten sposb nikt nie bdzie mg nieumylnie uruchomi tego pliku
przez niepoprawny dostp do naszej stacji roboczej.
Z poleceniem mona jeszcze uy dwch przydatnych opcji wiersza polece. Opcja
umoliwia uycie do uwierzytelnienia karty inteligentnej (ang. SmartCard) i powinna by uywana w organizacjach kadcych duy
28
2.
3.
4.
5.
Alternatyw dla tej procedury moe by uycie polecenia Remote Server Information z zestawu narzdzi Resource Kit dla kadego serwera, ktrym zarzdzamy i przekierowanie wyjcia polecenia do pliku tekstowego:
#
$
gdzie
oznacza nazw serwera, ktry chcemy zbada. Jeli nazwa
serwera nie zostanie podana, polecenie wywietli informacje o serwerze lokalnym. oznacza nazw i ciek do pliku, do ktrego informacje
29
maj zosta wysane. Ponownie moemy umieci seri takich polece w pliku
.cmd i za pomoc procedury GS-19 codziennie generowa automatycznie pliki
wyjciowe. To pomoe szybko zorientowa si w stanie wszystkich usug w sieci.
Oprcz tego wszystkie usugi moemy kontrolowa za pomoc polece
i .
Wpisanie w wierszu polece powoduje wywietlenie listy wszystkich obsugiwanych polece. Szczegowe informacje o kadym poleceniu moemy
otrzyma, wpisujc PC\YCRQNGEGPKC. Jedyn wad tego narzdzia jest
niemoliwo wykonywania polece zdalnie. Aby skorzysta z tych polece, musimy otworzy sesj lokaln albo zdaln w serwerze, ktrym chcemy zarzdza.
Z drugiej strony, polecenie
moemy uruchomi w kadym serwerze, do ktrego mamy dostp. Jego struktura wyglda nastpujco:
30
2.
3.
4.
Zanotuj wszelkie czynnoci naprawcze, ktre musisz podj. Wykorzystaj procedur GS-06 do rejestrowania rnorodnych kontrolowanych codziennie zdarze.
Mona zmieni wielko pliku dziennika. W tym celu kliknij prawym przyciskiem
myszy nazw dziennika w lewym panelu MMC i wybierz Waciwoci. Ustaw
Maksymalny rozmiar dziennika i zwizane z nim zdarzenie zgodnie z potrzebami.
Microsoft TechNet Script Center zawiera szereg przykadowych skryptw
WSH (ang. Windows Scripting Host), pomagajcych przeprowadza
prace administracyjne z usugami. Skrypty te znajdziemy pod adresem
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/scrip
tcenter/logs/default.asp?frame=true.
31
2.
3.
4.
Aby dokona inspekcji dostpu do obiektu, na przykad kontenera w AD lub pliku w serwerze, trzeba wczy inspekcje dla tego obiektu i zidentyfikowa, kto
powinien podlega inspekcji. W tym celu:
1.
2.
3.
4.
5.
32
2.
3.
4.
33
Oprcz tego konsola Zarzdzanie komputerem moe przyda si do przydzielania praw lokalnych do grup domeny i kont.
Aby zmodyfikowa prawa uytkownika, skorzystaj z procedury DC-16 w celu
edycji odpowiedniego GPO, zwykle tego wpywajcego na wszystkie obiekty,
ktre chcesz zmodyfikowa. Znajd ustawienia User Rights Assignment (Computer Policy/Security Settings/Local Policies/User Rights Assignment) i przypisz
odpowiednie ustawienia do kont administracyjnych. Zawsze atwiej jest przypisywa prawa do grupy ni do indywidualnych obiektw, wic dobrze jest
zgromadzi konta administracyjne w grupy administracyjne. Skorzystaj ponownie z procedury DC-16, aby zapewni waciwe wykorzystanie tych kont.
Oprcz tego we wspczesnych sieciach przedsibiorstw trzeba te zarzdza
kontami usug kontami, ktre posiadaj wystarczajce przywileje administracyjne, by obsugiwa konkretne usugi w sieci. Na przykad, konta usug mog
suy do uruchamiania mechanizmw narzdzi antywirusowych i zaplanowanych zada (patrz procedura GS-19). Zalet korzystania z konta usugi do uruchamiania danej usugi lub zautomatyzowanego zadania jest moliwo kontroli poprawnoci dziaania usugi za pomoc dziennika zdarze Zabezpieczenia.
Zdarzenie sukcesu jest zapisywane w tym dzienniku za kadym razem, gdy usuga wykorzysta swj uprzywilejowany dostp lub zaloguje si.
Konta usug musz mie okrelone przywileje i ustawienia:
34
35
2.
3.
4.
5.
Polecenie bdzie teraz tworzy raport co tydzie. Od tej pory bdziemy
musieli jedynie znale plik wyjciowy i przejrze wyniki.
Microsoft TechNet Script Center zawiera dwa skrypty zwizane
z zarzdzaniem czasem dostpnoci systemu. Pierwszy to Determining
System Uptime, a drugi to Monitoring System Uptime. Oba dostpne s
pod adresem http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/scriptcenter/monitor/default.asp?frame=true.
36
37
Pisanie skryptw moe by sporym wyzwaniem, jeli nie znamy Windows Management Instrumentation (WMI) lub Active Directory Services Interface (ADSI).
Dlatego te doskonaym pomysem moe by wykorzystanie do generowania
za nas skryptw narzdzia Microsoft Scriptomatic. Narzdzie to jest dostpne
w Microsoft Download Center; wystarczy poszuka Scriptomatic w www.microsoft.com/downloads. Oprcz tego dobre wprowadzenie do pisania skryptw jest
dostpne pod adresem http://msdn.microsoft.com/library/en-us/dnclinic/html/
scripting06112002.asp.
Instalacja narzdzia Scriptomatic jest prosta, wystarczy rozpakowa pobrane archiwum. Plik scriptomatic.hta naley zapisa w folderze C:\Toolkit. Moemy
te uy skrtu Uruchom jako (patrz procedura GS-01) do uruchamiania Scriptomatic i umieci go w obszarze szybkiego uruchamiania.
Aby napisa skrypt za pomoc narzdzia Scriptomatic:
1.
2.
38
3.
4.
Skrypty te mog posuy do wykonywania zada administracyjnych i rejestrowania wynikw wyjciowych. W tym celu wpisz polecenie:
%& $%&
gdzie oznacza nazw skryptu przeznaczonego do uruchomienia, a bdzie utworzonym plikiem z danymi wyjciowymi. Za
pomoc procedury GS-19 mona umieci to polecenie w zaplanowanym zadaniu i uruchamia zgodnie z harmonogramem.
Scriptomatic moe pomc w generowaniu skryptw logowania. Aby utworzy
kompletny skrypt logowania, moe okaza si konieczne poczenie fragmentu
skryptu WMI z fragmentem skryptu ADSI. Opisuje to procedura DC-31.
Oprcz skryptu logowania moemy chcie wywietla komunikat dla uytkownikw przed logowaniem. Pomaga to ostrzega uytkownikw przed prawnymi konsekwencjami naduycia sprztu komputerowego i informacji. Do tego
ponownie posuy GPO. Aby wywietli komunikat przy logowaniu, mona
posuy si procedur DC-16 do edycji odpowiedniego GPO i modyfikacji
ustawie:
Reguy mieszania,
Reguy certyfikatw,
Reguy cieki,
39
Najprostsze i najbezpieczniejsze w uyciu s reguy mieszania i (lub) certyfikatw. Obie mona zastosowa do skryptw i programw, takich jak pakiety instalacyjne dla przedsibiorstwa (zwykle w formacie Instalatora systemu Windows
.msi). Reguy SRP oparte na certyfikatach mona zastosowa lub zweryfikowa
nastpujco:
1.
2.
3.
4.
5.
6.
7.
8.
40
W niektrych narzdziach antywirusowych wikszo tych zada mona zautomatyzowa, a konsola zarzdzajca oprogramowaniem moe ostrzega administratora o znalezieniu nowych wirusw.
Upewnij si, e narzdzie antywirusowe jest zgodne z systemem
Windows Server 2003. Najlepiej byoby, gdyby program by certyfikowany
dla tej platformy.
41
Jeli kto uzna, e regularne wykonywanie tej czynnoci jest niezbdne, to moe
posuy si poleceniem ! , pozwalajcym zdalnie wycza i restartowa
serwery. Ponisze polecenie wykonuje restart zdalnego serwera:
'
&((#(nazwaserwera
42
Wszystkie zmiany dokonane podczas tego przegldu powinny zosta udokumentowane i przekazane uytkownikom.
43
44
Do edycji odpowiedniego GPO moe posuy procedura DC-16. Ten obiekt GPO
powinien stosowa si tylko do serwerw. Kolejny GPO naley skonfigurowa
podobnie dla stacji roboczych, lecz w miar moliwoci z uyciem innego intranetowego serwera rdowego. Ustawienia te powinny by stosowane w poczeniu z Microsoft Software Update Services (SUS). Serwer SUS posuy
do sprawdzenia poprawnoci aktualizacji zabezpiecze niezbdnych w naszym
rodowisku sieciowym. Wszystkie zmiany powinny by udokumentowane.
Aby pobra i zainstalowa SUS, poszukaj Microsoft Software Update
Services pod adresem www.microsoft.com/downloads.
Do analizy stanu poprawek i pakietw Service Pack w naszych systemach moe te posuy Microsoft Baseline Security Analyzer (MBSA). MBSA jest
dostpny w serwisie Microsoft Download: szukaj MBSA pod adresem www.
microsoft.com/ downloads.
Do skanowania systemw Windows Server 2003 potrzebna jest wersja
MBSA 1.1.1 lub nowsza.
2.
3.
4.
45
46
2.
3.
4.
5.
47
Microsoft Operations Management Server (MOM). MOM jest bardzo efektywny, poniewa monitoruje zdarzenia systemowe w serwerach, automatycznie poprawia zachowania, ktre mog by potencjalnie szkodliwe i powiadamia administratora o zmianach.
Jeli rodowisko komputerowe naszej firmy nie jest na tyle due, by uzasadniao
uycie tak wyrafinowanego narzdzia jak MOM, moemy poszuka innego
narzdzia o podobnych moliwociach. Wiele powtarzajcych si zada administracyjnych mona wykona z pomoc skryptw, jak pokazalimy ju w szeregu przykadw. Do tego mog take posuy niedrogie lub darmowe narzdzia. Dwoma cennymi rdami informacji o takich narzdziach s strony www.
MyITForum.com i www.TechRepublic.com.
Warto uwaa, aby nie stosowa narzdzi rnicych si powanie od siebie
sposobem uycia. Dziki temu ograniczymy liczb narzdzi lub interfejsw,
ktrych administratorzy naszej sieci bd musieli si uczy. Wszelkie nowe narzdzia w sieci powinny zosta udokumentowane.
Do monitorowania okrelonych zdarze w Dzienniku zdarze i generowania
alarmw w razie ich wystpienia moe te posuy skrypt dostpny
w Microsoft TechNet Script Center: http://www.microsoft.com/technet/
treeview/default.asp?url=/technet/scriptcenter/monitor/
ScrMon21.asp?frame=true.
GS-16. Inwentaryzacja
4 Harmonogram: co miesic
Jednym z zada, ktre naley wykona przynajmniej raz na miesic jest zarzdzanie inwentarzem. Dotyczy to zarwno sprztu, jak i oprogramowania. W sieci
moe by obecne narzdzie do inwentaryzacji, np. Systems Management Server,
lub nie. Jeli jest, to doskonale problem z gowy. Jeli nie, potrzebne bd
inne narzdzia.
Microsoft oferuje narzdzie Microsoft Software Inventory Analyser (MSIA). Nie
inwentaryzuje ono caoci oprogramowania, lecz przynajmniej zarzdza wszystkimi programami Microsoftu. Aby pobra MSIA, wystarczy wyszuka narzdzie
w www.microsoft.com/downloads.
MSIA jest narzdziem opartym na kreatorach, pozwalajcym wykonywa trzy
zadania:
48
Oprcz tego MSIA pozwala skanowa systemy lokalne, zdalne lub ca sie
naraz. Instalacja opiera si na usudze Instalatora Windows. Narzdzie mona
instalowa interaktywnie lub, za pomoc procedury DC-15, w wybranych komputerach docelowych.
Aby utworzy plik wejciowy wiersza polece:
1.
2.
3.
4.
5.
6.
7.
49
Rysunek 1.4.
Microsoft Software
Inventory Analyser
8.
9.
2.
3.
4.
50
Meneder autoryzacji.
Pulpity zdalne.
Szablony zabezpiecze.
Usugi skadowe
2.
51
3.
4.
5.
6.
7.
52
2.
3.
4.
5.
6.
7.
gdzie
oznacza nazw DNS lub adres IP serwera. Aby dowiedzie
si wicej o poleceniu, wpisz
. Tak jak poprzednio, metoda opisana na kocu procedury GS-07 pozwala wygenerowa automatycznie raport dla
wszystkich serwerw.
Microsoft TechNet Script Center zawiera cztery rne skrypty
do zarzdzania zaplanowanymi zadaniami: http://www.microsoft.com/
technet/treeview/default.asp?url=/technet/scriptcenter/schedule/
default.asp?frame=true.
53
2.
3.
4.
Szablony maj szereg rnych zastosowa. Mog suy do przypisywania ustawie zabezpiecze do serwerw lub do analizowania faktycznych ustawie
w porwnaniu z zapisanymi w szablonie. Jedno i drugie moemy wykona w trybie graficznym lub tekstowym. Aby przeanalizowa serwer lub przywrci oryginalne ustawienia dla serwera w trybie graficznym:
1.
2.
54
3.
4.
5.
6.
7.
8.
9.
10.
Drugie polecenie moesz umieci w zaplanowanym zadaniu, korzystajc z procedury GS-19. Aby otrzyma wicej informacji, wpisz
.
55
2.
3.
4.
5.
56
GS-23. Konfiguracja
narzdzi administracyjnych
4 Harmonogram: w miar potrzeb
Do zarzdzania rodowiskiem Windows Server 2003 potrzebnych jest kilka
narzdzi. Nale do nich rne zestawy, poczwszy od podstawowego zestawu
Pakiet narzdzi administracyjnych a po Windows Server 2003 Support Tools,
57
w tym narzdzia Windows Server 2003 Resource Kit. Pakiet narzdzi administracyjnych i Support Tools dostpne s na pycie instalacyjnej Windows Server
(pierwszy w folderze \i386, a drugi w \Support\Tools). Wszystkie trzy zestawy
mona pobra z witryny WWW Microsoft Download, wystarczy wyszuka nazw zestawu w www.microsoft.com/downloads.
Instalacja kadego z pakietw opiera si na usudze Instalator Windows. Po pobraniu mona je zainstalowa interaktywnie lub wykorzysta procedur DC-15
do zainstalowania w wyznaczonych komputerach. Wszystkie zestawy narzdzi
radzimy zainstalowa we wszystkich serwerach i w kadym komputerze sucym do administrowania.
Kilka narzdzi z zestawu Resource Kit daje uytkownikowi
wysoki poziom uprzywilejowania. Wszystkie narzdzia
powinny by odpowiednio zabezpieczone jako skrty
Uruchom jako (patrz procedura GS-01).
58
Po wybraniu ustawie moemy zaktualizowa profil Default User tak, e zawsze bdzie generowa te same ustawienia przy tworzeniu profilu nowego uytkownika.
Dostosowanie ustawie pulpitu i innych wymaga
uprawnie lokalnego administratora.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
59
Rysunek 1.5.
Zarzdzanie profilami
uytkownikw
14.
15.
Wr do profilu administratora.
60
61
Administrowanie sprztem
Wszystkie zadania zawarte w tym podrozdziale s przedstawione oglnikowo,
poniewa mimo e ich regularne wykonywanie jest niezbdne, trudno opisa dokadnie, jak wykonywa poszczeglne prace, gdy na rynku istnieje tak wiele
modeli sprztu i podej do zarzdzania sprztem.
62
Wobec tego kady z Czytelnikw bdzie musia dostosowa wymienione poniej zadania do swoich potrzeb, dodajc wasne czynnoci.
63
64
2.
3.
4.
5.
Tworzenie i przywracanie
kopii zapasowych
Chocia serwery s projektowane z wykorzystaniem redundantnych systemw do
ochrony serwera i danych, adna organizacja nie moe funkcjonowa bez strategii przywracania systemu po katastrofie. Strategia taka powinna obejmowa zarwno efektywn strategi wykonywania regularnych kopii zapasowych, jak i dobry system przywracania. Procedury opisane poniej opieraj si na NTBackup.exe
domylnym narzdziu kopii zapasowych zawartym w systemie Windows Server 2003. Ta wersja NTBackup jest o wiele peniejsza od poprzednich i zawiera zarwno usug kopiowania woluminw w tle, jak i usug automatycznego
odzyskiwania systemu. Pierwsza opcja pozwala stworzy obraz danych przed
wykonaniem kopii, co rozwizuje wiele problemw z kopiowaniem otwartych
plikw. Druga pozwala odbudowa serwer bez koniecznoci ponownej instalacji oprogramowania.
65
Lecz jeli firma powanie traktuje swoje dane, to najprawdopodobniej Czytelnik bdzie mia do czynienia z bardziej wszechstronnym narzdziem kopii zapasowych. Najlepszym z nich jest QiNetix firmy Commvault Systems Inc. (www.
commvault.com). Jest to jedyne narzdzie kopii zapasowej, ktre w peni obsuguje Active Directory, pozwalajc przywraca obiekty i atrybuty katalogu bez
koniecznoci wykonania przywracania autorytatywnego operacji raczej zoonej. Oprcz tego, jeli mamy do czynienia z naprawd du objtoci danych,
to QiNetix potrafi zaoszczdzi sporo czasu, zwaszcza dla penych kopii zapasowych, poniewa dla nich tworzy peny obraz kopii zapasowej z poprzednich kopii przyrostowych, wykorzystujc unikatow technologi pojedynczego
magazynu. Oznacza to, e nigdy nie braknie czasu na wykonanie kopii zapasowej, poniewa nie jest ona pobierana z systemw, lecz z poprzednich kopii
zapasowych.
Rejestr systemowy.
Dane stanu systemu s zawsze zapisywane w kopii zapasowej jako cao, ktrej nie mona podzieli. Jest to zadanie codzienne, ktre powinno by zautomatyzowane. Aby zaplanowa wykonywanie kopii zapasowej stanu systemu:
1.
66
2.
3.
4.
5.
6.
7.
8.
Powtrz procedur, tworzc kopie zapasowe danych w tym samym harmonogramie i dodaj pene kopie zapasowe w weekendy.
2.
3.
4.
5.
67
68
Dla kadego serwera powinnimy te wykonywa kopie zapasowe do automatycznego odzyskiwania systemu (ang. ASR Automated System Recovery).
Kopi zapasow ASR musimy wykona rcznie, poniewa tworzona jest jednoczenie dyskietka do przywracania systemu. Naley wykonywa kopi zapasow co miesic, aby dyskietka ASR bya aktualna, oraz po kadej znaczcej
zmianie w dowolnym serwerze. ASR rejestruje stan systemu, zainstalowane usugi, wszystkie informacje o dyskach zainstalowanych w systemie i o sposobie
przywracania serwera. Aby wykona kopi zapasow ASR:
1.
2.
3.
4.
2.
4.
5.
6.
7.
69
70
2.
3.
4.
Administrowanie zdalne
W systemie Windows 2000 wprowadzona zostaa koncepcja zdalnego zarzdzania serwerem przez Usugi terminalowe w trybie administracji zdalnej. Tryb ten
pozwala na maksymalnie dwa jednoczesne zdalne poczenia z serwerem bez
dodatkowych licencji klienckich usug terminalowych. W systemie Windows
Server 2003 ta funkcja otrzymaa now nazw, tak jak w Windows XP, Podczanie pulpitu zdalnego (ang. RDC Remote Desktop Connections).
RDC to cenne narzdzie dla administratorw, poniewa daje peny dostp do pulpitu serwera bez koniecznoci fizycznego dostpu do komputera.
RDC jest narzdziem bezpiecznym, poniewa ogranicza
konieczno dostpu do pomieszcze z serwerami.
Administratorzy mog pracowa przy wasnych biurkach,
konfigurujc serwery i zarzdzajc nimi zdalnie.
71
2.
3.
4.
Opcj t mona te ustawi zdalnie za pomoc Zasad grup. Do edycji odpowiedniego GPO posuy procedura DC-16, przy czym GPO powinien obowizywa
tylko dla serwerw. Wcz ustawienie Zezwalaj uytkownikom na zdalne czenie si przy uyciu usug terminalowych (Konfiguracja komputera/Szablony
administracyjne/Skadniki systemu Windows/Usugi terminalowe). To ustawienie GPO zapewnia t sam funkcjonalno, co pole wyboru w oknie Waciwoci systemu.
Teraz, gdy serwery ju pozwalaj na zdalne poczenia, musimy dokona faktycznego poczenia z kadym serwerem. Posuy do tego globalna konsola MMC
utworzona w procedurze GS-17.
1.
2.
3.
72
Od tej pory, gdy trzeba bdzie poczy si z serwerem, wystarczy raz klikn
nazw poczenia. Po zakoczeniu pracy kliknij nazw poczenia prawym
przyciskiem i wybierz Rozcz.
RDC w trybie administracyjnym pozwala na dwa poczenia na raz.
Najlepiej zaraz po poczeniu sprawdzi, czy w danej chwili kto inny
pracuje z serwerem. Najlepszym sposobem jest otwarcie konsoli
wiersza polece i wpisanie ). Jeli zalogowany jest inny administrator,
powinnimy skontaktowa si z nim i upewni, e nasze dziaania w jednym
serwerze nie s konfliktowe.
Utwrz now konsol jak w procedurze GS-17, lecz tym razem wydajc
polecenie
.
2.
3.
4.
5.
Upewnij si, e wszystkie komputery PC s zarzdzane przez GPO zezwalajcy na podczanie pulpitu zdalnego. Zabezpiecz konsol przez skrt Uruchom
jako (procedura GS-01).
Komputery osobiste pozwalaj na tylko jedno zalogowanie jednoczenie.
Jeli zalogujemy si zdalnie do PC, do ktrego zalogowany jest ju
uytkownik, to uytkownik ten zostanie automatycznie wylogowany.
Aby udzieli pomocy uytkownikowi, naley skorzysta zamiast tego
z procedury RA-03.
73
Obie opcje wymagaj listy pomocnikw. Pomocnicy stanowi grup uytkownikw, wpisanych w postaci
.
Te ustawienia GPO nie pozwalaj wybiera nazw grup z AD; musimy
wpisa je rcznie. Przed zastosowaniem GPO do komputerw PC
powinnimy sprawdzi, czy te informacje zostay wpisane poprawnie.
2.
74
3.
4.
5.
2.
3.
4.
75
5.
6.
7.